Tippingpoint-50
Firewall der Firewall
Testbericht
Tippingpoint-50
Das Gros der Appliances widmet sich dem Thema Intrusion Detection, dem Erkennen von Einbrüchen ins Firmennetz sowie der Spam- und Virenabwehr. Tippingpoint-50 dagegen kümmert sich ausschließlich um Intrusion Prevention, also dem Verhindern von Einbrüchen.
Während bisherige Produkte vorwiegend für große Installationen gedacht waren, ist die getestete Tippingpoint-50 für den Einsatz in Verbindungen zu Zweigstellen oder zum Schutz der Internetanbindung mittelständischer Unternehmen konzipiert. Maximal 50 MBit/s untersucht das Gerät in Echtzeit auf potenzielle Angriffe oder andere Störfaktoren. Mit diesem Datendurchsatz sind genügend Leis-tungsreserven vorhanden, dass alle gängigen Breitband-Internetverbindungen ohne Einschränkungen der Performance abgesichert werden können.
Umfangreiche Filterfunktionen
Tippingpoint-50
Tippingpoint verwendet einen sehr umfangreichen Satz von Filtern. Mit ihrer Hilfe lassen sich Datenströme, die durch die Appliance laufen, nicht nur auf Absender- oder Empfängeradresse sowie Quell- und Zielport analysieren. Das Gerät wertet auch den Inhalt und damit die zur Kommunikation zwischen den Applikationen verwendeten Protokolle aus. Anhand der so gewonnenen Informationen entscheidet die Appliance, was mit den Daten zu geschehen hat.
Hierfür kann der Administrator zwischen vielfältigen Optionen auswählen. Angefangen bei der einfachen Benachrichtigung des Systemverwalters über das Protokollieren der gesammelten Informationen bis zum temporären oder dauerhaften Blockieren der Kommunikation reichen die Möglichkeiten. Diese Optionen sind auch kombinierbar. So lässt sich eine unerwünschte Übertragung unterdrücken und gleichzeitig eine Nachricht an den Administrator versenden. Positiv fallen auch die Sortierung der Filter in verschiedene Gefahrengruppen sowie die gute Unterstützung des Anwenders beim Anlegen eigener Definitionen auf.
Die Filterzentrale
Tippingpoint-50
Die tiefe Analyse der Daten durch das Testgerät hat im Vergleich zur Arbeit herkömmlicher Firewalls einen klaren Vorteil: Herkömmliche Firewalls können beispielsweise den Traffic, der von Peer-to-Peer-Programmen wie Kazaa oder Emule verursacht wird, oft nur anhand der verwendeten Ports identifizieren und abblocken. Die Protokoll-Analyse dagegen identifiziert den Traffic auch dann, wenn andere, freie Ports missbräuchlich genutzt werden, die man nicht ohne weiteres blocken kann. So lässt sich beispielsweise über den HTTP-Port 80 laufendes unerwünschtes Filesharing unterbinden.
Zusätzlich bietet die Tippingpoint-50 eine Verwaltung der Bandbreite. So steht auch in Netzen ohne Quality of Service eine gesicherte Bandbreite für kritische Anwendungen zur Verfügung. Bei der Konfiguration dieser Optionen fällt den Testern die Übersichtlichkeit des Benutzer-Interfaces auf.
Abwehr von Exploits
Tippingpoint-50
Ein echtes Highlight im Test ist die Abwehr von Exploits, also Angriffen auf bekannte Schwachstellen von Betriebssystemen und Applikationen, heraus. Dazu sammelt das Threat Management Center von Tippingpoint Informationen über Exploits und Sicherheitslücken und erstellt anhand dieser Daten kontinuierlich neue Filter unter anderem auch für die Lücken, die Microsoft monatlich mit den Patch-Day-Updates stopft. Diese Filter lassen sich direkt in die Appliance herunterladen und zur Abschottung des Netzwerks verwenden.
Abgesichert werden kann auf diese Weise natürlich nur die Verbindung, die von der Tippingpoint überwacht wird. Ob das ausreichend ist zum Schutz des Netzwerks, hängt von der sonstigen Konfiguration und Administration im Netz ab. Wird ein Schädling über andere Wege eingeschleppt, beispielsweise mit einem externen Laptop an der Tippingpoint vorbei ins interne Netz geschleust, kann er sich dort ungehindert ausbreiten, wenn auf den Client-Rechnern keine aktuellen Patches eingespielt sind.
Einstiegshürde Konfiguration
Tippingpoint-50
Die umfangreichen Filterfunktionen sind auch der Pferdefuß der Tippingpoint-Systeme. Zwar werden die Geräte mit einer guten Standardkonfiguration ausgeliefert, doch die Ausnutzung des vollen Potenzials erfordert fundiertes Fachwissen und viel Zeit. Immerhin erleichtert das übersichtliche Web-Interface die Arbeit erheblich. Wer sich auf der Kommandozeile wohler fühlt, verwaltet die Appliance auch per SSH.
Aus Sicherheitsgründen startet das Setup über einen separaten Management-Port, der beim ersten Start des Geräts zu konfigurieren ist. Im Test fällt negativ auf, dass der Management-Port keine Auto-Uplink-Funktion besitzt. Ein Crossover-Kabel muss also die Verbindung herstellen.
Das Betriebssystem sowie die Einstellungen speichert die getestete Version der Appliance noch auf einem USB-Stick mit 512 MByte. Bis zum Erscheinen des Testberichts hat Tippingpoint den Speicherstick durch eine fest eingebaute Solidstate-Disk ersetzt. Das System lässt sich so nicht mehr so einfach außer Gefecht setzen, wie es durch das auch versehentliche Abziehen des USB-Sticks bei älteren Geräten möglich ist.
Insgesamt ist die Tippingpoint-50 ein ausgereiftes und rundum empfehlenswertes Gerät für den Einsatz in Netzen, die besonders hohe Anforderungen an Sicherheit und Verfügbarkeit haben. Dort sind auch die hohen Anschaffungskosten von fast 5200 Euro kein K.o-Kriterium.
Testergebnis
Tippingpoint-50
Anbieter: Tippingpoint
Produktname: Tippingpoint-50
Internet: Tippingpoint Homepage
Preis: 5165 Euro (Stand 08/05. Aktuelle Preise im Preisvergleich)
Technische Daten
Funktionen: Intrusion Prevention mit Traffic Shaping
Anschlüsse: 2 LAN-Ports, 1 COM-Schnittstelle, 1 Management-Port
Pro & Contra
+ umfangreiche Filterfunktionen
+ übersichtliches Interface
– viel Fachwissen erforderlich
Gesamtwertung: sehr gut
Netzwerk (35%): sehr gut
Sicherheit (35%): sehr gut
Bedienung (20%): befriedigend
Service (10%): gut