29. Juni 2021 | Weitere Tests
  • Beitrag teilen:

Sichere Gateways für Unternehmen

Jeder Datenstrom in oder aus einem Unternehmen fließt zwangsläufig durch ein Gateway. Das Labor von AV-TEST prüft die Sicherheit von Gateways in Form von Cloud-Lösungen, VMs oder sogar als Hardware-Appliances und vergibt dafür Prüfzertifikate. Sales- und Produktmanager können auf diesem Weg mehr Marktakzeptanz für ihre Gateway-Lösungen erreichen.

Zertifizierungstests für Gateways –

wenn alles an einer Stelle passieren muss

zoom

Beim lückenlosen Schutz eines Unternehmensnetzwerks spielt ein Gateway die zentrale Rolle. Jeder Datenverkehr von allem was „IP“ spricht und das Netzwerk verlassen oder hereinkommen will, muss diese Stelle passieren. Da ein Gateway durch seine exponierte Aufgabe einer der wichtigsten Sicherheitsbausteine ist, sollte es in der Lage sein, ein Unternehmen umfänglich zu schützen. Dabei müssen alle ein- und ausgehenden Verbindungen und Datenströme untersucht, ausgewertet und entsprechende Maßnahmen getroffen werden. Gateways sind auch bei der Umsetzung von Sicherheitsrichtlinien unumgänglich.

Weites Feld an Herstellern und Lösungen

Auf dem Markt bieten sehr viele Hersteller ihre Lösungen an. Geht man nach den Marktforschern Gartner oder Forrester und ihren Erhebungen in den letzten Jahren, so sind diese Unternehmen im Konkurrenzkampf: Allot, Akamai, Barracuda, Broadcom (Symantec), Cisco, Content Keeper, DNSFilter, Forcepoint, Iboss, Infoblox, Kaspersky, McAfee, Menio Security, Netskope, Palo Alto, QI-Anxin Technology Group, Sangfor Technologies, Sophos, Trend Micro, Zscaler. Diese Liste an Herstellern ist natürlich nicht vollständig. Sie gibt nur einen kleinen Überblick über den Markt.

Geprüfte Sicherheit bei Gateways

Das Labor zertifiziert die Sicherheit von Secure Web Gateways (SWG) und Secure DNS

zoom ico
Teststruktur und Ablauf bei Gateway-Tests

Die Zertifizierungstests für Secure Web Gateway und Secure DNS (als Cloud-Lösung, virtuelle Maschine oder Hardware-Appliance) ist bei Einzel- oder Vergleichstests identisch

zoom ico
URL- und Sample-Prüfung bei Gateway-Tests

Der Aufbau und Ablauf im Test ist definiert; innerhalb eines Vergleichstest werden alle Produkte  immer parallel getestet

zoom ico

1

Geprüfte Sicherheit bei Gateways

2

Teststruktur und Ablauf bei Gateway-Tests

3

URL- und Sample-Prüfung bei Gateway-Tests

Secure Web, DNS, Cloud oder doch Internet Gateway?

Leider haben es Unternehmen nicht immer leicht zu verstehen, welches Gateway für welche Aufgaben nun das richtige ist. Denn in den Produktportfolios der Hersteller begegnen auch Fachleuten immer wieder eine Menge an vermischten Fachbegriffen. Gerne wird dabei das Secure Internet Gateway (SIG) aufgeführt, welches aber aus drei Gateway-Teilen besteht: dem Secure Web Gateway (SWG), dem Secure DNS und dem Cloud Access Security Broker (CASB). Zudem sind SIGs zwar gewünscht, existieren aber nicht als direktes Produkt, sondern nur als zusammengesetzte Lösung. Auch CASB dient nicht als Gateway, sondern setzt Sicherheitsrichtlinien zwischen Anwender und Cloud-Applikationen durch und überwacht, steuert und protokolliert.

Die für Unternehmensnetzwerke am Markt angebotenen Gateways sind somit fast immer Secure Web Gateway (SWG) und Secure DNS. Diese Lösungen bieten die Hersteller meist als Cloud-Lösungen, virtuelle Maschinen und teilweise als lokale Hardware-Appliances an. Daher fokussiert sich das Labor von AV-TEST auf die Prüfung und die Zertifizierung dieser beiden Produktgruppen, was für den Sales-Bereich und für die Qualitätssicherung der Hersteller extrem wichtig ist.

Secure Web Gateway (SWG) und Secure DNS

Die Aufgaben und Funktionen von Secure DNS sind relativ einfach erklärt. Die DNS-Reputationsabfrage ist der erste Sicherheitsbaustein und wehrt bereits viele Attacken ab. Da Secure DNS prüft, ob eine Domain legitim ist oder nicht, werden viele Angriffsversuche bereits beim Verbindungsaufbau erkannt und blockiert.

Die Aufgaben eines Secure Web Gateway (SWG), welches den DNS-Teil bereits integriert hat, sind wesentlich umfangreicher: URL-Filtering, Echtzeit-Traffic-Überprüfung, Anwendungskontrolle, Data Leak Prevention, Antivirus- und Antimalware-Schutz, Kontrolle des verschlüsselten Verkehrs, Netzwerk- und Messenger-Kontrolle sowie Botnet-Erkennung. Oft wird auch die E-Mail-Sicherheit genannt, wobei diese meist in gesonderten E-Mail-Gateways angeboten wird.

Teststruktur und Methodik des Labors

Alle Lösungen, die das Labor von AV-TEST überprüft, unterliegen einer festgelegten Testmethodik. Der erste Testteil, der Schutz auf der DNS-Ebene, wird natürlich bei beiden Produktgruppen getestet. Dabei wird auf der DNS-Ebene die Infrastruktur des Internets genutzt, um schädliche und unerwünschte Domänen und Cloud-Anwendungen zu blockieren, noch bevor im Rahmen der rekursiven DNS-Auflösung eine Verbindung hergestellt wird. Beim Schutz auf der DNS-Ebene wird Malware frühzeitig gestoppt. Außerdem werden Rückrufe an Angreifer verhindert, wenn sich infizierte Systeme mit dem Netzwerk verbinden.

Beim Schutz auf der DNS-Ebene mit selektivem Cloud-Proxy werden nur riskante Domänenanfragen zur eingehenderen Inspektion des Webinhalts umgeleitet. Dies erfolgt transparent über die DNS-Antwort.

Da Webgateways noch weitere Aufgaben haben, geht hier der Test weiter: Für ein sicheres Webgateway ist ein vollständiger Webproxy erforderlich, der alle Webverbindungen erkennt und überprüft. Im Gegensatz zum Schutz auf der DNS-Ebene, bei dem nur Domänennamen und IP-Adressen analysiert werden, sieht ein Webproxy alle Dateien sowie die vollständigen URLs. Dies ermöglicht eine eingehendere Prüfung und Kontrolle.

Cisco Umbrella Secure Web Gateway

Ein Beispiel für ein SWG: Die Cloud-basierte Cisco-Lösung prüft den gesamten Webverkehr, bietet einen Antiviren- und erweiterten Malware-Schutz, Sandboxing, Entschlüsselung, Inhaltskontrolle und granulare App-Aktivitätskontrollen

zoom ico
Netskope Next Gen Secure Web Gateway

Auch solche umfangreichen SWGs könnte das Labor testen: Die Web-Sicherheitslösung vereint SWG, CASB und DLP zu gemeinsamen Richtlinienkontrollen mit benutzerdefinierten Berichten

zoom ico
DNSFilter DNS Security

Ein klassisches Beispiel für einen DNS-Security-Testkandidaten: Die KI-basierte Enterprise-Content-Filtering-Lösung als DNS-Schutz bietet Inhaltsfilterung und somit immer aktuellen Bedrohungsschutz

zoom ico

1

Cisco Umbrella Secure Web Gateway

2

Netskope Next Gen Secure Web Gateway

3

DNSFilter DNS Security

Immer neue und reale Testfälle im DNS-Test

Für eine reale Testbewertung der Secure-DNS-Lösungen und Secure Web Gateways (SWG) im DNS-Testbereich verwendet das Labor immer nur aktuelle Samples, URLs und Metadaten. Diese sammelt das Labor permanent mit Hilfe von Honeypots auf Webseiten oder aus E-Mails ein.

Vor einem Test analysiert das Labor bei allen Samples, dass es sich um schädliche Websites oder Phishing-Links handelt. AV-TEST führt sowohl statische als auch dynamische Analysen an Samples durch, um sicherzustellen, dass die Domänen zum Testzeitpunkt aktiv schädliche Inhalte hosten und diese schädliches Verhalten zeigen. Im Test werden geprüft:

  • URLs, die auf schädliche PE-Dateien verweisen (Portable Executable-Dateien für Windows, EXE-Dateien)
  • URLs mit anderen schädlichen Zielen (Nicht-PE-Dateien, in der Regel HTML- oder PHP-Websites, einschließlich Links zu Skripts wie JavaScript oder VBS)
  • Links zu Phishing-Websites

Für verlässliche Testaussagen nutzt das Labor in der Regel mehrere tausende Testfälle in jeder geprüften Kategorie.

Teststruktur für Secure Web Gateways

Da die Aufgaben und Möglichkeiten eines Secure Web Gateways (SWG) umfangreicher sind, prüft AV-TEST in der Regel auch deren Erkennungsleistung bereits beim der Download von Schad-Software. Auch im Bereich der Malware-Prüfung greift das Labor auf seine eigenen, permanent aktualisierten Malware-Datenbanken und Samples zu. Es lassen sich auch ganze Malware-Familien in die zu prüfenden Lösungen einspeisen und somit die Erkennungs- und Schutzleistung genau ermitteln.

Zusätzlich gibt es eine erweiterte Prüfung von URLs (auch IP-basierte), sowie einen umfassenden False-Positive-Test (Fehlalarme) beim Zugriff auf ungefährliche Dateien, Software und Webseiten. Für den Test auf Fehlalarme bei Software sammelt das Labor seit vielen Jahren Dateien aus dem Internet und von Applikationen, klassifiziert sie und fügt sie in eine Datenbank ein. Dieser stetig aktualisierte Dateibestand von harmlosen Dateien und ihren Hash-Werten liegt bereits bei ein paar Millionen Exemplaren und wächst stetig weiter.

Ähnlich verhält es sich bei der Fehlalarmprüfung beim Besuch von Webseiten. Das Labor unterhält eine ständig aktualisierte URL-Top-Liste von tausenden harmlosen Webseiten, die mit in die Prüfung einfließen.

Hat ein Hersteller weitere Wünsche im Prüfungsumfang, so lassen sich diese auch realisieren, wie etwa zum Beispiel der Zugriff auf C2-Domänen oder das Ausführen von Live-Malware auf einem Client hinter dem getesteten Gateway-Produkt.

Social Media

Wir wollen mit Ihnen in Kontakt bleiben! Erhalten Sie unkompliziert und regelmäßig die aktuellsten News und Testveröffentlichungen.