Netzwerksicherheit als Plug-in: gateProtect-Appliance im Test

Beim Internet-Zugriff lässt sich genau festlegen, welche Dienste einzelne Anwender nutzen dürfen, siehe Bild 8. Bei den Diensten FTP, HTTP und HTTPS lässt sich darüber hinaus eine Proxy-Nutzung erzwingen. Das kann auf klassische Weise geschehen, so dass die Benutzer die UTM-Appliance als Proxy in ihrem Browser konfigurieren müssen, oder aber transparent als sogenannter „Hidden Proxy“.

Verwendet man einen Proxy, so kann der URL- und Content-Filter genutzt werden. Dabei lässt sich Benutzern der Zugang zu bestimmten Websites sperren. Ebenso ist eine Sperre nach Inhalten möglich. Dabei blockt die Firewall Webseiten, die bestimmte Schlüsselwörter enthalten, siehe Bild 9.

Sehr umfangreich sind die Logging- und Statistikfunktionen, siehe Bild 10. Je nach Konfiguration lassen sich alle besuchten Websites nach Benutzer auswerten. Inwieweit solche Funktionen aktiviert werden, sollte man stets mit dem Betriebsrat klären.

Nicht ganz ungefährlich ist die Verwendung der Proxy-Funktion bei HTTPS. HTTPS ist wie jede SSL/TLS-Verschlüsselung eine End-to-End-Verschlüsselung. Die Appliance muss als Man-in-the-Middle agieren. Das heißt, dass einerseits alle HTTPS-Verbindung auf der Firewall entschlüsselt werden. Andererseits kann der Nutzer das Zertifikat des HTTPS-Servers nicht mehr überprüfen. Befindet sich im Internet ein weiterer Man-in-the-Middle, der ein gefälschtes Zertifikat unterschiebt, kann das nicht mehr festgestellt werden.

Um ein Szenario wie in Bild 5 zu realisieren, müssen alle Client-Rechner feste IP-Adressen haben, oder man muss alle Rechner mit besonderen Rechten, etwa den des Administrators und die der Buchhaltung, an einen eigenen Port der Firewall anschließen. Lässt sich beides nicht einfach bewerkstelligen, beispielsweise aus verkabelungstechnischen Gründen, kann man Benutzerauthentifizierung verwenden.

Dabei werden die Zugriffrechte nicht pro Rechner, sondern pro Benutzer vergeben. Das erfordert jedoch, dass auf jedem Rechner der Authentifizierungsclient installiert ist. Alternativ steht ein Webclient zur Verfügung. Dabei darf das Browserfenster nicht geschlossen werden.

Bei Verwendung der Benutzerauthentifizierung muss sich jeder Anwender vor dem Zugriff auf Netzwerkressourcen zusätzlich anmelden, siehe Bild 11. Ein Beispiel für eine Topologie mit benutzerbasierter Authentifizierung zeigt Bild 12.

Themenseiten: Hacker, Privacy, Security-Praxis

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

Artikel empfehlen:

Neueste Kommentare 

Noch keine Kommentare zu Netzwerksicherheit als Plug-in: gateProtect-Appliance im Test

Kommentar hinzufügen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *