Netzwerksicherheit als Plug-in: gateProtect-Appliance im Test

Nach dem ersten Einloggen in den Administrationsclient stellt man üblicherweise zunächst die Internetverbindung her. Das kann auf drei Arten geschehen: Per PPPoE, von gateProtect als DSL-Verbindung bezeichnet, mit Standard-IP-Routing, oder über ISDN, siehe Bild 4.

Dabei vermisst man die Möglichkeit der Zuweisung einer IP-Adresse über DHCP. Diese Variante verwenden alle deutschen Kabel-Internet-Anbieter sowie viele Telekommunikationsunternehmen, die Glasfaser bis zum Kunden anbieten. In diesem Fall kommt man um einen zusätzlichen Router nicht herum.

Die Verwaltung der Internetzugänge ist komfortabel. Es lassen sich mehrere Zugänge konfigurieren. Ein Zugang kann als Backup-Zugang definiert werden. So lässt sich beispielsweise bei Ausfall der DSL-Leitung kurzfristig ISDN nutzen.

Eine Backup-Anbindung über UMTS ist nur über einen externen Router möglich. Viele Unternehmen bevorzugen UMTS-Zugänge als Backup, da gegenüber ISDN eine höhere Geschwindigkeit zu erzielen ist. Andere Hersteller, beispielsweise Lancom, bieten Geräte mit integriertem UMTS-Modul an.

Ebenso integriert ist eine Funktion für dynamisches DNS. Auch wenn die Hauptverbindung eine feste IP-Adresse besitzt, erhält man spätestens bei Nutzung einer Backupverbindung eine andere IP-Adresse. Mit dynamischem DNS kann man erreichen, dass  erlaubte Verbindungen von außen, beispielsweise VPN oder E-Mail, jederzeit aufgebaut werden können.

Dynamisches DNS lässt sich allerdings nur über Provider wie Dyndns.org nach RFC2845 realisieren. DDNS nach RFC2136 mit BIND oder dem Microsoft-DNS-Server wird nicht unterstützt, was vor allem Großunternehmen vermissen werden.

In einem ZDNet-Testszenario wird eine kleine Firma dargestellt. Alle Mitarbeiter dürfen auf zwei Fileserver und den Mailserver zugreifen. Zudem sollen alle Mitarbeiter gängige Internetdienste nutzen können. Die Mitarbeiter aus der Buchhaltung erhalten zudem Zugang zum SAP-Server. Der Administrator muss Zugriff auf alle Server haben, insbesondere auf den Datenbankserver und die Telefonanlage, die alle anderen nur indirekt benutzen. Außerdem bekommt der Administrator uneingeschränkten Internet-Zugang.

Ein solches Szenario ist in Bild 5 gezeigt. Das Netzwerk aller Arbeitsplatzrechner hängt dabei an der Netzwerkkarte eth4 der Appliance. Alle Server hängen an eth3. Die Verbindungen zeigen, welche Server und Dienste von den Clients erreicht werden können.

Bereits in einem solchen kleinen Demo-Szenario kann es im Administrationsclient leicht unübersichtlich werden. Sinnvoll ist es daher, Rechner mit gleichen Rechten möglichst in Gruppen zusammenzufassen. In Bild 6 sieht man, dass die beiden Fileserver des Unternehmens in eine Gruppe „File und Print“ gestellt wurden. Das gleiche passiert mit den Rechnern der Buchhaltungsmitarbeiter. Sie kommen in die Gruppe „Buchhaltung“.