Nichts entgeht mehr

Andreas Wurm ist Journalist in München.

Das Collax Security Gateway (CSG) soll das Netzwerk sicher machen, indem es gängige Sicherheitswerkzeuge in einem Gerät vereint. Spam-Filterung, Intrusion Detection, Intrusion Prevention und Virenerkennung sind nur einige der möglichen Massnahmen. Getestet wurde das CSG auf einer Appliance von Collax.

Wer das Gateway in Betrieb nehmen will, schliesst es ans Netzwerk an und kann dann über die kleine Bedienoberfläche direkt am Gerät erste Einstellungen wie die Vergabe der internen IP-Adresse vornehmen. Die Appliance ist auch über einen Konsolenport und direkt über eine Tastatur auf Befehlsebene ansprechbar.

Das System bietet eine Benutzeroberfläche, die aus drei Teilen besteht. Über einen Assis-tenten kann der Anwender relativ einfach die gewünschten Funktionen frei schalten. Sie sind zum Teil sofort einsatzbereit, zum Teil müssen zuerst zusätzliche Softwarepakete installiert werden, wie zum Beispiel der Spam-Schutz oder die Antiviren-Software. Alle Updates und Zusatzinstallationen stellt Collax auf seinen Servern bereit. Es empfiehlt sich, nach dem Start das Gerät zu registrieren, da Softwarepakete und Aktualisierungen nur in Verbindung mit einem gültigen Registrierschlüssel abgeholt werden können.

Ein sehr nützliches Werkzeug kam gleich zu Beginn zum Einsatz. Collax bietet einen so genannten Werkzeugkasten. Dieser enthält verschiedene Hilfsmittel, mit denen ein Administrator überprüfen kann, ob er das Gerät richtig konfiguriert hat. Zum Beispiel kann er über «Ping» und «DNS» Server im Internet ansprechen und die Verbindung nach draussen testen. Der Weg ins Internet kann auch über einen Router erfolgen, beispielsweise beim Anschluss an eine DSL-Verbindung.

Es empfiehlt sich, nach der Netzwerk-Konfiguration die verfügbaren Updates vom Collax-Server zu holen, denn die einzelnen Bestandteile sind voneinander abhängig. Es bringt nichts, ein veraltetes CSG-System laufen zu lassen und darauf die neueste Anti-Virus-Komponente einzuspielen. Entsprechend reklamiert das Betriebssystem des Geräts und fordert den Administrator dazu auf, die Software auf den aktuellen Stand zu bringen.

Alles, was der Anwender am Gerät verstellt, muss er danach noch absegnen. Bei jeder Anpassung fordert das System eine Bestätigung. Abhängig von der Art der Änderung lässt sich der Schritt in die bestehende Konfiguration eintragen. Der Administrator kann aber auch eine Neukonfiguration des Gerätes durchführen lassen. Collax empfiehlt, bei kleinen Änderungen die bestehende Konfiguration anzupassen. Bei tiefgreifenden Vorgängen wie der Installation von Zusatzsoftware oder bei Veränderungen an den Schnittstellen sollte gemäss Herstellerin aber besser die ganze Konfiguration zusammen mit den Änderungen neu geschrieben und anschliessend geladen werden.

Der Support von Collax ist sehr gut. Im Test wurde über die Weboberfläche der Link zum lokalen Netz deaktiviert. Danach war über einen PC kein Zugriff auf das Gerät mehr möglich. Ein Anruf bei Collax genügte, ein Techniker führte über den Shell-Zugang durch die Kommandozeile, wodurch das Interface am Gerät wieder hochgefahren werden konnte.

Das Gerät lässt sich auch als Mail-Proxy betreiben. Dann holt es elektronische Post von einem Server im Internet ab und leitet sie an einen unternehmensinternen Server weiter. Dabei kommen die einzelnen Sicherheitsfunktionen wie Spam- und Virenschutz zum Einsatz. Falls der interne Server nicht läuft und das CSG die empfangenen Mails nicht weiterleiten kann, bleiben sie in der Mail-Queue. In regelmässigen Abständen versucht das Gerät dann, die Mails an den angegebenen Server zu versenden.

Nachdem CSG und interner Mail-Server aufgesetzt waren, konnte im Test das Mailprogramm die Post vom internen Server abholen. Der Vorteil dieser Methode liegt darin, dass E-Mails von den CSG-eigenen Sicherheitswerkzeugen untersucht werden. So erfolgt die Kontrolle im Unternehmen selbst und gemäss den internen Sicherheitsrichtlinien. Der Virenschutz stammt von Kaspersky und dem freien Clam-AV. Die beiden Scanner überwachen die eingehenden E-Mails und den HTTP-Verkehr, falls das Gateway als Web-Proxy arbeitet.

Die Konfiguration des Spam-Filters, etwa von Black- und Whitelists, den Schwellenwerten oder dem automatischen Training, folgt den üblichen Mustern und ist mehrheitlich selbsterklärend. Für den Rest gibt es neben dem umfangreichen PDF-Handbuch eine gute Hilfefunktion direkt in der Admin-Oberfläche. Die Spam-Abwehr beinhaltet zudem einen MIME-Filter (Multipurpose Internet Mail/Message Extension), um Dateianhänge nach Endung oder Content-Typ zu filtern.

Wer seine Mitarbeiter surftechnisch im Griff haben möchte, kann das CSG als Web-Proxy betreiben - alle Funktionen lassen sich parallel nutzen. Der Administrator legt hierzu Konten in der Benutzerdatenbank an. Für diese Funktion bietet das Gerät einen Assistenten, genau wie für alle anderen gängigen Werkzeuge. Das CSG als Proxy zu konfigurieren dauert weniger als 30 Sekunden.

Aufgrund der vordefinierten Liste dürfen die Benutzer erstmals alle Seiten besuchen. Fürs Feintuning kann der Administrator zwischen unzähligen Einstellungen wählen, mit denen sich das Surfverhalten der Unternehmensphilosophie anpassen lässt: Beschränkungen für einzelne Benutzer, Benutzer in bestimmten Gruppen oder für ganze Gruppen. Für die Benutzer- und Rechteverwaltung lässt sich das CSG auch in einer Domäne betreiben.

Collax liefert das Gerät mit zwei Webfiltern aus, Cobion und Dansguardian. Letztere sind freie Verzeichnisse, die Cobion-Listen sind kommerziell und werden in der Regel schneller aktualisiert. Im Test liessen sich problemlos Einstellungen für bestimmte Benutzer vornehmen. In den vorgefertigten Listen, die sich ergänzen lassen, finden sich Schlagworte wie «Glücksspiel», «Online einkaufen», «Gewalt» und natürlich auch «Pornografie». Gerade der Pornografiefilter wurde eines genaueren Tests unterzogen. Ergebnis: Im Vergleich zu Filtern wie «Online einkaufen» (die üblichen Verdächtigen waren leicht auszusperren), haben Pornobegeisterte gute Chancen, die gewünschten Seiten auf den Schirm zu bekommen. Das Angebot ist zu umfangreich, als dass man es mit ein paar Listen aussperren könnte. Hierfür bietet Collax aber die Möglichkeit, eigene Einträge anzulegen. Im Falle der Porno-seiten dürfte es für den Administrator schweisstreibende Arbeit bedeuten, all diese Seiten ausfindig zu machen. Das Prob-lem liegt hier allerdings am Angebot - und nicht an Collax.

Das CSG bietet ein Bandbreiten-Management für ausgehende Verbindungen an. Der Anwender kann zwischen zwei Algorithmen wählen: HTB bietet Klassen eine garantierte und eine maximale Bandbreite, H-FSC zusätzlich eine garantierte Latenz und empfiehlt sich bei Videostreaming oder IP-Telefonie. Anwender müssen sich für einen von beiden Diensten entscheiden.

Mit dem Gateway lassen sich auch VPN aufbauen, wahlweise zu einem Server oder zu einem Client. Die Netzwerke, die dabei erreichbar sein sollen, werden auf dem CSG festgelegt und anschliessend beim Client eingetragen. Zusätzlich erstellt die UTM-Appliance Firewall-Regeln, die den Datenaustausch zwischen den beiden Stellen erlauben.

Das Collax Security Gateway bietet eine Menge Möglichkeiten, das Netzwerk sicher zu machen, beziehungsweise sorgfältig zu überwachen. Die UTM-Appliance eignet sich für kleine und mittlere Unternehmen. Gerade die kleinen Firmen, in denen Netzwerk-Know-how nicht so hoch aufgehängt sein dürfte, werden besondere Freude am Support und am Handbuch haben, das zu jeder Funktion gleich einen kleinen Kurs zum Thema mitliefert. Bei allem Lob muss aber auch die Frage erlaubt sein, was mit der Sicherheit im Netz passiert, wenn dieses starke Werkzeug ausfällt, wodurch dann gleich alle Sicherheitsmechanismen aufs Mal am Boden liegen.