All About Security
  • Aktuelle Sicherheitsartikeln als RSS Feed
  • All About Security auf Twitter
  • All About Security auf Xing
  • All About Security auf Google+
  • Unter4Ohren IT-Security Podcast auf YouTube

Security-Appliances, Fachartikel

Unified Threat Management (UTM) von Cyberoam

Unified Threat Management (UTM) von Cyberoam

Umfangreiches Toolset mit vielen Sicherheitseinrichtungen - An Werkzeugen des Unified Threat Management herrscht kein Mangel. Viele Hersteller bündeln unter diesem Schlagwort verschiedene Sicherheitstools.

Eine Firewall gehört fast immer dazu. So auch Cyberoam, Anbieter einer Appliance aus Indien. Die Box hat darüber hinaus ein paar Besonderheiten, die sie auszeichnen.

Um den wachsenden Bedrohungen aus dem Internet Herr zu werden, wird ein ganzes Bündel an Techniken und Werkzeugen angeboten. Dies umfasst Scanner für Viren Spyware, Adware oder sonstiger Malware, Intrusion Detection und Prevention Systeme und natürlich Firewalls. Um die Verwaltung der unterschiedlichen Sicherheitssysteme zu vereinfachen packt man sie oftmals in einer Einheit zusammen und unter eine gemeinsame Konsole. Vertrieben werden diese Produkte häufig unter dem Schlagwort des Unified Threat Management (UTM). Dies ist auch der Weg den Cyberoam bei seiner UTM-Box geht. Das Unternehmen bündelt in seiner Sicherheitsappliance unterschiedlichste Funktionen zu einer integrierten Einheit. Diese umfasst eine Stateful Inspection Firewall, Sicherungen gegen Spam, Viren, Spyware, ein Intrusion Prevention System, die Verwaltung von Virtual Privat Networks, ein Bandbreiten-Management und Funktionen zum Content und Application Filtering.

Browserbasierte Sicherheit

Aufgrund dieser Fülle der Sicherheitsfunktionen gehört die Cyberoam-Appliance zweifelsfrei zu den umfangreicheren Sicherheits-Baugruppen. Die Verwaltung erfolgt webbasiert durch einen Browser. Das Management-GUI der Cyberoam ist angenehm und aufgeräumt. Am linken Rand der Verwaltungsmaske sind Menüs, mit den Verwaltungsfunktionen. Dies sind die Verwaltungs-Bereiche System, Firewall, VPN, SSL, VPN, IPS, Categories, Policies, Group, User, Anti Virus, Anti Spam, Traffic Discovery, Reports und Help. Darunter sind weitere Untermenüs. Um beispielsweise das Netzwerklayout zu konfigurieren ist unter „System | Configure Network | Manage Interface“ die passende Option. Am oberen Rand befinden sich die Bereiche für eine mehr logische und übergeordnete Betrachtungsweise der verschiedenen Aspekte. Dazu zählen ein übergreifendes Dashboard, ein Assistent zum Einrichten der Appliance, eine Kommandozeilen-basierte Konsole, Supporthinweise und ähnliche Hilfen.

Das Dashboard der Cyberoam ist aufgeräumt und präsentiert dem Administrator alle wichtigen Informationen auf einen Blick  Grafikdownload

Einrichten der Appliance

Im Rahmen unseres Tests packen wir die Sicherheitsappliance als Torwächter zwischen dem internen LAN und dem WAN. Generell kann die Zuweisung der Netzwerkports vom Anwender wahlfrei vorgenommen werden. Der Hersteller hat aber drei der sechs Ports bereits den Zonen LAN, WAN und DMZ zugewiesen. Die Verkabelung ist entsprechend der Konfiguration anzupassen. Anschließend ist die WAN-Konfiguration einzurichten. Hierbei hilft ein Einrichtungs-Wizard. Dieser bringt eine mehrstufige Dialogfolge, die alle wichtigen Zugangsdaten und Einstellungen abfragt. Ist die Konfiguration des WAN-Zugangs abgeschlossen, so sollte auch bereits der Zugang zum Internet möglich sein.

Zu den wichtigsten Sicherheitsfunktionen gehören heute die Firewalls. Diese bestimmt wer mit wem über welchen Kanal oder Protokolle kommunizieren darf oder nicht. Dabei wird meist eine Trennung in das interne LAN und das externe Internet vorgenommen. Das Unternehmensnetz ist dabei auch weiter zu segmentieren. Dabei unterscheiden diese Firewalls nicht nach den Benutzern. Jeder der in einem bestimmten Netzsegment ist, wird der Regel unterworfen. Hier geht Cyberoam weiter. Das Sicherheitswerkzeug kennt auch Benutzer. Es unterscheidet damit nach Benutzer in dem jeweiligen Segment. Daher sind zuerst die Benutzer einzurichten. Hierbei unterscheidet die Cyberoam nach drei Benutzertypen: dem User, dem Manager und dem Administrator. Zur Authentifizierung der Benutzer liefert Cyberoam mehrere Optionen. Dies ist die Anbindung an das Active Directory, einem LDAP-Verzeichnisdienst, einem RADIUS Server, einer Windows Domäne und die lokale Verwaltung der Benutzer durch die Cyberoam-UTM. Für unseren Test entschieden wir uns für die Authentifizierung durch die Cyberoam selbst.

Regeln bestimmen die Kommunikation

Nach dem Erzeugen der Benutzer machten wir uns daran, die ersten Firewall-Regeln zu erstellen. Dieses Prinzip ist mit den Konzepten von anderen Firewalls vergleichbar.
Die Regeln können auch immer in Bezug auf den Benutzer angewandt werden. Durch die Option „Check Identity“ wird die Verbindung von der Firewall-Regel zu einem Benutzer oder einer Gruppe hergestellt. Bei der Anwendung der Regel erfolgt dann die Prüfung des Benutzers durch die UTM-Appliance. Neben den bis dato erwähnten Firewall-Funktionen umfasst die UTM aber ein ganzes Set an weiteren Sicherheitseinrichtungen. Dazu zählt ein IPS, Funktionen für Anti-Spam und Anti-Virus, der Verwaltung von Zertifikaten für eine gesicherte Kommunikation, der Schutz vor Spoofing, die Verwaltung von VPNs und ähnliche Sicherheitshilfen. Hinsichtlich der VPNs unterstützt die Cyberoam-Appliance alle heute gängigen Varianten wie etwa IPSec, SSL, LT2P oder PPTP. Zum Umfang der Appliance gehört darüber hinaus ein Content Filter, der den Datenstrom nach mehreren Kriterien wie beispielsweise Schlüsselworte, URLs, Domain Names oder Dateitypen untersucht und bei Bedarf blockiert. Durch diese Filterfunktionen der Cyberoam lassen sich somit auch DLP-Funktionen abbilden.

400.000 parallele Sessions

Die Sicherheitsappliance erreicht laut Datenblatt einen Durchsatz von 1000 Mbps/sec und kann 400.000 Sessions gleichzeitig bedienen. Das bedeutet dass sie auch für größere Umgebungen ausgelegt ist. Wie erwähnt wir man sie meist an der Grenze Internet - Unternehmensnetz platzieren. Damit wird sie aber zum Single-Point-Of-Failure. Fällt sie aus, ist der komplette Datenverkehr unterbrochen. Um das zu verhindern hat der Hersteller seine Sicherheitsbox mit HA-Funktionen (High Availibiltiy/ Ausfallsicherheit) mit Failover ausgestattet. Dazu werden dann aber zwei physische Appliances und parallele Netze verlangt.

Fazit

Die UTM von Cyberoam ist relativ unbekannt auf dem deutschsprachigen Markt. Das Produkt aber ist durchaus innovativ. Das System umfasst eine Vielzahl an Sicherheitseinrichtungen. Hinzu kommen eine klare Struktur der Verwaltung und ein angenehmes GUI. Wer auf der Suche nach einer Sicherheitseinrichtung mit den genannten Funktionen ist, sollte sich im Web damit vertraut machen.

www.cyberoam.com/de/

Diplom-Inform. Johann Baumeister
www.jb4it.de