Collax Security Gateway: Firewall mit vielen UTM-Funktionen

Harmonische Sammlung

Jörg Fritsch

Wer sich im Markt der Linux-Firewalls etablieren will, muss sich gegen eine breit gestreute Konkurrenz durchsetzen. Die deutsche Firma Collax ist durch ihren Kommunikationsserver bekannt. Ob sie auch beim Security Gateway eine harmonisch abgestimmte Funktionsmischung liefert, untersucht dieser Test.

CSG nennt sich das Produkt dezent, ausgeschrieben Collax Security Gateway [1]. Dabei passt auch das Buzzword Unified Threat Management, mit dem die Produktbroschüren auch prompt werben. Der noch recht junge Begriff meint Appliances oder Gateways, die gegen alle Gefahren schützen, die dem Anwender im Internet begegnen.

Wie die meisten UTM-Appliances (siehe Kasten "UTM versus Proxy-Firewall") bringt die CSG eine Firewall mit, ein IDS/IPS (Intrusion Detection/Prevention System), einen VPN-Konzentrator (Virtual Private Network) und einen Virenfilter für HTTP, SMTP und POP3. Nebenbei kann die CSG noch als Name- und DHCP-Server auftreten.

Die meisten Hersteller von Astaro [2] über Checkpoint bis Sonicwall und Sidewinder haben ein UTM-Produkt im Portfolio, das vor allem kleine und mittlere Betriebe anspricht. Gleich nach dem Einschalten dieser Geräte merkt der Kenner, ob der Hersteller einfach eine alte Firewall mit einem neuen HTTP- und SMTP-Proxy aufgepeppt hat, um sie frech als UTM-Appliance zu vermarkten, oder ob es sich um ein sinnvoll aufgebautes Gesamtprodukt handelt.

Collax Security Gateway
Funktion: UTM-Appliance (Unified Threat Management) Basissystem: Eigene Distribution namens Pynix [4] mit Kernel 2.6.16.51 Perimeter-Defense: Firewall: Netfilter/IPtables IDS/IPS: Snort Client2Site-VPN: IPsec (Openswan/Pluto), L2TP mit OpenL2TP oder PPTP mit Poptop Site2Site-VPN: IPsec mit Openswan/Pluto UTM-Features: SMTP: Postfix Antispam: Spamassassin AV-Scanner: Clam AV oder Kaspersky Webcontent-Filter: Squidguard, Cobion Zusatzfunktionen: VLANs und QoS: Ja High Availability: Nein Routingprotokolle: Nein DNS: Bind DHCP: ISC Dhcpd HTTP-Proxy-Cache: Squid Preis: Die getestete Appliance "CSG Rack One" mit 160-GByte-Festplatte, zwei LAN-Interfaces (10/100/1000 MBit/s), Intel-Prozessor Core 2 Duo und 1024 MByte RAM im 1-HE-Rackeinschub kostet für zehn Benutzer und mit einem Jahr Subskription gut 1500 Euro. Auch andere Hardwareplattformen sind verfügbar [5]. Das Produkt ist zudem als Software zu haben. Die kostet den Privatanwender nichts, bei kommerzieller Anwendung fallen aber 350 Euro für ebenfalls zehn Benutzer und ein Jahr an.

Collax Security
Gateway

Funktion: UTM-Appliance (Unified Threat Management)

Basissystem: Eigene Distribution namens Pynix [4] mit Kernel 2.6.16.51

Perimeter-Defense:

Firewall: Netfilter/IPtables
IDS/IPS: Snort
Client2Site-VPN: IPsec (Openswan/Pluto), L2TP mit OpenL2TP oder
PPTP mit Poptop
Site2Site-VPN: IPsec mit Openswan/Pluto

UTM-Features:

SMTP: Postfix
Antispam: Spamassassin
AV-Scanner: Clam AV oder Kaspersky
Webcontent-Filter: Squidguard, Cobion

Zusatzfunktionen:

VLANs und QoS: Ja
High Availability: Nein
Routingprotokolle: Nein
DNS: Bind
DHCP: ISC Dhcpd
HTTP-Proxy-Cache: Squid

Preis: Die getestete Appliance "CSG Rack One" mit 160-GByte-Festplatte, zwei LAN-Interfaces (10/100/1000 MBit/s), Intel-Prozessor Core 2 Duo und 1024 MByte RAM im 1-HE-Rackeinschub kostet für zehn Benutzer und mit einem Jahr Subskription gut 1500 Euro. Auch andere Hardwareplattformen sind verfügbar [5].

Das Produkt ist zudem als Software zu haben. Die kostet den Privatanwender nichts, bei kommerzieller Anwendung fallen aber 350 Euro für ebenfalls zehn Benutzer und ein Jahr an.

UTM versus Proxy-Firewall
Auf den ersten Blick erscheinen UTM-Appliances wie eine Reinkarnation der altbekannten Proxy-Firewalls. Doch der Eindruck stimmt nur bedingt. Die Funktionalität gleicht sich zwar in wichtigen Teilen, so haben beide etwa Proxys für WWW, SMTP, POP3 und mehr. UTM-Appliances behaupten sich aber auch gegen Bedrohungen wie Mobile Malicious Code (Malware), Viren und Spam, gegen die keine Proxy-Firewall hilft. Auch die Hersteller sind andere. UTM-Appliances stützen sich meist auf vorhandene Applikationen, die sie sicher konfigurieren und harmonisieren. Die Hersteller von Proxy-Firewalls sind hingegen der Meinung, dass nur sie sichere Applikationen schreiben können, und erfinden mit einem kleinen Entwicklerteam das Rad zumeist neu. Der Kunde rennt damit meist der Zeit hinterher. Offenheit als Vorteil Dank der Offenheit freier Software (Linux, Squid, C-ICAP, IPtables, Dansguardian ...) ist die Chance viel größer, mit einem kleinen Team am Ball zu bleiben und dem Kunden Produkte auf der Höhe der Zeit zu liefern. Die Testergebnisse legen sogar die Frage nahe, ob gut gemachte UTM-Appliances mittelfristig vielleicht vom KMU-Segment (kleine und mittelgroße Unternehmen) in den Enterprisemarkt vordringen. Art Coviello, Präsident der Sicherheitsfirma RSA, orakelte auf der RSA-Konferenz 2007 gar, dass es in drei Jahren keine Stand-alone-Security-Hersteller und -Produkte mehr geben wird. Alle dann noch erfolgreichen Produkte seien hochintegriert und folgten einer ganzheitlichen (holistic) Betrachtung.

UTM versus
Proxy-Firewall

Auf den ersten Blick erscheinen UTM-Appliances wie eine Reinkarnation der altbekannten Proxy-Firewalls. Doch der Eindruck stimmt nur bedingt. Die Funktionalität gleicht sich zwar in wichtigen Teilen, so haben beide etwa Proxys für WWW, SMTP, POP3 und mehr. UTM-Appliances behaupten sich aber auch gegen Bedrohungen wie Mobile Malicious Code (Malware), Viren und Spam, gegen die keine Proxy-Firewall hilft. Auch die Hersteller sind andere.

UTM-Appliances stützen sich meist auf vorhandene Applikationen, die sie sicher konfigurieren und harmonisieren. Die Hersteller von Proxy-Firewalls sind hingegen der Meinung, dass nur sie sichere Applikationen schreiben können, und erfinden mit einem kleinen Entwicklerteam das Rad zumeist neu. Der Kunde rennt damit meist der Zeit hinterher.

Offenheit als Vorteil

Dank der Offenheit freier Software (Linux, Squid, C-ICAP, IPtables, Dansguardian ...) ist die Chance viel größer, mit einem kleinen Team am Ball zu bleiben und dem Kunden Produkte auf der Höhe der Zeit zu liefern. Die Testergebnisse legen sogar die Frage nahe, ob gut gemachte UTM-Appliances mittelfristig vielleicht vom KMU-Segment (kleine und mittelgroße Unternehmen) in den Enterprisemarkt vordringen. Art Coviello, Präsident der Sicherheitsfirma RSA, orakelte auf der RSA-Konferenz 2007 gar, dass es in drei Jahren keine Stand-alone-Security-Hersteller und -Produkte mehr geben wird. Alle dann noch erfolgreichen Produkte seien hochintegriert und folgten einer ganzheitlichen (holistic) Betrachtung.

Rundumschutz

Zu welcher Gruppe Collax gehört galt es im Test nachzuprüfen. Der Hersteller lieferte dafür eine CSG-Appliance auf Basis der Rack-one-Hardware, siehe Kasten "Die Hardware" und [3]. Im Testlabor kam das Gerät zusammen mit einer CD und zwei Blättern an. Auf der CD befindet sich neben der bereits installierten Software auch ein 450 Seiten starkes Handbuch im PDF-Format.

Die Hardware
Die Collax SG [1] Rack-one-Appliance [2] präsentiert sich als 1-HE-Rackserver mit einem übersichtlichen Innenleben (Abbildung 4). Von oben betrachtet ist alles einfach zugänglich und sauber verarbeitet. Die Kabel sind alle mit Rip-Ties gebunden und in Bereichen, in denen die Leitungen unter Umständen scheuern könnten, zusätzlich isoliert. Der Hersteller hat alle Komponenten gut fixiert. Dieser robuste Server wird einen Transport klaglos übersteht. Abbildung 4: Die Rack-one-Appliance besteht aus ordentlich verbauten und gut aufeinander abgestimmten Standard-PC-Komponenten. Bei der Hardware handelt es sich um Standard-PC-Komponenten. Auf dem Intel-Mainboard steckt ein Intel Core 2 Duo vom Typ T6230 mit 1,86 GHz. Obwohl diese CPU 64-Bit-fähig ist, hat der Hersteller das Mainboard und den Bus auf 32-Bit-Betrieb ausgelegt. Außerdem ist der Server mit 1 GByte RAM ausgestattet (zwei 512-MByte-DDR-Module PC5300 ohne ECC) sowie mit einer handelsüblichen, 160 GByte großen SATA-Festplatte und mit einem einzelnen Netzteil. Im Inneren befindet sich eine Kontrollplatine mit einem akustischen Signalgeber (Pieper), die im Test beim Simulieren kleinerer Schäden leider nicht funktionierte. Dass die Tester die Stromkabel einiger Lüfter während des Betriebs gezogen hatten, um den Ausfall eines Lüfters zu simulieren, bemerkte die Kontrollplatine offenbar nicht. Sie meldete den Schaden weder akustisch noch optisch - an der Frontseite des Gehäuses gäbe es dafür ein Lämpchen. Solides Gerät Die Hardware erwies sich als harmonisch aufgebautes System. Obwohl alle Komponenten im Entry-Level angesiedelt sind, funktionierte die Appliance im Test ohne zu haken. Das mag als Zeichen dafür dienen, dass die Hardware mehr in den Hintergrund rückt und ein ausgewogen konfiguriertes Linux viel zu einem guten Gesamteindruck beiträgt. (Norbert Landowski)

Die Hardware

Die Collax SG [1] Rack-one-Appliance [2] präsentiert sich als 1-HE-Rackserver mit einem übersichtlichen Innenleben (Abbildung 4). Von oben betrachtet ist alles einfach zugänglich und sauber verarbeitet. Die Kabel sind alle mit Rip-Ties gebunden und in Bereichen, in denen die Leitungen unter Umständen scheuern könnten, zusätzlich isoliert. Der Hersteller hat alle Komponenten gut fixiert. Dieser robuste Server wird einen Transport klaglos übersteht.

Abbildung 4: Die Rack-one-Appliance besteht aus ordentlich verbauten und gut aufeinander abgestimmten Standard-PC-Komponenten.

Bei der Hardware handelt es sich um Standard-PC-Komponenten. Auf dem Intel-Mainboard steckt ein Intel Core 2 Duo vom Typ T6230 mit 1,86 GHz. Obwohl diese CPU 64-Bit-fähig ist, hat der Hersteller das Mainboard und den Bus auf 32-Bit-Betrieb ausgelegt. Außerdem ist der Server mit 1 GByte RAM ausgestattet (zwei 512-MByte-DDR-Module PC5300 ohne ECC) sowie mit einer handelsüblichen, 160 GByte großen SATA-Festplatte und mit einem einzelnen Netzteil.

Im Inneren befindet sich eine Kontrollplatine mit einem akustischen Signalgeber (Pieper), die im Test beim Simulieren kleinerer Schäden leider nicht funktionierte. Dass die Tester die Stromkabel einiger Lüfter während des Betriebs gezogen hatten, um den Ausfall eines Lüfters zu simulieren, bemerkte die Kontrollplatine offenbar nicht. Sie meldete den Schaden weder akustisch noch optisch - an der Frontseite des Gehäuses gäbe es dafür ein Lämpchen.

Solides Gerät

Die Hardware erwies sich als harmonisch aufgebautes System. Obwohl alle Komponenten im Entry-Level angesiedelt sind, funktionierte die Appliance im Test ohne zu haken. Das mag als Zeichen dafür dienen, dass die Hardware mehr in den Hintergrund rückt und ein ausgewogen konfiguriertes Linux viel zu einem guten Gesamteindruck beiträgt. (Norbert Landowski)

Die zwei Papierseiten enthalten den Lizenzschlüssel für die erste Inbetriebnahme sowie eine knappe Beschreibung der Ersteinrichtung. Sie erklärt kurz, dass die CSG-Appliance nach dem Booten unter der IP-Adresse 192.168.9.9/24 per HTTPS auf Port 8001 erreichbar ist und dass eventuelle Proxy-Einstellungen im Browser zu deaktivieren sind.

So knapp die gedruckte Anleitung auch ist - sie war völlig ausreichend. Während der gesamten Testphase gab es keine Stelle, an der die Tester auf weitere Dokumentation angewiesen gewesen wären. Die Appliance zeigte sich verständlich strukturiert und zuverlässig, sodass der einzige Kontakt mit dem Hersteller dazu diente, die Leihstellung zu verlängern. Offenbar legt Collax es nicht darauf an, mit einem komplizierten Produkt nachträglich an Consulting-Leistungen zu verdienen.

Administration

Je nach Vorliebe und eigenem Security-Wissen bleibt die Wahl zwischen zwei Konfigurationswegen: alle Parameter selbst einstellen oder Assistenten zur Hilfe rufen. Das Web-GUI hat dazu am linken Rand - etwas versteckt - drei senkrecht angeordnete Reiter »Einstellungen«, »Assistenten« und »System«. Die ersten beiden sind für die Konfiguration zuständig und führen schnell zu brauchbaren Ergebnissen. Im obersten Reiter informiert das Gerät über seinen Status und zeigt Statistiken sowie die Logfiles (Abbildung 1).

Abbildung 1: Im »System«-Reiter (linker Rand) ordnet Collax alle Funktionen zur Überwachung und Auswertung an. Hier informiert das System über den Status aller Dienste und erklärt dankenswerterweise auch kurz, welche Aufgabe der Dienst erfüllt und zu welchem Subsystem er gehört.

Interessanterweise sammelt die Software zunächst alle Änderungen, um sie dann en bloc zu aktivieren. Dank dieses praktischen Details kann der Admin in Ruhe eine neue Konfiguration kreieren und sie erst, wenn er alles richtig zusammengestellt hat, per Mausklick aktivieren. Das verhindert, dass die Applikationen und Services zwischendurch mit Einstellungen laufen, die nicht zueinander passen. Die Entwickler haben sogar daran gedacht, alle Modifikationen übersichtlich darzustellen (Abbildung 2).

Abbildung 2: Änderungen übernimmt das Collax Security Gateway nicht sofort, sondern sammelt sie zunächst und überlässt es dem Admin, alles auf einmal zu aktivieren. Er kann dank dieser Zusammenfassung außerdem leicht prüfen, ob alle Modifikationen passen.

Nach Konfigurationsänderungen zeigt die Appliance auch, welche Dienste sie neu startet. Sobald gespeicherte Konfigurationsänderungen vorliegen, blinkt im Web-GUI oben rechts der so genannte Aktivierungsknopf und es erscheint der Text »Bitte klicken Sie den Aktivierungsknopf, um die Änderungen wirksam zu machen« in der Statuszeile. Diese Hinweise sind wichtig, um das Aktivieren nicht zu vergessen und schlimmstenfalls ein unsicheres System zu hinterlassen.

« Zurück 1 2 3 4 Weiter »

Diesen Artikel als PDF kaufen

Express-Kauf als PDF

Umfang: 4 Heftseiten

Preis € 0,99
(inkl. 19% MwSt.)

Als digitales Abo

Als PDF im Abo bestellen

Collax Security Gateway: Firewall mit vielen UTM-Funktionen

Harmonische Sammlung

Offenheit als Vorteil

Rundumschutz

Solides Gerät

Administration

Diesen Artikel als PDF kaufen

Express-Kauf als PDF

Als digitales Abo

Weitere Produkte im Medialinx Shop »

Versandartikel

Onlineartikel

Ähnliche Artikel

Ausgabe 07/2013

Insecurity Bulletin

Linux-Magazin auf Facebook