Die Firewall Cyberoam authentifiziert Benutzer und überwacht das Messaging

Holi, das indische Fest der Farben [1], verwandelt an Frühlingstagen die Städte des Subkontinents in ein Farben- und Blütenmeer. Historisch vermittelt das ausgelassene Feiern die Botschaft vom Triumph des Guten über das Böse. Vielleicht hat dieser Aspekt den Hersteller Elitecore [2] aus Delhi zu dem fröhlich-bunten Logo seiner authentifizierenden Firewall-Appliance Cyberoam CR100ia [3] verleitet. Sie ist nach der französischen Edenwall [4] (oder deren freier Variante Nu Firewall [5]) und der amerikanischen Palo Alto Networks Firewall [6] die dritte authentifizierende Brandmauer, die das Linux-Magazin testet.

Linux-basiert

Das Betriebssystem der Cyberoam-UTM-Appliance fußt auf dem Linux-Kernel 2.6, die Firewall dementsprechend auf Netfilter [7] und die IPsec-Implementierung laut Hersteller auf Openswan [8]. Cyberoam trägt aktiv zur Community bei: Die Mitarbeiter Hiren Joshi (Openswan) und Jimit Nishit (Netfilter) finden sich in der Liste der Entwickler auf den Projektseiten.

Bei den meisten Modulen gibt Cyberoam an, die Software selbst zu entwickeln, aber die AV-Patterns von Kaspersky oder dem Spam-Reputation-Service Commtouch zu beziehen. Lizenzen für den IPsec-VPN-Client muss der Kunde gesondert erwerben, sie kosten (ab 50 Stück) 50 Euro pro Client.

Günstig = taugt nix?

Das Marketing der großen Premium-Hersteller belächelt Geräte mit niedrigem Preis gern als unsicher oder unprofessionell. Oft fehlt den Kleinen wirklich ein grundsätzliches Verständnis für Kundenwünsche aus dem oberen Marktsegment. Bei der Cyberoam fällt dagegen auf, dass die eingebauten Features tief in den Enterprise-Markt ragen und entweder schon jetzt oder in kurzer Zeit gegen Produkte dieser Klasse antreten können. Für den Test hat Elitecore dem Linux-Magazin die Versionen 9 und 10 Early Availability (EA, Abbildung 1) der Appliance-Firmware zur Verfügung gestellt. Deren Features umfassen:

Abbildung 1: Die Weboberfläche der Firmware-Version 10 der Cyberoam-Appliance ist übersichtlich, könnte allerdings benutzerfreundlicher sein.

• Überwachung von Instant Messaging und Webcams
• Application Discovery und Application Explorer - beide
  sind allerdings gegenwärtig grafisch noch relativ
  unspektakulär
• SSL-VPNs, entweder als Tunnel oder als Portal
• Eine authentifizierende Firewall, deren Regeln entweder auf
  Benutzern und/oder Applikationen basieren, wahlweise mit
  Software-Agenten als Clients oder ohne
• Integration mit einem SIEM-Modul (Security Incident and Event
  Management, Iview [8]) und Compliance Reporting (PCI)
• Ein fein justierbarer HTTP-Proxy mit Ansätzen von DLP
• Commtouch Reputation Services für Spam und WWW
• Integration in MS-Windows- und Entrust-PKIs
• Volle IPv6-Readyness im Bridging- und Routing-Modus für
  alle Regeln, die entweder auf Benutzern oder Applikationen
  basieren

Gegenwärtig hat die Version 10 EA mehr Enterprise-Features, während die 9 (Abbildung 3) eine solide und vollständige UTM-Firewall ist. Im GUI war dagegen die Darstellung der Regelbasis der laufenden Vorgänge, etwa ob die Appliance eine HTTP-Verbindung auf Viren scannt, in Version 9 besser gelungen.

Abbildung 2: Auf Wunsch regelt die Cyberoam ab Version 10 auch Chat- und Webcam-Sessions.

Im Labor zeigte sich auch, dass einige interessante Komponenten wie der Traffic Discoverer oder das Compliance Reporting nur in der Version 9 enthalten waren, andere, neue Features wie das Instant-Messaging-Logging dafür nur in der aktuellen Firmware. Laut Hersteller soll die finale Version 10 (General Availability, GA) alle Features kombinieren.