Open Source im professionellen Einsatz

© Dmitry Chernobrov, 123RF.com

Die Firewall Cyberoam authentifiziert Benutzer und überwacht das Messaging

Bunte Vielfalt

Zum ersten Mal tritt eine indische Firewall-Appliance im Linux-Magazin-Testlabor an. Die Cyberoam CR100ia von Elitecore glänzt nicht nur mit einem bunten Logo, sondern verspricht auch einen Funktionsumfang, der in dieser Preisklasse nicht üblich ist.

Holi, das indische Fest der Farben [1], verwandelt an Frühlingstagen die Städte des Subkontinents in ein Farben- und Blütenmeer. Historisch vermittelt das ausgelassene Feiern die Botschaft vom Triumph des Guten über das Böse. Vielleicht hat dieser Aspekt den Hersteller Elitecore [2] aus Delhi zu dem fröhlich-bunten Logo seiner authentifizierenden Firewall-Appliance Cyberoam CR100ia [3] verleitet. Sie ist nach der französischen Edenwall [4] (oder deren freier Variante Nu Firewall [5]) und der amerikanischen Palo Alto Networks Firewall [6] die dritte authentifizierende Brandmauer, die das Linux-Magazin testet.

Linux-basiert

Das Betriebssystem der Cyberoam-UTM-Appliance fußt auf dem Linux-Kernel 2.6, die Firewall dementsprechend auf Netfilter [7] und die IPsec-Implementierung laut Hersteller auf Openswan [8]. Cyberoam trägt aktiv zur Community bei: Die Mitarbeiter Hiren Joshi (Openswan) und Jimit Nishit (Netfilter) finden sich in der Liste der Entwickler auf den Projektseiten.

Bei den meisten Modulen gibt Cyberoam an, die Software selbst zu entwickeln, aber die AV-Patterns von Kaspersky oder dem Spam-Reputation-Service Commtouch zu beziehen. Lizenzen für den IPsec-VPN-Client muss der Kunde gesondert erwerben, sie kosten (ab 50 Stück) 50 Euro pro Client.

Günstig = taugt nix?

Das Marketing der großen Premium-Hersteller belächelt Geräte mit niedrigem Preis gern als unsicher oder unprofessionell. Oft fehlt den Kleinen wirklich ein grundsätzliches Verständnis für Kundenwünsche aus dem oberen Marktsegment. Bei der Cyberoam fällt dagegen auf, dass die eingebauten Features tief in den Enterprise-Markt ragen und entweder schon jetzt oder in kurzer Zeit gegen Produkte dieser Klasse antreten können. Für den Test hat Elitecore dem Linux-Magazin die Versionen 9 und 10 Early Availability (EA, Abbildung 1) der Appliance-Firmware zur Verfügung gestellt. Deren Features umfassen:

Abbildung 1: Die Weboberfläche der Firmware-Version 10 der Cyberoam-Appliance ist übersichtlich, könnte allerdings benutzerfreundlicher sein.

Abbildung 1: Die Weboberfläche der Firmware-Version 10 der Cyberoam-Appliance ist übersichtlich, könnte allerdings benutzerfreundlicher sein.

  • Überwachung von Instant Messaging und Webcams
  • Application Discovery und Application Explorer - beide
    sind allerdings gegenwärtig grafisch noch relativ
    unspektakulär
  • SSL-VPNs, entweder als Tunnel oder als Portal
  • Eine authentifizierende Firewall, deren Regeln entweder auf
    Benutzern und/oder Applikationen basieren, wahlweise mit
    Software-Agenten als Clients oder ohne
  • Integration mit einem SIEM-Modul (Security Incident and Event
    Management, Iview [8]) und Compliance Reporting (PCI)
  • Ein fein justierbarer HTTP-Proxy mit Ansätzen von DLP
  • Commtouch Reputation Services für Spam und WWW
  • Integration in MS-Windows- und Entrust-PKIs
  • Volle IPv6-Readyness im Bridging- und Routing-Modus für
    alle Regeln, die entweder auf Benutzern oder Applikationen
    basieren

Gegenwärtig hat die Version 10 EA mehr Enterprise-Features, während die 9 (Abbildung 3) eine solide und vollständige UTM-Firewall ist. Im GUI war dagegen die Darstellung der Regelbasis der laufenden Vorgänge, etwa ob die Appliance eine HTTP-Verbindung auf Viren scannt, in Version 9 besser gelungen.

Abbildung 2: Auf Wunsch regelt die Cyberoam ab Version 10 auch Chat- und Webcam-Sessions.

Abbildung 2: Auf Wunsch regelt die Cyberoam ab Version 10 auch Chat- und Webcam-Sessions.

Im Labor zeigte sich auch, dass einige interessante Komponenten wie der Traffic Discoverer oder das Compliance Reporting nur in der Version 9 enthalten waren, andere, neue Features wie das Instant-Messaging-Logging dafür nur in der aktuellen Firmware. Laut Hersteller soll die finale Version 10 (General Availability, GA) alle Features kombinieren.

Cyberoam CR100ia

Hersteller: Elitecore

Zielgruppe: Kleine und mittlere Unternehmen

Architektur: Intel

Betriebssystem: Linux mit Kernel 2.6

Netzwerk-Anschlüsse: 4x 10/100 MBit/s

Firewall-Durchsatz: Laut Hersteller 200 MBit/s, erscheint fraglich, da die Box nur 10/100-MBit-Devices eingebaut hat. In der Praxis sind daher maximal um 80 MBit/s möglich.

Durchsatz Threat Prevention: Laut Hersteller 60 MBit/s (Praxis 60 bis 80 MBit/s)

Durchsatz Backplane: 200 MBit/s

Durchsatz IPsec: Laut Hersteller 100 MBit/s, (Praxis 60 bis 80 MBit/s)

Neue Sessions: 4500 pro Sekunde

Maximale Sessionanzahl: 370 000

Preise: Ab 3100 Euro, plus 10 Prozent für Support und Firmware-Updates

Optionale Module: IDS/IDP, AV (Kaspersky), Antispam (Commtouch), URL Filter, VPN

Authentifizierung: ADS, LDAP, Radius, lokal

Abmessungen: 4,4 x 42,7 x 23,5 cm

Gewicht: 4 kg

Diesen Artikel als PDF kaufen

Express-Kauf als PDF

Umfang: 5 Heftseiten

Preis € 0,99
(inkl. 19% MwSt.)

Als digitales Abo

Als PDF im Abo bestellen

comments powered by Disqus

Ausgabe 07/2013

Preis € 6,40

Insecurity Bulletin

Insecurity Bulletin

Im Insecurity Bulletin widmet sich Mark Vogelsberger aktuellen Sicherheitslücken sowie Hintergründen und Security-Grundlagen. mehr...

Linux-Magazin auf Facebook