Wer eine Firewall mit VPN-Gateway-Funktion schützend vor sein Netz schalten will, kann aus einer Vielzahl von Security-Appliances wählen. Das Linux-Magazin hat zwei Vertreter dieser Gattung näher unter die Lupe genommen: Beide stecken in handlichen Gehäusen und lassen sich per Weboberfläche verwalten.
Eine moderne Firewall inklusive Contentfilter, DNS, Proxy und vor allem VPN-Gateway muss weder groß noch teuer sein: Was vor vier oder fünf Jahren ein halbes Rack füllte, passt heute in eine halbe Zigarrenkiste. Zwei Appliances mit Linux-Kern treten den Beweis an: Der Firewall- und VPN-Router Snapgear SME530[1] soll laut Hersteller trotz seiner Abmessung von nur 10 mal 16 mal 2,5 Zentimeter für den Internetzugang kleinerer bis mittlerer Unternehmen ausgelegt sein. Im Test muss er sich gegen die Watchguard Firebox SOHO 6tc[2] behaupten.
Snapgear SME530
Die Snapgear SME530 ist mit zwei Ethernet-Anschlüssen und einem seriellen Interface ausgestattet, das für ein externes Modem oder einen ISDN-TA gedacht ist. So können sich Benutzer oder Admins einwählen, das Modem eignet sich aber auch für eine Internetverbindung mit niedriger Bandbreite. Die Appliance wird als Default-Gateway am Übergang eines LAN zum Internet implementiert. Demilitarisierte Zonen (DMZs) für Web, Proxy, DNS oder andere riskante Server sind damit nicht möglich – es sei denn, man verwendet mehrere Appliances in mehrstufiger Topologie.
Sowohl die Watchguard SOHO 6tc als auch die Snapgear SME530 sind durch PPPoE auf dem Internet-Interface gut für die DSL-Produkte der deutschen Carrier gerüstet. Zudem kann die jeweilige Internet-Schnittstelle über ein Transfernetz indirekt auch eine Direktleitung (2 MBit/s und mehr) vom CPE-Router des Providers aufnehmen. Bei den meisten Highend-Firewalls und -VPN-Gateways ist dies identisch verwirklicht; eine Ausnahme ist die BSD-basierte Nokia- Firewall-Appliance, die zum Beispiel mit einer E1-Karte auch Direktleitungen selbst aufnimmt.
Für viele Anwender wird die serielle Schnittstelle (RS323) überflüssig sein. Serielle ISDN-Adapter sind selbst bei E-Bay selten geworden; für externe Benutzer ist ein Remote-Access-VPN per Internet meist praktischer und kostengünstiger. Im Fall der Fälle kann eine Backup-Lösung für die bestehende Direktleitung oder eine zweite Zugangsmöglichkeit von außen dennoch hilfreich sein.
Wie viele andere Produkte in diesem Marktsegment sucht sich die Appliance nach dem Einschalten ihre erste IP-Adresse auf dem Trusted-Interface (interne Anbindung) per DHCP. Wer bereits einen DHCP-Server verwendet oder einen »dhcpd« bei sich im LAN anwirft, kann sofort mit dem Browser auf die Appliance zugreifen und damit anfangen, sie zu konfigurieren.
Für alle anderen ist der Umweg über eine mitgelieferte Windows-EXE-Datei zur Vergabe der ersten IP-Adresse angezeigt. Weil die Lease-Dauer einer per DHCP erhaltenen IP-Adresse begrenzt ist, sollte es neben dem Umsetzen des Default-Passworts zu den ersten Amtshandlung des Administrators gehören, die gewünschte IP-Adresse per GUI fest einzutragen.
Administration
Leider ist die Appliance in der aktuellen Firmwareversion (1.7.8) lediglich unverschlüsselt über Telnet und HTTP zur Administration zugänglich. Laut Hersteller soll sie künftig (ab Firmware-Release 2.0) auch mit SSH und HTTPS administrierbar sein. In der Beta 1.8.2 (siehe Kasten “Snapgear-Firmware 1.8.2”) ist dies noch nicht verwirklicht.
Auf der SME530 hostet ein BOA-Webserver[3] das GUI zur menügeführten Administration. Über das GUI sind alle Funktionen in ein bis maximal zwei Ebenen zugänglich (Abbildung 2). Auf der Kommandozeile stehen 38 Unix-Befehle zur Verfügung, eine vollständige Administration der Routen, IPsec-Parameter und weiterer Details ist aber ausschließlich per GUI möglich. Auch ein Telnet-Client fehlt, gerade zum Einrichten und Debuggen von benachbarten Routern wäre er aber oft erforderlich.
Ein stark gehärtetes System ist zwar sicherer als sein dick ausgestatteter Nachbar; gerade im unteren Marktbereich sollten es die Hersteller trotzdem nicht übertreiben. Selbst Highend-Produkte wie die BSD-basierte Nokia-Checkpoint-Appliance bringen einen Telnet-Client mit. Im Vergleich zur Watchguard SOHO 6tc ist diese Ausstattung aber geradezu königlich. Denn die SOHO 6tc ist ausschließlich über das GUI zugänglich und hat keine Möglichkeit, einen Ping- oder Traceroute-Befehl von der Plattform aus zu senden. Das Debugging beim Einrichten und bei Änderungen im Routing ist damit unnötig schwer.
Abbildung 1: Die aktuelle Betaversion 1.8.2 enthält bereits die in der stabilen Version vermissten Cleanup- und Reject-Regeln.
Firewall
Die Snapgear-Firewall ist eine Iptables-Implementierung, die mit einigen Defaultregeln zum Beispiel gegen SYN-Flooding-Attacken vorkonfiguriert ist. Das GUI zur Verwaltung des Regelwerks ist anders aufgebaut, als man es von kommerziellen Produkten oder vom FW-Builder[4] her kennt. Es ähnelt eher dem einer Personal Firewall.
Während professionelle Firewalls alles sperren, was der Admin nicht explizit erlaubt hat, verfolgt die SME530 das Prinzip einer Negativliste: Von innen nach außen erlaubt sie alles, was nicht explizit verboten ist. Rein ins interne LAN sind nur Zugriffe möglich, wenn der Admin Port-Forwarding-Regeln eingerichtet hat – ohne solche Regeln bleibt das Netz abgeschottet.
Snapgear-Firmware 1.8.2 |
|
Die Firmware-Release 1.8.2. ist gegenwärtig (Stand: August 2003) seit etwa einer Woche in der Betaphase. Es zeichnet sich bereits ab, dass der Hersteller gravierend nachgebessert hat. Das GUI ist besser gegliedert und einige brauchbare Funktionen wie QoS sind aus ihrem Versteck heraus in die oberste Menü-Ebene gewandert. Beim Firewalling wurde der Funktionsumfang bedeutend erweitert. Der klassenbasierte Ansatz wird zwar immer noch bevorzugt, aber es lassen sich nun auch Regeln mit und ohne Logging anlegen und sogar die vermissten Cleanup- und Reject-Regeln sind machbar (siehe Abbildung 1). Bei IPsec unterstützt die Release zusätzlich AES. Der Cisco-VPN-Client verwendet zwar ebenfalls diesen Krypto-Algorithmus, unterschiedliche Vorstellungen von ISAKMP verhindern aber weiterhin, dass sich die beiden Implementierungen verbinden lassen. Mit der Firmware 1.8.2 hat der Admin mehr Möglichkeiten, auf die Konfiguration der verschiedenen IKE-Phasen Einfluss zu nehmen. Die Fülle an Optionen kann aber auch verwirrend sein. Nur wer die von der Gegenstelle bevorzugte Konfiguration genau kennt wird diesen Optionen sinnvoll nutzen können. Insgesamt beeindrucken die unter IPsec hinzugekommen Pulldown-Menüs und Masken zwar, sie sind in der Praxis aber nur begrenzt sinnvoll. Ein Management der Appliance per SSH und HTTPS wäre für viele Anwendungsfälle wichtiger. |
Verbotsklassen
Bis Firmware-Release 1.7.8 ist das Konzept, in einer Maske Klassen mit Verboten anzulegen und diese dann bestimmten Netzen oder IP-Adressen zuzuweisen. In Abbildung 3 sind dem Netzwerkobjekt 192.168.170.0/24 die Services FTP, Telnet, SNMP und IRC untersagt. Achtung: Wenn die Cache-Funktion der Appliance aktiviert ist, stammen die Zugriffe ins Internet von der Appliance selbst. Da nun nicht mehr die mit der Verbotsklasse verbundene Source-IP relevant ist, setzt das Cacheing eventuell Regeln außer Kraft – das GUI weist darauf leider nicht hin.
Aufgrund des Konzepts der Negativliste gibt es auch keine Cleanup-Regel, die geloggt werden und bei der Gelegenheit alle unerlaubten Zugriffe aufzeichnen könnte. Nur einige wenige heftige Angriffstypen, zum Beispiel die SYN-Flood-Attacken, protokolliert die Appliance. Über diesen dicken Minuspunkt scheint sich aber noch kein Kunde ausreichend laut beschwert zu haben – weder in den FAQs noch in der Knowledgebase ist ein passender Eintrag zu finden. Auch ein Support-Call beim Hersteller fand keine überzeugende Antwort.
In Härtefällen kann der Admin die Iptables-Regeln manuell ergänzen oder modifizieren, bei einer Appliance ist dies aber ziemlich unelegant. Ein solcher Härtefall könnte das Formulieren einer Reject-Regel für DNS oder Finger sein. Keins der beiden getesteten Produkte bietet in der Stable-Release der Firmware die Möglichkeit an, Reject-Regeln per GUI zu erstellen.
Abbildung 2: Die Snapgear-Oberfläche fasst in einem Menü alle Optionen übersichtlich in zwei Ebenen zusammen.
Gateway ins virtuelle private Netz
Die Funktion als VPN-Gateway bezieht sich auf Einwahlen mit PPTP oder IPsec-Tunnel. Die Produktbeschreibung spricht zwar stolz vom Enterprisemarkt, Kunden sollten mit ihren Erwartungen aber realistisch sein. Die Appliance ist kein technisches Wunder in der performanten Terminierung von VPN-Tunneln, das als Internet-Gateway einer mittelständischen Firmenzentrale hunderte Außendienstmitarbeiter gleichzeitig bedienen könnte. Hierzu reicht die kryptographische Performance nicht aus.
Trotzdem ist die VPN-Funktion die große Stärke der Snapgear-Appliance. Im Gegensatz zur Watchguard SOHO 6tc sind beliebig viele Client-to-Site- und Site-to-Site-VPNs im Listenpreis enthalten, der sogar noch unter dem der SOHO 6tc liegt. Beim Watchguard-Produkt ist im Grundpreis die Anzahl der Clients auf zehn beschränkt, die der möglichen IPsec-Tunnel auf maximal sechs, Client-to-Site-Lizenzen muss der Kunde in Paketen zu fünf Stück nachkaufen. Auch sternförmige Topologien müssen extra lizenziert werden.
Technisch handelt es sich beim Snapgear-VPN um eine Freeswan-Implementierung mit X.509-Patch und Pluto, die ihre Herkunft an keiner Stelle verleugnet. Das Einrichten von IPsec-Tunneln (L2TP wurde nicht getestet) ist unproblematisch und benötigt das von IPsec gewohnte Pensum an Bastelei. Zusätzlich steht auf der Snapgear-Webseite ein wahres Arsenal guter Dokumentation zur Verfügung. Dort findet sich auch einiges zum heiklen Thema Interoperability, also der Konfiguration von Tunneln zwischen Herstellern mit unterschiedlichen IPsec-Implementierungen.
Abbildung 3: In der aktuellen Firmware-Release muss der Admin unerwünschte Dienste verbieten – üblich wäre es, die erwünschten Protokolle zu erlauben.
Im Inneren: Freeswan
Ein Fundus wertvoller Informationen sind auch die Dokumentation und die Mailinglisten des Freeswan-Projekts sowie die ausführlichen Logging-Einträge der Appliance. Im Zweifelsfall schafft ein Blick in Konfigurationsdateien wie »/etc/ipsec.conf« Klarheit. Diese Files kann man von der Kommandozeile aus betrachten, allerdings nicht verändern. Grund ist die Sorge um die Stabilität der Plattform: Wie bei vergleichbaren Appliances ist es auch hier nicht zu empfehlen, das System zu überlisten.
Mit Hilfe der Konfigurationsanleitung “Watchguard interoperability” [5] aus der Snapgear-Knowledgebase konnten beide Produkte einen IPsec-Tunnel betreiben. In der Tat hatten sich die Appliances sogar überraschend schnell auf einen Satz Verbindungsparameter (eine SA) geeinigt.
Client-to-Site-VPNs sind unter Unix-Derivaten mit einer lauffähigen Freeswan-Installation, Mac OS X ab 10.2 (Jaguar) und Windows 2000 mit wenig Aufwand zu konfigurieren. Weil Snapgear keinerlei Software für die mobilen Clients zur Verfügung stellt, ist die Konfiguration anderer Betriebssysteme schwierig. Im Test gelang es zum Beispiel nicht, die SME530 mit einem mobilen Client zu verbinden, der die Cisco-VPN-Software verwendet.
Watchguard SOHO 6tc
Die Watchguard SOHO 6tc hat zwei Ethernet-Interfaces, eins davon bedient einen eingebauten Vier-Port-Hub. Die Appliance ist ebenfalls für ein flaches LAN ausgelegt, es sind wiederum keine DMZs möglich. Die Erstkonfiguration von einem Linux-Rechner aus ist einfacher als bei Snapgear. Bei der SOHO 6tc ist auf dem Trusted-Interface eine Default-IP-Adresse bereits vorkonfiguriert (192.168.111.1), das Gerät lässt sich so auch ohne »dhcpd« aufsetzen. Die Default-IP-Adresse kann natürlich angepasst werden.
Auch das Laden einer neuen Firmware gestaltet sich einfacher als bei der Snapgear-Appliance. Es erfolgt Browser-basiert mit HTTP-POST und benötigt – im Gegensatz zur Snapgear-Appliance – keinen TFTP-Server. Ein solcher Server ist zwar zum Sichern der Routerkonfiguration in größeren Netzwerken obligatorisch, die beiden Appliances sind jedoch gerade im SOHO-Bereich interessant. Ein TFTP-Server ist dort in der Regel völlig überflüssig.
Besonders zu loben ist auch das beigelegte Faltblatt “Quickstart Guide”. Es erklärt dem Admin übersichtlich jeden Schritt, der beim Einrichten und Konfigurieren wichtig ist. Die Administration erfolgt Browser-basiert über das Trusted-Interface, leider unterstützt auch die SOHO 6tc keine HTTPS-Verbindung. Von der Übersichtlichkeit her sind beide Oberflächen in etwa gleich zu bewerten. Ein kleiner Minuspunkt der SOHO 6tc ist allerdings, dass der Admin zwar ein Passwort aktivieren kann, dies jedoch nicht zwingend vorgeschrieben ist. In der Defaulteinstellung ist die Appliance ohne Passwortschutz.
Firewall mit umfangreichen Regeln
Die Firewall der SOHO 6tc ist, ebenso wie beim Snapgear-Produkt, eine Iptables-Implementierung. Die Konfiguration und Übersichtlichkeit ist deutlich besser gelungen als bei der SME530, erreicht aber noch nicht ganz FW-Builder oder teurere Produkte von Checkpoint oder Stonegate.
Auf einem Webformular konfiguriert der erfahrene Admin Regeln mit allen Parametern, die er von Highend-Produkten her kennt (Abbildung 4). Leider stellt das Watchguard-GUI diese Parameter grafisch nicht so konsequent und übersichtlich dar. Trotzdem ist die aus allen Regeln generierte Übersicht (Abbildung 5) gut und im Vergleich zur Snapgear-Appliance mit der Firmwareversion 1.7.8 der eindeutige Gewinner.
Das Logging der Cleanup-Regel ist ebenfalls wesentlich besser gelungen als bei Snapgear. Auf der SOHO 6tc gibt es offenbar eine saubere Cleanup Rule mit professionellem Logging. Alle Zugriffe, die nicht explizit erlaubt sind, führen zu einem Log-Eintrag. Zusätzlich ist ein Modus vorhanden, der auch jeden erlaubt Zugriff protokolliert.
VPN
Im Grundpreis der SOHO 6tc sind sechs IPsec-Tunnel enthalten. L2TP muss extra lizenziert werden. Für Client-to-Site-VPNs im Roadwarrier-Stil steht keine Konfigurationsanleitung zur Verfügung. Getestet wurde daher nur die Site-to-Site-VPN-Funktionalität. Für das Einrichten dieser VPNs sind bei Watchguard zwar einige Mausklicks mehr erforderlich als bei Snapgear. Der Vorteil der aufwändigeren Logik ist aber, dass sich E auf der Watchguard 6tc lediglich sinnvolle Verbindungsparameter konfigurieren lassen.
Abbildung 4: Die Watchguard-Appliance gibt dem Admin viele Freiheiten beim Konfigurieren der Firewall-Regeln. Leider ist die Eingabemaske ziemlich unübersichtlich.
Abbildung 5: Aus den recht unübersichtlichen Firewall-Regelsätzen generiert die SOHO 6tc eine vorbildliche Zusammenfassung: Sie zeigt für jeden Dienst in beiden Richtungen den Status.
Grenzen der Logik
Leider ist die eingebaute Logik nicht in allen Fällen das Allheilmittel. Im Gegensatz zur Snapgear stürzte die Watchguard-Appliance zweimal ab, jedes Mal bei dem Versuch, sie auf die Zusammenarbeit mit dem Cisco-VPN-Client hinzutrimmen, der Absturz hinterließ nicht einmal einen Log-Eintrag. Das Logging im VPN-Bereich war auch sonst wenig aussagefähig. Während Watchguard lediglich Fehlermeldungen wie »IkeSend: Nwrite err -12« bringt, kann Snapgear mit »OAKLEY_AES_CBC is not supported. Attribute OAKLEY_ENCRYPTION_ ALGORITHM« und ähnlichen Hinweisen Punkte sammeln.
Die Watchguard 6tc ist bei der Lizenzierung und Implementierung nicht so offen wie die Snapgear-Appliance, folglich ist es unwahrscheinlicher, auf der Freeswan-Webseite oder in den Foren Hilfe zu finden. Wer nicht weiß, dass sich in der roten Box Linux befindet, würde es wohl auch kaum erraten. Die Watchguard 6tc ist im VPN-Bereich wenig flexibel, neben der engen Lizenzierung schränkt vor allem die Geheimniskrämerei ein, welche IPsec-Implementierung nun genau vorliegt.
Wenn es einen Punkt für die realistische Einschätzung des eigenen Produkts gäbe, dann wäre dessen Gewinn Watchguard sicher. Die Appliance heißt ausdrücklich SOHO 6tc und für dieses Marktsegment ist sie optimal. Snapgear überschätzt sich hier und schreibt stolz vom Enterprisemarkt.
Praktische Details
Zusätzlich zu den genannten Funktionalitäten besitzen beide Produkte noch einige praktische Features, die dieser Test nicht explizit berücksichtigt hat. So bietet die Snapgear-Appliance die Möglichkeit, QoS zu aktivieren. Damit kann ein einzelner FTP-Download nicht mehr die ganze Bandbreite für sich beanspruchen. Gerade bei Internetzugängen von 2 MBit/s und kleiner ist dies ein in der Praxis oft gewünschtes Feature.
Als besonderes Bonbon der SOHO 6tc darf der integrierte Socks-Proxy gelten. Kleinere Unternehmen, die mehr Wert auf solide Grundsicherheit legen als auf einen unübersichtlichen Sicherheits-Wirrwarr, setzen Socks gerne ein.
Fazit
Soll die Appliance hauptsächlich den Übergang vom LAN zum Internet sichern und nur gelegentlich einen VPN-Tunnel zu einem anderem Gateway oder einem standardisierten mobilen (Windows-)Client terminieren, dann hat in diesem Vergleichstest die etwas teurere Watchguard Firebox 6tc die Nase vorn. Wer jedoch eine möglichst kompatible und flexible VPN-Struktur aufbauen will, ist mit der Snapgear-Appliance besser bedient.
Viele Anwender werden die Offenheit der Snapgear schätzen: Der Hersteller erklärt und dokumentiert sogar den U-Clinux-Kernel[6] und die eigene Embedded-Linux-Distribution[7]. Mit den Neuerungen aus der Beta-Release hat der Hersteller die meisten Kritikpunkte beherzigt, die SME530 wird zum echten Multitalent. (fjl)
Tabelle 1: Gegenüberstellung |
|
|
Infos |
|
[1] Snapgear SME530: [http://www.snapgear.com/sme530.html] [2] Watchguard SOHO 6tc: [http://www.watchguard.com/products/fireboxsoho6tc.asp] [3] BOA: [http://www.boa.org] [4] FW-Builder für Iptables-Firewalls: [http://www.firewallbuilder.org] [5] Watchguard Interoperability: [http://www.snapgear.com/faqomatic/public_html/fom-serve/cache/162.html] [6] U-Clinux, Linux für MMU-lose Prozessoren: [http://www.snapgear.com/uclinux.html] [7] Snapgear Embedded Linux: [http://www.snapgear.org] |
