tom's networking guide
 
Anzeige

Test Dell Sonicwall TZ400

Hohe Leistung für kleine Unternehmen

Deep Packet Inspection für SSL-Verbindungen

Die Deep Packet Inspection für SSL (DPI-SSL) - eine der wichtigsten Funktionen der TZ400 - entschlüsselt den SSL-Verkehr transparent, untersucht ihn auf Bedrohungen und verschlüsselt ihn anschließend vor der Weiterleitung an den Zielhost wieder. Im Betrieb kann die Appliance sowohl ein- als auch ausgehenden SSL-Verkehr untersuchen. Die DPI lässt sich zusammen mit den Diensten Antivirus, Anti-Spyware, IPS, Content Filter und Application Firewall nutzen und es ist auch möglich, Ausnahmen zu definieren, die sicherstellen, dass die Übertragungen von bestimmten Adressen oder Benutzern beziehungsweise von bestimmten Diensten nicht analysiert werden. Im Test traten bei der Arbeit mit der DPI-SSL-Funktion keine Überraschungen auf und sie arbeitete sofort nach ihrer Aktivierung wie erwartet. Wir konnten das daran sehen, dass unsere Browser im LAN bei aktiver DPI-SSL Zertifikatsfehler meldeten. Das lag daran, dass wir das Standardzertifikat der Appliance verwendeten, das nicht als sicher galt. Die Appliance ersetzt ja das Zertifikat der besuchten Webseite nach der lokalen Entschlüsselung durch ihr eigenes, so dass die Browser glaubten, sie hätten es mit einem nicht sicheren Zertifikat zu tun. Abhilfe schafft hier entweder die Installation eines sicheren Zertifikats auf der Appliance oder der Import des unsicheren Zertifikats in den betroffenen Browser.

Selbst innerhalb von SSL-Traffic kann die Sonicwall die Pakete analysieren. (Grafik: Dell)

Die nächsten Einträge des Konfigurationswerkzeugs befassen sich mit der VoIP-Konfiguration mit SIP und H323 und den Einstellungen der Anti-Spam-Funktion. Letztere arbeitet entweder mit einem RBL-Filter oder mit einer vollwertigen Anti-Spam-Lösung, die separat lizensiert werden muss. Diese Lösung setzt die Installation der so genannten Dell Junkstore App auf einem Server im Netz voraus. Sobald diese Software aktiv ist, kann sie zum Einsatz kommen, um potentielle Spam-Nachrichten aufzunehmen. Es gibt auch die Option, Mails direkt zu löschen, letzteres ergibt beispielsweise bei Nachrichten Sinn, die virenverseucht ankommen. Benutzerdefinierte Zugriffslisten gehören genauso zum Leistungsumfang der Anti-Spam-Lösung wie umfassende Statistiken, die die Verantwortlichen über die aufgetretenen Bedrohungen informieren.

Unter "VPN" finden sich alle Einstellungen zum Einrichten von IPSec-VPNs, während "SSL-VPN" den einfachen Zugriff auf Unternehmensressourcen via Browser ermöglicht. Das SSL-VPN lässt sich dabei einfach durch das Klicken auf einen Zonennamen (LAN, WAN, DMZ, etc.) aktivieren und steht dann im entsprechenden Netz zur Verfügung. Damit die Anwender damit arbeiten können, müssen die Administratoren allerdings noch unter "Virtual Office" die zu nutzenden Dienste freigeben. Hierfür stehen neben den Terminal Services auch SSH, Telnet und VNC zur Verfügung. Über die SSL-VPN-Konfiguration steht außerdem auch der Windows NetExtender-Client zum Download bereit, über den die Anwender von Windows-Systemen direkt ohne Browser auf die SSL-VPN-Dienste zugreifen können.

Die App Control-Regel, die das Durchführen des "cd"-Befehls in FTP-Verbindungen untersagt, im Einsatz. (©Smartmedia PresSservice)

Die Benutzerverwaltung unterstützt sowohl lokale Benutzerkonten als auch Authentifizierungen über LDAP und Radius. Bei Bedarf lassen sich auch Gästekonten einrichten und SSO-Szenarien (Single Sign On) realisieren. Da die Benutzer - wie bereits angesprochen - auch Teil der Regeln sein können, ist es beispielsweise möglich, Policies zu definieren, die es nur bestimmten Usern nach einer Authentifizierung erlauben, bestimmte Dienste (wie etwa Facebook) zu nutzen.

Die Konfigurationsseite für die DPI-SLL. (©Smartmedia PresSservice)

Die nächsten Punkte befassen sich mit der Konfiguration der Hochverfügbarkeitsfunktion und der Sicherheitsdienste. Bei letzteren handelt es sich um den Content Filter, das IPS-System, das Client Antivirus-Enforcement, die Anti-Spyware und ähnliches. Über den Content-Filter lassen sich ActiveX- beziehungsweise Java-Verbindungen und Cookies blockieren sowie URLs nach bestimmten Kategorien unterbinden (zum Beispiel Medien, Malware, Military und Social Networking). Neben dem Content Filter-Service unterstützt das System auch Websense Enterprise.

Das Client AV-Enforcement sorgt dafür, dass nur Clients mit aktiver und aktueller Antivirus-Software ins Netz dürfen, während der Gateway Antivirus den Verkehr über die Protokolle HTTP, FTP, IMAP, SNMP, POP3 und CIFS unter die Lupe nimmt. Bei Bedarf ist er auch dazu in der Lage, TCP-Streams zu analysieren.

Das IPS unterscheidet zwischen Angriffen hoher, mittlerer und niedriger Priorität und behandelt diese unterschiedlich. Die Liste der entsprechenden Policies lässt sich jederzeit bearbeiten. Die Anti-Spyware-Funktion untersucht Übertragungen über die Protokolle HTTP, FTP, IMAP, SMTP und POP3. Auch dabei kommen Regeln zum Einsatz, die die zuständigen Mitarbeiter jederzeit modifizieren können. Der "Botnet Filter" blockt und loggt Botnet-Verbindungen, der "Geo IP-Filter" blockiert Connections zu bestimmten Ländern und bei der RBL-Filter-Konfiguration haben die Administratoren schließlich Gelegenheit, zusätzlich zu den Listen von spamhaus.org und sorbs.net auch eigene Einträge hinzuzufügen und White- sowie Blacklists anzulegen.

Die letzten Punkte des Konfigurationswerkzeugs befassen sich mit der WAN-Beschleunigung, dem App Flow-Reporting mit Real Time-Datensammlung und dem Logging. Die App Flow-Funktion unterstützt Netflow 5, Netflow 9 und IPFIX (auch mit Extensions und Extensions V2). Über das Logging haben die Administratoren die Option, die Farbe für bestimmte Log-Typen festzulegen, einen Syslog-Server anzulegen, Mail-Alerts zu definieren, Logs zu bestimmten Zeiten an zuständige Mitarbeiter zu mailen und Reports zu erzeugen, beispielsweise für Web Site Hits, Bandbreitennutzungen nach IP-Adressen oder auch Bandbreitennutzungen nach Diensten.

Die Kategorien des SSL-Filters. (©Smartmedia PresSservice)

Die Lösung im Betrieb

Wie angesprochen nahmen wir die WAN- und LAN-Ports der Lösung während des Tests mit diversen Security-Tools unter die Lupe. nmap stellte dabei richtig fest, dass im LAN die Ports 22, 80 und 443 offen waren. 22 hatten wir für SSH-Zugriffe freigegeben und über Port 80 leitet die Appliance eingehende Browseranfragen direkt auf das SSL-basierte Web-Interface um. Die Informationen, die nmap sammeln konnte, reichten nicht aus, um anzugeben, welches Betriebssystem auf der Appliance aktiv war. Auf den externen Ports konnte nmap überhaupt nichts finden, was auch unserer Konfiguration entsprach.

Der Scan mit Nessus brachte keine Vulnerabilities zu Tage, Metasploit konnte immerhin am internen Interface herausfinden, dass es sich bei der TZ400 um ein Sonicwall-Gerät handelte und NexPose gab an, dass es sich wahrscheinlich um eine Lösung von Sonicwall handelte. Bei den Angriffen mit den DoS-Tools stellten wir fest, dass Attacken auf das WAN-Interface - das wir zu diesem Zeitpunkt mit einer statischen IP-Adresse konfiguriert hatten - nichts brachten, während Angriffe auf das LAN-Interface mit manchen dieser Werkzeuge dafür sorgten, dass die Datenübertragungen stehen blieben. Nach dem Ende der Angriffe lief dann alles wieder normal weiter. Das ist zwar nicht schön, kann aber nicht wirklich als Sicherheitslücke gelten, da es sich ja beim LAN-Interface um die sichere Schnittstelle handelt, auf die im Betrieb keine Angriffe erfolgen sollten.

Nach dem Login beim SSL-VPN. (©Smartmedia PresSservice)

Zusammenfassend bleibt also das Fazit, dass die Appliance keine überflüssigen oder potentiell gefährlichen Informationen im Netz bereitstellt und auch keine leicht herauszufindenden Sicherheitslücken mitbringt. Darüber hinaus lassen sie Angriffe auf das externe Interface kalt.

Leserkommentar

Keine Kommentare

Kommentar hinzufügen

* - Pflichtfeld

*





*
*
Rubriken
Anzeige
Anzeige
Anzeige
Anzeige
Mehr zum Thema
Test Datacore SANsymphony V R8
Mit SANsymphony-V bietet Datacore eine leistungsfähige Software-Plattform zum Bereitstellen, Teilen, Migrieren, Replizieren, Erweitern, Konfigurieren und Upgraden von Speicher ohne Verzögerungen und Downtime. IAIT hat sich angesehen, was die aktuelle Vers [mehr]
Test Entuity Eye of the Storm 2011 Enterprise
Je umfangreicher die Netzwerke, desto schneller verlieren Administratoren ohne geeignete Tools den Überblick. Entuity Eye oft he Storm 2011 bietet verschiedene Methoden an, mit denen die bestehende Infrastruktur zumindest teil-automatisch erfasst werden k [mehr]
Test Kroll Ontrack PowerControls 6.0
Exchange- und Sharepoint-Server sind längst in vielen Unternehmen unverzichtbarer Bestandteil der Unternehmens-Infrastruktur. Die unabdingbaren Backup-Szenarien werden dabei aber oft vernachlässigt. Hauptsache es gibt ein Backup, wie erfolgreich sich Date [mehr]
Workshop Medienspeicherung und Verteilung
Eigene Videos, Digitalfotos und MP3-Song immer und überall hören und sehen, ohne langes Suchen durch zentrale Medienspeicherung und Medienabruf vom PC, TV-Gerät und Handy aus. [mehr]
Test CA ARCserv Backup r12
Die jüngste Version der Backup-Software für Unternehmen weist im Management- und Sicherheitsbereich viele neue Funktionen auf. Was das Produkt in der Praxis leistet, hat sich IAIT angesehen. [mehr]
High-Speed-PLC-Modems der 200-mbps-Klasse
Powerline-Modems der jüngsten Generation versprechen Triple-Play-taugliche Heimvernetzung ohne neue Kabel ? die Hausstromleitung genügt. Wir haben getestet, wie viele der versprochenen 200 MBit/s in der Realität durch Stromnetz flitzen und ob Video- und [mehr]
Anzeige