Netzwerksicherheit als Plug-in: gateProtect-Appliance im Test

Liest man die Marketingbroschüren vieler UTM-Appliance-Hersteller, so ist IT-Sicherheit ganz einfach: Man nehme eine Appliance zwischen Intra- und Internet sowie zwischen Clients und Servern ins Netz, und schon ist man vor allen Gefahren geschützt. Unified Thread Management (UTM) wehre einfach alle Gefahren ab – Viren und Spam bleiben draußen. Vertrauliche Daten hingegen können das Unternehmen nicht mehr verlassen. Das Sicherheitsunternehmen Sophos bietet diese Botschaft den mit Hochglanzbroschüren überfluteten Entscheidern sogar als Kriminalroman an.

ZDNet hat die UTM-Appliance GPX 800 (Bild 1) von gateProtect getestet. Die GPX 800 ist eine von insgesamt sechs Hardware-Appliances, die gateProtect anbietet. Darüber hinaus gibt es von gateProtect drei Software-Appliances als VMware-Images.

Alle Appliances laufen unter Linux, wobei die beiden kleinsten im „Fritzbox-Formfaktor“ realisiert sind, siehe Bild 2. Sie eignen sich für 10 bis 25 Benutzer. Die vier größeren Hardware-Appliances gibt es im 2U-Rackformat.

Das ZDNet-Testgerät GPX 800 ist für Netzwerkgrößen bis 500 Benutzer ausgelegt. Die Firewall soll einen Durchsatz von bis zu 3 GBit/s schaffen. VPNs sind bis zu 250 MBit/s möglich. Das Gerät besitzt eine Intel-Xeon-3040-CPU mit zwei Kernen, 1,86 GHz Taktfrequenz und 2 MByte Level-2-Cache. Dazu kommen 4 GByte Hauptspeicher.

Die 65-Nanometer-CPU mit 65 Watt TDP ist aus Green-IT-Gesichtspunkten nicht die optimale Wahl, jedoch wird man kaum Appliances finden, die immer auf die neueste Hardware-Technologie aufsetzen. Dafür erhält man eine Kombination aus Hard- und Software, die hinsichtlich der Stabilität intensiv getestet ist.

Die GPX 800 besitzt acht Intel-Gigabit-Ethernet-Controller mit Hardware-TCP/IP-Offloading. Somit kann man bereits mit „dummen“ Ethernet-Switches ohne jegliche Layer-2- und Layer-3-Funktionalität, etwa 802.1X, acht virtuelle Netze aufbauen.

Mit der Firewall-Funktionalität der Appliance lässt sich der Datenverkehr nur zwischen verschiedenen Netzen einschränken, das heißt Rechnern, die an unterschiedlichen Ports der Appliance hängen. Sinnvoll ist es beispielsweise, alle Arbeitsplatzrechner an einen Port zu verbinden und alle Unternehmensserver an einen anderen. Dann lässt sich bereits auf Layer-3-Ebene festlegen, welcher Arbeitsplatzrechner mit welchem Server auf welche Weise kommunizieren darf.

Will man verhindern, dass Arbeitsplatzrechner untereinander kommunizieren, so müssen im Unternehmen mindestens Layer-2-Switches installiert werden, die dafür sorgen, dass jeder Rechner nur mit der MAC-Adresse der Appliance Daten austauschen kann.

Die Appliance bedient man üblicherweise mit einer Windows-Client-Applikation. Ein Einloggen auf Shell-Ebene ist in der Regel nicht erforderlich, aber dennoch möglich. gateProtect empfiehlt, dass nur Administratoren und Partner, die die Platin-Zertifizierung von gateProtect besitzen, auf der Shell-Ebene arbeiten.