:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d5/2b/d52bab1274ffd2ebf852bc5151087ce2/0114319310.jpeg "Schweden erlebte im Zusammenhang mit seiner NATO-Bewerbung im Mai einen DDoS-Angriff, der in 500 Gbit/s gipfelte. (Bild: metamorworks - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/23/7f/237f6b9aba3791359922c4a8177d9695/0114245336.jpeg "Auch 2023 steht am Anfang der meisten komplexen Cyberattacken noch immer eine einfache Phishing-E-Mail. (Bild: NicoElNino - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/98/02/9802905292c1188fc7967a35f617be9d/0114319926.jpeg "Eine Übersicht der drei häufigsten Firewall-Schwachstellen und wie Unternehmen sich schützen können. (Bild: jahidsuniverse - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/bd/e0/bde04197ed5519a1743d39b5794da453/0114113339.jpeg ""Warum IT-Sicherheitsplattformen die Antwort auf komplexe Bedrohungen sind", ein Interview von Oliver Schonschek, Insider Research, mit Sven von Kreyfeld von Forescout. (Bild: Vogel IT-Medien / Forescout / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/12/58/12582dfe400f011eb34437a6a7510c94/0114247209.jpeg "Cyberkriminelle nutzen immer häufiger verschlüsselten Datenverkehr um Unternehmen anzugreifen. Gigamons Precryption-Technologie deckt bisher verborgene Bedrohungen auf, einschließlich Lateral Movement, Malware-Verteilung und Datenexfiltration in virtuellen, Cloud- und Container-Anwendungen. (Bild: freshidea - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c8/2a/c82a7e10b02b1679f7eacdc8fa1dafec/0113847105.jpeg "Rubrik setzt bei „AI-Powered Cyber Recovery“ unter anderem auf generative KI. (Bild: Rubrik)")
:quality(80)/p7i.vogel.de/wcms/82/91/8291aade8ce1ba7b0c9ca477cc338fba/0114233278.jpeg "Unternehmen sollten die im Artikel vorgestellten vier Prinzipien umsetzen, offener mit dem Thema Sicherheit umgehen und Informationen und Best Practices zu teilen, um die Sicherheit der gesamten Branche zu verbessern. (Bild: Gorodenkoff - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/54/c4/54c4a0adf74bd1c468477c6da476dff2/0114233608.jpeg "Penetationstests sind eine wichtige Grundlage für das Schließen von Sicherheitslücken. (Bild: Mediaparts - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a4/41/a441d1fcb6898f9bc0139d483077730b/0113477103.jpeg "Die Integration von Sicherheitsprozessen in den Software Development Lifecycle sollte mglichst transparent erfolgen. (© ipopba-stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/67/77/6777619429ac7c92cadc7368950ef7ac/0114229692.jpeg "Die neuen Tokentypen Tagespasswort und applikationsspezifisches Passwort in privacyIDEA 3.9 ermöglichen dem Administrator auch in heterogenen Umgebungen, die Authentifizierung an alten Applikationen zentral zu verwalten. (Bild: privacyIDEA)")
:quality(80)/p7i.vogel.de/wcms/3a/0e/3a0e510718ff64c8142c752d9244e514/0114089617.jpeg "Durch einen kompromittierten Microsoft-Account und einen ungeschützten Crash-Dump konnte die Hackergruppe Storm-0558 einen Master-Signatur-Schlüssel von Microsoft stehlen. Die Folgen sind gravierend. (Bild: Skórzewiak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/56/e8/56e81a2cc5d033e060c48271040ce400/0114030088.jpeg "Angriffe auf die kritische Infrastruktur werden weiter zunehmen und Phishing wird ein wichtiger Angriffsvektor sein. Eine Phishing-sichere MFA kann helfen Risiken zu minimieren. (Bild: Urupong - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a5/85/a585575bd16dcca383fb99f047ac6b97/0114320278.jpeg "Organisationen aller Art müssen sicherstellen, dass sie auf Security-Bedrohungen angemessen vorbereitet sind. (Bild: chinnarach - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/40/e0/40e0210cf7edf333e58492904af25b94/0112115131.jpeg "Business Continuity Management (BCM) ist ein ganzheitlicher Ansatz zur Fortführung der Geschäftsprozesse im Krisenfall. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/b0/1e/b01e79eb55bde7b9a2d1ec3f6bb609f1/0114319823.jpeg "Im Kampf gegen aktuelle Bedrohungen sind Intelligence-Tools eine gute Hilfe, da sich mit ihnen ein mehrschichtiger Sicherheitswall aufbauen lässt. (Bild: denisismagilov - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/68/47/6847dbe6e975e7baac1f48295a15ef54/0112115142.jpeg "Anything-as-a-Service ist ein Sammelbegriff für Services als Dienstleistung aus der Cloud. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Clavister W30 im Test Next Generation Firewall für verteilte Netze
Mit den Appliances der Eagle- und der Wolf-Serie hat Clavister mehr als eine Next Generation Firewall, kurz NGFW, im Portfolio. Die Geräte eignen sich besonders für Umgebungen mit mehreren Firewalls, wie beispielsweise verteilten Netzen.
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/5e/4d/5e4d4b19a3c54/moxa-logo.jpg "Moxa_Logo.jpg (Moxa Europe GmbH)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/60/87/6087e22313077/fujitsu-300dpi--002-.jpg "Fujitsu 300dpi (002).jpg (Fujitsu)")
Ein zentrales Verwaltungstool sorgt bei den Clavister-NGFWs dafür, dass die zuständigen Mitarbeiter stets den Überblick behalten. Die Appliances sind in verschiedenen Hardware-Ausstattungen erhältlich.
Dementsprechend kann ein Unternehmen in jeder Niederlassung genau die Appliance einsetzen, die am besten auf die jeweiligen Leistungsanforderungen abgestimmt ist. Da die Funktionalität der Hardware-Lösungen identisch ist, gilt dieser Test, der mit zwei Clavister W30 durchgeführt wurde, gleichermaßen auch für die anderen Next Generation Firewalls von Clavister.
Die Clavister W30, die für den Einsatz in Zweigstellen, entfernten Niederlassungen und kleinen Rechenzentren konzipiert wurde, bringt – wie bei modernen Next Generation Firewalls üblich – neben der eigentlichen Firewall-Funktion mit Deep Packet Inspection auch VPNs (IPSec, L2TP, PPTP und SSL), erweitertes Routing (auch auf Policy-Basis) und Anti-Spam-Features mit.
Hinzu gesellen sich Antivirus-Funktionen (von Kaspersky), ein Intrusion-Prevention System, Load Balancing, Bandbreiten-Management, Link-Aggregation, ein Web-Filter und Funktionen zur Anwendungskontrolle. Die Appliance unterstützt zudem Hochverfügbarkeit. Einige dieser Funktionen erkennt man auch in der weiter unten eingehängten Bildergalerie.
Der Test
Im Test richteten wir zunächst eine der W30-Lösungen als Internet-Gateway in unserem Netz ein. Dazu verbanden wir das Produkt mit Netzwerk-Switch und DSL-Modem und fuhren es hoch. Anschließend griffen wir mit einem Browser auf das Management-Interface der Appliance zu und führten die Erstkonfiguration durch.
Nachdem diese erfolgt war, setzten wir uns im Detail mit dem Konfigurationswerkzeug auf Browser-Basis auseinander und lernten dabei den Funktionsumfang der Lösung kennen. Zudem passten wir die Konfiguration genau an unsere Anforderungen an.
Im nächsten Schritt installierten wir auf einer Windows-7-Workstation das zentrale Management-Werkzeug Clavister InControl, über das sich laut Hersteller mehrere tausend Gateways verwalten lassen, und fügten unser Gateway zur InControl-Konfiguration hinzu. Anschließend nahmen wir uns InControl selbst vor und analysierten den Leistungsumfang der Lösung.
Als dieser Vorgang abgeschlossen war, nahmen wir die internen und externen Interfaces der Appliance mit diversen Sicherheitstools wie Nessus, Nmap und Metasploit unter die Lupe. Darüber hinaus verwendeten wir auch etliche Angriffs-Tools, um beispielsweise DoS-Attacken auf die Appliance durchzuführen und zu testen, wie sie darauf reagierte. Zum Schluss bauten wir unsere Testinstallation mit zwei Appliances so um, dass wir die Hochverfügbarkeitsfunktion (HA, High Availability) der Produkte unter die Lupe nehmen konnten.
Das Web-basierte Konfigurationswerkzeug
Nach der Inbetriebnahme des Produkts loggten wir uns mit unserem Browser bei der NGFW ein und aktualisierten die Firmware der Appliance auf das zum Testzeitpunkt aktuelle cOS Core 11.02.01.03. Anschließend fanden wir uns auf einer Statusseite wieder, die uns über den aktuellen Zustand der NGFW informierte. Diese enthält eine Systemübersicht mit Durchsatz, Verbindungen, CPU-Last, Speichernutzung, Systemzeit und ähnlichem.
Unter „Sub Systems“ lassen sich unter anderem die DHCP-Server konfigurieren, die Hardware überwachen und die Aktivitäten der Interfaces anzeigen. Das Untermenü „Maintenance“ bietet den Anwendern die Möglichkeit, die Konfiguration und die Core Binaries zu sichern, wiederherzustellen und ähnliches. Das Menü wurde logisch strukturiert und sollte keinen Administratoren vor Probleme stellen.
Die Systemeinstellungen
Im Hauptmenü „System“ finden sich alle Einstellungen zum Konfigurieren der Appliance selbst. Dazu gehören zunächst einmal die Settings für die Systemzeit und den DNS-Client.
:quality(80)/images.vogel.de/vogelonline/bdb/1031000/1031061/original.jpg "Der Setup-Wizard macht die Benutzer auf Fehler in der Konfiguration aufmerksam.")
:quality(80)/images.vogel.de/vogelonline/bdb/1031000/1031062/original.jpg "Die Statusseite bietet unter anderem auch Content Filter-Statistiken an.")
:quality(80)/images.vogel.de/vogelonline/bdb/1031000/1031063/original.jpg "Clavister hat alle relevanten Dienste bereits vordefiniert.")
:quality(80)/images.vogel.de/vogelonline/bdb/1031000/1031064/original.jpg "Die Definition einer Firewall-Regel.")
Der „Link-Monitor“ dient zum Überwachen von Objekten wie Hosts oder Netzwerken. Sollten diese aus irgendwelchen Gründen nicht erreichbar sein, so ist die Appliance dazu in der Lage, automatisch vordefinierte Aktionen wie Failovers und Neukonfigurierungen vorzunehmen. Die Real Time Monitor Alerts überwachen schließlich bestimmte Werte wie etwa die CPU-Last, den Durchsatz, die Zahl der Spam-Meldungen oder auch die Zahl gedroppter Pakete.
Objekte
Die Objekte sind die Grundlage für die Definition der Policies. Sie umfassen zunächst einmal das Adressbuch, das IP-, Netzwerk- und MAC-Adressen enthält. Die Services stellen im Gegensatz dazu die im Netz verwendeten Protokolle dar. Clavister hat hier bereits eine große Zahl vordefiniert, wie zum Beispiel „all_icmp“, „ssh“ oder auch „ping“.
Unter „ALG“ finden sich die Einträge zu den Application Level Gateways. Vordefiniert wurden ALGs für H.323 und SIP, es lassen sich bei Bedarf aber auch eigene einfügen, beispielsweise für HTTP, PPTP, etc.
Die VPN-Objekte dienen zur Definition von Virtual Private Networks. Die VPN-Konfiguration erlaubt zunächst einmal das Angeben von LDAP-Servern, von denen die NGFW bei Bedarf Zertifikate und Certificate Revocation Lists (CRLs) herunterladen kann. Der „IKE Config Mode Pool“ weist den VPN-Clients dann im Betrieb IP-Adressen, sowie DNS- und WINS-Server zu.
Netzwerk-Settings
Der Hauptpunkt „Network“ dient im Wesentlichen zur Konfiguration der Interfaces, VPNs und Routen. Auch die Link-Aggregation kann an dieser Stelle eingerichtet werden.
Ebenfalls interessant: die VPN-Konfiguration. Die Clavister-Lösung unterstützt IPSec, SSL, GRE sowie 6in4 und kann nicht nur mit PPTP- und L2TP-Servern und -Clients kommunizieren, sondern auch mit PPTP V3- und L2TP V3-Komponenten. Im Test stellten wir ohne Schwierigkeiten IPSec-Verbindungen zu einem Lancom-Router vom Typ 1781A und dem aktuellen NCP VPN-Client für Windows her.
Was das Routing angeht, so können die zuständigen Mitarbeiter nicht nur statische Routen setzen, sondern auch Routing Tables auf Policy-Basis realisieren. Abgesehen davon besteht auch die Möglichkeit, Load Balancing mit Hilfe verschiedener Routen zu verwirklichen.
Die Regeln
Der Bereich „Policies“ stellt das Herzstück der NGFW dar, denn hier richten die zuständigen Mitarbeiter die Regeln ein, die dazu dienen, die Datenübertragungen abzusichern. Außerdem haben sie auch die Möglichkeit, den Policies Dienste wie die Application Control, den Web Content Filter oder auch die Antivirus-Funktion hinzufügen, die dann für die jeweiligen Protokolle aktiv werden. Im Test ergaben sich dabei keinerlei Schwierigkeiten.
Die Arbeit mit InControl
Nach dem Aufruf von InControl landet der User zunächst unter „Home“. Hier zeigt die Lösung erstmal die „Global Domain“ an. Dieser fügen die Administratoren entweder ihre vorhandenen Gateways hinzu, oder legen eigene Domains oder HA Cluster an. Aus Performancegründen empfiehlt Clavister, wo möglich die Global Domain zu nehmen, in großen Umgebungen kann es aber durchaus Sinn ergeben, eigene Domains zu erzeugen, da das Policy-Management bei Bedarf auf Domänenbasis erfolgt.
Auf der Übersichtsseite der Software finden sich unter andrem die angemeldeten Security Gateways sowie Listen mit Alarmen und Lizenzdetails. Außerdem bietet das Tool Reporting-Funktionen, Monitoring-Features und Audit Trails. Letztere umfassen die Konfigurationsänderungen auf den Gateways und diverse andere Aktionen.
Wählt ein IT-Mitarbeiter einen Gateway aus, so wird das Icon „Configure“ aktiv. Über dieses lassen sich die Appliances einrichten. Da der Funktionsumfang der Lösungen ja bereits vorgestellt wurde, gehen wir an dieser Stelle nicht noch einmal auf die ganzen Details ein.
Die Sicherheit
Als wir uns durch die Verwaltungswerkzeuge durchgearbeitet hatten, machten wir uns daran, die Appliance mit diversen Hacking- und Security-Lösungen in Bezug auf Sicherheitslücken unter die Lupe zu nehmen. Dabei scannten wir immer die externen und internen Interfaces.
Konkret kam dabei heraus, dass Nmap am internen Interface wie zu erwarten die für unsere Konfiguration geöffneten Dienste wie HTTP, SSH und ähnliches erkannte. Außerdem vermutete das Tool, dass es sich bei der Appliance um ein D-Link-Gerät handele, gab aber gleich an, dass diese Aussage nicht zuverlässig sei. Am externen Interface waren alle Ports gefiltert, deswegen konnte Nmap nicht viele Informationen erlangen. Immerhin stellte der Scanner anhand der MAC-Adresse fest, dass es eine Clavister-Lösung war.
Nessus erkannte am internen Interface ebenfalls die freigegebenen Dienste, sogar mit der Version der verwendeten Server. Außerdem gab Nessus an, dass es sich um eine Clavister-Lösung handele. Am externen Interface fand Nessus nichts.
Metasploit war genau wie nmap nach dem Scan des internen Interfaces der Meinung, es handele sich um eine D-Link-Appliance. Außerdem erkannte die Sicherheitslösung wie zu erwarten die freigegebenen Dienste. Am externen Interface fand sie ebenfalls nichts.
Weder an internen noch am externen Interface konnte eines unsere Angriffs-Tools die Clavister-Lösung in Verlegenheit bringen. Sie blieb von den Attacken völlig unbeeindruckt und überstand den Sicherheitstest somit unbeschadet.
Hochverfügbarkeit
In nächsten Schritt verwendeten wir InControl, um mit unseren beiden NGFWs einen Cluster aufzusetzen. Zunächst fügten wir unsere beiden Gateways zu dem InControl-System hinzu und konfigurierten den späteren Master-Gateway so, dass er unsere Anforderungen erfüllte. Sobald das erledigt war, genügte es, in InControl einen Cluster zu definieren, zwei Interfaces der Gateways als Synchronisierungs-Interfaces zu verbinden und zuerst den Master und dann den Slave zu dem Cluster hinzuzufügen.
Anschließend fragte InControl, welche Netzwerkschnittstellen für die Synchronisierung zum Einsatz kamen. Nachdem wir diese Frage beantwortet hatten, lud das Tool die Konfiguration hoch, die Synchronisierung fand statt und der Cluster ging in Betrieb. Im Test traten beim Failover keine Schwierigkeiten auf. Laut Hersteller nimmt der Failover übrigens weniger als 800 Millisekunden in Anspruch.
Fazit
Im Hands-On-Test hinterließ die Clavister W30 folgenden Eindruck: Die Lösung verfügt über alle Sicherheitsfunktionen, die im Unternehmensumfeld erforderlich sind. In diesem Zusammenhang seien exemplarisch nur die Next Generation Firewall, das IPS, der Web Filter, die Anwendungskontrolle sowie die Antivirus- und Anti-Spam-Features genannt.
Das zentrale Verwaltungstool ist übersichtlich und nimmt den Administratoren an die Hand, die Routing-Funktionen sind leistungsstark. Für Anwendungsbereiche, in denen Hochverfügbarkeit benötigt wird, stellt Clavister zudem einfach zu bedienende Funktionen bereit, mit denen sich Cluster schnell und einfach implementieren lassen. Wir können die Lösungen damit rundherum empfehlen.
(ID:44088435)
:quality(80)/p7i.vogel.de/wcms/76/78/7678ab59355b82206b099bd260baf44c/0112523155.jpeg "Die Sophos Firewall bietet eine effiziente und effektive TLS Inspection, ohne dabei die Leistung zu beeinträchtigen. (Bild: Canva)")
:quality(80)/p7i.vogel.de/wcms/e8/32/e832dfd8e6f61c752c1514ca64cfcb76/0108868263.jpeg "Die Firebox NV5 unterstützt Remote-VPN-Verbindungen zu einer virtuellen oder physischen Firebox im Unternehmen. (Bild: WatchGuard)")