Netzwerkanalyse, Fehlersuche, Testberichte
Home / News
Netzwerkanalyse
Grundlagen
Verkabelung
Erste Schritte
Baselining
Let's sniff
Tools
Auswerten/Filtern
Typische Probleme 1
Typische Probleme 2
Sicherheit
Bücher
Tutorials
Cacti
DSL einrichten
DynDNS einrichten
m0n0wall | pfSense
Nmap
VirtualBox
Wireshark
FAQ
Know How
Testberichte
Hardware-DB
Netzwerklexikon
Links / Service
Suche
Kontakt
Impressum
Feedback
Sitemap
Testberichte

Die Zywall 2 im Praxistest

Internet Security Gateway für das Home Office
Mirko Kulpa, 12.11.2004

Erster Eindruck

Die Zywall 2 wird von Zyxel als Internet Security Gateway vermarktet. Das Gerät in der typischen Größe eines SOHO-Routers verfügt über eine WAN- und vier LAN-Schnittstellen. Alle Ports sind als 10/100-Ports mit Autonegotiation ausgelegt. Die Zywall 2 bietet einen DSL-Router, einen 4-Port-Switch, eine Firewall und einen Contentfilter in einem Gerät. Zusätzlich ist es möglich bis zu zwei VPN-Verbindungen aufzubauen.

Frontansicht der Zywall

Das Gehäuse ist Zyxel gut gelungen.

Das nette Tischgehäuse der Zywall wird von einem Steckernetzteil mit Strom versorgt und kann auch an einer Wand montiert werden. Ungewöhnlich für Router dieser Preisklasse ist die serielle Schnittstelle. Doch dazu später mehr.

Einsatz als DSL-Router

Die Konfiguration der Zywall erfolgt über ein Webinterface. Für den Internetzugang müssen die Encapsulation (Ethernet, PPPoE oder PPTP), der Benutzername und das Passwort eingetragen werden. Für TDSL und fast alle anderen deutschen Anbieter muss als Encapsulation PPPoE aktiviert werden. Zyxel bietet über die serielle Schnittstelle der Box die Möglichkeit, ein Wählbackup einzurichten. Wer also noch über ein Modem oder einen ISDN-Adapter verfügt, kann seinen Internetzugang mit einem Backup versehen. Die Zywall erlaubt die Angabe eines Zeitbudgets für das Backup. Damit soll verhindert werden, dass das Backup womöglich bis zur nächsten Telefonrechnung aktiv ist. Es können statische Routen und RIP Version 1 und 2 genutzt werden.

Webinterface

Das Webinterface der Zywall ist übersichtlich.

Für das LAN stellt die Zywall einen DHCP-Server zur Verfügung. Bestimmten MAC-Adressen kann eine feste IP-Adresse zugeordnet werden. Vorsicht ist bei der Einstellung der IP-Adresse auf dem LAN-Interface geboten. Das Webinterface denkt "classfull". D.h. bei jedem Verlassen des Feldes für die IP-Adresse wird die Netzmaske entsprechend der Klasse (A, B oder C) neu gesetzt. Wer also das Netz 10.0.0.0 mit einer anderen Maske als 255.0.0.0 nutzt, muss aufpassen und die Maske immer neu eintragen.

Firewall

Die Firewall bietet einen Paketfilter, Stateful Packet Inspection und soll DoS-Angriffe abwehren. Als Grundeinstellungen für die Firewall stehen "deny all" und "allow all" zur Auswahl. Die Definition von Filterregeln erfolgt auf Basis von IP-Adressen, Ports oder zeitabhängig. Matches auf alle Regeln können im Log festgehalten werden. Für die Abwehr von Denial of Service-Attacken können mehrere Schwellwerte definiert werden. Zusätzlich vom internen Log können Events an einen Syslog-Server gesendet werden oder per SMTP als Mail verschickt werden.

Etwas unübersichtlich ist die Anordnung der Firewall-Regeln für die verschiedenen Richtungen auf einzelnen Seiten der Weboberfläche. Zum Betrieb von Serverdiensten im internen Netz können mehrer Portbereiche auf interne Hosts umgeleitet werden.

Contentfilter

Die Zywall kann Inhalte wie AvtiveX, Java und Cookies in Webseiten unterdrücken. Der Contentfilter kann auch nur für bestimmte Zeiten oder IP-Adressen aktiviert werden. Zusätzlich bietet Zyxel nach Filterung nach Kategorien an. Dafür stehen dem Administrator ca. 60 verschiedene Kategorien wie Education, Auctions oder Nudity zur Auswahl. Für das Filtern nach diesen Kategorien ist eine Registrierung bei Zyxel erforderlich. Diese Anmeldung kann jedoch angeblich nur mit dem Internet Explorer vorgenommen werden.

Zyxel mag kein Linux

Diese Meldung von Zyxels Website stimmt.

Da ich nicht extra Windows installieren wollte, konnte diese Funktion nicht getestet werden. Laut Darstellung von Zyxel wird vor dem Zugriff auf eine URL online geprüft, ob diese den gewählten Filterkriterien entspricht. Die URL wird dazu an den Dienst "Cerberian" übertragen. Weiterhin kann eine eigene Black- und Whitelist für Webserver erstellt werden oder nach Schlüsselworten gefiltert werden.

VPN Gateway

Mit der Zywall 2 können bis zu zwei VPN-Verbindungen mit IPsec aufgebaut werden. Dabei kennt die Zywall manuelles Schlüsselmanagent und IKE, Main und Aggressive Mode, Pre-Shared Keys und Zertifikate. Die Verbindung kann im Transport- Tunnelmode erfolgen. Bei der Verschlüsselung für ESP (Encapsulating Security Payload) stehen DES, 3DES und AES zur Auswahl. Die Authentifzierung kann via MD5 oder SHA1 erfolgen. Für AH (Authentication Header) stehen die beiden selben Modi für die Authentifizierung zur Verfügung. Die Zywall stellt Diffie-Hellman Key Agreement DH1 und DH2 bereit.

Rückansicht der Zywall

Die serielle Schnittstelle kann zwischen CON und AUX umgeschaltet werden.

Der Import von Zertifikaten in den Formaten Binary X.509, PEM (Base-64) encoded X.509, Binary PKCS#7 und PEM (Base-64) encoded PKCS#7 ist möglich. Der Timeout des Webinterfaces ist mit 5 Minuten für komplexe Konfigurationen mitunter etwas kurz eingestellt. Dann gehen alle Eingaben verloren und der Admin darf von vorne anfangen. Unter Setup/System/General kann der Wert verändert werden.

Weitere Feature

Zyxels Betriebssystem ZyNOS bietet noch viele weitere Möglichkeiten. Auf der Zywall kann entweder eine lokale Benutzerdatenbank angelegt werden oder ein RADIUS-Server angegeben werden. Für den Zugriff auf die Box stehen HTTP, HTTPS, SSH, Telnet, FTP und SNMP zur Auswahl. Im Auslieferungszustand sind alle diese Protokolle aus dem LAN mit dem Default-Passwort "1234" zu erreichen. Ein Zugriff über den seriellen Port ist auch möglich. Über SSH, Telnet und den seriellen Port erreicht man ein Menüsystem (SMT) und kann auch auf die Kommandozeile wechseln. Hier stehen dem Administrator alle Möglichkeiten von ZyNOS offen. UPnP und DynDNS werden ebenfalls angeboten. Das Testexemplar arbeitet mit der ZyNOS Version V3.62(WK.6) vom 16.6.2004.

Fazit

Die Zywall eignet sich sehr gut, um Heimarbeiter oder kleinere Aussenstellen mit dem Firmennetz zu verbinden. Die Konfiguration ermöglicht es, Internetzugriffe des Heimarbeiters ohne den Umweg über den Proxy in der Firma zu verhindern. Gerade für diese Zielgruppe ist auch das Wählbackup interessant. Mit einem Straßenpreis von 160 Euro ist die Zywall 2 aber auch für den Einsatz als reiner DSL-Router interesant. Das Testgerät wurde uns freundlicherweise von Zyxel zur Verfügung gestellt.

Weiterführende Informationen finden Sie unter folgenden Links:

 

 
© 2004-2023, network lab - we make your net work - Netzwerkforum
aktualisiert am 22.03.2012