Feuerwehrparade

Firewalls sind sehr komplex und deshalb nur schwer zu vergleichen. Unsere Kollegen von der schwedischen Network World, "Nätverk och Kommunikation", haben das Unmögliche dennoch gewagt und neun Produkte auf Herz und Nieren geprüft.

Unser Vorhaben erfüllte uns gleichzeitig mit Stolz und Sorge. Denn einerseits testen nur wenige Zeitschriften so viele Firewalls auf einen Schlag, andererseits liefen wir bei dem Unternehmen Gefahr, Fehler zu machen. Was, wenn wir nur eine der zahlreichen Konfigurationsmöglichkeiten eines Kandidaten übersähen?

Um zu vergleichbaren Ergebnissen zu gelangen, beschränkten wir uns auf den Leitsatz, daß eine gute Firewall drei Eigenschaften hat:

- Sie ist einfach zu verwalten,

- läuft ohne Ausfälle und

- schützt zuverlässig.

Wie lange der Administrator braucht, den Wächter einzurichten, spielt eine untergeordnete Rolle, darf aber auch nicht übersehen werden. Einen Gewinner auszumachen war keine leichte Sache, denn alle Produkte hatten ihre guten und ihre schlechten Seiten. Wir achteten aber insbesondere auf die Pluspunkte der Wettstreiter.

Checkpoint: Firewall-1

Die Software des israelischen Herstellers Check Point ist einer der Giganten des Marktes. Unserem Eindruck nach fehlen der Version 4.0 für Windows NT jedoch die Zähne. Zwar sind Parallelen zur Solaris-Version deutlich zu erkennen, die Administration geht leicht von der Hand. Trotzdem erweckt das Produkt den Eindruck, daß es in seiner neuen Windows-NT-Umgebung noch nicht richtig zu Hause ist.

Im Gegensatz zu anderen NT-Firewalls verwendet das Checkpoint-Produkt keinen modifizierten TCP/IP-Stack, und auch das zugrundeliegende Betriebssystem bleibt unangetastet. Nach der Installation sollte die Software nur Pakete über den Port 80 passieren lassen, von und zum Web-Server unseres Testlabors. Trotzdem beantwortete die Firewall Anrufe auf zehn nicht zugelassenen Ports, und auch Ping-Pakete, die an ihre interne oder externe Netzwerkkarte adressiert waren.

Immerhin hielt Firewall-1 Ping-Kommandos vom geschützten Netz fern und an der Ausgangskontrolle gab es nichts zu bemängeln. Sobald eine IP-Adresse vom DHCP-Server (DHCP = Dynamic Host Configuration Protocol) zurückgenommen wurde, sperrte Firewall-1 alle damit verbundenen ausgehenden Datenpakete. Die Protokollfunktionen waren jedoch enttäuschend. Hätten doch die Testangriffe verschiedenste Log-Einträge hervorrufen müssen - wir konnten keine Meldungen finden.

Gute Verwaltungsmöglichkeiten

Die Dokumentation ist vorbildlich. Mit Hilfe der gut strukturierten Administrationsoberfläche kann der Anwender einfach Regeln für den Datenverkehr aufstellen und auch Router von Bay, Cisco und 3Com kontrollieren. Insgesamt ist Firewall-1 ein komplexes Werkzeug, dessen Stärken weniger in der Sicherheit, als vielmehr im Bedienkomfort liegen. Anwendern von Firewall-1 empfehlen wir einen Blick auf die Solaris-Version.

Cisco: Pix

Im Unterschied zu "Watchguard Firewall II" ist diese Hardwarevariante kein Coverboy. Ihr schlichtes, graues Gehäuse, das für 19-Zoll-Schränke gedacht ist, bietet Platz für mehrere Erweiterungskarten. Hinter einem Stück Blech an der Frontseite verbirgt sich ein Diskettenlaufwerk, über das der Anwender Konfigurationen einspielen kann.

Das Administrationsprogramm läuft in einem Web-Browser. Schade, daß die Software nur mit Windows NT Server funktioniert. Das zeitgemäße Java-Design schluckt außerdem förmlich die Systemressourcen und setzt 64 MByte Hauptspeicher voraus. Sobald wir das Programm zum Laufen gebracht hatten, arbeitete es zu unserer vollsten Zufriedenheit.

Cisco Pix machte einen robusten, zuverlässigen Eindruck. Bei unseren Belastungstests zuckte das Gerät höchstens mit den Schultern und wollte mehr. Auch Sicherheitstests brachten keine Fehler zutage. Zweifellos eignet sich das Produkt für große Installationen, denn es kombiniert mehrere Geräte in einem Cluster, so daß beim Ausfall eines Servers die übrigen Stationen den Schutz übernehmen.

Getrennte LAN-Zonen

Die Firewall sperrt unerwünschte Web-Adressen und erzeugt Berichte und Statistiken über Angriffe und andere Ereignisse. Der Anwender kann mehrere Netzwerkkarten installieren und auf diese Weise den Verkehr zwischen verschiedenen Zonen kontrollieren. Unter dem Gesichtspunkt der Leistung und der Sicherheit ist Pix von Cisco definitiv eine der besten Firewalls auf dem Markt.

CA: Guard-IT

Sollten Sie zu der wachsenden Schar von CA-Unicenter-Anwendern gehören, haben Sie mit der Software "Guard-IT" ein hervorragendes Tool im Werkzeugkasten. Im Betrieb übertraf die Firewall unsere Erwartungen und hat unser Netz auf vorbildliche Weise abgeschirmt; die Testsoftware biß auf Granit.

Selbständiges Frameworkmodul

Alarmmeldungen erreichen den Anwender per Mail, SNMP-Trap, Pager oder über die Unicenter-Konsole. Guard IT wurde für große IT-Umgebungen konzipiert, denn das Programm benützt allein zum Speichern der Regelwerke einen eigenen SQL-Server. Auf Wunsch verwaltet die Software Einstellungen des Benutzers aber auch in einer internen Datenbank. Die Software funktioniert ohne Unicenter, läßt sich aber zusammen mit dem Framework sehr komfortabel bedienen.

Cyberguard: Firewall for NT

Wie so viele andere Firewalls für Windows NT arbeitet das Programm mit einem abgewandelten TCP/IP-Stack, mit dem sie die Kommunikation zur und von der Firewall besser kontrolliert. Mit der Regel "alle Pakete sperren" reagiert der Rechner nicht einmal auf Ping-Anrufe. Mehr Sicherheit dürfte es wohl kaum geben.

Das Administrationsprogramm ist allerdings nicht gelungen. Der Anwender braucht viel Geduld, bis er sich zu den richtigen Menüs durchgeblättert hat, und er hat Mühe, bei den von ihm festgesetzten Regeln den Überblick zu bewahren. Eine grafische Schnittstelle würde vieles vereinfachen.

Sicheres Betriebssystem

Die Alarmfunktionen arbeiten ungenügend. Wir konnten sowohl auf die Firewall als auch auf den Web-Server in aller Ruhe einen Angriff nach dem anderen starten, ohne daß ein einziger Alarm ausgelöst worden wäre.

Dem Hersteller zufolge sind alle Alarmfunktionen in der Voreinstellung außer Kraft gesetzt, weil "es sich um ein professionelles Produkt für professionelle Administratoren handelt". Ein Plus, daß die Entwickler das Betriebssystem Windows NT sicherten und alle bekannten Sicherheitslücken schlossen. Bei den Funktionen für die Ausfallsicherheit haben sie jedoch gespart.

Sonic: Sonicwall

Der Hersteller Sonic schuf eine Hardware-Firewall, die in die Westentasche paßt. Die Installation ist sehr einfach. Das Gerät hat drei Anschlüsse: einen für das interne Netz, einen für das externe, und einen für die "demilitarisierte Zone" (DMZ). Die Verwaltung erfolgt über einen Java-fähigen Web-Browser.

Mit unseren Belastungstests konnten wir das Gerät schnell in die Enge treiben. Die Antwortzeiten waren zum Teil sehr hoch. Allerdings stürzte die Firewall bei den Tests weder ab, noch ließ sie gesperrte Datenpakete passieren. Außerdem antwortete sie in der Default-Einstellung nicht auf Ping-Pakete.

Anfangs arbeitete das Produkt zuverlässig. Nach einer Weile aber wollte die externe Netzwerkschnittstelle nicht mehr reagieren, ein Manko, daß weder ein Reset, noch ein Kaltstart beseitigten. Nach Rücksprache mit dem Hersteller bekamen wir eine neue Firewall mit aufgefrischter Software, und schon funktionierte alles bestens.

Vordefinierte Regeln

Das Gerät ist unserer Meinung nach noch nicht ausgereift. Es schafft sehr wohl die Standarddienste wie HTTP und FTP, aber es ist umständlich, neue Services und Regeln hinzuzufügen. Auch beim Protokollieren von Ereignissen arbeitet Sonicwall unsauber. Nur einen der Denial-of-Service-Angriffe notierte die Firewall. Häufiger registrierte sie Ping-Anrufe und Administrator-Logins. Der Anwender kann das kleine Gerät über die Web-gestützte Schnittstelle einfach installieren und verwalten. Die gebräuchlichsten Regeln sind dabei bereits vorgegeben.

Novell: Bordermanager

Die Software ist eigentlich am ehesten im Bereich "Proxy-Cache-Server" anzusiedeln. Ihre schützenden Funktionen brauchen allerdings den Vergleich mit handelsüblichen Firewalls nicht zu scheuen. Wie viele Programme für Netware erfordertBordermanager so manche Eingabe über die textbasierte Konsole. Bei der Installation betrifft das hauptsächlich die Grundeinstellungen für TCP/IP. Die restlichen Arbeiten erledigt der Administrator mit "Nwadmin", dem Universaltool für Netware, und die Firewall bezieht ihre Konfiguration vom Verzeichnisdienst "Netware Directory Services" (NDS).

Stabiler Server

Bordermanager sperrt in Abhängigkeit von der Tageszeit den Datenverkehr zu unerwünschten Domänen und blockiert IP-Adressen. Bei Netware 5 gibt es an der Sicherheit nichts auszusetzen. Keines unserer Testprogramme brachte den Server aus der Bahn, und auch die Belastungstests verliefen perfekt.

Watchguard: Firebox

Firewalls von Watchguard haben den Ruf hübscher, blinkender Kästchen. Zweifellos will das rote Outfit mit den spannenden Lämpchen Eindruck schinden. Das Ding sieht in der Tat scharf aus, wir sind hin- und hergerissen.

Der CD-ROM liegen verschiedene hilfreiche Werkzeuge bei, wie ein Programm zum Auswerten von Paketstatistiken oder ein Tool, das grafisch verdeutlicht, was die Firewall gerade tut. Die Installation des Verwaltungsprogramms SMS hatte ihre Eigenarten und auch die Konfiguration der Firewall war nicht einfach. Sobald wir das Prinzip aber verstanden hatten, lief alles nach Plan.

Angepaßtes Linux

Die Firewall für kleinere und mittlere Unternehmen arbeitet auf der Grundlage des Betriebssystems Linux, das die Entwickler zu Gunsten der Sicherheit ein wenig abgespeckt haben. Das Administrationsprogramm SMS ist gut strukturiert und leicht zu bedienen. Durch den Service "Live Security" erhält der Anwender über eine verschlüsselte Verbindung Updates der Firewall automatisch über das Internet.

Lucent: Portmaster IRX

Im Gegensatz zu Firebox II von Watchguard nimmt sich auch dieses Gerät eher bescheiden aus: Es ist unaufdringlich, schlicht und glänzt nicht mit blinkenden Frontleuchten. Damit der Anwender aber erkennt, ob die Firewall angeschaltet ist, muß er sich entweder mit Telnet von einem anderen Rechner aus einloggen, oder einen Blick auf die Spannungskontrolleuchte an der Rückwand werfen.

Guter Router

Umständlich war die Einstellung auf das richtige Netzwerkmedium, die man mit Schaltern auf der Rückseite vornimmt. Der Verwalter kann das Regelwerk über Telnet oder über ein grafisches Administrationsprogramm definieren. Leider unterscheiden sich die beiden Möglichkeiten nicht sehr voneinander, denn das grafische Tool erfordert wie Telnet die Eingabe von Befehlen. Und weil sinnvolle Default-Regeln für HTTP und FTP fehlen, muß der Benutzer vieles von Hand eingeben. Gemäß der Voreinstellung läßt die Firewall zum Beispiel Ping-Anrufe an die externe und die interne IP-Adresse zu. Schade, daß die Konfiguration so viel Aufwand erfordert. Das Gerät mag ein guter Router sein, als Firewall können wir es nicht empfehlen.

Axent: Raptor

Will man eine Firewall über Windows NT laufen lassen, muß man schon etwas dafür tun. Dies gilt insbe-sondere für den Raptor von Axent. Zuerst mußten wir Servicepack 3 für NT installieren, und anschließend die Upgrades des Servicepacks 4 einzeln einspielen, weil die Firewall mit dem jüngsten Patch-Paket nicht zurechtkommt.

Nachdem es mit der Verwaltungsschnittstelle einige Probleme gab, wird jetzt die Management-Konsole von Microsoft verwendet, mit einem zufriedenstellenden Ergebnis. Die Note "zufriedenstellend" würden wir auch den Redundanzfunktionen von Raptor erteilen. Über ein Interface für die Cluster-Software "Wolfpack" von Microsoft arbeitet die Firewall auf Verbänden von NT-Servern.

Bei unseren Belastungstests und Einbruchsversuchen benahm sich die Firewall vorbildlich. Nicht zu verstehen, daß die externe Netzwerkkarte auf Ping-Anrufe reagierte. Auch andere Ports antworteten auf Anfragen. Und dabei verspricht der Hersteller, daß die Software nach der Grundinstallation "alle Pakete sperrt".

Viele Extras

Die Protokollierfunktionen erwiesen sich als ausgezeichnet, denn jeder Versuch des Eindringens wurde von der Firewall registriert.

Wer denkt, daß eine Firewall viele Funktionen haben muß, dem wird die Software wegen ihrer diesbezüglichen Überfülle gefallen. Beispielsweise hat sie einen VPN-Modus für mobile Anwender. Die Dokumentation kann sich ebenfalls sehen lassen. Drei Handbücher beschreiben alles in ausgezeichneter Weise. (kpl)