Auswahl von Firewall-Produkten
Auswahl von Firewall-Produkten
Auswahl von Firewall-Produkten
Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.
YUMPU macht aus Druck-PDFs automatisch weboptimierte ePaper, die Google liebt.
THEMENSCHWERPUNKT SICHERHEIT IN NETZEN<br />
<strong>Auswahl</strong> <strong>von</strong> <strong>Firewall</strong>-<strong>Produkten</strong><br />
Berthold Wesseler<br />
Mit Sicherheitsprodukten zu geschützten Firmennetzen<br />
Können Nutzer <strong>von</strong> <strong>Firewall</strong>-<strong>Produkten</strong><br />
ruhig schlafen? Zumindest ruhiger<br />
als Ignoranten der elektronischen<br />
Brandmauern. Doch ob eine <strong>Firewall</strong><br />
die Erwartungen an die Datensicherung<br />
erfüllt, hängt neben den<br />
Produkteigenschaften auch vom<br />
Einsatzszenario ab.<br />
In einer Marktübersicht werden<br />
Herstellerangaben zusammengefaßt<br />
und Wege zu den Anbietern geebnet.<br />
Gesamtergebnis einer Evaluierung <strong>von</strong> <strong>Firewall</strong>-<br />
<strong>Produkten</strong> marktführender Hersteller (Erfüllungsgrad<br />
der Anforderungen in Prozent)<br />
(Quelle: META Group, DETECON,<br />
DeTeSystem, DTAG)<br />
Berthold Wesseler ist freier Journalist in Brühl<br />
„Nach dem Kauf <strong>von</strong> <strong>Firewall</strong>s darf<br />
sich niemand in falscher Sicherheit<br />
wiegen. Denn damit beginnt erst die<br />
eigentliche Arbeit beim Aufbau elektronischer<br />
Schutzwälle um das Unternehmensnetz,“<br />
erklärt Sicherheitsexperte<br />
Detlef Weidenhammer. Dabei<br />
geht es darum, die <strong>Firewall</strong> in das<br />
Netz der Mail-, Groupware- und Web-<br />
Server sowie der Applikationssysteme<br />
zu integrieren und die notwendigen<br />
Security Policies zu implementieren,<br />
die dann auch ständig weiter gepflegt<br />
und angepaßt werden müssen.<br />
Politikerschelte<br />
Das kann schnell zur Sisyphusarbeit<br />
werden, wenn das Fundament fehlt,<br />
auf dem die „Brandmauer“ gezogen<br />
werden sollte. Also zahlt es<br />
sich aus, auch schon vor dem<br />
Kauf der <strong>Firewall</strong> Arbeit zu investieren,<br />
insbesondere in<br />
den Aufbau einer unternehmensweit<br />
gültigen und auch<br />
praktizierten „Sicherheitspolitik“.<br />
Ihr Fehlen ist nach den<br />
im zweijährigen Turnus<br />
durchgeführten Sicherheitsstudien<br />
der Zeitschrift KES<br />
aber immer noch das größte<br />
Hemmnis bei der Verbesserung<br />
der IT-Sicherheit.<br />
Neben dem sich darin manifestierenden<br />
Mangel an Sicherheitsbewußtsein<br />
fehlt es nach<br />
der Erfahrung <strong>von</strong> Insidern wie Dr.<br />
Franz-Joachim Kauffels aber häufig<br />
auch an kompetenten Mitarbeitern<br />
und am Geld, um die seiner Meinung<br />
nach unverzichtbaren Vorarbeiten<br />
durchzuführen: Eine Risikoanalyse, die<br />
daraus abgeleitete Definition <strong>von</strong> Sicherungsbereichen<br />
(z.B. Vertrieb, Entwicklung,<br />
FiBu, Personal) und der für<br />
sie erforderlichen Sicherheitsstufen<br />
und schließlich eine Feinabstimmung<br />
der Sicherheitsprofile auf alle Ressour-<br />
cen und Personen. In diese Sicherheitsstrategie<br />
kann dann die Kaufentscheidung<br />
der <strong>Firewall</strong> eingebettet<br />
werden, denn erst daraus läßt sich der<br />
Anforderungskatalog der Produkteigenschaften<br />
ableiten.<br />
Auch die Berater der META Group<br />
sind der Ansicht, daß der Ausgangspunkt<br />
aller Implementierungsprojekte<br />
zur Erhöhung der „Unternehmenssicherheit“<br />
die Analyse des Ist-Zustandes<br />
und die Aufstellung <strong>von</strong> verbindlichen<br />
Regeln auf verschiedenen Ebenen<br />
sein muß. Wichtig sei es, die<br />
Komplexität zu reduzieren, d.h. das<br />
Unternehmen als Ganzes in überschaubare<br />
Einheiten – sogenannte<br />
Domänen – aufzuteilen. Ob dies auf<br />
geographischer, technologischer oder<br />
organisatorischer Ebene gemacht wird,<br />
bleibt letztlich zweitrangig. Wichtig ist,<br />
daß es pro Domäne einen Verantwortlichen<br />
gibt, der für „Enterprise Security“<br />
verantwortlich ist und die Integration<br />
der Sicherheitsmechanismen in die<br />
Geschäftsprozesse und die IuK-Systeme<br />
seiner Domäne vorantreibt.<br />
Klassifizierungshilfen<br />
Bei der Klassifizierung der Sicherheitseinrichtungen<br />
und beim Auffinden re-<br />
Das Thema in Kürze<br />
Bevor es an die Hardware-<strong>Auswahl</strong><br />
geht, sollten in einer Sicherheitskonzeption<br />
Prioritäten markiert und<br />
Grundanforderungen für den Einsatz<br />
<strong>von</strong> <strong>Firewall</strong>-Systemen beachtet<br />
werden. Ist ein Anforderungskatalog<br />
erstellt, muß sich der Anwender<br />
entscheiden, auf welcher Schicht<br />
des ISO-7-Schichtenmodells ein <strong>Firewall</strong>-System<br />
eingesetzt werden soll.<br />
Neben den Produkteigenschaften<br />
sollten Fragen des Supports in den<br />
Vergleich einfließen.<br />
22 NET 10/99
levanter Hersteller können die einschlägigen<br />
„Bunten Bücher“ des US-<br />
Verteidigungsministeriums (z.B. das<br />
Orange Book) einen Anhaltspunkt liefern.<br />
In Deutschland hat das Bundesamt<br />
für Sicherheit in der Informationsverarbeitung<br />
(BSI, www.bsi.de) das<br />
sogenannte IT-Grundschutzhandbuch<br />
herausgegeben und auf der Homepage<br />
auch eine <strong>Firewall</strong>studie publiziert,<br />
die allerdings bereits <strong>von</strong> 1997 datiert.<br />
Derartige Werke sind für Fachleute<br />
wie Kauffels umstritten, weil ihnen<br />
die Betrachtung dynamischer Komponenten<br />
völlig fehlt und Sicherheit im<br />
Grundanforderungen<br />
an <strong>Firewall</strong>-Systeme<br />
• Jeglicher Datenverkehr <strong>von</strong> innen<br />
nach außen (und umgekehrt)<br />
läuft über die <strong>Firewall</strong>.<br />
• Nur autorisierter Verkehr darf die<br />
<strong>Firewall</strong> passieren. Welcher Verkehr<br />
autorisiert ist, wird in einer<br />
Sicherheitspolitik definiert.<br />
• Die <strong>Firewall</strong> selbst ist gegen Angriffe<br />
weitestgehend resistent.<br />
Daher darf nach Möglichkeit nur<br />
fehlerfreie Software eingesetzt<br />
werden. Da jedes Programm aber<br />
potentiell Sicherheitslücken enthalten<br />
kann, dürfen nur die unbedingt<br />
notwendigen Programme<br />
auf der <strong>Firewall</strong> installiert<br />
werden. Dies bedeutet insbesondere,<br />
daß auf der <strong>Firewall</strong> weder<br />
graphische Oberflächen zur Verfügung<br />
stehen, noch daß gewöhnliche<br />
Benutzer Login-Möglichkeiten<br />
dort haben.<br />
• Alles was nicht ausdrücklich erlaubt<br />
ist, wird <strong>von</strong> der <strong>Firewall</strong> abgewiesen.<br />
• Die <strong>Firewall</strong> darf nur über einen<br />
vertrauenswürdigen Pfad administrierbar<br />
sein.<br />
Quelle: BSI-Studie „Gesicherte Verbindung<br />
<strong>von</strong> Computernetzen mit<br />
Hilfe einer <strong>Firewall</strong>“<br />
NET 10/99<br />
wesentlichen als die „Sicherheit der<br />
ruhenden Daten“ betrachtet wird.<br />
Das läßt aber gerade die Netze und<br />
die darin „reisenden Daten“ außer<br />
acht. Solche Kriterienkataloge und<br />
Studien können (wie auch unsere<br />
Marktübersicht) also letztlich nur Anhaltspunkte<br />
für die Planung geben.<br />
Anforderungskatalog erstellen<br />
Ein aus der Sicherheitsstrategie abgeleiteter,<br />
klipp und klar formulierter<br />
Anforderungskatalog steht am Anfang<br />
des <strong>Auswahl</strong>prozesses, denn oftmals<br />
fängt die Begriffsverwirrung<br />
schon beim Produktnamen <strong>Firewall</strong><br />
an. Damit wird heutzutage eine Vielzahl<br />
äußerst unterschiedlicher Produkte<br />
benannt.<br />
In den Herstellerverzeichnissen der<br />
einschlägigen Messen CeBIT, Systems,<br />
Exponet und InternetWorld tummeln<br />
sich weit über hundert Firmen, die<br />
entsprechende Produkte an den Kunden<br />
bringen wollen – <strong>von</strong> der israelischen<br />
Hightech-Schmiede über das<br />
kleine, aber feine Softwarehaus bis zu<br />
Weltkonzernen wie Nokia oder IBM.<br />
Oft verbirgt sich hinter einer großen<br />
Adresse das innovative Produkt eines<br />
frisch gestarteten Spezialisten – nur in<br />
anderer Verpackung. Die Flut der Produkte,<br />
die oftmals nur in unterschiedlicher<br />
Verpackung oder in unwesentlichen<br />
Variationen daherkommen, erschwert<br />
die <strong>Auswahl</strong> erheblich.<br />
Da hilft die Definition der beiden Autoren<br />
der vom BSI in Auftrag gegebenen<br />
Studie „Gesicherte Verbindung<br />
<strong>von</strong> Computernetzen mit Hilfe einer<br />
<strong>Firewall</strong>“, Andreas Bonnard und Christian<br />
Wolff vom Fachzentrum Sicherheit<br />
der Zentralabteilung Technik der<br />
Siemens AG in München. Danach ist<br />
eine <strong>Firewall</strong> eine Schutzmaßnahme,<br />
um den Übergang zwischen zwei<br />
Rechnernetzen abzusichern. „Durch<br />
technische und administrative Maßnahmen<br />
muß zugleich dafür gesorgt<br />
werden, daß jede Kommunikation<br />
zwischen den beiden Netzen über die<br />
<strong>Firewall</strong> geführt wird,“ stellen sie die<br />
zentrale Forderung jeder <strong>Firewall</strong>-Installation<br />
auf.<br />
Ziel dieser Maßnahme ist es im Standardfall,<br />
das interne Netz (normalerweise<br />
das Netz des Betreibers, der<br />
<strong>Auswahl</strong> <strong>von</strong> <strong>Firewall</strong>-<strong>Produkten</strong><br />
auch die <strong>Firewall</strong> installiert) vor Angriffen<br />
aus dem externen Netz zu schützen<br />
sowie unerwünschten Datenabfluß<br />
vom internen in das externe Netz<br />
zu verhindern.<br />
Bypässe unterbinden<br />
Gibt es Schleichwege in die geschützten<br />
Bereiche, ist die <strong>Firewall</strong> nicht<br />
mehr als eine Augenwischerei.<br />
Extern steht<br />
dabei im allgemeinen<br />
für<br />
die Kommunikationszugänge<br />
in den<br />
WAN-Bereich.<br />
Extern können<br />
bei In-<br />
Unter www.icsa.net/fwbg hat man Zugriff auf<br />
den <strong>Firewall</strong> Buyer`s Guide <strong>von</strong> ICSA, einem Unternehmen<br />
der Gartner Group, das nach aufwendigen<br />
Prüfungen im eigenen Labor Produktzertifikate<br />
vergibt.<br />
tranets auch die weniger geschützten<br />
Bereiche innerhalb eines internen Netzes<br />
sein, beispielsweise die häufig <strong>von</strong><br />
Außendienstmitarbeitern und Kunden<br />
besuchte Vertriebsabteilung, die sich<br />
schlecht schützen läßt. Auch ein Testnetz<br />
kann durch eine <strong>Firewall</strong> vom inneren<br />
Netz abgeschirmt werden.<br />
Der Schutz des inneren Netzes wird<br />
erreicht, indem unsichere Dienste<br />
durch die <strong>Firewall</strong> (sowohl <strong>von</strong> außen<br />
nach innen als auch umgekehrt, falls<br />
gewünscht) oder aber durch zusätzliche<br />
Maßnahmen abgesichert werden<br />
(z.B. Verschlüsselung). Zugriffskontrolle<br />
und Auditing sorgen zusätzlich<br />
dafür, daß das Prinzip der minimalen<br />
Rechte durchgesetzt wird und Angriffe<br />
durch entsprechende Protokollierung<br />
erkannt werden.<br />
23
<strong>Auswahl</strong> <strong>von</strong> <strong>Firewall</strong>-<strong>Produkten</strong><br />
Sicherheit auf<br />
verschiedenen Ebenen<br />
Die <strong>Firewall</strong> kann dabei auf den unterschiedlichsten<br />
Ebenen des ISO-7-<br />
Schichtenmodells arbeiten. Als unterste<br />
Schicht ist dabei Vermittlungsschicht<br />
mit dem IP-Protokoll sinnvoll.<br />
Ist der Zugriff <strong>von</strong> außen auf das Intranet<br />
nicht zulässig, kann so mit einfa-<br />
Selbst dort, wo Check Point nicht draufsteht, ist<br />
häufig die <strong>Firewall</strong>-1 des marktführenden Unternehmens<br />
drin (Foto: Check Point)<br />
chen Mitteln sehr preiswert ein wirksamer<br />
Basisschutz installiert werden,<br />
indem einfach aufgrund der bekannten<br />
MAC- und IP-Adresse der Zugriff<br />
erlaubt oder gesperrt wird. Ähnlich<br />
funktioniert das Prinzip auf der<br />
Schicht 4 mit dem TCP-Protokoll, auf<br />
Basis der TCP-Portnummer.<br />
Man spricht in diesen Fällen <strong>von</strong> Paketfiltern.<br />
Anfällig werden diese Paketfilter<br />
immer dann, wenn auch nur<br />
einigen wenigen Benutzeradressen<br />
der Zugriff aus dem externen auf das<br />
interne Netz erlaubt wird. Das führt<br />
z.B. zu den berüchtigten Spoofing-<br />
Angriffen, bei denen der <strong>Firewall</strong> eine<br />
autorisierte Quelladresse vorgespiegelt<br />
wird.<br />
Da heute aber der Zugriff auf das Internet<br />
gang und gäbe ist, sind Paketfilter,<br />
die üblicherweise bereits standardmäßig<br />
auf Routern oder ähnlichen<br />
Netzkomponenten installiert<br />
werden, vor allem zur Aufteilung des<br />
internen Netzes bzw. zur Schaffung<br />
virtueller Netze nützlich. Dabei ist der<br />
Unterschied zwischen simplen statischen<br />
Paketfiltern (die nur den Verkehr<br />
zwischen fest vorgegebenen<br />
Adreßpaaren kontrollieren) und auf-<br />
wendigeren dynamischen Filtern zu<br />
beachten, die den Socket gesendeter<br />
Datenpakete speichern und auf dieser<br />
Basis auch die sogenannten UDP-<br />
Dienste wie NFS oder RPC kontrollieren<br />
können, die keinen festen TCP-<br />
Port verwenden.<br />
Strenger als der Paketfilter arbeitet<br />
das Circuit-Relay, das die Relation zwischen<br />
TCP/IP-Endeinrichtungen als Basis<br />
der Schutzdefinition verwendet.<br />
Dazu wird festgelegt, wer mit wem,<br />
wie, wann und mit welchen Parametern<br />
kommunizieren darf. Es eignet<br />
sich hervorragend für Netze, in denen<br />
Benutzer sich ohne weitere Einschränkungen<br />
im Internet bewegen dürfen,<br />
jedoch nur bedingt, wenn Benutzer<br />
sich aus dem externen Netz in das interne<br />
Netze einschalten dürfen. Denn<br />
gegen gezielte Angriffe auf Anwendungen,<br />
zum Beispiel durch das Erzeugen<br />
offener Verbindungen, ist ein<br />
Circuit-Relay machtlos. Außerdem<br />
kann es ganz erheblich auf die Performance<br />
drücken. Dennoch: Für die Definition<br />
der Benutzerrechte im Intranet<br />
ist es ideal geeignet, da ein unbemerktes<br />
Durchbrechen der Abschottung<br />
<strong>von</strong> innen nur mit erheblichem<br />
Aufwand möglich und daher eher unwahrscheinlich<br />
ist.<br />
Die aufwendigste, aber auch sicherste<br />
Implementierung einer <strong>Firewall</strong> bilden<br />
die sogenannten Application Gateways,<br />
die ihre Kontrollen auf Anwendungsebene<br />
durchführen. Aufgrund<br />
der daraus resultierenden Leistungseinbuße<br />
(längere Antwortzeiten!)<br />
scheint es für die interne Organisation<br />
zu aufwendig, liefert aber für die Abschottung<br />
nach außen ein hohes Maß<br />
an Sicherheit und eine Plattform zur<br />
Implementierung weiterer Sicherheitsmechanismen,<br />
wie zum Beispiel die<br />
Verschlüsselung.<br />
Der Proxy als „Vorkoster“<br />
Ein Application Gateway sorgt für Sicherheit,<br />
indem es für die zu schützende<br />
Anwendung einen Proxy genannten<br />
vertrauenswürdigen Stellvertreter<br />
vorschaltet, mit dem jeder Anwender<br />
aus dem externen Netz<br />
zunächst verbunden wird. Der Proxy<br />
hat keine andere Aufgabe, als die<br />
schutzwürdigen Interna (z.B. IP- oder<br />
TCP-Adressen und andere Parameter)<br />
zu verbergen. Im schlimmsten Fall<br />
sollte ein Angreifer den Proxy zerstören<br />
können, beraubt sich aber damit<br />
der Brücke ins interne Netz. Die<br />
neue Generation dieser Gateways<br />
kontrolliert nicht nur statisch die eingehenden<br />
Anfragen, sondern wertet<br />
auch dynamisch die Verhaltensmuster<br />
<strong>von</strong> Sessions und Verbindungen aus.<br />
Für den Fall der Fälle kann zusätzlich<br />
auch ein Monitor eingesetzt werden,<br />
der den Datenverkehr zwischen externem<br />
Besucher und Proxy analysiert<br />
und bei Auffälligkeiten eingreift. Für<br />
solche und ähnliche Aufgaben gibt es<br />
mittlerweile eine ganze Reihe sogenannter<br />
Intrusion Detection Systeme –<br />
aber das ist ein anderes Thema.<br />
Alle Typen <strong>von</strong> <strong>Firewall</strong>s lassen sich<br />
auch noch in unterschiedlichster Art<br />
und Weise implementieren, wobei je<br />
nach Sicherheitsanforderung ein abgestufter<br />
Einsatz <strong>von</strong> Routern, <strong>Firewall</strong>s<br />
und auch Remote Access-Servern<br />
in Betracht kommt. Die sicherste<br />
aber auch aufwendigste Form der Implementierung<br />
ist die als „Dual Bastion<br />
Host“, die dem Umstand Rechnung<br />
trägt, daß eine <strong>Firewall</strong> ja auch<br />
aus dem internen Netz heraus angegriffen<br />
werden könnte. Dabei wird<br />
das Gateway an beiden Anschlüssen,<br />
zum internen und zum externen Netz,<br />
über Paketfilter geschützt, wobei der<br />
gesamte Datenverkehr zwischen beiden<br />
Netze alle drei Hürden überwinden<br />
muß.<br />
Auf gute Noten in der Produkt-Evaluierung der<br />
META Group kam auch Axent mit Raptor<br />
(Foto: Axent)<br />
24 NET 10/99
Allein diese grobe Klassifizierung hilft<br />
bei der Produktauswahl noch wenig<br />
weiter. Dazu ist die Zahl und Unterschiedlichkeit<br />
der Produkte einfach zu<br />
groß. Erschwerend kommt hinzu:<br />
Marktführende Hersteller in dem Sinne,<br />
daß sie auf wirklich große Installationszahlen<br />
verweisen könnten, gibt<br />
es noch nicht – und damit auch keine<br />
üblichen Installationsverfahren im Sinne<br />
<strong>von</strong> „Kochrezepten“, die man<br />
übernehmen könnte. Deshalb bleibt<br />
eine <strong>Firewall</strong> auf absehbare Zeit eine<br />
höchst firmenspezifische Komponente,<br />
deren <strong>Auswahl</strong> und Einsatz sorgfältig<br />
geplant werden muß.<br />
<strong>Firewall</strong>-Fallunterscheidungen<br />
Die Rolle der <strong>Firewall</strong> als „Single Point<br />
of Failure“ und auch als potentieller<br />
Engpaß steht konträr zur Forderung<br />
<strong>von</strong> Sicherheitsexperten wie Weidenhammer,<br />
daß sie für die User möglichst<br />
unsichtbar bleibt, abgesehen <strong>von</strong><br />
etwaigen Kontrollen auf Benutzerebene.<br />
Das heißt: Gefordert ist eine<br />
Skalierbarkeit der Performance, eventuell<br />
sogar durch Lastverteilung in einem<br />
<strong>Firewall</strong>-Verbund, und eine hohe<br />
Ausfallsicherheit durch redundante<br />
Auslegung und variable Backup-Konzepte.<br />
Hier unterscheiden sich die Produkte<br />
prinzipiell, die teilweise als Box<br />
und teilweise als Software-Paket daherkommen.<br />
Stellt sich bei einer Box immer die Frage<br />
nach der Erweiterbarkeit und auch<br />
nach den Anschlußmöglichkeiten, gilt<br />
es bei bei den Software-Paketen auf<br />
die Wahl der Serverplattform zu achten.<br />
Denn die <strong>Firewall</strong> ist nur so sicher<br />
wie der Server, auf dem sie läuft – und<br />
gerade Unix- und Windows-NT-Betriebssysteme<br />
sind ja für ihre weithin<br />
bekannten Sicherheitslücken berüchtigt.<br />
Die Wahl einer Standardplattform<br />
als Basis erleichtert jedoch später<br />
die Ergänzung weiterer Sicherheitspakete<br />
auf dem System.<br />
Nicht zu unterschätzen sind Probleme,<br />
die man sich durch eine umständliche<br />
Administration einhandeln kann. Ohne<br />
einfache Konfiguration und Kontrolle<br />
der <strong>Firewall</strong> wird die Sicherheit<br />
auf Dauer nicht zu gewährleisten sein;<br />
auch aus diesem Grunde spielt die<br />
Integrationsmöglichkeit in eventuell<br />
NET 10/99<br />
schon vorhandene System- und<br />
Netzmanagement-Suites eine entscheidende<br />
Rolle, aus denen beispielsweise<br />
Benutzerprofile oder Konfigurationsdaten<br />
übernommen werden können<br />
und über die eine zentrale Alarmierung<br />
erfolgen kann.<br />
Die Spreu vom Weizen unter den <strong>Firewall</strong>s<br />
trennt sich schließlich bei der<br />
Authentisierung der externen Zugänge<br />
sowie bei den übrigen Kernfunktionen<br />
Überwachung, Logging und<br />
Alarmierung. Und nicht zu vergessen:<br />
Nur die vollständige Verdeckung der<br />
internen Adressen und sonstigen Informationen<br />
über interne Ressourcen<br />
sorgt für Sicherheit, also die konsequente<br />
Umsetzung wirklich aller internen<br />
Adressen. Aufpassen muß man<br />
beim Einsatz der häufig mit der <strong>Firewall</strong><br />
einhergehenden Verschlüsselungssysteme,<br />
denn hier fehlen Standards.<br />
Zudem erweisen sie sich als leistungsschwach<br />
oder proprietär – im<br />
schlimmsten Fall beides. Es kann also<br />
durchaus passieren, daß die Verschlüsselung<br />
nur dann funktioniert,<br />
wenn ausschließlich Systeme eines<br />
Herstellers eingesetzt werden.<br />
Mehr als eine Hardware-Frage<br />
Angesichts dieser mehr als bunten<br />
Vielfalt des Marktes empfiehlt die ME-<br />
TA Group in ihrem „<strong>Firewall</strong> Evaluation<br />
Report 1999“, bei der Herstellerauswahl<br />
neben den reinen Produkt-<br />
Features auch Fragen des Produkt-<br />
Supports, der Verfügbarkeit <strong>von</strong> Professional<br />
Services und des Verbreitungsgrades<br />
zu stellen. Dazu kommt<br />
noch, daß es insbesondere bei indirekt<br />
vertreibenden Herstellern <strong>von</strong> entscheidender<br />
Bedeutung ist, daß bei<br />
der <strong>Auswahl</strong> des entsprechenden<br />
Händlers bzw. Systemhauses oder Systemintegrators<br />
die gleichen Maßstäbe<br />
angelegt werden.<br />
Dieser Untersuchungsbericht wurde<br />
<strong>von</strong> der META Group Deutschland in<br />
Zusammenarbeit mit der DETECON,<br />
der DeTeSystem und der Deutschen<br />
Telekom AG erstellt. Der Aufwand für<br />
die Evaluierung lag bei zwei Mannjahren,<br />
ein Maß für den Detaillierungsgrad<br />
dieser Untersuchungen. Alle Ergebnisse<br />
wurden anhand <strong>von</strong> realen<br />
Messungen gewonnen, basieren also<br />
<strong>Auswahl</strong> <strong>von</strong> <strong>Firewall</strong>-<strong>Produkten</strong><br />
nicht auf Herstellerangaben. Die <strong>Firewall</strong>s<br />
wurden anhand <strong>von</strong> ca. 300 Kriterien<br />
in 15 Gruppen bewertet.<br />
Entsprechend der Vielzahl der Entscheidungsfaktoren,<br />
die selbst diese<br />
aufwendige Studie wohl nicht komplett<br />
widerspiegelt, können die Ergebnisse<br />
des <strong>Auswahl</strong>prozesses je nach<br />
Firma stark unterschiedlich ausfallen,<br />
da natürlich auch Faktoren wie An-<br />
Blick auf die Bedienoberfläche <strong>von</strong> Gauntlet<br />
(Quelle: Network Associates)<br />
zahl der Standorte, Anzahl der User<br />
usw. Einfluß auf das zu wählende Produkt<br />
haben.<br />
Diese produktexternen Faktoren<br />
scheinen umso wichtiger, als beim<br />
Vergleich der Bewertung der fünf <strong>Firewall</strong>-Anbieter<br />
durch die Anwender<br />
mit dem Feature-Vergleich der META<br />
Group deutliche Unterschiede auffallen.<br />
So schneiden Check Point und<br />
Axent bei der reinen Produktevaluation<br />
am besten ab, aber trotzdem wird<br />
die Leistungsfähigkeit der beiden Unternehmen<br />
<strong>von</strong> den Anwendern doch<br />
recht unterschiedlich eingeschätzt.<br />
Hier zahlt sich die marktführende Stellung<br />
<strong>von</strong> Check Point aus. Im Vergleich<br />
dazu wird Cisco im reinen Produktvergleich<br />
mit PIX als schlechtester<br />
Anbieter bewertet, hingegen bewerten<br />
die Anwender die generelle Leistungsfähigkeit<br />
<strong>von</strong> Cisco recht positiv.<br />
Im übrigen waren die AltaVista <strong>Firewall</strong><br />
98 und Sun Microsystems Sun-<br />
Screen EFS in die Studie einbezogen.<br />
Andere Quellen zählen neben Check<br />
Point, Cisco und Axent die Firmen<br />
Network Associates (mit Gauntlet),<br />
Secure Computing (mit SideWinder)<br />
sowie die Aachener Firma Krypto-<br />
Kom – neuerdings zu Utimaco<br />
gehörig – (mit KryptoWall) auch zu<br />
den führenden Anbietern in Deutschland.<br />
(bac)<br />
25
<strong>Auswahl</strong> <strong>von</strong> <strong>Firewall</strong>-<strong>Produkten</strong><br />
Hersteller 1) Produkt Server-Plattform/ Informationen im Internet<br />
Betriebssystem<br />
3COM PathBuilder S500, NETBuilder proprietär www.3com.com, www.3com.de<br />
AltaVista 2) <strong>Firewall</strong> 98 NT, Tru64 Unix www.altavista.software.digital.com<br />
Ascend Communications 3) Pipeline Router Plus proprietär www.ascend.com<br />
Axent Raptor <strong>Firewall</strong> Solaris, NT, HP-Unix www.axent.com<br />
Biodata Information Technology BIGfire+ Office, Enterprise, VPN proprietär www.biodata.de<br />
BorderWare Technologies <strong>Firewall</strong> Server V6 FreeBSD www.borderware.com<br />
Bull NetWall AIX www.bull.com<br />
Check Point Software Technologies <strong>Firewall</strong>-1, VPN-1 Solaris, NT, HP-Unix, AIX www3.checkpoint.com<br />
Cisco Systems PIX 515, PIX 520,<br />
IOS <strong>Firewall</strong> Feature Set<br />
proprietär, IOS www.cisco.com, www.cisco.de<br />
Com21 Office Cable Modem proprietär www.com21.com<br />
Computer Associates Unicenter TNG Network Security<br />
Options, GuardIT<br />
Solaris, NT www.cai.com<br />
CyberGuard <strong>Firewall</strong> for NT and UnixWare NT, UnixWare www.cyberguardcorp.com<br />
eSoft IPAD Proprietär www.esoft.com<br />
Elron Software Elron <strong>Firewall</strong> NT www.elronsoftware.com<br />
GenNet Technology WebGuard Solaris www.gennet.com<br />
Genua GeNuGate BSD www.genua.de<br />
Global Technology GNAT Box proprietär www.gta.com<br />
IBM eNetwork <strong>Firewall</strong>, <strong>Firewall</strong> for AIX NT, AIX www.software.ibm.com/security/<br />
firewall<br />
ID-Pro SiteConnection Box Linux www.id-pro.de<br />
Internet Devices 4) Ft. Knox proprietär www.ind.alcatel.com<br />
Internet Dynamics Conclave NT www.interdyn.com<br />
Kryptokom 5) KryptoWALL Unix-basierter Application Gateway www.kryptokom.de<br />
Lucent Technologies Lucent Managed <strong>Firewall</strong> <strong>Firewall</strong>: Lucent INFERNO<br />
(proprietär), Management: NT,<br />
Solaris<br />
www.lucent.com, www.lucent.de<br />
Matranet M>Wall 4 NT, Solaris Spark 2.6, Unix BSDI<br />
Intel<br />
www.matranet.com<br />
MCI Worldcom<br />
Advanced Networks<br />
Interlock Solaris www.ans.net<br />
Milkyway Networks SecurIT <strong>Firewall</strong> Sun OS www.milkyway.com<br />
Netguard Guardian NT www.netguard.com<br />
NetScreen Technologies NetScreen proprietär www.netscreen.com<br />
Network-1 Security Solutions CyberwallPLUS NT www.network-1.com<br />
Network Associates Gauntlet NT www.nai.com/asp_set/products/<br />
tns/gauntlet.asp<br />
Nokia VPN200, IP300, IP400, IP600 IPSO (Unix-Derivat) www.iprg.nokia.com<br />
Norman <strong>Firewall</strong> for NT NT www.norman.de<br />
Nortel Networks BaySecure proprietär www.nortelnetworks.com<br />
Novell Border Manager Netware www.novell.com<br />
Secure Computing Sidewinder, SecureZone BSD, proprietär www.securecomputing.com<br />
Shiva Corporation InfoCrypt proprietär www.shiva.com<br />
Signal 9 ConSeal PC-<strong>Firewall</strong> NT, Windows 95/98 www.signal9.de<br />
Sonic Systems SonicWALL proprietär www.sonicsys.com<br />
Sun Microsystems SunScreen EFS proprietär www.sun.com<br />
Technologie Interceptor <strong>Firewall</strong> Appliance BSDI www.tlogic.com<br />
WatchGuard LiveSecurity System proprietär www.watchguard.com<br />
1) Neben den eigenen Niederlassungen in Deutschland vertreiben die Hersteller ihre Produkte über Distributoren und Lösungsanbieter.<br />
Meist sind die Partnerfirmen über die Internet-Präsenz der Hersteller abrufbar<br />
2) AltaVista, früher zu Compaq gehörig, wurde 8/99 <strong>von</strong> Axent übernommen<br />
3) jetzt bei Lucent Technologies<br />
4) Unternehmen wurde <strong>von</strong> Alcatel übernommen<br />
5) Von Utimaco übernommen<br />
Anbieterübersicht <strong>Firewall</strong>s. Alle Angaben beruhen auf Mitteilungen der Hersteller/Anbieter.<br />
26 NET 10/99