Im Test: Fortigate-60B von Fortinet

UTM-Appliance sorgt für Sicherheit in kleinen Netzen

04.07.2008 | Autor / Redakteur: Götz Güttich / Ulrich Roderer

UTM-Appliance für kleine Netze: Fortigate-60B
UTM-Appliance für kleine Netze: Fortigate-60B

VPN-Verbindung

Die nächste wichtige Funktion der Appliance besteht im Aufbau von VPN-Verbindungen. Für IPSec-basierte VPNs beherrscht das Produkt IKE und manuelle Schlüssel und bietet zudem eine Überwachungsfunktion an. Angesehen davon lassen sich über das UTM-System auch PPTP- und SSL-VPNs aufbauen. Bei den SSL-VPNs müssen die Administratoren dazu den Tunnel-IP-Bereich, den Timeout, das Zertifikat, die DNS- und WINS-Server und den Verschlüsselungsalgorithmus angeben. An Algorithmen unterstützt das Produkt AES128, AES256, 3DES, RC4 128, RC4 64 und DES. Auch hier gibt es wieder eine Verbindungsübersicht und das System erlaubt das Anlegen von Bookmarks der Typen Web, Telnet, FTP, SMB, VNC und RDP. Die Bookmarks lassen sich bei Bedarf in Gruppen zusammenfassen. Im Test traten bei der Arbeit mit SSL-VPNs keine Schwierigkeiten zu Tage.

Die Benutzerverwaltung der Fortigate-Firewall funktioniert entweder Lokal oder Remote über LDAP-, Radius- oder TACACS+-Server, über das Windows Active Directory oder über PKI (zum zertifikatsbasierten Zugang beispielsweise für SSL-VPN- und Firewall-Zugriffe). Es ist auch möglich, die Benutzer in Gruppen zusammenzufassen. Ein spezieller Authentifizierungspunkt innerhalb der Benutzerverwaltung hilft den Administratoren beim Setzen des Timeouts und beim Aktivieren der Protokolle, über die die Authentifizierung abläuft (HTTP, HTTPS, FTP oder Telnet). Der HTTP-Zugriff lässt sich auch so konfigurieren, dass entsprechende Anfragen automatisch auf SSL-Verbindungen umgeleitet werden.

Die Antivirusfunktion verfügt über einen Dateifilter zum Blocken von Dateitypen und eine Quarantänefunktion, in die sich infizierte, verdächtige und blockierte Dateien umleiten lassen. Dabei sind die IT-Mitarbeiter dazu in der Lage, ein Alterslimit und eine maximale Dateigröße zu setzen und Daten zu erfassen, die über die Protokolle HTTP, FTP, IMAP, POP3, SMTP und NNTP sowie über Instant Messaging übertragen wurden. Darüber hinaus steht eine Virus-List zur Verfügung, in der sich alle Viren finden, die die Appliance kennt. Ein Punkt namens „Grayware“ ermöglicht das Aktivieren weiterer Schutzfunktionen gegen Adware, Dialler, Hackertools, Hijacker, Keylogger und ähnliches.

In der Intrusion-Protection-Konfiguration finden die zuständigen Mitarbeiter eine Übersicht über die vordefinierten Signaturen mit Informationen wie Schwere der Bedrohung, Ziel, Protokollen, betroffenen Betriebssystemen, betroffenen Anwendungen und Aktion. Aus der gleichen Liste ist auch ersichtlich, ob die jeweilige Regel aktiviert wurde oder nicht. Unter „Custom“ haben die Anwender Gelegenheit, eigene Signaturen zu erstellen. Der „Protocol Decoder“ sorgt schließlich dafür, dass das System abnormale Verkehrsmuster findet, die nicht den normalen Protokollanforderungen und –standards entsprechen. Hier finden sich Protokolleinträge wie Back Orifice, DBS, FTP, H.323, MSSQL, POP3, SSH und so weiter.

Mittels „IPS Sensor“ legen die zuständigen Mitarbeiter die Policies an, die wir schon bei der Definition der Schutzprofile gesehen haben. Dabei haben sie die Wahl, entweder die vorgegebenen Policies zu modifizieren oder eigene zu kreieren. Beim Definieren eigener Policies vergeben die Verantwortlichen einen Namen und einen Kommentar. Anschließend fügen sie Filter hinzu. Dabei geben sie unter anderem die Bedrohungsschwere an sowie das Ziel des Angriffs, betroffene Betriebssysteme und die Protokolle beziehungsweise Anwendungen. Angaben zum Logging und zur Aktion schließen die Policydefinition ab. Mit Hilfe so genannter Overrides lassen sich bei Bedarf jederzeit für bestimmte IP-Adressen Ausnahmeregelungen anlegen.

Außerdem stellt das IPS noch DoS-Sensoren zur Verfügung. Zwei Einträge wurden vordefiniert und zwar „all_default“ und „block_flood“. Es lassen sich aber auch eigene Sensoren erstellen. Diese überwachen bestimmte Anomalien wie tcp_syn_flood, udp_scan, icmp_flood und so weiter, blocken bei Bedarf verdächtige Aktionen und führen auf Wunsch zudem ein Logging durch. Wenn die Administratoren die Wirkungsweise der Sensoren auf bestimmte Systeme beschränken möchten, so können sie das jederzeit problemlos tun.

Was meinen Sie zu diesem Thema?

Schreiben Sie uns hier Ihre Meinung ...
(nicht registrierter User)

Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
Kommentar abschicken
copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 2013762 / Software)