Unified Threat Management, Teil 2: Wo Unified Threat Management Haken hat

Einerseits versorgen UTM-Appliances Unternehmen mit einem kompakten Sicherheitspaket, das oft sogar noch mehr kann. Andererseits ist der Rundumschutz nie so ausgetüftelt wie spezialisierte Einzellösungen. Und was, wenn die Anlage ausfällt? Uli Ries erläutert die Redundanz- und Standby-Konzepte.

Dieser Beitrag ist mehr als 13 Jahre alt.
Bild: Dreef

Alles muss durch die Engstelle

Von Uli Ries

Im Realbeispiel von Teil 1 dieser Serie hat als überraschendes Argument die gesteigerte PC-Performance eingeführt. Dabei wurde praktisch allen PCs in der Zahnarztpraxis die Kommunikation nach außen abgeklemmt, der Rest bekam eine UTM-Lösung. Ein so radikaler Schritt ist allerdings sicher nicht die Norm. In aller Regel dürften lokale Virenscanner auf sämtlichen Clients die Schutzfunktionen der UTM-Appliance ergänzen.

Das ist auch dringend zu empfehlen und wird von IT for Life aus dem Exempel auch so umgesetzt, da die Firewall in Verbindung mit dem integrierten Malware-Scanner sicher nicht alle Schädlinge aus dem Datenstrom fischt.

Kontrolle mit kurzer Leine

Auch bei WB IT-Systeme in Laatzen hat man die Erfahrung gemacht, dass Unternehmen ab fünf mit dem Internet verbundenen PC-Arbeitsplätzen perfekt mit einer UTM-Appliance bedient werden können. Neben dem üblichen Schutz gegen von außen hereinschwappenden Plagen wie Schadsoftware und Spam wünschen viele Kunden des Systemhauses auch einen Schutz gegen (unbeabsichtigte) Angriffe von innen: Ganz oben auf der Wunschliste steht die Funktion, den Internet-Zugang zu reglementieren.

Damit wollen sich die Auftraggeber u.a. rechtliche Probleme ersparen, die aus eventuell fragwürdigen Aktivitäten der Mitarbeiter resultieren können. Gleichzeitig minimiert man so natürlich auch die Gefahr, dass die PCs Opfer einer Attacke werden, die von einer bösartig modifizierten Internet-Seite ausgeht.

Sollte es doch einmal zu einem Verstoß gegen firmeninterne Regelungen kommen, sind die Verantwortlichen auf der sicheren Seite. Denn UTM-Appliances wie die Modelle von Securepoint bringen eine integrierte Nutzerauthentifizierung mit. Es kommen also nur Anwender ins Netz, die sich zuvor angemeldet haben. Entsprechend lassen sich dann auch im Rahmen der innerbetrieblichen Möglichkeiten deren Aktionen nachvollziehen.

Alleskönner oder Spezialisten?

Wo viel Licht ist, fällt bekanntlich auch viel Schatten. So auch im Fall von Unified Threat Management. Denn so smart die Kombination verschiedener Schutzfunktionen in einem Gerät auch ist – eigenständige Lösungen sind in der Regel leistungsfähiger. Eine dedizierte Firewall wird in aller Regel deutlich mehr Funktionen und Schutzmechanismen kennen als die in eine UTM-Appliance integrierte. Das Gleiche gilt für den Malware-Schutz: Ausgewachsene Virenscanner von spezialisierten Herstellern arbeiten im Verbund mit einem Antivirenserver im Netzwerk gründlicher als die UTM-Variante.

Einzelne Schutzprodukte erledigen überdies auch spezielle Aufgaben wie das Absichern von Datenbanken oder von bestimmten Web-Anwendungen. Herkömmliche Firewalls – zu denen auch die in den UTM-Appliances gehören – können den an solche Anwendungen gerichteten Datenverkehr nicht von üblichem Webtraffic unterscheiden und erkennen daher auch keine Auffälligkeiten.

Leistungsfähiger sind eigenständige Systeme in aller Regel auch beim Auswerten der Netzwerkaktivitäten. Umfangreiche Filter zum zielsicheren Durchsuchen des Wustes aus TCP/IP-Ports, Internet-Protokollen, Uhrzeiten, Datenstromrichtungen und anderen Angaben helfen dem Administrator. Fehlen sie, wird das Auswerten zum Geduldsspiel.

Kommunikation-und-netze-2015-02.jpg

Schwarz auf Weiß
Dieser Beitrag erschien zuerst in unserer Magazin­reihe. Einen Über­blick mit freien Down­load-Links zu sämt­lichen Einzel­heften bekommen Sie online im Presse­zentrum des MittelstandsWiki.

An seine Grenzen gerät Unified Threat Management auch, wenn das zu schützende Netzwerk eine gewisse Größe überschreitet bzw. die Netzwerkbandbreite stark anschwillt. In solchen Fällen sind getrennte Systeme leistungsfähiger, da hier verschiedenste Systeme jeweils nur eine Aufgabe (wie den Virenschutz oder die Antispam-Funktion) übernehmen, anstatt sämtliche Checks über ein und dieselbe Appliance abzuwickeln.

Als Faustregel gilt: Ab 500 Webnutzern sollten dezidierte Schutzmechanismen ins Auge gefasst werden. Andernfalls droht die UTM-Lösungen zum Flaschenhals zu werden.

Als dynamisches Duo

Ein weiteres Gegenargument ist die Tatsache, dass UTM-Produkte konzeptbedingt so genannte Single Points of Failure sind. Das bedeutet: Wenn eine einzelne Komponente ausfällt, stehen alle Räder still. In diesem Fall würde der Ausfall der UTM-Appliance bedeuten, dass keinerlei Internet-Konnektivität mehr geboten ist. Kommen eigenständige Komponenten zum Einsatz, bedeutet z.B. der Absturz der Antivirensoftware oder der Ausfall eines Proxy-Servers noch lange keine Online-Zwangspause. E-Mail-Verkehr, Internet-Telefonie oder in eine DMZ (Demilitarisierte Zone) ausgelagerte Webserver wären von den Defekten nicht betroffen.

Serie: Unified Threat Management
Teil 1 erläutert die Idee hinter UTM und be­richtet aus der Praxis, was eine solche Lösung bringen kann. Teil 2 stellt sich auf skeptische Seite und klopft das Flaschen­hals­konzept auf mög­liche Schwach­stellen ab. Teil 3 geht den Markt an und schildert das Geschäfts- und Service­modell am Bei­spiel des deutschen Her­stellers Securepoint.

Zumindest dieses Problem lässt sich im UTM-Umfeld aber einigermaßen elegant lösen: Hersteller wie Securepoint geben ihren Produkten von Haus aus die Fähigkeit zur Redundanz mit auf den Weg. Je nachdem, wie kritisch die Appliance ist, kann der Kunde sich für einen der beiden Wege entscheiden: Entweder er wählt die günstige Option des so genannten Cold Standby, oder er entscheidet sich für das teurere Hot Standby.

Bei Letzterem laufen zwei UTM-Appliances ständig im Parallelbetrieb, wobei nur eine tatsächlich aktiv ist. Die zweite übernimmt zwar augenblicklich sämtliche Konfigurationsänderungen der ersten und versorgt sich auch permanent mit allen Antiviren-Updates aus dem Internet. Aktiv wird die Ersatz-Appliance allerdings erst, wenn die Haupt-UTM-Lösung aus irgendeinem Grund nicht mehr funktionstüchtig ist. Der Nachteil: Der Kunde muss für die Standby-Appliance mindestens das Lizenzgrundpaket kaufen.

Quasi gratis, aber trotzdem hinreichend sicher ist das Cold-Standby-Konzept. Securepoint erlaubt jedem Kunden, eine zweite Appliance zu installieren und diese nach Belieben von Hand mit den Konfigurationsänderungen und Virensignaturdateien zu versorgen. Fällt eine UTM aus, muss man die zweite manuell in den Live-Betrieb versetzen. Jörg Hohmann, Director für Sales und Marketing bei Securepoint, erklärt, dass das Umschalten auf die Ersatz-UTM normalerweise binnen weniger Minuten über die Bühne geht – vorausgesetzt, die Appliance kennt die aktuelle Konfiguration und ist auf aktuellem Stand.

Mit Markt, Preis- und Service-Struktur beschäftigt sich Teil 3 dieser Serie.
Uli-Ries.jpg

Uli Ries ist freier Journalist und Autor mit abgeschlossene journalistischer Ausbildung und langjähriger Erfahrung (u.a. bei CHIP, PC Professionell und www.notebookjournal.de). Seine Spezialgebiete sind Mobilität, IT-Sicherheit und Kommunikation – zu diesen Themen tritt er immer wieder auch als Moderator und Fachreferent auf.

Kontakt via Xing

Nützliche Links