Im Test: Sonicwall NSA 240

UTM-Appliance für Unternehmensnetze aller Größen

14.04.2009 | Autor / Redakteur: Götz Güttich / Peter Schmitz

Übersichtliches Handling und gute Systemleistung machen die Sonicwall NSA 240 UTM-Appliance zu einer guten Wahl.
Übersichtliches Handling und gute Systemleistung machen die Sonicwall NSA 240 UTM-Appliance zu einer guten Wahl.

Anti-Malware, Spyware-Schutz und Angriffserkennung

Mit dem „Client Antivirus Enforcement“ unterstützt die Appliance die IT-Abteilung beim Warten der Antivirus-Software auf den Clients (hierfür kommt eine von Sonicwall speziell angepasste Variante des McAfee-Virenscanners zum Einsatz). Wenn diese Funktion aktiv ist, überwacht das System die Version der Antiviren-Pattern auf dem Client-Rechnern und stößt eine Aktualisierung an, wenn diese veraltet sind. Außerdem blockiert sie den Internet-Zugang der betroffenen Anwender, wenn ihre Anti-Viren-Lösung sich nicht auf dem aktuellen Stand befindet. Damit sorgt das Produkt dafür, dass Anwender, die beispielsweise aus Performance-Gründen ungefragt die Antivirus-Lösung ihres Notebooks entfernt haben, nicht mehr ins Netz kommen können.

Das nächste Menü übernimmt die Konfiguration der Antivirus-Software auf dem Gateway selbst. Hier sehen die Administratoren eine Liste der Signaturen ein, geben die zu überwachenden Protokolle an (wie HTTP, FTP, IMAP, SMTP, POP3, CIFS/NetBIOS und TCP Stream) und legen zusätzliche Einstellungen fest, zum Beispiel zum Einschränken der Übertragungen passwortgeschützter Zip-Dateien und ähnlichem. Außerdem informieren sich die zuständigen Mitarbeiter an dieser Stelle über die Version der Antivirensignatur und können sie bei Bedarf gleich manuell aktualisieren. Zum Schutz vor Viren setzt Sonicwall übrigens eine selbst entwickelte Stream-basierte Engine ein, die über 50 Protokolle überwachen kann.

Die Intrusion-Prevention-Konfiguration informiert die IT-Verantwortlichen zunächst über ihren Status und das Datum des letzten Updates. Gleichzeitig bietet auch sie eine Option zum sofortigen Aktualisieren ihrer Datenbank an. Darüber hinaus legen die Administratoren fest, ob das System Angriffe hoher, mittlerer oder niedriger Priorität erkennen und verhindern soll. Eine editierbare Liste der IPS-Policies mit Benutzern, IP-Bereichen, Zeiträumen und vergleichbarem schließt die Konfiguration der Intrusion Prevention ab. Das dabei verwendete System kommt ebenfalls von Sonicwall.

Die letzten beiden Punkte der Security Services befassen sich mit den gleichfalls von Sonicwall implementierten Anti-Spyware-Funktionen und den RBL-Filtern. Auch bei der Anti-Spyware-Konfiguration gibt es wieder die Möglichkeit, den letzten Updatezeitpunkt einzusehen und die Datenbank manuell auf den letzten Stand zu bringen. Außerdem geben die Verantwortlichen noch an, ob die Appliance Spyware mit hohem, mittlerem oder niedrigem Gefahrenniveau erkennen und abblocken soll. An Protokollen überwacht das System HTTP, FTP, IMAP, SMTP und POP3 eingehend. Eine Untersuchung ausgehenden Verkehrs lässt sich auf Wunsch ebenfalls aktivieren. Auch hier gehört wieder eine editierbare Liste mit Signaturen zum Leistungsumfang des Konfigurationstools. Diese Liste enthält unter anderem Zeiträume und ausgenommene Benutzer. Der RBL-Filter übernimmt das Real Time Blocking nach Listen von Spamhaus und dnsbl.sorbs.net. Bei Bedarf fügen die Administratoren dem System auch eigene RBL-Server hinzu. Mit dieser Dienste-Vielfalt konnte die Appliance in Bezug auf die vorhandenen Funktionen voll überzeugen.

Ein Konfigurationsdialog zum Logging schließt den Funktionsumfang des Web-Interfaces ab. Hier zeigen die Administratoren das Log als Liste an, löschen es, mailen es weiter und filtern die Einträge nach Quelle, Ziel und vergleichbarem. Außerdem legen sie den Logging- sowie den Alert-Level fest und beschränken die Anzeige auf bestimmte Kategorien wie „Attacks“, „DDNS Activities“, „Multicast“, „PPPoE“ oder auch „VoIP“. In der Syslog-Konfiguration lässt sich noch ein externer Syslog-Host definieren und das „Automation“-Feature übernimmt das automatische Mailen von Log- und Alert-Meldungen, bei Bedarf auch mit einem Mail-Server, der SMTP-Authentifizierung verlangt. Die Seite zur „Name Resolution“ legt fest, welche Dienste in welcher Reihenfolge zum Auflösen der Rechnernamen in den Log-Files zum Einsatz kommen und die Reports-Sektion ermöglicht das Erstellen von Berichten, beispielsweise zur Bandbreitennutzung nach IP-Adressen oder zur Bandbreitennutzung nach Diensten.

Seite 7: Testergebnisse und Fazit

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 2021174 / Unified Threat Management (UTM))