ZyXEL ZyWALL SSL 10 VPN-Appliance im Test

ZyXEL hat in letzter Zeit eine gewisse Diversifizierung vorgenommen, wie in unserer exklusiven Überprüfung der NSA-2400 wo wir sahen, wie es in den heiß umkämpften Markt für Desktop-NAS-Appliances vordrang. Jetzt zielt die neueste ZyWALL SSL 10 darauf ab, in der Welt der SSL-VPNs Fuß zu fassen.

Die Attraktivität von SSL-VPNs für kleine Unternehmen wurde von den meisten KMU-Netzwerkanbietern nicht vermisst, wobei die Mehrheit dieses Jahr aufholt und kostengünstige Appliances liefert. Billion war einer der ersten mit seinem gut ausgestatteten BiGuard S10 und wurde schnell von Netgear und Linksys gefolgt. Wenn man die Preisskala auf über £200 kippt, liegt das SSL 10 fest im selben Stadion wie Billion und Netgear, und hier sehen wir, ob es die Funktionen hat, um ihnen gerecht zu werden.

Diese kompakte Appliance unterstützt bis zu 10 SSL-VPN-Tunnel, kann jedoch auf 25 Tunnel aufgerüstet werden. Es verfügt über vier geschaltete Fast-Ethernet-Ports und einen einzelnen RJ-45-WAN-Port, der an ein Breitbandmodem oder an ein vorhandenes Gateway angeschlossen werden kann. Es verfügt über eine eigene SPI/NAT-Firewall, sodass Sie eine Internetverbindung aufbauen können, oder Sie können es in eine DMZ hinter einer vorhandenen Firewall einfügen.

Die Weboberfläche ist einfach zu bedienen und ein Assistent hilft bei der Konfiguration der Appliance entweder als Gateway oder wenn sie sich in einer DMZ befindet. Um den Zugriff auf LAN-Ressourcen zu sichern, verwendet die Appliance eine Kombination aus Benutzerauthentifizierung und Gruppenmitgliedschaft plus Netzwerkobjekten. Für die Authentifizierung haben Sie viele Möglichkeiten, da Sie die lokale Benutzerdatenbank der Appliance verwenden können, aber auch AD-, LDAP- und RADIUS-Server unterstützt.

SSL-Anwendungsobjekte werden verwendet, um einen Dienst und eine zugehörige IP-Adresse im LAN zu definieren. Bei webbasierten Anwendungen geben Sie die Adresse des Hosting-Servers an und wählen als Servertyp Webserver, Webmail oder OWA (Office Web Access). Für Nicht-Webanwendungen definieren Sie sie als Anwendungen mit einer zugehörigen IP-Adresse, TCP- oder UDP-Transport- und Diensttyp. Schließlich haben Sie grundlegende Dateifreigabeobjekte, die die IP-Adresse eines Systems und den Freigabepfad zu einer Datei oder einem Verzeichnis enthalten, die einem Remote-Benutzer angezeigt werden. Wenn Sie vollen Zugriff auf das LAN gewähren möchten, definieren Sie das Adress-Subnetz als VPN-Netzwerk, das einen vollständig verschlüsselten Tunnel erstellt, der den Zugriff auf das lokale Netzwerk ermöglicht.

Jetzt können Sie Richtlinien erstellen, um zu bestimmen, auf welche Remotebenutzer zugreifen dürfen. Jede Richtlinie kann ausgewählte Benutzer und Gruppen enthalten, ihr eine Reihe von Objekten zugewiesen und zu bestimmten Tageszeiten geplant werden. Sie können auch entscheiden, ob Sie den vollständigen Netzwerkzugriff zulassen und verschiedene VPN-Netzwerke bereitstellen, die die privaten Adressen bestimmen, die sie erhalten. Nützlicherweise werden alle Änderungen an Netzwerkobjekten automatisch an die Richtlinien weitergegeben, die sie verwenden.

Mit der Endpunktsicherheit von ZyXEL können Sie das Client-System auf Betriebssysteme, Service Packs usw. überprüfen. Nach erfolgreicher Authentifizierung lädt die Appliance ActiveX-Steuerelemente und Java-Apps herunter, die das System nach erforderlichen Komponenten durchsuchen. Sie können nach bestimmten Versionen von IE, NetScape, Mozilla und FireFox suchen und nach Antivirenprodukten suchen, obwohl dies derzeit auf Symantec und McAfee beschränkt ist. Sie können jedoch auch darauf bestehen, dass deren Auto-Protect-Funktion eingeschaltet ist, und das Vorhandensein von Windows-Patches, Registrierungseinträgen und Prozessen überprüfen.

Wenn ein Benutzer seinen Browser auf den WAN-Port der Appliance richtet, wird er zu einem Anmeldeportal umgeleitet und Nach der Authentifizierung erhalten Sie eine Seite, auf der angezeigt wird, auf welche Anwendungen und Dateifreigabefunktionen sie zugreifen können. Das Portal fragt während der Anmeldung, ob Sie sich auf einem vertrauenswürdigen oder nicht vertrauenswürdigen Computer befinden, kann dies jedoch nicht überprüfen. Wenn Sie die vertrauenswürdige Option auswählen, wird Ihr Browsercache am Ende der Sitzung nicht bereinigt.

”’Die Web-Management-Oberfläche bietet einfachen Zugriff auf eine Fülle von Sicherheitsfunktionen.”’

Webanwendungen können direkt aus dem Portal gestartet werden, während Nicht-Webanwendungen geladen und auf die im Portaleintrag angegebene localhost-Adresse und Port gezeigt werden müssen. Letzteres haben wir erfolgreich mit einem FTP-Client-Tool auf einem Remote-System getestet, das auf unseren Server im LAN umgeleitet wurde. Mit dem vollständigen Tunnelmodus konnten wir von unserem Remote-Client auf LAN-Ressourcen zugreifen und über RDP eine Verbindung zu einem Windows-Server herstellen. Auch die Dateifreigabe war einfach zu konfigurieren und wir konnten vom Portal aus Dateien und Verzeichnisse auf unseren lokalen Servern durchsuchen.

Obwohl SSL 10 in Großbritannien erst im Juli erhältlich ist, wird es das OTP-System (Einmalpasswort) von ZyXEL unterstützen. Die Kits umfassen USB-Token, die einen Satz von OTPs von der Server-Softwarekomponente empfangen. Der Benutzer drückt eine Taste auf dem Token, die das nächste Passwort anzeigt. Dieses wird im Login-Portal eingetragen und das SSL 10 verbindet sich mit dem OTP-Server, um das Passwort zu verifizieren.

"'Urteil"'

Das SSL 10 bietet viele Funktionen für den Preis und die Kombination aus Richtlinien, Endpunktsicherheit und Netzwerkobjekten macht es äußerst vielseitig. Es ist eine enge Verbindung mit Billions BiGuard S10, obwohl wir festgestellt haben, dass letzteres einfacher zu konfigurieren ist und eine bessere Wahl ist, wenn Sie auch grundlegende URL-Filterung plus QoS-Funktionen wünschen.

Beachten Sie, dass das Anmeldeportal den Benutzern vertraut, den richtigen Computer auszuwählen, und OTP erst im Juli verfügbar ist.
—-

Sobald Sie Ihre Netzwerkobjekte definiert haben, fügen die Sicherheitsrichtlinien alles sauber zusammen.
—-

Die Endpunktsicherheit ist für den Preis gut, obwohl die Client-Antivirenprüfungen auf McAfee oder Symantec beschränkt sind.
—-
Ausgewählten Benutzern können bestimmte Dateifreigaben auf lokalen Systemen angeboten werden.

—-