tom's networking guide
 
Anzeige

Test Barracuda Nextgen Firewall 6.1

Schnell, sicher und effizient durch das VPN

Die Installation der Testumgebung

Für unseren Test verbanden wir die Appliances zunächst einmal mit unserem Netzwerk und fuhren sie hoch. Danach loggten wir uns mit dem Windows-Tool "NG Admin" über die Default IP-Adresse 192.168.200.200 bei den Appliances ein. Bei "NG Admin" handelt es sich um das Konfigurationswerkzeug für die Nextgen-Firewall-Produkte. Nach dem ersten Login startet ein Wizard, der es den Administratoren ermöglicht, die Appliance entweder im "Standard Deployment Mode" oder im "Evaluation Mode" in Betrieb zu nehmen. Der "Evaluation Mode" lässt sich zum einen nutzen, um die Firewall als Transparent Bridge zum Testen zwischen einem Administrator-PC und dem Firmennetzwerk zu betreiben. Zum anderen ermöglicht er den Einsatz der Appliance als sichere Lösung für den Internet-Zugang. Der "Standard Deployment Mode" dient im Gegensatz dazu nur dazu, das Passwort und die Zeitzone anzupassen und die Management-IP-Adresse zu ändern. Weitere Einstellungen erfolgen dann im Betrieb manuell. Da wir eine Site-to-Site-Konfiguration vorhatten, passten wir nur die Zeitzone und die Management-IP-Adresse im Standard Deployment Mode an unsere Anforderungen an und führten die restlichen Konfigurationsschritte später über den Nextgen-Admin aus.

Nachdem wir uns nach Beenden des Wizards erneut mit den Appliances verbunden hatten, konnten diese über unser LAN auf das Internet zugreifen. Über die Internet-Verbindung lassen sich die Produkte dann registrieren, lizensieren und aktivieren. Sobald das erledigt war, fingen wir mit der eigentlichen Konfiguration an.

Wie bereits erwähnt, verfügen die F280-Appliances über sechs Netzwerk-Ports und einen Acht-Port-Switch. Jeweils ein Interface schlossen wir an unser Management Network an, damit wir die Lösungen verwalten konnten. Über die beiden nächsten verbanden wir die Appliances miteinander, sie übernahmen später die Aufgabe der beiden VPN-Verbindungen. In der Praxis könnten an dieser Stelle beispielsweise zwei verschiedene Internet-Provider zum Einsatz kommen, die Nextgen-Firewall-F-Series unterstützt bis zu vier unterschiedliche ISPs gleichzeitig. Über die nächsten Ports banden wir die Appliances an die Netzwerke an, die über die Appliances miteinander kommunizieren sollten.

Unsere beiden VPN-Tunnel für "Bulk" und "Quality". (©Smartmedia PresSservice)

Sobald alle physikalischen Verbindungen hergestellt worden waren, riefen wir Nextgen-Admin auf und loggten uns parallel bei beiden Appliances ein. Zunächst wechselten wir in die Netzwerkkonfiguration und deaktivierten DHCP auf dem vierten Interface. Dieses wird per default als DHCP-Client konfiguriert und kann deswegen in vielen Umgebungen als WAN-Schnittstelle zum Einsatz kommen. Wir verwendeten es aber, um unsere LANs anzuschließen, weshalb die Konfiguration mit DHCP bei uns keinen Sinn ergab.

Während der Änderung der Netzwerk-Konfiguration fiel uns auf, dass der Hersteller großen Wert darauf gelegt hat, die Modifikationen an den Netzwerk-Parametern narrensicher zu gestalten. Führt ein Administrator Änderungen durch, so muss er diese nach dem Abschluss seiner Arbeiten zunächst einmal auf die Appliance übertragen. Danach kann er sie aktivieren. Wenn es um die Konfiguration des Netzwerks geht, muss er zusätzlich noch vom Konfigurations- in den Steuerungsbereich von Nextgen-Admin wechseln und dort die neue Netzwerk-Konfiguration explizit in Betrieb nehmen. Dabei stehen ihm die Optionen "Failsafe", "Force" und "Soft" zur Verfügung. "Failsafe" bedeutet, dass die Appliance zunächst ein Backup ihrer Konfiguration (mit den alten Netzwerk-Einstellungen) anlegt und erst dann die neuen Network Settings aktiviert. Kommt anschließend keine Verbindung mit dem Administrations-Werkzeug mehr zustande, so spielt sie die alte Konfiguration wieder ein.

Auf diese Art und Weise stellt Barracuda sicher, dass sich kein Administrator selbst aussperrt, so dass auch der Zugriff auf Appliances in weit entfernten Rechenzentren sichergestellt wird. Bei der Auswahl von "Force" führt die Appliance die Änderungen einfach durch und "Soft" kommt beim Modifizieren von Routen zum Einsatz. Das hier beschriebene Vorgehen mag auf den ersten Blick etwas umständlich erscheinen, kann einem aber sehr viel Zeit und Ärger ersparen, weswegen wir es an dieser Stelle ausdrücklich positiv hervorheben.

Im nächsten Schritt definierten wir die von uns für die LANs und VPNs verwendeten Netzwerke und wiesen den Interfaces dazu passende IP-Adressen zu. Letzteres geht unter "Virtual Servers/Server Properties". Anschließend machten wir uns an die Konfiguration der beiden VPN-Verbindungen. Zu diesem Zweck legten wir zunächst einmal einen Site to Site TINA-Tunnel an. Bei TINA (Transport Independent Network Architecture) handelt es sich um ein Protokoll, das verschlüsselte ESP-Payloads in TCP- oder UDP-Pakete einpacken kann. Damit erzeugen die zuständigen Mitarbeiter fehlerresistente VPN-Verbindungen. Darüber hinaus ist es mit TINA möglich, mehrere gleichzeitige Transportpfade über einen logischen Tunnel laufen zu lassen, Traffic Shaping-Funktionen zu nutzen, Fallbacks bei Verbindungsfehlen zu realisieren und vieles mehr. TINA unterstützt auch DHCP und NAT.

Die Tunnel-Konfiguration im Detail. (©Smartmedia PresSservice)

Wir definierten unseren ersten VPN-Tunnel als Bulk-Tunnel, also eine Verbindung, über die später sämtlicher unwichtige Verkehr laufen sollte. Wir wiesen dem Tunnel dafür auf beiden Appliances die vorher zu diesem Zweck angelegten IP-Adressen zu, gaben die jeweils auf der anderen Seite des Tunnels liegenden Netze an und verwendeten eine schlüsselbasierte Authentifizierung. Mit dieser Konfiguration kam unsere erste Verbindung zustande.

Sobald der erste Tunnel lief, konnten wir folglich bereits Daten von dem einen LAN in unserem Test in das andere übertragen. Jetzt fügten wir über die Option "Add Transport" die zweite VPN-Verbindung hinzu. Die Konfiguration setzte wieder auf eine schlüsselbasierte Authentifizierung, als IP-Adressen gaben wir aber diesmal die für die zweite Verbindung vorgesehenen an. Außerdem definierten wir den zweiten Tunnel als "Quality", also als Übertragungsmedium für geschäftskritische Daten. Im Betrieb lassen sich jederzeit sämtliche Verbindungs-Informationen anzeigen. Dazu gehören der Typ, die Verschlüsselung, der Durchsatz, die IP-Adressen und vieles mehr. Da wir die beiden Tunnel jeweils als Fallback für einander konfiguriert hatten, kamen sie gleichzeitig zu ihrem normalen Betrieb mit den beiden unterschiedlichen QoS-Einstellungen auch als Backup-Links zum Einsatz. Im Test ergaben sich dabei keine Probleme. Während einer Datenübertragung über den Bulk-Tunnel zogen wir das dazugehörige Netzwerkkabel heraus, kurz darauf ging der Datentransfer über den Quality-Tunnel weiter.

Möchte ein Administrator nun erreichen, dass bestimmte Anwendungen, wie beispielsweise VoIP, über den Quality-Tunnel laufen, während nicht geschäftskritische Applikationen, wie etwa Facebook über den Bulk-Tunnel übertragen werden, so muss er lediglich eine Firewall-Regel anlegen, die den entsprechenden Traffic zulässt. Im Rahmen der Regeldefinition hat er dann die Option, der betroffenen Anwendung die Transport-Klasse "Bulk" oder "Quality" zuzuweisen. Anschließend routet das System den dazugehörigen Verkehr über das entsprechende Interface. Bei uns im Test funktionierte das auf Anhieb, wie wir über die Verbindungs-Informationen in Erfahrung bringen konnten. Die Anwendungsregeln lassen sich übrigens auch dazu nutzen, bestimmte Anwendungen komplett zu sperren.

Im Rahmen der Regel-Konfiguration sind die zuständigen Mitarbeiter dazu in der Lage, bestimmten Anwendungen bestimmte Übertragungswege zuzuweisen. (©Smartmedia PresSservice)

Leserkommentar

Keine Kommentare

Kommentar hinzufügen

* - Pflichtfeld

*





*
*
Rubriken
Anzeige
Anzeige
Anzeige
Anzeige
Mehr zum Thema
Test Datacore SANsymphony V R8
Mit SANsymphony-V bietet Datacore eine leistungsfähige Software-Plattform zum Bereitstellen, Teilen, Migrieren, Replizieren, Erweitern, Konfigurieren und Upgraden von Speicher ohne Verzögerungen und Downtime. IAIT hat sich angesehen, was die aktuelle Vers [mehr]
Test Entuity Eye of the Storm 2011 Enterprise
Je umfangreicher die Netzwerke, desto schneller verlieren Administratoren ohne geeignete Tools den Überblick. Entuity Eye oft he Storm 2011 bietet verschiedene Methoden an, mit denen die bestehende Infrastruktur zumindest teil-automatisch erfasst werden k [mehr]
Test Kroll Ontrack PowerControls 6.0
Exchange- und Sharepoint-Server sind längst in vielen Unternehmen unverzichtbarer Bestandteil der Unternehmens-Infrastruktur. Die unabdingbaren Backup-Szenarien werden dabei aber oft vernachlässigt. Hauptsache es gibt ein Backup, wie erfolgreich sich Date [mehr]
Workshop Medienspeicherung und Verteilung
Eigene Videos, Digitalfotos und MP3-Song immer und überall hören und sehen, ohne langes Suchen durch zentrale Medienspeicherung und Medienabruf vom PC, TV-Gerät und Handy aus. [mehr]
Test CA ARCserv Backup r12
Die jüngste Version der Backup-Software für Unternehmen weist im Management- und Sicherheitsbereich viele neue Funktionen auf. Was das Produkt in der Praxis leistet, hat sich IAIT angesehen. [mehr]
High-Speed-PLC-Modems der 200-mbps-Klasse
Powerline-Modems der jüngsten Generation versprechen Triple-Play-taugliche Heimvernetzung ohne neue Kabel ? die Hausstromleitung genügt. Wir haben getestet, wie viele der versprochenen 200 MBit/s in der Realität durch Stromnetz flitzen und ob Video- und [mehr]
Anzeige