Checkpoint Integrity – eine “zentrale Desktop Firewall”
m.schmidt 24. November, 2006
Über den Sinn und Unsinn von Desktop Firewalls wurde vielerorts bereits hinlänglich gestritten. Größter Kritikpunkt: Der normale Nutzer weiß nicht, welchen Programmen und Diensten er welche Art von Verkehr erlauben soll. Mit dem Produkt ‘Integrity‘ bietet Checkpoint dazu ein beeindruckend mächtiges Werkzeug, dieses Problem zu lösen.
Nun, Integrity ist kein Produkt aus dem Hause Checkpoint, sondern gelangte durch den Kauf von ZoneLabs ins Portfolio, und so stellt sich die GUI des Clients auch dar wie die bekannte Desktop Firewall ZomeAlarm.
Doch Checkpoint hat zusätzlich zu diesem Client einen Server entwickelt, welcher das Policy Management (Verwaltung und Verteilung) übernimmt.
Dieser kann Restriktionen auf Zonen- Protokoll- und Applikationsebene einrichten und verwalten. Protokollebene ist klar, eine schnöde Layer 4 Firewall, die anhand von Portnummern und Adressen aus den verschiedenen Zonen (trusted, internet) Pakete zulässt – oder eben nicht. Mächtig sind die Regeln auf Programmebene. Der Client gestattet nur bekannten Programmen (basierend auf Filename, Checksumme u.ä.) den Zugriff aus bestimmte Netzwerkbereiche, oder hindert diese Programme gar ganz an der Ausführung. Ebenso kann er feststellen, welche AV Software installiert ist, ob diese aktuell ist, oder etwa welche Windows Hotfixes auf dem System installiert sind. Erfüllt der Client bestimmte Anforderungen nicht, wird ihm der Netzzugang eingeschränkt, oder ganz verboten.
Das Management solch einer Fülle von Programmen und Regeln kann schnell unübersichtlich werden, doch auch hier hilft der Integrity Server weiter. Zum einen meldet jeder Client die Programme, welche ins Internet wollen, an den Server (und behandelt die erstmal nach seinem default Schema). So bekommt der Administrator einen Überblick, welche Software auf welchen Versionsständen in seinem Netz aktiv ist. Danach kann er anhand dieser Liste Regeln für die Programme definieren. Ein zweites Hilfsmittel sind Referenzsysteme, nach dem Motto: “Die Software auf diesem System ist auch auf allen anderen erlaubt”. So genügt es, ein System aktuell zu halten, die Restlichen folgen von allein, denn wird ihnen aufgrund eines fehlenden Patches der Netzzugang verwehrt, kann der Integrity Server zusammen mit der Fehlermeldung auch gleich den entsprechenden Patch ausliefern.
In Zeiten, in denen Laptops und PDA’s immer selbstverständlicher werden, und Mitarbeiter durchaus auch in wenig vertrauenswürdigen Netzen unterwegs sind, ist diese Lösung sicher eine gute Hilfe für jeden Administrator, um nicht nur die Schnittstelle seines Netzes mit der Außenwelt, sondern auch den Verkehr in seinem Netz zu überwachen. Denn die Lösung funktioniert auch mit VPN Verbindungen: Während eMule läuft, ist kein VPN möglich.
Integrity ist hier noch lange nicht am Ende, falls jemand Interesse hat möge er einen kurzen Kommentar hinterlassen, evtl. entsteht ein zweiter Teil zum Überblick, oder ein kurzes HowTo.
