WIXLIB

auf eine schlüsselbasierte Au thentifizierung, als IP Adressengaben wir aber diesmal die fürdie zweite Verbindung vorgese henen an. Außerdem definiertenwir den zweiten Tunnel als "Qua lity", also als Übertragungsmedi um für geschäftskritische Daten.Im Betrieb lassen sich jederzeitsämtliche Verbindungsinforma tionen anzeigen.Dazu gehören der Typ, die Ver schlüsselung, der Durchsatz, dieIP Adressen und vieles mehr. Dawir die beiden Tunnel jeweils alsFallback für einander konfigu riert hatten, kamen sie gleichzei tig zu ihrem normalen Betriebmit den beiden unterschiedlichenQoS EinstellungenauchalsBackup Links zum Einsatz. ImTest ergaben sich dabei keineProbleme. Während einer Daten übertragung über den Bulk Tun nel zogen wir das dazugehörigeNetzwerkkabel heraus, kurz dar auf ging der Datentransfer überden Quality Tunnel weiter.Möchte ein Administrator nun er reichen, dass bestimmte Anwen dungen, wie beispielsweise VoIP,über den Quality Tunnel laufen,während nicht geschäftskritischeApplikationen, wie etwa Face book über den Bulk Tunnel über tragen werden, so muss er ledig lich eine Firewall Regel anlegen,die den entsprechenden Trafficzulässt. Im Rahmen der Regelde finition hat er dann die Option,der betroffenen Anwendung dieTransport Klasse "Bulk" oder"Quality" zuzuweisen.Anschließend routet das Systemden dazugehörigen Verkehr überdas entsprechende Interface. Beiuns im Test funktionierte das aufAnhieb, wie wir über die Verbin dungsinformationen in Erfahrungbringen konnten. Die Anwen dungsregeln lassen sich übrigensauch dazu nutzen, bestimmte An wendungen komplett zu sperren.Das Absichern der Datenüber tragungenNachdem die Site to Site Verbin dung über die beiden VPN Connectionszufriedenstellendlief, aktivierten wir im nächstenrungen wurde der Virusschutzsofort aktiv.Jetzt konnten wir uns daran ma chen, den URL Filter in Betriebzu nehmen. Dazu aktivierten wirdieses Feature in seinen ServiceProperties, wählten die zu blo ckenden Kategorien wie etwa"Adult Content", "Alcohol/Tob acco" oder "Criminal Activity"Unsere beiden VPN Tunnel für "Bulk" und "Quality"Schritt die Anti Virus Lösung.Dazu wählten wir zunächst ein mal die zu verwendende Engineaus, Barracuda bietet an dieserStelle Avira und ClamAV an.Danach wechselten wir in dieKonfiguration der Sicherheitsre geln und selektierten dort denPunkt "Enable Virus Scanning inthe Firewall". An gleicher Stellelassen sich auch die Mime Typesder zu scannenden Files festlegenund angeben, ob die Firewallbeim Ausfall der Antivirus Lö sung die Daten ungeprüft über trägt (Fail Open) oder die Trans fers unterbricht (Fail Close).Zum Schluss fügten wir den Vi russcan noch zu den entsprechen den Firewallregeln hinzu, um si cher zu stellen, dass aus dem In ternet kommende Daten auf Vi ren überprüft wurden. Nach demAktivieren der genannten Ände 4aus und fügten den Web Filterzum Schluss zu den entsprechen den Firewall Regeln hinzu. Da nach aktivierten wir die Ände rungen, woraufhin der Webfilterwie erwartet den Zugriff auf diebetroffenen Seiten konsequentunterband.Nachdem alles wie erwartetfunktionierte, wandten wir unsder Advanced Threat Detection(ATD) zu. Diese lässt sich eben falls unter den Security PolicySettings aktivieren und im Be reich "Virus Scanner Set tings/ATD" konfigurieren. So istes beispielsweise möglich, dieATD Funktion so einzurichten,dass sie heruntergeladene Datei en erst scannt und dann ausliefertoder umgekehrt. Anschließendmuss sie noch den gewünschtenFirewallregeln hinzugefügt wer den, danach nimmt sie ihre Arbeitauf.

Wir testeten die ATD nach demAbschluss der Konfiguration miteiner infizierten PDF Datei. Zu nächst teilte uns die Barracuda Lösung mit, dass sie das Filescannen würde, anschließendwies sie uns darauf hin, dass dieDatei schädlich sei und unter band die Auslieferung.liche Reports zu den verschie densten Themen zu erzeugen.Nach der Installation und demStart des Report Creator Konfi gurationswerkzeugs müssen diezuständigen Mitarbeiter zunächsteinmal angeben, unter welcherAdresse und mit welchen Login Daten die NextGen Firewall zuGesamteindruck nach erfolgter erreichen ist. Danach können sieInbetriebnahmeentweder vorgefertigte ReportsDer Funktionsumfang der Next wie die "Top Applications", dieGen Firewall F von Barracuda ist "Top URL Categories & Websi wie eben gezeigt sehr groß. So tes", die "Application Usage andhaben wir in unserer Testumge Risk" oder auch "Top Blockedbung mit den beschriebenenKonfigurationsschritten nicht nurzwei Appliances mit zwei VPN Tunneln mit unterschiedlicherWertigkeit miteinander verbun den, sondern auch dafür gesorgt,dass wichtige Unternehmensda ten über den schnellen und alleanderen Daten (wie zum BeispielFacebook) über den allgemeinenTunnel geleitet wurden.Beim Ausfall einer Verbindungübernahm automatisch die andereden ganzen Verkehr. Außerdemkonnten wir den Zugriff auf un erwünschte Seiten untersagen,unser Unternehmensnetz vor Vi ren schützen und mit einer Sand box Lösung dafür sorgen, dassgefährliche Dateien vor der Aus lieferung gescannt wurden. Aufdiese Weise lassen sich Datennicht nur sehr effizient überWAN Streckentransportieren,sondern auch einzelne Unterneh mensnetze sehr effizient absi chern.Der Report CreatorWenden wir uns nun aber demReport Creator zu. Dieses Toolsteht als getrennte Applikationzur Verfügung und lässt sich nut zen, um aus den von der Applian ce gesammelten Daten übersicht Das Layout der Reports lässt sichebenfalls flexibel anpassen. Sobesteht zum Beispiel die Option,die Reports mit eigenen Logos zuversehen, die Schriftart anzupas sen und ähnliches.Die fertigen Reports können ent weder per E Mail zugestellt, oderals Datei auf der Festplatte abge legt werden. Es ist sowohl mög lich, Reports manuell zu erzeu gen, als auch mit einem Zeitpla ner regelmäßig – also täglich,wöchentlich oder monatlich –anzulegen. Eine Besonderheit derDie Tunnelkonfiguration im DetailURL Categories & Websites" er stellen oder selbst Reports anle gen. Dazu gehören beispielswei se Berichte über die Aktivitätenbestimmter User oder Adressenim Netz. Genauso lassen sichURL Categorie Reports und An wendungsberichte erzeugen. Üb licherweise gehören die Zeitdau er, für die der Bericht Daten ent halten soll und die zu erfassendenInformationen, wie zum Beispieldie Kategorien, die Benutzer oderauch die Applikationen zu einerBerichtsdefinition. Die SourceIP Adressen sind auf Wunsch je derzeit auch problemlos anony misierbar.5Barracuda Reports ist ihre Aus führlichkeit. Viele Berichte um fassen nicht nur die Rohdatenund daraus generierte Grafiken,sondern auch ausführliche Texte,die die jeweiligen Werte erklären.Der "Application Usage andRisk" Report weist beispielswei se innerhalb des Textes daraufhin, welche Anwendungen denmeisten Datenverkehr erzeugenund schlägt vor, unerwünschteApplikationen über die Firewallzu blocken.Das KonfigurationswerkzeugWenden wir uns zum Abschlussdes Tests noch dem Konfigurati

onswerkzeug der NextGen Fire walls und damit ihrem komplet ten Leistungsumfang zu. Barra cuda unterscheidet zwischenzwei unterschiedlichen Konfigu rationsmöglichkeiten,nämlich"Simple" und "ConfigurationTree".Der Konfigurationsbaum umfasstalle Optionen, während die Sim ple Configuration auf die wich tigsten Punkte verlinkt. FangenIm Rahmen der Regelkonfigurationsind die zuständigen Mitarbeiter dazuin der Lage, bestimmten Anwendungenbestimmte Übertragungswege zuzuwei senwir mit der Simple Configurationan. Diese wurde in drei verschie dene Bereiche unterteilt.Der erste ist die "Device Confi guration", die die IP Konfigurati on mit Interfaces, VLANs,xDSL, Routing, Netmask undähnlichem umfasst. Zur DeviceConfiguration gehören ebenfallsdie Systemeinstellungen mitACLs, Root Passwort, DNS Set tings, der NTP Konfiguration,den I/O Settings, dem RoutingCache und den E Mail Benach richtigungen.Der Punkt "Authentication" um fasst im Gegensatz dazu Konfi gurationsoptionen für die vomSystem unterstützten Authentifi zierungsmethoden wie MicrosoftActive Directory, MS Chap, LD AP, Radius, TACACS , RSA ACE und ähnlichem. Die Lizenz verwaltung findet sich an glei cher Stelle.Der zweite Bereich "OperationalConfiguration" befasst sich mitden Firewall Regeln. Diese be stimmen, welche Datenübertra gungen von wo nach wo zulässigsind und lassen sich im NextGenAdmin per Drag and Drop an ordnen.Zu den Regeln gehören die Ac cess Rules (die sich mit bestimm ten Diensten auseinandersetzen)und die Application Rules (überdie sich Anwendungen priorisie ren und blocken lassen). An glei cher Stelle finden sich auch dieKomponenten, aus denen die Re geln zusammengesetzt werden,wie zum Beispiel die Netzwerke(die als Quelle und Ziel zum Ein satz kommen können), die An wendungen (der Hersteller hathier bereits eine sehr große Zahlder üblichsten Applikationen vor definiert, so dass die Administra toren in den meisten Fällen ein fach ihre jeweils benötigte An wendung auswählen können) so wie die Dienste und die Verbin dungen. Die IPS Regeln und dieHost Rules, die den Zugriff aufdie Firewall selbst regeln, werdenebenfalls hier konfiguriert.Ebenfalls von Interesse sind dieFirewall Einstellungen. Diese le gen fest, wie viele ForwardingSessions es maximal geben darfund ermöglichen die Konfigurati on des SOCKS Forwarding so wie des RPC Handlings und desLayer 2 Bridgings.Die Parameter für VoIP Übertra gungen und Gastzugriffe findensich hier ebenfalls, genauso wie6die IPv6 Autokonfiguration unddie DNS Blacklist. Mit letztererlässt sich der Zugriff auf be stimmte Hostnamen blockieren.Host Einstellungen wie die maxi male Zahl der Verbindungen, dieZahl der SIP Calls, die Größe desHistory Caches und ähnlichesgehören ebenfalls zu den Fire wall Settings.Der nächste Eintrag unter Opera tional Configuration befasst sichmit der VPN Konfiguration. Hierlegen die Anwender Site to Site VPNs an, konfigurieren den Re mote Access und legen die NAC Policy fest. Der Bereich "WebSecurity" dient im Gegensatz da zu zum Einrichten des HTTP Proxies mit Authentifizierung,ACL, Malware Schutz, Web Fil ter und ähnlichem. An gleicherStelle lassen sich auch der VirusScanner und der URL Filter mitWhite Lists, Log und so weiterkonfigurieren.Der letzte Bereich nennt sich"Extended Configuration". Hierrichten die zuständigen Mitarbei ter den DHCP Server ein, neh men die DNS Konfiguration vorund aktivieren das WLAN. Au ßerdem existiert an gleicher Stel le die Option zum Angeben derSNMP Settings und zum Konfi gurieren von FTP Gateway, SSH Proxy und Mail Gateway. DerSSH Proxy stellt ein ungewöhn liches, aber sehr nützliches Fea ture dar, da er es ermöglicht, inSSH Übertragungen"reinzu schauen".Der KonfigurationsbaumMöchte sich ein Administratortiefer mit der Arbeit mit der Bar racuda Lösung befassen, so wirdihm die vollständige Konfigura tion über die Baumstruktur eherzusagen. Diese wurde so aufge

baut, dass sich auf der oberstenEbene die jeweils betroffene Ap pliance befindet, darunter die dar auf laufenden virtuellen Serverund darunter die einzelnen Diens te, wie Antivirus, DHCP Server,HTTP Proxy, Firewall, URL Fil ter oder auch WLAN.Konfiguriert ein Administratordie Einträge alle von oben nachunten durch, also erst die Para mär die Firewall selbst laufen,auf der andern der Web Filter.Bei Bedarf sind die Appliancesdann dazu in der Lage, sich ge genseitig Arbeit abzunehmenEs würde den Rahmen diesesTests sprengen, alle Einträge desKonfigurationsbaums im Detailzu besprechen, wir geben an die ser Stelle nur die wichtigsten an,um einen kurzen Eindruck zuBarracuda hat alle relevanten Anwendungen bereits vordefiniertmeter auf Appliance Ebene wieZugriffspasswort, ACLs und ähn liches, dann die virtuellen Servermit den IP Adressen, die in denjeweiligen Netzen Verwendungfinden und zum Schluss dieDienste, so erhält er automatischeine funktionierende Konfigurati on. ND Admin wurde also sehrlogisch gestaltet.In manchen Szenarien kann esübrigens sinnvoll sein, mehrerevirtuelle Server auf einer App liance einzurichten, beispielswei se wenn es um Lastenausgleichgeht. Verwendet ein Unterneh men beispielsweise zwei F280, sokann auf der einen Firewall pri vermitteln. So können die zustän digen Mitarbeiter mit der Baum struktur unter anderem das Netz werk konfigurieren, die Adminis tratorkonten verwalten, die Li zenzen einsehen, Log Einstellun gen vornehmen, die Firewall kon figurieren und sich mit denDiensten Antivirus,DHCP,HTTP Proxy, URL Filter, VPNund WiFi befassen.Generell gilt, dass man sich zumeffizienten Umgang mit demKonfigurationsbaum schon einwenig in die Materie einarbeitenmuss, damit man die jeweils rele vanten Punkte schnell findet. Daslohnt sich aber, kennt man sich7einmal in der Baumstruktur aus,so lässt sie sich schneller navi gieren als die "Simple Configu ration" und sie stellt den Anwen dern zudem eine viel größereFunktionsvielfalt zur Verfügung.Will man den großen Funktions umfang der Barracuda Lösungwirklich nutzen, so kommt manum die Arbeit mit dem Configu ration Tree nicht herum. Das istaber auch nicht schlimm, da dieumfangreiche und übersichtlicheDokumentation den IT Mitarbei tern jederzeit dabei hilft, die ein zelnen Konfigurationsdialoge zuverstehen. Fühlt man sich einmalin dem Tool zu Hause, so läuftdie Konfiguration sogar deutlichschneller ab, als bei anderen, ver gleichbaren Lösungen.Weitere FeaturesMit NextGen Admin ist es nichtnur möglich, die Appliances zukonfigurieren. Die Software bie tet noch eine Vielzahl weitererFunktionen an. Nach dem Loginlandet der Administrator bei spielsweise in einem Dashboard,das ihm einen kurzen Überblicküber den Status der Lösung gibt.So kann er hier unter anderemden Hostnamen, das Modell, dieSeriennummer, die Uptime, denDurchsatz, die Lizenzen und denStatus der einzelnen auf demSystem laufenden Dienste einse hen.Eine spezielle Firewall Übersichtsorgt zusätzlich für Detailinfor mationen über die von der Ad vanced Threat Detection getrof fenen Maßnahmen und die TopThreats, die das IPS, die Antivi rus Funktion und das ATD er kannt haben. Das gleiche gilt fürdie Verbindungen, die Top User,die geblockten Kategorien, diegeblockten Anwendungen, die

erlaubten Kategorien, die erlaub ten Anwendungen und so weiter.Damit erhalten die Verantwortli und den Kernel. Interessanter istder Bereich "Box", denn hier ak tivieren die Administratoren, wieBarracuda hat alle relevanten Anwendungen bereits vordefiniertchen einen schnellen Überblicküber den Sicherheitszustand ihresNetzwerks. Ebenfalls von Inter esse ist der Bereich "Control". Erbietet den zuständigen Mitarbei tern unter anderem die Möglich keit, den Status des Servers undder einzelnen Dienste einzuse hen, sich darüber zu informieren,welche Funktionen lizensiertwurden und die Netzwerkkonfi guration mit Interfaces, MAC und IP Adressen sowie Statisti ken unter die Lupe zu nehmen.Zu den Statistiken gehören zumBeispiel Informationen über die"Route Cache Usage" und dieNutzung des ARP Cache. Die"Ressourcen" stellen im Gegen satz dazu eine Prozessliste bereitund klären über die Auslastungdes SSD und Arbeitsspeicherssowie die CPU Last auf. Außer dem informieren sie über Tempe ratur und Lüfterstatus. Unter "Li censes" finden sich Übersichtenüber die aktiven Lizenzen und dieinstallierten Hotfixes und Softwa repakete sowie die OS Versionbereits angesprochen, neue Netz werkkonfigurationen,nehmenZeiteinstellungen vor, startenDienste wie xDSL oder DHCPneu und ähnliches. Eine Liste mitden aktiven Sessions schließt denLeistungsumfang des "Control" Bereichs ab.Unter "Firewall" stehen den IT Mitarbeitern eine Vielzahl vonOptionen zum Überwachen desSicherheitsstatus zur Verfügung.Dazu gehört ein Überblick überdie Anwendungen und Protokollemit der Zahl der Clients und demdazugehörigen Traffic.Es gibt sogar eine Live Übersichtmit den gerade aktiven Applika tionen und ihrem Datenverkehr.Abgesehen davon liefert Next Gen Admin an dieser Stelle aucheine Übersicht über den Verkehrnach Kategorien, die GeoSources, die Geo Destinations,die aktivsten URLs und vielesmehr. Die Appliance weist denVerkehr sogar vier unterschiedli chen Risikoklassen zu und prä 8sentiert eine Übersicht über dasDatenvolumen in diesen Klassen.Abgesehen davon sind die zu ständigen Mitarbeiter auch dazuin der Lage, sich live den Daten verkehr anzusehen und so einenÜberblick darüber zu bekommen,welche Pakete gerade von wonach wo transferiert werden. EineHistory Funktion speichert zu dem die Datenübertragungen ei nes definierbaren Zeitraums undermöglicht es den Administrato ren mit umfangreichen Filter funktionen beispielsweise nur dieSSH oder SMTP Übertragungenaus diesem Zeitraum anzusehen.Außerdem finden sich unter"Threat Scan" Übersichten überdie von der Anwendungskontrol le, der ATD, dem IPS und derAntivirus Funktionvorgenom menen Schutzmaßnahmen.Eine spezielle Übersichtsseite fürdie ATD informiert die Anwenderdarüber, welche Dateien geradegescannt werden und welcheScanvorgänge in der Vergangen heit stattgefunden haben. Angleicher Stelle gibt es auch eineÜbersicht über gefährliche Datei en, Files in Quarantäne und eineOption, manuell Dateien zurÜberprüfung hochzuladen. DesWeiteren gehören noch eineÜbersicht über die Host Rulesund die Forwarding Rules sowieein Audit Log und ähnliches zumLeistungsumfang des "Firewall" Bereichs.Unter "Proxy" haben die zustän digen Mitarbeiter die Option, denFail Cache einzusehen, unter"Logs" finden sich unter anderemdas Admin , das Daemon unddas Syslog und die Statistikenbieten Informationen zu CPU,Cache, Disk, Prozessen, Speicherund so weiter. Diese lassen sich

auch grafisch darstellen. Abge schlossen wird der Leistungsum fang von NextGen Admin durcheine Eventübersicht und diene Lösung mit Linux Kernel 3.5bis 3.10. Extern fand auch Nessusnichts. NexPose erkannte dasSystem am internen InterfaceDie Übersicht über den Zustand der FirewallMöglichkeit, direkt per SSH aufdie Kommandozeile der Applian ce zuzugreifen.Die Lösung im BetriebWie bereits angesprochen, setztenwir die NextGen Firewalls imTest diversen DoS Angriffen,Scans und Sicherheitsanalysenaus. Dazu griffen wir immer dasals intern und das als extern defi nierte Netzwerkadapter an. An griffe mit DoS Tools konnten dieAppliances in unserer Umgebungnicht aus der Ruhe bringen. nmapfand am internen Interface her aus, dass die Ports 22, 53, 801,808 und 880 offen waren (wasauch unserer Konfiguration ent sprach) und dass es sich um einProdukt unter Linux 2.6 handelte.Extern konnte nmap nichts fin den. Nessus gab am internen In terface die gleichen offenen Portsaus, behauptete aber fälschlich,es handle sich vermutlich um ei richtig als Linux 2.6.38 Applian ce. Extern fand das Produktnichts, genau wie Metasploit.Auch die Arbeit mit Metasploitam internen Interface brachte kei ne negativen Resultate zutage.Zusammenfassend können wir al so sagen, dass das Produkt nachaußen keine überflüssigen Infor mationen zur Verfügung stelltund lediglich am internen An schluss, der ja als sicher gilt undauf dem einige Dienste offensind, etwas über sich preisgibt.FazitDie Barracuda Appliances konn ten uns im Test aufgrund ihresgroßen Funktionsumfangs undder durchdachten Features vollüberzeugen. Die Inbetriebnahmedurch einen Administrator, dermit dem Produkt noch nicht ver traut ist, dauert zwar etwas längerals bei vergleichbaren Lösungen,haben die zuständigen Mitarbei 9ter sich aber einmal in das Pro dukt eingearbeitet, so dürften sieaufgrund der sehr guten Monito ring Tools und der vielen nützli chen Features im laufenden Be trieb so viel Zeit gewinnen, dassunter dem Strich ein großes Plusherauskommt.Dank der leistungsfähigen Si cherheitsfunktionen wie der Fire wall, dem IPS, dem Antivirus,der Applikationskontrolle und derATD sorgen die NextGen Fire walls dafür, dass keine schädli chen Dateien ins Unternehmens netz gelangen. Gleichzeitig stel len die ebenso leistungsfähigenQoS Features wie der Quality VPN Tunnel sicher, dass wichti ge Unternehmensdaten ohneüberflüssige Verzögerungen di rekt an ihre Adressaten gelangen.Administratoren, die mehrereNiederlassungen verbinden müs sen und dafür nach einer effizi enten Lösung suchen, sollten dieBarracuda Produkte genau unterdie Lupe nehmen. Wir verleihender Barracuda NextGen FirewallF280 aufgrund unserer Erfahrun gen im Test jedenfalls die Aus zeichnung "IAIT Tested and Re commended".Barracuda NextGenFirewall 6.1Lösung für die Absicherungund Verbindung von Unterneh mensnetzen.Vorteile: Großer Funktionsumfang Leistungsfähiges Verwal tungswerkzeug Umfassende Monitoring FunktionenHersteller:Barracuda Networkswww.barracuda.com

Im Test: Barracuda NextGen Firewall 6.1 Schnell, sicher und effizient Dr. Götz Güttich Mit der Barracuda NextGen Firewall F Series bietet Barracuda eine Produktserie an, die Netzwerke vor Bedrohungen schützen und die Site to Site Connectivity verbessern soll. Wir haben im Testlabor zwei NextGen Firewall Appliances vom Typ F280 unter die Lupe