Melden Sie sich hier an, um auf Kommentare und die Whitepaper-Datenbank zugreifen zu können.

Kein Log-In? Dann jetzt kostenlos registrieren.

Falls Sie Ihr Passwort vergessen haben, können Sie es hier per E-Mail anfordern.

Der Zugang zur Reseller Only!-Community ist registrierten Fachhändlern, Systemhäusern und Dienstleistern vorbehalten.

Registrieren Sie sich hier, um Zugang zu diesem Bereich zu beantragen. Die Freigabe Ihres Zugangs erfolgt nach Prüfung Ihrer Anmeldung durch die Redaktion.

08.08.1997 - 

Firewall On Guard

Netzwächter für jedermann von On Technology

Kryptische Regeln, komplizierte Kommandosyntax, fehlende grafische Benutzeroberfläche, hohe Anschaffungskosten und gegebenenfalls eine komplexe Netzwerkstruktur stellen hohe Anforderungen an Verwalter von Firewalls und schrecken daher ab. Angesichts dieser Problematik verwundert es nicht, daß viele der an das Internet angeschlossenen Firmennetze bisher nicht oder ungenügend gesichert sind und die Angriffe zunehmen.

Um diese Hürden abzubauen, verspricht On Technology mit On Guard den Volkswagen unter den Firewalls. Der Werbeslogan "100% Unix-Free" ist dabei Programm: Die einfache Administration ist Kern der Lösung.

Tatsächlich läßt sich mit On Guard innerhalb von 30 Minuten eine funktionierende Firewall einrichten. Folgende Arbeitsschritte sind notwendig: Zuerst die zwei mitgelieferten und vorkonfigurierten Netzkarten in einen DOS-PC (ab 386er) einbauen, die Software einspielen und die Administrations-Tools auf einem Win- dows-Rechner im gleichen Subnetz installieren. Die darauf folgende Konfiguration mittels des Express-Assistenten und das grafische Umsetzen der Sicherheitspolitik in Regeln schließen die Installation ab.

On Guard nutzt proprietäres Betriebssystem

On Guard bedient sich des Prüfalgorithmus von "Checkpoint Firewall One", bei dem der Datenverkehr auf allen OSI-Schichten überwacht wird. Dabei kontrolliert die Software neben den Adressen der passierenden IP-Pakete auch applikationsspezifische Parameter. Die Sicherheitsrisiken reiner Paketfiltersysteme wie auch die aufwendige Konfiguration von Applikationsproxys werden dabei vermieden. Entsprechende Definitionen für rund 70 gängige Netzapplikationen von DNS über Java und Pointcast bis X11 sind bereits enthalten, weitere lassen sich beliebig definieren.

Das Besondere an On Guard ist das eigens entwickelte, minimale Betriebssystem "Secure OS 320". Dieses umfaßt lediglich die Inspection Engine, Netzkartentreiber und Protokoll-Stacks. Angreifbare Dienste, wie sie bei komplexen Betriebssystemen existieren, müssen erst gar nicht deaktiviert werden. DOS 6.2 wird lediglich zur erstmaligen Installation und für den Bootvorgang benötigt. Das System läßt keinerlei interaktive Eingaben zu und kann nur von der Windows-Management-Konsole aus administriert werden. Von der geringen Verbreitung und Bekanntheit des Systems sowie der wegen seines kleinen Umfanges verminderten Fehleranfälligkeit des Codes verspricht sich der Hersteller höhere Sicherheit, da Hacker kaum ein Loch in der Firewall selbst finden dürften. Zudem stellt das System eher geringe Hardware-Anforderungen - mit 8 MB RAM und 20 MB Festplattenplatz ist man dabei. Ein Pentium-Prozessor ist bei Einsatz in einem Ethernet jedoch empfehlenswert.

Die Administration der Firewall ist gelungen. Die übersichtliche grafische Bedienerführung sowie sinnvolle Prüfmechanismen helfen, Konfigurationsfehler zu vermeiden und Sicherheitslöcher zu stopfen. So informiert beispielsweise die Funktion "Security Recommendations" über mögliche Sicherheitsprobleme im Zusammenhang mit den zu überwachenden Applikationen und gibt Hinweise zu weiterführenden Maßnahmen. Der erstellte "Master Security Plan" kann getestet werden, um die Einrichtung inkonsistenter oder möglicherweise gefährlicher Regeln weitgehend zu unterbinden.

Die Arbeit des Administrators beschränkt sich im wesentlichen darauf, für die verschiedenen Applikationen wie zum Beispiel WWW oder FTP die zugelassenen Host-Adressen einzutragen, sofern der Dienst nicht vollständig untersagt oder unbeschränkt zugelassen wird. Trotz des Bedienungskomforts werden die Interna der Firewall-Software nicht vor dem Administrator verborgen: Das durch den Master Security Plan, der auch offline bearbeitet werden kann, erzeugte Konfigurations-Script kann jederzeit eingesehen werden.

Verschiedene aufpreispflichtige Zusatzoptionen erweitern den Funktionsumfang um sinnvolle Sicherheits-Features: So können beispielsweise mit dem URL-Blocking externe URLs gezielt für den internen Zugriff gesperrt werden oder bestimmte Web-Server nach Kategorien von Gewalt über Sport bis Sex für die Surfer im Unternehmen ausgeschlossen werden. Darüber hinaus ist IP-Tunneling mit der verfügbaren Kryptierungsfunktion realisierbar. Network Address Translation (NAT, auch bekannt als IP-Masquerading) verbirgt die internen Adressen vor der Außenwelt, was höhere Sicherheit bietet und die Verwendung beliebiger interner Adreßkreise ermöglicht.

Der Datenverkehr zwischen der Windows-Management-Konsole, von der aus beliebig viele Firewalls verwaltet werden können, und dem jeweiligen On-Guard-Rechner wird verschlüsselt, um Schutz vor Abhören zu bieten. Sicherer Remote-Zugriff läßt sich über eine optionale Authentisierungsfunktion realisieren.

Umfangreiche Protokollierungsfunktionen bieten einen vollständigen Überblick über Umfang und Art des ein- und ausgehenden Datenverkehrs. Alarme für verschiedenste Situationen können definiert und beispielsweise per Mail verschickt werden.

On Guard filtert neben IP-Datenverkehr auch IPX-Pakete. Daß die Software nicht nur dazu taugt, das Unternehmensnetz gegenüber dem Internet, sondern auch gegenüber anderen internen Netzen mit möglicherweise anderen Protokollen abzuschotten, dafür sorgt die eingebaute Bridging-Unterstützung für Appletalk, Banyan Vines und Netbeui.

Fazit: On Guard kann rundum überzeugen. Weniger gefällt allerdings, daß nur bestimmte Karten von 3Com beim Firewall-Rechner unterstützt werden. Was die Sicherheit des On-Guard-Betriebssystems angeht, ist der Kunde aufgrund des proprietären Systemkerns vom Hersteller abhängig. Die breite Öffentlichkeit kann bei der Aufdeckung von Mängeln und Löchern nicht helfen, wie das etwa bei Unix- und Windows-NT-Systemen der Fall ist, die in den meisten Fällen als Firewall-Hosts herhalten.

*Andrej Radonic (arqtextware.de)ist bei der Kölner Textware GmbH für Anwendungs- und Intranet-Entwicklung zuständig.