Im Test: Barracuda SecureEdge
Sicherer Zugriff von überall
Fortsetzung des Artikels von Teil 2
Test mit lokalen und mobilen Endgeräten
Für den Test der SecureEdge-Lösung von Barracuda installierten wir im Lab eine SD-WAN-Box vom Typ T100. Das Modell verfügt über fünf Ethernet-Ports, die sich für WAN oder LAN konfigurieren lassen. Die WAN-Verbindung erfolgte über einen T-Online-DSL-Router. Zwei weitere Ports verbanden wir mit dem Client- und dem Server-Testnetz. Den SecureEdge Access Agent installierten wir auf einem Windows-11-Notebook und griffen damit über eine separate Internetleitung und die SecureEdge-Cloud auf die lokal im Lab laufenden Rechner zu. Den SD-WAN-Connector testeten wir mit einer Windows-2019-VM, die in der Azure-Cloud in Westeuropa gehostet wurde.
Um auf das Cloud-Portal zugreifen zu können, ist ein Azure-Account erforderlich, den Barracuda für den Test bereitstellte. Nach der Anmeldung stehen im Portal alle für die SecureEdge-Konfiguration benötigten Menüs zur Verfügung. Damit sich ein neues SD-WAN-Gerät mit der SecureEdge-Cloud verbinden kann, legt der Systemverwalter eine Site an und trägt die Seriennummer der Box ein. Die Inbetriebnahme ist denkbar einfach: einschalten und warten, bis das Gerät im Portal zu sehen ist. Voraussetzung ist ein DHCP-Server, der der Box eine IP-Adresse zuweist.
Nachdem sich das T100-Gerät mit der Cloud verbunden hatte, konnten wir über das SecureEdge-Portal die für unsere Tests erforderlichen Einstellungen durchführen. Port 2 richteten wir für das Client-Netz ein und schlossen einen PC an. Für das lokale Server-Netz nutzten wir Port 3, an dem ein physischer Windows-2019-Server hing. Damit Systeme aus dem Client- und dem Servernetz miteinander kommunizieren können, fügten wir im Cloud-Portal unter Network ACL für die SD-WAN-Box eine Routing-Regel für die LAN-Ports 2 und 3 hinzu. Anschließend konnten die daran angeschlossenen Rechner in beiden Richtungen lokal miteinander kommunizieren.
Um den Zugriff auf das Internet zu ermöglichen, erstellten wir eine weitere Regel, mit der die vom LAN aus aufgebauten Internetverbindungen über die T100 liefen und damit automatisch alle Sicherheitsvorgaben der Barracuda-Appliance von den lokalen Rechnern ausgeführt wurden.
ZTNA-Schutz für Clients und Anwendungen
Um die Zugriffe von mobilen Endgeräten auf Unternehmensressourcen und ins Internet zu schützen, bietet Barracuda für die SecureEdge-Plattform einen ZTNA-Agenten an. Er ist für Windows, MacOS, iOS und Android erhältlich und stellt einen Secure Internet Access bereit, der Webzugriffe anhand der im Cloud-Portal hinterlegten Kategorien prüft und unzulässige Seiten blockiert.
Für Webseiten und Anwendungen, die dem Agenten nicht bekannt sind, erfolgt eine umfangreiche Sicherheitsprüfung durch den SecureEdge-Service in der Barracuda-Cloud.
Den Weblink für die Registrierung eines neuen Endgerätes verschickt das Barracuda-Portal per E-Mail. Der Link lässt sich auch manuell erzeugen und dann auf den Client übertragen. Nachdem wir den Agenten auf dem Notebook installiert und registriert hatten, wurden die für diesen Benutzer definierten ZTNA-Sicherheitsregelwerke automatisch angewandt. Zum Beispiel kann der Systemverwalter vorgeben, dass nur Endgeräte auf Firmenressourcen zugreifen dürfen, bei denen Festplattenverschlüsselung, lokale Firewall und Virenschutz aktiviert sind.
Bei den verbotenen Webseiten war unter anderem die Kategorie „Alkohol“ gelistet, und wir konnten deshalb vom Notebook aus nicht mehr auf Brauerei-Webseiten zugreifen. Es erschien eine Warnmeldung des Secure-Access-Agents, dass es sich um eine unzulässige Webseite handelt. Diese Regeln galten automatisch auch für alle lokal an der T100 angeschlossenen Rechner, auf denen kein Agent lief. Auch hier ließen sich diese Webseiten nicht mehr öffnen. Bei den Webfiltern kann der Systemverwalter individuelle Kategorien hinzufügen.
Die SecureEdge-Lösung von Barracuda stellt umfangreiche Sicherheitsregelwerke auf verschiedenen Ebenen zur Verfügung, um die Zugriffe zwischen lokalen Rechnern, in der Cloud laufenden Systemen und Applikationen sowie mobilen Clients abzusichern. Alarmmeldungen leitet das System an einen Syslog-Server weiter. Die Erstellung von Reports ist mit einem Zusatz-Tool möglich.
Damit wir von außen auf die lokal an der T100-Box angeschlossenen Rechner zugreifen konnten, erstellten wir im Security-Policy-Menü unter Apps and Resources eine Allow-Regel für RDP und fügten die Netzadressen des Client- und des Server-Netzes hinzu. Im Menü Network ACL legten wir zudem eine Site-ACL-Regel für das T100-Testgerät an und fügten die im vorherigen Schritt erstellte RDP-Gruppe hinzu. Anschließend konnten wir uns von dem Notebook aus, auf dem der SecureEdge-Access Agent lief, über das Internet per RDP sowohl mit dem Windows-PC als auch mit dem Windows-Server verbinden. Die lokalen Systeme sind dabei über ihre private IP-Adresse erreichbar, weil das Cloud-Portal die internen IP-Adressen aller Geräte kennt, die an SD-WAN-Appliances angebunden sind oder auf denen der SD-WAN-Connector-Agent läuft. Auch auf die Azure-VM konnten wir über den internen SecureEdge-Namen per RDP zugreifen.
- Sicherer Zugriff von überall
- SD-WAN als Option
- Test mit lokalen und mobilen Endgeräten
- Fazit: Flexibel nutzbare SASE-Lösung
Lesen Sie mehr zum Thema
