Security-Appliances
Starke Sheriffs

Netzwerke

Aktuelle Appliances unter 1000 Euro bieten bereits Funktionen, die lange nur viel teureren Geräten vorbehalten war. Im Sicherheits-Check schneiden alle Geräte gut ab. Unterschiede zeigen sich bei Benutzerfreundlichkeit und Performance.

Diese Produkte haben wir verglichen

Security-Appliances

_Astaro ASG 110
_Zyxel Zywall 35
_Sonicwall TZ 170 Total Secure
_Checkpoint Safe@Office 225
_Lancom VPN 1711
_Cisco 871


Viele Zusatzfunktionen

Security-Appliances

Verglichen mit einem herkömmlichen Router bieten aktuelle Security-Appliances wesentlich mehr Funktionen. So ist die Erkennung von Angriffen über eine Intrusion-Detection (IDS) inzwischen schon bei Geräten unter 1000 Euro Standard.

Zusätzlich finden sich Features wie Virenscanner für E-Mail-Anhänge und aus dem Internet heruntergeladene Dateien sowie Spamfilter und Content-Überwachung. Diese Zusatzfunktionen verschlingen mehr Rechenleistung als die reine Routingfunktion. Im Sicherheits-Check mit der BSI-Suite schneiden alle Geräte gleich gut ab. Bei Performance und Benutzerfreundlichkeit gibt es aber große Unterschiede.


Astaro ASG 110

Security-Appliances

Als einzige Appliance im Test setzt Astaro auf PC-Hardware, im Labor belegt sie durchgängig Spitzenplätze in den Leistungsmessungen. Die Festplatte erlaubt das Puffern großer Dateien für den Virenscan. Im PCpro-Test gibt sich die ASG 110 auch keine Blöße und wird so mit deutlichem Abstand zum restlichen Teilnehmerfeld verdient Testsieger.


Der Sicherheits-Check

Security-Appliances

Um die Leistungsfähigkeit der in den Appliances eingebauten Schutzfunktionen zu testen, verwenden die PCpro-Experten die BSI OSS Security Suite (www.bsi.de), mit deren Tools sie die Probanden intensiv unter Beschuss nehmen. Die BSI-Suite simuliert zum einen bekannte Angriffe auf Schwachstellen in Betriebssystemen und Netzwerkgeräten, die von den Appliances erkannt und gemeldet werden sollten. Zum anderen prüft sie, ob die Appliances selbst über Schwachstellen angreifbar sind.

Bei der Angriffsabwehr bestehen alle Kandidaten den Test mit Bravour: Die Laborexperten registrieren keine einzige erfolgreiche Attacke. Anders sieht das Bild jedoch bei der Benachrichtigung des Anwenders aus. Lediglich die Sonicwall TZ 170 meldet dem Administrator die meisten Angriffe auch als solche, während der Rest des Testfelds sie bereits in der Firewall abfängt und nur als unzulässige Pakete markiert. So verpuffen die Attacken zwar wirkungslos, allerdings bleibt auch dem Administrator der versuchte Einbruch ins Netz verborgen.

Ein Problem meldet der BSI-Scanner bei der Lancom 1711 VPN. Das Protokoll für den Schlüsselaustausch bei IPsec-Verbindungen sei eventuell fehlerhaft, im schlimmsten Fall eine DoS-Attacke auf die VPN-Verbindungen möglich. Hierbei handelt es sich aber um eine bekannte Eigenheit der Lancom-Appliances. Im Auslieferungszustand ist VPN-Passthrough aktiviert, um Anwendern den Zugriff auf einen hinter der Firewall arbeitenden VPN-Server zu gewähren. Dazu müssen eingehende VPN-Anfragen zunächst angenommen und geprüft werden. Das führt zu der beschriebenen Fehlinterpretation durch den BSI-Scanner. Eine Sicherheitslücke ist dieses Verhalten nicht, außerdem lässt sich die Passthrough-Funktion abschalten


Testergebnisse im Überblick

Security-Appliances

Hersteller Produkt Gesamturteil Leistung (50 %) Ausstattung (20 %) Bedienung (15 %) Service (15 %)
Astaro ASG 110 gut sehr gut sehr gut gut ausreichend
Zyxel Zywall 35 gut befriedigend gut sehr gut befriedigend
Sonicwall TZ 170 Total Secure befriedigend befriedigend befriedigend gut sehr gut
Checkpoint Safe@Office 225 befriedigend gut ausreichend befriedigend ausreichend
Lancom VPN 1711 befriedigend befriedigend ausreichend ausreichend gut
Cisco 871 ausreichend ausreichend ausreichend gut ausreichend