Die Appliance mit dem markanten Namen bietet nicht nur gemeinsamen Internet-Access per ISDN, DSL oder Standleitung. Daneben betätigt sich der Intranator auch als E-Mail- und Faxserver und erlaubt den externen Zugang per ISDN-Einwahl und VPN. Dabei sollen Firewall und Virenscanner Sicherheit garantieren, für die Verwaltung steht eine komfortable Weboberfläche parat.
Das alles lässt sich auch durch einen ungeübten Benutzer problemlos konfigurieren und administrieren, zumal automatische Updates und integrierte Backup-Funktionen für die Sicherheit des Systems und der Benutzerdaten sorgen. So verspricht es zumindest der Hersteller, die Tübinger Intra2Net AG, unter dem nicht gerade bescheidenen Motto "Alles einfach, alles sicher."
An dem Eigenlob der sonst im Bezeigen von Wertschätzung sprichwörtlich sparsamen Schwaben könnte möglicherweise etwas dran sein. Diesen Verdacht legt zumindest die Tatsache nahe, dass der Intranator bereits einen Innovationspreis eingeheimst hat: 2002 erhielt er den cyberOne-Award der baden-württembergischen Wirtschaftsinitiative bwcon.
Hat man im Ländle also tatsächlich die ultimative Kommunikations-Server-Lösung für Handwerk und Kleingewerbe ausgeknobelt? Das wollten wir genauer wissen und haben uns ein Exemplar zum Test geordert.
Intranator-Varianten
Intra2Net offeriert den Intranator in zwei Funktionsstufen und drei Hardware-Varianten. Den vollen Leistungsumfang bieten die Minitower-Ausführung 2200 für 2552 Euro und die 4HE-Rackversionen 2300 und 2400 (mit Hardware-basiertem RAID). Der Rack-Intranator 2300 wandert für 3242 Euro über den Ladentisch, für die RAID-Ausstattung des 2400 werden noch einmal 1740 Euro Zuschlag fällig.
Der Einsteiger-Intranator 2100 dagegen kommt weder mit Standleitungen klar, noch bietet er VPN- oder Antivirus-Fähigkeiten. Auch aufs Faxen, die Nutzung mehrerer Mail-Domains sowie tiefer gehende Firewalling- und Routing-Kapazitäten müssen Anwender des 2100 verzichten. Dafür belastet die im Minitower residierende Appliance das Budget lediglich mit 1740 Euro.
Der Kaufpreis schließt zwei Jahre Garantie mit Vorabaustausch sowie ein Jahr Sicherheits- und Funktions-Updates via Internet ein. Nach den ersten zwölf Monaten müssen die Aktualisierung für Appliance und Virenscanner per Abo für jeweils ein weiteres Jahr erworben werden. Das schlägt mit zusätzlichen 348 Euro per annum zu Buch.
Intranator 2200
Als Testgerät wählen wir den Intranator 2200 aus, das mittlere Modell der Produktpalette. Bei der Hardware handelt es sich um einen Minitower im Micro-ATX-Format mit Celeron-850-CPU und 128 MByte PC133-SDRAM. Alle typischen Anschlüsse wie RS-232, Parallelport, Dual-USB und sogar Gameport sind vorhanden. Daneben finden sich Onboard-Sound, VGA-Grafik sowie ein RTL8139-Ethernet-Controller.
Diese Schnittstellenausstattung hat Intra2Net um eine PCI-Ethernet-Karte (ebenfalls mit Realtek-Chipsatz) sowie eine semi-aktive ISDN-Karte des Typs Sedlbauer SpeedFax+ PCI ergänzt. Appliance-typisch karg gibt sich die Vorderseite des Gehäuses: Laufwerksschächte für ein Disketten- oder CD-ROM-Laufwerk sucht man vergeblich. Als einzigen Massenspeicher bringt der Intranator eine 40-GByte-IDE-Festplatte von Western Digital (WD400BB, 7200 U/min) mit.
Im beiliegenden 102 Seiten umfassenden Handbuch empfiehlt Intra2Net die Aufstellung des Intranator in abschließbaren Räumen. Er lasse sich sonst "bei physischem Zugriff von Personen mit ausreichenden Systemkenntnissen kompromittieren". Richtige Empfehlung, falsche Begründung: Sowohl der frontseitig angebrachte Power-Taster des Systems als auch der On/Off-Schalter des Netzteils sind frei zugänglich, zudem fehlt dem Kaltgerätestecker eine Zugentlastung. Will man also keine "Putzfrauen-Katastrophe" riskieren, sperrt man den Intranator tatsächlich besser weg.
Betriebssystem
Als Ausgangsbasis für das Betriebssystem des Intranator diente ursprünglich Red Hat Linux 6.1. Auf Grund zahlreicher Verbesserungen und Modifikationen ist es mittlerweile allerdings kaum mehr als solches wiederzuerkennen. In der aktuellen Software-Release 3.64 versieht ein Kernel 2.2.21 seinen Dienst, der durch die OpenWall- und HAP-Patches gehärtet wurde. Diese Modifikationen unterbinden unter anderem die Ausführung von Code auf dem Stack sowie chroot-Ausbrüche.
In Sachen Dateisystem setzt der Intranator auf ReiserFS, mit dem alle Daten-Partitionen operieren. Davon besitzt der Intranator insgesamt fünf: Das Root-Filesystem residiert in einer primären Partition (2 MByte), in einer logischen finden sich eigene Bereiche für Log- und Spool-Dateien, ein Rescue-System und die Benutzerdaten. Hinzu kommen zwei Swap-Spaces.
Von derartigen Dingen muss der Benutzer aber nicht nur nichts verstehen, normalerweise bekommt er sie auch gar nicht zu Gesicht: Über das Basissystem hat Intra2Net eine übersichtliche Weboberfläche gezogen, die solche Details für Administrator und Benutzer völlig transparent macht. Unter dem übersichtlichen Administrations-Interface werkelt ein von Intra2Net entwickeltes Modul, das alle Konfigurationsänderungen in einer MySQL-Datenbank speichert und archiviert.
Basiskonfiguration
Der Intranator bringt ab Werk einen aktiven DHCP-Server mit. Um auf die Verwaltungsoberfläche zugreifen zu können, gilt es also lediglich, einen für automatische Adressvergabe konfigurierten Client mit dem Server zu verbinden. Nun lässt sich über eine SSL-gesicherte Verbindung per Webbrowser mit den Konfigurationsarbeiten beginnen. Dazu fragt der Intranator vor dem Zugriff Benutzername und Passwort - per Default lautet beides "intranator"- ab.
Wer die Appliance allerdings nicht mit der vorkonfigurierten IP-Adresse 192.168.1.254 betreiben möchte, kann alternativ bereits vorab Nutzen aus der vollständigen Schnittstellenausstattung des Geräts ziehen. Dank Tastatur-, Maus- und VGA-Anschluss lassen sich nach der entsprechenden Anmeldung auch über die Konsole IP-Adresse und Netzmaske sowie Rechner- und Domain-Name modifizieren.
Weiter gehende Möglichkeiten - insbesondere eine Shell - stehen jedoch normalerweise nicht zur Verfügung. Wer direkt an den Systeminterna arbeiten möchte, muss vorab Intra2Net schriftlich aus der Haftung entlassen und bekommt erst dann das root-Passwort für seine Appliance. Damit eröffnet sich die Möglichkeit, per Secure Shell auf den Intranator zuzugreifen.
LAN-Konfiguration
Nach einer eventuellen Änderung von lokaler IP-Adresse und Rechner/Domain-Namen über den Menüpunkt Netzwerk/Interfaces gilt es als Erstes, die Clients ins System einzubinden. Nur für Arbeitsplätze, die per IP- und MAC-Adresse bekannt sind, lassen sich Rechte für den E-Mail- und Webzugriff sowie den Faxversand erteilen.
Die einfachste Möglichkeit zur Client-Anbindung bietet die Adressvergabe per DHCP: Arbeitsplätze mit automatisch zugeteilter IP-Adresse registriert der Intranator selbstständig, der Administrator kann sich auf die Rechtevergabe konzentrieren. Die DHCP-Settings finden sich unter Netzwerk/Intranet/DHCP. Dort lässt sich der Adress-Pool für die dynamische IP-Vergabe einstellen, daneben können Vorgaben für die Client-Berechtigungen sowie einen WINS-Server getroffen werden.
Rechner mit fester IP-Adresse trägt der Administrator dagegen unter dem Menüpunkt Netzwerk/Intranet/Rechner ein. Eine zusätzliche automatische MAC-Erkennung ermöglicht alternativ die Zuordnung statischer DHCP-Leases.
Client- und User-Konfiguration
Ebenfalls unter Netzwerk/Intranet/Rechner lassen sich detaillierte Zugriffsrechte für jeden Arbeitsplatz vergeben. Als Allgemeine Zugriffsberechtigungen stehen die Optionen Kein Zugriff, Nur E-Mail, WWW/FTP/E-Mail/News sowie Vollzugriff auf alle Dienste zur Auswahl.
Ähnlich detaillierte Zuordnungen erlaubt der Intranator auch für den Webzugang über den integrierten Proxy. Der Zugriff lässt sich entweder ganz unterbinden, nur über Login gestatten oder transparent abwickeln. Beim transparenten Zugriff wendet die Appliance bei Bedarf Filterprofile an, die den Zugriff auf bestimmte Sites oder Site-Kategorien verbieten. Zu guter Letzt ist hier auch einzustellen, ob vom betreffenden Arbeitsplatz aus der integrierte Faxserver der Appliance genutzt werden darf.
Zur späteren Verteilung von E-Mails und Faxnachrichten müssen entsprechende Benutzer und Benutzergruppen angelegt und verwaltet werden. Das erledigt der Administrator samt der Passwortvergabe und (De-)Aktivierung von Usern im Benutzermanager. Den Import von Benutzerlisten aus NT-Domänen oder Verzeichnisdiensten beherrscht der Intranator nicht.
Provider-Konfiguration
Als letzter Schritt der Basiskonfiguration folgt das Setup der WAN-Anbindung. Die Connection zum Provider stellt der Intranator via ISDN-Dialup, per DSL oder über eine Standleitung her. Für ISDN-Verbindungen gilt es, vorab unter System/ISDN die MSNs anzugeben sowie eine davon als Standard-Rufnummer festzulegen. Für den Betrieb an ISDN-Telefonanlagen kann hier auch die Amtsholung konfiguriert werden.
Unter Netzwerk/Provider/Profile definiert der Administrator beliebig viele Profile für ISDN-Einwahl, DSL-Anbindung (PPPoE, PPTP) oder Standleitung. Zu jedem Profil speichert der Intranator Einwahldaten, SMTP-Server und Account zur Abholung von E-Mails sowie die zugehörigen Firewall-Settings. Über diese legt der Administrator fest, ob über den jeweiligen Anbieter Mailzustellung, VPN- und SSH-Zugriff sowie SOCKS5-Verbindungen (ICQ, IRC et cetera) genutzt werden dürfen. Eins der Provider-Profile dient als Default und wird auf Wunsch automatisch gestartet.
Auch ein Port Forwarding für hinter dem Intranator operierende, von außen erreichbare Server lässt sich hier nach Provider getrennt einrichten. Die entsprechenden Zuordnungen für Zielrechner sowie TCP- und UDP-Ports finden sich unter dem Menüpunkt Netzwerk/Firewall/Port Forwarding.
Konfiguration der Dienste
Der Intranator beherrscht die E-Mail-Kommunikation per POP3 und IMAP (samt Unterordnern) in allen nur denkbaren Varianten, inklusive SSL/TLS-Verschlüsselung. Die entsprechenden Einstellungen finden sich im Menüpunkt Dienste/Email. Interne Nachrichten stellt das System sofort zu. Externe Mails holt die Appliance bei jeder Einwahl sowie in frei konfigurierbaren Zeitspannen und Intervallen beim Provider ab.
Dabei unterstützt der Intranator auch das Multidrop-Verfahren, kann also aus einem gemeinsamen POP-Account Mails für alle Benutzer abholen und lokal verteilen. Dazu wertet er je nach Einstellung den Multidrop-Header, einen Qmail-Virtual-Header oder den Received-Header aus. Ausgehende Mails puffert die Appliance bis zum Versand in einer Warteschlange, wo sie sich im Falle eines Falles noch einmal prüfen, korrigieren oder löschen lassen.
Zu den weiteren E-Mail-Fähigkeiten des Intranator zählen unter anderem die Verwaltung beliebig vieler Mail-Domains samt Aliasing über einen einzelnen Multidrop-Account, automatische Um- oder Weiterleitung für jeden einzelnen User sowie detaillierte Verteilerlisten für interne und externe Empfänger.
Web-Proxy
Beim Webzugriff via Proxy, der sich je Benutzer als authentisierter oder transparenter Zugang einrichten lässt, bietet der Intranator die Möglichkeit zur Definition beliebiger Positiv- und Negativ-Filterlisten. Die entsprechenden Einstellungen trifft der Administrator unter dem Menüpunkt Dienste/Proxy.
Hier lassen sich von Intra2Net vordefinierte und per Update aktualisierbare Themengruppen vom Zugriff ausnehmen. Sie umfassen die Bereiche Erotik, Glücksspiel, Raubkopien, Hacking und Gewalt. Zusätzlich offeriert der Proxy die Filterung von Werbebannern und Multimedia-Content sowie das Sperren von Anonymizern. Zudem kann der Administrator selbst URLs eintragen und als Black- respektive White-List konfigurieren. Dabei unterbindet der Intranator optional auch den direkten Zugriff via IP-Adresse auf die entsprechenden Sites.
Im Submenü Einstellung kann man die Cache-Größe definieren sowie den Puffer bei Bedarf komplett leeren. Auch eine Protokollierung aller Webzugriffe erlaubt das System, erinnert den Administrator jedoch bei Anwahl dieser Option an die Beachtung der entsprechenden gesetzlichen Vorschriften.
Antivirus
Der Intranator bringt als Antivirus-Scanner den FSAV4 von F-Secure mit. Dieser untersucht mit drei unabhängigen Engines (F-Prot, AVP und Orion) die ein- und ausgehenden Mails auf anhängende Schadprogramme. Vor der Benutzung muss man allerdings per Webregistrierung einen Lizenz-Code bei Intra2Net anfordern.
Unter dem Menüpunkt Dienste/Antivirus lässt sich anschließend der AV-Scanner aktivieren. Gleichzeitig gibt der Administrator an, ob er selbst sowie die Sender und Empfänger potenziell verseuchter Mails bei Virenalarmen benachrichtigt werden sollen.
Als gefährlich erkannte Mails lagert das Antivirus-Programm zunächst in einem Quarantänebereich aus. Von dort kann sie der Administrator über den Menüpunkt Dienste/Antivirus/Quarantäne herunterladen und genauer untersuchen oder direkt entsorgen.
Faxserver
Über die eingebaute ISDN-Karte empfängt und versendet der Intranator Faxnachrichten. Über den Menüpunkt Dienste/Fax stellt der Admin ein, ob der Empfang nur über die Standard-MSN oder mehrere Rufnummern erfolgen soll. Bei multiplen Eingangs-MSNs kann er jedem Anschluss einen unterschiedlichen Empfänger zuweisen. Auf diesem Weg lassen sich etwa Abteilungs-Faxnummern realisieren.
Die zugehörigen Empfänger trägt der Administrator ebenfalls in diesem Menü ein. Dabei kann er individuell ein Zustellungsformat für die empfangenen Faxe angeben, wobei PDF, PNG sowie TIFF-G3 zur Auswahl stehen.
Einen passenden Fax-Client für Window (WHFC) bringt der Intranator gleich auf der Festplatte mit, von wo ihn die Benutzer über das Web-Interface herunterladen können.
DynDNS
Der Intranator beherrscht sowohl selbst als auch beim Kontakt mit entsprechenden Gegenstellen die Verwendung von dynamischen IP-Adressen. Auch ohne feste IP-Adressen ermöglicht er dadurch Netzkopplungen, VPN-Zugriffe oder ein Port Forwarding für im LAN angesiedelte Server.
Die dazu genutzten Anbieter und Verbindungsdaten hält der Intranator unter Dienste/DynDNS vor. Eine Liste mit gut einem halben Dutzend getesteter Anbieter stellt Intra2Net auf der Intranator-Website zur Verfügung. Hier finden sich sowohl kostenpflichtige als auch kostenlose Provider.
Bei der Nutzung von Dial-up-Verbindungen bietet der Intranator passend zu DynDNS sowohl eingehend als auch ausgehend eine Lockruf-Funktion. Durch einen Anruf von dazu autorisierten Gegenstellen lässt sich dabei der inaktive Verbindungspartner zum Verbindungsaufbau animieren. Die zugehörigen Settings finden sich unter Dienste/VPN/Verbindungen (ausgehend) respektive Netzwerk/Provider/Lockruf (eingehend).
VPN
Der Menüpunkt Dienste/VPN dient der Definition IPsec-gesicherter Verbindungen zu entfernten Rechnern oder Netzen. Als Tunneling-Varianten offeriert der Intranator dabei die Kombinationen Intranator-Netz, LAN-Host und LAN-Netz. Dabei kann man beliebig viele VPN-Profile definieren und eines davon bei jeder Verbindungsaufnahme automatisch aktivieren.
Zulässige Gegenstellen sind anhand von IP-Adresse oder DNS-Name identifizierbar. Daneben unterstützt der Intranator aber auch die Einwahl mobiler User (Roadwarriors) mit dynamischen IPs. Zur Authentifizierung der Gegenstelle kommen wahlweise X.509-Zertifikate oder Shared Secrets zum Einsatz. Alle gängigen IPsec-Optionen wie Verschlüsselung (ESP, ESP+AH), Perfect Forwarding Secrecy oder IKE- und SA-Lebensdauer lassen sich hier angeben.
Für die Erstellung von X.509-Zertifikaten auf Windows-Rechnern bringt der Intranator eine einfache, smallCA genannte Certification-Authority-Applikation bereits mit. Die Erzeugung der benötigten Schlüssel und Zertifikate auf der Kommandozeile dürfte allerdings die Fähigkeiten des typischen Intranator-Anwenders deutlich übersteigen.
Weitere Funktionen
Per ISDN können sich maximal zwei Benutzer gleichzeitig von außen ins LAN einwählen. Dazu reserviert der Intranator zwei korrespondierende interne IP-Adressen. Die zugehörigen Settings finden sich unter Netzwerk/Fernzugriff.
Hier hat der Administrator die Möglichkeit, Remote Access grundsätzlich zuzulassen oder zu verbieten sowie die Einwahlnummer und ein Verbindungs-Timeout einzustellen. Parallel legt er im Benutzermanager fest, welche User RAS überhaupt nutzen dürfen. Dabei lässt sich der Remote-Zugriff für das gesamte LAN individuell erlauben oder auf die E-Mail-Nutzung respektive die Direktverbindung zum Intranator einschränken.
Backup und Updates
Der Intranator sichert täglich Konfigurationsdaten und E-Mails in gepackter und optional verschlüsselter Form. Dabei unterteilt er sie bei entsprechendem Volumen gleich in handliche Päckchen von 650 MByte Größe - sozusagen brennfertig. Via Browser oder SMB-Freigabe lädt der Administrator die Dateien herunter und sichert sie manuell oder über ein bestehendes Backup-System. Auf dem umgekehrten Weg funktioniert das Restore: Der Admin legt die gewünschten Backups auf einem SMB-Share des Intranator ab und spielt sie über den Menüpunkt System/Backup/Wiederherstellen ein.
Updates sowohl der System-Software als auch der Virensignaturen stellt Intra2Net im Web bereit. Über den Menüpunkt System/Updates lassen sich die Aktualisierungen zeitgesteuert automatisch einspielen oder auch manuell installieren. Müssen nachträglich Backups aus einer älteren Systemversion zurückgespielt werden, aktualisiert der Intranator sie über die so genannte Safe-Step-Technologie automatisch bis zur aktuellen Version.
Diagnose und Statistiken
Im Menübereich System offeriert der Intranator eine komplette Schlüsselverwaltung für eigene und fremde Keys beziehungsweise Zertifikate. Daneben finden sich im Untermenü Diagnose hilfreiche Tools wie Ping, Traceroute und Nslookup.
Das Menü Information bietet die Möglichkeit, Einblick in die diversen Systemlogs sowie den VPN-Status zu nehmen. Grafische Auswertungen schlüsseln Übertragungsvolumina (je Provider und User) und Speicherplatznutzung (je Partition und Benutzer) übersichtlich auf.
Ebenfalls über das Informationsmenü stellt der Intranator nützliche Werkzeuge zum Download durch die Benutzer bereit. Dazu zählen etwa der bereits erwähnte Fax-Client, IPsec-Tools für Windows-Rechner oder auch die zur VPN-Konfiguration nötige smallCA.
Fazit
"Alles einfach, alles sicher" - so bewirbt Intra2Net den Intranator. Na ja: Anbieter von Appliance-Lösungen schwanken bei der Implementation notgedrungen zwischen den beiden Extremen Funktionsvielfalt und einfacher Bedienung. Dieser Kelch ist auch am Kommunikationsserver von Intra2Net nicht vorbeigegangen. Bei Features wie Multidrop-SMTP, SMTP-Relaying mit Address Rewrite oder VPN mit X.509-Authentifizierung hört der Spaß notgedrungen auf. Spätestens da wirft der Klempner, Schreiner oder Zahnarzt das Handtuch - "alles einfach" ist nicht.
Mit seiner übersichtlichen, mit ausführlicher Hilfe zu jeder Einstellung förmlich gespickten Weboberfläche kommt der Intranator dem gesteckten Ziel immerhin so nahe, wie man ihm vermutlich nur kommen kann. Dazu tragen nicht zuletzt die Plausibilitätsprüfung bei jeder Eingabe - offensichtliche Fehler markiert der Intranator rot, fragwürdige Eingaben oder Warnungen gelb - sowie das wirklich vorbildliche Handbuch bei. Und reißen einmal alle Stricke, lässt sich das System an der lokalen Konsole auf die Werkseinstellungen zurücksetzen.
"Alles sicher" - da kann man dem Intranator tatsächlich kaum etwas vorwerfen. Vom Systemdesign samt gehärtetem Kernel über die ab Werk konsequent auf Sicherheit getrimmte Basiskonfiguration bis zu den individuell auf jeden User abstimmbaren Zugriffsrechten hat Intra2Net seine Appliance konsequent auf Security getrimmt. Das schließt auch schmerzhafte Lücken wie den Verzicht auf Web- und SMB-Server ein.
Trotz kleinerer Schwächen wie den freiliegenden Netzschaltern und der fehlenden Möglichkeit zum Import von Benutzerdaten kommt der Intranator dem Idealbild eines Appliance-Servers außerordentlich nahe. Als solide, relativ einfach zu konfigurierende und nahezu selbstwartende Kommunikationszentrale für kleine Netze lässt er sich jedenfalls bedenkenlos empfehlen. (jlu)