Firewall für kleine Unternehmen

Firewalls gehören in die Hände von Experten - so der Idealfall. Dummerweise zeigt die Realität nur zu oft, dass sich Anfänger oder Admins ohne Netzwerkkenntnisse an den Policys versuchen. Ihnen fehlen Wissen und Zeit, um sich mit komplexen Regeln auseinanderzusetzen. Enterprise-Firewalls wären daher fehl am Platz, eine IPtables-Konfiguration von Hand erst recht Utopie.

Auf dieses Marktsegment zielt Underground 8 [1] mit ihrer Limes MF [2]. Im schicken orangefarbenen Gehäuse arbeitet eine eigens entwickelte Hardware, die für kleine Betriebe ausgelegt ist. Zur Zielgruppe passend erläutern die Unterlagen des Herstellers zunächst, warum überhaupt eine Firewall, ein VPN oder ein Spamschutz nötig sind. Auch die Installation und Konfiguration der Hardware orientieren sich am unbedarften Anwender und ausdrücklich nicht am Profi. Diese Kombination bedeutete für den Tester zunächst, sich auf die KMU-Randbedingungen einzustellen, da er in den letzten Jahren vor allem hochpreisige Enterprise-Produkte im Labor hatte.

Erste Schritte

Gleich nach dem Booten ist die Web-basierte Admin-Oberfläche der Limes MF auf dem internen Interface über Port 980 erreichbar. Passend zum Gehäuse und zur Dokumentation ist auch das GUI in kräftigem Orange gehalten - hier hat das Marketing offenbar die Ergonomie besiegt. Der mitgelieferte "Quicksetup Guide" (auch in Orange) sorgt aber dafür, dass die ersten Schritte (Internet- und LAN-Anbindung) flott und komplikationsfrei vonstattengehen.

Ohne weitere Einstellungen können die Benutzer vom internen Netz aus bereits über den transparenten Proxy das Web benutzen. Im Test hat der Proxy alle Viren erkannt, die der interne User unverschlüsselt mit HTTP angesurft hat. Für HTTPS liefert der Hersteller leider keine Lösung und weist darauf hin, dass verschlüsselte Verbindungen nicht scanbar seien. Dass dies nur die halbe Wahrheit ist, beweisen Konkurrenzprodukte wie der Microdasys-Proxy [3], Webwasher oder die Balabit-Firewall Zorp [5]. Für dieses Szenario wäre aber viel Aufwand nötig, um legitime Eingriffe von feindlichen Angreifern zu unterscheiden. Die Zielgruppe wäre wohl überfordert.

POP3 und SMTP sind per Default offen. Der POP3-Proxy der Limes MF scannt ankommende E-Mails auf Spam und Viren. Verdächtige Nachrichten versieht die Firewall mit einer Bemerkung in der Betreffzeile. Das ist ein guter Anfang für kleineren Umgebungen, für professionelle Ansprüche wäre ein unsichtbarer X-Header besser. Der könnte beispielsweise verhindern helfen, dass fälschlich als Spam klassifizierte Briefe von Geschäftspartnern in Antworten noch als Spam stigmatisiert sind.

Limes MF 500

Hersteller: Underground 8, Linz, Österreich [1] Getestet: Limes MF 500, Update 67 Aufgabe: Einfache Firewall-Appliance im Router-Modus. Automatismen sollen Anfängerfehler vermeiden. Der Hersteller empfiehlt dieses Modell für bis zu 50 User, ohne es per Lizenz auf diese Anzahl zu limitieren. Basissystem: Linux From Scratch (LFS). Kernel 2.4 mit GR-Security- und Openwall-Patches, zudem TCP/IP-Modifikationen und weitere IPtables-Module. Außerdem ist eine Stack Smashing Protection (SSP) integriert. Preise: Die Limes MF 500 kostet gut 6530 Euro, der Up2date-Service schlägt jährlich mit 1280 Euro zu Buche, für ein Care-Paket verlangt der Hersteller knapp 430 Euro pro Jahr (24-Stunden-Vorabaustausch). Daneben gibt es auch eine Leasing-Option [2].

Sicherheitskonzept

Das Sicherheitskonzept der Limes MF ist leider nicht dokumentiert und schwer durchschaubar. Im Default-Betrieb erlaubt die Firewall alle IP-Verbindungen (inklusive IPsec) von der internen Trusted-Zone ins Internet. Per NAT setzt sie die IP-Adresse des externen Interface als Absender ein - das ist zwar üblich, sollte aber sauber dokumentiert sein. Im Firewall-Log taucht keine der erlaubten Verbindungen auf. Das freut zwar Gelegenheits-Admins, da die Logs überschaubar bleiben, es behindert aber die Fehler- oder Spurensuche. Wer sich etwa einen Botnet-Knoten im internen Netz einhandelt, merkt von dessen Aktivitäten an der Firewall nichts.

Zudem existieren implizite Regeln, die zum Beispiel verhindern, dass sich unerfahrene Kunden durch eine falsche Cleanup-Regel von der Administration aussperren (Abbildung 1). Leider geht dies auf Kosten der Sicherheit: Der Profi kann nicht mehr eindeutig erkennen, was seine Firewall erlaubt und welche Pakete sie sperrt. Verbindungen, die über einen transparenten Proxy (HTTP/HTTPS, SMTP, POP3) laufen, sind aus Sicht des Paketfilters immer gestattet, außerdem ist IMAP offen. Ein Teil der Verbindungen schlägt sich immerhin in den Proxy-Logs nieder. Erlaubte IMAP-Verbindungen hinterließen im Test aber keine Spuren.

Abbildung 1: Obwohl der Admin hier nur eine Cleanup-Regel konfiguriert hat, die jeden Verkehr stoppen soll, bleiben zwei Ports zur Administration offen. Das vermeidet zwar Anfängerfehler, schadet aber der Sicherheit.