Gespickt mit allen Funktionen einer Internet-Access-Appliance, von VPN über IDS/IDP zur Firewall, sowie vier frei konfigurierbaren DMZ/LAN-Ports, positioniert Zyxel seine Zywall 5 an den Rand kleiner und mittelgroßen Unternehmensnetzwerke.

So manch einer kennt die Firma Zyxel noch als Modemhersteller aus dem Prä-Internet-Zeitalter. Damals gab es halbe Glaubenskriege zwischen den Anhängern von US-Robotics- und Zyxel-Modems sowie den Anarchisten mit auf Rockwell-Chips basierenden Modems. Heute kräht kein Hahn mehr nach der Analog-Modemtechnologie. Modemfunktionen erledigen OnBoard-Soundkarten als Nebenjob. Gefragt sind vielmehr Router-, Firewall-, VPN- und Internet-Access-Appliances. In diesem Bereich offeriert der Hersteller eine ganze Reihe von Produkten. Für kleine und mittelgroße Unternehmen gibt es die funktionsreichen »ZyWall«-Appliances. Diese Geräte implementieren Router-, Firewall-, VPN-, Bridge- und IDS/IDP-Dienste in einer schlanken Box. Der Hersteller skaliert die Geräte nach maximaler Anzahl simultaner Internet- und VPN-Verbindungen. Network Computing pickte sich für den Test die Zywall 5 aus dem Portfolio. Das kompakte Gerät unterstützt 10 simultane VPN- und 6000 gleichzeitige Internet-Verbindungen. Die Appliance verfügt über einen WAN- und vier konfigurierbare DMZ/LAN-Anschlüsse. Zwei RS-232-Schnittstellen stehen für die serielle Admin-Console oder ein Dial-Backup zur Verfügung. Optional kann der Administrator eine WLAN-Karte von Zyxel in die Appliance einbauen und damit auch noch einen WLAN-Access-Point erhalten.

Info

Zywall 5

Hersteller: Zyxel

Charakteristik: Internet-Access-Appliance

Kurzbeschreibung: Die Zywall implementiert alle wichtigen Funktionen einer Internet-Access-Appliance mit VPN-Tunneln. Das Web-Interface zur Konfiguration lässt allerdings Wünsche offen.

Web: www.zyxel.de

Preis: ca. 450 Euro

In der Vorgabekonfiguration nimmt sich die Zywall 5 die IP-Adresse 192.168.1.1 und aktiviert den internen DHCP-Server. Der Client des Administrators bekommt somit sofort Zugang zum Web-Interface der Appliance, über welches er die Einstellungen vornimmt. Ein kleiner Wizard führt durch die Grundkonfiguration des Geräts und stellt das WAN-Interface ein. Alle weiteren Konfigurationspunkte erreicht der Verwalter über das Hauptmenü. Die LAN-Konfiguration enthält Informationen zum DHCP-Server und dem internen Netzwerk. Die vier Ethernet-Ports kann die Appliance variabel auf die DMZ oder das LAN umschalten. Weitere Konfigurations-Seiten widmen sich den Firewall-Regeln, Web-Filtern, Logs, internen Einstellungen und der VPN-Konfiguration.

Das Web-Interface ist Zyxel leider nicht besonders gut gelungen. Verschiedene Punkte fehlen oder verstecken sich in Unterrmenüs, in die sie nicht hineingehören. So kann der Administrator nur im ISP-Setup-Wizard die Name-Server des ISPs manuell festlegen. Im WAN-Menü finden sich zwar die Einstellungen für das WAN-Netzwerk-Interface, nicht aber für die DNS-Adressen. Auch die wichtige Zeitsync-Funktion lässt Wünsche offen. Zwar holt sich die Appliance die Zeit per NTP, bei der Sommer/Winterzeit-Umstellung muss der Verwalter aber von Hand die Tage der Zeitumstellung eintragen – ein Dialog, den Network Computing bislang bei keinem anderen Gerät gesehen hat. Gewöhnungsbedürftig erscheint auch die Firewall-Regelkonfiguration. Die Zywall zeigt hier nicht alle aktiven Regeln in einem Dialog. Vielmehr gibt es zunächst eine Seite mit Basisregeln wie: Alles vom LAN darf ins WAN, aber nichts aus der DMZ darf ins LAN. Eine weitere Seite listet die Ausnahmeregelungen zu diesen Basisvorgaben auf, aber wiederum nicht alle in einer Übersicht, sondern getrennt nach Verbindungspunkten (LAN-to-WAN, DMZ-to-LAN, WAN-to-Firewall und so weiter). Das sorgt eher für Verwirrung als für Übersicht. Wer nicht genau aufpasst, trägt einzelne Regeln im falschen Abschnitt ein, ohne eine Fehlermeldung zu erhalten, und wundert sich dann, warum nichts geht.

Schwierig gestaltet sich auch die VPN-Konfiguration. Über den Wizard lassen sich zwar problemlos VPN-Links zu anderen Zyxel-Geräten konfigurieren, aber bei Geräten von Fremdherstellern geht im Test erst einmal nichts. Die Zywall 5 weigert sich, mit einer Astaro-5- oder einem Lancom-ADSL-1621 eine IPsec-Verbindung aufzunehmen. Hierbei vermisst der Anwender schmerzlich die Unterstützung durch den Hersteller. Der Support-Bereich der Zyxel-Website besitzt leider keine freie Knowledge-Base mit Tipps und Konfigurationsbeschreibungen. Stattdessen verweist der Hersteller bei Problemen auf eine kostenpflichtige 01805-Hotline, die 1,57 Euro pro Minute abkassiert – Abzocke statt qualifizierter Information. Ganz anders beispielsweise bei Astaro oder Lancom.

Allerdings hilft bei der Zywall auch das Astaro-Whitepaper zum Thema VPN mit Zyxel nicht weiter. Im Stage-2-Handshake der IPsec-Verbidnung liefert Zyxel irgendeinen von Astaro nicht erwarteten Payload und kann die VPN-Verbindung nicht aufbauen.

Ein weiteres Problem schleicht sich beim Konfigurations-Interface ein. Hier kann der Administrator über SSH oder Web, aus dem lokalen oder einem entfernten Netzwerk auf die Appliance zugreifen. Zyxel implementiert dabei eine Vohrfahrtsregelung: SSH vor Web und Lokal vor Remote. Solange ein Web-Admin lokal angemeldet ist, kommt keiner von Remote herein. Wenn der Administrator beim Verlassen des Büros vergisst, sich ordnungsgemäß von der Zywall abzumelden, und einfach nur den Browser zumacht, kommt er bei einem Notfall nach Feierabend von zuhause aus nicht in die Appliance.

Abgesehen von den hier aufgelisteten Schwachpunkten, die hauptsächlich den Umgang und das Interface betreffen, verrichtet die Zywall 5 im Alltagstest gute Dienste. Sie erkennt Portscans und andere Angriffe aus dem Internet und stellt sich gegenüber dem Angreifer taub. Im Test melden Security-Scanner wie Retina, dass sie keinen offenen Port erkennen können, obwohl das Testgerät absichtlich fünf Ports zum Internet hin anbietet. Auch den P2P-Streßtest übersteht das Gerät. P2P-Clients schalten Hunderte, wenn nicht gar Tausende simultaner Verbindungen und verursachen bei simplen Routern und Firewalls häufig einen Überlauf der NAT-Tabelle und damit Verbindungsabbrüche. Andere Dienste wie der Content-Filter gehören zu den Standards, bei welchen man eigentliche nichts falsch machen kann, solange man kostenpflichtig bei einem Content-Filterlisten-Provider unterschreibt.

Fazit: Positiv fallen bei der Zywall die vier frei auf DMZ oder LAN konfigurierbaren Ports, der stabile Betrieb, die vielen integrierten Funktionen und die verschiedenen Admin-Zugangsmöglichkeiten ins Gewicht. Wer das Web-Interface scheut, kann auch ein Text-Menü über SSH zum Verwalten der Appliance hernehmen. Für Puristen gibt es darüber hinaus auch noch einen Kommandozeilenmodus.

Ein Port für eine Backup-Verbindung ist begrüßenswert, doch anstelle einer seriellen Schnittstelle, für die man einen externen ISDN-TA oder in ganz seltenen Fällen ein Modem benötigt, würde der Zywall für den deutschen Markt ein integrierter ISDN-Adapter besser stehen. Negativ hingegen schlagen das teils unübersichtliche und unvollständige Web-Interface und Zyxels mangelnde Supportinformationen auf der Website zu Buche. [ ast ]