Die Zywall 2 im Praxistest
Internet Security Gateway für das Home Office
Mirko Kulpa, 12.11.2004
Erster Eindruck
Die Zywall 2 wird von Zyxel als Internet Security Gateway vermarktet.
Das Gerät in der typischen Größe eines SOHO-Routers verfügt über eine
WAN- und vier LAN-Schnittstellen. Alle Ports sind als 10/100-Ports mit Autonegotiation
ausgelegt.
Die Zywall 2 bietet einen DSL-Router, einen 4-Port-Switch, eine Firewall und
einen Contentfilter in einem Gerät. Zusätzlich ist es möglich bis zu zwei VPN-Verbindungen
aufzubauen.
Das Gehäuse ist Zyxel gut gelungen.
Das nette Tischgehäuse der Zywall wird von einem Steckernetzteil mit Strom versorgt und
kann auch an einer Wand montiert werden.
Ungewöhnlich für Router dieser Preisklasse ist die serielle Schnittstelle. Doch dazu später mehr.
Einsatz als DSL-Router
Die Konfiguration der Zywall erfolgt über ein Webinterface.
Für den Internetzugang müssen die Encapsulation (Ethernet, PPPoE oder PPTP), der Benutzername
und das Passwort eingetragen werden. Für TDSL und fast alle anderen deutschen Anbieter muss als
Encapsulation PPPoE aktiviert werden.
Zyxel bietet über die serielle Schnittstelle der Box die Möglichkeit, ein Wählbackup einzurichten.
Wer also noch über ein Modem oder einen ISDN-Adapter verfügt, kann seinen Internetzugang mit einem Backup
versehen. Die Zywall erlaubt die Angabe eines Zeitbudgets für das Backup. Damit soll verhindert werden, dass das
Backup womöglich bis zur nächsten Telefonrechnung aktiv ist.
Es können statische Routen und RIP Version 1 und 2 genutzt werden.
Das Webinterface der Zywall ist übersichtlich.
Für das LAN stellt die Zywall einen DHCP-Server zur Verfügung.
Bestimmten MAC-Adressen kann eine feste IP-Adresse zugeordnet werden.
Vorsicht ist bei der Einstellung der IP-Adresse auf dem LAN-Interface geboten.
Das Webinterface denkt "classfull". D.h. bei jedem Verlassen des Feldes für die IP-Adresse
wird die Netzmaske entsprechend der Klasse (A, B oder C) neu gesetzt. Wer also das Netz
10.0.0.0 mit einer anderen Maske als 255.0.0.0 nutzt, muss aufpassen und die Maske immer neu eintragen.
Firewall
Die Firewall bietet einen Paketfilter, Stateful Packet Inspection und soll DoS-Angriffe abwehren.
Als Grundeinstellungen für die Firewall stehen "deny all" und "allow all" zur Auswahl.
Die Definition von Filterregeln erfolgt auf Basis von IP-Adressen, Ports oder zeitabhängig.
Matches auf alle Regeln können im Log festgehalten werden.
Für die Abwehr von Denial of Service-Attacken können mehrere Schwellwerte definiert werden.
Zusätzlich vom internen Log können Events an einen Syslog-Server gesendet werden oder
per SMTP als Mail verschickt werden.
Etwas unübersichtlich ist die Anordnung der Firewall-Regeln für die verschiedenen Richtungen
auf einzelnen Seiten der Weboberfläche.
Zum Betrieb von Serverdiensten im internen Netz können mehrer Portbereiche auf interne Hosts
umgeleitet werden.
Contentfilter
Die Zywall kann Inhalte wie AvtiveX, Java und Cookies in Webseiten unterdrücken.
Der Contentfilter kann auch nur für bestimmte Zeiten oder IP-Adressen aktiviert werden.
Zusätzlich bietet Zyxel nach Filterung nach Kategorien an.
Dafür stehen dem Administrator ca. 60 verschiedene Kategorien wie Education, Auctions
oder Nudity zur Auswahl. Für das Filtern nach diesen Kategorien ist eine Registrierung
bei Zyxel erforderlich. Diese Anmeldung kann jedoch angeblich nur mit dem Internet Explorer
vorgenommen werden.
Diese Meldung von Zyxels Website stimmt.
Da ich nicht extra Windows installieren wollte, konnte diese Funktion nicht getestet werden.
Laut Darstellung von Zyxel wird vor dem Zugriff auf eine URL online geprüft,
ob diese den gewählten Filterkriterien entspricht.
Die URL wird dazu an den Dienst "Cerberian" übertragen.
Weiterhin kann eine eigene Black- und Whitelist für Webserver erstellt werden oder
nach Schlüsselworten gefiltert werden.
VPN Gateway
Mit der Zywall 2 können bis zu zwei VPN-Verbindungen mit IPsec aufgebaut werden.
Dabei kennt die Zywall manuelles Schlüsselmanagent und IKE, Main und Aggressive Mode,
Pre-Shared Keys und Zertifikate. Die Verbindung kann im Transport- Tunnelmode erfolgen.
Bei der Verschlüsselung für ESP (Encapsulating Security Payload) stehen DES, 3DES und AES zur Auswahl.
Die Authentifzierung kann via MD5 oder SHA1 erfolgen.
Für AH (Authentication Header) stehen die beiden selben Modi für die Authentifizierung zur Verfügung.
Die Zywall stellt Diffie-Hellman Key Agreement DH1
und DH2 bereit.
Die serielle Schnittstelle kann zwischen CON und AUX umgeschaltet werden.
Der Import von Zertifikaten in den Formaten Binary X.509, PEM (Base-64) encoded X.509, Binary PKCS#7
und PEM (Base-64) encoded PKCS#7 ist möglich.
Der Timeout des Webinterfaces ist mit 5 Minuten für komplexe Konfigurationen mitunter etwas kurz eingestellt.
Dann gehen alle Eingaben verloren und der Admin darf von vorne anfangen.
Unter Setup/System/General kann der Wert verändert werden.
Weitere Feature
Zyxels Betriebssystem ZyNOS bietet noch viele weitere Möglichkeiten.
Auf der Zywall kann entweder eine lokale Benutzerdatenbank angelegt werden oder
ein RADIUS-Server angegeben werden.
Für den Zugriff auf die Box stehen HTTP, HTTPS, SSH, Telnet, FTP und SNMP zur Auswahl.
Im Auslieferungszustand sind alle diese Protokolle aus dem LAN mit dem
Default-Passwort "1234" zu erreichen.
Ein Zugriff über den seriellen Port ist auch möglich.
Über SSH, Telnet und den seriellen Port erreicht man ein Menüsystem (SMT) und kann auch auf die
Kommandozeile wechseln. Hier stehen dem Administrator alle Möglichkeiten von ZyNOS offen.
UPnP und DynDNS werden ebenfalls angeboten.
Das Testexemplar arbeitet mit der ZyNOS Version V3.62(WK.6) vom 16.6.2004.
Fazit
Die Zywall eignet sich sehr gut, um Heimarbeiter oder kleinere Aussenstellen mit dem Firmennetz zu verbinden.
Die Konfiguration ermöglicht es, Internetzugriffe des Heimarbeiters ohne den Umweg über den Proxy in der
Firma zu verhindern. Gerade für diese Zielgruppe ist auch das Wählbackup interessant.
Mit einem Straßenpreis von 160 Euro ist die Zywall 2 aber auch für den Einsatz als reiner
DSL-Router interesant.
Das Testgerät wurde uns freundlicherweise von Zyxel zur Verfügung gestellt.
Weiterführende Informationen finden Sie unter folgenden Links:
|