Neue Versionen der UTM-Lösungen von Endian und Sophos

Dmitriy Cherevko, 123RF

Schlachtrösser

UTM-Systeme stellen sich Gefahren aller Art in den Weg: eben Unified Threat Management. Die Ansprüche und Erwartungen der Kunden befeuern den Wettbewerb. Zwei der beliebtesten Hersteller – Endian und Sophos – haben jetzt neue Versionen ihrer Lösungen herausgebracht.
Das Titelthema im ADMIN 04/14 "Vernetzt speichern" sind Netzwerkdateisysteme, etwa Samba 4, verteilter Storage mit Ceph & GlusterFS und der Unix-Klassiker ... (mehr)

Unified Threat Management (UTM) steht für vollständigen Schutz. UTM-Systeme filtern ein- und ausgehenden Netzverkehr, erkennen und verhindern Angriffe und sperren Viren in Quarantäne. Wenn sich eine Appliance um all diese Aufgaben kümmert, sollte sie zu den individuellen Ansprüchen genau passen.

Bei der UTM-Firewall des 2003 gegründeten Südtiroler Unternehmens Endian handelt es sich um eine der wenigen Open-Source-Firewalls, die sowohl in einer freien als auch in einer kommerziellen Variante angeboten werden. Nach Angaben des Herstellers setzen über 4000 Kunden die Endian Enterprise Firewall ein, mehr als 1,2 Millionen Nutzer haben die Community-Edition heruntergeladen. Beide basieren auf der Linux-Distribution IPCop.

Die freie Community-Variante steht zwar für den kostenfreien Einsatz auch in Unternehmen zur Verfügung, verzichtet aber auf viele Features der Enterprise-Edition. Nur für die Bezahlversion gibt es Hardware-Appliances, virtuelle Netzwerktreiber, professionelle Support-Unterstützung, eine Hotspot-Funktion sowie kommerzielle Spam- und Content-Filter. Doch auch die Community-Edition hält die UTM-Grundfunktionen vor, inklusive Viren-, Spam- und URL-Filter sowie IPSec und OpenVPN. Auch größere Netzwerke schützt sie problemlos. Das ISO-Image der Community-Edition steht unter [1] zum Download bereit. Wer die Enterprise-Version testen möchte, fordert unter [2] einen Test-Key und den Link zum Download an.

Sophos UTM – im Jahr 2000 erstmals als Astaro Security Linux vorgestellt – hat sich durch konsequente Orientierung an den Wünschen der Kunden einen festen Platz im Leader-Quadranten der IT-Analysten von Gartner gesichert und bezeichnet sich selbst als "Marktführer für Unified Threat Management in Europa". Sophos bietet zwar keine Community-Version an, aber für den privaten und nicht kommerziellen Einsatz eine kostenfreie sogenannte Home-Use-License. Diese Lizenz schützt Netze mit bis zu 50 IP-Adressen und umfasst fast alle Features der kommerziellen Vollversion. Die Sophos UTM Home Edition steht unter [3] zum Download bereit.

Für Unternehmen bietet Sophos mit der Essential Firewall ebenfalls eine kostenfreie Version an, die allerdings nur grundlegende Sicherheitsfunktionen bietet. Bis auf den DNS-Proxy fehlen alle Proxy-basierten Features wie HTTP(S), SMTP und POP3 und damit Virenscanner, URL-Filter und Applikationskontrolle. Bei den VPN-Protokollen fehlen IPsec und OpenVPN, lediglich L2TP over IPsec und das veraltete PPTP-Protokoll sind mit von der Partie. Mit ersterem lassen sich immerhin mobile Geräte wie Smartphones per VPN anbinden. Das Installationsmedium für die Essential Firewall steht unter [4] bereit.

Darreichungsformen

Sowohl Endian als auch Sophos bieten ihre Firewalls als Hardware- und Software-Appliances an. Letztere laufen sowohl auf physikalischer Hardware als auch als virtuelle Appliances. Sophos unterstützt dabei VMware, Xen, KVM und Hyper-V.

Von Endian fehlt dagegen die offizielle Unterstützung für Microsofts Hypervisor Hyper-V. Zwar lässt sie sich auch in einer Hyper-V-Umgebung installieren, jedoch fehlt der Treiber für die nativen Hyper-V-Netzwerkadapter, was die Netzwerkbandbreite auf spärliche 10 MBit pro Sekunde begrenzt. Darüber hinaus steht die volle Unterstützung für VMware und Xen nur in der Enterprise-Version zur Verfügung. Für die verschiedenen Hypervisoren stellt Endian optimierte Images beziehungsweise virtuelle Maschinen zur Verfügung. Sicherheitsüberlegungen zum Betrieb virtualisierter Firewalls legt der Kasten "Firewall virtualisieren?" dar.

Firewall virtualisieren?

Eine virtuelle Firewall birgt auch Risiken: Es ist ihre wichtigste Aufgabe, Netzwerke zuverlässig gegeneinander abzusichern. In virtuellen Umgebungen sind es aber virtuelle Switche, die die Netzwerke voneinander trennen. Das bedeutet, dass der Virtualisierungs-Host die oberste Instanz ist. Die Sicherheit einer virtuellen Firewall steht und fällt also mit der Sicherheit der verwendeten Virtualisierungssoftware. Ist der Host durch einen Konfigurationsfehler oder eine Sicherheitslücke im Hypervisor kompromittiert, kontrolliert ein möglicher Angreifer auch die virtuellen Maschinen und letztlich auch die Firewall. Die meisten Hypervisoren waren bereits von derartigen Sicherheitslücken betroffen [5][6]. Ein Report der bei IBM für Security zuständigen X-Force kam bereits 2010 zu dem Schluss, dass ein Drittel aller Hypervisoren Lücken aufweisen [7].

Generell verbietet es sich, eine Firewall auf demselben Host wie interne IT-Ressourcen, etwa Domänencontroller, File- oder Webserver, zu virtualisieren. Wer auf die Vorteile einer virtualisierten Firewall – schnelle Bereitstellung zusätzlicher Ressourcen sowie einfache und preiswerte Hochverfügbarkeit – nicht verzichten möchte, sollte sie zumindest auf einem eigenen Virtualisierungs-Host betreiben.

Die Hardware-Appliances haben den Vorteil, dass die Hersteller ihre Ausstattungen exakt auf die Anforderungen der Software abstimmen. Sophos verwendet ausschließlich Intel-Hardware, Endian bietet mit der Endian Mini zudem eine ARM-SoC-Variante (System on Chip). Der Einsatz von Appliances führt in der Regel zu einem schlankeren Kernel als bei Software-Appliances, die auch möglichst exotische Hardware unterstützen sollen. Eine Aufrüstung etwa des Arbeitsspeichers oder der Festplattenkapazität sehen die Hardware-Lösungen nicht vor – eine kleine Appliance sichert daher auch nur kleinere Netze effektiv ab.

Bei den Software- und den virtuellen Appliances werden hingegen die geschützten IP-Adressen und Benutzer lizenziert (siehe Kasten "Preismodelle"). Das liegt daran, dass der Admin hier die (virtuelle) Hardware praktisch beliebig ausbauen und damit die Performance der Firewall maßgeblich beeinflussen kann.

Preismodelle

Sophos und Endian bieten ihre Produkte sowohl als Hardware-Appliances als auch als Software für die Installation auf eigener Hardware oder als virtuelle Appliances an. Beide stellen bei Software und virtuellen Appliances ihre Lizenzen auf Basis von Benutzern beziehungsweise IP-Adressen aus, physikalische Appliances sind dagegen nicht begrenzt. Beide Hersteller liefern mit ihren physikalischen Appliances auch immer Software mit identischem Funktionsumfang aus; in dieser Hinsicht unterscheiden sich kleine und große Appliances also nicht, der Einsatzrahmen ergibt sich ausschließlich aus den Hardware-Ressourcen. Eine Ausnahme hiervon bildet nur die Sophos-Appliance UTM 100 mit BasicGuard-Subskription, deren Lizenz Durchsatz und Funktionalität künstlich beschränkt.

Während Sophos ein rein modulares Subskriptionsmodell anbietet, arbeitet Endian zusätzlich mit einem Maintenance-Modell. Die Maintenance deckt die Grundfunktionen der Endian Enterprise Firewall inklusive Endian Network ab und enthält – in der Stufe Advanced Maintenance – bereits Support durch den Hersteller. Lediglich Third-Party-Software wie der Panda-Virenscanner und der Commtouch-Content-Filter erfordern bei Endian eine zusätzliche Lizenz.

Ein weiterer Unterschied besteht bei der Lizenzierung im Hochverfügbarkeitsbetrieb (HA): Bei Endian benötigen im HA-Betriebsmodus active/passive alle Appliances Maintenance und die entsprechenden Subscriptions. Bei Sophos genügt im active/passive-Betrieb dagegen grundsätzlich eine Lizenz.

Die Tabellen 1 und 2 enthalten die Einsteiger- und Mid-Size-Geräte von Endian/Sophos mit den zum Redaktionsschluss empfohlenen Verkaufspreisen.

Endian 3.0

Endian hat im Januar die neue Version seiner Firewall veröffentlicht. Der Versionssprung von 2.5.2 auf 3.0 zeigt bereits, dass es sich um ein Major-Release handelt. Tatsächlich kann sich die neue Version auch im wörtlichen Sinne sehen lassen: Die Entwickler haben die Benutzeroberfläche optisch modernisiert und um weitere Sprachen erweitert. Neben Englisch, Italienisch und Deutsch unterstützt sie nun auch Japanisch, Spanisch, Portugiesisch, Russisch, Chinesisch und Türkisch.

Die Entrümpelung der GUI macht sich vor allem bei den VPN-Konfigurationsdialogen positiv bemerkbar. Hier waren die Dialoge in der Vergangenheit nicht eben intuitiv, eine eigene CA (Certification Authority, Zertifizierungsstelle) für das Zertifikatsmanagement war überhaupt nicht vorhanden.  Darüber hinaus haben zahlreiche neue Funktionen Einzug gehalten, darunter auch der bislang vermisste HTTPS-Proxy.

Die ausgehende Firewall kennt nun Applikationen wie Dropbox, Facebook, Twitter und Skype und erlaubt damit feiner abgestimmte Firewall-Regeln (Abbildung 1). Mit Version 3.0 löst die Endian Firewall auch das Tool Ntop zur Visualisierung des Netzwerkverkehrs durch dessen Nachfolger Ntopng ab [8] (Abbildung 2). Auch er verwendet das neue Application-Control-Modul (Ntop-Deep-Packet-Inspection-Bibliothek).

Abbildung 1: Die neue Applikationskontrolle der Endian Firewall sperrt nun auch spezifische Anwendungen und Dienste.
Abbildung 2: Mit Version 3.0 hält der neue Netzwerkmonitor Ntopng Einzug in die Endian Firewall, der auch Applikationen im Netzwerk-Traffic erkennt.

Ähnliche Artikel

comments powered by Disqus

Artikel der Woche

Container-Anwendungen isolieren mit Aporeto Trireme

Beim Umstieg auf Container-basierte Anwendungen sind viele Klippen zu umschiffen, dies gilt insbesondere für das Thema Security. So lassen sich Anwendungen nur schwer voneinander kontrollierbar isolieren. Hier setzt Aporeto mit Trireme an. Die Software sorgt dank einer attributbasierten Zugriffskontrolle für mehr Sicherheit. Wir stellen das Konzept anhand eines Beispiels vor. (mehr)
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Linux-Backup

Welche Backup-Lösung setzen Sie für Linux im professionellen Umfeld ein?

  • keine
  • eigene Scripts
  • rsnapshot
  • rdiff-backup
  • Bacula
  • Bareos
  • Borg
  • Duplicity
  • Amanda
  • Burp
  • Clonezilla
  • Acronis
  • Arkeia
  • SEP sesam
  • Veeam
  • Redo Backup
  • Relax-and-Recover
  • andere kommerzielle Software
  • andere Open-Source-Software

Google+

Ausgabe /2017

Microsite