Netzwerksicherheit aus der Box
Artikel erschienen in Swiss IT Magazine 2006/15
Vor nicht allzu langer Zeit verkündeten die Marktforscher von IDC, im Jahr 2008 würden vier Fünftel aller Sicherheitsprodukte in Form von Appliances ausgeliefert werden. Statt der Installation von Security-Softwaresuiten auf Server-PCs soll demnach einfach eine Box ins Netz gehängt werden, die sich um die anfallenden Sicherheitsprobleme kümmert.
Nicht alle Marktteilnehmer sehen dies so. Symantec hat kürzlich den Rückzug aus dem Appliance-Markt bekanntgegeben die Gateway-Security-Boxen werden zwar weiterhin verkauft und der Support ist gewährleistet. Eine Weiterentwicklung wird es aber nicht geben. Stattdessen setzt der gelbe Sicherheitsriese für Security-Hardware auf Partner; der Schwerpunkt beim Endkundengeschäft liegt auf der umfangreichen Softwarepalette. Andere Hersteller verfahren ähnlich. Bei Check Point gibt es zwar Appliances für den SOHO- und KMU-Markt, das Schwergewicht der Produktepalette liegt jedoch eindeutig auf Softwarelösungen.
Security-Software, die auf Industriestandard-Servern betrieben wird, erlebt heute nicht zuletzt dank neuen Technologien einiges an Vorschub: Meist werden Performance und klare Isolation der Sicherheitsfunktionen als Hauptvorteil von Appliances genannt. Mit der höheren Leistung von Multicore-Prozessoren gleicht sich die Leistung von Standard-CPUs der Performance spezialisierter Prozessoren, FPGAs und ASICs zunehmend an, die in Appliances zum Einsatz kommen. Die Abschottung gegenüber anderen Serverdiensten lässt sich durch Isolation der Einzelfunktionen in virtuellen Maschinen erreichen, so dass sich bei genügender Gesamtleistung der gleiche Server sogar um mehrere Security-Funktionen kümmern kann.
Appliances können aber nach wie vor punkten. Erstens sind viele Einheiten immer noch deutlich stärker als PC-Server zu vergleichbaren Kosten. Besonders im High-end zeigt die meist in jahrelanger Entwicklung optimierte Spezialhardware immer noch Performance-Vorteile.
Das dritte Hauptargument der Appliance-Hersteller lässt sich dagegen nicht einfach wegdiskutieren. Es gilt zudem für alle Einsatzszenarien: Appliances sind auf möglichst rasche Implementation und einfachen Betrieb getrimmt. Oft ist überhaupt kein Security-Spezialwissen nötig, um das Netzwerk hinreichend abzusichern – es genügt, das vorkonfigurierte Gerät am Internet-Gateway zu installieren. Mit dieser Plug&Play-Einfachheit peilen die Hersteller besonders kleinere Unternehmen an, die nicht über IT- oder gar spezialisiertes Security-Personal verfügen. Der unkomplizierte Einsatz kommt aber auch Grossunternehmen und deren Zweigstellen zugute, die so weniger mit der schwierigen Rekrutierung von Security-Fachleuten zu kämpfen haben – der Arbeitsmarkt ist in diesem Bereich ziemlich ausgetrocknet.
Security-Appliances gibt es mit unterschiedlicher Funktionsvielfalt. Klassisch steht die Firewall im Zentrum, meist ergänzt durch die Möglichkeit zum Aufbau von VPN-geschützten Remote-Access-Verbindungen. Neben Herstellern, die auf Security fokussiert sind, haben viele Anbieter von Routern, ADSL-Modems und anderen allgemeinen Netzwerkkomponenten solche Firewall-Appliances im Programm – Beispiele sind Netgear, D-Link und Zyxel. Die Gerätepalette reicht von einfachen Boxen fürs Heimbüro bis zu skalierbaren Systemen mit Load Balacing für Grossunternehmen und Telcos.
Vor allem einige Virenschutzhersteller haben eine andere Art von Security-Appliance im Angebot: Viren-, Spam-, Spyware- und Web-Content-Filtering-Boxen, die hinter einer bereits bestehenden Firewall den Internetverkehr nahe dem Gateway überwachen und unerwünschte Inhalte ausbremsen. Der Markt hält auch einige Appliances bereit, die sich ausschliesslich um den Mail-Verkehr kümmern und andere Protokolle ausser acht lassen. Auch diese Einheiten verfügen nicht über eine integrierte Firewall und eignen sich demnach nur für Netze, die bereits durch eine Firewall abgesichert sind. Die Firewall-losen Malware-Schutz- und Content-Filtering-Appliances eignen sich am besten für mittlere und grössere Umgebungen.
Anders die sogenannten UTM-Appliances: Die Abkürzung steht für «Unified Threat Management» und bezeichnet All-in-one-Geräte, die inklusive Firewall sämtliche benötigten Sicherheitsfunktionen in einem Gehäuse versammeln. Fortgeschrittene UTM-Appliances kümmern sich neben der Absicherung des traditionellen Netzwerkverkehrs auch um neue Technologien wie VoIP, Streaming und XML-Verarbeitung, die ja auch neuartige Risiken mit sich bringen.
Wie Firewalls sind auch UTM-Geräte für alle Unternehmensgrössen erhältlich. Besonders preisgünstige Modelle fürs Kleinbüro finden sich ab wenigen hundert Franken in der Safe@Office-Linie von Check Point oder bei den TZ-Firewalls von Sonicwall, die sich per Softwareoption um diverse UTM-Funktionen erweitern lassen.
Unsere Marktübersicht präsentiert in Kurzform die 19 wichtigsten Anbieter von Security-Appliances mit Firewall- und/oder Content-Filtering-Funktionalität. Nicht berücksichtigt sind reine IDS/IPS-Systeme (Intrusion Detection/Prevention) wie die Systeme des 3Com-Unternehmens TippingPoint, ebenso einige Hersteller wie Hotbrick und Celestix, für die wir keine Schweizer Bezugsquelle ermitteln konnten.
Eine detaillierte Auflistung aller Modelle mit ihren technischen Daten würde den Rahmen eines Zeitschriftenartikels sprengen: Die meisten Hersteller haben mindestens ein halbes Dutzend Modelle im Programm; nicht wenige davon sind überdies in verschiedenen Varianten erhältlich.
Traditionelle Netzwerkhersteller wie D-Link, Linksys, Netgear und Zyxel führen in erster Linie reine Firewall/VPN-Boxen, die meist zusätzlich mit einem 4- oder 8-Port-Switch ausgestattet sind. Auch Nokia konzentriert sich mit seiner IP-Linie in sage und schreibe elf Modellen ganz auf Firewalls und bietet zusätzlich eine separate Produktfamilie mit reinen VPN-Geräten an; im Hintergrund steht jeweils die Firewall- und VPN-Technologie von Check Point.
Virenschutzhersteller wie McAfee und Trend Micro verzichten in ihren Appliances auf Firewall-Funktionen, statt dessen beherrschen die Geräte das Ausfiltern von Viren und anderer Malware, Spam und unerwünschtem Web-Content. Sophos und F-Secure haben auf Mail-Verkehr spezialisierte Appliances im Programm. Panda Software offeriert neben dem Content-Filter Gatedefender Performa auch die UTM-Appliance Gatedefender Integra inklusive Firewall.
Die meisten übrigen Anbieter statten manche Geräte mit mehr oder weniger ausgeprägter UTM-Funktionalität aus. Einige Highlights:
Die Security Gateways von Astaro sind in sieben Grundmodellen erhältlich: Während die Einstiegsvariante 110 maximal zehn User unterstützt, ist das grösste Modell 525 optional mit Fibre-Ports erhältlich. Mit zwei Xeon-Prozessoren ausgerüstet, bewältigt die Firewall bis zu 3 Gbit pro Sekunde und unterstützt eine Million gleichzeitiger Verbindungen.
Bei Check Point Software gibt es Appliances in zwei Varianten: Die KMU-Produktelinie Safe@Office besteht aus Modellen für 5, 25 und unbeschränkt viele User, jeweils mit und ohne Wireless-Accesspoint und ADSL-Modem zu US-Preisen zwischen 215 und rund 1200 Dollar. Neben einer Firewall mit 100
Mbit/s Durchsatz bietet die gelbe Box Wurm- und Virenschutz, VPN und Web-Filtering. Die zweite Appliance von Check Point nennt sich VPN-1 UTM Edge und ist für die Absicherung von Filialen konzipiert. Sie lässt sich über die hauseigene Management-Software verwalten (Smartcenter oder Provider-1).
Juniper ist als Ausstatter von Telcos und Grossunternehmen bekannt. In den Security-Produktelinien Netscreen und ISG finden sich denn auch High-end-Appliances wie der Netscreen 5400, der mit bis zu 39 Gigabit pro Sekunde Firewall-Throughput auch anspruchsvollste Bedürfnisse abdeckt. Weniger bekannt: Juniper hat auch Low-end-Equipment, angefangen mit dem Einstiegsmodell SSG 5 mit 160 Mbit/s Durchsatz und optional integriertem ISDN- oder ADSL-Interface.
Security Appliances können auch aus deutschen Landen stammen. Die Lüneburger Securepoint GmbH bietet passend zu ihrer Softwaresuite massgeschneiderte Hardware in fünf Varianten an. Das Einstiegsmodell RC1 im Cigar-Box-Gehäuse zu 650 Euro bewältigt 80 Mbit/s, Modell RC5 (€5000) wartet mit über fünffacher Leistung auf. Die Funktionalität umfasst Firewall, VPN, Virenscanner, Content- und Spamfilter sowie Intrusion Protection.
Sonicwall führt optional mit diversen UTM-Funktionen erweiterbare Firewalls in den Produktelinien TZ und Pro. Unter der Bezeichnung TotalSecure sind die Einheiten auch mit vorinstallierter Software erhältlich. Daneben hat Sonicwall noch Filter-Appliances namens Content Security Manager im Programm.
Einer der Pioniere in Sachen Hardware-Firewalls ist Watchguard mit den feuerroten Firebox-Produkten. Neben einer SOHO-Variante teilt der Hersteller seine Palette in die drei Produktelinien Firebox X Edge, Peak und Core mit Firewall-Durchsatzraten zwischen 80 Mbit/s und 2 Gbit/s ein. Alle Geräte bieten umfassende UTM-Funktionen.
Welche Firewall-Grösse passt?