Aus Sicherheitsgründen setzt Watch-Guard für die Verwaltung nicht auf ein Web-Interface, sondern auf eine Windows-Anwendung.

Als Schnittstelle zwischen lokalem Netz und dem Internet spielt die Firewall in den Sicherheitsüberlegungen eine wichtige Rolle. Die Brandmauer muss nicht nur Angriffe aus dem weltweiten Rechnerverbund verhindern. Viel grösser ist das Risiko, das von innen kommt. Mit Viren, Spyware und Trojanern verseuchte PC stellen heute die grössere Bedrohung dar. Eine Firewall kann Kontaktversuche dieser Schädlinge mit dem Internet abblocken.

Digitale Brandmauern existieren in den unterschiedlichsten Grössen. Solange auf dedizierte Hardware und nicht zu einer PC-basierten Open-Source-Variante gegriffen wird, steigt der Preis in etwa parallel zur Anzahl Benutzer. Ungefähr in der Mitte positioniert die Herstellerin Watch-Guard ihre Appliances aus der Reihe Firebox-X-Core. Diese richten sich an Firmen mittlerer Grösse, bedienen also das «M» aus dem KMU-Segment. Im Verhältnis zum Preis bietet diese Firebox-Reihe eine breite Fülle an Sicherheitsvorkehrungen.

Die Firebox-X-Core bietet hohe Netzwerk-Sicherheit bis hinunter auf Anwendungsebene. Als Schutz vor Einbrüchen verfügt die Appliance über Werkzeuge zur Intrusion Detection und Intrusion Prevention. Die Management-Konsole verwaltet zentral alle Zweigstellen und Aussendienst-Mitarbeiter, die über ein VPN (Virtual Private Network) mit dem Hauptsitz verbunden sind. Eine Zugriffsregelung auf IP-Adressebene und ein optionaler Spamfilter runden die Sicherheitsmassnahmen ab. Und zur Steigerung des Datendurchsatzes oder der Verfügbarkeit lassen sich bis zu drei zusätzliche Netzwerk-Schnittstellen freischalten. Zwar sind diese Ports Hardware-mässig vorhanden. Doch der Zugriff darauf erfordert eine Zusatzlizenz. Die verschiedenen Core-Modelle der Firebox-X unterscheiden sich durch die Anzahl unterstützter Benutzer in der integrierten Radius-Authentifizierungs-Datenbank sowie der Anzahl gleichzeitiger VPN-Tunnels. Die vier Ausführungen bieten 250 bis 5000 Benutzereinträge respektive 50 bis 1000 VPN-Verbindungen. Die kleineren Modelle lassen sich über ein Software-Update erweitern.

Vom Funktionsumfang her orientiert sich die Firebox an Firewalls für Grossunternehmen. Netzwerkverkehr, der Kriterien wie eine bestimmte Ethernet-Schnittstelle oder Port-Nummer erfüllt, lässt sich für die vereinfachte Regelvergabe unter einem Aliasnamen zusammenfassen. Benutzer können in Gruppen unterteilt werden, was die Rechteverwaltung erleichtert. Für die Authentifizierung von Anwendern greift die Firebox auf den internen Radius-Server (Remote Authentication Dial-In User Service) zurück, auf einen Windows-NT/2000-Server oder auf Microsofts Active-Directory. Optional wird auch LDAP (Lightweight Directory Access Protocol) unterstützt. Die Logdateien kann die Firewall auf einem Server ablegen. Das minimiert das Risiko, dass bei einem Einbruch die Aufzeichnung manipuliert wird, um Spuren zu verwischen.

Die Firebox verfolgt das Konzept, dass alles, was nicht explizit erlaubt ist, verboten gehört. Das bedeutet, dass der Administrator jedes Netzwerk-Protokoll einzeln freischalten muss. Das gilt selbst für gängige Dienste wie HTTP (Hypertext Transfer Protocol) oder SMTP (Simple Mail Transfer Protocol). Dieses Vorgehen erhöht zwar die Sicherheit, indem es unerwünschte Dienste zuverlässig abriegelt. Es verlangt dem Administrator aber einen hohen Konfigurationsaufwand ab sowie gute Netzwerk-Kenntnisse. Ein Assistent, der beispielsweise bei der Einrichtung eines VPN-Nutzers hilft, würde die Arbeit erheblich erleichtern.

Brandschutz in Rot: Die Firebox-X-Core schützt lokale Netze.

Das Management-Werkzeug ist ebenfalls auf bestmögliche Sicherheit ausgelegt. Eine webbasierte und potenziell unsichere Oberfläche sucht man bei der Firebox vergebens. Stattdessen kommt eine Windows-Anwendung zum Einsatz, die am Arbeitsplatz des Verwalters installiert wird. Mehrere Firebox-Appliances lassen sich zentral über eine einzige Management-Konsole verwalten.

Die Bedienung dieses Werkzeugs vermag nicht in allen Punkten zu überzeugen. Zwar erfolgt die Grundkonfiguration der Firebox über einen bequemen Assistenten. Das Feintuning gestaltet sich aber komplex. Oftmals müssen Einstellungen für einen einzelnen Dienst an verschiedenen Orten vorgenommen werden. Das ist beispielsweise beim Einrichten eines VPN-Zugangs der Fall. Zuerst müssen ein Benutzer und je ein Filter für die zulässige IP-Adresse und die PPTP-Gruppe (Point-to-Point Tunneling Protocol) angelegt werden. Danach ist diese Adresse aus der Liste der zu blockierenden Sites zu löschen und die Konfiguration zu speichern. Zuletzt wird die VPN-Software auf dem PC des Benutzers installiert. Bei anderen Firewall-Produkten lässt sich dieser Ablauf in zwei bis drei Schritten erledigen.

Das Verwaltungswerkzeug kennt zwei Betriebsarten, einen Lese-/Schreibmodus und eine Nur-Lese-Variante. Die Konsequenzen zeigten sich beim Versuch, über den separaten Policy-Manager eine Regel anzupassen. Da die Management-Konsole bereits mit Schreibzugriff lief, führte der Änderungsvorgang zur Fehlermeldung, dass die einzig mögliche Schreibverbindung bereits geöffnet sei. In der Folge musste das Administrations-Tool geschlossen und im Nur-Lese-Modus neu gestartet werden, bevor die Änderungen im Policy-Manager gespeichert wurden. Diese strikte Zugriffskontrolle geht zwar als Hochsicherheits-Merkmal durch. Doch es stellt sich die Frage, ob diese Massnahme nicht bloss die Verwaltungsarbeit unnötig erschwert.

Wenn man sich einmal an die strikte Art und Weise der Firebox-Verwaltung gewöhnt hat, bieten das Administratoren-Tool und der Policy-Manager eine Vielzahl nützlicher Funktionen. Der Aufbau eines VPN zwischen zwei Filialen gestaltete sich verhältnismässig einfach, wie auch das Einrichten dazu gehörender Zugriffsregeln. Proxy-Server für die Protokolle HTTP, SMTP und FTP (File Transfer Protocol) erlauben die Verkehrssteuerung auf Anwendungsebene. Auf diesem Weg werden auch Angriffsversuche unterbunden, die über speziell präparierte Verbindungen erfolgen. Der aktuelle Zustand der Firebox lässt sich live überwachen. Zu den verfügbaren Informationen zählen etwa die laufenden Verbindungen und angeschlossenen Rechner, aber auch die Einträge in den Logdateien.

Über die Firewall hinaus bietet die Herstellerin Watch-Guard mit dem Live-Security-Informer einen E-Mail- und RSS-basierten (Really Simple Syndication) Informationsdienst zum Thema Netzwerksicherheit. Er richtet sich an Administratoren, die auf dem Laufenden bleiben wollen, ohne gleichzeitig mit Hinweisen auf Software-Patches überflutet zu werden. Eine solche Dienstleistung ist bei Firewall-Anbietern die Ausnahme. Der Live-Security-Informer steht als kostenpflichtiges Abo auch denjenigen Firmen zur Verfügung, die keine Watch-Guard-Produkte einsetzen.

Der Funktionsumfang der Firebox-X-Core kann sich sehen lassen. Eigenschaften wie die zentrale Verwaltung auch von entfernten Firewalls, gruppenbasierte Regeln und ein eingebauter Authentifizierungs-Server sind meist nur in teureren Modellen für grosse Unternehmen zu finden. Umgekehrt halten auch die aufwändige Installation und Konfiguration mit den Enterprise-Produkten mit. Die für KMU-Firewall-Appliances übliche Assistenten-gestützte Einrichtung sucht der Administrator hier vergebens.
Den Preis für die Sicherheit bezahlt man bei der Firebox-X-Core in Form eines erhöhten Betreuungsaufwandes.