{"id":17699,"date":"2020-12-05T11:41:00","date_gmt":"2020-12-05T10:41:00","guid":{"rendered":"https:\/\/www.sysbus.eu\/?p=17699"},"modified":"2020-12-01T10:49:56","modified_gmt":"2020-12-01T09:49:56","slug":"im-test-tabletop-security-loesung-watchguard-t40","status":"publish","type":"post","link":"https:\/\/www.sysbus.eu\/?p=17699","title":{"rendered":"Im Test: Tabletop-Security-L\u00f6sung Watchguard T40"},"content":{"rendered":"\n

Watchguard wendet sich mit der T-Serie an Anwender in externen Niederlassungen, Filialen und Home Offices. Die Serie besteht aus insgesamt vier Tabletop-Appliances, die sich jeweils f\u00fcr den Einsatz in ganz kleinen B\u00fcros bis hin zur Verwendung in Niederlassungen mit mehr als 50 Mitarbeitern eignen. In diesem Test haben wir die zweitgr\u00f6\u00dfte L\u00f6sung \u2013 die Firebox T40 \u2013 unter die Lupe genommen.<\/p>\n\n\n\n

\"\"
Bild: Watchguard<\/figcaption><\/figure>\n\n\n\n\n\n\n\n

Bei der Firebox T40 handelt es sich um eine Appliance f\u00fcr kleine bis mittelgro\u00dfe Unternehmen mit hohen Anforderungen an den Durchsatz und die vorhandenen Sicherheitsfunktionen. Laut Watchguard bringt diese Appliance Sicherheit der Enterprise-Klasse in Niederlassungen und Filialen, was gerade im Zusammenhang mit dem verteilten Arbeiten, das heute \u00fcblich ist, eine gro\u00dfe Bedeutung hat. Das Produkt unterst\u00fctzt die vollst\u00e4ndige Total Security Suite von Watchguard und bringt damit alle Security-Features mit, die dieser Hersteller bietet.<\/p>\n\n\n\n

Im Test setzten wir die L\u00f6sung an einem 400 Mbit pro Sekunde-Anschluss der Deutschen Glasfaser ein und konnten diesen mit der Hardware voll ausreizen. Kein Wunder, denn die Appliance unterst\u00fctzt einen internen Firewall-Durchsatz von bis zu 3,4 Gbit pro Sekunde. Au\u00dferdem bringt sie f\u00fcnf 1 Gbit-Ports sowie zwei USB- und einen seriellen Port mit.<\/p>\n\n\n\n

Einer der LAN-Anschl\u00fcsse beherrscht PoE+, sodass man daran ein IP-Telefon oder einen Access Point anschlie\u00dfen kann, ohne eine zweite Stromzufuhr zu legen. Das ist praktisch, da es dabei hilft, den Kabelsalat auf dem Schreibtisch zu begrenzen.<\/p>\n\n\n\n

\"\"
Der Aktivierungsvorgang f\u00fcr die Firebox T40 war schnell abgeschlossen (Screenshot: IT-Testlab Dr. G\u00fcttich)<\/figcaption><\/figure>\n\n\n\n

Dar\u00fcber hinaus unterst\u00fctzt die L\u00f6sung \u201eRapidDeploy\u201c. Dieses Feature hilft Administratoren dabei, die Appliance so aufzusetzen, dass sie mit ihrem existierenden Unternehmensnetz funktioniert, ohne dass sie dazu ihr B\u00fcro verlassen m\u00fcssen. Mit RapidDeploy k\u00f6nnen die zust\u00e4ndigen Mitarbeiter die Konfiguration der Appliance in der Cloud ablegen. Die Anwender in der Zielniederlassung m\u00fcssen das Produkt dann lediglich an die Strom- und Datennetze anschlie\u00dfen und es holt sich daraufhin alle Einstellungen aus der Cloud. Integrierte SD-WAN-Funktionen helfen zudem dabei, den Einsatz teurer 4G\/LTE- oder MPLS-Verbindungen zu minimieren und die Leistung und Resilienz des Netzes zu verbessern. Zu den sonstigen Funktionen geh\u00f6ren bis zu 30 parallele VPN-Verbindungen und 50 unterst\u00fctzte VLANs.<\/p>\n\n\n\n

Der Test<\/strong><\/p>\n\n\n\n

Im Test integrierten wir die Appliance in unser Netz, richteten sie so ein, dass sie unsere Konfigurationsanforderungen erf\u00fcllte und machten uns mit ihrem Funktionsumfang vertraut. Dar\u00fcber hinaus untersuchten wir die internen und externen Interfaces der L\u00f6sung mit diversen Security-Werkzeugen wie nmap oder Metasploit, um herauszufinden, ob sie sich aus dem Tritt bringen lie\u00df oder \u00fcberfl\u00fcssige Informationen preisgab. Zus\u00e4tzlich lie\u00dfen wir auch diverse DoS-Tools auf die Interfaces der Appliance los und pr\u00fcften, wie sie darauf reagierte.<\/p>\n\n\n\n

Aufgrund des gro\u00dfen Funktionsumfangs der L\u00f6sung haben wir unseren Test zweigeteilt. Der erste Teil behandelt die Inbetriebnahme der Appliance und die Konfiguration der Firewall. Im zweiten Teil n\u00e4chste Woche werden wir uns dann mit den Features der Watchguard Total Security Suite, wie dem Content Filter, der Anwendungskontrolle, der DNS-Watch-Funktion und \u00e4hnlichem befassen.<\/p>\n\n\n\n

\"\"
Die Erstkonfiguration der Appliance l\u00e4uft mit Hilfe eines Wizards ab (Screenshot: IT-Testlab Dr. G\u00fcttich)<\/figcaption><\/figure>\n\n\n\n

Inbetriebnahme<\/strong><\/p>\n\n\n\n

Um das Produkt in Betrieb zu nehmen, m\u00fcssen die zust\u00e4ndigen Mitarbeiter zun\u00e4chst einmal unter www.watchguard.com\/activate<\/a> ein Konto anlegen (beziehungsweise sich mit ihrem existierenden Konto einloggen), mit dem sie die Appliance verkn\u00fcpfen k\u00f6nnen. Im Rahmen dieser Konto-Generierung legen die Anwender auch gleich fest, in welcher Region ihre Daten gespeichert werden.<\/p>\n\n\n\n

Um das Produkt zu aktivieren, ist es nun erforderlich, ihm einen Namen zu geben und die End User Lizenz zu akzeptieren. Danach m\u00fcssen sie die Seriennummer der L\u00f6sung eingeben, anschlie\u00dfend werden alle Dienste lizensiert, die mit dieser Seriennummer verkn\u00fcpft wurden. F\u00fcr den Test stellte uns Watchguard eine Lizenz bereit, die praktisch alle Funktionen der Appliance aktivierte.<\/p>\n\n\n\n\n\n\n\n

Anschlie\u00dfend loggten wir uns \u00fcber die URL https:\/\/10.0.1.1:8080<\/a> und mit den Standard-Credentials \u201eadmin\/readwrite\u201c bei dem System ein. Daraufhin startete ein Konfigurationsassistent, der zun\u00e4chst einmal wissen wollte, ob wir eine neue Konfiguration anlegen, mit RapidDeploy arbeiten, eine Konfiguration aus einer Datei wiederherstellen oder mit dem Cloud Management-Tool (mit dem sich mehrere Watchguard-Produkte an einer zentralen Stelle administrieren lassen) arbeiten wollten. Im Test erstellten wir eine neue Konfiguration.<\/p>\n\n\n\n

Im n\u00e4chsten Schritt kam die Konfiguration des externen Interfaces an die Reihe. Dieses kam vorkonfiguriert als DHCP-Client. Da dies die richtige Einstellung f\u00fcr unseren Glasfaseranschuss war, belie\u00dfen wir es einfach dabei. Alternativ w\u00e4ren auch statische und PPPoE-Konfigurationen sowie LTE-Anbindungen via USB-Device oder Modem m\u00f6glich gewesen.<\/p>\n\n\n\n

\"\"
Vor dem Zugriff auf das Web-Interface m\u00fcssen die Anwender bei Bedarf einen Logon-Disclaimer best\u00e4tigen (Screenshot: IT-Testlab Dr. G\u00fcttich)<\/figcaption><\/figure>\n\n\n\n

Danach ging es an die Angabe der zu verwendenden DNS- und WINS-Server, die Konfiguration der LAN-Interfaces, die Vergabe der Passw\u00f6rter f\u00fcr die Read-Only- und die Read-Write-Konten \u201eStatus\u201c und \u201eAdmin\u201c (hier stellt Watchguard sicher, dass das Produkt nicht mit Standardpassw\u00f6rtern im Netz betrieben wird) und \u2013 falls erforderlich \u2013 die Angabe einer Remote-Management-Station im WAN. Angaben zum Namen des Ger\u00e4ts, dem Ort, dem Kontakt und der zu verwendenden Zeitzone schlie\u00dfen den Assistenten ab. Zum Schluss wies uns das System noch darauf hin, dass wir den Watchguard System Manager (zur Verwaltung, zum Logging und zum Reporting) herunterladen oder die Appliance \u00fcber das Web-Interface managen konnten. Im Test entschieden wir uns f\u00fcr das Web-Interface. Zum Abschluss der Inbetriebnahme brachten wir noch die Firmware der Firebox T40 auf den aktuellen Stand, dann konnten wir loslegen.<\/p>\n\n\n\n

Die Konfiguration der Firewall<\/strong><\/p>\n\n\n\n

Standardm\u00e4\u00dfig arbeitet die Appliance nach dem Abschluss des Wizards mit einer Konfiguration, die allen eingehenden Verkehr blockt und Standarddienste wie HTTP, HTTPS, SMTP oder IMAP aus dem LAN ins Internet zul\u00e4sst. Diese passten wir nun genauer an unsere Anforderungen an.<\/p>\n\n\n\n

Zun\u00e4chst einmal \u00f6ffneten wir zus\u00e4tzliche Ports, um die Drop-In-Funktion unserer Echo-Lautsprecher von Amazon nutzen zu k\u00f6nnen. Diese ben\u00f6tigen f\u00fcr den Betrieb Daten\u00fcbertragungen \u00fcber die UPD-Ports 4072 und 4172. Um diese Ports freizugeben, wechselten wir nach \u201eFirewall \/ Firewall Policies\u201c und selektierten den Befehl \u201eAdd Policy\u201c. Danach wechselten wir nach \u201eCustom\u201c und legten unter \u201eSelect a policy type\u201c eine neue Policy namens \u201eDrop In\u201c an. F\u00fcr diese Policy konnten wir nun bestimmen, ob sie als Packet Filter oder als Proxy arbeiten sollte. Zu diesem Zeitpunkt w\u00e4hlten wir \u201ePacket Filter\u201c, auf die Proxies gehen wir sp\u00e4ter noch genauer ein. Danach konnten wir das durchzulassende Protokoll definieren. Das geht entweder mit einem Port Range oder \u00fcber einen einzelnen Port. An Protokollen f\u00fcr die Definition bietet die Firebox TCP, UDP, GRE, AH, ESP, ICMP, IGMP, OSPF, IP und \u201eAny\u201c an. Nachdem wir an dieser Stelle unsere UDP-Ports freigegeben hatten, klickten wir auf \u201eSave\u201c. Damit war die Policy definiert und wir gingen auf \u201eAdd Policy\u201c. Danach konnten wir die durchzuf\u00fchrende Aktion festlegen, also in diesem Fall, dass die Verbindungen zugelassen werden sollten (alternativ kann man sie auch per \u201eDenied\u201c oder \u201eDenied (send reset)\u201c abweisen).<\/p>\n\n\n\n

\"\"
Das Dashboard gibt einen \u00dcberblick \u00fcber den aktuellen Status der Appliance (Screenshot: IT-Testlab Dr. G\u00fcttich)<\/figcaption><\/figure>\n\n\n\n

Jetzt ging es an die Angabe von Quelle und Ziel. Daf\u00fcr verwendet Watchguard Aliases, die einzelne Systeme oder ganze Netze beschreiben. F\u00fcr unsere Regeln war es nicht erforderlich, neue Aliases anzulegen, da die Aliases f\u00fcr das Externe und das Trusted Net bereits standardm\u00e4\u00dfig mit zur Konfiguration geh\u00f6ren.<\/p>\n\n\n\n

Nachdem wir Quelle und Ziel definiert hatten, konnten wir noch die Regel f\u00fcr das Logging festlegen, das IPS aktivieren und weitere Funktionen konfigurieren, wie das SD-WAN, die Application Control, das Traffic Management und \u00e4hnliches. Da dies zu den erweiterten Funktionen geh\u00f6rt, auf die wir sp\u00e4ter noch eingehen wollen, belie\u00dfen wir hier alles auf den Standardeinstellungen und speicherten die Regel. Sie wurde sofort aktiv und wir konnten die Drop-In-Funktion nutzen. Auf eine \u00e4hnliche Art und Weise richteten wir im n\u00e4chsten Schritt Regeln ein, die erforderlich waren, um Anrufe \u00fcber WhatsApp freizugeben. Dabei traten keine Schwierigkeiten zu Tage. Die Arbeit mit der Firebox sollte f\u00fcr einen IT-Administratoren mit Erfahrung in der Firewall-Konfiguration folglich kein Problem darstellen.<\/p>\n\n\n\n

Packet Filter und Proxies<\/strong><\/p>\n\n\n\n

Die eben erzeugten Regeln arbeiteten alle als Packet Filter. Davon hat Watchguard auch schon einige vordefiniert, beispielsweise f\u00fcr Ping, RDP oder SMB. Sie lassen sich nutzen, um Daten\u00fcbertragungen \u00fcber das entsprechende Protokoll zuzulassen oder zu blockieren.<\/p>\n\n\n\n

Alternativ bietet die Firebox noch die eben erw\u00e4hnten Proxis an. Diese stehen vordefiniert f\u00fcr die Dienste DNS, Explicit (f\u00fcr User, die \u00fcber einen dedizierten, expliziten Proxy gehen m\u00fcssen), FTP, H323-ALG, HTTP, HTTPS, IMAP, POP3, SIP-ALG, SMTP und TCP-UDP zur Verf\u00fcgung. Im Test verwendeten wir den vordefinierten SIP-ALG-Proxy, um das Telefonieren mit unseren im LAN vorhandenen SIP-Telefonen m\u00f6glich zu machen. Dazu mussten wir nur eine Regel anlegen, die diesen Proxy aktivierte, danach lief die Telefonie problemlos. Anschlie\u00dfend implementierten wir noch diverse weitere Regeln, bis das Produkt exakt so funktionierte, wie von uns gew\u00fcnscht.<\/p>\n\n\n\n

\"\"
Die Konfiguration unserer \u201eDrop-In\u201c-Policy (Screenshot: IT-Testlab Dr. G\u00fcttich)<\/figcaption><\/figure>\n\n\n\n

Generell kommen die vordefinierten (oder sp\u00e4ter die selbstdefinierten) Packet Filter und Proxies als Komponenten der Regeln zum Einsatz. Sie definieren die zu verwendenden Ports und Protokolle. Sobald sie zu einer Regel hinzugef\u00fcgt wurden, lassen sich dann andere Parameter, wie G\u00fcltigkeitsdauer, Quelle, Ziel und so festlegen.<\/p>\n\n\n\n

Der Unterschied zwischen den Packet-Filter- und Proxy-Eintr\u00e4gen besteht darin, dass die Packet Filter die IP- und TCP\/UDP-Header von jedem Packet untersuchen und nur legitime Pakete durchlassen. Die Proxies analysieren im Gegensatz dazu neben den Headern auch den Inhalt der Pakete. Sie arbeiten also mit Content Inspection. Pakete werden immer dann zugelassen, wenn ihre Header g\u00fcltig sind und der Paketinhalt nicht als Bedrohung angesehen wird.<\/p>\n\n\n\n

Die definierten Eintr\u00e4ge k\u00f6nnen im Betrieb \u00fcbrigens beliebig kombiniert werden. So lassen sich beispielsweise mehrere HTTPS-Proxy-Regeln parallel betreiben, die den Verkehr f\u00fcr einige Benutzer mehr einschr\u00e4nken als f\u00fcr andere. Die Firewall-Konfiguration der Watchguard-L\u00f6sung gestaltet sich also sehr flexibel und leistungsf\u00e4hig.<\/p>\n\n\n\n

Zusammenfassung<\/strong><\/p>\n\n\n\n

Bis jetzt haben wir unsere T40 in Betrieb genommen und die Firewall so konfiguriert, dass in unserem Netz alle Dienste wie gew\u00fcnscht zur Verf\u00fcgung stehen. N\u00e4chste Woche gehen wir dann auf die Zusatzdienste der Total Security Suite \u2013 wie den Web-Filter, die Anwendungskontrolle und \u00e4hnliches \u2013 ein. Au\u00dferdem nehmen wir die Appliance mit unseren Security-Tools unter die Lupe.<\/p>\n\n\n\n

Anmerkung:<\/strong><\/p>\n\n\n\n

Wir haben diesen Test im Auftrag des Herstellers durchgef\u00fchrt. Der Bericht wurde davon nicht beeinflusst und bleibt neutral und unabh\u00e4ngig, ohne Vorgaben Dritter. Diese Offenlegung dient der Transparenz.<\/em><\/p>\n","protected":false},"excerpt":{"rendered":"

Watchguard wendet sich mit der T-Serie an Anwender in externen Niederlassungen, Filialen und Home Offices. Die Serie besteht aus insgesamt vier Tabletop-Appliances, die sich jeweils f\u00fcr den Einsatz in ganz kleinen B\u00fcros bis hin zur Verwendung in Niederlassungen mit mehr als 50 Mitarbeitern eignen. In diesem Test haben wir die zweitgr\u00f6\u00dfte L\u00f6sung \u2013 die Firebox T40 \u2013 unter die Lupe genommen.<\/p>\n","protected":false},"author":3,"featured_media":17700,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"colormag_page_container_layout":"default_layout","colormag_page_sidebar_layout":"default_layout","footnotes":""},"categories":[37,9],"tags":[1129,12954,825,14403,559,7440,14402,13699,12139],"class_list":["post-17699","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-security","category-test","tag-appliance","tag-firebox","tag-firewall","tag-packet-filter","tag-poe","tag-proxy","tag-t40","tag-tabletop","tag-watchguard"],"amp_enabled":true,"_links":{"self":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts\/17699","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/users\/3"}],"replies":[{"embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=17699"}],"version-history":[{"count":1,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts\/17699\/revisions"}],"predecessor-version":[{"id":17706,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts\/17699\/revisions\/17706"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/media\/17700"}],"wp:attachment":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=17699"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=17699"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=17699"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}