Im Kern handelt es sich bei UTMs meist um Sicherheits-Appliances, die mehrere unterschiedliche Sicherheitsfunktionen in einer Einheit bündeln. Diese Systeme werden traditionell meist als Unified-Threat-Management-Systeme bezeichnet.
Durch die Kombination der einzelnen Sicherheitsfunktionen wird die Einrichtung und Verwaltung eines umfassenden Sicherheitssystems einfacher. Das hat zwei Gründe. Zum einen werden alle benötigten Sicherheitssysteme in eine Verwaltungsoberfläche gepackt. Die gesamte Administration wird somit unter einer Haube zusammengefasst und ist meist ähnlich aufgebaut. Damit entfällt die Nutzung unterschiedlicher Tools mit unterschiedlichen Bedienabläufen. Der zweite wesentliche Grund, der für UTMs spricht, ist die Interaktion der Module untereinander.
So können sich beispielsweise die einzelnen Sicherheitsmodule gegenseitig beeinflussen und somit das gesamte Abwehrsystem sicherer machen, als dies bei getrennten Einzelprodukten der Fall wäre. Dies gilt auch für die UTMs des Unternehmens Stormshield. Der Hersteller hat seine Sicherheitssysteme in drei Produktlinien zusammengefasst. Diese sind der hier betrachtete Netzwerkschutz, Systeme für den Datenschutz (Encrypten) und der Schutz der Endgeräte (Endpoint-Schutz).
Zentraler Baustein der UTMs ist fast immer eine Firewall. Dazu kommen Intrusion-Detection- und -Prevention-Systeme sowie Scanner für Viren, Spyware, Adware oder sonstiger Malware. Am Beispiel von Stormshield SN3000 wollen wir das verdeutlichen.
Die Sicherheitsfunktionen im Überblick
Wie erwähnt, fasst Stormshield in seinen Produkten mehrere Sicherheitsfunktionen in einer Einheit zusammen. Diese sind unter anderem:
IPS: Das Intrusion-Prevention-System von Stormshield operiert nicht, wie oftmals üblich, anhand von Signaturen. Damit erreicht der Hersteller einen höheren Durchsatz.
Antispam: Die Antispam-Funktion erfolgt zusammen mit Partnern.
Antivirus: Zur Abwehr von Virenangriffen
Mail-Filter: Für die Überwachung des Mail-Datenverkehrs
URL-Filter: Die Verwaltung der Internetzugänge erfolgt anhand von Gruppen. Dies ist ein gängiges Verfahren und hat sich so bewährt.
SSL-Decription: Der gesamte Datenverkehr kann verschlüsselt werden. Dies erhöht die Sicherheit. Stormshield operiert dabei bis auf die Ebene 7 des IOS/OSI-Stacks und verschlüsselt auch den Datenstrom des Applikations-Levels.
SSL-Filter: Zur Überwachung des SSL-Datenstroms dient der integrierte SSL-Filter
Vulnerability Assessment & Application inventory: Diese Funktionen untersuchen die Geräte auf ihre Verwundbarkeit (Vulnerability) und helfen bei der Sicherung der Systeme gegen Angriffe von außen.
VPN: Hinsichtlich der VPNs unterstützt die Stormshield-Appliance alle heute gängigen Varianten.
Eine Möglichkeit zur Beurteilung von Sicherheitssystemen, wie auch der Stormshield-UTM, sind allgemeine Sicherheitsmaßstäbe wie etwa Common Criteria. Stormshield erreicht in dieser Disziplin die Stufe EAL4+. Die Regeln nach Common Criteria wurden unter anderem aus europäischen ITSEC- und US-TCSEC-Standards gebildet und sind die Basis für die Beschreibung von IT-Sicherheit nach ISO-IEC 15408. Viele Hersteller orientieren sich an diese Regeln und haben ihre Produkte den notwendigen Evaluierungen unterzogen. Der Großteil der Sicherheitsfunktionen sind dabei direkt in den Kernel (Kernel space) des Systems integriert. Dies erlaubt eine flotte Abarbeitung, da dabei Übergänge vom Systemkernel in den Benutzerbereich (User space) überflüssig sind.
Der Hersteller bietet diese Funktionen in unterschiedlichen Ausbaustufen an. Diese umfassen im Kern die gleichen Sicherheitseinrichtungen. Der größte Unterschied in den Modellen liegt vor allem in der Leistung und dem Durchsatz. Stormshield bietet seine Systeme vom Einsatz im SoHo bis hin zu Unternehmen mittlerer Größe oder Großunternehmen (Enterprises).
Die hier betrachtete SN3000 ist eines der mittleren Modelle. Sie kann auf 26 Ethernet-Ports (10/100/1000), sowie 16 Fiber-Ports (1 Gbit/s) oder 8 Fiber-Ports (10 Gbit/s) ausgebaut werden. Der Hersteller gibt für die Firewall einen Durchsatz von 50 Gbit/s an. Das IPS schafft laut Datenblatt 30 Gbit/s. Beim IPSec-VPN-Durchsatz erreicht die Appliance 6,5 Gbit/s.Als maximale Sessionanzahl wird mit 350.000 beziffert.
Inbetriebnahme und Konfiguration
Die Inbetriebnahme der SN3000 gestaltet sich einfach. Dazu ist die Appliance über einen bestehenden Netzwerk-Port mit dem Internet-Router oder Gateway zu verbinden.
Dies ist der Weg nach außen. Zur Verwaltung dient ein weiterer Port. Über diesen wird mittels Browser der Zugang zur Verwaltung der Appliance aufgebaut. Die Appliance umfasst einen DHCP-Server und bezieht ihre Adresse nach außen vom Router.Das Management der Security-Appliance erfolgt durch einen Webbrowser. Die Verwaltungsoberfläche ist modern und klar strukturiert. Im linken Fensterbereich sind die Verwaltungsgruppen aufgeführt, rechts daneben werden die jeweiligen Details dazu in mehreren Fenster eingeblendet. Am oberen Rand sind mehrere Icons zum direkten Aufruf von wichtigen Funktionen angebracht.
Dies ist ein gängiges Vorgehen, der Benutzer wird sich schnell damit zurechtfinden. Die Verwaltung des Systems erfolgt durch zwei wesentliche Bereiche. Auf diese soll im Folgenden kurz eingegangen werden. Der Leser kann daraus auch direkt die Möglichkeiten der Appliance ableiten. Unter der Rubrik "Konfiguration" sind eingruppiert:
Dashboard: liefert einen Überblick zu wichtigsten Ereignissen und zum Betrieb der Appliance. Die Konfiguration und Position von Fenstern kann wahlweise erfolgen. Der Anwender kann sich damit seine eigene Verwaltungsoberfläche individuell zusammenstellen.
System: Darin werden mehrere allgemeine Systemkonfigurationen zusammengefasst, wie etwa zu Lizenzen, Wartung, Update und ähnlichen Einstellungen. Dazu gehört auch die Konfiguration der Hochverfügbarkeit. Sie benötigt mindestens zwei Appliances.
Netzwerk: alles zu Netzwerkkonfiguration, Schnittstellen, Routing, DNS, DHCP und Proxy. An dieser Stelle sind auch virtuelle Schnittstellen für IPSec zu konfigurieren.
Objekte: Objekte sind übergreifende Konfigurationselemente, vergleichbar mit einem Alias. Sie treten an die Stelle von konkreten Einträgen wie IP-Adressen. Durch die Alias-Definitionen wird die Verwaltung sind an Benutzern oder Benutzergruppen ausgelegt. Ihre Verwaltung erfolgt an dieser Stelle.
Sicherheitsrichtlinien: Hierin werden die Regeln der Sicherheit festgelegt. Dabei wird beispielsweise festgelegt, wer mit wem über welchen Kanal kommunizieren darf oder nicht. Stormshield teilte diese Überwachung in fünf Filtertypen ein: Filter-NAT, URL-Filter, SSL-Filter, SMTP-Filter, QoS und implizite Regeln. Die Definition der Filter ist einfach und orientiert sich an den gängigen Abläufen.
Anwendungsschutz: In der Rubrik des Anwendungsschutz finden sich neben den traditionellen Sicherheitsfunktionen Antivirus und Antispam vier weitere Schutzfunktionen: Unter Protokolle erfolgt die Prüfung der Protokoll und deren Inhalte. In Anwendungs- und Schutzfunktionen sind allgemein Sicherheitsprüfungen wie etwa auf DNS-Spoofing zu finden. Im Vulberability Manager erfolgt die Prüfung der Geräte auf Schwachstellen.
VPN: Hier erfolgt die Definition der VPNs. Als IPSec-Durchsatz der SN3000 gibt Stormshield 6,5 Gbit/s an. Dabei sind maximal 5000 VPN-Tunnels möglich.
Benachrichtigungen: Im Reporting erfolgt eine Langzeitanalyse der Geschehnisse auf der Appliance. Reporting wird oftmals aber als Grundlage für die Abrechnung oder den Nachweis der Compliance herangezogen. Stormshield bietet darüber hinaus einen Realtime-Monitor und Event Analyzer. Der Realtime-Monitor dient zur Echtzeitüberwachung, und der Event Analyzer wiederum hilft bei der Ursachenforschung der Events. Die Activity Reports liefern Information zum laufenden Geschehen. Ferner stehen diverse Logging-Hilfen und eine Log-Appliance (Virtual Log Appliance for Stormshield) zur Verfügung.
Übergreifende Objekte vereinfachen die Verwaltung
Traditionelle Firewalls operieren oftmals mit IP-Adressen. Dabei wird festgelegt, welche IP-Adressen miteinander kommunizieren dürfen. In den Regeln der Firewalls werden dabei konkrete IP-Adressen hinterlegt. Wenn diese sich ändern, müssen die Regeln angepasst werden. Das ist zeitaufwendig. Stormshield bringt stattdessen Objekte ins Spiel.
Objekte sind dabei eine übergreifende Einrichtung, vergleichbar mit einem Alias. Objekte vereinfachen die Verwaltung. Wenn beispielsweise Regeln direkt mit IP-Adressen operieren, so sind alle Regeln zu ändern, wenn sich die IP-Adresse ändert. Durch die Einführung des Objektes ist die Änderung nur an einer Stelle notwendig. Objekte werden aber nicht nur für IP-Adresse definiert. Die Objektdefinition bestehen ferner für Netzwerke, Webelemente, Zertifikate oder Zeitangaben. Ein Zeitobjekt Mittagspause kann beispielweise verwendet werden, wenn den Mitarbeitern just in dieser Zeit der Internetzugang ermöglich sein soll. Ändern sich die Pausen, so muss lediglich das Objekt angepasst werden.
Regeln bestimmen die Kommunikation
Zu den grundlegenden Kontrollobjekten bei solchen Sicherheitseinrichtungen und auch der Stormshield-UTMs gehören die Kommunikationsregeln. In dieser Hinsicht ist die Verwaltung der Stormshield mit den Konzepten, wie sie bei ähnlicher Sicherheitseinrichtung anzutreffen sind, durchaus vergleichbar.
Die Regel beschreibt die erlaubten Kommunikationskanäle. Neben den bis dato erwähnten Sicherheitseinrichtungen umfassen die Stormshield-UTMs aber auch alle gängigen und von anderen Werkzeugen her bekannten Features. Dazu zählen die erwähnten Funktionen für Anti-Spam und Anti-Virus, das IPS, die Verwaltung von Zertifikaten für eine gesicherte Kommunikation, der Schutz vor Spoofing, die Verwaltung von VPNs und ähnliche Sicherheitshilfen.
Der integrierte Content Filter für Webzugriffe oder Applikationen untersucht den Kommunikationsstrom nach Angriffen und prüft Schlüsselworte, URLs, Domain Names oder beispielsweise Dateitypen. Alle Sicherheitsfunktionen hier aufzuschlüsseln wäre unmöglich. Die gezeigten Beispiele sollen lediglich aufzeigen, dass Stormshield in seinen UTMs ein umfassendes Paket an Security Features implementiert hat.
Fazit
Stormshield deckt mit seiner UTM alle benötigten und gängigen Sicherheitsfunktionen ab. Die zentrale und sehr modern aufgebaute Verwaltungskonsole vereinfacht die Administration. Der Administrator muss sich dabei nicht um unterschiedliche Tool-Sets bemühen, die mit einer eigenen Managementkonsole bedient werden müssen. Dies macht die Sache angenehmer. Die technischen Features der Appliances entsprechen denen eines ausgereiften Sicherheitssystems. Durch die Implementierung des Codes im Kernel wird genügend Leistung für umfangreiche Sicherheitsprüfungen bereitgestellt. Dennoch: Sicherheit ist kein einfaches Themen. Der Nutzer sollte mit den grundlegende Sicherheitskonzepten und deren Verwaltung vertraut sein. (hal)