Wer sich im Markt der Linux-Firewalls etablieren will, muss sich gegen eine breit gestreute Konkurrenz durchsetzen. Die deutsche Firma Collax ist durch ihren Kommunikationsserver bekannt. Ob sie auch beim Security Gateway eine harmonisch abgestimmte Funktionsmischung liefert, untersucht dieser Test.
CSG nennt sich das Produkt dezent, ausgeschrieben Collax Security Gateway [1]. Dabei passt auch das Buzzword Unified Threat Management, mit dem die Produktbroschüren auch prompt werben. Der noch recht junge Begriff meint Appliances oder Gateways, die gegen alle Gefahren schützen, die dem Anwender im Internet begegnen.
Wie die meisten UTM-Appliances (siehe Kasten “UTM versus Proxy-Firewall”) bringt die CSG eine Firewall mit, ein IDS/IPS (Intrusion Detection/Prevention System), einen VPN-Konzentrator (Virtual Private Network) und einen Virenfilter für HTTP, SMTP und POP3. Nebenbei kann die CSG noch als Name- und DHCP-Server auftreten.
Die meisten Hersteller von Astaro [2] über Checkpoint bis Sonicwall und Sidewinder haben ein UTM-Produkt im Portfolio, das vor allem kleine und mittlere Betriebe anspricht. Gleich nach dem Einschalten dieser Geräte merkt der Kenner, ob der Hersteller einfach eine alte Firewall mit einem neuen HTTP- und SMTP-Proxy aufgepeppt hat, um sie frech als UTM-Appliance zu vermarkten, oder ob es sich um ein sinnvoll aufgebautes Gesamtprodukt handelt.
|
Collax Security |
|---|
|
Basissystem: Eigene Distribution namens Pynix [4] mit Kernel 2.6.16.51 Perimeter-Defense:
UTM-Features:
Zusatzfunktionen:
Preis: Die getestete Appliance “CSG Rack One” mit 160-GByte-Festplatte, zwei LAN-Interfaces (10/100/1000 MBit/s), Intel-Prozessor Core 2 Duo und 1024 MByte RAM im 1-HE-Rackeinschub kostet für zehn Benutzer und mit einem Jahr Subskription gut 1500 Euro. Auch andere Hardwareplattformen sind verfügbar [5]. Das Produkt ist zudem als Software zu haben. Die kostet den Privatanwender nichts, bei kommerzieller Anwendung fallen aber 350 Euro für ebenfalls zehn Benutzer und ein Jahr an. |
|
UTM versus |
|---|
|
Auf den ersten Blick erscheinen UTM-Appliances wie eine Reinkarnation der altbekannten Proxy-Firewalls. Doch der Eindruck stimmt nur bedingt. Die Funktionalität gleicht sich zwar in wichtigen Teilen, so haben beide etwa Proxys für WWW, SMTP, POP3 und mehr. UTM-Appliances behaupten sich aber auch gegen Bedrohungen wie Mobile Malicious Code (Malware), Viren und Spam, gegen die keine Proxy-Firewall hilft. Auch die Hersteller sind andere. UTM-Appliances stützen sich meist auf vorhandene Applikationen, die sie sicher konfigurieren und harmonisieren. Die Hersteller von Proxy-Firewalls sind hingegen der Meinung, dass nur sie sichere Applikationen schreiben können, und erfinden mit einem kleinen Entwicklerteam das Rad zumeist neu. Der Kunde rennt damit meist der Zeit hinterher. Offenheit als VorteilDank der Offenheit freier Software (Linux, Squid, C-ICAP, IPtables, Dansguardian …) ist die Chance viel größer, mit einem kleinen Team am Ball zu bleiben und dem Kunden Produkte auf der Höhe der Zeit zu liefern. Die Testergebnisse legen sogar die Frage nahe, ob gut gemachte UTM-Appliances mittelfristig vielleicht vom KMU-Segment (kleine und mittelgroße Unternehmen) in den Enterprisemarkt vordringen. Art Coviello, Präsident der Sicherheitsfirma RSA, orakelte auf der RSA-Konferenz 2007 gar, dass es in drei Jahren keine Stand-alone-Security-Hersteller und -Produkte mehr geben wird. Alle dann noch erfolgreichen Produkte seien hochintegriert und folgten einer ganzheitlichen (holistic) Betrachtung. |
Rundumschutz
Zu welcher Gruppe Collax gehört galt es im Test nachzuprüfen. Der Hersteller lieferte dafür eine CSG-Appliance auf Basis der Rack-one-Hardware, siehe Kasten “Die Hardware” und [3]. Im Testlabor kam das Gerät zusammen mit einer CD und zwei Blättern an. Auf der CD befindet sich neben der bereits installierten Software auch ein 450 Seiten starkes Handbuch im PDF-Format.
|
Die Hardware |
|---|
|
Die Collax SG [1] Rack-one-Appliance [2] präsentiert sich als 1-HE-Rackserver mit einem übersichtlichen Innenleben (Abbildung 4). Von oben betrachtet ist alles einfach zugänglich und sauber verarbeitet. Die Kabel sind alle mit Rip-Ties gebunden und in Bereichen, in denen die Leitungen unter Umständen scheuern könnten, zusätzlich isoliert. Der Hersteller hat alle Komponenten gut fixiert. Dieser robuste Server wird einen Transport klaglos übersteht.  Abbildung 4: Die Rack-one-Appliance besteht aus ordentlich verbauten und gut aufeinander abgestimmten Standard-PC-Komponenten. Bei der Hardware handelt es sich um Standard-PC-Komponenten. Auf dem Intel-Mainboard steckt ein Intel Core 2 Duo vom Typ T6230 mit 1,86 GHz. Obwohl diese CPU 64-Bit-fähig ist, hat der Hersteller das Mainboard und den Bus auf 32-Bit-Betrieb ausgelegt. Außerdem ist der Server mit 1 GByte RAM ausgestattet (zwei 512-MByte-DDR-Module PC5300 ohne ECC) sowie mit einer handelsüblichen, 160 GByte großen SATA-Festplatte und mit einem einzelnen Netzteil. Im Inneren befindet sich eine Kontrollplatine mit einem akustischen Signalgeber (Pieper), die im Test beim Simulieren kleinerer Schäden leider nicht funktionierte. Dass die Tester die Stromkabel einiger Lüfter während des Betriebs gezogen hatten, um den Ausfall eines Lüfters zu simulieren, bemerkte die Kontrollplatine offenbar nicht. Sie meldete den Schaden weder akustisch noch optisch – an der Frontseite des Gehäuses gäbe es dafür ein Lämpchen. Solides GerätDie Hardware erwies sich als harmonisch aufgebautes System. Obwohl alle Komponenten im Entry-Level angesiedelt sind, funktionierte die Appliance im Test ohne zu haken. Das mag als Zeichen dafür dienen, dass die Hardware mehr in den Hintergrund rückt und ein ausgewogen konfiguriertes Linux viel zu einem guten Gesamteindruck beiträgt. (Norbert Landowski) |
Die zwei Papierseiten enthalten den Lizenzschlüssel für die erste Inbetriebnahme sowie eine knappe Beschreibung der Ersteinrichtung. Sie erklärt kurz, dass die CSG-Appliance nach dem Booten unter der IP-Adresse 192.168.9.9/24 per HTTPS auf Port 8001 erreichbar ist und dass eventuelle Proxy-Einstellungen im Browser zu deaktivieren sind.
So knapp die gedruckte Anleitung auch ist – sie war völlig ausreichend. Während der gesamten Testphase gab es keine Stelle, an der die Tester auf weitere Dokumentation angewiesen gewesen wären. Die Appliance zeigte sich verständlich strukturiert und zuverlässig, sodass der einzige Kontakt mit dem Hersteller dazu diente, die Leihstellung zu verlängern. Offenbar legt Collax es nicht darauf an, mit einem komplizierten Produkt nachträglich an Consulting-Leistungen zu verdienen.
Administration
Je nach Vorliebe und eigenem Security-Wissen bleibt die Wahl zwischen zwei Konfigurationswegen: alle Parameter selbst einstellen oder Assistenten zur Hilfe rufen. Das Web-GUI hat dazu am linken Rand – etwas versteckt – drei senkrecht angeordnete Reiter »Einstellungen«, »Assistenten« und »System«. Die ersten beiden sind für die Konfiguration zuständig und führen schnell zu brauchbaren Ergebnissen. Im obersten Reiter informiert das Gerät über seinen Status und zeigt Statistiken sowie die Logfiles (Abbildung 1).
Abbildung 1: Im »System«-Reiter (linker Rand) ordnet Collax alle Funktionen zur Überwachung und Auswertung an. Hier informiert das System über den Status aller Dienste und erklärt dankenswerterweise auch kurz, welche Aufgabe der Dienst erfüllt und zu welchem Subsystem er gehört.
Interessanterweise sammelt die Software zunächst alle Änderungen, um sie dann en bloc zu aktivieren. Dank dieses praktischen Details kann der Admin in Ruhe eine neue Konfiguration kreieren und sie erst, wenn er alles richtig zusammengestellt hat, per Mausklick aktivieren. Das verhindert, dass die Applikationen und Services zwischendurch mit Einstellungen laufen, die nicht zueinander passen. Die Entwickler haben sogar daran gedacht, alle Modifikationen übersichtlich darzustellen (Abbildung 2).
Abbildung 2: Änderungen übernimmt das Collax Security Gateway nicht sofort, sondern sammelt sie zunächst und überlässt es dem Admin, alles auf einmal zu aktivieren. Er kann dank dieser Zusammenfassung außerdem leicht prüfen, ob alle Modifikationen passen.
Nach Konfigurationsänderungen zeigt die Appliance auch, welche Dienste sie neu startet. Sobald gespeicherte Konfigurationsänderungen vorliegen, blinkt im Web-GUI oben rechts der so genannte Aktivierungsknopf und es erscheint der Text »Bitte klicken Sie den Aktivierungsknopf, um die Änderungen wirksam zu machen« in der Statuszeile. Diese Hinweise sind wichtig, um das Aktivieren nicht zu vergessen und schlimmstenfalls ein unsicheres System zu hinterlassen.
Träge Änderungen
Beim Aktivieren der neuen Einstellungen gönnt sich die Appliance immer wieder längere Pausen. Services, die gerade eingesetzt werden, brauchen sehr lange, bis das CSG sie beendet und mit geänderter Konfiguration neu startet. Speziell der Squid-Proxyserver stoppt nur sehr zögerlich. In Umgebungen mit fünf bis zehn Benutzern hilft als Ausweg, die Größe des Proxycache auf 248 MByte zu reduzieren. Schließlich lautet die Hauptaufgabe des Proxy nicht, möglichst viel zu cachen um Webzugriffe zu beschleunigen, er soll vielmehr unerwünschte Inhalte ausblenden und Viren aufspüren. Das geht auch mit einem kleinen Cache, der sich dann zügig beendet.
Die Collax-SG-Appliance nimmt dem Administrator möglichst viel Konfigurationsarbeit ab, ohne dabei undurchschaubar zu werden und ohne verborgene Aktionen hinter seinem Rücken zu starten. Die Software verheimlicht ihre Linux-Innereien nicht und sagt deutlich, welche Applikationen (Squid, Dansguardian, C-ICAP …) laufen. Nichts ist verbaut, der Administrator kann sich zu allem Zugriff verschaffen, zum Beispiel per SSH-Login oder über die serielle Schnittstelle (COM1) auf der Kommandozeile.
Praktische Offenheit
Im Test war der direkte Zugang doppelt angenehm, hilft er doch die Appliance zu verstehen und sich darauf einzustellen, wie die vorinstallierten Programme und Services zusammenarbeiten. Listing 1 zeigt, dass laut »netstat -av« auf der Appliance während des normalen Betriebs 14 TCP-Ports offen sind. Im Portscan von außen ist keiner davon zu sehen.
|
Listing 1: Offene |
|---|
01 admin@csg:~> netstat -avn | grep -i 0.0.0.0 | grep -i listen 02 netstat: no support for `AF IPX' on this system. 03 netstat: no support for `AF X25' on this system. 04 tcp 0 0 0.0.0.0:1344 0.0.0.0:* LISTEN 05 tcp 0 0 0.0.0.0:8001 0.0.0.0:* LISTEN 06 tcp 0 0 0.0.0.0:8002 0.0.0.0:* LISTEN 07 tcp 0 0 0.0.0.0:515 0.0.0.0:* LISTEN 08 tcp 0 0 0.0.0.0:37 0.0.0.0:* LISTEN 09 tcp 0 0 0.0.0.0:389 0.0.0.0:* LISTEN 10 tcp 0 0 0.0.0.0:7 0.0.0.0:* LISTEN 11 tcp 0 0 127.0.0.1:10025 0.0.0.0:* LISTEN 12 tcp 0 0 0.0.0.0:44300 0.0.0.0:* LISTEN 13 tcp 0 0 0.0.0.0:13 0.0.0.0:* LISTEN 14 tcp 0 0 127.0.0.1:10029 0.0.0.0:* LISTEN 15 tcp 0 0 127.0.0.1:783 0.0.0.0:* LISTEN 16 tcp 0 0 127.0.0.1:4690 0.0.0.0:* LISTEN 17 tcp 0 0 0.0.0.0:19 0.0.0.0:* LISTEN 18 tcp 0 0 10.10.10.0:53 0.0.0.0:* LISTEN 19 tcp 0 0 172.16.1.100:53 0.0.0.0:* LISTEN 20 tcp 0 0 192.168.9.9:53 0.0.0.0:* LISTEN 21 tcp 0 0 127.0.0.1:53 0.0.0.0:* LISTEN 22 tcp 0 0 0.0.0.0:22 0.0.0.0:* LISTEN 23 tcp 0 0 0.0.0.0:3128 0.0.0.0:* LISTEN 24 tcp 0 0 0.0.0.0:6105 0.0.0.0:* LISTEN 25 tcp 0 0 0.0.0.0:25 0.0.0.0:* LISTEN 26 tcp 0 0 127.0.0.1:953 0.0.0.0:* LISTEN |
Neben der altbekannten Darstellung von Firewallregeln in einer langen Liste führt Collax in der CSG-Oberfläche eine so genannte Firewallmatrix ein. Diese Darstellungsform ist das Default-Werkzeug zur Firewallkonfiguration. Die Matrix hat die Tester positiv überrascht, sie präsentiert die verwalteten Netze und alle Verbindungen zwischen ihnen erstaunlich übersichtlich (Abbildung 3), was besonders Gelegenheitsadmins hilft.
Abbildung 3: Die Firewallmatrix für die vier Netzwerke aus dem Testlabor. Die mit orangefarbenen Klammern hervorgehobenen Einträge haben neben der Defaultregel, die für alle Dienste gilt, noch weitere Einträge.
Die Firewallmatrix
Zunächst zeigt die Matrix für jede Verbindung an, welche Defaultregel gilt. Wer mit der Maus über die Tabellenzellen fährt, erhält ein kleines Zusatzfenster, das genau erklärt, welche Regel wofür gilt. Über einen Klick in das Feld kann er die Regel ändern. Wer einzelne Dienste freischalten oder sperren will, muss zunächst am oberen Rand den Dienst wählen und ihn in den Tabellenzellen einstellen. Sonderkonfigurationen erscheinen dann auch in der Detailinfo der Alle-Netze-Darstellung.
Die Matrix ist keinesfalls an den Haaren herbeigezogen und besonders für den angestrebten Kundenkreis kleiner und mittelgroßer Unternehmen hilfreich. Profis werden aber viele Details vermissen, zum Beispiel ist nicht ganz klar, in welcher Reihenfolge die Regeln gelten.
Zur harmonischen Gesamtanmutung passt, dass die CSG alle UTM-Features bei der Konfiguration gleich behandelt. Kein Feature hebelt die Konfiguration eines anderen aus, die CSG passt aber die anderen Module so an, dass das neue Feature auch funktioniert. Was zum Beispiel passiert, wenn der Admin Einstellungen im HTTP-Proxy verändert, erläutert das Handbuch. Die automatisch vorgenommen Änderungen finden sich anschließend in der Firewall-Matrix oder im Regelwerk wieder. Im Test haben sich alle Features (selbst der Mailserver) problemlos konfigurieren lassen und tadellos funktioniert.
Austoben erlaubt
Aufgrund der offenen Architektur darf sich ein erfahrener Linux-Admin auf der Appliance austoben und Tweaks probieren, die nicht im Handbuch stehen. Zum Beispiel könnte er zwei externe Interfaces mit gleicher Priorität konfigurieren, dann verteilt die CSG ausgehende TCP- und UDP-Pakete auf beide Anschlüsse. Um auch eingehende Verbindungen zu verteilen, wären deutlich aufwändigere Techniken nötig, aber in vielen Fällen ist der ausgehende Netzwerkverkehr (Uplink) sowieso der entscheidende.
Wunschliste
Die Tester haben am Collax Security Gateway kaum etwas vermisst. Die ausgewogene Plattform ist maßgeschneidert für KMUs. Für eine Security-Appliance kommen jedoch die Firewall-Möglichkeiten etwas kurz, hier sollte der Hersteller mehr Funktionen bereitstellen.
Spätestens seit dem Einstieg von ursprünglich reinen Netzwerkausrüstern wie Cisco und Juniper in das Firewall-Marktsegment sind einfache Routingfunktionen Stand der Technik. Firewall- und UTM-Appliances verwirklichen dynamisches Routing heute üblicherweise in Form von OSPF (Open Shortest Path First). Das CSG kann in diesem Bereich jedoch nichts vorweisen.
Collax hat das Handbuch offenbar nicht für Profis geschrieben. Das Dokument erklärt alle Schritte ganz genau und man merkt deutlich, dass es sich an Kunden wendet, die ihren Unterhalt nicht mit IT-Security verdienen. Das macht es gestandenen Firewall-Admins unnötig schwer, die geeigneten Kapitel und Zeilen zu finden. Man neigt beim Durchsehen des Handbuchs daher schnell dazu, die Appliance zu unterschätzen. (fjl)
|
Infos |
|---|
|
[1] Collax SG: [http://www.collax.com/de/produkte/collax-security-gateway.html] [2] Jörg Fritsch und Norbert Landowski, “Astaro Security Gateway ASG 320 – Firewall und VPN-Gateway”: Linux-Magazin 08/07, S. 72 [3] Collax-Appliances: [http://www.collax.com/de/produkte/appliances/uebersicht.html] [4] Pynix: [http://www.pynix.org] [5] Preisliste: [http://www.collax.com/de/produkte/preisliste.html] |
|
Der Autor |
|---|
|
Jörg Fritsch studierte Chemie und arbeitete anschließend in den Bereichen Software-Entwicklung und IT-Sicherheit. Seit 2003 ist er Engineer Communication & Information Security bei der Nato-C3-Agentur. Er ist Autor zahlreicher Fachbeiträge zu den Themen Load Balancing, TCP/IP und Security. |
