Benutzerbasierter UTM-Ansatz von Cyberoam im Test UTM-Appliance verknüpft Security Management mit Identity Management

Autor / Redakteur: Johann Baumeister / Stephan Augsten

Unified-Threat-Management-Tools bündeln mehrere Sicherheitsfunktionen, das Marktangebot ist in diesem Bereich nahezu unüberschaubar. Mit Cyberoam tritt nun ein weiterer Player in diesem Segment an. Deren Security-Appliance kann durchaus mit Neuerungen aufwarten, wie wir in unserem Test in Erfahrung bringen konnten.

Firma zum Thema

Im Test zeigt die UTM-Appliance von Cyberoam, dass sie sich von ähnlichen Geräten unterscheidet.
Im Test zeigt die UTM-Appliance von Cyberoam, dass sie sich von ähnlichen Geräten unterscheidet.
( Archiv: Vogel Business Media )

Die wachsende Bedrohung der IT-Systeme resultiert aus einem breiter werdenden Spektrum an Angriffen. Um diesen Übergriffen Herr zu werden, wird ein ganzes Sammelsurium an Techniken und Werkzeugen angeboten.

Die Lösungen reichen von Virenscannern über Firewalls, Intrusion Detection und Prevention Systeme bis hin zu Scannern für Malware, Spyware, Adware oder Spam. Ferner finden sich im Angebotsportfolio der Hersteller Honeypots und Werkzeuge für das Patch Management.

Bildergalerie

Um jedoch nicht zu viele unterschiedliche Produkte, mit ebenso unterschiedlichen Konsolen verwalten zu müssen, gehen die Hersteller verstärkt dazu über, die ehemals singulären Funktionen bzw. Produkte zu integrieren und als ganzheitliches Sicherheitsportfolio anzubieten. Vertrieben werden diese Produkte häufig unter dem Schlagwort Unified Threat Management (UTM).

Auch Cyberoam verfolgt einen UTM-Ansatz. Das Unternehmen bündelt in seiner Sicherheitsappliance unterschiedlichste Funktionen zu einer integrierten Einheit. Diese umfasst die folgenden Funktionsbausteine:

  • Stateful Inspection Firewall
  • Anti-Spam
  • Anti-Virus
  • Anti-Spyware
  • Intrusion Prevention System
  • Content und Application Filtering
  • Verwaltung von Virtual Privat Networks
  • Multiple Link Management
  • Bandbreiten-Management

Mit dieser Menge an integrierten Sicherheitsfunktionen gehört Cyberoam zu den umfangreicheren Sicherheits-Appliances, ein Alleinstellungsmerkmal ist die Funktionsvielfalt aber noch nicht. Im Folgenden widmen wir uns den Besonderheiten der UTM-Appliance.

Seite 2: User- und Gruppen-basierte Sicherheitsfunktionen

User- und Gruppen-basierte Sicherheitsfunktionen

Die UTM-Appliance von Cyberroam verfügt über ein paar Besonderheiten, die wir uns im Test angesehen haben. Dazu zählt die Verknüpfung der Benutzer mit den Rechten. Hierbei werden die gebotenen Sicherheitsfunktionen direkt mit dem Benutzer oder eine Benutzergruppe verknüpft.

Der Großteil der Werkzeuge im UTM-Segment ist bis dato nicht darauf ausgelegt, sondern führt seine Arbeit ohne den Bezug zum Benutzer aus. So filtern beispielsweise Firewalls den Datenstrom nach unterschiedlichen Kriterien wie etwa den involvierten Netzwerksegmenten. Application Firewalls wiederum beziehen die Applikationen mit ein.

Der Benutzer und seine Eigenschaften bleiben aber meist außen vor und werden in die Untersuchung nicht einbezogen. Insofern ist der Ansatz, den Cyberoam verfolgt, durchaus neu.

Das Testsystem im Überblick

Für diesen Testbericht stellte uns der Hersteller das Modell CR100ia zur Verfügung. Die Appliance wird als 19 Zoll Rackeinschub geliefert und adressiert die Unternehmen des kleinen oder gehobenen Mittelstands. Das UTM-Tool erreicht laut Datenblatt einen Durchsatz von 1.000 Mbit/s (Megabit pro Sekunde) und kann 400.000 Sessions gleichzeitig bedienen.

Auf der Vorderseite der Appliance befinden sich sechs Netzwerkanschlüsse, ein Konsolenanschluss, zwei USB-Ports und eine Reset-Taste. Auf der Rückseite sind lediglich der Netzschalter samt Netzanschluss und die Öffnung des Luftauslasses der beiden Lüfter zu erkennen. Die Appliance wurde vorkonfiguriert geliefert und ist sofort einsatzbereit.

Seite 3: Management der UTM-Appliance

Management der UTM-Appliance

Die Verwaltung erfolgt webbasiert von jeglichem Browser über die IP-Adresse 172.16.16.16. Diese Adresse passten wir im ersten Schritt an die bestehende Laborumgebung an. Die Verwaltungsoberfläche der Cyberoam ist vorbildlich: Am linken Rand der Verwaltungsmaske befinden sich die Menüs, die die gesamte Verwaltung funktional trennen.

Folgenden Menüpunkte stehen in der Web-GUI bereit: System, Firewall, VPN, SSL VPN, IPS, Categories, Policies, Group, User, Anti Virus, Anti Spam, Traffic Discovery, Reports und Help. Am oberen Rand befinden sich Knöpfe für die mehr logische und übergeordnete Betrachtungsweise der verschiedenen Aspekte. Dazu zählt ein übergreifendes Dashboard, ein Wizard (Assistent) zum Einrichten der UTM-Box, die Kommandozeilen-basierte Konsole, Supporthinweise und ähnliches.

Wer jemals mit vergleichbaren Produkten zu tun hatte, wird diese Begriffe schnell zuordnen können und sich damit zurechtfinden. Einzig die unbedeutende Vermischung von Plural und Singular fällt bei näherer Betrachtung auf. Hinter jeder der Funktionsgruppen am linken Rand verbergen sich weitere Untermenüs. Um beispielsweise die UTM an das Netzwerklayout des Unternehmens anzupassen findet sich unter System | Configure Network | Manage Interface der passende Eintrag.

Grundkonfiguration und manuelle Einstellungen

Der Hersteller hat drei der sechs Ports den Zonen LAN, WAN und DMZ zugewiesen. Die weiteren drei sind noch nicht vergeben. Generell kann die Zuweisung der Netzwerkports vom Anwender natürlich wahlfrei vorgenommen werden. Die Verwaltung der UTM sollte aus dem internen LAN-Segment heraus erfolgen.

Nach der Änderung der Adresse liefert die Box in roten Lettern überdeutlich den Hinweis, dass man den „Management Service“ mittels Command Line Interface neu starten müsse. Der Druck auf den zugehörigen Knopf in der oberen Leiste führt sogleich in das Konsoleninterface. Nach Eingabe des Passworts zeigt sich ein Menü, dessen erster Eintrag die Management Services neu startet. Das Vorgehen ist gradlinig und dementsprechend einfach und zeitsparend.

Die Kenntnis über die Zuordnung der IP-Adressen zu den sechs Ports liefert auch Aufschluss über die notwendige Verkabelung. Für unsere weiteren Testschritte sollte die Appliance als Interface zwischen dem internen LAN und dem WAN dienen. Für diesen WAN-Zugang ist die Konfiguration noch vorzunehmen.

Hierzu nutzen wir den Einrichtungs-Wizard. Dieser bringt eine mehrstufige Dialogfolge, die alle wichtigen Zugangsdaten und Einstellungen abfragt. Ist die Konfiguration des WAN-Zugangs abgeschlossen, so sollte auch bereits der Zugang zum Internet möglich sein. Im Dashboard lassen sich die wichtigsten Systemstati dazu verfolgen.

Seite 4: Einrichten der Benutzer

Einrichten der Benutzer

Wie bereits erwähnt, stellt die Verknüpfung der Benutzer mit den Sicherheitsrechten eine Besonderheit der Appliance dar. Folglich machten wir uns im nächsten Schritt daran, just dieses zu evaluieren. Wie zu erwarten finden sich die Optionen zur Verwaltung der Benutzer unter dem Menüpunkt User.

Drei Benutzertypen werden unterschieden: User, Manager und Administrator. Zur Authentifizierung der Benutzer liefert Cyberoam mehrere Möglichkeiten. Dies ist die Anbindung an das Active Directory, einem LDAP-Verzeichnisdienst, einem RADIUSServer, einer Windows Domäne und die lokale Verwaltung der Benutzer durch die Cyberoam-UTM. Für unseren Test entschieden wir uns für letztere.

Die Zuordnung der Sicherheitsfunktionen zu den einzelnen Benutzern wird sicher nur in Ausnahmefällen angeraten sein. In der Regel wird man, um den Umfang der Konfiguration nicht zu groß werden zu lassen, immer Gruppen bilden. Die Benutzer werden dann einer oder mehreren Gruppen zugewiesen.

Die Gruppen können dann nach den Organisationseinheiten der Unternehmen oder auch sonstigen Sortierkriterien unterteilt werden. Die Verwaltung der Gruppen, durch das Menü Group, liefert einen umfangreichen Satz an Einstellkriterien. So lassen sich die Gruppen vorab in unterschiedliche Typen trennen.

Allerlei Richtlinien

Einer Gruppe sind hier auch bereits die Policies für den Internetzugang, zum Surfen, der verfügbaren Bandbreite und ähnlichen Dingen zuweisen. Policies beschreiben allgemeine Regelsätze, die den Gruppen oder Benutzer zuzuweisen sind. Die über zehn Kriterien, die für eine Gruppe zu bestimmen sind, erlauben eine feine Einstellung. Unter dem gleichnamigen Menü finden sich Regelsätze für die Zugriffszeit, die Bandbreite, die Menge des erlaubten Datentransfers, eine Policy, die das Surfverhalten bestimmt und eine allgemeine Internet Access Policy.

Die jeweiligen Parameter und Einstellmöglichkeiten sind vielfältig. Es ist just die Menge und Detaillierung der Parameter, die das Werkzeug auszeichnen. Durch eine klare Struktur der Verwaltung findet man sich, wenn das Prinzip einmal verstanden ist, dennoch schnell zurecht.

Um beispielsweise einen Benutzer oder eine Firewall-Regel zu erzeugen, sind die Funktionen „Create User“ bzw. „Create Firewall-Rule“ aufzurufen. Die spätere Verwaltung wiederum passiert über „Manage User“ bzw. „Manage Firewall-Rule“. Dienste oder Protokolle werden in Service Gruppen gebündelt, Benutzer werden zu Benutzergruppen zusammengefasst.

Cyberoam ist äußerst innovativ. So kann beispielsweise die Kommunikation (mittels Blogging) mit den Benutzern auch über Windows Live erfolgen. Ferner wird auch bereits Bing, der Suchdienst von Microsoft, durch das Tool unterstützt.

Seite 5: Benutzerbezogene Firewall-Regeln

Benutzerbezogene Firewall-Regeln

Im nächsten Schritt machen wir uns daran, dedizierte Firewall-Regeln für unsere Benutzer zu erfassen. Die Scanlogik des Datenstroms bei der Cyberoam ist im Prinzip mit jener von anderen Firewalls vergleichbar, mit einer Ausnahme: Es findet sich hier eine Option „Check Identity“.

Diese Option schlägt die Bücke von der Firewall-Regel zu einem Benutzer oder einer Gruppe. Beim Verbindungsaufbau erfolgt dann eine Abfrage des Benutzers durch die UTM-Appliance.

Neben den bis dato erwähnten Firewall-Funktionen umfasst die UTM aber ein ganzes Set an weiteren Sicherheitseinrichtungen. Dazu zählt ein IPS, Funktionen für Anti-Spam und Anti-Virus, die Verwaltung von VPNs und ähnliche Sicherheitshilfen.

Hinsichtlich der VPNs unterstützt die Cyberoam-Appliance alle heute gängigen Varianten wie etwa IPSec, SSL, LT2P oder PPTP. Zum Umfang der Appliance gehört ferner ein Content Filter, der den Datenstrom nach mehreren Kriterien wie beispielsweise Schlüsselworte, URLs, Domain Names oder Dateitypen untersucht und bei Bedarf blockiert. Durch diese Filterfunktionen der Cyberoam lassen sich dann auch DLP-Funktionen abbilden.

Ausfallsicherheit inklusive

Durch die Bündelung vieler zentraler Sicherheitsfunktionen in einer Appliance wird diese zum Tor zum Internet aber auch jeglichem Datenaustausch mit anderen Netzen, die darüber abgesichert werden. Dies verlangt geradezu nach Ausfallsicherheit.

Um dem Rechnung zu tragen, sind daher auch HA-Funktionen (High Availibiltiy/ Ausfallsicherheit) mit Failover implementiert. Dies bedingt dann natürlich eine zweite physische Appliance und parallele Netze und Notfallkonzepte.

Im System lassen sich dazu Failover-Regeln festlegen, die die Umschaltung steuern. Unter der Rubrik System | Manage Servers fasst der Hersteller weitere Basisdienste wie einen DHCP Server, Domain Name Server, den Antivirus Server, den Anti-Spam Server und den Cyberoam Server zusammen. Ferner finden sich hier auch Dienste (Services) wie ein HTTP Proxy, SMTP Proxy, POP3, IMAP und FTP Proxy. Eingeschlossen sind auch die Verwaltung von Zertifikaten für eine gesicherte Kommunikation sowie der Schutz vor Spoofing.

Fazit

Cyberoam ist mit seiner UTM-Appliances relativ neu auf dem deutschsprachigen Markt. Einem Markt, der bereits heute unüberschaubar ist. Das Unternehmen liefert mit seinen Produkten aber durchaus innovative Ansätze, wie etwa die Verknüpfung der Benutzeridentitäten mit den Sicherheitsunktionen der UTM. Daneben wartet das Produkt mit einer gelungenen und modernen Verwaltungsoberfläche auf. Dass hierbei auch neueste Techniken und Konzepte unterstützt werden, zeigt die Integration von Windows Live oder etwa Bing.

(ID:2041137)