Als Unified Threat Management (UTM) bezeichnet man kombinierte Sicherheitssysteme, die mehrere Sicherheitsfunktionen in einer Einheit bündeln. Dazu gehören meist Scanner für Viren, Spyware, Adware oder sonstige Malware. Hinzugepackt werden ferner oftmals Intrusion-Detection- und -Prevention-Systeme und natürlich Firewalls. Um die Verwaltung der unterschiedlichen Sicherheitssysteme zu vereinfachen, packt man sie oftmals in eine Einheit und unter eine gemeinsame Konsole zusammen. Häufig erfolgt das auch durch Partnerschaften mit anderen Unternehmen.
Als Grundlage für diesen Workshop haben wir exemplarisch die ProSecure UTM9S von Netgear verwendet. Anhand dieser Security-Appliance erläutern wir, wie eine UTM für den Betrieb konfiguriert wird. Die UTM9S-Appliance ist ein aktuelles UTM-Modell von Netgear, das zur Absicherung kleiner Unternehmen konzipiert wurde. Netgear stattet seine Sicherheitslösungen mit einer Proxy-Firewall, einem Intrusion-Prevention-System, E-Mail-Filter für Spam, Scanner gegen Malware. URL-Filter und die Hilfen für den Aufbau von VPNs aus. Diese oder artverwandte Funktionen gehören zur Standardausstattung moderner UTM-Appliances.
Die UTM9S im Detail
Geliefert wird die UTM9S-Sicherheitsbox als eigenständiges System. Die Abmessungen der UTM betragen 33 x 28,6 x 4,3 cm. Das Gewicht beträgt circa 2,5 kg. Aufgrund dieser Größe und des geringen Gewichts kann die Sicherheits-Appliance direkt im Büro platziert werden. Sie lässt sich aber auch in ein 19-Zoll-Rack integrieren. Auf der Rückseite des Gerätes befinden sich der Stromanschluss, der Ein/Aus-Schalter und ein serieller Port. Alle weiteren Anschlüsse sind vorne angebracht. Dies spricht somit für den Einbau in ein Rack mit Frontverkabelung. Auf der Vorderseite befinden sich ein USB-2.0-Anschluss, vier Gigbit-Ethernet-Ports für die LAN-Anschlüsse, vier Ethernet-Ports für den WAN-Zugang und die Kontrollleuchten für die Stromversorgung und einen Testmodus.
Foto: Netgear
Eine Besonderheit beim Modell 9S ist die modulare Erweiterbarkeit. Zwei Slots im vorderen Bereich können optionale Erweiterungsmodule aufnehmen. Diese werden - nach der Abnahme der Verblendung - direkt von vorne in die UTM gesteckt. Die uns zur Verfügung gestellte Box umfasste je ein Modul für Wireless-N-Zugang und VDSL. Netgear hat alle Ports mit 1-Gbit/sec-Interfaces und Kontroll-LEDs, die Auskunft über die Anschlüsse und Geschwindigkeiten geben, ausgestattet. Hinzu kommen 2 GByte Flash-Memory und 512 MByte RAM. Als maximalen Durchsatz gibt der Hersteller 130 Mbit/s für die Stateful-Packet-Inspection-Firewall an. Die Leistung des Virenscanners soll 21 Mbit/s betragen. Ferner sind bis zu 16.000 Concurrent Connections möglich. Der VPN-Durchsatz ist mit einem Durchsatz von 50 Mbit/s angegeben. Darüber hinaus lassen sich bis zu 255 VLANs definieren.
Einfaches Setup durch Assistenten
Die UTM9S bietet mehrere unterschiedliche Optionen für den Einsatz. Die sechs Interfaces lassen sich dazu wahlfrei beschalten. Sie können die Sicherheitsbox beispielweise zwischen zwei LAN-Segmenten oder auch als Edge-Security am Perimeter platzieren. Ferner gehören VPN-Funktionen zum Umfang des Systems. Im Rahmen unseres Workshops platzierten wir die Netgear-UTM als Security-Gateway zwischen dem internen LAN und dem WAN.
Zur Konfiguration des Sicherheitssystems wird lediglich ein Browser wie Firefox oder Internet Explorer benötigt. Ferner sollte man sich vorher über das Netzlayout Gedanken machen. Dazu gehören die IP-Adressen des internen Netzes (LAN), die WAN-Anbindung und weitere Konfigurationseinstellungen.die man vornehmen möchte.
Die vier LAN-Ports der UTM weisen zu Beginn die IP-Adresse 192.168.1.1 auf. Deren Subnet-Mask ist 255.255.255.0. Zum Umfang der Appliance gehört auch ein DHCP-Server. Dieser weist den Geräten an den LAN-Ports automatisch eine dedizierte IP-Adresse zu. Daher müssen Sie Ihren Rechner, mit dem Sie die erste Verbindung zur Netgear-UTM aufbauen, entweder als DHCP-Client einstellen oder ihm explizit eine IP-Adresse aus dem Segment 192.168.1.x zuweisen.
Nach diesen Konfigurationsvorarbeiten können Sie die erste Verbindung mit der UTM herstellen. Unser Verwaltungsrechner war als DHCP-Client konfiguriert. Er erhielt erwartungsgemäß eine zugewiesene IP-Adresse aus dem erwähnten IP-Segment, und zwar die IP-Adresse 192.168.1.2. Damit ist der Client-Rechner jetzt in der Lage, sich mit der UTM9S zu verbinden.
Der Aufruf der Verwaltungskonsole erfolgt über den IE-Webbrowser. Geben Sie dazu in der Adresszeile des Browsers die IP-Adresse der UTM9S ein: 192.168.1.1. Anschließend erscheint die Meldung bezüglich des Zertifikats der Website. Diese können Sie an dieser Stelle ignorieren. Im nächsten Schritt werden Sie nach den Zugangsberechtigungen gefragt. Diese sind in der Netgear-Voreinstellung admin und password. Achtung: Die Default-Login-Eingabe kann von Hersteller zu Hersteller variieren.
Aus Sicherheitsgründen sollten Sie das Passwort allerdings nach der Konfiguration sofort ändern. Damit haben Sie die Verbindung des Verwaltungsrechners zur UTM9S hergestellt und können nun mit der Konfiguration beginnen.
Nach dem Start der Verwaltungskonsole wird ein Dashboard mit dem Systemstatus angezeigt. Dieser gibt einen schnellen Überblick über den Systemzustand in Kurzform. Dazu zählt die Auslastung der CPU, des Arbeitsspeichers und der Platte. Darunter werden die offenen Verbindungen über die wichtigsten Protokolle wie SNMTP, POP3 HTTPS oder FTP angezeigt. In der obersten Zeile der Konsole befindet sich ein mehrstufiges Menü mit Untergruppen und Verwaltungsmasken. Diese Menüs sind in logische Bereiche gruppiert. Hierein finden Sie beispielsweise die Konfigurationsoptionen für das Netzwerk, die Netzwerksicherheit, die Sicherung des Applikationsverkehrs, die Verwaltung der Benutzer, VPNs und ähnliche Aufgaben.
Interaktives Setup
Zur Konfiguration der UTM9S stellt Netgear mehrere Varianten bereit: die manuelle Konfiguration, bei der Sie die Konfigurationsschritte manuell aufrufen und alle Parameter einzeln eintragen, und die assistentengestützte Konfiguration. Letztere steht aber nur für die wichtigsten Einstellungen mit der ersten Grundeinrichtung zur Verfügung. Die weiteren und fortgeschrittenen Einstellungen müssen dann über die Menüs durchgeführt werden.
Der Aufruf der Assistenten erfolgt über den Eintrag Wizard (rechts oben in der Menüzeile).Wenn Sie diesen Link aufrufen, startet ein Assistent. Dieser fragt zuerst, was Sie nun konfigurieren wollen. Sie können an dieser Stelle nun je einen Assistenten für die allgemeine Konfiguration der UTM, aber auch das Setup von IPSec VPNs und SSL-VPNs aufrufen.
Wir haben uns für die erstmalige Einrichtung der UTM für die assistentenbasierte Variante entschieden. Diese fragt alle wichtigen Konfigurationsparameter in einer Dialogfolge ab. Das vereinfacht das erste Setup des Systems enorm. Zusätzlich wird durch die Nutzung des Assistenten verhindert, dass der IT-Verwalter wichtige Einstellungen vergisst oder übersieht.
Zu den ersten Konfigurationsangaben, die durch den Assistenten abgefragt werden, gehören das Einrichten des Netzwerks und dessen IP-Adressen. Wenn Sie diese Einstellungen später ändern wollen, so können Sie den Assistenten erneut durchlaufen. Alternativ finden Sie diese Einstellungen aber auch unter der Option Network Config im Menübaum der Verwaltungskonsole.
An diese Stelle sehen Sie auch die Angaben zu dem oben erwähnten DHCP-Server. Dieser wird ebenfalls an dieser Stelle konfiguriert. Der Adressbereich und die Lease-Dauer werden an dieser Stelle eingerichtet. Sie können Adressbereich, DNS-Server und WINS-Server hier festlegen. Die Appliance unterstützt auch Dynamic DNS.
Nach dem Setup des LAN-Interfaces wird die WAN-Schnittstelle eingerichtet. Diese müssen Sie nun im zweiten Schritt konfigurieren. Verbinden Sie dazu einen der vorhandenen WAN-Ports der UTM9S mit Ihrem WAN. In unserem Beispiel war dies ein DSL-Router. Im nachfolgenden Dialog werden die WAN-Einstellungen vorgenommen. Dabei müssen Sie das WAN-Protokoll und die Zugangsinformationen für Ihren Provider eintragen. Weiter geht es mit der Konfiguration von Angaben zu Datum und Zeit; sie sind im nächsten Dialog anzugeben. An dieser Stelle können Sie auch einen NTP-Server eintragen, von dem die Zeit abgeholt wird.
Im nachfolgenden vierten Dialogschritt erfolgt die Basiskonfiguration zu den Applikations-Services. Darunter werden die Applikationsdienste zusammengefasst. Das sind Angaben zum E-Mail-Verkehr, zum Instant Messaging, Web-Browsing und zum Peer-To-Peer-Networking. Die Angaben, die hier zu erledigen sind, stellen nur die wichtigsten der möglichen Services dar. Für den Webzugang sind beispielsweise die Protokolle HTTP, HTTPS und FTP bereits im Dialog eingeflochten. Diese drei Protokolle stellen aber nur einen Ausschnitt aus den möglichen Webprotokollen dar. Über die individuelle Konfiguration können Sie darüber hinaus eine weitaus feinere Einstellung der Dienste vornehmen. Bezüglich der Instant-Messaging-Dienste hat Netgear im Assistenten die Dienste BiTorrent, eDonkey und Gnutella eingearbeitet.
Weiter geht es mit den Angaben zur E-Mail-Security. Dabei können Sie beispielsweise bestimmen, was mit infizierten Mails geschehen soll. So kann beispielsweise der infizierte Anhang einer Mail gelöscht werden, oder Sie blockieren die Mail vollständig. Die dritte Option ist die Protokollierung in den Systemlogs. In Schritt sechs geben Sie an, wie Sie den Webzugang via HTTP, HTTPS und FTP schützen wollen. Auch hierbei bietet Ihnen die Appliance durch den Assistenten bereits mehrere mögliche Aktionen an.
Die Konfiguration des URL-Filters erfolgt im nächsten Schritt. Hierbei hat Netgear bereits eine Reihe an wichtigen Einstellungen und Gruppen eingearbeitet. Dazu zählen beispielsweise die Gruppen für Werbung (Advertisment), Alkohol und Drogen oder Spiele. All diese lassen sich hier nun bereits selektieren. Weiter geht es mit der Benachrichtigung für den Administrator. An dieser Stelle kann eine E-Mail-Adresse hinterlegt werden, an die die UTM Statusmeldungen und Alarme versendet. Aufbau und Inhalt der Nachrichten sind weitgehend konfigurierbar. Die letzten Einstellungen beziehen sich auf das Update der Signaturen und Sicherheits-Engines.
Wenn Sie den Assistenten durchlaufen haben, wird die Appliance neu gestartet. Damit ist die Konfiguration abgeschlossen, und die Box kann nun eingesetzt werden. Sie erhalten dann eine vollständig konfigurierte und betriebsbereite Sicherheitsbox. Wenn noch nicht geschehen, so muss die Box nun richtig verkabelt werden. Wie erwähnt, haben wir sie als Überwachungsbox zwischen dem internen LAN und dem externen Internet platziert.
Manuelles Feintunig der Konfiguration
Die Konfiguration durch die Assistenten sorgt für eine schnelle Inbetriebnahme einer UTM. Doch oftmals ist es notwendig, weitere Feineinstellungen durchzuführen. Dazu müssen Sie die individuellen Konfigurationen über die Menüs vornehmen. Unter dem Bereich der Network Security finden Sie beispielsweise all jene Einstellungen, die die Kommunikation zwischen LAN-DMZ, LAN-WAN, DMZ-WAN regeln. Drei weitere Reiter, die mit Attack Checks, Session Limit und Advanced umschrieben sind, umfassen die wichtigsten Sicherheitsfunktionen in vorbereiteten Einstellungen. Zum Umfang der UTM gehören auch ein Intrusion Prevention System (PS), die Definition von Adressfiltern und Port Trigger.
Die Konfiguration der applikationsbezogenen Kommunikationseinstellungen finden Sie unter dem Reiter Application Security. Dazu gehört unter anderem die Absicherung des E-Mail-Verkehrs, des Webzugangs, von Instant Messaging, der Peer-to-Peer-Kommunikation sowie der Kommunikation via http/https. Eingeschlossen sind auch ein URL-Filter, ein Content-Filter und ein allgemeiner Malware-Scan. Netgear kooperiert in dieser Hinsicht mit Sophos, Commtouch und Mailshell.
Ferner erfolgen an dieser Stelle die Definition von Spamfiltern sowie die Verwaltung von Zertifikaten und vertrauenswürdigen Hosts. Diese Einstellungen entsprechen jenen, die Sie im Rahmen des Assistenten bereits vorgenommen haben.
Die Untersuchung des Datenstroms basiert auf der Stream Scanning- Technologie. Das Verfahren ermöglicht den Einsatz einer umfassenden Viren- und Malware-Datenbank. Ferner sorgt dies für einen hohen Durchsatz und reduziert gleichzeitig die Verzögerung (Latenzzeiten). Laut Netgear erreicht die Sicherheitsbox damit eine weitaus schnellere Untersuchung, als es bei den konventionellen Methoden erreichbar wäre.
Optionale Erweiterungen durch Einschubmodule
Die UTM ist wie oben erwähnt als modulares System gestaltet. Durch optionale Einschübe lässt sich deren Funktionsumfang erweitern. Im Rahmen dieses Workshop stellte uns Netgear zwei weitere Module für Wireless-N-Zugang und VDSL bereit. Um diese Funktionen zu aktivieren, müssen die Abdeckungen auf der Frontseite entfernt werden. Die Module lassen sich dann einfach von vorne in die Box einschieben und über die Verwaltungskonsole konfigurieren.
Durch Benutzergruppen und Benutzer lässt sich die Verwaltung der Appliance auf mehrere Schultern verteilen. Die UTM unterscheidet dabei nach einem allgemeinen Administrator, den VPN-Anwendern und einem Gast-Benutzer. Den Benutzern lassen sich individuelle Berechtigungen und Policies zuweisen. So kann beispielsweise festgelegt werden, dass ein Benutzer sich nicht über das WAN-Interface anmelden darf. Durch diese Policies, deren Gruppen und Benutzer lässt sich ein mehrstufiges und feingranulares Rechtesystem für die Verwaltung der UTM aufbauen. In größeren Umgebungen mit mehreren IT-Verantwortlichen sorgt das für die notwendige Klarheit.
Die Leistungsüberwachung der UTM9S erfolgt durch die integrierten Monitoring-Funktionen Durch das integrierte Dashboard erhalten Sie einen schnellen Überblick zu den wichtigsten Leistungsdaten. Um tiefer einzusteigen, sind Diagnosefunktionen, wie beispielsweise ein Traffic Meter, integriert. In diesem Bereich finden sich ferner die Logdateien und Protokolle. Ferner umfasst die UTM9S eine Vielzahl an weiteren Konfigurationsmöglichkeiten, die entsprechend den Unternehmensanforderungen angepasst werden müssen. (hal)