© Dmitry Chernobrov, 123RF.com

Zum ersten Mal tritt eine indische Firewall-Appliance im Linux-Magazin-Testlabor an. Die Cyberoam CR100ia von Elitecore glänzt nicht nur mit einem bunten Logo, sondern verspricht auch einen Funktionsumfang, der in dieser Preisklasse nicht üblich ist .

Holi, das indische Fest der Farben [1], verwandelt an Frühlingstagen die Städte des Subkontinents in ein Farben- und Blütenmeer. Historisch vermittelt das ausgelassene Feiern die Botschaft vom Triumph des Guten über das Böse. Vielleicht hat dieser Aspekt den Hersteller Elitecore [2] aus Delhi zu dem fröhlich-bunten Logo seiner authentifizierenden Firewall-Appliance Cyberoam CR100ia [3] verleitet. Sie ist nach der französischen Edenwall [4] (oder deren freier Variante Nu Firewall [5]) und der amerikanischen Palo Alto Networks Firewall [6] die dritte authentifizierende Brandmauer, die das Linux-Magazin testet.

Linux-basiert

Das Betriebssystem der Cyberoam-UTM-Appliance fußt auf dem Linux-Kernel 2.6, die Firewall dementsprechend auf Netfilter [7] und die IPsec-Implementierung laut Hersteller auf Openswan [8]. Cyberoam trägt aktiv zur Community bei: Die Mitarbeiter Hiren Joshi (Openswan) und Jimit Nishit (Netfilter) finden sich in der Liste der Entwickler auf den Projektseiten.

Bei den meisten Modulen gibt Cyberoam an, die Software selbst zu entwickeln, aber die AV-Patterns von Kaspersky oder dem Spam-Reputation-Service Commtouch zu beziehen. Lizenzen für den IPsec-VPN-Client muss der Kunde gesondert erwerben, sie kosten (ab 50 Stück) 50 Euro pro Client.

Günstig = taugt nix?

Das Marketing der großen Premium-Hersteller belächelt Geräte mit niedrigem Preis gern als unsicher oder unprofessionell. Oft fehlt den Kleinen wirklich ein grundsätzliches Verständnis für Kundenwünsche aus dem oberen Marktsegment. Bei der Cyberoam fällt dagegen auf, dass die eingebauten Features tief in den Enterprise-Markt ragen und entweder schon jetzt oder in kurzer Zeit gegen Produkte dieser Klasse antreten können. Für den Test hat Elitecore dem Linux-Magazin die Versionen 9 und 10 Early Availability (EA, Abbildung 1) der Appliance-Firmware zur Verfügung gestellt. Deren Features umfassen:

Abbildung 1: Die Weboberfläche der Firmware-Version 10 der Cyberoam-Appliance ist übersichtlich, könnte allerdings benutzerfreundlicher sein.

• Überwachung von Instant Messaging und Webcams
• Application Discovery und Application Explorer – beide
  sind allerdings gegenwärtig grafisch noch relativ
  unspektakulär
• SSL-VPNs, entweder als Tunnel oder als Portal
• Eine authentifizierende Firewall, deren Regeln entweder auf
  Benutzern und/oder Applikationen basieren, wahlweise mit
  Software-Agenten als Clients oder ohne
• Integration mit einem SIEM-Modul (Security Incident and Event
  Management, Iview [8]) und Compliance Reporting (PCI)
• Ein fein justierbarer HTTP-Proxy mit Ansätzen von DLP
• Commtouch Reputation Services für Spam und WWW
• Integration in MS-Windows- und Entrust-PKIs
• Volle IPv6-Readyness im Bridging- und Routing-Modus für
  alle Regeln, die entweder auf Benutzern oder Applikationen
  basieren

Gegenwärtig hat die Version 10 EA mehr Enterprise-Features, während die 9 (Abbildung 3) eine solide und vollständige UTM-Firewall ist. Im GUI war dagegen die Darstellung der Regelbasis der laufenden Vorgänge, etwa ob die Appliance eine HTTP-Verbindung auf Viren scannt, in Version 9 besser gelungen.

Abbildung 2: Auf Wunsch regelt die Cyberoam ab Version 10 auch Chat- und Webcam-Sessions.

Im Labor zeigte sich auch, dass einige interessante Komponenten wie der Traffic Discoverer oder das Compliance Reporting nur in der Version 9 enthalten waren, andere, neue Features wie das Instant-Messaging-Logging dafür nur in der aktuellen Firmware. Laut Hersteller soll die finale Version 10 (General Availability, GA) alle Features kombinieren.

Instant Messaging

Abbildung 3: Das Web-GUI der Firmware-Version 9, hier beim Erstellen der Regeln für SSL-VPNs.

Die Fähigkeit, das Instant Messaging (IM) zu kontrollieren (Abbildung 2), mag datenschutztechnisch brisant sein, aber in Zeiten von Facebook und intensiver Chat-Nutzung durch den IT-Support oder das Marketing dürfte dieser Aufgabe trotzdem mehr und mehr Bedeutung zukommen. Bei einer sinnvollen Kontrolle sollte es einem Unternehmen nicht darum gehen, alles zu protokollieren, sondern sicherzustellen, dass keine Malware ins Haus kommt und keine vertraulichen Daten das Haus verlassen.

Die Cyberoam-Appliance unterstützt gegenwärtig Yahoo Messenger und MSN, aber leider noch nicht Facebook. Neben der erwähnten Protokollierung von Chats bietet sie eine umfangreiche Auswahl an Features, die sich rund um Malware Protection und Data Loss Prevention sinnvoll einsetzen lassen. So kann der Admin alle empfangenen Dateien auf Viren scannen oder deren Empfang und Senden unterbinden. Schraubt er dagegen den Loglevel runter, schreibt er nur Gesprächsdaten und Teilnehmer mit, ohne den Inhalt der Konversation zu protokollieren. Und er kann festlegen, wer wem IMs senden darf, indem er erlaubte Quell- und Ziel-Aliase im Chat bestimmt.

Im Labor zeigte die Beta (EA) der Version 10 aber noch Schwächen beim Mitschreiben der Chats. Die Mitschnitte standen zwar für die Dauer des Chats zur Verfügung, waren aber nach dem Beenden der Session oder nach einem Reboot der Appliance verloren beziehungsweise nicht mehr zugänglich. Ein Fehler, der in der Version EA auch bei den Firewall-Logfiles auftauchte, in der Version GA aber hoffentlich verschwindet.

Mit der neuen Software war es im Test auch möglich, die Streams von Videokameras mitzuschreiben, die in Chats wie bei Yahoo oder MSN aktiviert sind. Viele Benutzer sind sich häufig nicht im Klaren darüber, dass diese Streams anderswo im Internet als Clips ohne ihr Wissen wieder auftauchen.

In Betrieben ist tunlichst zu vermeiden, dass zufällig das Firmenlogo an der Wand oder anderes identifizierendes Material in solchen Clips enthalten ist. Angesichts neuer Chatformen wie Chatroulette oder Facebuzz, die Cyberoam gegenwärtig zwar noch nicht kennt, sie aber immerhin erlauben oder verbieten kann, empfiehlt sich im Unternehmen ein sorgfältiger, restriktiver Umgang mit den Webcamstreams.

Betriebsmodi und Zugriff

Die Cyberoam kann als Bridge oder als Gateway, also als Router dienen. Sie ist eine zonenbasierte Firewall und kennt in den Grundeinstellungen die drei Zonen »trust«, »untrust« und »DMZ«. Die Konfiguration läuft im Web-GUI, wobei die Versionen 9 und 10 EA per Default am LAN-Interface offen für HTTPS-, Telnet- und SSH-Verbindungen sind.

HTTPS und Telnet mit SSL und Java

Unschön: Leider war im Test auch HTTPS am WAN, also dem äußeren Interface, geöffnet. Das hat der Hersteller wohl bewusst offen gelassen, um dem Benutzer die Konfiguration der SSL-VPNs zu vereinfachen, die der Admin ja direkt auf der Appliance terminieren muss. Trotzdem wäre es hier besser, HTTPS am WAN abzuschalten und nur dann zu aktivieren, wenn ein Benutzer es wirklich braucht. Wer das nicht vorhat, sollte dies möglichst schnell abstellen.

Ein angenehmes Feature verbirgt sich hinter einem Icon in der oberen Leiste des Dashboard, das über einen SSL-Tunnel einen Java-basierten Telnet-Client zur Appliance öffnet (Abbildung 4). Einerseits kann der Admin Telnet über SSL natürlich als sicher betrachten, andererseits kommt er aber leider nicht darum herum, die Appliance am LAN-Interface für Telnet zu öffnen. Ein Java-SSH-Client ist nicht vorhanden und wäre vielleicht eine gute Idee für die Entwickler.

Abbildung 4: Via SSL und Java ist auch Telnet sicher, auch vom Browser aus.

Auf die Konsole muss der Benutzer relativ selten zurückgreifen, zum Beispiel beim Definieren von IPv6-Adressen und -Routen oder zum Updaten der Appliance-Firmware. Wer sich hierhin wagt, findet allerdings auch zahlreiche hilfreiche Kommandos wie Ping oder Nslookup.

Authentifizieren mit und ohne Agenten

Oft hat der Admin bei der Konfiguration von Quell-IP-Adressen im LAN eigentlich gar nicht vor, Rechte an Maschinen und IP-Adressen zu binden. Vielmehr will er den Benutzer berechtigen, der hinter der Tastatur sitzt und den Rechner bedient. Besonders privilegierte Anwender erhalten heute meist über DHCP statische IP-Adressen, dann geht die Firewall-Regelbasis davon aus, dass die Quell-IP-Adresse zu genau dem Benutzer gehört, den der Admin privilegieren will.

Die manuelle Authentifizierung über HTTP oder Telnet gegen eine Firewall, ein Feature fast aller kommerziellen Produkte, ist normalerweise vergleichsweise umständlich. Admins setzen sie deshalb in der Regel nur dort ein, wo es nicht anders geht.

Im Herbst 2007 kam mit der französischen Edenwall die erste authentifizierende Firewall-Appliance auf den Markt. Als sie dem Linux-Magazin im Dezember 2007 zum Test vorlag, war sie noch recht frisch, das Sicherheitskonzept bis dahin jedoch einzigartig. In der Zwischenzeit hat sich die Edenwall stark weiterentwickelt und das Produkt ist auf dem Weg zu einer EAL3+-Zertifizierung. Die Französin arbeitet ähnlich wie die Cyberoam mit einer Agenten-Software auf Clients und Servern, die jedes an der Firewall ankommende Paket unter die Lupe nimmt und authentifiziert.

Sie verifiziert dabei, ob die Applikation auf dem Client das Erwünschte überhaupt machen darf oder ob beispielsweise ein Trojaner versucht sie zu missbrauchen. Nicht ganz so weit gehen hier die PAN- und die Cyberoam-Appliance: Palo Altos App-ID-Technologie arbeitet nicht mit Software-Agenten, sondern sieht sich die Quell-IP-Adresse, von der ein Paket stammt, an und fragt Active Directory, wer auf dem System mit dieser IP-Adresse gerade eingeloggt ist.

Cyberoam toppt dies noch und lässt dem Admin sogar die Wahl, ob er Clientsoftware auf dem Laptop verwenden will will oder nicht. Wer den Enterprise Client, der für Linux- und Windows-Systeme verfügbar ist, installiert, kann gegen Active Directory, Radius und die lokale Benutzerdatenbank auf der Appliance authentifizieren (Abbildung 5) und muss Benutzer nicht mehr doppelt pflegen. In Version 9 stand dafür auch noch LDAP bereit, dies ist aber in der 10 EA noch nicht integriert, der Hersteller verspricht aber es zu tun.

Abbildung 5: Microsofts Active Directory, LDAP, Radius und die lokale Datenbank sollen in der finalen Version 10 der Cyberoam-Appliance für die Benutzerauthentifizierung bereitstehen.

Ob die Authentifizierung wie bei der Edenwall auf Packetlevel, Session-basiert oder zeitbasiert/periodisch arbeitet, gab die Appliance im Labor des Linux-Magazins leider nicht Preis, auf Nachfrage konnte auch der Hersteller dazu keine Auskunft geben.

Benutzerbasiert arbeiten

Die Arbeit mit Firewalls, die benutzerbasierte Regeln erlauben, ist komfortabel. Der Admin hört sehr schnell damit auf, sich auf IP-Adressen zu fokussieren, und verwendet diese nur noch dann, wenn es um Services wie SMTP oder HTTP geht, die sich keinem Benutzer zuordnen lassen. Er setzt auf Benutzer und Gruppen und lässt die Quell- und Ziel-IP im Regelwerk auf »any«. Und weil die Cyberoam auch noch jeder Benutzergruppe ein Applikationsprofil zuweist (Abbildung 6), bestimmt er so, wem welche Applikationen erlaubt sind.

Abbildung 6: Wer den Regelbaukasten der Cyberoam-Firewall auf Identitäten aufbaut, kann viele IP- und TCP-basierte Regeln zu den Akten legen.

Wer das macht, kann sich im Regelwerk auch komplett davon lösen, TCP-Ports zu definieren. Das scheint gut durchdacht, findet sich doch auch für abgewiesene Pakete, die von authentifizierten Benutzern kommen, ein eigener Eintrag im Firewall-Log, nicht nur die IP-Adresse. Bei der Konkurrenz muss der Admin den Benutzernamen oft erst über das Lease-File des DHCP-Servers suchen.

Im Labor empfanden die Tester des Linux-Magazins die grafische Darstellung der Firewall-Regelbasis als verbesserungswürdig, weil immer noch an IP-Adressen orientiert. Regeln, bei denen der Admin die Quell-IP-Adresse auf »any« lässt, weil er auf Benutzerauthentifizierung setzt, zeigt die Übersicht gar nicht an. Sinnvoller wäre es hier, als Quelle entweder das Benutzer- oder das Netzwerkobjekt oder beides darzustellen.

Wie sein Vorgänger ist auch das neue GUI noch nicht benutzerfreundlich genug. In der Maske für eine neue Firewallregel findet sich beispielsweise kein Link, mit dem sich ein fehlendes Objekt (ein Host oder ein Service) anlegen lässt. Der Admin muss immer wieder raus aus der Maske, rein in eine andere, zurück und kann erst dann die Regel anlegen.

IPv6 an Bord

Gleichwohl werden solche Benutzer- und Applikations-basierten Technologien an Bedeutung gewinnen. Der Vormarsch von IPv6 und der automatischen Konfiguration macht Legacy-Technologien, die nur auf IPs basieren, unpraktisch. Einen Namen merkt sich der Mensch einfach schneller als eine IP-Adresse.

Die Cyberoam-UTM-Appliance unterstützt IPv6 in der getesteten Release 10 EA sowohl im Bridging- als auch im Gateway/Routing-Modus. Doch lassen sich über das GUI noch keine IPv6-Interface-Adressen, -Routen oder -Regeln anlegen. Der Admin kann nur Firewallregeln in der Form »any any TCP-Port allow/deny« definieren. Für den Anfang sicher besser als gar nichts, Cyberoam verspricht IPv6 in Kürze voll zu unterstützten.

Der in der Appliance verbaute HTTP-Proxy entspricht solidem Standard. Um den URL-Filter oder den AV-Scanner zu nutzen, muss der Kunde aber für die Lizenzen jedes Jahr extra bezahlen. Der URL-Filter hat sich dabei allerdings von Version 9 zu Version 10 EA stark verbessert. Während er vorher schon mit europäischen URLs wie »ing.nl« überfordert war, lief Version 10 im Test tadellos.

Proxy und Logging

Nett ist die Option des Proxys, zwar das normale Websurfen und das Ausfüllen von Webforms und Bestellungen via Upload über HTTP-POST zu erlauben, aber größere Uploads zu verbieten. Das ist gerade in Betrieben, die verhindern wollen, dass vertrauliche Dokumente im Internet landen, ein häufig gewünschtes Feature. Bei der Konkurrenz ist es entweder nicht vorhanden oder schwer zugänglich. Was aber auch in Version 10 noch fehlt, ist das Blockieren von Uploads, die eine definierte Signatur, zum Beispiel den String »Vertraulich«, enthalten.

Im Test scheint die Cyberoam die HTTP-Verbindung mit einem »TCP RESET« zu unterbrechen, wenn sie einen Virus oder Malware gefunden hat. »TCP RESET« verhindert zwar den Download, zeigt aber auch nur eine generische Fehlermeldung im Browser, aber keine Informationen für den Endanwender. Auf Anfrage hat das Cyberroam-Supportteam wiederholt darauf hingewiesen, dass sich dies über das eingebaute Portal ändern ließe, was im Test aber nicht gelang.

Die getestete Appliance enthält in Version 10 EA einen eingebauten Logviewer und ein Onbox-Reporting-Tool, das Elitecore auch einzeln unter den Namen Iview vertreibt (Abbildung 7). Der Hersteller entwickelt es komplett als Open Source [9] und bezeichnet es auf der Sourceforge-Webseite mutig als SIEM (Security Incident and Event Management). Unter diesem Begriff nehmen sich seit einigen Jahren die Hersteller kommerzieller Logging-Appliances vor, aus den gesammelten Daten mehr zu machen, als sie nur zu speichern.

Abbildung 7: Wer hat was wann angesurft, welche Webserver sind besonders interessant für unsere Mitarbeiter? Solche Fragen beantwortet das eingebaute Iview.

SIEM sollte idealerweise den gesamten Lebenszyklus von sicherheitsrelevanten Events oder Logeinträgen begleiten und die Daten unterschiedlicher Quellen (Firewalls, IDS, Webserver) korrelieren, um neue Einsichten zu gewinnen. In der Praxis generieren SIEM-Appliances vorwiegend Compliance Reports, zum Beispiel für die Payment Card Industry (PCI). Ein weiteres Open-Source-SIEM ist OSSIM [10]. Prelude [11] ist ein kommerzielles Produkt mit einem leistungsfähigen IDS-Korrelator, das kostenlos zur Verfügung steht.

Bunte Vielfalt

Die Cyberoam-Appliance bringt auffällig viele Features und vereint eine Vielfalt, die sich sonst nur auf teuren Enterprise-Produkten findet. Auch die Möglichkeit, sie als authentifizierende Firewall zu konfigurieren, und der schlanke Client für die User-Authentifizierung, der übrigens im Test nie Probleme machte, gefallen. Weniger überzeugt dagegen die grafische Repräsentation der konfigurierten Firewall-Regelbasis und der konfigurierten IM-Features. Hier könnte der Hersteller noch mehr Augenmerk auf die Usability des GUI legen. Sehr positiv fällt dagegen die Integration des Reputationsdienstes Commtouch auf.

Die Cyberoam ist im Markt als Aufsteiger an der Grenze zwischen sehr guten UTM-Produkten wie zum Beispiel der Endian- oder der Astaro-Firewall und dem hochspezialisierten Enterprise-Segment wie der Facetime USG oder Palo Alto Networks angesiedelt. Auch in Version 10 GA ist das Look&Feel der Features noch nicht völlig mit Highend-Produkten vergleichbar, aber dafür kostet die blaue Appliance mit dem bunten Logo auch nur ein Fünftel des üblichen Preises. Wer gerade eine neue UTM-Firewall sucht oder seine Ausgaben für Firewall und Support reduzieren möchte, sollte seinen Blick nach Indien richten. (mfe)