Test: Checkpoint Safe@Office 500
Internetsicherheit für Außenbüros
Auch kleine Firmen oder Außenbüros brauchen leistungsfähige und sichere Internetanbindungen. Speziell für diesen Markt hat Checkpoint mit dem "Safe@Office 500" eine Internet-Appliance im Programm. Das kleine Gerät bietet eine Menge an wichtigen Leistungsmerkmalen.
Beim Produkt Safe@Office 500 handelt es sich um eine Kombination aus Firewall, VPN-Lösung,
Antiviren-Tool und Intrusion-Prevention-System zusammen mit Traffic Shaping und Webfiltering. Dank
der Software "Checkpoint Embedded NGX 6.0", die für den Einsatz in Embedded Systems von Sofaware
Technologies angepasst wurde, hat das Gerät eine Reihe wichtiger Leistungsmerkmale zu bieten.
Für eine Vielzahl der Funktionen betreibt der Hersteller Onlinedienste mit automatischen
Updates. So ist ein hoher Schutz für die dahinter liegende Netzwerkstruktur gewährleistet, auch
ohne dass ein Benutzer manuell eingreifen müsste. Dieses Konzept wird man in kleineren Unternehmen
sicher begrüßen, da selten ein EDV-Mitarbeiter für die Wartung entsprechender Geräte zur Verfügung
steht.
Mit 19,5 x 12 x 3 Zentimetern Ausmaß findet die auffällig in orange und gelb gehaltene Appliance
problemlos ihren Platz – zur Not einfach auf einer Workstation. Die Gummifüße sorgen für einen
sicheren Stand des Metallchassis und halten das Gerät auch dann sicher fest, wenn Netzwerkkabel
daran hängen und ziehen.
Auf der Rückseite finden sich sechs Netzwerkbuchsen vom Typ RJ45-Fast-Ethernet. Ein Anschluss
mit der Bezeichnung WAN ist für die Kommunikation mit der Internetanbindung reserviert. Vier
Buchsen dienen dem Kontakt in Richtung lokales Netzwerk und können im Rahmen vieler
Kleinstkonfigurationen einen zusätzlichen Switch überflüssig machen. Der sechste Anschluss mit dem
Titel "DMZ/WAN2" unterstützt die Bereitstellung einer "Demilitarisierten Zone" (DMZ) oder einer vom
Standard-WAN-Anschluss abweichend konfigurierten Anbindung, beispielsweise für die
Ausfallsicherheit über eine zusätzliche Internetleitung. Weiter findet sich auf der Rückseite ein
RS-232C-Interface für den Anschluss eines Modems, einer ISDN-Einheit oder für den direkten Zugriff
auf die Konsole. Einen konventionellen Ein/Aus-Schalter gibt es nicht: Das Gerät wird automatisch
aktiv, sobald das Netzteil eingesteckt ist. Ein kleiner Reset-Taster, ebenfalls auf der Rückseite
angebracht, erspart im Fall eines Falles einen Kaltstart durch das Ziehen des Stromkabels.
Das Stecknetzteil ist mit einem rund 150 Zentimeter langen Kabel versehen und wurde während der
Testphase lediglich handwarm. Das GS-Logo ("Geprüfte Sicherheit") bescheinigt dem Netzteil, dass es
den Anforderungen des Geräte- und Produktsicherheitsgesetzes (GPSG) entspricht.
Wie bei allen ordentlichen Netzwerkgeräten findet sich auch beim Safe@Office-Produkt neben der
Seriennummer die MAC-Adresse auf einem Aufkleber am Gerät. Noch angenehmer allerdings wäre es, wenn
der Hersteller dazu übergehen würde, diese Information so anzubringen, dass man sie ablesen kann,
ohne das Gerät mit allen Anschlusskabel anzuheben – was in der Enge des Serverschranks mitunter ein
kompliziertes Unterfangen ist. Auch die exakte Typenbezeichnung gibt der beschriebene Aufkleber
preis: SBX-166LHGE-3. Auf der Vorderseite sind einige Leuchtdioden angebracht, die den
Betriebszustand der Appliance anzeigen.
Das Safe@Office wird in Form zweier Modelle angeboten. Die 500W-Variante verfügt über ein
Wireless LAN Interface mit zwei Antennen. Gemäß der proprietären WLAN-Erweiterung "Super G" ist das
Safe@Office in der Lage, eine Bruttodatenrate von bis zu 108 MBit/s im 2,4-GHz-Frequenzband zu
bewältigen. Dank der Abwärtskompatibilität zum etablierten 802.11g-Standard mit 54 MBit/s und dem
altbewährten 802.11b mit einer Datenrate von 11 MBit/s ist eine Kommunikation auch mit den
Standardgeräten möglich. Als eine Art Dreingabe wurde der Wireless-Version ein doppelter
USB-Anschluss mitgegeben. Mit den USB-2.0-Ports ist der Betrieb als Printserver möglich.
Das Testgerät, ein Safe@Office 500 ohne WLAN-Funktionalität, ließ sich schnell und einfach in
Betrieb nehmen. Der integrierte DHCP-Server startet, sobald das Gerät mit Strom versorgt wird. Ein
angeschlossener Client-Rechner erhielt eine IP-Lease. Gemäß dem beiliegenden Faltblatt wurde mit
dem Browser eine Verbindung zu my.firewall aufgenommen. Die erste Amtshandlung danach
besteht in der Vergabe eines Passworts. Dieses konsequente Einfordern eines individuellen Passworts
ist aus Sicherheitsgründen einem Standardpasswort vorzuziehen – ein Lob an die Entwickler.
Da in der Regel einige Zeit vergeht, bis ein Gerät über die Ladentheke zum eigentlichen
Einsatzort gelangt, muss als zweiter Schritt das Download eines Firmware-Updates über einen
geeigneten Checkpoint-Partner in Betracht gezogen werden. Auch hierzu gibt die gedruckte
Kurzinformation Auskunft über die Vorgehensweise.
Weitere Konfigurationsschritte werden in den umfangreichen PDF-Dokumenten auf der Produkt-CD in
englischer Sprache erklärt. Die komplette Dokumentation füllt über 900 Seiten virtuellen Papiers –
da verwundert es kaum, dass diese Beschreibung nicht als gedrucktes Handbuch mitgeliefert wird.
Ein Installationsassistent führt den Neubenutzer über wenige Dialogfelder zu den Eingaben der
wichtigsten Informationen. Das Safe@Office kommt mit allen gängigen Internetverbindungen zurecht –
sowohl der gebräuchliche DSL-Zugang als auch das in Nordamerika weit verbreitete "Cable-Modem" und
selbst ein betagtes analoges Modem nach dem V.90-Standard ist konfigurierbar. Da kein eigenes
ISDN-Interface vorhanden ist, bleibt nur der Zwischenschritt über die serielle Schnittstelle, falls
ISDN zum Einsatz kommt. Unterschiedliche Internetanbindungen ergeben eine höhere Ausfallsicherheit.
In den Dialogfenstern der Internetanbindung findet sich die interessante Funktion "Dead Connection
Detection". Fällt der Standard-Gateway der Internetanbindung aus, so wird ein ARP-Request zur
Identifikation des nächsten Routers ausgesendet. Ist dieser identifiziert, so steht eine von drei
möglichen Methoden zur Auswahl, um herauszufinden, ob über dieses Gerät tatsächlich das Internet
erreichbar ist. Zur Überprüfung stehen Ping, DNS-Namensauflösung oder das Erreichen eines
VPN-Gateways zur Auswahl.
Vordefinierte Einstellungen
Ist die Internetverbindung erst einmal eingerichtet, fällt der nächste Blick auf die
Firewall-Einstellungen. Safe@Office 500 bietet drei vordefinierte Grundeinstellungen mit
unterschiedlichen Regelwerken. In der Einstellung "Low" werden alle eingehenden Verbindungen auf
die externe IP-Adresse der Appliance blockiert, mit Ausnahme von ICMP-Echoes, also des
Ping-Befehls. Diese Einstellung eignet sich weniger für den Dauerbetrieb als vielmehr für eine
etwaige Fehlersuche, da der ausgehende Verkehr ohne Einschränkung durchgelassen wird. In der "
Medium"-Konfiguration werden alle direkten Zugriffe von Außen blockiert und dem ausgehenden Verkehr
Zugriffe auf Windows-Freigaben zugestanden. Die Einstellung "High" lässt lediglich die typischen
Internet-Funktionalitäten und VPN-Aufrufe zu und eignet sich deshalb am ehesten für den sicheren
Dauerbetrieb.
Für die unterschiedlichen Dienste, beispielsweise E-Mail, FTP oder Webserver, legt der Anwender
interne Ziele per IP-Adresse fest. Das Erstellen eigener Regeln im Menüpunkt "Rules" gestaltet sich
mit einigen Mausklicks recht einfach, sofern der Benutzer die Terminologie versteht.
Praktischerweise lassen sich einzelne Regeln per Mausklick schnell aktivieren beziehungsweise
deaktivieren, ohne dass der Benutzer in den Regeldialog wechseln muss. Akzeptierte Verbindungen
protokolliert das System auf Wunsch.
Neben der Einrichtung von Regeln bietet sich der Einsatz der "Smartdefense"-Technik an, der auf
Checkpoint Application Intelligence basiert. Unter "Smartdefense" versteht der Hersteller die
Prüfung des eingehenden Verkehrs durch gesonderte Analysen. Bei diesen Prüfungen geht es darum, die
Einhaltung von Protokollstandards sicher zu stellen, Protokollanomalien zu erkennen und bei Bedarf
Programme zu blockieren. Bekannte "Peer-To-Peer"-Software wie Kazaa, Bittorrent oder Emule finden
sich ebenso in den Einstellungen von "Smartdefense" wie Instant Messanger, etwa ICQ oder Skype. Die
Mechanismen erlauben es, diese Programme auch dann zu blockieren, wenn sie über den
Standard-HTTP-Port zu kommunizieren versuchen.
Eine Priorisierung des Netzwerkverkehrs ermöglicht der "Traffic Shaper". Für jede definierte
Firewall-Kommunikationsregel lässt sich eine von vier "Quality Of Service"-Einstufungen hinterlegen
und beispielsweise einer IP-Telefonie-Verbindung gemäß H.323 eine höhere Priorität zuordnen als
einer E-Mail-Verbindung.
Unter "VPN" besteht die Möglichkeit, externen Mitarbeitern per VPN-Client für Windows-Systeme
den externen Zugriff auf das lokale Netzwerk zu freizuschalten. Es kommen die üblichen Algorithmen
wie AES, 3DES, SHA1/MD5 zum Einsatz. Unter "Site-To-Site" sind dauerhafte Verbindungen zu anderen
Netzwerken über gesicherte Verbindungen konfigurierbar, und dank des IPSEC-VPN-Pass-Through ist
eine verschlüsselte Kommunikation eines Client-Rechners mit anderen Standorten realisierbar.
Der "Officemode" des Geräts lässt VPN-Client-Rechner auch untereinander kommunizieren.
Üblicherweise funktioniert dies nicht, da die interne Kommunikation nicht über den verschlüsselten
VPN-Kanal geschickt wird, sondern im lokalen Netzwerk verbleibt. Im "OfficeMode" erhalten
VPN-Client-Rechner aus dem DHCP-IP-Pool gesonderte Adressen.
Viele Funktionen aufpreispflichtig
Dynamisches DNS über den bekannten Anbieter DynDNS steht nur als zusätzlicher Service zur
Verfügung. Auch andere potenziell wichtige Funktionsbereiche – etwa E-Mail-Antivirus- und
Antispam-Technik, Vulnerability Scanning Services oder Webfiltering – sind aufpreispflichtig.
In der Standardauslieferung weist das System eine theoretische maximale VPN-Durchsatzrate von 20
MBit/s auf. Um die Leistung von Safe@Office zu erhöhen, bietet der Hersteller ein "Power Pack" an,
das per Freischaltung die maximale VPN-Durchsatzrate auf 30 MBit/s steigen lässt. Die Höchstzahl
der gleichzeitig aktiven "Site-to-Site" VPN-Tunnel erhöht sich durch die Erweiterung von zwei auf
fünfzehn, die Anzahl der VPN-1-Securemote-Client-Lizenzen von fünf auf 25. Die Abbildung eines
VLANs (virtuellen LANs) mit einer Zuordnung der vier LAN-Anschlüsse in verschiedene logische
Segmente steht ebenfalls nur "Power Pack"-Anwendern zur Verfügung.
Zusätzlich zum GUI ist eine Befehlskonsole (Command Line Interface, CLI) vorhanden.
Direktkommandos lassen sich im Webinterface, über serielle Kommunikation oder über SSH absetzen.
Sollen Konfigurationsänderungen rückgängig gemacht werden, ist die Im- beziehungsweise
Exportfunktion von Safe@Office hilfreich. Informationen aus dem Traffic-Monitor lassen sich als
CSV-Datei für eine weitere Auswertung speichern, und der eingebaute Netzwerk-Sniffer erstellt
Dateien im bekannten CAP-Dateiformat. Die Integration in SNMP-Managementumgebungen unterstützt die
Appliance ebenso wie die zentrale Ausgabe von Syslog-Meldungen.
Fazit
Alles in allem macht Safe@Office einen guten Eindruck. Das kleine Gerät steckt voller
administrativer Möglichkeiten, ohne weniger bewanderte Benutzer zu überfordern. Hinter den Kulissen
findet sich eine ausgereifte Sicherheitsstrategie, die in der Lage ist, mit den Anforderungen der
Anwender zu wachsen. Der günstige Einstiegspreis von rund 300 Euro soll jedoch nicht darüber
hinwegtäuschen, dass es sich dabei nur um die "nackte Grundversion" handelt. Allein der "Powerpack"
kostet knapp 500 Euro, und der Antivirus-Service schlägt für ein Jahr mit zirka 179 Euro zu Buche.
Wer jedoch schlicht Geräte sucht, die einfach zu administrieren sind und bei Bedarf aufgerüstet
werden können, der liegt mit der 500er Safe@Office-Serie womöglich goldrichtig.
Lesen Sie mehr zum Thema
