Firewall für kleine Unternehmen

Die junge österreichische Firma Underground 8 entwickelt mit der Limes MF eine Managed Firewall für kleine Unternehmen, die sich keinen Vollzeit-Admin leisten können, ihre Filter-Policy aber dennoch selbst festlegen wollen. Wie sehr das auf Kosten der Sicherheit geht, untersucht dieser Test.

Firewalls gehören in die Hände von Experten – so der Idealfall. Dummerweise zeigt die Realität nur zu oft, dass sich Anfänger oder Admins ohne Netzwerkkenntnisse an den Policys versuchen. Ihnen fehlen Wissen und Zeit, um sich mit komplexen Regeln auseinanderzusetzen. Enterprise-Firewalls wären daher fehl am Platz, eine IPtables-Konfiguration von Hand erst recht Utopie.

Auf dieses Marktsegment zielt Underground 8 [1] mit ihrer Limes MF [2]. Im schicken orangefarbenen Gehäuse arbeitet eine eigens entwickelte Hardware, die für kleine Betriebe ausgelegt ist. Zur Zielgruppe passend erläutern die Unterlagen des Herstellers zunächst, warum überhaupt eine Firewall, ein VPN oder ein Spamschutz nötig sind. Auch die Installation und Konfiguration der Hardware orientieren sich am unbedarften Anwender und ausdrücklich nicht am Profi. Diese Kombination bedeutete für den Tester zunächst, sich auf die KMU-Randbedingungen einzustellen, da er in den letzten Jahren vor allem hochpreisige Enterprise-Produkte im Labor hatte.

Erste Schritte

Gleich nach dem Booten ist die Web-basierte Admin-Oberfläche der Limes MF auf dem internen Interface über Port 980 erreichbar. Passend zum Gehäuse und zur Dokumentation ist auch das GUI in kräftigem Orange gehalten – hier hat das Marketing offenbar die Ergonomie besiegt. Der mitgelieferte “Quicksetup Guide” (auch in Orange) sorgt aber dafür, dass die ersten Schritte (Internet- und LAN-Anbindung) flott und komplikationsfrei vonstattengehen.

Ohne weitere Einstellungen können die Benutzer vom internen Netz aus bereits über den transparenten Proxy das Web benutzen. Im Test hat der Proxy alle Viren erkannt, die der interne User unverschlüsselt mit HTTP angesurft hat. Für HTTPS liefert der Hersteller leider keine Lösung und weist darauf hin, dass verschlüsselte Verbindungen nicht scanbar seien. Dass dies nur die halbe Wahrheit ist, beweisen Konkurrenzprodukte wie der Microdasys-Proxy [3], Webwasher oder die Balabit-Firewall Zorp [5]. Für dieses Szenario wäre aber viel Aufwand nötig, um legitime Eingriffe von feindlichen Angreifern zu unterscheiden. Die Zielgruppe wäre wohl überfordert.

POP3 und SMTP sind per Default offen. Der POP3-Proxy der Limes MF scannt ankommende E-Mails auf Spam und Viren. Verdächtige Nachrichten versieht die Firewall mit einer Bemerkung in der Betreffzeile. Das ist ein guter Anfang für kleineren Umgebungen, für professionelle Ansprüche wäre ein unsichtbarer X-Header besser. Der könnte beispielsweise verhindern helfen, dass fälschlich als Spam klassifizierte Briefe von Geschäftspartnern in Antworten noch als Spam stigmatisiert sind.

Limes MF 500

Hersteller: Underground 8, Linz, Österreich [1]

Getestet: Limes MF 500, Update 67

Aufgabe: Einfache Firewall-Appliance im Router-Modus. Automatismen sollen Anfängerfehler vermeiden. Der Hersteller empfiehlt dieses Modell für bis zu 50 User, ohne es per Lizenz auf diese Anzahl zu limitieren.

Basissystem: Linux From Scratch (LFS). Kernel 2.4 mit GR-Security- und Openwall-Patches, zudem TCP/IP-Modifikationen und weitere IPtables-Module. Außerdem ist eine Stack Smashing Protection (SSP) integriert.

Preise: Die Limes MF 500 kostet gut 6530 Euro, der Up2date-Service schlägt jährlich mit 1280 Euro zu Buche, für ein Care-Paket verlangt der Hersteller knapp 430 Euro pro Jahr (24-Stunden-Vorabaustausch). Daneben gibt es auch eine Leasing-Option [2].

Sicherheitskonzept

Das Sicherheitskonzept der Limes MF ist leider nicht dokumentiert und schwer durchschaubar. Im Default-Betrieb erlaubt die Firewall alle IP-Verbindungen (inklusive IPsec) von der internen Trusted-Zone ins Internet. Per NAT setzt sie die IP-Adresse des externen Interface als Absender ein – das ist zwar üblich, sollte aber sauber dokumentiert sein. Im Firewall-Log taucht keine der erlaubten Verbindungen auf. Das freut zwar Gelegenheits-Admins, da die Logs überschaubar bleiben, es behindert aber die Fehler- oder Spurensuche. Wer sich etwa einen Botnet-Knoten im internen Netz einhandelt, merkt von dessen Aktivitäten an der Firewall nichts.

Zudem existieren implizite Regeln, die zum Beispiel verhindern, dass sich unerfahrene Kunden durch eine falsche Cleanup-Regel von der Administration aussperren (Abbildung 1). Leider geht dies auf Kosten der Sicherheit: Der Profi kann nicht mehr eindeutig erkennen, was seine Firewall erlaubt und welche Pakete sie sperrt. Verbindungen, die über einen transparenten Proxy (HTTP/HTTPS, SMTP, POP3) laufen, sind aus Sicht des Paketfilters immer gestattet, außerdem ist IMAP offen. Ein Teil der Verbindungen schlägt sich immerhin in den Proxy-Logs nieder. Erlaubte IMAP-Verbindungen hinterließen im Test aber keine Spuren.

Abbildung 1: Obwohl der Admin hier nur eine Cleanup-Regel konfiguriert hat, die jeden Verkehr stoppen soll, bleiben zwei Ports zur Administration offen. Das vermeidet zwar Anfängerfehler, schadet aber der Sicherheit.

Abbildung 1: Obwohl der Admin hier nur eine Cleanup-Regel konfiguriert hat, die jeden Verkehr stoppen soll, bleiben zwei Ports zur Administration offen. Das vermeidet zwar Anfängerfehler, schadet aber der Sicherheit.

Gut beschirmt

Als besonderes Verkaufsargument hat Underground 8 die Limes MF mit einer Managed-Firewall-Funktion ausgestattet – daher rührt auch ihr Name. Ein Reseller kann mit dem Umbrella Management getauften Feature mehrere Firewalls eines oder mehrerer Kunden überwachen (Abbildung 2). Es handelt sich hierbei, ähnlich wie bei der Admin-Oberfläche, um ein HTTP-basiertes GUI, das alle vitalen Daten eines Kundensystems zusammenfasst, zum Beispiel Plattenplatz, RAM, die Version der Antivirus-Signaturen und den Netzwerkverkehr.

Abbildung 2: Das Umbrella-Management verwaltet von einem zentralen Server aus mehrere Limes-MF-Installationen. Es überwacht zum Beispiel deren Speicherstand und zeigt Warnungen sowie die Netzwerkstatistiken.

Abbildung 2: Das Umbrella-Management verwaltet von einem zentralen Server aus mehrere Limes-MF-Installationen. Es überwacht zum Beispiel deren Speicherstand und zeigt Warnungen sowie die Netzwerkstatistiken.

Dieses Feature erleichtert es kleinen und mittleren IT-Betrieben, sich in das Marktsegment von Managed Security vorzuarbeiten. Sie könnten von kleinen Webhostern lernen: Die kaufen sich Rackspace in Rechenzentren, um mit einer passenden Verwaltungssoftware eine eigene Hostingfirma hochzuziehen. Der Anbieter hat dann die Chance, Kunden durch persönlichen Kontakt besser zu betreuen, als die Callcenter-Agenten großer Hoster es je könnten. Ganz ähnlich hat das Umbrella-Management der Limes MF durchaus das Potenzial, als Basis für eine Geschäftsidee von Sicherheitsprofis zu dienen. Diese verkaufen die Firewall zusammen mit dem Remote-Management, das dank der Umbrella-Software übersichtlich bleibt.

Wer die vom Hersteller vorgegebenen Pfade verlassen will, um die Limes MF seinen eigenen Anforderungen anzupassen, trifft auf wenig Komfort und ein nur rudimentäres GUI, zum Beispiel zum Anlegen eines eigenen Firewall-Regelwerks. So hat das GUI kein zentrales Repository mit Netzwerk- und Service-Objekten, die sich im Regelwerk wieder verwenden ließen. Ohne globales Repository gibt es auch keine wiederkehrenden Gruppen, wodurch die Limes MF für größere Umgebungen ausscheidet. Repositorys sind seit über fünf Jahren Stand der Technik. Heute gibt es sogar Webmin-Module (zum Beispiel das Turtle-Firewall-Projekt [6]), die mit Repositorys arbeiten. Auch das Linux-GUI Firewall Builder ([7], [8]) ist in dieser Hinsicht perfekt.

Viren und Spam

Bei der Virenabwehr setzt die Limes MF auf Kaspersky [9]. Für den Spamschutz nutzt Underground 8 nach eigener Aussage eine zwölfstufige Architektur. Dazu gehören Greylisting (wenn sich in der DMZ ein eigener Mailserver befindet) und ein trainierbarer Bayesian-Filter. Die Antispam-Engine arbeitete in einem Kurztest zwar treffsicher, die Performance des POP3-Proxys litt aber erkennbar unter den aktivierten Filtern.

Bemerkenswerterweise verlangen weder Spamschutz noch AV eine Konfiguration. Nur für die Trainingsfunktion müssen sich Admin und Anwender zwei E-Mail-Adressen merken, eine für False Positives (Ham) und eine für False Negatives (Spam). An diese Adresse sollten Empfänger falsch klassifizierte Mails senden, um den Spamfilter damit zu trainieren.

Inhaltsleer

Mit dem eingebauten HTTP-Contentfilter sperrt Limes MF den Zugriff auf unerwünschte Inhalte. Im Test hat das mit Pornoseiten gut funktioniert, war aber bei anderen Inhalten recht unzuverlässig. So zum Beispiel [partypoker.com] und [partygammon.com] – trotz des recht eindeutigen URL-Namens klappte der Zugriff ungehindert.

Die Fehlermeldungen, die die Appliance anzeigt, wenn der Contentfilter oder der AV-Scanner eine Webseite blocken, sind übertrieben generisch und lassen sich leider nicht ändern (Abbildungen 3a und 3b). Damit ist es weder möglich, sie der eigenen Corporate Identity anzupassen, noch den recht kargen Text benutzerfreundlicher zu formulieren.

Abbildung 3a: Die Blacklists für den transparenten Webproxy sollen verhindern, dass interne User über die Firewall auf unerwünschte oder gefährliche Inhalte zugreifen.

Abbildung 3a: Die Blacklists für den transparenten Webproxy sollen verhindern, dass interne User über die Firewall auf unerwünschte oder gefährliche Inhalte zugreifen.

Abbildung 3b: Hat der Content-Scanner der Limes MF den Zugriff auf eine Webseite gesperrt, dann führt die Fehlermeldung in die Irre. Leider ist es nicht vorgesehen, diesen Text zu ändern.

Abbildung 3b: Hat der Content-Scanner der Limes MF den Zugriff auf eine Webseite gesperrt, dann führt die Fehlermeldung in die Irre. Leider ist es nicht vorgesehen, diesen Text zu ändern.

Schwächen

Auf das Logging der Limes MF hat der Admin weder global noch beim Anlegen des Regelwerks Einfluss. Er kann das Logging nicht pro Regel aktivieren oder deaktivieren und auch ein Rate Limiting fehlt. Im Admin-GUI lässt sich nur der Loglevel, auch Detail Level genannt, ändern. Zur Wahl stehen Low, Medium und High. In der Firewall gibt es lediglich eine globale Option, um bestimmte TCP-Ports zu droppen, ohne diesen Vorgang zu loggen. Etwa für den Netbios-Port ist das sinnvoll, um das Logfile von vielen nutzlosen Einträgen zu befreien.

Ein Portscan am internen Firewall-Interface (Default-Zustand) ergab erschreckend viele offene TCP-Ports (14 Stück, siehe Listing 1). Nur wenige sind auf Anhieb erklärbar: Die Standardports der transparenten Proxys (FTP 21, SMTP 25, HTTP 80, POP 110) plus DNS (53) und der TCP-Port des Admin-Interface (980). Auf den weiteren Ports sind teils interne Webserver der Appliance (81 und 82) sowie HTTP-Proxys erreichbar (Squid [10] auf 8080 und HAVP [11] auf 10025). Typischerweise teilen sich Squid und HAVP die Aufgabe: Ersterer sorgt für Cacheing und Content-Scan, während HAVP nach Viren fahndet.

Listing 1: Portscan
01 Port Scan has started ...
02 Port Scanning host: 192.168.0.1
03  Open TCP Port: 21
04  Open TCP Port: 25
05  Open TCP Port: 53
06  Open TCP Port: 80
07  Open TCP Port: 81 web server
08  Open TCP Port: 82 web server
09  Open TCP Port: 110
10  Open TCP Port: 980 admin web server
11  Open TCP Port: 2121
12  Open TCP Port: 2200 SSHd
13  Open TCP Port: 8080 squid
14  Open TCP Port: 8110
15  Open TCP Port: 10025 HAVP
16  Open TCP Port: 10080
17 Port Scan has completed ...

Auf Port 2200 lauscht überraschenderweise ein Secure-Shell-Daemon, für den der Besitzer der Limes MF nicht die passenden Credentials erfährt. Das GUI zeigt den SSH-Daemon zwar als »enabled«, es bietet aber keine Möglichkeit, ihn abzuschalten. Einem Profi fällt es schwer, Vertrauen in eine Firewall zu setzen, deren offene Ports weder dokumentiert noch abschaltbar sind.

Viele Defaults

Passend zur Produktphilosophie liefert Underground 8 ihre Limes MF mit vielen sinnvollen Default-Einstellungen. Das erleichtert am Ende auch das Umbrella-Management. Schade nur, dass ein Anwender viele Defaults nicht verändert kann. Es ist klar, dass dies zu Problemen führt. Zum Beispiel arbeitet der Admin-Webserver mit einem Default-Zertifikat des Herstellers, das sich weder gegen ein eigenes Zertifikat austauschen noch neu generieren lässt.

Das erscheint zwar auf den ersten Blick harmlos, ja komfortabel, bedeutet in der Praxis aber, dass man keine Kontrolle über den privaten Schlüssel der Appliance und dessen Vertraulichkeit hat. Das reduziert X.509-Zertifikate auf die Funktion von Preshared Keys. Wenn der Hersteller die Appliances zum Beispiel über Disk-Images produziert und installiert, dann ist jeder Kunde im Besitz des immer gleichen privaten Schlüssels.

Hinter vielen Default-Einstellungen stecken aber gute Ideen. Zum Beispiel bezieht die Firewall ihre externe IP wahlweise per DHCP (Abbildung 4) und nutzt dank PPPoE-Funktion auch simple DSL-Modems. Passenderweise ist für das externe Interface eine DynDNS-Funktion vorgesehen. Ein Bridge-Modus [12] würde das Produkt abrunden, er befindet sich laut Auskunft des Herstellers bereits in der Entwicklung.

Abbildung 4: Bei den Netzwerkeinstellungen der Limes MF ist es möglich, am externen Interface die IP-Adresse per DHCP zu beziehen. Für das interne Netz dient die Appliance fortan als DHCP-Server.

Abbildung 4: Bei den Netzwerkeinstellungen der Limes MF ist es möglich, am externen Interface die IP-Adresse per DHCP zu beziehen. Für das interne Netz dient die Appliance fortan als DHCP-Server.

Ob die Defaults und Automatismen genügen, um die Limes MF von fachfremdem Personal installieren zu lassen, wie die Broschüren von Underground 8 versprechen, ist fraglich. Im Test vergingen zwar tatsächlich nur wenige Minuten, bis die neu ausgepackte Limes MF betriebsbereit war, allerdings bedeutete dies auch, alle Default-Einstellungen ungeprüft zu übernehmen.

Im spartanischen GUI der Limes MF verbergen sich verblüffend viele Features. Zu den interessanteren gehören ein VPN-Konzentrator, einfaches Bandbreitenmanagement sowie VLAN-Tagging.

Funktionsvielfalt

Die Qualität dieser Funktionen ist guter Standard, lediglich die Implementierung der Routingprotokolle OSPF (Open Shortest Path First) und BGP (Border Gateway Protocol) wirkt unfertig. Die Limes MF kann zum Beispiel keine Netze aggregieren. Es fehlen wichtige BGP-Parameter wie »MED«, »LOCAL_PREFERENCE« und vor allem Route Maps. Bei OSPF vermissten die Tester primär das Feature, sich passiv zu verhalten.

Die VPN-Implementierung kennt zwei Varianten: Site to Site sowie Remote Access. Die erste bezeichnet Underground 8 als Limes2Limes, die zweite als Client2Limes. Beide sind mit IPsec/L2TP implementiert, die zweite wahlweise mit OpenVPN [13]. Mit wenigen Clicks ist eine VPN-Umgebung eingerichtet.

Die Clientsoftware für Linux, Mac und Windows sowie die Benutzerzertifikate sind schnell heruntergeladen oder per Mail verschickt. Dass es sich um OpenVPN handelt, verschweigt die Oberfläche leider. Auch bleibt rätselhaft, warum man dafür ein eigenes Root- und Host-Zertifikat generieren muss. Es hätte sich angeboten, alle Zertifikate inklusive des Admin-Webserver-Zertifikats unter einer Root-CA zu vereinheitlichen.

Bemerkenswerterweise ergänzt die Limes MF nach dem Anlegen eines Benutzers und dem Aktivieren der VPN-Funktion die Firewallregeln automatisch, um die gewünschte Funktionalität zu erlauben. Das spart lästige und fehlerträchtige Eingriffe ins Regelwerk. Aus Sicherheitssicht wäre es aber sehr angeraten, diese automatischen Änderungen wenigstens nachvollziehbar anzuzeigen.

Gut ins Bild passt die IDS-Integration auf der Firewall. Sie ist einfach zu bedienen – es genügt, die Funktion getrennt für externes und internes Interface zu aktivieren und die gewünschten Regeln auszuwählen. Sogar Authentifizierung an der Firewall ist vorgesehen. Dafür darf der Webproxy aber nicht mehr transparent sein, auch ist ein LDAP- oder AD-Server nötig, der die Accounts verwaltet.

Wunschzettel

Der Hersteller bewies während des Tests, dass er neue Kundenanforderungen an das Produkt schnell umsetzt. So wollten die Tester unerwünschte Datei-Anhänge von E-Mails unterdrücken, etwa solche mit der Endung ».com«. Sechs Wochen später war die Funktion in Form von Update 68 implementiert. Seit dieser Version spielt der Hersteller neue Updates nicht mehr automatisch sein, sondern überlässt sinnvollerweise den Kunden die Kontrolle.

Nach Aussage des Supports bespricht Underground 8 vor der Auslieferung einer Firewall immer die Kundenwünsche und versucht daraufhin, eventuell fehlende Funktionen noch zu implementieren. Damit zeigt sich, dass das Produkt eher projektgetrieben entwickelt wird, was vielleicht auch erklärt, warum wichtige Funktionen fehlen oder nicht zu Ende gedacht sind.

Die Limes MF verkauft sich primär über ihren Preis. Funktionalität, Features und Performance bleiben deutlich hinter der kürzlich getesteten Astaro-Firewall [14] oder gar einer Checkpoint [15] zurück. Die erst 2005 gegründete österreichische Firma verfolgt zurzeit auch andere Ziele. Sie ist nach eigenen Angaben mehr auf Kleinunternehmen aus, die sie optimal betreuen will. Hierzu ist übrigens auch der Remote-Zugriff über die TCP-Ports 980 (Admin-Webserver) und 2200 (SSH) per Default aktiviert.

Mögliche Kunden für die Limes MF wären auch Schulen, in denen zum Beispiel eine Arbeitsgemeinschaft von Schülern und Lehrern ohne fundierte Informatikausbildung den Internetzugang für einen Pool von Lerncomputern betreut. Solange auf diesen Rechnern keine Noten oder Prüfungsaufgaben liegen, ist der Schutzbedarf gering, aber der Wunsch groß, dass alles möglichst einfach funktioniert. Wer mehr Schutz braucht, sollte leistungsfähigere Firewalls wählen und einen Admin einstellen.

Sehr durchgängig gelöst sind Marketing und Design, bis hin zur Lackierung der Appliance und dem Layout der Dokumentation. Offenbar will der Hersteller eine größere Produktlinie und eine Marke mit hohem Wiedererkennungswert etablieren. Neben der Firewall sind bereits ein Traffic Shaper und ein reines Antispam-Produkt im Angebot, mit Limes Stealth befindet sich das nächste Produkt in Entwicklung. Dieses Sortiment kommt potenziellen Resellern für Managed Firewall Services auf Basis des Umbrella-Managements zugute. (fjl)

Infos
[1] Underground 8: [http://www.underground8.com]

[2] Limes-MF-Modelle und deren Preise: [http://www.underground8.com/de/limes_MF/Modelle_MF.php]

[3] Microdasys SCIP: [http://www.microdasys.com/products/scip/]

[4] Webwasher SSL-Scanner: [http://www.webwasher.de/]

[5] Christian Ney, “Firewalling auf Layer 7 mit dem Applikation Level Gateway Zorp”: Linux-Magazin 12/04, S. 52

[6] Turtle: [http://www.turtlefirewall.com]

[7] Michael Schwartzkopff, “Regelmeister – Neue Features der Firewall-Oberfläche FW-Builder”: Linux-Magazin 06/07, S. 86

[8] Vadim Kurland, “Firewall-Builder – vom grafischen Frontend zur Konfigurationsdatei”: Linux-Magazin 12/05, S. 54

[9] Kaspersky: [http://www.kaspersky.de]

[10] Squid: [http://www.squid-cache.org]

[11] HTTP Anti Virus Proxy, HAVP: [http://www.server-side.de]

[12] Ralf Spenneberg, “Unsichtbarer Schutz mit Linux – Firewall auf Bridge-Ebene”: Linux-Magazin 12/04, S. 30

[13] Achim Leitner, “Virtuelle private Netze ohne Kernel-Modifikation – OpenVPN”: Linux-Magazin 10/03, S. 29

[14] Jörg Fritsch und Norbert Landowski, “Astaro Security Gateway ASG 320 – Firewall und VPN-Gateway”: Linux-Magazin 08/07, S. 72

[15] Checkpoint: [http://www.checkpoint.com]

Der Autor
Jörg Fritsch studierte Chemie und arbeitete anschließend in den Bereichen Software-Entwicklung und IT-Sicherheit. Seit 2003 ist er Engineer Communication & Information Security bei der Nato-C3-Agentur. Er ist Autor von zahlreichen Fachbeiträge zum den Themen Load Balancing, TCP/IP und Security.
E-Mail Benachrichtigung
Benachrichtige mich zu:
0 Kommentare
Älteste
Neuste Beste Bewertung
Nach oben