Im Test: Stormshield SN910 – Leistungsstarke Security-Appliance für mittelgroße Umgebungen

Inbetriebnahme

Die Internet-Anbindung im Test erfolgte via PPPoE über einen DSL-Anschluss der Telekom, es ist aber auch möglich, die Verbindung über feste IP-Adressen, DHCP und PPTP herzustellen. Darüber hinaus unterstützt die Firewall bei Bedarf auch IPv6, NAT, PAT, dynamisches Routing, Policy-basiertes Routing, QoS Management sowie die Arbeit als NTP-Client beziehungsweise DHCP-Relay oder –Server. Zusätzlich lässt sich das Produkt als DNS- beziehungsweise HTTP-Proxy-Cache einsetzen und arbeitet bei Bedarf auch mit WAN Link-Redundanz.

Nachdem wir die Firewall angeschlossen und hochgefahren hatten, griffen wir zunächst über die URL HTTPS://10.0.0.254/install auf das Management-Interface der Lösung zu. Unter dieser Adresse findet sich ein Wizard, der den Anwendern bei der Erstkonfiguration des Produkts hilft. Dieser Wizard funktioniert aus Sicherheitsgründen nur dann, wenn sich die Appliance im Auslieferungszustand befindet. Soll er zum Einsatz kommen, so muss er folglich direkt nach dem ersten Hochfahren seine Arbeit aufnehmen.

Der Assistent ermöglicht es entweder, die Firewall-Appliance schrittweise einzurichten oder die Konfiguration auf der Backup-Partition wieder einzuspielen. Alternativ besteht auch die Option, den Wizard gleich zu beenden und sämtliche Konfigurationsschritte manuell durchzuführen. Da wir die Lösung zu diesem Zeitpunkt noch nicht kannten, entschieden wir uns an dieser Stelle für die schrittweise Konfiguration mit Hilfe des Assistenten. Dieser unterstützt die Sprachen Deutsch, Englisch, Französisch, Polnisch und Ungarisch.

Nachdem die Anwender ihre Sprache selektiert haben, fragt der Wizard zunächst einmal nach der Konfiguration des WAN-Interfaces. Hier stehen die zuvor bereits genannten Optionen “Dynamisch”, “Statisch”, “PPPoE” und “PPTP” zur Verfügung.

Im nächsten Schritt geht es an die Konfiguration der LAN-Interfaces. Diese wurden standardmäßig im Bridge-Modus geschaltet und die Administratoren haben hier die Möglichkeit, ihnen eine IP-Adresse und eine Netzmaske zuzuweisen. Anschließend kommen die Angabe der Domäne und die DHCP-Konfiguration an die Reihe, bevor der Assistent fragt, ob das Produkt in das Active Directory integriert werden soll. In diesem Fall sind die zuständigen Mitarbeiter dazu in der Lage, die AD-Konten zur Authentifizierung mit zu benutzen. Im Test entschieden wir uns für diese Option und beim Verbindungsaufbau zu unserem Domänencontroller kam es zu keinen Schwierigkeiten.

Die nächsten Konfigurationsschritte befassen sich mit dem Einstellen der Systemsprache für das Logging, der Konfiguration der Zeit sowie der Zeitzone und dem Einrichten der richtigen Keyboard-Belegung. Dabei fiel uns auf, dass das System bei der Tastaturbelegung die Sprachen Englisch, Französisch, Italienisch und Polnisch unterstützt. Deutsch bietet das System auch an, allerdings nur mit dem Schweizer-Keyboard-Layout. Das ist ungewöhnlich, insbesondere weil diese Sprachen nicht mit den Sprachen, mit denen der Wizard arbeitet, deckungsgleich sind.

Sobald die Sprachen konfiguriert und die Zeiteinstellungen erledigt sind, fragt der Konfigurationsassistent nach dem Passwort für den Administrator-Account und den Netzadressen, die auf das Konfigurationsinterface zugreifen dürfen. Das ist sehr sinnvoll, da auf diese Weise sichergestellt wird, dass nicht irgendwelche SN910-Appliances mit Standard-Zugangsdaten und ungesicherten Management-Interfaces im Netz zum Einsatz kommen. An gleicher Stelle möchte der Assistent auch wissen, ob SSH-Zugriffe auf das System möglich sein sollen. Alternativ lässt sich die Appliance übrigens auch über einen lokal angeschlossenen Monitor und eine lokale Tastatur ansprechen, im Test traten dabei keine Probleme auf.

Sobald der Assistent bis zu diesem Punkt abgearbeitet ist, nimmt er die zuvor angegebenen Konfigurationsänderungen vor und zeigt die neue IP-Adresse an, über die er in Zukunft im Netz erreichbar sein wird. Die Anwender müssen sich zu diesem Zeitpunkt über die neue IP-Adresse wieder mit dem Wizard verbinden und die Konfiguration fortsetzen.

Um das Produkt in Betrieb zu nehmen, ist es jetzt erforderlich, die Seriennnummer und das Passwort der Appliance angeben. Beide Informationen finden sich auf einem Aufkleber auf der Rückseite des Geräts.

Nach dem Eintragen dieser Informationen verbindet sich die Appliance über das Internet mit dem Hersteller und die Benutzer sind dazu in der Lage, ihr Produkt mit Namen und Adresse zu registrieren. Anschließend installiert die Lösung die Lizenz und lädt die aktuellen Updates für die Antispam-Funktion, das Antivirus-Programm und ähnliches herunter. Sobald die Lizensierung abgeschlossen wurde, haben die Administratoren die Möglichkeit, die in der Appliance vorhandenen Mail- und Web-Proxies zu aktivieren, die dazu dienen, die damit zusammenhängenden Datenübertragungen zu analysieren.

Sobald diese Schritte erledigt wurden, kommt die Absicherung des Internet-Zugangs an die Reihe. Standardmäßig lässt der Assistent dabei jeden ausgehenden Verkehr zu, aktiviert die Virenschutzfunktion auf Kaspersky-Basis und erlaubt die Arbeit mit Instant-Massaging-Software. Die entsprechenden Regeln lassen sich später über das Konfigurationsinterface jederzeit genauer an die Anforderungen der jeweiligen Umgebung anpassen. Während der Konfiguration mit dem Wizard sind die zuständigen Mitarbeiter an dieser Stelle dazu in der Lage festzulegen, wie das Security Produkt mit den vorhandenen Regeln umgeht.

Dabei stehen drei Optionen zur Verfügung: Firewall (in diesem Fall wird die Regel normal verwendet, der dazugehörige Traffic aber nicht weiter analysiert), IDS (Intrusion Detection System, hier erkennt und loggt die Appliance eventuelle Angriffsversuche) und IPS (Intrusion Protection System, in diesem Fall ergreift die Lösung zusätzlich noch Abwehrmaßnahmen). Zum Abschluss des Assistenten geben die Administratoren noch an, ob die Lösung auch Gefährdungen im internen Netz erkennen soll (dazu später mehr), danach richtet der Wizard das System ein, welches anschließend auch gleich die Arbeit aufnimmt. Die Erstkonfiguration des Produkts läuft also verhältnismäßig unkompliziert ab und dürfte keinen IT-Mitarbeiter vor unüberwindbare Schwierigkeiten stellen.

Besonderheiten der SN910

Wenn die Appliance in Betrieb genommen wurde, ergibt es Sinn, die durch den Wizard vorgenommene Konfiguration mit Hilfe des Web-Interfaces genauer an die lokalen Gegebenheiten anzupassen. Bevor wir uns im Detail diesem Web-Interface und damit dem gesamten Funktionsumfang des Produkts zuwenden, möchten wir aber zunächst noch auf zwei Besonderheiten der Stormshield-Lösung aufmerksam machen. Die erste ist die eben erwähnte Funktion zum Erkennen von Gefährdungen im LAN. Dieser so genannten Stormshield Network Vulnerability Manager ermittelt mit Hilfe von Daten, die durch die Sicherheits-Appliance übertragen werden, welche Betriebssysteme und Anwendungen im lokalen Netz zum Einsatz kommen und stellt so auch gleich ihre Verwundbarkeiten fest. Sobald eine Vulnerability im LAN entdeckt wird, informiert das Produkt die Administratoren.

Die zweite erwähnenswerte Funktion ist die “Stormshield Network Extended Web Control”. Dabei handelt es sich um einen umfassenden URL-Filter, der sich nutzen lässt, um das Surfverhalten der Anwender im Netz einzuschränken. Die Web-Kontrolle analysiert die eigehenden Anfragen, erkennt das mit den aufzurufenden Webseiten verbundene Risiko und blockiert infizierte Seiten.