UTM-Appliance für kleine Benutzergruppen im Test

© claudilie, Pixelio.de

Zwergenwacht

Wirksamer Schutz durch den Verbund abgestimmter Komponenten – das ist das Geheimnis so genannter UTM-Appliances (Unified Threat Management). Bisher waren sie oft nur für große Anwender erschwinglich. Nun ist am unteren Ende der Preisskala ein bemerkenswerter Wettbewerber aufgetaucht: Black Dwarf.
High Availability lässt sich heute mit günstiger Hardware und einer großen Auswahl an kommerzieller sowie freier Software realisieren. ADMIN erklärt die ... (mehr)

Für den Einsatz in großen Umgebungen gibt es schon lange Kombinationen aus Firewall, VPN-Gateway und Proxy-Servern für die Absicherung von Netzwerk, Web und Mail. Für kleinere Netzwerke haben etwa Gateprotect, Zyxel, Astaro oder Sonicwall schon geraume Zeit ähnliche Angebote im Programm. Allerdings sind hier wie bei den großen Geschwistern oft Extrakosten pro Modul fällig und das Preisniveau liegt in der Regel jenseits der 500-Euro-Marke. Mit ihrer Black Dwarf (schwarzer Zwerg) getauften Linux-Appliance brachten die Partner Wortmann und Securepoint nun eine UTM-Appliance auf den Markt, die diese Marke deutlich unterschreitet: Nur noch knapp 370 Euro für alles soll die Wunderwaffe kosten. Was kann man für diesen Preis erwarten?

Eine erste Irritation erleben viele Anwender womöglich schon kurz nach dem Auspacken des zigarrenkistengroßen schwarz-roten Geräts ( Abbildung 1 ). Es ist nämlich für eine Installation zwischen DSL-Modem und LAN gedacht, eine Stelle, die Benutzer eines WLAN-Routers, den die DSL-Provider heute standardmäßig mitliefern, gar nicht mehr erreichen. Stattdessen müssten Modem und Router getrennt sein. Ansonsten bliebe nur ein Anschluss auf der LAN-Seite des Routers, wo aber nicht nur kein Funk nutzbar wäre, sondern die Appliance wegen der Network Address Translation des Routers auch nicht mehr ohne Weiteres von außen zu erreichen wäre, was etwa das integrierte VPN-Gateway entwerten würde.

Anschluss finden

Ein funktionierender Workaround für diesen Fall ist, auf dem WLAN-Router alle Ports und Protokolle an die im LAN dahinter stehende Appliance weiterzuleiten. Die Fritzbox Fon WLAN 7170 beispielsweise kennt unter »Portfreigabe« eine Option »Exposed Host« , die sämtliche Zugriffe unter Umgehung ihrer eigenen Firewall an eine Adresse im LAN durchreicht.

Abbildung 1: An seiner Rückseite bietet der schwarze Zwerg Anschlüsse für DSL-Modem, LAN und DMZ sowie einen seriellen und zwei USB-Ports.

Ist das Gerät erst einmal verkabelt und ins Netzwerk integriert, kann der Benutzer sofort via Webinterface auf die Administrationsoberfläche zugreifen. Die Gestaltung ist übersichtlich, wenn auch die dunkle, türkisfarbene Schrift der Menüs auf schwarzem Grund nicht unbedingt optimale Lesbarkeit garantiert.

Registrieren für Updates

Nach einer Registrierung, die den Zugang zu den Updates für die Firmware und vor allem den Virenscanner freischaltet und die der Benutzer nach einem Jahr periodisch kostenpflichtig erneuern muss, kann es losgehen.

In den Menüs findet sich der erfahrene Admin schnell zurecht – allerdings nur, weil ihm die Funktionsprinzipien der einzelnen Module und die Terminologie sicher bereits vertraut sind. Absolute Einsteiger in Sachen Security wären wohl überfordert, zumal das mitgelieferte Handbuch keine zusammenhängenden Darstellungen von Konfigurationsabläufen bietet. Wesentlich besser ist da die online verfügbare überarbeitete Handbuch-Version [1] . Sie enthält einen "Schritt-für-Schritt-Anleitungen" genannten Teil, der beispielsweise das komplexe Vorgehen beim Einrichten einer VPN-Verbindung Menü-übergreifend erklärt. Bei Problemen helfen auch die Support-Foren des Herstellers [2] sehr schnell und kompetent weiter.

Alternativ ist auch eine Konfiguration über ein Command-Line-Interface möglich, das nach einem SSH-Login auf der Appliance erreichbar ist. Über dessen Möglichkeiten schweigt sich das Handbuch aber konsequent aus.

comments powered by Disqus
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Konfigurationsmanagement

Ich konfiguriere meine Server

  • von Hand
  • mit eigenen Skripts
  • mit Puppet
  • mit Ansible
  • mit Saltstack
  • mit Chef
  • mit CFengine
  • mit dem Nix-System
  • mit Containern
  • mit anderer Konfigurationsmanagement-Software

Ausgabe /2023