tom's networking guide
 
Anzeige
24. 09. 2016
Dr. Götz Güttich, IAIT
Tom's Networking Guide

Test IAIT Clavister W30

Hochverfügbare Next Generation-Firewall für verteilte Netze

Mit den Appliances der Eagle- und der Wolf-Serie bietet Clavister Next Generation-Firewalls an, die sich vor allem für Umgebungen eignen, in denen mehrere Firewalls zum Einsatz kommen, beispielsweise in verteilten Netzen. Ein zentrales Verwaltungstool sorgt dabei dafür, dass die zuständigen Mitarbeiter stets den Überblick behalten. Die Appliances sind in verschiedenen Hardware-Ausstattungen erhältlich, das bedeutet die Unternehmen können in jeder Niederlassung genau die Appliance einsetzen, die am besten auf die Leistungsanforderungen im jeweiligen Umfeld abgestimmt ist. Da sich die Hardware-Lösungen nur in ihrer Leistungsfähigkeit unterscheiden - von der Funktionalität her sind alle Produkte identisch - gilt dieser Test, der mit zwei Clavister W30 durchgeführt wurde, gleichermaßen für die anderen Next Generation-Firewalls des gleichen Herstellers.
.

Hochverfügbarkeit für Klein und Groß

Die Clavister W30, die für den Einsatz in Zweigstellen, entfernten Niederlassungen und kleinen Rechenzentren konzipiert wurde, bringt - wie bei modernen Next Generation-Firewalls (NGFs) üblich - neben der eigentlichen Firewall-Funktionalität mit Deep Packet-Inspection noch VPNs (IPSec, L2TP, PPTP und SSL), erweitertes Routing (auch auf Policy-Basis) und Anti-Spam-Features mit. Dazu kommen noch Anti-Virus-Funktionen (von Kaspersky), ein IPS, Load-Balancing, Bandbreiten-Management, Link-Aggregation, ein Web Filter und Funktionen zur Anwendungskontrolle. Die Appliance verfügt über sechs GBit-Ethernet-Schnittstellen und einen Expansion Slot und unterstützt Hochverfügbarkeit, um die NGF-Installation ausfallsicher zu machen.

Der Test

Im Test richteten wir zunächst eine der W30-Lösungen als Internet-Gateway in unserem Netz ein. Dazu verbanden wir das Produkt mit Netzwerk-Switch und DSL-Modem und fuhren es hoch. Anschließend griffen wir mit einem Browser auf das Web-basierte Management-Interface der Appliance zu und führten die Erstkonfiguration durch. Alternativ steht außerdem eine Kommandozeile zur Verfügung, über die sich beispielsweise Batch-Dateien ausführen lassen, was Sinn ergibt, wenn viele neue Geräte automatisch konfiguriert werden sollen.

Nachdem die Erstkonfiguration erfolgt war, setzten wir uns im Detail mit dem Konfigurationswerkzeug auf Browser-Basis (das laut Hersteller am besten für die Verwaltung von einzelnen Appliances geeignet ist) auseinander und lernten dabei den Funktionsumfang der Lösung kennen. Zudem passten wir die Konfiguration genau an unsere Anforderungen an.

Im nächsten Schritt bauten wir diverse VPN-Verbindungen zu externen Netzen und Geräten auf. Sobald das erledigt war, installierten wir auf einer Windows 7-Workstation das zentrale Management-Werkzeug Clavister InControl, das nach Herstellerangaben mehrere tausend Gateways verwalten kann, und fügten unseren Gateway zur InControl-Konfiguration hinzu. Anschließend nahmen wir uns InControl selbst vor und analysierten den Leistungsumfang der Lösung.

Als dieser Vorgang abgeschlossen war, analysierten wir die internen und externen Interfaces der Appliance mit diversen Sicherheitstools wie Nessus, Nmap und Metasploit. Das externe Interface hatten wir zu diesem Zweck mit einer festen IP-Adresse versehen. Unser Ziel dabei war, herauszufinden, ob Sicherheitslücken existierten oder ob die Lösung überflüssige Informationen preisgab, die Hackern bei Angriffen helfen könnten. Darüber hinaus verwendeten wir etliche Angriffs-Tools, um beispielsweise DoS-Attacken auf die Appliance durchzuführen und zu testen, wie sie darauf reagierte.

Der Setup-Wizard macht die Benutzer auf Fehler in der Konfiguration aufmerksam. (©Smartmedia PresSservice)

Zum Schluss bauten wir unsere Testinstallation so um, dass wir die Hochverfügbarkeitsfunktion der Produkte (HA) unter die Lupe nehmen konnten. Da das HA-Feature nicht mit dynamisch zugewiesenen externen IP-Adressen und PPPoE-Anschlüssen zurechtkommt, schlossen wir zu diesem Zweck beide Appliances hinter einem Router, der den Internet-Zugang übernahm, als Custer zusammen. Dabei behielten wir die Konfiguration mit der festen externen IP-Adresse bei. Im Cluster übernahm das ursprünglich von uns konfigurierte System die Rolle des Masters, die zweite Appliance, die wir zuvor noch nicht angefasst hatten, kam als Slave zum Einsatz, der seine Konfiguration vom Master erhielt.

Inbetriebnahme

Die Inbetriebnahme der W30 gestaltet sich verhältnismäßig einfach. Es genügt, das Produkt auszupacken, und den beiliegenden Quick Start-Guide abzuarbeiten. Dieser empfiehlt, das erste Interface als LAN-Schnittstelle zu verwenden und das zweite für den WAN-Anschluss zu nutzen. Sobald alle Kabel angeschlossen sind, lassen die zuständigen Mitarbeiter die Appliance hochfahren und können sich dann über die Default-IP-Adresse https://192.168.1.1 mit dem Web-Interface des Produkts verbinden.

Daraufhin landen sie auf der Übersichtsseite des Verwaltungswerkzeugs. Diese bietet an, den "Setup Wizard" zu starten, der bei der Erstkonfiguration der Lösung behilflich ist. Nachdem wir diesen Schritt durchgeführt hatten, präsentierte uns das System einen Willkommensbildschirm, der uns darüber informierte, welche Schritte der Assistent durchführen würde. Zunächst einmal ging es daran, ein neues Passwort für das Administratorkonto zu setzen, was Sinn ergibt, da dadurch sichergestellt wird, dass keine Clavister-Appliances mit Standard-Passwörtern im Netz arbeiten.

Der nächste Schritt befasste sich mit dem Einstellen der richtigen Uhrzeit und der Konfiguration der Zeitzone. Danach kam die Konfiguration des WAN-Interfaces an die Reihe. Wie bereits angesprochen, verwendeten wir die Appliance zu Beginn als Internet-Gateway an einem DSL-Anschluss der Telekom. Deswegen wählten wir für die WAN-Konfiguration die Option "PPPoE". Die Lösung kann ebenso mit festen und per DHCP zugewiesenen IP-Adressen oder PPTP arbeiten. Für die PPPoE-Konfiguration reichte es, den Benutzernamen sowie das Passwort anzugeben und dem Dienst einen Namen zu geben, damit war die Einrichtung der WAN-Schnittstelle abgeschlossen.

Jetzt ging es daran, einen DHCP-Server für das LAN anzulegen. Dabei vertippten wir uns und stellten bei dieser Gelegenheit fest, dass der Wizard auf fehlerhafte Konfigurationsangaben hinweist und eine Korrektur verlangt. Man kann sich also darauf verlassen, dass die Erstkonfiguration im Großen und Ganzen korrekt abläuft.

Zum Schluss möchte der Assistent noch wissen, welche Zeitserver die Systemzeit auf dem neuesten Stand halten und welche Syslog-Server zum Einsatz kommen sollen, um Daten von der Appliance zu empfangen. Damit ist die Erstkonfiguration beendet und die Änderungen werden übernommen. Üblicherweise gehört die Lizenzierung des Produkts auch mit zum Funktionsumfang des Wizards, dieser Schritt entfiel bei uns aber, da unsere Test-Appliances bereits mit einer installierten Lizenz kamen.

Das Anpassen der LAN-Adresse erfolgt dann manuell über das Web-basierte Konfigurationswerkzeug. Dieser Schritt wird im auf der Clavister-Webseite zum Download angebotenen "Getting Started Guide" zwar genau beschrieben, so dass sich im Test dabei keine Probleme ergaben, unserer Meinung nach gehört er aber ebenfalls zur Erstkonfiguration und sollte deshalb innerhalb des Assistenten abgearbeitet werden. Das gleiche gilt für die Definition der Regeln für den Internet-Zugang. Standardmäßig erlaubt Clavister nach der Erstkonfiguration die Dienste DNS und HTTP für den Zugriff auf das externe Netz. Dies lässt sich über das Verwaltungswerkzeug natürlich jederzeit ändern, trotzdem wäre es schön, wenn der Wizard zumindest beim Erstellen einer rudimentären, etwas genauer an die Unternehmensanforderungen angepassten, Internetzugriffs-Policy helfen würde.

Die Statusseite bietet unter anderem Content-Filter-Statistiken an. (©Smartmedia PresSservice)

Das Web-basierte Konfigurationswerkzeug

Nachdem wir die Initialkonfiguration abgeschlossen hatten, loggten wir uns über unsere neue LAN-Adresse bei der NGF ein und definierten zunächst einmal am dritten Interface der Appliance ein Gäste-LAN. In diesem platzierten wir einen WLAN-Access-Point, über den Besucher über unseren Internet-Anschluss surfen konnten, ohne unsere LAN-Komponenten zu sehen. Im Wesentlichen kopierten wir dazu am dritten Interface unsere LAN-Konfiguration mit einem zusätzlichen DHCP-Server und einem anderen Subnet. Das Gäste-WLAN funktionierte anschließend wie erwartet.

Als wir auf diese Weise sichergestellt hatten, dass alle Anwender in unserem Netz über die Clavister-Appliance Zugriff auf das Internet erhielten, gingen wir dazu über, uns mit dem Konfigurationswerkzeug selbst und damit dem Funktionsumfang der Lösung auseinanderzusetzen, und passten dabei unser Setting gleich genau an unsere Anforderungen an. Zunächst aktualisierten wir dazu die Firmware der Appliance auf das zum Testzeitpunkt aktuelle cOS Core 11.02.01.03, um sicher zu stellen, dass wir mit der neuesten Version arbeiteten.

Nach dem Login beim Web-Interface findet sich der Administrator auf einer Statusseite wieder, die ihn über den aktuellen Zustand der NGF informiert. Am oberen Rand des Fensters erscheint eine Menüleiste und auf der linken Seite befindet sich eine Baumstruktur, die die zu dem jeweils aufgerufenen Menü gehörenden Einträge enthält.

Der Interface-Status umfasst zudem grafische Darstellungen des übertragenen Datenverkehrs. (©Smartmedia PresSservice)

Die eben genannte Statusseite enthält eine Systemübersicht mit Durchsatz, Verbindungen, CPU-Last, Speichernutzung, Systemzeit, den Top fünf Anwendungen, den Top fünf Web Content Filter Kategorien und ähnlichem. Direkt darunter lassen sich diverse Log-Dateien einsehen und durchsuchen. Dazu gehören das System Log, das Antivirus Log, das Log zur Anwendungskontrolle, das Intrusion Detection Log und das Content Filter Log.

Unter "Sub Systems" sehen die Administratoren die aktuelle Blacklist ein und haben die Option, bestehende Blockierungen aufzuheben. Außerdem besteht die Möglichkeit, die vorhandenen Verbindungen in Listenform unter die Lupe zu nehmen. Darüber hinaus lassen sich an gleicher Stelle die DHCP-Server konfigurieren, die Hardware überwachen (beispielsweise die CPU-Temperatur) und die Aktivitäten der Interfaces anzeigen. Die Interface-Übersicht umfasst auch grafische Informationen zur Send- und Receive-Rate. Zusätzlich präsentiert das System unter Sub Systems auch noch die Routing-Table, Daten zum Server Load-Balancing und ähnliches.

Das Sub-Menü "Maintenance" bietet den Anwendern die Möglichkeit, die Konfiguration und die Core Binaries zu sichern und wiederherzustellen. Außerdem können sie auch eine neue Lizenz einspielen, einen Reset durchführen, oder die Appliance auf Factory-Default-Werte zurücksetzen. Zusätzlich lassen sich auch Benachrichtigungen aktivieren, die die zuständigen Mitarbeiter über neue Firmware-Releases informieren und automatische Updates für das Antivirus- und das Intrusion-Protection-System einrichten. Der genannte Bereich wurde logisch strukturiert und sollte keinen Administratoren vor unüberwindbare Hürden stellen.

Optionen zum Einspielen neuer Firmware-Dateien und ein Support-Bereich, der eine Diagnose-Konsole mit Systemmeldungen und die Möglichkeit zum Download eines Support-Files mit Systeminformationen bietet, schließen zusammen mit einem Tools-Menü die Übersicht über den Systemstatus ab. Das Tools-Menü umfasst Funktionen wie Ping, einen SSH-Key-Generator und ein Packet-Capture-Werkzeug. Mit letzterem lassen sich die die über einzelne Interfaces übertragene Daten erfassen und in einem CAB-File zur weiteren Analyse - beispielsweise mit einem Sniffer - auf den PC herunterladen. Übersichten über IDP-Signaturen gehören ebenfalls zu den Tools, genau wie eine Anwendungs-Library, die eine große Zahl von Applikationen (wie AOL, Sophos AV, Google Play und vieles mehr) umfasst und die Benutzer darüber informiert, was die jeweilige Anwendung macht und welches Gefahrenniveau damit verbunden ist. Da die Application Library später beim Festlegen der Regeln für die Anwendungsüberwachung zum Einsatz kommt, ergibt es Sinn, sich vorab schon einmal damit auseinander zu setzen.

Leserkommentar

Keine Kommentare

Kommentar hinzufügen

* - Pflichtfeld

*





*
*
Rubriken
Anzeige
Anzeige
Anzeige
Anzeige
Mehr zum Thema
Test Datacore SANsymphony V R8
Mit SANsymphony-V bietet Datacore eine leistungsfähige Software-Plattform zum Bereitstellen, Teilen, Migrieren, Replizieren, Erweitern, Konfigurieren und Upgraden von Speicher ohne Verzögerungen und Downtime. IAIT hat sich angesehen, was die aktuelle Vers [mehr]
Test Entuity Eye of the Storm 2011 Enterprise
Je umfangreicher die Netzwerke, desto schneller verlieren Administratoren ohne geeignete Tools den Überblick. Entuity Eye oft he Storm 2011 bietet verschiedene Methoden an, mit denen die bestehende Infrastruktur zumindest teil-automatisch erfasst werden k [mehr]
Test Kroll Ontrack PowerControls 6.0
Exchange- und Sharepoint-Server sind längst in vielen Unternehmen unverzichtbarer Bestandteil der Unternehmens-Infrastruktur. Die unabdingbaren Backup-Szenarien werden dabei aber oft vernachlässigt. Hauptsache es gibt ein Backup, wie erfolgreich sich Date [mehr]
Workshop Medienspeicherung und Verteilung
Eigene Videos, Digitalfotos und MP3-Song immer und überall hören und sehen, ohne langes Suchen durch zentrale Medienspeicherung und Medienabruf vom PC, TV-Gerät und Handy aus. [mehr]
Test CA ARCserv Backup r12
Die jüngste Version der Backup-Software für Unternehmen weist im Management- und Sicherheitsbereich viele neue Funktionen auf. Was das Produkt in der Praxis leistet, hat sich IAIT angesehen. [mehr]
High-Speed-PLC-Modems der 200-mbps-Klasse
Powerline-Modems der jüngsten Generation versprechen Triple-Play-taugliche Heimvernetzung ohne neue Kabel ? die Hausstromleitung genügt. Wir haben getestet, wie viele der versprochenen 200 MBit/s in der Realität durch Stromnetz flitzen und ob Video- und [mehr]
Anzeige