Neue Firewall aus dem Hause Microsoft

Microsoft hat die neue Version des Internet Security and Accelartion Server (ISA) vorgestellt. Das ist eine Application Layer Firewall, eine VPN- und Webcache-Lösung. Microsoft hat versucht, beim neuen Release die Administration der Software so einfach wie möglich zu gestalten. Neu gegenüber dem ISA Server 2000 ist daher unter anderem das Dashboard, eine Übersicht über alle Sicherheitseinstellungen, Sitzungen, Datenverkehr und Sicherheitsmeldungen in Echtzeit. Microsoft will sich die Firewall nach Common Criteria  für den Level EAL4+ zertifizieren lassen. Der ISA Server wird in den nächsten Wochen im Handel erhältlich sein, detaillierte Informationen gibt es in einem Whitepaper, wo es in Kürze auch eine zeitlich begrenzte Evaluierungsversion geben wird.
Schon der Vorgänger verfügte über eine Application Layer Firewall. Diese wurde von den ICSA Labs (International Computer Security Association), einem Standardisierungsinstitut für kommerzielle Sicherheitsprodukte getestet. Mit dem Featurepack 1 ab 2003 wurde der ISA Server 2000 auch nach Common Criteria durch das Bundesamt für Sicherheit in der Informationstechnik (BSI) zertifiziert.

Die Software-Firewall setzt auf dem Windows Server 2003 auf und eignet sich nach Angaben von Microsoft für Unternehmen jeder Größenordnung. Der Server ist speziell für Applikationen wie dem Exchange Server oder Portal-Technologien von Microsoft ausgelegt. Die Firewall überprüft nicht nur die einzelnen Datenpakete, wo Filter sehr einfach umgangen werden können, sondern auch den Datenverkehr bis hin zur Anwendungsebene. Wenn die Ports nach der Filterung nicht mehr gebraucht werden, schließt der Server diese wieder. Eine Anti-Virus- und Anti-Spam-Lösung beinhaltet die Software allerdings nicht, doch biete der Server Schnittstellen für die Produkte anderer Hersteller wie etwa McAfee, GFI, Webspy oder Rainfinity. 

Der ISA Server integriert auch Active Directory und Radius, damit können Nutzungs- und Authentifizierungsregeln für verschiedene Gruppen aus Personaldatenbanken erstellt werden. Mitarbeiter im Außendienst können nicht nur über den zusätzlich gesicherten Outlook Web Access (OWA) auf ihre Postfächer zugreifen, sondern sich auch sicher über die VPN-Dienste (Virtual Private Network) des Servers in das Unternehmensnetzwerk einwählen.

Microsoft hat mit dem neuen Produkt vor allem Kunden im Visier, die mit möglichst geringem Aufwand die Schnittstellen zu ihrem Firmennetzwerk absichern wollen und deswegen auf die Homogenität ihrer Umgebung setzen. Dazu gehören IT-Leiter wie Alexander Fischer vom Spezialpapierhersteller August Köhler. Nach Problemen seiner Außendienstler, von extern auf Anwendungen zuzugreifen und etlichen Versuchen, das Problem über Firewalls anderer Hersteller zu lösen, hat er sich für das Microsoft-Produkt entschieden.

“Die Infrastruktur für einen sicheren VPN-Zugriff hat keine Zusatzinvestition erfordert”, so Fischer, der nach eigenem Bekunden ein Verfechter von homogenen Strukturen ist: “Egal ob Unix oder Microsoft, es sollte möglichst einheitlich sein”. Denn nur in einer homogenen Umgebung lassen sich nach seiner Meinung auf Dauer ökonomisch sinnvoll Einsparungen erreichen.

Die Firewall des Servers überprüft derzeit der TÜV für Informationstechnik in Essen auf Common Criteria EAL 4+, ein Sicherheitsstandard, der bislang in zwölf Ländern akzeptiert ist. Laut Stephan Slabihoud, Information Security Consultant beim TÜV, lassen auch andere Hersteller ihre Produkte nach dem Standard zertifizieren. Auf dem Markt gibt es etliche Produkte, die nach EAL4 zertifiziert sind. EAL4+ jedoch, ist die höste Stufe. Vor 3 Jahren ist als erstes Produkt am Markt die Firewall von CyberGuard EAL4+ zertifiziert worden. In letzter Zeit haben auch die Produkte von Netscreen, Secure Computing und Boarderware diese Zertifizierungsstufe erreicht.

Doch werde nicht der gesamte Server untersucht, sondern nur die Firewall als solche. “Wir schauen uns sozusagen nur die Bremsen und die Lenkung an”, schildert Slabihoud mit einer Analogie zum Auto. “Welcher Motor da jetzt reinkommt, interessiert uns nicht.” Die VPN-Dienste und der Webcache würden nicht überprüft. Der VPN-Dienst sei aber Gegenstand einer Prüfung in den USA, die im Zuge einer Windows XP-Zertifizierung erfolge. Daher mache es keinen Sinn, den Prozess zwei Mal durchzufürhen, fügt Markus Bartsch, Produktmanager beim TÜV, an.

Die Hersteller Pyramid und Wortmann planen Appliances mit dem ISA-Server. Hewlett-Packard  wird die gesamte Suite zusammen mit den ProLiant Servern ausliefern. In den USA liegt der Preis des ISA Servers bei 1500 Dollar pro Prozessor. Die Standard Edition wird im dritten Quartal erhältlich sein. Über Preise in Europa können derzeit noch keine Angaben gemacht werden.