ZyXEL ZyWALL SSL 10 VPN készülékek áttekintése

A ZyXEL az utóbbi időben részlegesen a diverzifikáció felé mozdult el, ahogyan az exkluzív áttekintésünkben is a NSA-2400 ahol láttuk, hogy beköltözik a hevesen vitatott asztali NAS-eszközök piacára. Most a legújabb ZyWALL SSL 10 célja, hogy megvesse a lábát az SSL VPN-ek világában.

Az SSL VPN-ek kisvállalkozások iránti vonzerejét a legtöbb kis- és középvállalkozás hálózati szállítója nem hagyta ki, többségük ebben az évben ragadta meg magát, és alacsony költségű készülékeket szállít. A Billion az elsők között volt a jól felszerelt BiGuard S10 és gyorsan követte a Netgear és a Linksys. Ha a mérleg 200 font feletti árat dönti el, az SSL 10 szilárdan ugyanabba a labdaparkba kerül, mint a Billion és a Netgear, és itt láthatjuk, hogy rendelkezik-e a megfelelő tulajdonságokkal.

Ez a kompakt készülék akár 10 SSL VPN alagutat is támogat, de 25 alagútra bővíthető. Négy kapcsolt Fast Ethernet porttal és egyetlen RJ-45 WAN porttal rendelkezik, amely szélessávú modemhez vagy meglévő átjáróhoz csatlakoztatható. Saját SPI/NAT tűzfallal rendelkezik, így képes az internetkapcsolatra, vagy egy meglévő tűzfal mögötti DMZ-be is behelyezheti.

A webes felület használata elég egyszerű, és egy varázsló segít a készülék átjáróként vagy DMZ-n való konfigurálásában. A LAN-erőforrásokhoz való hozzáférés biztosítására a készülék a felhasználói hitelesítés és a csoporttagság, valamint a hálózati objektumok kombinációját használja. A hitelesítéshez rengeteg lehetőség közül választhat, mivel használhatja a készülék helyi felhasználói adatbázisát, de támogatja az AD, LDAP és RADIUS szervereket is.

Az SSL-alkalmazásobjektumok a szolgáltatás és a kapcsolódó IP-cím meghatározására szolgálnak a LAN-on. Web alapú alkalmazások esetén meg kell adni a tárhelykiszolgáló címét, és kiszolgálótípusként a webszervert, a webes levelezést vagy az OWA-t (Office Web Access) kell kiválasztani. A nem webes alkalmazásokhoz ezeket az alkalmazásokat társított IP-címmel, TCP- vagy UDP-átvitellel és szolgáltatástípussal kell meghatározni. Végül vannak alapvető fájlmegosztó objektumai, amelyek tartalmazzák a rendszer IP-címét és a távoli felhasználó számára megjelenített fájl vagy könyvtár megosztási útvonalát. Ha teljes hozzáférést szeretne adni a LAN-hoz, akkor a cím-alhálózatot VPN-hálózatként határozza meg, amely egy teljesen titkosított alagutat hoz létre, amely lehetővé teszi a helyi hálózathoz való hozzáférést.

Mostantól házirendeket hozhat létre annak meghatározására, hogy mely távoli felhasználók férhetnek hozzá. Minden házirend tartalmazhat kiválasztott felhasználókat és csoportokat, objektumokat rendelhet hozzá, és ütemezhető úgy, hogy minden nap bizonyos időszakaiban aktív legyen. Azt is eldöntheti, hogy engedélyezi-e a teljes hálózati hozzáférést, és különböző VPN-hálózatokat biztosít-e, amelyek meghatározzák a kapott privát címeket. Hasznos módon a hálózati objektumok minden módosítása automatikusan átkerül az azokat használó házirendekre.

A ZyXEL végponti biztonsága lehetővé teszi, hogy ellenőrizze a kliensrendszer operációs rendszereit, szervizcsomagjait és így tovább. A sikeres hitelesítés után a készülék letölti az ActiveX-vezérlőket és a Java-alkalmazásokat, amelyek átvizsgálják a rendszert, keresve a szükséges összetevőket. Megkeresheti az IE, a NetScape, a Mozilla és a FireFox adott verzióit, és kereshet vírusirtó termékeket, bár ez jelenleg a Symantecre és a McAfee-re korlátozódik. Ugyanakkor ragaszkodhat ahhoz is, hogy az automatikus védelem funkciójuk be legyen kapcsolva, és ellenőrizze a Windows javítások, rendszerleíró bejegyzések és folyamatok meglétét.

Amikor a felhasználó a böngészőjét a készülék WAN-portjára irányítja, a rendszer átirányítja egy bejelentkezési portálra, és átirányítja hitelesítés után kap egy oldalt, amely bemutatja, hogy milyen alkalmazásokhoz és fájlmegosztó funkciókhoz férhetnek hozzá. A portál megkérdezi, hogy megbízható vagy nem megbízható gépen tartózkodik-e bejelentkezéskor, de ezt nem tudja ellenőrizni. Ha a Megbízható lehetőséget választja, akkor a böngésző gyorsítótára nem törlődik a munkamenet végén.

""A webes kezelőfelület könnyű hozzáférést biztosít számos biztonsági funkcióhoz."

A webalkalmazások közvetlenül a portálról indíthatók, míg a nem webes alkalmazásokat be kell tölteni, és a portál bejegyzésében megadott localhost címre és portra kell mutatniuk. Utóbbit sikeresen teszteltük egy FTP kliens eszközzel egy távoli rendszeren, amelyet átirányítottunk a LAN-on lévő szerverünkre. A teljes alagút mód használatával elérhettük a LAN-erőforrásokat távoli kliensünkről, és RDP-n keresztül csatlakozhattunk egy Windows-kiszolgálóhoz. A fájlmegosztás is könnyen konfigurálható volt, és a portálról távolról is böngészhettünk a helyi szervereinken lévő fájlok és könyvtárak között.

Bár júliusig nem lesz elérhető az Egyesült Királyságban, az SSL 10 támogatja a ZyXEL OTP (egyszeri jelszó) rendszerét. A készletek USB-tokeneket tartalmaznak, amelyek OTP-készletet kapnak a szerverszoftver-összetevőtől. A felhasználó megnyom egy gombot a tokenen, amely megjeleníti a következő jelszót. Ezt be kell írni a bejelentkezési portálon, és az SSL 10 csatlakozik az OTP szerverhez a jelszó ellenőrzéséhez.

"'Ítélet"'

Az SSL 10 számos szolgáltatást kínál az árért, és a házirendek, a végponti biztonság és a hálózati objektumok kombinációja rendkívül sokoldalúvá teszi. Ez egy közeli hívás a Billion's BiGuard S10-hez, bár azt találtuk, hogy az utóbbi könnyebben konfigurálható, és jobb választás, ha alapvető URL-szűrést és QoS-szolgáltatásokat is szeretne.

Vegye figyelembe, hogy a bejelentkezési portál megbízza a felhasználókat a megfelelő számítógép kiválasztásában, és az OTP csak júliusban lesz elérhető.
—-

Miután meghatározta a hálózati objektumokat, a biztonsági házirendek mindent szépen összekapcsolnak.
—-

A végpontok biztonsága kedvező árú, bár az ügyfelek víruskeresői a McAfee-re vagy a Symantecre korlátozódnak.
—-
A helyi rendszereken meghatározott fájlmegosztások felajánlhatók a kiválasztott felhasználóknak.

—-