tom's networking guide
 
Anzeige

Test - Zyxel Zywall IDP10

Zyxel Zywall-IDP10

Sicherheit durch Echtzeitanalyse

Erstkonfiguration ? Zyxel spricht Stealth

Zyxel hat das Konfigurationsinterface der ZyWall IDP 10 recht übersichtlich gestaltet. Links befindet sich die Konfigurationsstruktur, die sämtliche Funktionen umfasst. Mit Quick Setup starteten wir den Konfigurationsassistenten, der uns durch die grundlegenden Schritte führte. Nach der Möglichkeit, das Passwort zu ändern, wiesen wir zunächst der IDP 10 eine neue IP-Adresse sowie eine neue Netzwerkmaske zu. Nach dieser Änderung mussten wir natürlich mit der neuen Adresse auf das Gerät zugreifen. Anschließend definierten wir ein Gateway und einen DNS-Server und stellten fest, dass sich diese Einträge auf E-Mail-, Syslog- und SNMP-Funktionen beziehen. Aus DHCP-Paketen kann die IDP10 diese Angaben jedoch anscheinend nicht heraus lesen: Diese Funktionen sind aber ohnehin interne Funktionen für das Reporting und Syslog der ZyWall. DNS und Gateway müssen sich im selben Segment befinden.

Im nächsten Schritt gaben wir die Zeitzone, das aktuelle Datum und die Uhrzeit ein. Diese Angaben werden in den Logfiles und den Reports verwendet. Die IDP 10 bietet aber darüber hinaus einen Zeitabgleich mit einem Zeitserver an, den wir aber erst später im final durchgeführten Feintuning einstellten. (Siehe unten)

Stealth-Modus für WAN und LAN aktiviert. Konfiguration nur über MGMT-Port und Konsole möglich.

Im nächsten Schritt stellten wir den Stealth-Modus für WAN- und LAN-Port ein. Im Stealth-Modus antwortet die IDP 10 nicht mehr auf ICMP-Anfragen wie PING und sendet auch kein TCP_RST-Paket bei geblockten Verbindungen und keine ICMP_PORT UREACHABLE Pakete für UDP-Anfragen oder weitergeleiteten Traffic. Werksseitig ist der WAN-Port im Stealth-Modus, der LAN-Port nicht. Dies erschien uns ist sinnvoll, falls die Konfiguration auch über das Netzwerk erfolgen soll. Soll jedoch aus Sicherheitsgründen der Zugriff aus dem lokalen Netzwerk verhindert werden, muss der Stealth-Modus auch für LAN aktiviert werden. Dann kann ein Zugriff nur noch über die Konsole respektive über den MGMT-Port erfolgen.

Im nächsten Konfigurationsschritt stellten wir das Verhalten der IDP 10 ein.

  • Im voreingestellten Inline-Modus ist die IDP10 in das Netz eingeschaltet, analysiert die Datenströme und reagiert so auf Angriffe, wie es die entsprechenden Regeln vorsehen.
  • Im Monitor-Modus analysiert sie zwar ebenfalls die Datenströme, wehrt Angriffe aber nicht ab, sondern protokolliert sie nur. Diese Einstellung ist beim Erst-Einsatz sinnvoll. Je nach Netzwerk-Konfiguration und ?Anforderungen können unter Umständen selbst einwandfreie und gewollte Pakete geblockt werden, aber auch unerwünschte Pakete durchgelassen werden. Mit Hilfe des Monitor-Modus und anschließender Analyse der Logfiles können Feinabstimmungen vorgenommen werden.
  • Der Bypass-Modus deaktiviert die Datenstrom-Analyse und die Pakete werden nur durchgereicht; dabei muß die IDP 10 jedoch eingeschaltet sein. Wir beließen den Inline-Modus, da das Netzwerk problemlos funktioniert und wir in den Genuß der Schutzfunktionen kommen wollten.
  • Im letzten Schritt des Quick Setup bestätigten wir alle Angaben und veranlassten die ZyWall, diese Konfiguration abzuspeichern.

    Rubriken
    Anzeige
    Anzeige
    Anzeige
    Anzeige
    Mehr zum Thema
    Firewalls für kleine Netze
    Selbst Arbeitsgruppen und kleinere Unternehmen brauchen Firewalls ? sei es für den geschützten Internet-Zugang oder für die VPN-Anbindung von Partnern oder Filialen. Wie viel Sicherheit die Produkte von Telco Tech und D-Link bieten, zeigt unser Test. [mehr]
    Innominate mGuard und Watchguard Firebox X Edge
    Im zweiten Teil vergleichen wir Security-Appliances für Arbeitsgruppen und kleinere Unternehmen. Im Testlabor konnten sie zeigen, wie gut Internet-Zugänge schützen VPN-Verbindungen aufbauen können. [mehr]
    Innominate mGuard
    Knallrot, mausgroß wie eine Computermaus und keine Form zu pressen ? das kann kein richtiges Sicherheits-Appliance sein! Wir haben uns das Gerät angeschaut und bemerkenswertes festgestellt. [mehr]
    Anti-Spyware
    Neben Viren und Spam quälen Ad- und Spy-Ware die Internet-Benutzer. Diese Werbe- und Ausspähprogramme befallen PCs oft im Huckepack mit beliebter Shareware. Wir haben die Wirksamkeit von vier Anti-Spyware-Tools untersucht. [mehr]
    Personal Firewalls unter Windows XP
    Schutz vor Viren und Würmern ist heutzutage wichtiger denn je. Das Service Pack 2 für Windows XP verbessert dafür die Systemsicherheit. Doch kann sich die neue Microsoft-Firewall gegen Produkte von der Konkurrenz durchsetzen? [mehr]
    Client-basierte Spam-Filter
    Unerwünschte Emails mit dubiosen Versprechungen stören im Arbeitsalltag. Besonders für kleinere Büros eignen sich dafür Client-basierte Spam-Filter. Wir haben vier dieser Lösungen unter die Lupe genommen. [mehr]
    Anzeige