tom's networking guide
 
Anzeige

Test IAIT Clavister W30

Hochverfügbare Next Generation-Firewall für verteilte Netze

InControl-Installation

Nachdem wir uns durch das Konfigurationswerkzeug durchgearbeitet und unsere Konfiguration optimiert hatten, installierten wir auf einem Test-Client unter Windows 7 im LAN die Management-Software "InControl". Diese eignet sich - wie bereits angesprochen - zum Verwalten großer Installationen mit vielen NGFs. Die Software besteht aus einer Client/Server-Kombination, auf diese Weise ist es möglich, sie im Netz sinnvoll zu verteilen und von mehreren Clients aus darauf zuzugreifen. Die Installation läuft über einen Wizard ab und sollte keinen Administratoren vor irgendwelche Schwierigkeiten stellen. Sofort nach dem Abschluss des Setups (für den Test installierten wir alle Komponenten auf einem System) konnten wir den Client aufrufen und uns mit den Default-Zugangsdaten "admin" und "admin" beim Server anmelden.

Der Konfigurationsdialog von InControl. (©Smartmedia PresSservice)

Im nächsten Schritt mussten wir unsere Gateways zu der InControl-Konfiguration hinzufügen. Dazu war es erst einmal erforderlich, auf den einzelnen Gateways einen Key zum Absichern der Verbindung zu erzeugen und diesen über den Key Ring für Managementverbindungen freizugeben. Anschließend können die IT-Mitarbeiter die IP-Adressen der Gateways in InControl angeben und die jeweils gültigen Keys für die einzelnen Appliances eintragen. Danach meldet sich InControl bei den NGFs an und sie erscheinen im Arbeitsbereich der Software. Das klingt jetzt kompliziert, die genannten Arbeitsschritte waren aber schnell erledigt und da die gesamte Prozedur in der Dokumentation genau beschrieben wurde, sollte es hier nirgendwo zu Schwierigkeiten kommen.

Die Arbeit mit InControl

Nach dem Login mit der Konsole landet der User zunächst unter "Home". Hier zeigt die Lösung erstmal die "Global Domain" an. Dieser fügen die Administratoren entweder wie eben beschrieben ihre vorhandenen Gateways hinzu, oder legen eigene Domains oder HA Cluster an. Zu den Clustern kommen wir später. Aus Performance-Gründen empfiehlt Clavister, wo möglich die Global Domain zu nehmen, in großen Umgebungen kann es aber durchaus Sinn ergeben, eigene Domains zu erzeugen, da das Policy-Management bei Bedarf auf Domänenbasis erfolgt.

Der Library-Browser von InControl informiert unter anderem über die Top Talker im Netz. (©Smartmedia PresSservice)

InControl bietet am oberen Bildschirmrand diverse Reiter, darunter befindet sich eine Ribbon-Leiste, die Icons enthält, mit denen sich zum jeweils ausgewählten Kontext passende Funktionen aufrufen lassen. Der Arbeitsbereich der Lösung erinnert also ein wenig an Microsoft Office, was die Einarbeitung in das Tool sehr erleichtert.

Der erste Reiter - "File" - dient dazu, Daten zu im- und exportieren, den SMTP-Server für E-Mail-Alerts zu definieren und ähnliches. Interessanter ist der Reiter "Home", der - wie eben erwähnt ? bereits direkt nach dem Login angezeigt wird. Hier finden sich die angemeldeten Security Gateways, Listen mit Alarmen und Lizenzdetails und der Library Browser, mit dem die Benutzer Zugriff auf Einträge wie die Traffic Summary, die Top App Usage, die Top Rule Usage, die Top Talkers und ähnliches haben. Außerdem bietet "Home" einen Log Explorer (der Queries durchführen kann), Reporting-Funktionen (die sich bei Bedarf mit einem Zeitplan automatisieren lassen, es ist zudem der Versand von Reports per E-Mail möglich) und einen Log Analyzer, mit dem sich die Administratoren über die Anwendungsnutzung, die Top Talker, die Interface-Nutzung und so weiter informieren können. Zusätzlich besteht an gleicher Stelle die Möglichkeit, Monitoring-Dashboards zu konfigurieren, die den zuständigen Mitarbeitern die für sie interessanten Parameter in Form von Gauges, Grafiken und ähnlichem anzeigen, die Benutzer zu verwalten, die entweder als Administrator oder als Auditor auf InControl zugreifen dürfen und Gruppen sowie Audit Trails zu managen. Letztere umfassen die Konfigurationsänderungen auf den Gateways und diverse andere Aktionen.

Der "Quick Monitor" im Betrieb. (©Smartmedia PresSservice)

Wählt ein IT-Mitarbeiter einen Gateway aus, so wird das Icon "Configure" aktiv. Über dieses lassen sich die Appliances einrichten. Auf der linken Seite findet sich eine Baumstruktur, die den betroffenen Gateway und die Einträge "System", "Objects", "Network", "Policies" und "Update Center" enthält. Über diese haben die Verantwortlichen Zugriff auf die Funktionalität der NGFs. Da der Funktionsumfang der Lösungen ja bereits vorgestellt wurde, gehen wir an dieser Stelle nicht noch einmal auf die ganzen Details ein. Es reicht, zu sagen, dass die Baumstruktur sehr übersichtlich gestaltet wurde und dass die Konfigurationsarbeit mit InControl flott von der Hand ging. Uns gefiel das InControl-Interface im Test sogar besser, als das Web-Interface und wir würden es selbst Anwendern, die nur eine Clavister-Firewall in Betrieb haben, empfehlen, InControl zu installieren und die Konfiguration über diese Software durchzuführen. Das ist allerdings mit Sicherheit Geschmackssache.

Der "Audit Trail" hält unter anderem fest, welche Konfigurationsänderungen vorgenommen wurden und welche Aktionen auf der Appliance stattgefunden haben. (©Smartmedia PresSservice)

Wie oben bereits erwähnt, kann die Konfiguration ebenso auf Domänenbasis ablaufen. Wählt ein Administrator eine Domäne statt eines Gateways aus, so erhält er die Option, Objekte, Dienste, NAT-Pools, Profile und vieles mehr auf Domänenebene an seine Anforderungen anzupassen. Nach dem Rechtsklick auf einen Gateway stehen ihm noch diverse weitere Funktionen zur Verfügung. Dabei handelt es sich um eine Remote Console, eine Revision Control für die Konfigurationen, Device Maintenance-Funktionen (mit Upload Firmware, Download Tech Support-File, Restart, etc.) und ähnliches.

Erwähnenswert ist in diesem Zusammenhang noch das "Quick Monitor"-Feature, dass sich ebenfalls über einen Rechtsklick aufrufen lässt. Dabei handelt es sich um ein vordefiniertes Monitoring-Dashboard, das Informationen zu Durchsatz, CPU- und Buffer-Nutzung, der CPU-Temperatur, Verbindungen sowie Interface-Statistiken liefert. Alle über den Rechtsklick erreichbaren Funktionen stehen zusätzlich über Icons in der Ribbon-Leiste zur Verfügung.

Der "Progress View" zeigt den aktuellen Status, beispielsweise beim Verteilen von Konfigurationen an. Eine Übersicht über die aufgelaufenen Fehlermeldungen schließt den Leistungsumfang von InControl ab.

Die Sicherheit

Als wir uns durch die Verwaltungswerkzeuge durchgearbeitet hatten, machten wir uns daran, die Appliance mit diversen Hacking- und Security-Lösungen in Bezug auf Sicherheitslücken unter die Lupe zu nehmen. Dabei scannten wir immer die externen und internen Interfaces (die zu diesem Zweck beide mit fixen IP-Adressen versehen wurden). Konkret kam dabei heraus, dass Nmap am internen Interface wie zu erwarten die für unsere Konfiguration geöffneten Dienste wie HTTP, SSH und ähnliches erkannte. Außerdem vermutete das Tool, dass es sich bei der Appliance um ein D-Link-Gerät handele, gab aber gleich an, dass diese Aussage nicht zuverlässig sei. Am externen Interface waren alle Ports gefiltert, deswegen konnte Nmap nicht viele Informationen erlangen. Immerhin stellte der Scanner anhand der MAC-Adresse fest, dass es eine Clavister-Lösung war.

InControl beim Anlegen des Clusters. (©Smartmedia PresSservice)

Nessus erkannte am internen Interface ebenfalls die freigegebenen Dienste, sogar mit der Version der verwendeten Server, und bemängelte das auf der Appliance installierte Zertifikat. Das war nur folgerichtig, da wir das selbstgenerierte Originalzertifikat von Clavister auf der Appliance belassen hatten und stellt somit kein Sicherheitsrisiko dar. Außerdem gab Nessus an, dass es sich um eine Clavister-Lösung handele. Am externen Interface fand Nessus nichts.

Metasploit war genau wie nmap nach dem Scan des internen Interfaces der Meinung, es handele sich um eine D-Link-Appliance. Außerdem erkannte die Sicherheitslösung wie zu erwarten die freigegebenen Dienste. Am externen Interface fand sie ebenfalls nichts.

Zwei Gateways im Cluster. (©Smartmedia PresSservice)

Weder an internen noch am externen Interface konnte eines unsere Angriffs-Tools die Clavister-Lösung in Verlegenheit bringen. Sie blieb von den Attacken völlig unbeeindruckt und überstand den Sicherheitstest somit unbeschadet.

Hochverfügbarkeit

In nächsten Schritt verwendeten wir InControl, um mit unseren beiden NGFs einen Cluster aufzusetzen. Dazu kamen wieder fixe IP-Adressen auf den WAN-Interfaces zum Einsatz.

Auch für Cluster steht ein "Quick Monitor" bereit. (©Smartmedia PresSservice)

Zunächst fügten wir unsere beiden Gateways zu dem InControl-System hinzu und konfigurierten den späteren Master-Gateway so, dass er unsere Anforderungen erfüllte. Im Wesentlichen übernahmen wir dazu unsere alte Konfiguration, wir wiesen parallel dazu den Interfaces aber noch diverse IP-Adressen hinzu. Damit die Cluster-Konfiguration funktioniert, müssen alle Interfaces der Appliances nämlich sowohl eine Shared-IP-Adresse, als auch eine Private IP-Adresse (bei ungenutzten Interfaces kann das Loopback sein) haben. Sobald das erledigt war, genügte es, in InControl einen Cluster zu definieren, zwei Interfaces der Gateways als Synchronisierungs-Interfaces zu verbinden und zuerst den Master und dann den Slave zu dem Cluster hinzuzufügen. Sobald das geschehen war, fragte InControl nach dem Modus, in dem der Cluster betrieben werden sollte. Hier stehen drei verschiedene Optionen zur Auswahl. Zunächst einmal "Synced". Dabei wird die gesamte Konfiguration von InControl verwaltet und erst auf den ersten und nach einer Pause auf den zweiten Knoten hochgeladen. In diesem Modus ist es nicht mehr möglich, den Cluster parallel über das Web-Interface zu verwalten, es muss zum Management InControl zum Einsatz kommen. Im Modus "Auto" lädt das Werkzeug die Konfiguration nur auf den ersten Node hoch und der Cluster übernimmt den Sync-Vorgang. Die dritte Möglichkeit nennt sich schließlich "manuell". Hier bleibt alles dem Administrator überlassen.

Cluster lassen sich im Betrieb genau wie einzelne Gateways verwalten. (©Smartmedia PresSservice)

Hat man sich für einen Modus entschieden, wir wählten im Test die zweite Option (da wir weiterhin parallel das Web-Interface nutzen wollten), fragt InControl, welche Netzwerkschnittstellen für die Synchronisierung zum Einsatz kommen. Nachdem wir diese Frage beantwortet hatten, lud das Tool die Konfiguration auf den ersten Node hoch, die Synchronisierung fand statt und der Cluster ging in Betrieb. Im Test traten beim Failover keine Schwierigkeiten auf. Laut Hersteller nimmt der Failover übrigens weniger als 800 Millisekunden in Anspruch. Cluster lassen sich - wie bereits erwähnt - ebensogut über das Web-Interface erzeugen. Dazu steht ein Wizard zur Verfügung, der die erforderlichen Parameter abfragt.

Nach dem Failover arbeitet der zweite Node weiter. (©Smartmedia PresSservice)

Leserkommentar

Keine Kommentare

Kommentar hinzufügen

* - Pflichtfeld

*





*
*
Rubriken
Anzeige
Anzeige
Anzeige
Anzeige
Mehr zum Thema
Test Datacore SANsymphony V R8
Mit SANsymphony-V bietet Datacore eine leistungsfähige Software-Plattform zum Bereitstellen, Teilen, Migrieren, Replizieren, Erweitern, Konfigurieren und Upgraden von Speicher ohne Verzögerungen und Downtime. IAIT hat sich angesehen, was die aktuelle Vers [mehr]
Test Entuity Eye of the Storm 2011 Enterprise
Je umfangreicher die Netzwerke, desto schneller verlieren Administratoren ohne geeignete Tools den Überblick. Entuity Eye oft he Storm 2011 bietet verschiedene Methoden an, mit denen die bestehende Infrastruktur zumindest teil-automatisch erfasst werden k [mehr]
Test Kroll Ontrack PowerControls 6.0
Exchange- und Sharepoint-Server sind längst in vielen Unternehmen unverzichtbarer Bestandteil der Unternehmens-Infrastruktur. Die unabdingbaren Backup-Szenarien werden dabei aber oft vernachlässigt. Hauptsache es gibt ein Backup, wie erfolgreich sich Date [mehr]
Workshop Medienspeicherung und Verteilung
Eigene Videos, Digitalfotos und MP3-Song immer und überall hören und sehen, ohne langes Suchen durch zentrale Medienspeicherung und Medienabruf vom PC, TV-Gerät und Handy aus. [mehr]
Test CA ARCserv Backup r12
Die jüngste Version der Backup-Software für Unternehmen weist im Management- und Sicherheitsbereich viele neue Funktionen auf. Was das Produkt in der Praxis leistet, hat sich IAIT angesehen. [mehr]
High-Speed-PLC-Modems der 200-mbps-Klasse
Powerline-Modems der jüngsten Generation versprechen Triple-Play-taugliche Heimvernetzung ohne neue Kabel ? die Hausstromleitung genügt. Wir haben getestet, wie viele der versprochenen 200 MBit/s in der Realität durch Stromnetz flitzen und ob Video- und [mehr]
Anzeige