Telco Tech Liss II Secure Gateway ProSicherheit mit Handicap

Testbericht

Telco Tech Liss II Secure Gateway Pro

Einen umfassenden Schutz lokaler Netze in der Größenordnung 30 bis 500 Benutzer bietet Telco Tech mit dieser Appliance. Über sechs Fast-Ethernet-Ports kommuniziert das Security Gateway mit LAN und WAN. Die Appliance unterstützt eine beliebige Zahl virtueller Netzwerkadapter. So lässt sich unabhängig von der Anzahl der physikalischen Schnittstellen eine große Zahl von Subnetzen anschließen, deren Verkehr das Gerät überwacht und filtert.

IDS, Virenscan und Spam-Blocker

Telco Tech Liss II Secure Gateway Pro

An Schutzfunktionen bietet das Liss II Secure Gateway Pro neben der obligatorischen Firewall ein Intrusion Detection System (IDS). Besonders positiv fällt am IDS auf, dass sich die Trigger-Parameter frei konfigurieren lassen. Ebenfalls erfreulich: Der Netzwerkverkehr wird nicht nur anhand der vorgegebenen Firewall-Regeln durchgelassen oder blockiert, sondern zusätzlich per Virenscanner in Echtzeit untersucht.

Neben dem kostenlosen Virenscanner Clam AV kann gegen Aufpreis auch Antivir von H+BEDV (siehe Virenscannertest in PCpro 04/2005) zum Einsatz kommen. Dafür muss allerdings eine extra Lizenz (430 Euro pro Jahr für zehn User) erworben werden. Um Spam zu bekämpfen, lässt sich die Appliance zwischen Internet und Mail-Server ins Netz einklinken. Eingehende Nachrichten prüft sie dann auf Virenbefall und über einen Abgleich mit Realtime Black List (RBL) auf Spam-Inhalte.

Eine zusätzliche Hürde für Spam stellen die frei definierbaren Filter dar, mit deren Hilfe Mailinhalte und Mailanhänge untersucht werden können. Eine Spam-Erkennung durch heuristische Verfahren fehlt zwar, dennoch erreicht das Liss II Security Gateway Pro im Test eine hohe Erkennungsrate von rund 95 Prozent. False Positives treten im Labor nicht auf. In der getesteten Pro-Version der Appliance kann zusätzlich die Empfängeradresse anhand eines vorhandenen Active Directorys geprüft werden. Nachrichten, die an nicht vorhandene Konten geschickt wurden, verwirft die Appliance dann auf Wunsch.

Starker Content-Filter

Telco Tech Liss II Secure Gateway Pro

Ein echter Segen für sicherheitsbewusste Admins sind die Content-Filter der Telco-Tech-Appliance. Hierbei können Webinhalte mithilfe der von Cobion gepflegten Content-Datenbank vorgefiltert werden, wofür allerdings eine gesonderte Lizenz anfällt: Diese kostet für zehn Benutzer 170 Euro und ist ein Jahr gültig.

Alternativ lassen sich auch eigene Filter erstellen, um beliebige Inhalte aus abgerufenen Web-Seiten zu entfernen. Dazu zählen in Javascript abgefasster Code ebenso wie Popups, Iframe-Inhalte, Cookies und Active-X-Programme.

Die Filter sind mit wenigen Klicks und einfachen Suchbegriffen schnell erstellt.

Leistungsfähig präsentiert sich die Unterstützung für VPN-Verbindungen. Egal ob Punkt-zu-Punkt, Punkt-zu-Multipunkt oder die Koppelung ganzer Netze: Liss II bietet jeden dieser Modi. Zur Verschlüsselung der VPN-Ströme sind sowohl Preshared Keys, RSA-Keys oder X.509-Zertifikate einsetzbar. Selbst die sonst nur mit größerem Aufwand realisierbare Verbindung zweier Netze, die denselben IP-Adressbereich verwenden, kann der Admin dank der integrierten Adressumsetzung einfach einrichten.

Licht- und Schattenseiten der Bedienung

Telco Tech Liss II Secure Gateway Pro

Zwischen den umfangreichen Funktionen und dem Benutzer steht allerdings eine Hürde: das unergonomisch gestaltete Interface der Appliance. Das Gerät kann ausschließlich über einen Browser oder eine HTTPS-Verbindung verwaltet werden. Die Tester vermissen eine Online-Hilfe zu den einzelnen Masken.

Besonders negativ sticht die Konfiguration der Firewall hervor. Die verwendeten Masken sind nah an die darunter liegenden Portfilter IP Tables angelehnt und entsprechend kryptisch. Einsteiger sind hier überfordert, aber auch erfahrene Administratoren verlieren gelegentlich den Überblick. Zwar erklärt das übersichtliche und ausführliche Handbuch die einzelnen Schritte gut, eine integrierte Hilfe wäre dennoch die bessere Lösung.

Clever gelöst ist hingegen das bekannte Problem, sich durch eine falsche Firewall-Regel versehentlich selbst den Zugang zur Appliance zu verschließen: Bei potenziell gefährlichen Regeln verlangt die Appliance eine zusätzliche Bestätigung des Benutzers. Bleibt diese aus, verwirft das Gerät die zuletzt angelegte Regel. Im Labor gelingt es den Testern selbst bei mutwilligen Versuchen nicht, sich aus dem System auszuschließen.

Einen Schnitzer leistet sich Hersteller Telco Tech bei den Basisfunktionen DHCP- und DNS-Server. Der DNS-Server ist als reines Relay ausgeführt eine Appliance dieser Preisklasse sollte aber schon einen vollwertigen DNS-Server bieten. Daher können Rechner, die ihre IP-Adresse per DHCP von der Liss-II-Appliance beziehen, nicht automatisch in die lokale DNS-Zone aufgenommen und über ihren Namen adressiert werden. Für vollwertige DNS- und DHCP-Funktionalität muss man also auf externe Lösungen zurückgreifen.

Insgesamt präsentiert sich das Gerät als leistungsfähige Appliance, die mit guten Filter- und VPN-Funktionen überzeugt. Bei einem Preis von 5100 Euro ist die Pro-Version kein Schnäppchen, eine Gigabit-Variante kostet 2400 Euro Aufpreis. Dafür erhält man aber ein umfangreiches Komplettpaket, bei dem nur das Benutzer-Interface Anlass zu Kritik gibt.

Testergebnis

Telco Tech Liss II Secure Gateway Pro

Anbieter: Telco Tech GmbH
Produktname: Liss II Secure Gateway Pro
Internet: Telco Tech Homepage
Preis: 5100 Euro (Pro-Version), 4400 Euro (Standard) (Stand 09/05. Aktuelle Preise im Preisvergleich)

Technische Daten
Funktionen: Firewall, IDS, Content-Filter, Spam-Filter
Anschlüsse: 6 LAN-Ports, 2 Com-Schnittstellen
VPN-Funktion: IPsec mit Preshared Key, RSA-Key oder X.509-Zertifikaten

Pro & Contra
+ umfangreiche VPN-Funktionen
+ einstellbare IDS-Parameter
– unübersichtliches Benutzer-Interface

Gesamtwertung: gut
Netzwerk (35%): sehr gut
Sicherheit (35%): gut
Bedienung (20%): befriedigend
Service (10%): befriedigend