tom's networking guide
 
Anzeige

Test Stormshield SN910

Leistungsstarke Security-Appliance für mittelgroße Umgebungen

Der Test

Im Test integrierten wir die SN910 als Security-Appliance in unser Netzwerk. Dabei übernahm das Stormshield-Produkt die Aufgabe, die Anbindung unseres LANs ans Internet zu realisieren und abzusichern. Darüber hinaus richteten wir noch ein separates Netz an einem dedizierten Port ein, um unseren Gästen einen Internetzugang zu ermöglichen, ohne dass diese unsere LAN-Installationen zu sehen bekamen.

Nachdem wir die Lösung in Betrieb genommen hatten, wandten wir uns zunächst dem Management-Interface zu und passten die Konfiguration im Detail an unsere Wünsche an. Außerdem analysierten wir dabei den kompletten Leistungsumfang der SN910. Zum Schluss nahmen wir die Appliance auch noch mit diversen Sicherheitswerkzeugen, wie dem Netzwerkscanner nmap, den Vulnerabilty-Scannern Nessus und NexPose sowie verschiedenen Angriffs- und DoS-Tools wie beispielsweise Metasploit unter die Lupe.

Die Login-Seite für Benutzer. (©Smartmedia PresSservice)

Inbetriebnahme

Die Internet-Anbindung im Test erfolgte via PPPoE über einen DSL-Anschluss der Telekom, es ist aber auch möglich, die Verbindung über feste IP-Adressen, DHCP und PPTP herzustellen. Darüber hinaus unterstützt die Firewall bei Bedarf auch IPv6, NAT, PAT, dynamisches Routing, Policy-basiertes Routing, QoS-Management sowie die Arbeit als NTP-Client beziehungsweise DHCP-Relay oder -Server. Zusätzlich lässt sich das Produkt als DNS- beziehungsweise HTTP-Proxy-Cache einsetzen und arbeitet bei Bedarf auch mit WAN Link-Redundanz.

Nachdem wir die Firewall angeschlossen und hochgefahren hatten, griffen wir zunächst über die URL https://10.0.0.254/install auf das Management-Interface der Lösung zu. Unter dieser Adresse findet sich ein Wizard, der den Anwendern bei der Erstkonfiguration des Produkts hilft. Dieser Wizard funktioniert aus Sicherheitsgründen nur dann, wenn sich die Appliance im Auslieferungszustand befindet. Soll er zum Einsatz kommen, so muss er folglich direkt nach dem ersten Hochfahren seine Arbeit aufnehmen.

Der Assistent ermöglicht es entweder, die Firewall-Appliance schrittweise einzurichten oder die Konfiguration auf der Backup-Partition wieder einzuspielen. Alternativ besteht auch die Option, den Wizard gleich zu beenden und sämtliche Konfigurationsschritte manuell durchzuführen. Da wir die Lösung zu diesem Zeitpunkt noch nicht kannten, entschieden wir uns an dieser Stelle für die schrittweise Konfiguration mit Hilfe des Assistenten. Dieser unterstützt die Sprachen Deutsch, Englisch, Französisch, Polnisch und Ungarisch.

Nachdem die Anwender ihre Sprache selektiert haben, fragt der Wizard zunächst einmal nach der Konfiguration des WAN-Interfaces. Hier stehen die zuvor bereits genannten Optionen "Dynamisch", "Statisch", "PPPoE" und "PPTP" zur Verfügung.

Im nächsten Schritt geht es an die Konfiguration der LAN-Interfaces. Diese wurden standardmäßig im Bridge-Modus geschaltet und die Administratoren haben hier die Möglichkeit, ihnen eine IP-Adresse und eine Netzmaske zuzuweisen. Anschließend kommen die Angabe der Domäne und die DHCP-Konfiguration an die Reihe, bevor der Assistent fragt, ob das Produkt in das Active Directory integriert werden soll. In diesem Fall sind die zuständigen Mitarbeiter dazu in der Lage, die AD-Konten zur Authentifizierung mit zu benutzen. Im Test entschieden wir uns für diese Option und beim Verbindungsaufbau zu unserem Domänencontroller kam es zu keinen Schwierigkeiten.

Die nächsten Konfigurationsschritte befassen sich mit dem Einstellen der Systemsprache für das Logging, der Konfiguration der Zeit sowie der Zeitzone und dem Einrichten der richtigen Keyboard-Belegung. Dabei fiel uns auf, dass das System bei der Tastaturbelegung die Sprachen Englisch, Französisch, Italienisch und Polnisch unterstützt. Deutsch bietet das System auch an, allerdings nur mit dem Schweizer-Keyboard-Layout. Das ist ungewöhnlich, insbesondere weil diese Sprachen nicht mit den Sprachen, mit denen der Wizard arbeitet, deckungsgleich sind.

Über das Command Line Interface des Administrationswerkzeugs können die Verantwortlichen die Appliance per Kommandozeile im Browser verwalten. (©Smartmedai PresSservice)

Sobald die Sprachen konfiguriert und die Zeiteinstellungen erledigt sind, fragt der Konfigurationsassistent nach dem Passwort für den Administrator-Account und den Netzadressen, die auf das Konfigurationsinterface zugreifen dürfen. Das ist sehr sinnvoll, da auf diese Weise sichergestellt wird, dass nicht irgendwelche SN910-Appliances mit Standard-Zugangsdaten und ungesicherten Management-Interfaces im Netz zum Einsatz kommen. An gleicher Stelle möchte der Assistent auch wissen, ob SSH-Zugriffe auf das System möglich sein sollen. Alternativ lässt sich die Appliance übrigens auch über einen lokal angeschlossenen Monitor und eine lokale Tastatur ansprechen, im Test traten dabei keine Probleme auf.

Sobald der Assistent bis zu diesem Punkt abgearbeitet ist, nimmt er die zuvor angegebenen Konfigurationsänderungen vor und zeigt die neue IP-Adresse an, über die er in Zukunft im Netz erreichbar sein wird. Die Anwender müssen sich zu diesem Zeitpunkt über die neue IP-Adresse wieder mit dem Wizard verbinden und die Konfiguration fortsetzen.

Um das Produkt in Betrieb zu nehmen, ist es jetzt erforderlich, die Seriennummer und das Passwort der Appliance angeben. Beide Informationen finden sich auf einem Aufkleber auf der Rückseite des Geräts.

Nach dem Eintragen dieser Informationen verbindet sich die Appliance über das Internet mit dem Hersteller und die Benutzer sind dazu in der Lage, ihr Produkt mit Namen und Adresse zu registrieren. Anschließend installiert die Lösung die Lizenz und lädt die aktuellen Updates für die Antispam-Funktion, das Antivirus-Programm und ähnliches herunter. Sobald die Lizensierung abgeschlossen wurde, haben die Administratoren die Möglichkeit, die in der Appliance vorhandenen Mail- und Web-Proxies zu aktivieren, die dazu dienen, die damit zusammenhängenden Datenübertragungen zu analysieren.

Sobald diese Schritte erledigt wurden, kommt die Absicherung des Internet-Zugangs an die Reihe. Standardmäßig lässt der Assistent dabei jeden ausgehenden Verkehr zu, aktiviert die Virenschutzfunktion auf Kaspersky-Basis und erlaubt die Arbeit mit Instant-Massaging-Software. Die entsprechenden Regeln lassen sich später über das Konfigurationsinterface jederzeit genauer an die Anforderungen der jeweiligen Umgebung anpassen. Während der Konfiguration mit dem Wizard sind die zuständigen Mitarbeiter an dieser Stelle dazu in der Lage festzulegen, wie das Security Produkt mit den vorhandenen Regeln umgeht.

Dabei stehen drei Optionen zur Verfügung: Firewall (in diesem Fall wird die Regel normal verwendet, der dazugehörige Traffic aber nicht weiter analysiert), IDS (Intrusion Detection System, hier erkennt und loggt die Appliance eventuelle Angriffsversuche) und IPS (Intrusion Protection System, in diesem Fall ergreift die Lösung zusätzlich noch Abwehrmaßnahmen). Zum Abschluss des Assistenten geben die Administratoren noch an, ob die Lösung auch Gefährdungen im internen Netz erkennen soll (dazu später mehr), danach richtet der Wizard das System ein, welches anschließend auch gleich die Arbeit aufnimmt. Die Erstkonfiguration des Produkts läuft also verhältnismäßig unkompliziert ab und dürfte keinen IT-Mitarbeiter vor unüberwindbare Schwierigkeiten stellen.

Das Dashboard bietet den zuständigen Mitarbeitern jederzeit einen umfassenden Überblick über den Status der Sicherheitslösung und des geschützten Netzwerks (©Smartmedia PresSservice)

Besonderheiten der SN910

Wenn die Appliance in Betrieb genommen wurde, ergibt es Sinn, die durch den Wizard vorgenommene Konfiguration mit Hilfe des Web-Interfaces genauer an die lokalen Gegebenheiten anzupassen. Bevor wir uns im Detail diesem Web-Interface und damit dem gesamten Funktionsumfang des Produkts zuwenden, möchten wir aber zunächst noch auf zwei Besonderheiten der Stormshield-Lösung aufmerksam machen. Die erste ist die eben erwähnte Funktion zum Erkennen von Gefährdungen im LAN. Dieser so genannten Stormshield Network Vulnerability Manager ermittelt mit Hilfe von Daten, die durch die Sicherheits-Appliance übertragen werden, welche Betriebssysteme und Anwendungen im lokalen Netz zum Einsatz kommen und stellt so auch gleich ihre Verwundbarkeiten fest. Sobald eine Vulnerability im LAN entdeckt wird, informiert das Produkt die Administratoren.

Die zweite erwähnenswerte Funktion ist die "Stormshield Network Extended Web Control". Dabei handelt es sich um einen umfassenden URL-Filter, der sich nutzen lässt, um das Surfverhalten der Anwender im Netz einzuschränken. Die Web-Kontrolle analysiert die eigehenden Anfragen, erkennt das mit den aufzurufenden Webseiten verbundene Risiko und blockiert infizierte Seiten.

Die URL-Filterliste lässt sich genau an die Anforderungen der jeweiligen Umgebung anpassen. (©Smartmedia PresSservice)

Leserkommentar

Keine Kommentare

Kommentar hinzufügen

* - Pflichtfeld

*





*
*
Rubriken
Anzeige
Anzeige
Anzeige
Anzeige
Mehr zum Thema
Test Datacore SANsymphony V R8
Mit SANsymphony-V bietet Datacore eine leistungsfähige Software-Plattform zum Bereitstellen, Teilen, Migrieren, Replizieren, Erweitern, Konfigurieren und Upgraden von Speicher ohne Verzögerungen und Downtime. IAIT hat sich angesehen, was die aktuelle Vers [mehr]
Test Entuity Eye of the Storm 2011 Enterprise
Je umfangreicher die Netzwerke, desto schneller verlieren Administratoren ohne geeignete Tools den Überblick. Entuity Eye oft he Storm 2011 bietet verschiedene Methoden an, mit denen die bestehende Infrastruktur zumindest teil-automatisch erfasst werden k [mehr]
Test Kroll Ontrack PowerControls 6.0
Exchange- und Sharepoint-Server sind längst in vielen Unternehmen unverzichtbarer Bestandteil der Unternehmens-Infrastruktur. Die unabdingbaren Backup-Szenarien werden dabei aber oft vernachlässigt. Hauptsache es gibt ein Backup, wie erfolgreich sich Date [mehr]
Workshop Medienspeicherung und Verteilung
Eigene Videos, Digitalfotos und MP3-Song immer und überall hören und sehen, ohne langes Suchen durch zentrale Medienspeicherung und Medienabruf vom PC, TV-Gerät und Handy aus. [mehr]
Test CA ARCserv Backup r12
Die jüngste Version der Backup-Software für Unternehmen weist im Management- und Sicherheitsbereich viele neue Funktionen auf. Was das Produkt in der Praxis leistet, hat sich IAIT angesehen. [mehr]
High-Speed-PLC-Modems der 200-mbps-Klasse
Powerline-Modems der jüngsten Generation versprechen Triple-Play-taugliche Heimvernetzung ohne neue Kabel ? die Hausstromleitung genügt. Wir haben getestet, wie viele der versprochenen 200 MBit/s in der Realität durch Stromnetz flitzen und ob Video- und [mehr]
Anzeige