Appliances für Content-Filtering und Virenscan
Türsteher

NetzwerkeSicherheitSicherheitsmanagement

Eine Firewall allein reicht für den Schutz eines Netzwerks nicht aus. Internet Professionell testet fünf Appliances, die den Datenverkehr zusätzlich auf Viren und unerwünschte Inhalte überprüfen.

Gefilterte Inhalte

Appliances für Content-Filtering und Virenscan

Im Schnitt jede zehnte E-Mail war 2004 in Deutschland mit einem Virus infiziert das sagen die Zahlen des Antivirensoftware-Herstellers Messagelabs. Aber auch Instant Messenger, P2P-Tools und Webseiten bringen zunehmend gefährliche Fracht auf den PC. Damit solche Schädlinge die Workstations und Server im Netzwerk nicht erst erreichen, klinken sich Appliances zwischen LAN und Internet ein. Sie filtern und überprüfen den Datenstrom, der aus dem Internet fließt. Verglichen mit reinen Software-Lösungen versprechen sie weniger Belastung für den Server und eine einfachere Verwaltung.

Gleichzeitig überprüfen sie den Inhalt von Webseiten oder blocken den Zugriff auf bestimmte Adressen ganz. So stellen sie beispielsweise sicher, dass Mitarbeiter nicht während der Arbeitszeit Sportwetten abschließen oder sich auf Spieleseiten herumtreiben. Trotzdem bleibt der Zugriff auf wichtige Seiten erhalten, etwa von Lieferanten.


Lizenzierter Schutz

Appliances für Content-Filtering und Virenscan

Die Antivirensoftware kaufen die Appliance-Hersteller als Lizenz bei einschlägigen Herstellern ein, da die Entwicklung und vor allem Pflege eines Antivirenprogramms erheblichen Aufwand und jahrelange Erfahrung erfordert. So lässt Bluecoat etwa die Wahl zwischen McAfee, Sophos und Panda Software, auch das deutsche Antivir von H+B EDV ist beliebt. Eine Ausnahme macht nur Sonicwall hier werkelt ein selbst entwickelter Virenschutz namens Complete Anti-Virus. In der Liss II ist Clam AV vorinstalliert, ein Open-Source-Virenscanner. Dessen Programmierer halten die in der Appliance verwendete Version selbst für noch nicht ausgereift. In Tests übersieht der Scanner selbst bei verbreiteten In-the-wild-Viren etliche Exemplare. Als alleiniger Virenschutz ist er kaum geeignet. Die übrigen Virenscanner machen solche Fehler nicht.

Wichtiger als auch den letzten exotischen Schädling zu finden sind ohnehin kurze Reaktionszeiten bei neuen Viren. Hier würde es sich anbieten, mehrere Virensuchmaschinen einzusetzen, um so die Hersteller gegeneinander auszuspielen. Doch nur zwei der Geräte erlauben diese Technik Liss II sowie Ben Hur II.


Kosten beachten

Appliances für Content-Filtering und Virenscan

In jedem Fall werden für die regelmäßigen Online-Up-
dates der Virenscanner zusätzliche Lizenzgebühren unabhängig vom Kaufpreis der Appliance fällig. Die Höhe richtet sich nach dem gewünschten Hersteller, der Laufzeit und der Anzahl der Clients im Netzwerk. Pyramid verlangt für ein Jahr und 25 Benutzer bei Antivir beispielsweise knapp 500 Euro (Web- und E-Mail-Filter), bei Trend Micro sind es für 25 Benutzer etwa 1050 Euro. Davon ausgenommen ist nur Clam AV bei Liss II, hier sind Updates kostenlos. Gleiches gilt für Content-Filter, auch hier fallen für regelmäßige Updates der Adressliste samt Kategorisierung Lizenzkosten an. Pyramid nimmt für 25 Benutzer und den Cobion-Filter zum Beispiel rund 530 Euro pro Jahr.

Je nach Benutzerzahl kommen für Content-Filter und Virenschutz also erhebliche laufende Kosten zusammen, die bei der Kaufentscheidung zu berücksichtigen sind.


Nicht perfekt

Appliances für Content-Filtering und Virenscan

Perfekten Schutz bietet keine der Appliances. Entweder patzen sie bei der Virensuche oder haben Schwächen beim Content-Filter. Entsprechend sollten Sie vor einem Kauf festlegen, welchen Zweck die Appliance erfüllen soll. Dem Testsieger fehlen beispielsweise ein E-Mail-Filter und Sonderfunktionen, während die zweitplatzierte Sonicwall einige Features beim Content-Filter auslässt.


Bluecoat ProxyAV 400-E0, ProxySG 400-0

Appliances für Content-Filtering und Virenscan

Die Lösung von Bluecoat besteht aus zwei Appliances: ProxySG filtert den Datenverkehr und beinhaltet zum Beispiel den Content-Filter. Soll ein Objekt auf Viren geprüft werden, so reicht es der Proxy über das LAN nach dem standardisierten Icap-Protokoll an die zweite Appliance ProxyAV weiter. Nach der Virenprüfung erhält der Proxy nur eine Statusmeldung. Im Cache des Proxy wird das Objekt dann als sauber oder infiziert markiert. So erübrigt sich die mehrmalige Viren-Prüfung eines Objekts, solange es im Proxy-Cache vorgehalten wird. Die Aufteilung ermöglicht sogar, mehrere AV-Appliances an einen Proxy anzuschließen.

Die erstmalige Konfiguration der Geräte erfolgt über Tasten und das LC-Display an der Gehäusefront. Danach verfügen diese über eine englischsprachige Web-Oberfläche. Die ProxySG setzt zudem auf Java-Applets. Beim AV-Scanner gibt es außer der Auswahl des Virenscanners wenig zu konfigurieren, die wesentlichen Einstellungen sind am Proxy zu treffen. Bluecoat bietet drei verschiedene Virenscanner zur Auswahl an. Für welchen man sich entscheidet, hängt von den persönlichen Bedürfnissen ab. Leider lassen sich nicht mehrere gleichzeitig nutzen.

Bei der Vielseitigkeit liegt ProxySG im Testfeld an der Spitze. In den Filterregeln lässt sich jedes Objekt mit jeder Aktion verbinden. So wäre denkbar, vor jedem Webzugriff eine Autorisierung des Anwenders durchzuführen. Beim Zugriff auf eine bestimmte URL-Kategorie können aktive Elemente wie Skripts und ActiveX-Controls aus den Seiten entfernt werden. Ebenso ist es möglich, TCP-Pakete von einer bestimmten IP grundsätzlich abzulehnen. Auch mit einzelnen Benutzern oder Gruppen lassen sich Regeln verknüpfen. Die Vielzahl an Konstellationen erlaubt individuelle Regelsätze, die trotz der guten Oberfläche schnell unübersichtlich werden. Beim ersten Start ist einiges an Konfigurationsaufwand erforderlich, um etwa die Virenprüfung für Webseiten zu aktivieren.

Auch beim Content-Filter herrscht Auswahl. Neben der firmeneigenen Lösung stehen immerhin ISS Proventia, Websense, Smartfilter und Surfcontrol bereit. Der ausgewählte Filter wird über den Regel-Editor konfiguriert.

Fazit. Bluecoat setzt sich bei der Vielseitigkeit und der Auswahl an Content-Filtern und Virenscannern an die Spitze. Der Preis dafür ist eine komplexe Konfiguration.

Info
Hersteller: Blueoat
Internet: www.bluecoat.de
Preis: 9375 Euro


Sonicwall Pro 2040

Appliances für Content-Filtering und Virenscan

Die Sonicwall Pro 2040 ist als Schaltstelle zwischen dem lokalen Netz und dem Internet gedacht. Am WAN-Port lässt sich ein Router oder direkt ein DSL-Modem anschließen. Am LAN-Port hängen die Workstations, der gesamte Datenverkehr läuft transparent über die Appliance.

Konfiguriert wird das Gerät über das LAN mit dem passenden Subnetz, ein Crossover-Kabel für die direkte Verbindung zum PC liegt bei. Die gesamte Verwaltung erfolgt über ein Web-Interface, für Notfälle steht ein Telnet-Zugang über eine serielle Schnittstelle zur Verfügung. Der Setup-Wizard und die Oberfläche sind englisch gehalten und nach kurzer Einarbeitung leicht zu beherrschen.

Zur Virensuche kommt der Scanner von McAfee unter dem Namen Complete Anti-Virus zum Einsatz. Die Appliance filtert ein- und ausgehende E-Mails ebenso wie HTTP- und FTP-Datenverkehr. Als Option untersucht der Scanner den gesamten TCP-Datenverkehr und blockiert passwortgeschützte ZIP-Archive sowie MS-Office-Dateien, die Makros enthalten. Eine explizite Unterstützung für P2P-Clients sowie Instant Messenger fehlt aber.

Als Option kann die Sonicwall Pro 2040 auch Antivirensoftware auf den Workstations im Netz verwalten. Die Konfiguration und die Verteilung der Updates erfolgt über die Appliance, ebenso die Auswertung der Log-Da
teien. Die Konfiguration der Clients bietet allerdings nur wenige Optionen. Auf Wunsch erhalten nur Workstations mit installiertem Antiviren-Client Zugriff aufs Internet.

Als Content-Filter bietet sich vor allem Sonicwall CFS an, die Alternativen Websense und N2H2 werden auf einem Server im LAN installiert. Der Filter bietet mehr als fünfzig Kategorien, eigene Listen lassen sich ergänzen. Darüber hinaus unterdrückt Sonicwall ActiveX-Controls, Java-Applets und Cookies. Ein Filter für Skripts fehlt. Der E-Mail-Filter kann Attachments bestimmter Dateitypen und Dateinamen verbreiteter Viren blockieren.
Die Benutzerverwaltung arbeitet mit Gruppen Zonen genannt , denen Benutzer zugewiesen werden. Für jede Zone lassen sich unter anderem Content-Filter und Gateway-Virenscanner einzeln aktivieren. Dabei gibt es nur für den Content-Filter individuelle Profile für Zonen und einzelne Benutzer.

Fazit. Sonicwall bietet sich als einfache Gesamtlösung für den sicheren Internet-Zugang kleinerer Netzwerke an. Installation und Wartung gehen leicht von der Hand.

Info
Hersteller: Sonicwall
Internet: www.sonicwall.de
Preis: 2314 Euro


Liss II Secure Gateway Pro

Appliances für Content-Filtering und Virenscan

Mit sechs LAN-Ports ist die Appliance gut ausgestattet. An jedem Port lässt sich ein eigenes Subnetz oder eine DMZ anschließen. Zudem gibt es einen Extra-Port, der wahlweise über ein DSL-Modem oder eine ISDN-Leitung die Internet-Anbindung herstellt. Damit werden auch die integrierte Firewall und Intrusion-Detection sinnvoll. Die Erstkonfiguration erfolgt über die serielle Schnittstelle und ein Terminalprogramm, alles weitere stellt man über eine deutschsprachige Web-Oberfläche ein. Die Zahl der Optionen hält sich in Grenzen, die Struktur ist übersichtlich.

Die Virensuche erfolgt bei HTTP- und FTP-Übertragungen sowie bei E-Mail-Übertragungen mit dem SMTP-Protokoll. Außer der Auswahl der Virensuchmaschine sind keine weiteren Optionen vorgesehen. Standardmäßig verwendet Liss II als Virenscanner den Open-Source-Scanner Clam AV. Zwar ist die Nutzung inklusive regelmäßiger Updates kostenlos, doch kann die Virensuchleistung nicht überzeugen. Von 156 verbreiteten Viren entdeckte der Scanner im Test immerhin sechs nicht. Bei seltenen Viren sieht das Ergebnis noch magerer aus. Das ist auch nicht weiter verwunderlich: Die Programmierer von Clam AV selbst halten ihren Scanner zum Testzeitpunkt noch nicht für ausgereift. Als Alternative bietet Telco Tech Antivir von H+B EDV an. Beide Virenscanner lassen sich gleichzeitig nutzen.

Als Content-Filter steht Cobion zur Verfügung, eine kostenlose interne Lösung gibt es nicht. Dafür sind die Filterfunktionen für HTTP-Datenverkehr clever angelegt. So kann man nach bestimmten Tags suchen und diese samt Inhalt etwa durch einen Kommentar ersetzen. So lassen sich ActiveX-Controls, Skripts und auch Werbebanner abfangen. Allerdings ist dafür jeweils Handarbeit bei der Definition der passenden Regeln gefragt.

Die Einstellungen des Virenscanners gelten global. Der Content-Filter und die Überwachung des Webzugriffs können als Profile gespeichert werden, die sich dann Gruppen und einzelnen Benutzern individuell zuweisen lassen. Die Benutzer und Gruppen müssen über die integrierte Verwaltung gepflegt werden, eine Anbindung an externe Verzeichnisse wie Active Directory ist nicht vorgesehen.

Fazit. Liss II erledigt die Grundaufgaben in allen Bereichen, ragt aber nirgends besonders heraus. Für die gebotene Leistung erscheint der Preis recht hoch.

Info
Hersteller: Telco-Tech
Internet: www.liss.de
Preis: 5104 Euro


Pyramid Ben Hur II-80

Appliances für Content-Filtering und Virenscan

Ben Hur ist als zentraler Server im LAN gedacht, der viele Standardaufgaben übernimmt. Neben einer Firewall bietet die Appliance einen Mail-Server, DHCP-, DNS- und FTP-Server, einen Webserver, einen Dateiserver, eine MySQL-Datenbank und internes Instant Messaging mit Jabber. Als Dreingabe gibt es Virenschutz und einen Content-Filter.
Die Grundeinstellung erfolgt über einige Tasten und das LC-Display an der Gehäusefront. Die deutschsprachige Web-Oberfläche ist klar gegliedert, auf Grund der umfangreichen Funktionen aber auf den ersten Blick verwirrend. Das gute deutschsprachige Handbuch mit 400 Seiten hilft jedoch bei allen Fragen weiter.

Die Virenscanner sind unter der Rubrik »Filter« aufgeführt. Die verfügbaren Optionen hängen davon ab, welcher der beiden Virenscanner aktiviert wird: Bei Trend Micro gibt es neben der Prüfung für E-Mails und HTTP-Daten auch eine Überwachung des FTP-Datenverkehrs. Die letztgenannte Option fehlt bei der Antivir-Variante. Zudem prüft Ben Hur II die Dateien auf seiner Festplatte, die auch als Dateiserver für die Benutzer im Netz dienen kann. Neben der Reaktion auf einen Virenfund gibt es keine weiteren Einstellungen. Dafür lassen sich beide Virenscanner gleichzeitig verwenden, was die Chance auf eine Erkennung seltener oder besonders neuer Viren verbessert. In diesem Testfeld unterstützt nur noch Liss II von Telco-Tech ebenfalls diese Doppeluntersuchung.

Der Content-Filter beschränkt sich darauf, den Zugriff auf Webseiten an Hand bestimmter Kategorien und nach der Uhrzeit zu regeln. Dabei sind eigene Listen mit Schlüsselwörtern vorgesehen, die sich dann in Regeln einsetzen lassen. Eine Regel gilt für eine Benutzergruppe, für einzelne Benutzer sind keine individuellen Einstellungen vorgesehen. Andere Filtermöglichkeiten wie das Ausblenden von Skripts in Webseiten ist nicht vorgesehen.

Speziell um E-Mail-Anhänge kümmert sich der Mime-Filter. Er kann Attachments nach der Dateinamensendung oder nach dem Mime-Typ identifizieren. Beim Mime-Typ sind auch Wildcards erlaubt.

Fazit. Die Appliance Ben Hur II von Pyramid ist der Alleskönner im lokalen Netzwerk, der ebenfalls eine gute Virenüberprüfung mitbringt. Mehr als die notwendigen Grundfunktionen für E-Mail- und HTTP-Überwachung werden allerdings nicht geboten.

Info
Hersteller: Pyramid
Internet: www.pyramid.de
Preis: 2695 Euro


Surfcontrol Risk Filter E10

Appliances für Content-Filtering und Virenscan

Die Appliance von Surfcontrol konzentriert sich auf die Bereiche Content-Filterung, Überwachung von E-Mail sowie Instant Messenger und P2P-Tools. Ein Webfilter für Viren fehlt, dies soll erst eine spätere Version der Software beherrschen. Die erste Konfiguration erfolgt über die serielle Schnittstelle mit einem Terminalprogramm. Zur Verwaltung des Linux-Systems dient die deutschsprachige Webmin-Oberfläche. Für die Konfiguration der Filterfunktion gibt es ein eigenständiges Web-Interface.

Der Content-Filter beschränkt sich auf die Sperrung klassifizierter Webseiten nach eigenen Kategorien. Surfcontrol lizenziert diese Technik auch an andere Hersteller, im Testfeld zum Beispiel an Bluecoat. Daneben gibt es noch einen Textfilter, der sich mit eigenen Regeln bestücken lässt. Viren auf Webseiten oder andere unerwünschte Elemente kann Risk Filter nicht entfernen.

Der E-Mail-Filter gegen Viren beschränkt sich auf eingehende Post mit dem SMTP-Protokoll. Dafür unterstützt Risk Filter den sicheren Zugriff aus dem Internet auf E-Mail-Dienste innerhalb des LANs. Für POP3, IMAP und Webmail lassen sich Proxys konfigurieren, die entsprechenden Server müssen anderweitig zur Verfügung stehen.

Die Anmeldung der Benutzer erfolgt über die jeweilige E-Mail-Adresse inklusive Passwort. Anhand der E-Mail-Adresse lassen sich mit Wildcards Gruppen b
ilden. Eine Gruppe kann auch nur aus einem Empfänger bestehen. Für jede Gruppe lassen sich Regeln für die Virensuche, Spam-Erkennung und Content-Filter definieren. Besonders vielseitig sind selbst definierte Content-Filter, die zum Beispiel nach Inhalt, Art des Attachments oder dem Absender die Manipulation der meisten Mail-Eigenschaften zulassen. Trifft eine Regel zu, so manipuliert sie zum Beispiel die Betreffzeile oder schickt dem Empfänger eine Nachricht über den Grund der Sperrung. Auch für Attachments gibt es pfiffige Optionen. So identifiziert der Filter beispielsweise Archive, deren Inhalt ausgepackt eine einstellbare Größe überschreitet dies nimmt Mail-Bomben den Schrecken. Durch verschachtelte Regeln lassen sich auch komplexe Anforderungen abbilden. Die Regeln zeigt Risk Filter übersichtlich als Baumstruktur an.

Fazit. Risk Filter ist vor allem bei der Behandlung von E-Mails stark. Damit eignet es sich als Ergänzung zum bestehenden Schutzsystem in einem größeren LAN.

Info
Hersteller: Surfcontrol
Internet: www.surfcontrol.de
Preis: 12000 Euro


Empfehlung der Redaktion

Appliances für Content-Filtering und Virenscan

Bluecoat ProxyAV 400-E0 + ProxySG 400-0

Die Lösung von Bluecoat mit der Aufteilung von Content-Filter und Virenscanner auf zwei Appliances überzeugt mit Performance und vielen Optionen. Besonders praktisch: Beim Virenscanner und dem Content-Filter kann der Kunde beim Testsieger Bluecoat zwischen vielen Anbietern wählen. Ein E-Mail-Filter fehlt allerdings, so dass zusammen mit der komplexen Bedienung die Empfehlung nicht uneingeschränkt gilt.

Dennoch kann das Bluecoat-Gerät überzeugen und stellt auf Grund der ausführlichen Optionen für das Content-Filtering den Testsieger.