Astaro Security Gateway ASG 320: Firewall und VPN-Gateway

Astaro liefert mit dem Security Gateway eine UTM-Appliance (Unified Threat Management) par excellence: Sie kombiniert Stateful-Paketfilter (Linux Netfilter) mit Applikations-Proxys, einem IDS/IPS (Intrusion Detection/Prevention System) auf Snort-Basis und einem ausgeklügelten VPN-Modul (Virtual Private Network). Dazu gesellen sich optionale Erweiterungsmodule, etwa für E-Mail- oder Web-Contentfilter.

Die Kombination aus Paketfilter und Proxy ergibt eine Hybridfirewall, die nicht nur Sessions anhand ihrer Verbindungsdaten erlaubt oder blockiert, sondern auch den Inhalt einzelner Protokolle auf Viren und die Einhaltung der Unternehmensrichtlinien überwacht. Die ASG besitzt transparente Proxys für die wichtigsten Protokolle (HTTP, SMTP und FTP). Diese arbeiten wie der Paketfilter für den Benutzer unsichtbar und prüfen den Datenstrom in der Anwendungsschicht (OSI-Layer 7). Auch ein generischer TCP-Proxy existiert.

Zusätzlich setzt die ASG auf Snort, um in den erlaubten Verbindungen nach Angriffsmustern zu suchen (IDS) und die Verbindung je nach Konfiguration gegebenenfalls zu beenden (IPS). Der Admin gibt für jedes Angriffsziel vor, ob die Firewall bei enttarnten Attacken nur eine Warnung ausgeben oder den Angreifer aussperren soll. Andere Hersteller nennen ähnliche Features beispielsweise Deep Inspection (Juniper Netscreen) oder Application Intelligence (Checkpoint). Astaros IPS-Modul enthält zudem Schutzvorkehrungen gegen Denial-of-Service-Angriffe (justierbare TCP/UDP/ICMP Flooding Protection).

ASG 320

Produkt:Astaro Security Gateway ASG 320 [1]. Getestete Version:7.004 Aufgabe:Firewall, IDS/IPS, Contentfilter, VPN-Gateway und Traffic Shaping Hardware:1-HE-Rackeinschub, Intel-CPU 2,4 GHz, 1 GByte DDR-RAM, 80-GByte-Festplatte, vier 10/100-MBit- und vier 1-Gigabit-Ethernet-Interfaces; empfohlen für bis zu 500 Benutzer (keine Lizenzbeschränkungen) Software:Eigene Linux-Variante, Kombination aus Open- und Closed-Source-Software Basissystem:Etwa 6840 Euro für die Basisausstattung mit Firewall, IDS/IPS, VPN, IM/P2P-Blocker (unbegrenzte Zahl User, Connections und Tunnel); Gold-Support jährlich 1240 Euro (Updates, Support und Hardware-Garantie) Mail-Erweiterung:Jährlich 2260 Euro (SMTP/POP3, Schutz vor Viren, Spam und Phishing) Webfilter:Jährlich 2850 Euro (HTTP/FTP, Contentfilter mit Schutz vor Viren und Spyware) VPN-Client:Astaro vertreibt den NCP-Client unter eigenem Label als Astaro Secure Client; die Einzeluser-Lizenz kostet 110 Euro; es gibt Paketpreise, beispielsweise die 25-User-Lizenz für 2080 Euro Report Manager für eine ASG 320:Einmalig 1070 Euro plus jährlich 110 Euro für den Update-Service; Gold-Support kostet etwa 210 Euro pro Jahr Astaro Command Center:Kostenlos (zentrales Repository, Monitoring und Maintenance)

Installation und Verwaltung

Die getestete Appliance ASG 320 war nach dem Auspacken binnen weniger Minuten einsatzbereit. Schon die ersten Schritte haben positiv überrascht, da Astaro sowohl Features für kleine und mittlere Betriebe, als auch welche für den Enterprise-Markt eingebaut hat. Alle Komponenten sind clever aufeinander abgestimmt und auch die Admin-Oberfläche ist gut durchdacht.

Zur initialen Konfiguration ist das interne (trusted) Interface mit der IP-Adresse 192.168.0.1 vorkonfiguriert. Ein Browser erreicht es via HTTPS auf TCP-Port 4444. Die Benutzeroberfläche gibt sich nicht wählerisch und harmoniert mit allen getesteten Browsern (Mozilla Firefox, Safari, Internet Explorer). Nach dem Upload der Lizenz und Eingabe des Hostnamens und der Admin-Passwörter startet die Grundkonfiguration.

Netzwerktechnisch fungiert die ASG 320 als Router oder als Bridge, Letzteres heißt in der Marketingsprache neuerdings "Bump in the Wire". Das WAN-Interface kann der Admin als Gegenstelle für einen Uplink-Router, ein DSL- oder ein Kabelmodem konfigurieren. Im Test lief die ASG 320 mit einem Kabelmodem. Bei der Netzwerkkonfiguration fällt auf, dass Astaro lobenswerterweise OSPF anbietet - mit der kleinen Einschränkung, dass die Implementierung nicht mit Route Maps beeinflussbar ist. Das vorhandene Routing reicht aber völlig aus, um die verbundenen Interfaces und eine Default-Route bekannt zu geben.

Angenehm bei der nun folgenden Konfiguration ist, dass Astaro dem Admin keine Herstellerphilosophie und keine vorgefertigten Sicherheitskonzepte aufzwingt. Keines der Module (etwa Proxy-Server) hängt von einem anderen Modul ab, alle lassen sich bei Bedarf einzeln deaktivieren oder sinnvoll kombinieren. Das Einpflegen einer Policy ist manuell oder durch diverse Wizards zu erledigen (Abbildung 1). An vielen Stellen funktioniert sogar Drag&Drop innerhalb des Browserfensters, was sich zum Beispiel beim Platzieren der Objekte in den Regeln als sehr praktisch erweist.

Abbildung 1: Beim Einrichten einer Policy helfen Wizards. Mit simplen Checkboxen listet die Appliance einige Instant-Messaging- und P2P-Netze. Ein Klick genügt, um Kommunikation mit diesen Diensten zu unterbinden.

Benutzerportal

Neben der Admin-Oberfläche läuft auf der ASG ein ebenfalls HTTP-basiertes Benutzerportal. Es sieht so aus wie die Admin-Oberfläche, wendet sich aber an alle internen User. Die umfangreiche Funktionalität ist gut durchdacht. Für die Userverwaltung und Authentifizierung im Portal nutzt die Appliance gängige Backendserver wie LDAP, E-Directory, Active Directory oder TACACS+ (Terminal Access Controller Access Control System). Zwei-Faktor-Authentifizierung (etwa mit Secure-ID-Token und Passwort) funktioniert nur über einen Radius-Server. Accounts lassen sich auch direkt auf der Firewall pflegen.

Jeder User kann im Portal seine Spam-Einstellungen ändern oder VPN-Software, -Konfiguration, Schlüssel und Ähnliches abholen. Die Appliance packt alle Informationen und Konfigurationen, die einen Benutzer betreffen, automatisch in dessen Portal. Der Admin braucht sich hierfür keine Arbeit zu machen.