Von: Bernd Klusmann, Christoph Lange
Hauptaufgabe von Firewalls ist die Sicherung von Unternehmensnetzwerken vor Angriffen aus dem Internet. Appliances vereinigen die hierfür nötige Hard- und Software in einer Box. Aufgrund der Konzentration auf ein Spezialgebiet sollen diese Geräte im Vergleich zu größeren und komplexeren Firewalls einfacher zu installieren und zu konfigurieren sein - im Idealfall also Plug and Play. Dies versprechen zumindest die Marketingbroschüren der Hersteller. Damit sind Appliances besonders für kleinere und mittelständische Unternehmen interessant, die einfach zu bedienendes Equipment benötigen, weil eigene Sicherheitsexperten die Ausnahme sind.
Das Appliance-Konzept besagt, dass ein Gerät vorrangig für eine Aufgabe zuständig ist. Viele Hersteller implementieren jedoch neben dem eigentlichen Paketfilter weitere Dienste, zum Beispiel Mailserver, Webserver oder Fileserver. Die Idee eines einfach zu bedienenden Spezialgeräts wird damit aufgegeben. Bei den vom NetworkWorld Partner Lab EANTC durchgeführten Tests haben wir dennoch besonderen Wert auf die Handhabung der Geräte gelegt (Installation, Konfiguration, Verwaltung), da dies für die Zielgruppe von Appliances ein wichtiges Kaufkriterium ist.
Um die Performance zu ermitteln, testeten wir verschiedene Parameter bei der Weiterleitung von IP-Paketen sowie die Skalierbarkeit beim Auf- und Abbau von TCP-Verbindungen. Wie im Einleitungsartikel ausführlich beschrieben, analysieren die IP-Leistungsmessungen den Durchsatz und die Paketlaufzeiten der Firewalls mit und ohne Verschlüsselung (siehe Seite 71). Die TCP-Session-Rate-Tests zeigen, wie viele gleichzeitige TCP-Sitzungen die Firewall unterstützt, mit welcher Rate die Verbindungen aufgebaut werden, und wie lange der Verbindungsaufbau im Durchschnitt dauert.
Die Testkandidaten
Der deutsche Hersteller Linogate hat mit "Defendo" einen Internet-Appliance-Server entwickelt. Das Produkt wird in den Varianten "Defendo small" für 20 Benutzer, "medium" für Netze mit bis zu 50 Anwendern und "large" für bis zu 250 Nutzer angeboten. Es ist über Vertriebspartner sowohl im Inland als auch im europäischen Ausland erhältlich. Die Partner können Defendo als Softwarelizenz auf eigene Hardware portieren.
Zusätzlich zu den Firewall-Funktionen stellt Defendo einige Serverdienste zur Verfügung, unter anderem Mail, DHCP, FTP, Caching-DNS, Proxy-Cache und Webserver. Während der Tests waren diese Zusatzfunktionen deaktiviert, sodass die Messergebnisse davon nicht beeinflusst wurden.
"Sonicwall Pro" ist eine Internet-Security-Appliance von Sonicwall. Neben dieser Firewall für den Zugangsschutz hat Sonicwall weitere Sicherheitslösungen im Programm, beispielsweise ein globales Security-Managementsystem oder Geräte, die auf die Transaktionssicherung spezialisiert sind (SSL).
Die Produktpalette deckt ein breites Spektrum ab, vom Heimarbeiter ("Sonicwall Tele2") über kleine bis mittelständische Unternehmen ("Sonicwall Soho" und die getestete "Sonicwall Pro") bis zu größeren Unternehmen ("Sonicwall Pro VX" und "Sonicwall GX"). Die beiden letztgenannten Produkte erzielen durch spezielle Hardware eine leistungsfähigere Verschlüsselung.
Handhabung der Firewalls
Die ersten Plug-and-Play-Schritte bei der Installation der beiden Testkandidaten bereiteten keine Probleme. Um die Verbindung zum Gerät herzustellen, ist weder zusätzliche Software noch Fachpersonal nötig. Sollten dennoch Fragen auftauchen, helfen die mitgelieferten Handbücher der beiden Hersteller schnell weiter.
Sowohl Linogate als auch Sonicwall liefern die Firewall-Appliances mit einer voreingestellten IP-Adresse aus. Für die Umstellung auf den im Unternehmen genutzten Adressbereich war bei beiden Herstellern weder Zusatzsoftware noch eine serielle Verbindung nötig. Sobald die IP-Adresse zugeteilt ist, lassen sich die Geräte von beliebigen Rechnern aus per Browser konfigurieren. Dies ist bei beiden Systemen erst nach einer passwortgeschützten Anmeldung als Administrator möglich.
Linogate Defendo
Defendo bietet neben dem üblichen Zugriffsverfahren per Secure HTTP einen Monitor- und Tastaturanschluss zur Wiederherstellung des Systems nach einer Fehlkonfiguration. Die Appliance basiert auf Linux, die Bedienung ist deshalb für Unix-Kenner einfach. Die Konfiguration kann auf zwei Wegen erfolgen. Standardeinstellungen lassen sich über Browser-gestützte Assistenten erledigen, die bei LAN-Anbindung, Fernwartung, Internetzugang- und E-Mail-Einrichtung helfen. Die verfügbaren Optionen werden im unteren Bereich der Konfigurations-Websites ausführlich erläutert. Eine Online-Hilfe ist darum an dieser Stelle nicht nötig, auch weniger versierte Anwender finden sich zurecht. Für individuelle Einstellungen wählt man die einzelnen Module, zum Beispiel "Schnittstellen", "Firewall" oder "DNS". Diese bieten jedoch keine detaillierten Erklärungen, eine Online-Hilfe wäre deshalb hier wünschenswert.
In Problemfällen kann der Administrator den integrierten ISDN-Fernwartungszugang aktivieren und so eine Ferndiagnose ermöglichen. Auf diesem Weg lässt sich die komplette Firewall verwalten. Während der Tests nutzte Linogate diesen Zugang, um die Firewall-Konfigurationen mit dem EANTC abzustimmen. Dies hat insbesondere die gemeinsame Fehlersuche mit dem Hersteller stark vereinfacht.
Zur Konfiguration der Appliance nutzten wir den Expertenmodus der einzelnen Module. Die Parameter für die LAN- und WAN-Schnittstellen lassen sich sehr intuitiv einstellen. Schwieriger war es, die richtigen Firewall-Optionen zu wählen. Abhängig von der Auswahl der vordefinierten Sicherheitsstufen für eine Schnittstelle bietet das System unterschiedliche Menüpunkte. Bei einer hohen Vertrauensstufe lässt die Firewall fast alle Pakete durch, über das Menü sind nur relativ wenig Parameter konfigurierbar. Anders sieht es mit der niedrigen Vertrauensstufe aus: Hier ist fast alles verboten, weshalb sehr viele Menüpunkte vorhanden sind, um die gewünschten Verkehrsarten einzeln freizuschalten. Die Konfigurationsoberfläche war an dieser Stelle kaum noch selbsterklärend. Da auch das Handbuch nicht weiter half, sprachen wir die Einstellungen mit dem Hersteller ab.
Um VPN-Verbindungen aufzubauen, werden IPSec-Schnittstellen konfiguriert, die auf einer Netzwerkschnittstelle basieren (zum Beispiel eth0). Dabei legten wir auch die Adresswerte der VPN-Verbindung fest, den Übertragungsmodus, die Identifikationsschlüssel und die Parameter für den Schlüsseltausch. Für die Einrichtung einer größeren Anzahl von VPN-Verbindungen ist kein separates Softwaremodul vorhanden. Sie sollte deshalb von einem Experten vorgenommen werden.
Sonicwall Pro
Die Firewall-Appliance "Sonicwall Pro" war während der Erstinstallation ebenfalls sehr einfach zu bedienen. Sie ließ sich ohne Fachkenntnisse und ohne Zusatzsoft-ware anschließen und in Betrieb nehmen. Nach der Anpassung der IP-Adresse mithilfe eines Browser-gesteuerten Skripts war das Gerät von jedem Rechner des Testnetzes aus per Browser zugänglich.
Eine Unterstützung durch Konfigurations-Assistenten bietet Sonicwall zwar nicht an, dafür steht in allen Fenstern eine Online-Hilfe zur Verfügung. Die Eingabe von Regeln erfolgt in selbsterklärenden Menüs. Eine Liste aller derzeit vorhandenen Regeln verschafft dem Administrator einen schnellen Überblick. Auch bei der Konfiguration von VPN-Verbindungen führen einfache Menüs den Benutzer schnell zum Ziel. Ähnlich wie bei Defendo lässt sich der Status der VPN-Verbindungen über eine Monitoring-Funktion anzeigen.
Weiterhin fiel das kompakte Design der Sonicwall Pro auf. Mit einer Höhe von nur etwa 2 Zoll benötigt die Appliance nur wenig Platz im Rack. Der Hersteller bietet zudem als Option an, zur Ausfallsicherung zwei Sonicwall-Geräte über ein spezielles Protokoll parallel zu betreiben.
IP-Leistungsmessungen
Die Ergebnisse der IP-Performance-Messungen zeigen deutliche Unterschiede auf. Der Einbruch bei mit 3DES verschlüsselten Übertragungen war zu erwarten. Interessant sind die Differenzen zwischen den beiden Herstellern. Während die Linux-gestützte Defendo bei einer verschlüsselten Verbindung im unidirektionalen Betrieb noch 21 Prozent Durchsatz schaffte - mit einer Fast-Ethernet-Anbindung sind das 21 MBit/s - erreichte Sonicwall hier nur 4 Prozent beziehungsweise 4 MBit/s. Dies deckt sich mit den vom Hersteller für 3DES angegebenen Werten. Auch beim Vergleich der verschlüsselten mit den unverschlüsselten Verbindungen stellten wir große Unterschiede fest. Während bei Defendo der Durchsatz mit Verschlüsselung um den Faktor 4,5 bis 6 zurückgeht, je nachdem ob die Daten uni- oder bidirektional gesendet werden, liegt dieser Faktor bei Sonicwall zwischen 8 und 16.
Anzumerken ist, dass wir bei Defendo für die Messungen ohne Verschlüsselung einen reinen Routingmodus wählten. Dieser steht bei Sonicwall nicht zur Verfügung. Um trotzdem Messungen mit unverschlüsselter Übertragung in einer Back-to-Back-Konfiguration durchzuführen, stellten wir die Option "IPsec Encapsulating Security Payload (ESP)" mit "NULL Encryption" ein. Dadurch wurde die Verschlüsselung deaktiviert. Dieses Verfahren garantiert die Authentizität und Integrität der Daten, codiert sie aber nicht. Der Nachteil liegt in der etwas geringeren Performance. Der tatsächliche Durchsatz des Paketfilters ohne Tunneling dürfte deshalb etwas höher liegen als die von uns gemessenen Werte.
Auch bei der Latenz, also der Paketlaufzeit, unterschieden sich die Hersteller deutlich. Die Geräte von Linogate erreichten mit verschlüsselten Verbindungen 2,5 ms im unidirektionalen und etwa 8 ms im bidirektionalen Betrieb. Damit ist die Durchlaufzeit um den Faktor 5 besser als bei den Appliances von Sonicwall. Diese Leistungsdifferenzen lassen sich auf die Systemleistung der Testkandidaten zurückführen. Linogate liefert Defendo mit einem 700-MHz-Prozessor und 64 MByte Arbeitsspeicher aus, während Sonicwall nur mit einem 233-MHz-Prozessor und 8 MByte RAM arbeitet.
Bei den verschiedenen IP-Forwarding-Tests, die wir auch mit 80- und 1518-Byte-Paketen durchführten, traten einige Probleme auf. Defendo hatte Schwierigkeiten mit einer Netzwerkkarte. Eine Testreihe mit 1518 Byte großen Paketen ergab einen Durchsatz von null Prozent. Nach einer Untersuchung, in die der Hersteller über den Fernwartungszugang eingebunden war, vermuten wir einen technischen Defekt der Netzwerkkarte.
Sonicwall konnte mit 1518-Byte-Paketen keinen Durchsatz erzielen, das heißt, auch bei geringster Last wurde kein Paket korrekt übertragen. Der Grund: Bedingt durch einen Offset, der durch das Tunneling entsteht, wird die ursprüngliche maximale Paketlänge von 1518 Byte vergrößert, und zwar sowohl mit 3DES-Verschlüsselung als auch mit ESP NULL. Um dieses übergroße Paket auf einer Verbindung mit einer MTU-Size (Maximum Transmission Unit) von 1500 Byte zu übertragen, müsste es geteilt (fragmentiert) werden.
Die Paketgrenze von 1500 Byte entspricht mit dem MAC-Header (Medium Access Control) von 14 Byte und der Check-Summe von 4 Byte unserer Paketgröße von 1518 Byte. An dieser Stelle trat das Problem auf, dass die zum Zeitpunkt der Tests vorliegende Firmware 6.0.x.x Pakete, die in die Tunnel gesendet werden sollen, nicht fragmentiert. Dies stellt unserer Meinung nach eine erhebliche Beeinträchtigung der VPN-Funktion von Sonicwall dar. Laut Hersteller soll dieses Problem mit der seit kurzem erhältlichen Firmware 6.1.2.0 gelöst sein.
TCP-Session-Rate-Tests
Zunächst testeten wir bei beiden Geräten die maximale Anzahl der gleichzeitig unterstützten TCP-Verbindungen. Während Defendo nur auf 4096 Sessions kam, erreichte Sonicwall 6144 gleichzeitige Sitzungen. Ausgehend von diesen Eckwerten konfigurierten wir Testreihen mit maximal 1000, 4096 und 6144 Verbindungen. Diese Tests führten wir mit beiden Firewalls einmal ohne und einmal mit 20 Regeln durch (die 6144 Verbindungen testeten wir nur mit Sonicwall). Die Systeme konfigurierten wir so, dass die ersten 19 Regeln keine Übereinstimmung ergaben, und erst bei der 20. Regel die Verbindung durchgelassen werden sollte.
Während der einzelnen Testläufe erhöhten wir die Anzahl der Verbindungsaufbauten pro Sekunde stetig, bis erste Sessions verloren gingen. Beide Geräte erreichten hier Werte von einigen tausend Verbindungen pro Sekunde. Dass dieser Leistungsbereich noch für weitere Produktgenerationen ausreichen dürfte, verdeutlicht folgende Berechnung:
Ein Webserver mittlerer Größe, zum Beispiel die Site www.leo.org der TU München, hat etwa eine Million Verbindungsanfragen pro Tag. Geht man davon aus, dass diese hauptsächlich während der Kernarbeitszeiten eingehen, ergibt sich ein durchschnittliche Request-Rate von etwa 30 Verbindungen pro Sekunde. Die maximalen Aufbauraten liegen bei Defendo zwischen 15 000 und 18 000 Requests pro Sekunde, bei Sonicwall zwischen 4000 und 5500. Sonicwall kann also mehr parallele Verbindungen aufbauen, erreicht aber nicht die Aufbauraten von Defendo.
Die obenstehende Tabelle zeigt die Ergebnisse der Session-Rate-Tests für eine Messung mit 5000 Requests in einer Sekunde. In den Tabellenfeldern der beiden Testkandidaten sind für die beiden Kategorien "keine Regeln" und "mit Regeln" folgende Werte untereinander dargestellt:
- die Gesamtanzahl der aufgebauten Verbindungen;
- der Anteil der aufgebauten Verbindungen an den gesamten Verbindungen;
- durchschnittliche Aufbauzeit für die Verbindungen.
Bei dieser Aufbaurate verliert Defendo keine einzige der angeforderten Verbindungen. Sonicwall zeigt insbesondere dann einen Verlust, wenn ein IP-Client eine größere Anzahl von Verbindungen aufbauen will. Mit einer Rate von 6144 Verbindungen pro Sekunde kann ein Client nur 95 Prozent der Verbindungen erfolgreich etablieren. Steigt die Aufbaurate auf 10 000 Verbindungen pro Sekunde, sinkt der Anteil der erfolgreich initiierten Sitzungen auf 31 Prozent.
Eine Mischung von erlaubten mit verbotenen TCP-Verbindungen zeigt ebenfalls unterschiedliche Ergebnisse. Defendo kann bei 5000 Requests pro Sekunde alle 1000 legalen Verbindungen aufbauen, dies entspricht 20 Prozent der gesamten Sessions. Sonicwall schafft hier mit 510 Verbindungen nur etwa die Hälfte. Bei 1000 Requests pro Sekunde baut auch Sonicwall alle legalen Sitzungen auf.
Die Messungen der mittleren Aufbauzeiten von TCP-Verbindungen zeigen keine signifikanten Unterschiede zwischen den beiden Appliances. Das Verhältnis, mit dem dieser Wert bei einer größeren Anzahl von IP Clients steigt, ist, von geringen Abweichungen abgesehen, gleich.
Fazit
Bei der abschließenden Bewertung ist zu beachten, dass die beiden Firewalls aufgrund ihrer Hardwareausstattung, insbesondere der Prozessorleistung, in unterschiedlichen Leistungsbereichen liegen. Defendo ist von Prozessortyp und Speicherausbau her so konzipiert, dass sich neben einer leistungsfä-higen Paketfilterung zusätzliche Dienste wie Web-, FTP- oder E-Mail-Server betreiben lassen. Da die Tests jedoch ohne Belastung dieser Serverdienste durchgeführt wurden, hatte Defendo im Vergleich zu einem Volllastbetrieb noch Leistungsreserven.
Aufgrund dieser architekturbedingten Unterschiede erzielte Defendo bei allen Tests, die eine höhere Performance benötigen, bessere Resultate. Dies gilt sowohl für die IP-Leistungsmessungen mit und ohne Verschlüsselung als auch für die Tests der Aufbauraten von TCP-Verbindungen. Lediglich bei der Summe der parallel möglichen Sessions hatte Sonicwall die Nase vorne. Welche Firewall- und Verschlüsselungs-Performance Defendo bei einem gleichzeitigen Betrieb von Web-, FTP- und Mailserver erreicht, wurde nicht getestet.
Bei den Ergebnissen der IP-Leistungsmessung ist zudem relativierend zu berücksichtigen, dass die Geräte in den meisten Fällen nicht über 100-MBit/s-Fast-Ethernet mit dem Internet verbunden sind, sondern über ADSL- oder 2-MBit/s-Standleitungen. In der Bewertungskategorie "Handhabung und Service" gewichteten wir die exzellente Qualität des deutschen Supports von Defendo etwas höher als die intuitive Menüführung und die sehr gute Online-Hilfe von Sonicwall.
Zur Person
Bernd Klusmann
studierte an der TU Berlin Elektrotechnik und ist als Projektmanager beim EANTC tätig.