Auswahl von Firewall-Produkten



Ähnliche Dokumente
How-to: Webserver NAT. Securepoint Security System Version 2007nx

ISA Server 2004 Erstellen eines neuen Netzwerkes - Von Marc Grote

Folgende Einstellungen sind notwendig, damit die Kommunikation zwischen Server und Client funktioniert:

Virtual Private Network

2 Die Terminaldienste Prüfungsanforderungen von Microsoft: Lernziele:

Lineargleichungssysteme: Additions-/ Subtraktionsverfahren

Analyse zum Thema: Laufzeit von Support-Leistungen für ausgewählte Server OS

Guide DynDNS und Portforwarding

Daten Monitoring und VPN Fernwartung

EDI Connect goes BusinessContact V2.1

Anbindung des eibport an das Internet

Lexware professional und premium setzen bis einschließlich Version 2012 den Sybase SQL-Datenbankserver

Reporting Services und SharePoint 2010 Teil 1

Konzentration auf das. Wesentliche.

Virtual Private Network

Anleitung zum Computercheck Windows Firewall aktivieren oder eine kostenlose Firewall installieren

HTBVIEWER INBETRIEBNAHME

Step by Step Webserver unter Windows Server von Christian Bartl

Albert HAYR Linux, IT and Open Source Expert and Solution Architect. Open Source professionell einsetzen

ANYWHERE Zugriff von externen Arbeitsplätzen

ICS-Addin. Benutzerhandbuch. Version: 1.0

Research Note zum Thema: Laufzeit von Support-Leistungen für Server OS

Endpoint Web Control Übersichtsanleitung. Sophos Web Appliance Sophos Enterprise Console Sophos Endpoint Security and Control

Proxy. Krishna Tateneni Übersetzer: Stefan Winter

Endpoint Web Control Übersichtsanleitung

Auftrag zum Erwerb und zur Einrichtung von Fernverbindungen Version 1 Version 2 Version 3 Allgemeines

Verwendung des IDS Backup Systems unter Windows 2000

Lizenzen auschecken. Was ist zu tun?

Fehler und Probleme bei Auswahl und Installation eines Dokumentenmanagement Systems

Folgende Voraussetzungen für die Konfiguration müssen erfüllt sein: - Ein Bootimage ab Version Optional einen DHCP Server.

Datensicherung. Beschreibung der Datensicherung

Einrichtung des Cisco VPN Clients (IPSEC) in Windows7

Tutorial -

ISA Server 2004 stellt verschiedene Netzwerkvorlagen zur Einrichtung einer sicheren Infrastruktur zur Verfügung:

OP-LOG

Windows wird nicht mehr unterstützt Was bedeutet das? Was muss unternommen werden? Compi-Treff vom 9. Mai 2014 Thomas Sigg

Konfiguration VLAN's. Konfiguration VLAN's IACBOX.COM. Version Deutsch

Telekommunikationsmanagement

Eva Douma: Die Vorteile und Nachteile der Ökonomisierung in der Sozialen Arbeit

Abgesetzte Nebenstelle TECHNIK-TIPPS VON per VPN

Firewalls für Lexware Info Service konfigurieren

Windows 8 Lizenzierung in Szenarien

Konfiguration von Exchange 2000 zum versenden und empfangen von Mails & Lösung des SEND after POP Problems

Stammdaten Auftragserfassung Produktionsbearbeitung Bestellwesen Cloud Computing

Secure Network Communications (BC-SEC-SNC)

Virtual Private Network. David Greber und Michael Wäger

Technische Grundlagen von Internetzugängen

COMPUTER MULTIMEDIA SERVICE

Collax PPTP-VPN. Howto

SICHERN DER FAVORITEN

Installationsanleitung dateiagent Pro

Mobile Intranet in Unternehmen

Formular»Fragenkatalog BIM-Server«

Windows 10 > Fragen über Fragen

Cookies. Krishna Tateneni Jost Schenck Übersetzer: Jürgen Nagel

Was ist clevere Altersvorsorge?

Inhalt. 1 Einleitung AUTOMATISCHE DATENSICHERUNG AUF EINEN CLOUDSPEICHER

Inhaltsverzeichnis. 1. Remote Access mit SSL VPN

FTP-Leitfaden RZ. Benutzerleitfaden

IBM Software Demos Tivoli Provisioning Manager for OS Deployment

Anleitung zum DKM-Computercheck Windows Defender aktivieren

Einrichtung einer VPN-Verbindung (PPTP) unter Windows XP

Root-Server für anspruchsvolle Lösungen

Inkrementelles Backup

IAC-BOX Netzwerkintegration. IAC-BOX Netzwerkintegration IACBOX.COM. Version Deutsch

Windows 10 Sicherheit im Überblick

WLAN Konfiguration. Michael Bukreus Seite 1

VPN/WLAN an der Universität Freiburg

Einsatz mobiler Endgeräte

Professionelle Seminare im Bereich MS-Office

Firewalls für Lexware Info Service konfigurieren

Handbuch B4000+ Preset Manager

Diese Anleitung enthält Anweisungen, die nur durch erfahrene Anwender durchgeführt werden sollten!

(Hinweis: Dieses ist eine Beispielanleitung anhand vom T-Sinus 154 Komfort, T-Sinus 154 DSL/DSL Basic (SE) ist identisch)

4D Server v12 64-bit Version BETA VERSION

How-to: Mailrelay und Spam Filter. Securepoint Security System Version 2007nx

Ihr Weg in die Suchmaschinen

Online Newsletter III

Hilfestellung. ALL500VDSL2 Rev.B & ALL02400N. Zugriff aus dem Internet / Portweiterleitung / Fernwartung. Router. Endgeräte. lokales.

Installation und Inbetriebnahme von SolidWorks

Einrichtung von VPN-Verbindungen unter Windows NT

.htaccess HOWTO. zum Schutz von Dateien und Verzeichnissen mittels Passwortabfrage

Installation des Authorware Webplayers für den Internet Explorer unter Windows Vista

Content Management System mit INTREXX 2002.

Datensicherung EBV für Mehrplatz Installationen

SharePoint Demonstration

How-to: VPN mit IPSec und Gateway to Gateway. Securepoint Security System Version 2007nx

Konfigurationsanleitung Network Address Translation (NAT) Funkwerk. Seite Copyright Stefan Dahler Oktober 2008 Version 1.

Windows Server 2012 RC2 konfigurieren

Der schnelle Weg zu Ihrer eigenen App

Cisco Academy an der FH Aachen Fachbereich Elektrotechnik und Informatik

I N F O R M A T I O N V I R T U A L I S I E R U N G. Wir schützen Ihre Unternehmenswerte

AGROPLUS Buchhaltung. Daten-Server und Sicherheitskopie. Version vom b

Anleitung zur Nutzung des SharePort Utility

Cisco Security Monitoring, Analysis & Response System (MARS)

Netzwerkeinstellungen unter Mac OS X

Ihre Interessentendatensätze bei inobroker. 1. Interessentendatensätze

Transkript:

THEMENSCHWERPUNKT SICHERHEIT IN NETZEN Auswahl von Firewall-Produkten Mit Sicherheitsprodukten zu geschützten Firmennetzen Berthold Wesseler Können Nutzer von Firewall-Produkten ruhig schlafen? Zumindest ruhiger als Ignoranten der elektronischen Brandmauern. Doch ob eine Firewall die Erwartungen an die Datensicherung erfüllt, hängt neben den Produkteigenschaften auch vom Einsatzszenario ab. In einer Marktübersicht werden Herstellerangaben zusammengefaßt und Wege zu den Anbietern geebnet. Gesamtergebnis einer Evaluierung von Firewall- Produkten marktführender Hersteller (Erfüllungsgrad der Anforderungen in Prozent) (Quelle: META Group, DETECON, DeTeSystem, DTAG) Berthold Wesseler ist freier Journalist in Brühl Nach dem Kauf von Firewalls darf sich niemand in falscher Sicherheit wiegen. Denn damit beginnt erst die eigentliche Arbeit beim Aufbau elektronischer Schutzwälle um das Unternehmensnetz, erklärt Sicherheitsexperte Detlef Weidenhammer. Dabei geht es darum, die Firewall in das Netz der Mail-, Groupware- und Web- Server sowie der Applikationssysteme zu integrieren und die notwendigen Security Policies zu implementieren, die dann auch ständig weiter gepflegt und angepaßt werden müssen. Politikerschelte Das kann schnell zur Sisyphusarbeit werden, wenn das Fundament fehlt, auf dem die Brandmauer gezogen werden sollte. Also zahlt es sich aus, auch schon vor dem Kauf der Firewall Arbeit zu investieren, insbesondere in den Aufbau einer unternehmensweit gültigen und auch praktizierten Sicherheitspolitik. Ihr Fehlen ist nach den im zweijährigen Turnus durchgeführten Sicherheitsstudien der Zeitschrift KES aber immer noch das größte Hemmnis bei der Verbesserung der IT-Sicherheit. Neben dem sich darin manifestierenden Mangel an Sicherheitsbewußtsein fehlt es nach der Erfahrung von Insidern wie Dr. Franz-Joachim Kauffels aber häufig auch an kompetenten Mitarbeitern und am Geld, um die seiner Meinung nach unverzichtbaren Vorarbeiten durchzuführen: Eine Risikoanalyse, die daraus abgeleitete Definition von Sicherungsbereichen (z.b. Vertrieb, Entwicklung, FiBu, Personal) und der für sie erforderlichen Sicherheitsstufen und schließlich eine Feinabstimmung der Sicherheitsprofile auf alle Ressourcen und Personen. In diese Sicherheitsstrategie kann dann die Kaufentscheidung der Firewall eingebettet werden, denn erst daraus läßt sich der Anforderungskatalog der Produkteigenschaften ableiten. Auch die Berater der META Group sind der Ansicht, daß der Ausgangspunkt aller Implementierungsprojekte zur Erhöhung der Unternehmenssicherheit die Analyse des Ist-Zustandes und die Aufstellung von verbindlichen Regeln auf verschiedenen Ebenen sein muß. Wichtig sei es, die Komplexität zu reduzieren, d.h. das Unternehmen als Ganzes in überschaubare Einheiten sogenannte Domänen aufzuteilen. Ob dies auf geographischer, technologischer oder organisatorischer Ebene gemacht wird, bleibt letztlich zweitrangig. Wichtig ist, daß es pro Domäne einen Verantwortlichen gibt, der für Enterprise Security verantwortlich ist und die Integration der Sicherheitsmechanismen in die Geschäftsprozesse und die IuK-Systeme seiner Domäne vorantreibt. Klassifizierungshilfen Bei der Klassifizierung der Sicherheitseinrichtungen und beim Auffinden re- Das Thema in Kürze Bevor es an die Hardware-Auswahl geht, sollten in einer Sicherheitskonzeption Prioritäten markiert und Grundanforderungen für den Einsatz von Firewall-Systemen beachtet werden. Ist ein Anforderungskatalog erstellt, muß sich der Anwender entscheiden, auf welcher Schicht des ISO-7-Schichtenmodells ein Firewall-System eingesetzt werden soll. Neben den Produkteigenschaften sollten Fragen des Supports in den Vergleich einfließen. 22 NET 10/99

levanter Hersteller können die einschlägigen Bunten Bücher des US- Verteidigungsministeriums (z.b. das Orange Book) einen Anhaltspunkt liefern. In Deutschland hat das Bundesamt für Sicherheit in der Informationsverarbeitung (BSI, www.bsi.de) das sogenannte IT-Grundschutzhandbuch herausgegeben und auf der Homepage auch eine Firewallstudie publiziert, die allerdings bereits von 1997 datiert. Derartige Werke sind für Fachleute wie Kauffels umstritten, weil ihnen die Betrachtung dynamischer Komponenten völlig fehlt und Sicherheit im Grundanforderungen an Firewall-Systeme Jeglicher Datenverkehr von innen nach außen (und umgekehrt) läuft über die Firewall. Nur autorisierter Verkehr darf die Firewall passieren. Welcher Verkehr autorisiert ist, wird in einer Sicherheitspolitik definiert. Die Firewall selbst ist gegen Angriffe weitestgehend resistent. Daher darf nach Möglichkeit nur fehlerfreie Software eingesetzt werden. Da jedes Programm aber potentiell Sicherheitslücken enthalten kann, dürfen nur die unbedingt notwendigen Programme auf der Firewall installiert werden. Dies bedeutet insbesondere, daß auf der Firewall weder graphische Oberflächen zur Verfügung stehen, noch daß gewöhnliche Benutzer Login-Möglichkeiten dort haben. Alles was nicht ausdrücklich erlaubt ist, wird von der Firewall abgewiesen. Die Firewall darf nur über einen vertrauenswürdigen Pfad administrierbar sein. Quelle: BSI-Studie Gesicherte Verbindung von Computernetzen mit Hilfe einer Firewall wesentlichen als die Sicherheit der ruhenden Daten betrachtet wird. Das läßt aber gerade die Netze und die darin reisenden Daten außer acht. Solche Kriterienkataloge und Studien können (wie auch unsere Marktübersicht) also letztlich nur Anhaltspunkte für die Planung geben. Anforderungskatalog erstellen Ein aus der Sicherheitsstrategie abgeleiteter, klipp und klar formulierter Anforderungskatalog steht am Anfang des Auswahlprozesses, denn oftmals fängt die Begriffsverwirrung schon beim Produktnamen Firewall an. Damit wird heutzutage eine Vielzahl äußerst unterschiedlicher Produkte benannt. In den Herstellerverzeichnissen der einschlägigen Messen CeBIT, Systems, Exponet und InternetWorld tummeln sich weit über hundert Firmen, die entsprechende Produkte an den Kunden bringen wollen von der israelischen Hightech-Schmiede über das kleine, aber feine Softwarehaus bis zu Weltkonzernen wie Nokia oder IBM. Oft verbirgt sich hinter einer großen Adresse das innovative Produkt eines frisch gestarteten Spezialisten nur in anderer Verpackung. Die Flut der Produkte, die oftmals nur in unterschiedlicher Verpackung oder in unwesentlichen Variationen daherkommen, erschwert die Auswahl erheblich. Da hilft die Definition der beiden Autoren der vom BSI in Auftrag gegebenen Studie Gesicherte Verbindung von Computernetzen mit Hilfe einer Firewall, Andreas Bonnard und Christian Wolff vom Fachzentrum Sicherheit der Zentralabteilung Technik der Siemens AG in München. Danach ist eine Firewall eine Schutzmaßnahme, um den Übergang zwischen zwei Rechnernetzen abzusichern. Durch technische und administrative Maßnahmen muß zugleich dafür gesorgt werden, daß jede Kommunikation zwischen den beiden Netzen über die Firewall geführt wird, stellen sie die zentrale Forderung jeder Firewall-Installation auf. Ziel dieser Maßnahme ist es im Standardfall, das interne Netz (normalerweise das Netz des Betreibers, der auch die Firewall installiert) vor Angriffen aus dem externen Netz zu schützen sowie unerwünschten Datenabfluß vom internen in das externe Netz zu verhindern. Bypässe unterbinden Unter www.icsa.net/fwbg hat man Zugriff auf den Firewall Buyer`s Guide von ICSA, einem Unternehmen der Gartner Group, das nach aufwendigen Prüfungen im eigenen Labor Produktzertifikate vergibt. Gibt es Schleichwege in die geschützten Bereiche, ist die Firewall nicht mehr als eine Augenwischerei. Extern steht dabei im allgemeinen für die Kommunikationszugänge in den WAN-Bereich. Extern können bei Intranets auch die weniger geschützten Bereiche innerhalb eines internen Netzes sein, beispielsweise die häufig von Außendienstmitarbeitern und Kunden besuchte Vertriebsabteilung, die sich schlecht schützen läßt. Auch ein Testnetz kann durch eine Firewall vom inneren Netz abgeschirmt werden. Der Schutz des inneren Netzes wird erreicht, indem unsichere Dienste durch die Firewall (sowohl von außen nach innen als auch umgekehrt, falls gewünscht) oder aber durch zusätzliche Maßnahmen abgesichert werden (z.b. Verschlüsselung). Zugriffskontrolle und Auditing sorgen zusätzlich dafür, daß das Prinzip der minimalen Rechte durchgesetzt wird und Angriffe durch entsprechende Protokollierung erkannt werden. NET 10/99 23

Sicherheit auf verschiedenen Ebenen Selbst dort, wo Check Point nicht draufsteht, ist häufig die Firewall-1 des marktführenden Unternehmens drin (Foto: Check Point) Die Firewall kann dabei auf den unterschiedlichsten Ebenen des ISO-7- Schichtenmodells arbeiten. Als unterste Schicht ist dabei Vermittlungsschicht mit dem IP-Protokoll sinnvoll. Ist der Zugriff von außen auf das Intranet nicht zulässig, kann so mit einfachen Mitteln sehr preiswert ein wirksamer Basisschutz installiert werden, indem einfach aufgrund der bekannten MAC- und IP-Adresse der Zugriff erlaubt oder gesperrt wird. Ähnlich funktioniert das Prinzip auf der Schicht 4 mit dem TCP-Protokoll, auf Basis der TCP-Portnummer. Man spricht in diesen Fällen von Paketfiltern. Anfällig werden diese Paketfilter immer dann, wenn auch nur einigen wenigen Benutzeradressen der Zugriff aus dem externen auf das interne Netz erlaubt wird. Das führt z.b. zu den berüchtigten Spoofing- Angriffen, bei denen der Firewall eine autorisierte Quelladresse vorgespiegelt wird. Da heute aber der Zugriff auf das Internet gang und gäbe ist, sind Paketfilter, die üblicherweise bereits standardmäßig auf Routern oder ähnlichen Netzkomponenten installiert werden, vor allem zur Aufteilung des internen Netzes bzw. zur Schaffung virtueller Netze nützlich. Dabei ist der Unterschied zwischen simplen statischen Paketfiltern (die nur den Verkehr zwischen fest vorgegebenen Adreßpaaren kontrollieren) und aufwendigeren dynamischen Filtern zu beachten, die den Socket gesendeter Datenpakete speichern und auf dieser Basis auch die sogenannten UDP- Dienste wie NFS oder RPC kontrollieren können, die keinen festen TCP- Port verwenden. Strenger als der Paketfilter arbeitet das Circuit-Relay, das die Relation zwischen TCP/IP-Endeinrichtungen als Basis der Schutzdefinition verwendet. Dazu wird festgelegt, wer mit wem, wie, wann und mit welchen Parametern kommunizieren darf. Es eignet sich hervorragend für Netze, in denen Benutzer sich ohne weitere Einschränkungen im Internet bewegen dürfen, jedoch nur bedingt, wenn Benutzer sich aus dem externen Netz in das interne Netze einschalten dürfen. Denn gegen gezielte Angriffe auf Anwendungen, zum Beispiel durch das Erzeugen offener Verbindungen, ist ein Circuit-Relay machtlos. Außerdem kann es ganz erheblich auf die Performance drücken. Dennoch: Für die Definition der Benutzerrechte im Intranet ist es ideal geeignet, da ein unbemerktes Durchbrechen der Abschottung von innen nur mit erheblichem Aufwand möglich und daher eher unwahrscheinlich ist. Die aufwendigste, aber auch sicherste Implementierung einer Firewall bilden die sogenannten Application Gateways, die ihre Kontrollen auf Anwendungsebene durchführen. Aufgrund der daraus resultierenden Leistungseinbuße (längere Antwortzeiten!) scheint es für die interne Organisation zu aufwendig, liefert aber für die Abschottung nach außen ein hohes Maß an Sicherheit und eine Plattform zur Implementierung weiterer Sicherheitsmechanismen, wie zum Beispiel die Verschlüsselung. Der Proxy als Vorkoster Ein Application Gateway sorgt für Sicherheit, indem es für die zu schützende Anwendung einen Proxy genannten vertrauenswürdigen Stellvertreter vorschaltet, mit dem jeder Anwender aus dem externen Netz zunächst verbunden wird. Der Proxy hat keine andere Aufgabe, als die schutzwürdigen Interna (z.b. IP- oder TCP-Adressen und andere Parameter) zu verbergen. Im schlimmsten Fall sollte ein Angreifer den Proxy zerstören können, beraubt sich aber damit der Brücke ins interne Netz. Die neue Generation dieser Gateways kontrolliert nicht nur statisch die eingehenden Anfragen, sondern wertet auch dynamisch die Verhaltensmuster von Sessions und Verbindungen aus. Für den Fall der Fälle kann zusätzlich auch ein Monitor eingesetzt werden, der den Datenverkehr zwischen externem Besucher und Proxy analysiert und bei Auffälligkeiten eingreift. Für solche und ähnliche Aufgaben gibt es mittlerweile eine ganze Reihe sogenannter Intrusion Detection Systeme aber das ist ein anderes Thema. Alle Typen von Firewalls lassen sich auch noch in unterschiedlichster Art und Weise implementieren, wobei je nach Sicherheitsanforderung ein abgestufter Einsatz von Routern, Firewalls und auch Remote Access-Servern in Betracht kommt. Die sicherste aber auch aufwendigste Form der Implementierung ist die als Dual Bastion Host, die dem Umstand Rechnung trägt, daß eine Firewall ja auch aus dem internen Netz heraus angegriffen werden könnte. Dabei wird das Gateway an beiden Anschlüssen, zum internen und zum externen Netz, über Paketfilter geschützt, wobei der gesamte Datenverkehr zwischen beiden Netze alle drei Hürden überwinden muß. Auf gute Noten in der Produkt-Evaluierung der META Group kam auch Axent mit Raptor (Foto: Axent) 24 NET 10/99

Allein diese grobe Klassifizierung hilft bei der Produktauswahl noch wenig weiter. Dazu ist die Zahl und Unterschiedlichkeit der Produkte einfach zu groß. Erschwerend kommt hinzu: Marktführende Hersteller in dem Sinne, daß sie auf wirklich große Installationszahlen verweisen könnten, gibt es noch nicht und damit auch keine üblichen Installationsverfahren im Sinne von Kochrezepten, die man übernehmen könnte. Deshalb bleibt eine Firewall auf absehbare Zeit eine höchst firmenspezifische Komponente, deren Auswahl und Einsatz sorgfältig geplant werden muß. Firewall-Fallunterscheidungen Die Rolle der Firewall als Single Point of Failure und auch als potentieller Engpaß steht konträr zur Forderung von Sicherheitsexperten wie Weidenhammer, daß sie für die User möglichst unsichtbar bleibt, abgesehen von etwaigen Kontrollen auf Benutzerebene. Das heißt: Gefordert ist eine Skalierbarkeit der Performance, eventuell sogar durch Lastverteilung in einem Firewall-Verbund, und eine hohe Ausfallsicherheit durch redundante Auslegung und variable Backup-Konzepte. Hier unterscheiden sich die Produkte prinzipiell, die teilweise als Box und teilweise als Software-Paket daherkommen. Stellt sich bei einer Box immer die Frage nach der Erweiterbarkeit und auch nach den Anschlußmöglichkeiten, gilt es bei bei den Software-Paketen auf die Wahl der Serverplattform zu achten. Denn die Firewall ist nur so sicher wie der Server, auf dem sie läuft und gerade Unix- und Windows-NT-Betriebssysteme sind ja für ihre weithin bekannten Sicherheitslücken berüchtigt. Die Wahl einer Standardplattform als Basis erleichtert jedoch später die Ergänzung weiterer Sicherheitspakete auf dem System. Nicht zu unterschätzen sind Probleme, die man sich durch eine umständliche Administration einhandeln kann. Ohne einfache Konfiguration und Kontrolle der Firewall wird die Sicherheit auf Dauer nicht zu gewährleisten sein; auch aus diesem Grunde spielt die Integrationsmöglichkeit in eventuell schon vorhandene System- und Netzmanagement-Suites eine entscheidende Rolle, aus denen beispielsweise Benutzerprofile oder Konfigurationsdaten übernommen werden können und über die eine zentrale Alarmierung erfolgen kann. Die Spreu vom Weizen unter den Firewalls trennt sich schließlich bei der Authentisierung der externen Zugänge sowie bei den übrigen Kernfunktionen Überwachung, Logging und Alarmierung. Und nicht zu vergessen: Nur die vollständige Verdeckung der internen Adressen und sonstigen Informationen über interne Ressourcen sorgt für Sicherheit, also die konsequente Umsetzung wirklich aller internen Adressen. Aufpassen muß man beim Einsatz der häufig mit der Firewall einhergehenden Verschlüsselungssysteme, denn hier fehlen Standards. Zudem erweisen sie sich als leistungsschwach oder proprietär im schlimmsten Fall beides. Es kann also durchaus passieren, daß die Verschlüsselung nur dann funktioniert, wenn ausschließlich Systeme eines Herstellers eingesetzt werden. Mehr als eine Hardware-Frage Angesichts dieser mehr als bunten Vielfalt des Marktes empfiehlt die ME- TA Group in ihrem Firewall Evaluation Report 1999, bei der Herstellerauswahl neben den reinen Produkt- Features auch Fragen des Produkt- Supports, der Verfügbarkeit von Professional Services und des Verbreitungsgrades zu stellen. Dazu kommt noch, daß es insbesondere bei indirekt vertreibenden Herstellern von entscheidender Bedeutung ist, daß bei der Auswahl des entsprechenden Händlers bzw. Systemhauses oder Systemintegrators die gleichen Maßstäbe angelegt werden. Dieser Untersuchungsbericht wurde von der META Group Deutschland in Zusammenarbeit mit der DETECON, der DeTeSystem und der Deutschen Telekom AG erstellt. Der Aufwand für die Evaluierung lag bei zwei Mannjahren, ein Maß für den Detaillierungsgrad dieser Untersuchungen. Alle Ergebnisse wurden anhand von realen Messungen gewonnen, basieren also Blick auf die Bedienoberfläche von Gauntlet (Quelle: Network Associates) nicht auf Herstellerangaben. Die Firewalls wurden anhand von ca. 300 Kriterien in 15 Gruppen bewertet. Entsprechend der Vielzahl der Entscheidungsfaktoren, die selbst diese aufwendige Studie wohl nicht komplett widerspiegelt, können die Ergebnisse des Auswahlprozesses je nach Firma stark unterschiedlich ausfallen, da natürlich auch Faktoren wie Anzahl der Standorte, Anzahl der User usw. Einfluß auf das zu wählende Produkt haben. Diese produktexternen Faktoren scheinen umso wichtiger, als beim Vergleich der Bewertung der fünf Firewall-Anbieter durch die Anwender mit dem Feature-Vergleich der META Group deutliche Unterschiede auffallen. So schneiden Check Point und Axent bei der reinen Produktevaluation am besten ab, aber trotzdem wird die Leistungsfähigkeit der beiden Unternehmen von den Anwendern doch recht unterschiedlich eingeschätzt. Hier zahlt sich die marktführende Stellung von Check Point aus. Im Vergleich dazu wird Cisco im reinen Produktvergleich mit PIX als schlechtester Anbieter bewertet, hingegen bewerten die Anwender die generelle Leistungsfähigkeit von Cisco recht positiv. Im übrigen waren die AltaVista Firewall 98 und Sun Microsystems Sun- Screen EFS in die Studie einbezogen. Andere Quellen zählen neben Check Point, Cisco und Axent die Firmen Network Associates (mit Gauntlet), Secure Computing (mit SideWinder) sowie die Aachener Firma Krypto- Kom neuerdings zu Utimaco gehörig (mit KryptoWall) auch zu den führenden Anbietern in Deutschland. (bac) NET 10/99 25

Hersteller 1) Produkt Server-Plattform/ Informationen im Internet Betriebssystem 3COM PathBuilder S500, NETBuilder proprietär www.3com.com, www.3com.de AltaVista 2) Firewall 98 NT, Tru64 Unix www.altavista.software.digital.com Ascend Communications 3) Pipeline Router Plus proprietär www.ascend.com Axent Raptor Firewall Solaris, NT, HP-Unix www.axent.com Biodata Information Technology BIGfire+ Office, Enterprise, VPN proprietär www.biodata.de BorderWare Technologies Firewall Server V6 FreeBSD www.borderware.com Bull NetWall AIX www.bull.com Check Point Software Technologies Firewall-1, VPN-1 Solaris, NT, HP-Unix, AIX www3.checkpoint.com Cisco Systems PIX 515, PIX 520, proprietär, IOS www.cisco.com, www.cisco.de IOS Firewall Feature Set Com21 Office Cable Modem proprietär www.com21.com Computer Associates Unicenter TNG Network Security Solaris, NT www.cai.com Options, GuardIT CyberGuard Firewall for NT and UnixWare NT, UnixWare www.cyberguardcorp.com esoft IPAD Proprietär www.esoft.com Elron Software Elron Firewall NT www.elronsoftware.com GenNet Technology WebGuard Solaris www.gennet.com Genua GeNuGate BSD www.genua.de Global Technology GNAT Box proprietär www.gta.com IBM enetwork Firewall, Firewall for AIX NT, AIX www.software.ibm.com/security/ firewall ID-Pro SiteConnection Box Linux www.id-pro.de Internet Devices 4) Ft. Knox proprietär www.ind.alcatel.com Internet Dynamics Conclave NT www.interdyn.com Kryptokom 5) KryptoWALL Unix-basierter Application Gateway www.kryptokom.de Lucent Technologies Lucent Managed Firewall Firewall: Lucent INFERNO www.lucent.com, www.lucent.de (proprietär), Management: NT, Solaris Matranet M>Wall 4 NT, Solaris Spark 2.6, Unix BSDI www.matranet.com Intel MCI Worldcom Interlock Solaris www.ans.net Advanced Networks Milkyway Networks SecurIT Firewall Sun OS www.milkyway.com Netguard Guardian NT www.netguard.com NetScreen Technologies NetScreen proprietär www.netscreen.com Network-1 Security Solutions CyberwallPLUS NT www.network-1.com Network Associates Gauntlet NT www.nai.com/asp_set/products/ tns/gauntlet.asp Nokia VPN200, IP300, IP400, IP600 IPSO (Unix-Derivat) www.iprg.nokia.com Norman Firewall for NT NT www.norman.de Nortel Networks BaySecure proprietär www.nortelnetworks.com Novell Border Manager Netware www.novell.com Secure Computing Sidewinder, SecureZone BSD, proprietär www.securecomputing.com Shiva Corporation InfoCrypt proprietär www.shiva.com Signal 9 ConSeal PC-Firewall NT, Windows 95/98 www.signal9.de Sonic Systems SonicWALL proprietär www.sonicsys.com Sun Microsystems SunScreen EFS proprietär www.sun.com Technologie Interceptor Firewall Appliance BSDI www.tlogic.com WatchGuard LiveSecurity System proprietär www.watchguard.com 1) Neben den eigenen Niederlassungen in Deutschland vertreiben die Hersteller ihre Produkte über Distributoren und Lösungsanbieter. Meist sind die Partnerfirmen über die Internet-Präsenz der Hersteller abrufbar 2) AltaVista, früher zu Compaq gehörig, wurde 8/99 von Axent übernommen 3) jetzt bei Lucent Technologies 4) Unternehmen wurde von Alcatel übernommen 5) Von Utimaco übernommen Anbieterübersicht Firewalls. Alle Angaben beruhen auf Mitteilungen der Hersteller/Anbieter. 26 NET 10/99

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback