Unified Threat Management

UTM-System Stormshield SN3000 im Test

29.09.2015
Von 
Dipl. Inform. Johann Baumeister blickt auf über 25 Jahre Erfahrung im Bereich Softwareentwicklung sowie Rollout und Management von Softwaresystemen zurück und ist als Autor für zahlreiche IT-Publikationen tätig. Sie erreichen ihn unter jb@JB4IT.de

Inbetriebnahme und Konfiguration

Die Inbetriebnahme der SN3000 gestaltet sich einfach. Dazu ist die Appliance über einen bestehenden Netzwerk-Port mit dem Internet-Router oder Gateway zu verbinden.

Die Verwaltungskonsole der Stormshield-Appliances ist modern und aufgeräumt.
Die Verwaltungskonsole der Stormshield-Appliances ist modern und aufgeräumt.

Dies ist der Weg nach außen. Zur Verwaltung dient ein weiterer Port. Über diesen wird mittels Browser der Zugang zur Verwaltung der Appliance aufgebaut. Die Appliance umfasst einen DHCP-Server und bezieht ihre Adresse nach außen vom Router.Das Management der Security-Appliance erfolgt durch einen Webbrowser. Die Verwaltungsoberfläche ist modern und klar strukturiert. Im linken Fensterbereich sind die Verwaltungsgruppen, rechts daneben werden die jeweiligen Details dazu in mehreren Fenster eingeblendet. Am oberen Rand sind mehrere Icons zum direkten Aufruf von wichtigen Funktionen.

Die Konfiguration erlaubt eine Anpassung an die eigenen Anforderungen.
Die Konfiguration erlaubt eine Anpassung an die eigenen Anforderungen.

Dies ist ein gängiges Vorgehen, der Benutzer wird sich schnell damit zurechtfinden. Die Verwaltung des Systems erfolgt durch zwei wesentliche Bereiche. Auf diese soll im Folgenden kurz eingegangen werden. Der Leser kann daraus auch direkt die Möglichkeiten der Appliance ableiten. Unter der Rubrik "Konfiguration" sind eingruppiert:

  • Dashboard: liefert einen Überblick zu wichtigsten Ereignissen und zum Betrieb der Appliance. Die Konfiguration und Position von Fenstern kann wahlfrei erfolgen. Der Anwender kann sich damit seine eigene Verwaltungsoberfläche individuell zusammenstellen.

  • System: Darin werden mehrere allgemeine Systemkonfigurationen zusammengefasst, wie etwa zu den Lizenzen, der Wartung, dem Update und ähnliche Einstellungen. Dazu gehört auch die Konfiguration der Hochverfügbarkeit. Sie benötigt mindestens zwei Appliances.

  • Netzwerk: alles zur Netzwerkkonfiguration, den Schnittstellen, Routing, DNS, DHCP, Proxy. An dieser Stelle sind auch virtuelle Schnittstellen für IPSec zu konfigurieren.

  • Objekte: Objekte sind übergreifende Konfigurationselemente, vergleichbar mit einem Alias. Sie treten anstellen von konkreten Einträgen wie IP-Adressen. Durch die Alias-Definitionen wird die Verwaltung vereinfacht.

  • Benutzer: Die Definition der Sicherheitsregeln und Zugriff ist an Benutzern oder Benutzergruppen ausgelegt. Ihre Verwaltung erfolgt an diese Stelle.

  • Sicherheitsrichtlinien: Hierin werden die Regeln der Sicherheit festgelegt. Hierbei wird beispielsweise festgelegt, wer mit wem über welchen Kanal kommunizieren darf oder nicht. Stormshield teilte diese Überwachung in fünf Filtertypen ein: Filter-NAT, URL-Filter, SSL-Filter, SMTP-Filter, QoS und implizite Regeln. Die Definition der Filter ist einfach und orientiert sich an den gängigen Abläufen.

  • Anwendungsschutz: In der Rubrik des Anwendungsschutz finden sich neben den traditionellen Sicherheitsfunktionen Antivirus und Antispam vier weitere Schutzfunktionen: Unter Protokolle erfolgt die Prüfung der Protokoll und deren Inhalte. In Anwendungs- und Schutzfunktionen sind allgemein Sicherheitsprüfungen wie etwa auf DNS-Spoofing zu finden. Im Vulberability Manager erfolgt die Prüfung der Geräte auf Schwachstellen.

  • VPN: Hier erfolgt die Definition der VPNs. Als IPSec-Durchsatz der SN3000 gibt Stormshield 6,5 Gbps an. Dabei sind maximal 5000 VPN-Tunnels möglich.

  • Benachrichtigungen: Im Reporting erfolgt eine Langzeitanalyse der Geschehnisse auf der Appliance. Reporting wird oftmals aber als Grundlage für Abrechnung oder dem Nachweis der Compliance herangezogen. Stormshield bietet darüber hinaus einen Real-Time Monitor und Event Analyzer. Der Real-Monitor dient zur Echtzeitüberwachung und der Event Analyzer wiederum hilft bei der Ursachenforschung der Events. Die Activity Reports liefern Information zum laufenden Geschehen. Ferner stehen diverse Logging-Hilfen und eine Log-Appliance (Virtual Log Appliance for Stormshield) zur Verfügung.