Vor genau drei Jahren kam der Internet Security and Acceleration (ISA) Server 2000 auf Markt, doch erst Anfang dieses Jahres erhielt die Microsoft-Firewall von der TÜV IT GmbH ein Zertifikat. Demnach erfüllt die Microsoft-Firewall 36 der vom BSI (Bundesamt für Sicherheit in der Informationstechnik) definierten 41 Sicherheitsanforderungen. Die fünf verbliebenen Schwachstellen können laut den Gutachtern von Microsoft-Partnern abgedeckt werden und wären in ähnlicher Anzahl auch bei Konkurrenzprodukten anzutreffen.
Der Redmonder Konzern hat sich erst zum TÜV getraut, nachdem er Anfang dieses Jahres den Feature Pack 1 herausgebracht hatte. Dieser verspricht einen besseren Schutz vor ungewollten E-Mails ("Spam"). Ein spezieller Exchange RPC-Filter (Remote Procedure Call) sichert Verbindungen von auswärtigen Outlook-Benutzern zum Exchange-Server ab - und das, ohne hierfür extra ein virtuelles privates Netzwerk (VPN) aufzubauen.
Auch der Zugriff via Outlook Web Access (OWA) soll sicherer vonstatten gehen - mithilfe der "RSA Secure ID"-Authentifizierung via Web. Ferner erleichtert der Feature Pack 1 die Arbeit des Systemadministrators: Digitale Helfer ("Wizards") assistieren ihm bei der Konfiguration des ISA-Servers.
Für die Untersuchung beim TÜV wählten die Microsoft-Techniker eine zweistufige Firewall-Architektur mit einer entmilitarisierten Zone (DMZ/Perimeternetzwerk). Die Rolle der Hardwareplattform übernahmen dabei Hewlett-Packards "Proliant ML330 G2"-Systeme mit redundant aus-gelegten Komponenten. Geprüft wurde der Zugriff auf das Internet aus dem internen Netzwerk heraus sowie der durch den ISA Server 2000 abgesicherten Betrieb des Microsoft-Webservers IIS 6.0 unter Windows Server 2003.
Einer genaueren Untersuchung musste sich außerdem der webgestützte Zugriff auf den Exchange-Server (OWA) sowie der E-Mail-Transport via SMTP (Simple Mail Transfer Protocol) unterziehen. Ferner nahmen die TÜV-Experten den Smartcard-basierten Zugang ins LAN via VPN unter die Lupe. Damit bauten die Prüfer (bis auf VPN) eine für den Mittelstand typische Umgebung auf. Ferner versuchten sie, die üblichen Bedrohungen nachzuahmen. Es galt, Spam, Viren, Würmer und Trojaner abzuwehren.
Schlussendlich erteilten die TÜV-Gutachter dem ISA-Server das begehrte Zertifikat, allerdings nur unter Windows 2000. Die Vertrauenswürdigkeit von IIS 6.0 unter Windows Server 2003 konnte noch nicht nachgewiesen werden - diese OS-Version kam ja erst ganz neu auf den Markt. Deswegen empfahl die Prüfstelle Microsoft, ISA Server 2000, Windows Server 2003 und IIS 6.0 einer formalen Evaluierung nach CC (Common Criteria) zu unterziehen. Genau dies geschieht zurzeit beim BSI; das Projekt soll voraussichtlich im August abgeschlossen sein. Microsoft hofft, das CC-Zertifikat auf der Common Criteria Conference Anfang September in Stockholm zu erhalten.
microsoft.com/isaserver
ComputerPartner-Meinung
Für einen kleinen Mittelständler mag die Microsoft-Firewall sicherlich in-teressant sein, denn sein IT-Betrieb ist ja oft zu 100 Prozent von Windows dominiert. Da sind auch die etwa 1.500 Euro Lizenzkosten zu verschmerzen. Anders sieht es hingegen in heterogenen DV-Landschaften aus. Dann empfiehlt sich eine Hardware-gestützte Firewall-Lösung, eine so genannte Appliance. (rw)