Open Source im professionellen Einsatz
Linux-Magazin 10/2003

Firewall mit VPN-Gateway: Snapgear SME530 und Watchguard Firebox SOHO 6tc

Brandschutz im Tunnel

Wer eine Firewall mit VPN-Gateway-Funktion schützend vor sein Netz schalten will, kann aus einer Vielzahl von Security-Appliances wählen. Das Linux-Magazin hat zwei Vertreter dieser Gattung näher unter die Lupe genommen: Beide stecken in handlichen Gehäusen und lassen sich per Weboberfläche verwalten.

630

Eine moderne Firewall inklusive Contentfilter, DNS, Proxy und vor allem VPN-Gateway muss weder groß noch teuer sein: Was vor vier oder fünf Jahren ein halbes Rack füllte, passt heute in eine halbe Zigarrenkiste. Zwei Appliances mit Linux-Kern treten den Beweis an: Der Firewall- und VPN-Router Snapgear SME530[1] soll laut Hersteller trotz seiner Abmessung von nur 10 mal 16 mal 2,5 Zentimeter für den Internetzugang kleinerer bis mittlerer Unternehmen ausgelegt sein. Im Test muss er sich gegen die Watchguard Firebox SOHO 6tc[2] behaupten.

Snapgear SME530

Die Snapgear SME530 ist mit zwei Ethernet-Anschlüssen und einem seriellen Interface ausgestattet, das für ein externes Modem oder einen ISDN-TA gedacht ist. So können sich Benutzer oder Admins einwählen, das Modem eignet sich aber auch für eine Internetverbindung mit niedriger Bandbreite. Die Appliance wird als Default-Gateway am Übergang eines LAN zum Internet implementiert. Demilitarisierte Zonen (DMZs) für Web, Proxy, DNS oder andere riskante Server sind damit nicht möglich - es sei denn, man verwendet mehrere Appliances in mehrstufiger Topologie.

Sowohl die Watchguard SOHO 6tc als auch die Snapgear SME530 sind durch PPPoE auf dem Internet-Interface gut für die DSL-Produkte der deutschen Carrier gerüstet. Zudem kann die jeweilige Internet-Schnittstelle über ein Transfernetz indirekt auch eine Direktleitung (2 MBit/s und mehr) vom CPE-Router des Providers aufnehmen. Bei den meisten Highend-Firewalls und -VPN-Gateways ist dies identisch verwirklicht; eine Ausnahme ist die BSD-basierte Nokia- Firewall-Appliance, die zum Beispiel mit einer E1-Karte auch Direktleitungen selbst aufnimmt.

Für viele Anwender wird die serielle Schnittstelle (RS323) überflüssig sein. Serielle ISDN-Adapter sind selbst bei E-Bay selten geworden; für externe Benutzer ist ein Remote-Access-VPN per Internet meist praktischer und kostengünstiger. Im Fall der Fälle kann eine Backup-Lösung für die bestehende Direktleitung oder eine zweite Zugangsmöglichkeit von außen dennoch hilfreich sein.

Wie viele andere Produkte in diesem Marktsegment sucht sich die Appliance nach dem Einschalten ihre erste IP-Adresse auf dem Trusted-Interface (interne Anbindung) per DHCP. Wer bereits einen DHCP-Server verwendet oder einen »dhcpd« bei sich im LAN anwirft, kann sofort mit dem Browser auf die Appliance zugreifen und damit anfangen, sie zu konfigurieren.

Für alle anderen ist der Umweg über eine mitgelieferte Windows-EXE-Datei zur Vergabe der ersten IP-Adresse angezeigt. Weil die Lease-Dauer einer per DHCP erhaltenen IP-Adresse begrenzt ist, sollte es neben dem Umsetzen des Default-Passworts zu den ersten Amtshandlung des Administrators gehören, die gewünschte IP-Adresse per GUI fest einzutragen.

Administration

Leider ist die Appliance in der aktuellen Firmwareversion (1.7.8) lediglich unverschlüsselt über Telnet und HTTP zur Administration zugänglich. Laut Hersteller soll sie künftig (ab Firmware-Release 2.0) auch mit SSH und HTTPS administrierbar sein. In der Beta 1.8.2 (siehe Kasten "Snapgear-Firmware 1.8.2") ist dies noch nicht verwirklicht.

Auf der SME530 hostet ein BOA-Webserver[3] das GUI zur menügeführten Administration. Über das GUI sind alle Funktionen in ein bis maximal zwei Ebenen zugänglich (Abbildung 2). Auf der Kommandozeile stehen 38 Unix-Befehle zur Verfügung, eine vollständige Administration der Routen, IPsec-Parameter und weiterer Details ist aber ausschließlich per GUI möglich. Auch ein Telnet-Client fehlt, gerade zum Einrichten und Debuggen von benachbarten Routern wäre er aber oft erforderlich.

Ein stark gehärtetes System ist zwar sicherer als sein dick ausgestatteter Nachbar; gerade im unteren Marktbereich sollten es die Hersteller trotzdem nicht übertreiben. Selbst Highend-Produkte wie die BSD-basierte Nokia-Checkpoint-Appliance bringen einen Telnet-Client mit. Im Vergleich zur Watchguard SOHO 6tc ist diese Ausstattung aber geradezu königlich. Denn die SOHO 6tc ist ausschließlich über das GUI zugänglich und hat keine Möglichkeit, einen Ping- oder Traceroute-Befehl von der Plattform aus zu senden. Das Debugging beim Einrichten und bei Änderungen im Routing ist damit unnötig schwer.

Abbildung 1: Die aktuelle Betaversion 1.8.2 enthält bereits die in der stabilen Version vermissten Cleanup- und Reject-Regeln.

Linux-Magazin kaufen

Einzelne Ausgabe
 
Abonnements
 
TABLET & SMARTPHONE APPS
Bald erhältlich
Get it on Google Play

Deutschland

Ähnliche Artikel

  • Kräftespiel

    Als Kind des Internet hat Linux seit seiner frühen Jugend eine klare Affinität zum Netzwerk. Ob Linux auf Standard-PCs sich mit der spezialisierten Hardware der Netzwerkausrüster messen kann und wo das freie System seine Stärken am besten ausspielt, zeigt dieser Lagebericht.

  • Frischer Wind

    Segmentierbar, virtualisierbar und ganz auf die Kontrolle der Anwendungen im LAN bezogen: Die neueste Windmaschine auf dem Firewallmarkt kommt aus Kalifornien und heißt PA-4020. Das Linux-Magazin durfte als Erster exklusiv ein Gerät testen.

  • Packetfence 6.5.0 mit Authentifizierungsupdates

    Das freie Netzwerkmanagement-Tool Packetfence beherrscht in der neuen Version die Authentifizierung über die Kommunikationsplattform Twilio.

  • Zwergenwacht

    Wirksamer Schutz durch den Verbund abgestimmter Komponenten - das ist das Geheimnis so genannter UTM-Appliances (Unified Threat Management). Bisher waren sie oft nur für große Anwender erschwinglich. Nun ist am unteren Ende der Preisskala ein bemerkenswerter Wettbewerber aufgetaucht: Black Dwarf.

  • Allzweckreiniger

    Wer für Firewall, VPN-Zugang, Web- und E-Mail-Filter, Bandbreitenmanagement und Einbruchserkennung nicht viele Einzelkomponenten kaufen will, wird bei dem Universaltalent von Astaro fündig. Das Linux-Magazin hat die Appliance einem Praxistest unterzogen.

comments powered by Disqus

Stellenmarkt

Artikelserien und interessante Workshops aus dem Magazin können Sie hier als Bundle erwerben.