In keinem anderen Firewall-Segment ist die Anbieterdichte größer als im Soho-Bereich. Niedrigpreis und intelligente Funktionen prallen direkt aufeinander. Der Preis allein sollte zumindest bei größeren Projekten den Management- und Ausfallfunktionen des IPsec-VPNs Platz machen.

Außenstelle ist ein harmloses Wort, in den Ohren eines IT-Administrators mag es jedoch unangenehme Assoziationen wecken. Es ist der Ort, den er nicht einblickt, nicht vollständig kontrolliert. Es ist ein fremder Ort, der aus Sicherheitssicht das Potenzial besitzt, das zentrale Netzwerk nachhaltig zu schädigen. Zumindest skeptische Vorsicht ist angebracht bei den Aktionen und gewiss den Daten, die die Mitarbeiter der Außenstellen in das Netz der Firmenzentrale einlagern, einschleusen oder herauslotsen. Denn auch wenn diese fernen User ihre Unterschrift unter die unternehmensweit gültige Unternehmenspolitik und Sicherheitsrichtlinie setzten, die ihnen granuliert offenbart, was sie denn tun und zu unterlassen haben, bleibt nichtsdestotrotz für den zentralen Administrator verborgen, ob sie sich daran halten. Ihre Daten und Aktionen bleiben verdächtig.

Ihr Netz und die darin platzierten Remote-PCs müssen daher in gewisser Weise geschützt werden, um deren Integrität zu wahren. Zu diesem Zweck hat die Industrie Soho-Firewalls entwickelt. Sie koppeln die Außenstelle und Teleworker-Arbeitsplätze per DSL, ISDN oder Frame-Relay an die zentrale Firewall in der Zentrale. Sie beherrschen – als kleine Appliance konzipiert – neben den traditionellen Perimeter-Disziplinen inzwischen auch Viren- und Content-Scanning sowie Spam- und URL-Blocking, das ein Partner des jeweiligen Firewall-Herstellers einbringt. Abgespeckte Intrusion-Prevention-Scanner sollen zusätzlich Angriffe auf Applikationen der Außenstelle stoppen. Alle diese Disziplinen sollen Hand in Hand die Außenstelle vor den neuen Internetgefahren schützen und zumindest ein akzeptables Sicherheitsniveau etablieren.

Allesamt wichtige Zusatzfunktionen, mit denen sich die Hersteller von der Konkurrenz abgrenzen wollen. Dies ist gerade im Soho-Segment wichtig, da hier große Netzwerkhersteller direkt auf die Lowend-Anbieter prallen. Allein ein Blick in die Regale des Retail-Marktes zeigt, wie stark die Konkurrenz beispielsweise im DSL-Firewall-Routerbereich ist. Kann aber ein System, das für den privaten DLS-Anchluss daheim genügt, den Bedingungen in einem Geschäftsnetz gerecht werden? Wenn die Außenstellen und Teleworker darauf verzichten können, möglichst ausfallsicher an die Zentrale angebunden zu sein, denkbar. Am Ende hat die Praxis aber immer bewiesen, dass sich fehlende Funktionen und Managementstärke in den Betriebskosten rächen und die Einsparungen bei den Investitionen langfristig zerstören.

Differenzierungspotenzial

Der Unterschied zwischen den beiden Lagern wird im VPN- und Management-Segment offensichtlich. Fortschrittliche Konzepte greifen dem Administrator schon beim Enrollment der Appliances unter die Arme, um vor allem große Projekte zu erleichtern. Die Anschlüsse an den Boxen sind farblich kodiert, ein Poster zeigt, welche Kabel wo eingesteckt werden müssen. So ist auch ein unbedarfter Anwender in der Lage, die Firewall in das Netz und an das WAN zu binden.

Bevor er die Appliance per Post bekommt, wird sie mit Grundkonfigurationen wie der IP-Adresse des Management-Servers und einem Authentifizierungsmerkmal versehen. Einige Anbieter greifen bereits auf digitale Zertifikate zurück, die weitaus sicherer sind als jedes Passwort. Ist die Box einmal richtig verkabelt, meldet sie sich beim Management-Server an und lädt ihre aktuelle Policy herunter. Ein sternförmiges VPN ist mit dem Konzept schnell und elegant aufgesetzt.

Noch stärker tritt das Differenzierungspotenzial bei vermaschten VPNs zu Tage. Bei kostengünstigen Appliances ist es nicht unüblich, dass der Administrator bei jedem WAN-Interface alle Peer-Details manuell konfigurieren muss – unabhängig von der Größe des VPNs ein großer Arbeitsaufwand, gerade im Fehlerfall. Muss das WAN-Interface einer Appliance modifiziert werden, so muss die Konfiguration jedes anderen WAN-Interfaces angepasst werden, das mit dem betroffenen Pendant in Beziehung steht. Es gibt Anbieter, die hierfür inzwischen clevere Lösungswege gefunden haben, sei es, indem die Peers sich automatisch erkennen und alle Parameter inklusive der Verschlüsselung untereinander aushandeln. Am Ende trennt sich bei vermaschten VPNs die Spreu vom Weizen.

Ähnliches gilt für Failover-Funktionen. Wenn sich ein Unternehmen wegen des Geschäftsmodells nicht leisten kann, dass seine Außenstellen und Teleworker über einen gewissen Zeitraum keine Daten schicken oder synchronisieren können, muss es nach ausfallsicheren VPN-Ansätzen suchen. Einige Hersteller, hierzu gehören vor allem jene mit ISDN-Remote-Access-Erfahrung, haben intelligente Mechanismen entwickelt.

Einige initiieren über ein per seriellen Port angebundenes Modem eine analoge oder ISDN-Verbindung in die Zentrale, sobald die Hauptleitung wegbricht. Monitoring- und Heartbeat-Funktionen überwachen die Hauptleitung, um den Ernstfall schnell zu bemerken und die Transferqualität zu kontrollieren. Die aktuellen Sessions sind in diesem Fall natürlich verloren und die alternative Bandbreite geringer als die der Hauptstrecke. Nichtsdestotrotz sind die Außenstellen weiter online, wobei einige Hersteller sogar per Bandbreitenmanagement wichtigen Anwendungen die knappen WAN-Ressourcen großzügiger zuteilen als einem als unwichtig definiertem HTTP- oder FTP-Transfer.

Wer selbst bei der redundanten Leitung auf Bandbreite nicht verzichten will, der weicht auf Lösungen aus, die beispielsweise zwei DSL-Leitungen terminieren. Möglichst von zwei verschiedenen Providern, um deren interne Probleme abzufedern. Auch hier können einige Hersteller im Ernstfall per Bandbreitenmanagement den wichtigen Daten Priorität einräumen.

In der höchsten Redundanzstufe schalten einige Hersteller zwei ihrer Boxen in einem Cluster zusammen. Alle bieten zumindest ein Hotstandby-Modell an, bei dem eine primäre Box die ganze Arbeit abwickelt, während die sekundäre passiv auf den Ernstfall wartet. In dem Fall wirken sich die Investitionen für die zweite Box kaum aus, da sie nur im Ernstfall aktiv wird. Deswegen bieten einige Hersteller auch ein Aktiv-Aktiv-Modell an, in dem beide Appliances Daten verarbeiten und die eine im Fehlerfall für die andere einspringt. Unabhängig vom Failover-Modell kontrollieren beide einander per Heartbeat-Protokoll, um sich über den gegenseitigen Zustand zu informieren.

Hauptverwaltung

Eine ungemanagte Firewall verliert ihren Sinn. Deswegen kommt den Verwaltungsfunktionen der Soho-Appliances ebenfalls eine wichtige Rolle zu. Zu allerst ist es wichtig, bei Problemen generell noch auf das System zugreifen zu können. Nur so erhält man einen Einblick, ohne vor Ort sein zu müssen. Auf Out-of-Band-Management kann man daher kaum verzichten. In dem Fall baut die Appliance meist über ein analoges Modem, das an dem seriellen Port angeklinkt ist, eine WAN-Verbindung auf. Über die kann der Administrator die Box erreichen und den Status abfragen. Dies geschieht in der Regel per Command-Line-Interface. Damit diese Kommunikation gesichert bleibt, Passwörter beispielsweise nicht im Klartext ausgetauscht werden, sollte die Appliance zumindest SSH beherrschen. Nahezu alle Soho-Firewalls lassen sich ebenfalls per Web-Interface ansteuern. Auch für den Fall gilt, dass die Box SSL beziehungsweise HTTP/S unterstützen sollte, um die ausgetauschten Daten zu chiffrieren.

Bei größeren Projekten wird ferner ein zentraler Management-Server unverzichtbar. Ab einem bestimmten Punkt skaliert eine Lösung, bei der jede Box einzeln angefasst werden muss, einfach nicht mehr. Weniger überraschend haben gerade Anbieter mit günstigen Preisen in diesem Bereich gar keine Lösung anzubieten, oder aber ihr Management-Ansatz befindet sich noch in einem frühen Stadium. Bedenkt man, wie lange etablierten Hersteller brauchten, um ein benutzerfreundliches Management zu entwickeln, kann man in ungefähr einschätzen, welche Qualität diese jungen Lösungen erreichen. Neben der Definition der VPN- und Firewall-Policy sind natürlich die Berichte und Logs elementar. Nur darin erkennt der Administrator, ob sich in der Außenstelle etwas Ernsthaftes ereignete oder welche Auslöser ein akutes Problem vermutlich hatte. Je größer dabei die Installation, desto wichtiger sind die Zusatz-Tools, die Log-Einträge korrelieren, filtern, ablegen, durchsuchen und exportieren.

Zusatzdisziplinen

Im Zuge der Spam-, Wurm- und Virenevolution ist es inzwischen üblich, Zusatzfunktionen auf die Firewall zu portieren, damit sie sich und das Netz gegen die neue Generation der Schädlinge schützen kann. Dazu kooperieren die Anbieter in der Regel mit den Spezialisten im Virenbereich. Eine sinnvolle Entscheidung, da viel Erfahrung und Ressourcen notwendig sind, um mit der Virenentwicklung Schritt zu halten. Ein Firewall-Anbieter ist in erster Natur eben auf anderes konzentriert. Es haben sich inzwischen Kooperationen querbeet über den Markt gebildet. Wem das Virenthema wichtig ist, der sollte fragen, mit wem der Soho-Anbieter zusammenarbeitet, und dann die Reaktionszeiten des Herstellers auf Viren in den vergangenen sechs Monaten bewerten. Wichtig ist, dass die Updates der Virensignatur in den zentralen Updateprozess der Firewall-Lösung integriert sind und von deren Management-Server angestoßen werden. Ebenso sollten die Ergebnisse der Virenanalyse in den Firewall-Logd auftauchen. Einige Antiviren-Hersteller haben Abwehrstrategien entwickelt, mit denen sie auf besonders gefährliche Derivate reagieren wollen. Ein Baustein dieser Taktiken sind Firewall-Regelsätze, die einen bestimmten Dienst oder Port sperren. Solange, bis der Antiviren-Hersteller eine wirksame Signatur gegen den Schädling publiziert hat und der Hauptverbreitungsweg, den die Regel schließt, ohne Gefahr geöffnet werden kann. Es ist mehr als wahrscheinlich, dass die Kooperation zwischen den beiden Lagern intensiviert wird, so dass der Newsdienst des Antivirenherstellers den Management-Server des Firewall-Anbieters mit der Policy füttern könnte. Der Administrator entscheidet dann, nachdem er die Situation bewertet hat, ob er die Policy aktiviert. Zu erwarten ist außerdem, dass einige große Antiviren-Hersteller sich selbst Firewall-Technik aneignen, um eine solche Appliance eigenverantwortlich zu konzipieren.

Auch Content-Scanning und URL-Blocking beherrschen einige Soho-Lösungen bereits. Hier gilt ebenfalls: Welcher Partner ist mit an Bord? Sind die Ergebnisse der Scans in den Logs integriert? Ist ihr Updateprozess in den Hauptprozess des Management-Servers eingepflegt?

Neben diesen etablierten Analysefunktionen gehen die meisten Anbieter dazu über, ihre Angebote um Intrusion-Prevention-Scanning (IPS) zu ergänzen. Ein Teil greift dazu auf Open-Source-Projekte wie Snort zurück, speckt diese große Engine ab und bindet sie in das grafische Firewall-Management ein. Die Anbieter teilen die Snort-Signaturen in Applikations-, Betriebssystem- und Protokoll-Kategorien ein und hoffen, dass das Thema IPS dadurch zu verwalten ist. Andere entwickeln eigene Lösungen oder kooperieren mit kommerziellen Anbietern. Welchen Ansatz man auch wählt, Skepsis bleibt angebracht. Denn IPS ist heute noch keine exakte Wissenschaft, ihre Ergebnisse konsequent unscharf. Und das bedeutet einen hohen Management-Aufwand, da Fehlalarme entstehen. Wer einen Eindruck gewinnen möchte, kann die Funktionen eine Zeit testen. Abschalten kann man sie immer noch.

Grundanforderungen

Wer seine Außenstellen und Teleworker schützen möchte, sollte auf jeden Fall von einfachen Paketfiltern und Network-Address-Translation-Devices Abstand nehmen. Die Wahl heißt mindestens Stateful-Packet-Inspection-Firewall (SPI). Sie garantiert ein höheres Sicherheitsniveau, denn sie untersucht auch Teile des Paketinhalts und nicht nur Aktionen und Regeln, die ein Paketfilter mit dem IP-Header abgleicht.

Daneben sollte die Firewall natürlich als DHCP-Server für das interne Netzwerk fungieren können, um die Clients im Netz selbstständig mit einer IP-Adresse zu versorgen. Ebenfalls sinnvoll ist das IEEE-802.1X-Protokoll. Das durch die Wireless-Entwicklung angestoßene Verfahren authentifiziert die angebundenen Client-Systeme anhand ihrer MAC-Adresse.

Wer stärkere Authentifizierungsfunktionen benötigt, sollte darauf achten, dass die Firewall Radius oder LDAP beherrscht. In dem Fall kann sie mit externen Datenbanken, seien es die Active-Directory-Services von Microsoft oder ein separater Authentifizierungs-Server, kommunizieren. Über diese standardisierten Protokolle lassen sich auch Zwei-Faktor-Authentifizierungsmerkmale ankoppeln. [ pm ]