Startseite > Security > Freundlicher Schutz vor unfreundlichen Gesellen

Freundlicher Schutz vor unfreundlichen Gesellen

26. September 2007, 20:10 Uhr |

Astaro Security Gateway 7 – Ein überarbeitetes Web-GUI für Administratoren und Anwender und verstärkten Sicherheitsfunktionen prägen die 7. Generation der Firewall.

Eine viel beschäftigte Astaro-V6-Firewall hatte nicht immer Zeit, sich mit ihrem Verwalter zu unterhalten. Das teils träge GUI stand daher bei Astaro weit oben auf der Liste der zu überarbeitenden Funktionen. v7 setzt nun auf Ajax im schnelleren Frontend, das nicht mehr den Administratoren vorbehalten ist. Auch Otto Normaluser darf sich jetzt an der Firewall anmelden. Dort kann er den für ihn bestimmten, aber von Astaro abgefangenen Spam betrachten. Generiert der Administrator einen VPN-Zugang für einen Benutzer, kann dieser über das Web-Frontend den nötigen VPN-Client samt Schlüsseldatei herunterladen. Ab v7 unterstützt Astaro dabei auch SSH-VPNs und Vista-Clients für alle VPN-Zugangsformen. Das Admit-Tool wartet mit neuen Konfigurations-Wizards und Portalseiten auf, welche einen schnellen Überblick über aktuelle Geschehnisse auf der Firewall geben.

Unter der Haube integriert der deutsche Firewall-Hersteller eine neue Clusterfunktion in Version 7. Bis zu zehn Firewall-Appliances arbeiten dabei simultan. Über ein eigenes, sich automatisch konfigurierendes Netzwerk-Segment sprechen sich die Geräte dabei untereinander ab. Das Clustering sorgt für höhere Performance und Ausfallsicherheit.

Im Test installiert Network Computing das Astaro-Security-Gateway 7 auf einer Intel-Appliance mit einem Pentium-4-Board und Chipsatz 945g. Die Hardware-Erkennung findet nur einen Teil der eingebauten LAN-Interfaces; zwei Realtek-PCI-e-Karten sind nicht mit der Firewall-Software kompatibel. Andere Adapter mit Broadcom-Chip übernehmen deren Platz. Während der Installation erkennt das Setup die eingebaute S-ATA-Platte und richtet die Firewall-Software darauf ein. Beim ersten Systemstart meldet der Bootloader jedoch Fehler des S-ATA-Controllers und findet das Laufwerk nicht mehr. Der Astaro-Support untersucht den Fehler. Das Laborteam setzt für den weiteren Test eine P-ATA-Platte ein, mit der keine weiteren Probleme auftreten.

Nach dem Neustart führt ein Wizard den Administrator durch die Grundkonfiguration, die sich nicht mehr auf die reinen IP-Informationen beschränkt. Das Tool richtet auch gleich erste Firewall- und IDS-Regeln ein, so dass die Appliance ohne weitere Einstellungen ans Werk gehen kann.

Wer bereits frühere Versionen des Astaro-Gateways kennt, wird sich recht schnell in dem neuen GUI zurechtfinden und dessen kurze Antwortsfristen begrüßen. Schön ist auch, dass der Verwalter nicht mehr zuerst alle möglichen Zielnetzwerke und -Rechner definieren muss, um danach Regelwerke zu bauen, das geht nun dynamsich. Dank Ajax im Fontend lassen sich Regelwerke bequem mit Drag-und-Drop zusamenstellen. Übersichtlicher, aber weniger detailreich zeigt Astaro mit v7 die Intrusion-Protection-Rules. Einige gewollte Funktionen wie P-to-P-Traffic mit Bittorrent stufte die alte Appliance gern mal als Angriff ein. Fragwürdige Dienste wie P-to-P oder IM gliedert der Hersteller nun in ein eigenes Modul aus. Der Administrator kann dort alle oder einzelne IM- und P-to-P-Protokolle sperren oder freigeben. Der Content-Filter des Web-Proxy-Servers kann jetzt zeitabhängige Regelwerke aktivieren. Vereinfacht gesagt: Der Chef kann seinen Mitarbeitern den Zugang zu Webseiten wie Monster.de oder ebay.de während der Arbeitszeit sperren, in der Mitagspause oder nach Feierabend aber freigeben. Diese Dienste lassen sich mit Benutzer- und Gruppenzugehörigkeiten verknüpfen.

Negativ fällt allerdings auf, dass der deutsche Firewall-Hersteller vor lauter internationalem Geschäft noch gar kein heimisches GUI für v7 offeriert. Der Administrator kann vorerst nur zwischen Englisch, Japanisch, Chinesisch und Koreanisch wählen (Xie xie, Astaro).

Fazit:
Mit dem Security-Gateway 7 bringt Astaro endlich das GUI, auf das die v6-Administaratoren so lange gewartet haben. Die Übersicht und Funktion des Ajax-Frontends sind gut gelungen. Bei der Hardwareauswahl verhält sich die Version 7 ein bisschen heikel, aber daran sind Astaro-Anwender schon gewöhnt. Ein gehärteter Linux-2.6-Kern kann eben nicht alle Treiber integrieren.
ast@networkcomputing.de