Firewalls für besondere Einsatzzwecke

Entwickler und Anbieter von Firewalls können einem fast leidtun. Die Brandabwehr ist weitgehend ausgereift. IP-Verkehr nach Protokolltypen und Zielports zu filtern oder auch sitzungserhaltend zu klassifizieren, beherrschen viele Produkte. Das Kernel-Backend Netfilter und seine Zusatzmodule leisten eine Menge [1]. Für die Konfiguration haben Anwender eine Palette von Tools oder Webfrontends zur Auswahl [2]. UTM-Appliances oder Linux-Distributionen wie etwa Fli4l tun ihr Übriges [3].

Unvermutet erfährt das Thema aber neuerdings eine Renaissance. Speziallösungen von Anbietern bedienen jetzt auch Anforderungen, die sich bislang in einer Nische befanden. Ungewöhnliche Anforderungen verlangen gelegentlich unkonventionelle Lösungen.

Denn manchen sind sichere Firewalls nicht sicher genug. Bestimmte öffentliche Stellen oder das Militär benötigen mehr Sicherheit - und müssen das auch nachweisen. Dazu gehört, nur geprüfte und zugelassene Produkte einzusetzen. Das regelt in Deutschland organisatorisch beispielsweise die Verschlusssachenanweisung (VSA) des Bundes beziehungsweise der Länder [4] und definiert die Geheimhaltungsgrade "Nur für den Dienstgebrauch" (VS-NfD), "Vertraulich", "Geheim" und "Streng geheim".

Ganz sicher sicher

Das klingt nach James Bond, in der überwiegenden Zahl der Einsatzfälle geht es aber nur um die niedrigste Stufe VS-NfD. Damit die zuständige Behörde, das Bundesamt für Sicherheit in der Informationstechnik, einem Sicherheitsprodukt eine solche Zulassung erteilt, müssen Hersteller ihr Produkt evaluieren lassen. Das bedeutet einen Nachweis zu führen, dass gewisse Sicherheitsfunktionen tatsächlich vorhanden sind.

Eine recht hohe Evaluationsstufe ist EAL 4, Prüfcenter vergeben sie im Rahmen des standardisierten Common-Criteria-Prüfprozesses. Das Kirchheimer Unternehmen Genua [5] hat diesen Prozess für mehrere seiner Firewalls durchlaufen, darunter für Genuscreen, einen Paketfilter, und Genugate, eine zweistufige Firewall, die auch noch einen Applikationsproxy enthält. Einige Konfigurationen haben sogar höhere Stufen erreicht.

Im Herzen des kleinsten Genuscreen, dem Modell 100C, schlägt eine mit 433 MHz getaktete AMD-CPU. Über die vier Fast-Ethernet-Schnittstellen transferiert das Gerät nach Herstellerangaben 90 MBit/s. Es kostet 2100 Euro.

Seine größeren Brüder 300S (Abbildung 1) und 500S haben leistungsfähigere CPUs und Gigabit-Schnittstellen, sodass sie bis zu 1250 MBit/s Datendruchsatz im Firewall-Modus erreichen. Das klappt sogar als Bridge, so bleibt das Gerät aus IP-Sicht unsichtbar, trennt aber dennoch zwei Segmente. Zusätzlich kosten Zusatzmodule von Partnern, die Webtraffic auf ihren Inhalt prüfen. Grundlage des Genuscreen ist übrigens Open BSD.

Abbildung 1: Genuscreen ist ein Paktfilter auf Basis von Open BSD. Hersteller Genua ließ ihn evaluieren und erhielt eine BSI-Zulassung.

Mit den Kennzahlen ihrer Leistung und der Ausstattung unterscheiden sich die Geräte nicht wesentlich von vielen anderen Paketfiltern. Die vorläufige Zulassung zur Bearbeitung von Daten der Stufe VS-NfD unterscheidet Genuas Gerät jedoch von den Modellen seiner Wettbewerber. Da es bislang kaum weitere deutsche Anbieter gibt, die eine solche Evaluation vorweisen können, war das Unternehmen bei den aus Anbietersicht attraktiven deutschen öffentlichen Verwaltungen bislang wohlgelitten.

Das weckt Begehrlichkeiten beim zweiten großen Sicherheitsdienstleister Secunet [6] aus Essen, der bislang vorrangig mit seiner VPN-Architektur Sina von sich Reden machte. Da das Unternehmen keine Firewall im Portfolio hatte, die mit aktuellen Anforderungen an die Administration mithalten konnte, tat es sich mit Firewall-Spezialist Astaro [7] aus Karlsruhe zusammen. Das ebenfalls deutsche Unternehmen - ein wichtiges Kriterium für öffentliche Auftraggeber - entwickelt zwar schon seit einer Dekade Linux-Firewalls und betreut gegenwärtig nach eigenen Angaben über 40 000 aktive Installationen, bislang allerdings nur selten für die öffentliche Hand.

Vom Kuchen abbeißen

Nun tun sich Secunet und Astaro zusammen und präsentieren gemeinsam die Secunet Wall 2 (siehe Abbildung 2). Secunet vertreibt die Modelle unter eigenem Label und mit eigenen Anpassungen, orientiert sich aber mit den Modellen 220, 425 und 625 an den gleichnamigen Typen des Astaro Security Gateway.

Abbildung 2: Die Wall 2 verspricht den Komfort der Astaro-Konfigurationsoberfläche kombiniert mit Secunets Know-how im Bereich der Hochsicherheit.

Die Wall 2 kostet inklusive ein Jahr Support rund 2500 Euro und enthält eine Dualcore-CPU mit 2,6 GHz und acht Gigabit-Ethernet-Ports. Damit schafft sie laut Prospekt 500 MBit/s Durchsatz im Firewalling. Die größeren Modelle kommen mit mehr CPU und Speicher, im Maximalausbau mit zwei 3,0 GHz-getakteten Xeon-Quadcore-CPUs. Astaro sorgt für die Plattform und Weiterentwicklung der Oberfläche, die Secunet-Experten steuern Know-how zur EAL-4-Evaluation bei, die allerdings erst beantragt ist.

Höchste Sicherheit ist aber nur eine Anforderung an eine Firewall. Manch kleines Unternehmen sehnt sich nach einer einfachen Lösung, die möglichst wenig Arbeit macht, aber dennoch ein vernünftiges Maß an Sicherheit bietet. Das Systemhaus Sernet [8] bietet Lösungen an, bei denen die Firewall im Rechenzentrum der Göttinger steht. Das von Sernet gewartete System prüft die eingehenden Verbindungen und leitet sie per VPN ins Kundennetz an eine Appliance, die ansonsten keinerlei Daten von außen entgegennimmt. Wer vorrangig im Web surft und E-Mail empfängt, erhält so ein Komplettpaket, das sogar auf Wunsch eine DE-Domäne enthält.

Dafür zahlt der Kunde einmalig 2400 Euro für das Gerät und 2200 Euro jährlich für Support, Monitoring und Updates. Wer zusätzlich Remote Access auf sein Unternehmensnetz benötigt, dem bietet Sernet für 180 Euro einen proprietären Cisco-Client für das offene IPsec-Protokoll an, der auf allen wichtigen Plattformen läuft: Neben Linux und Windows sogar auf dem I-Phone.