Im Kurztest: Clavister-Firewall E5

Kleiner Tausendsassa

Immer mehr Hersteller bringen sogenannte Next Generation Firewalls auf den Markt. Sie versprechen Anwendern eine Vielzahl von Funktionen, die über die reine Absicherung von Netzwerken hinausgehen. Ein neues Exemplar dieser Gattung ist die Firewall-Appliance E5 von Clavister, die einen niedrigen Preis mit großem Funktionsumfang vereinen will. Ob ihr dies gelingt und was die kleine Firewall zu bieten hat, erfahren Sie in diesem Test.
In der Juni-Ausgabe des IT-Administrator dreht sich alles um den Schwerpunkt 'Monitoring & Dokumentation'. So zeigen wir Ihnen, wie die Netzwerküberwachung in ... (mehr)

Was ist eigentlich eine Next Generation Firewall? Ohne dieses Label traut sich heute kaum noch ein Firewall-Hersteller ein neues Gerät auf den Markt zu bringen. Einigkeit herrscht dabei unter Hardware-Produzenten oder Experten kaum. Soviel ist jedenfalls klar: Eine “NG Firewall” umfasst weitaus mehr Funktionen als die einfachen Paketfilter vergangener Tage.

Das Mindeste sind noch Filterfunktionen auf Anwendungsebene, etwa um Web-Traffic nicht nur pauschal zu erlauben oder zu verbieten, sondern beispielsweise bestimmte Websites zu blockieren oder gar gezielt in den HTTP-Antworten nach Malware zu suchen. Weitere Mehrwertfunktionen sind zum Beispiel verschlüsselte Verbindungen per IPsec oder VPN und viele andere Merkmale, die auch bessere Router bieten.

Kleiner Bruder

Anfang dieses Jahres hat Clavister mit der E5 eine neue Firewall-Appliance dieser Kategorie auf den Markt gebracht. Der schwedische Hersteller bietet ein breites Spektrum an Geräten, das auf kleine Firmen bis hin zum Telekomanbieter abzielt. In der Eagle-Serie sind die kleinsten Firewalls angesiedelt, die für den Einsatz in Filialen gedacht sind, sich aber auch für kleine Firmen eignen. Das neue E5-Gerät ist wiederum das kleinste Gerät in dieser Serie und in der Software-Ausstattung identisch mit seinem größeren Bruder E7. Sie unterscheiden sich nur in der Hardware.

Beim Auspacken der Firewall machte sie mit ihrem dickwandigen Blechgehäuse einen sehr robusten Eindruck. Zwar wird die E5 als “Desktop-Gerät” verkauft, aber der Packung liegen zwei Metallwinkel für eine Montage im Rack bei. Neben einem Strom-, einem Nullmodem- und einem Ethernet-Kabel ist sonst nur noch ein Willkommensgruß von Clavister zu finden, der den Anwender auf die Webseite [1] einlädt, um dort weitere Anweisungen zur Inbetriebnahme zu finden. Der dort verlinkte Getting Started-Guide im PDF-Format ist mit 70 Seiten überschaubar, aber nur auf Englisch verfügbar.

Die Firewall ist grundsätzlich in zwei Bereiche aufgeteilt: einen Switch mit fünf 1 GBit/s-Ports, der für das lokale Netz gedacht ist, und zwei WAN-Ports mit ebenfalls 1 GBit/s. Im Firewall-eigenen Betriebssystem cOS ist der Switch als ein logisches Interface unter dem Namen “GESW” ansprechbar. Die beiden WAN-Interfaces tragen die Namen G1 und G2. Nach dem Booten weist die Firewall

dem ersten Port des GESW-Interfaces die IP-Adresse 192.168.1.1 zu, über die der Administrator mit der Konfiguration beginnen kann. Ein damit verbundener Computer bekommt per DHCP automatisch eine passende Adresse zugewiesen.

Hilfreicher Wizard, unübersichtliches Interface

Zur Konfiguration bietet die Firewall eine webbasierte grafische Oberfläche und ein Kommandozeilen-Interface, das über SSH zu erreichen ist. In der Web-Oberfläche ist nach dem ersten Booten im oberen Menü ein Link zu einem Setup-Wizard zu finden, der durch die Konfiguration führt. Fehlt der Link, stellt ein Factory Reset, der den Router auf den Auslieferungszustand zurücksetzt, diesen wieder her.

Der Setup-Wizard ist ziemlich simpel gestrickt und ermöglicht es zunächst, ein neues Passwort und die Zeitzone zu setzen. Dann muss der Anwender G1 oder G2 zum WAN-Interface sowie dessen Konfiguration (Statische IP, DHCP, PPPoE oder PPTP) bestimmen. Es folgen die optionalen Zeit- und Syslog-Server, und die Installation ist abgeschlossen.

E5-Varianten im Vergleich

Merkmal

Clavister E5

Clavister E5 Pro

Firewall-Durchsatz (MBit/s)

125

250

VPN-Durchsatz (MBit/s)

50

100

Gleichzeitige Verbindungen

5.000

10.000

Gleichzeitige VPN-Tunnel

50

100

An dieser Stelle kommt zum ersten Mal ein interessantes Feature der Firewall ins Spiel: Nach dem Bestätigen einer Konfigurationsänderung (das können auch mehrere Änderungen auf einmal sein) muss der Administrator sich innerhalb von 30 Sekunden in das Web-Interface einloggen. Tut er das nicht, macht die Firewall automatisch die letzten Änderungen rückgängig. Das ist ein praktisches Feature, das verhindert, sich aus der Firewall auszusperren, wenn man beispielsweise das Gerät eines entfernten Büros konfiguriert.

Im Webinterface verstecken sich manche der Konfigurationspunkte gut

Im Test ließen sich nach der initialen Konfiguration keine Webseiten abrufen, denn es fehlte noch eine Firewall-Regel, die DNS-Anfragen über TCP erlaubte. Auch Pings zum Verbindungstest funktionierten erst, nachdem wir die nötige Regel für ICMP hinzugefügt hatten. Mit einer bestehenden Internet-Verbindung lässt sich dann auch die Lizenz aktivieren, ohne die das Gerät mit der Einstellung des Betriebs droht.

Etwas verwirrend ist das Web-Interface aufgebaut – eine Eigenschaft, die Clavister mit anderen Herstellern teilt. Beispielsweise ist der aktuelle Zustand eines Interfaces, etwa seine IP-Adresse, über den Hauptmenüpunkt “Status” zu finden, während die Konfiguration über “Objects” beziehungsweise “Network” geschieht. Dies betrifft auch viele andere Einstellungen der Firewall, die regelmäßig in einem Klick- und Suchspiel münden.

Zur Vereinfachung der Konfiguration bietet die Clavister-Firewall symbolische Namen für Netzwerk-Interfaces und Netze an, die zum Teil vordefiniert sind und sich vom Benutzer verändern und erweitern lassen. Zum Beispiel gibt es für das Netz 0.0.0.0/0 den Namen “all-nets”. Auch Dienste sind in dieser Weise vordefiniert: “dns-tcp” für DNS über TCP, “dns-udp” für DNS über UDP und “dns-all” für beides. Diese Namen kann der Anwender dann bei der Konfiguration der Firewall-Regeln verwenden, wo sie in einer Dropdown-Liste zur Verfügung stehen.

comments powered by Disqus

Artikel der Woche

Eigene Registry für Docker-Images

Wer selber Docker-Images herstellt, braucht auch eine eigene Registry. Diese gibt es ebenfalls als Docker-Image, aber nur mit eingeschränkter Funktionalität. Mit einem Auth-Server wird daraus ein brauchbares Repository für Images. (mehr)
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Konfigurationsmanagement

Ich konfiguriere meine Server

  • von Hand
  • mit eigenen Skripts
  • mit Puppet
  • mit Ansible
  • mit Saltstack
  • mit Chef
  • mit CFengine
  • mit dem Nix-System
  • mit Containern
  • mit anderer Konfigurationsmanagement-Software

Google+

Ausgabe /2019