Im Test: Sonicwall NSA 240

UTM-Appliance für Unternehmensnetze aller Größen

14.04.2009 | Autor / Redakteur: Götz Güttich / Peter Schmitz

Übersichtliches Handling und gute Systemleistung machen die Sonicwall NSA 240 UTM-Appliance zu einer guten Wahl.
Übersichtliches Handling und gute Systemleistung machen die Sonicwall NSA 240 UTM-Appliance zu einer guten Wahl.

Assistentenhilfe auch bei der Konfiguration

Im laufenden Betrieb kann der Administrator über die URL http://{IP-Adresse der Appliance} und das Zugangskonto „admin“ mit dem während der Erstkonfiguration vergebenen Passwort auf die Appliance zugreifen. Nach dem Login landet er auf einer Statusseite, die ihn über Faktoren wie den Typ des Produkts, die Firmware-Version, die Seriennummer, die Hardware, die Uptime sowie vorhandene Verbindungen und Lizenzen informiert. Ansonsten wurde das Konfigurationswerkzeug Explorer-ähnlich gestaltet und verfügt über eine Menüstruktur auf der linken Seite, während sich der eigentliche Arbeitsbereich rechts befindet.

Wenden wir uns zunächst den Wizards zu, die der Hersteller in das Konfigurationswerkzeug integriert hat und die sich über einen Eintrag am oberen Fensterrand aufrufen lassen. Der erste dieser Wizards ist der Setup-Assistent, den wir bereit im vorigen Abschnitt abgearbeitet haben. Der so genannte Portshield-Interface-Wizard eignet sich im Gegensatz dazu, die Konfiguration der einzelnen Interfaces der Appliance (LAN, WAN, DMZ etc.) im laufenden Betrieb an die gerade aktuellen Anforderungen anzupassen.

Der dritte Assistent nennt sich „Public Server“ und sorgt für die Konfiguration des Port-Forwardings, um interne Dienste im Internet zur Verfügung zu stellen. Im Test gaben wir mit Hilfe des Wizards einen SSH-Server im LAN frei, dabei kam es zu keinen Schwierigkeiten. Der Assistent bietet bereits fertig konfigurierte Einträge für Web-, Mail-, FTP- und Terminal-Server, alle anderen Dienste lassen sich bei Bedarf aber auch einrichten.

Der nächste Wizard übernimmt die Konfiguration von VPN-Zugängen. Mit ihm lassen sich sowohl Site-to-Site als auch WAN-Group-Verbindungen realisieren. Gehen wir zunächst auf die WAN-Group-VPNs ein. Mit WAN-Group meint der Hersteller eingehende Connections vom Sonicwall VPN-Client. WAN-Group-VPNs arbeiten wahlweise mit dem Default-Key oder einem eigenen Preshared-Secret. Wenn sich die Anwender in Bezug auf den Key-Typ entschieden haben, so möchte der Assistent wissen, welche Diffie-Hellman-Group, welche Verschlüsselung und welche Authentifizierung zum Einsatz kommen sollen. Außerdem müssen die IT-Verantwortlichen noch angeben, wie lang die Lebensdauer der Verbindung ist und ob das betroffene System mit einer virtuellen IP-Adresse eingebunden werden soll (dann erscheint es als interne Maschine). Das schließt die Konfiguration ab und die VPN-Verbindung steht nun zur Einwahl bereit. Beim Einrichten von Site-to-Site-VPNs geben die zuständigen Mitarbeiter zunächst einen Namen und den zu verwendenden Preshared Key an, definieren dann die Remote-Peer-IP-Adresse, teilen dem System die zu verbindenden Netzwerkadressen mit und legen dann VPN-spezifische Details wie Diffie-Hellmann-Gruppe, Verschlüsselung und so weiter fest. Sobald die genannten Angaben gemacht wurden, schließt der Wizard die Konfiguration ab.

Im Test richteten wir mit Hilfe des Sonicwall-VPN-Clients eine WAN-Group-Verbindung zu einem Client-System unter Windows XP Professional mit Service Pack 3 ein. Der genannte Client lässt sich über eine Windows-übliche Setup-Routine einspielen, verlangt während der Installation das Ausschalten der auf dem Zielsystem vorhandenen Desktop-Firewalls und Disk-Protection-Lösungen und benötigt zur Kommunikation die UDP-Ports 67 und 68. Wenn das Setup abgeschlossen ist, können die Anwender die Software starten. Beim ersten Mal kommt sie mit einem Connection-Wizard hoch, der zunächst fragt, ob der Aufbau eines VPNs zu einem entfernten oder einem lokalen Gateway (letzteres ergibt beispielsweise zum Absichern von WLAN-Anbindungen Sinn) gewünscht ist. Beim lokalen VPN fragt er lediglich noch, ob er für die Verbindung ein Icon auf dem Desktop erzeugen soll, beim Remote-VPN möchte er zusätzlich noch wissen, wie die IP-Adresse der Gegenstelle lautet. Ja nach Konfiguration fragt das System beim Verbindungsaufbau noch nach dem Preshared-Key beziehungsweise Benutzernamen und Passwort, holt sich dann die Konfigurationsdaten vom Gateway und richtet die Verbindung ein. Der Aufbau eines Tunnels ist folglich extrem einfach. Sollte der automatische Download die Konfigurationsinformationen vom Gateway aus irgendwelchen Gründen nicht möglich sein, so haben die Administratoren immer noch die Option, die Konfigurationsdaten über das Web-Interface der Appliance manuell zu exportieren und auf dem Client einzuspielen. Im Test ergaben sich dabei keine Schwierigkeiten.

Doch nun zurück zu den Wizards. Der letzte Assistent, den Sonicwall anbietet, der „Application Firewall Wizard“, sorgt für die einfache Definition der Application Level Policies. Mit seiner Hilfe legen die Administratoren Regeln zum Überwachen des SMTP-, POP3-, FTP- und Web-Zugriffsverkehrs fest. Dabei sind sie unter anderem dazu in der Lage, Up- und Downloads zu filtern und darüber hinaus bei FTP-Verbindungen Dateinamen und -endungen im Auge zu behalten. Stehen E-Mails im Mittelpunkt der Filterung, so überwacht das System auch Attachments und Sendungen bestimmter Größe. Beim Web-Zugriff bietet die Appliance zusätzlich die Möglichkeit, nach URLs und bestimmten Browsern zu suchen. Auf diese Weise lässt sich etwa das Surfen mit dem Internet-Explorer unterbinden. Sobald die Verantwortlichen die jeweils zu überwachenden Inhalte festgelegt haben, definieren sie die von der UTM-Lösung durchzusetzende Aktion (Block, Bypass oder Log) und vergeben einen Policy-Namen. Damit ist die Regelerstellung abgeschlossen. Generell können wir sagen, dass die von Sonicwall bereit gestellten Assistenten eine große Hilfe beim schnellen Einrichten der wichtigsten Gateway-Funktionen darstellen.

Seite 3: Funktionsumfang der Appliance

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 2021174 / Unified Threat Management (UTM))