Auch im kleinsten LAN spielt heute neben der Funktionalität auch die Netzwerksicherheit eine zentrale Rolle. Allerdings tut sich der typische "Superuser" im Small/Medium-Business-Bereich - also der Handwerker oder Kleingewerbler - üblicherweise schon beim Aufsetzen der LAN-Server-Funktionen schwer. In Sachen Sicherheit ist er meist gänzlich überfordert. Die Antwort der taiwanischen Hardware-Schmiede von TEAC auf dieses Problem heißt Vendotto Wall.
Die Produktidee ist bestechend: In einem kompakten Gehäuse im Hardcover-Buchformat kombiniert die Appliance zwei getrennte Boards für Server und Firewall. Die Linux-basierte Serverkomponente bedient Windows- und Apple-Clients mit Datei- und Druckdiensten. Gleichzeitig lässt sie sich als DHCP- und DNS-Server konfigurieren, auf Wunsch liefert sie als Webserver Seiten ins Inter- und Intranet. Auch eine 5-User-Lizenz einer einfachen Groupware ist mit von der Partie.
Für alle Security-Aspekte zeichnet die Firewall-Komponente verantwortlich. Sie sorgt per NAT für Anschluss ans Internet via ISDN oder DSL, hält sicherheitsrelevante Protokolle im lokalen Netz und sperrt potenziell gefährliche Pakete aus. Bis zu fünf externen Rechnern gewährt sie über VPN Zugang ins LAN, daneben kann sie auch Webcontent auf URL-Basis filtern. Optional betätigt sie sich zudem als Virenscanner.
Aha, der schmerzfreie Netzwerkeinstieg für kleine Firmen - dachten wir uns, orderten einen Vendetto Wall zum Test und erlebten eine Überraschung.
Vendotto-Varianten
Der von uns getestete Vendotto Wall mit Firewall und grundlegenden Serverfunktionen steht mit 1698 Euro zuzüglich MWSt. in der Preisliste - er kostet im Geschäft also gut 1930 Euro. Dafür erhält man einen im Buchformat gehaltenen Rechner mit 233-MHz-Geode-CPU, 64 MByte Arbeitsspeicher und 80-GByte-IDE-Harddisk. Als Firewall-Komponente versieht ein Board von SonicWALL seinen Dienst. Mit 16 MByte Arbeitsspeicher erzielt es bis zu 75 Mbit/s Firewall-Durchsatz und verschlüsselt maximal 20 Mbit Daten pro Sekunde mit 3DES. Als Betriebssystem kommt ein Linux 2.2 zum Einsatz, das sich als 2.2.21pre2aa1 identifiziert.
Neben dieser Kernvariante offeriert TEAC das System noch in vier anderen Spielarten: Der Vendotto NS-40 Basic verzichtet auf die Firewall-Komponente, der NS-40 ISDN bringt bei gleichem Funktionsumfang wie der Wall zusätzlich ein ISDN-Modem mit. Wer drahtlos netzwerken will, kann zum NS-40 LAN mit integriertem Wireless LAN nach IEEE-802.11b-Standard greifen. Für das nicht mehr ganz so kleine Netz ist der Vendotto Wall classic im 19-Zoll-Rackmount-Format gedacht. Er arbeitet mit zwei kaskadierten Firewalls und bringt auch auf der Serverseite mehr Funktionen mit, wie beispielsweise Mail, FTP, Proxy und SQL-Datenbank.
Außen hui ...
Die beiden Boards des Vendotto Wall residieren in einem chic gestylten Gehäuse mit postmodern geriffelter, silberner Frontblende. Auf dieser signalisieren nicht weniger als 11 in Gelb, Grün und Rot blinkende LEDs den Betriebszustand des Systems. Auf der Rückseite des Vendotto finden sich neben den 10/100-Mbit/s-Netzwerkports für LAN und WAN ein serieller Anschluss und ein paralleles Interface für einen Drucker.
Zwei dort ebenfalls anzutreffende Details sorgen für gelindes Stirnrunzeln beim Tester. Ein blinder, momentan defunktionaler USB-Port demonstriert augenfällig, dass sich lediglich parallele Drucker an den Vendotto anschließen lassen. Dabei bietet auch Linux 2.2 schon USB-Support, man müsste dem User als keineswegs so augenfällig eine Nase drehen.
Kabelspiele
Außerdem schlängelt sich durch eine Bohrung im Gehäuse ein Kat.5-Patch-Kabel, das augenscheinlich der Verbindung des externen Firewall-Boards mit dem WAN-Interface des Vendotto dient. Mit einem haarsträubenden Biegeradius von wenigen Millimetern - rund einer Größenordnung unter dem zulässigen Minimal-Halbmesser von 2,5 cm - verschwindet es in einem Brückenport.
Derart eng gebogene Kabel tendieren erfahrungsgemäß einerseits zu mechanischem Einreißen und andererseits zu Kurzschlüssen auf Grund durchscheuerter Adern-Isolation. Tatsächlich lugt am Stecker schon ein blanker Draht durch die eingerissene Schirmfolie - wenn das mal gut geht.
... innen pfui
Nach dem Anschließen des externen Netzteils sowie der LAN- und WAN-Verkabelung reagiert der Vendotto auf unsere Konfigurationsversuche spröde. Über das lokale Netzwerk-Interface lässt sich zwar der Fileserver erreichen und startet auch sein webbasiertes Management-Interface. Das Firewall-Board jedoch überhört alle Kontaktbemühungen aus dem lokalen Netz, obwohl die Status-LEDs des Vendotto Link und Aktivität auf dem WAN-Port signalisieren.
Wir entschließen uns also, das als Übeltäter vermutete Verbindungskabel zu überbrücken. Wir öffnen das Gehäuse - und erleben eine unangenehme Überraschung. Zur Verbindung des zweiten Server-Netzwerkports mit der internen Firewall-Schnittstelle hat TEAC ebenfalls ein Patch-Kabel benutzt - und das weist einen ebenso kriminellen Biegeradius auf wie das an der Außenseite. Auch hier blitzen die Adern durch die eingerissene Schirmung.
Baustelle Firewall
Ganz nebenbei können wir nun feststellen, was da genau als Firewall werkelt - es ist eine SonicWALL TELE3. Und zwar buchstäblich: Das Original-Board wurde lediglich aus dem Gehäuse geholt und mit sechs Schrauben im Vendotto-Gehäuse befestigt. Nach wie vor vorhanden sind beide RJ45-Buchsen für den Netzwerkanschluss. Sie stellen über die zwei unsäglich verwundenen Kat.5-Käbelchen die Verbindungen zu Server und WAN her. Zwar nicht mehr zugänglich, aber ebenfalls parat sind die serielle Schnittstelle der SonicWALL und ihr Reset-Taster.
Auch eine Buchse für die originale externe Stromversorgung der SonicWALL residiert noch auf dem Board. Über diese erhält die Firewall-Karte tatsächlich die Betriebsspannung. Allerdings in diesem Fall nicht wie vorgesehen per Stecker, sondern durch zwei unten angelötete Kabel. Die sind schwarz und gelb - aha, der Strom kommt also per Y-Kabel vom Server.
Dabei schießt TEAC nun endgültig den Vogel ab. Das vom Server kommende Kabel war tatsächlich einmal ein Y-Kabel. Nachdem man jedoch nur zwei Drähte für die Stromversorgung des Firewall-Boards gebrauchen konnte, hat man die beiden anderen direkt am Stecker mit dem Seitenschneider abgeknipst. Das lässt sich daran erkennen, dass dort noch die beiden Leitungsstumpen zu erkennen sind - samt blanken Adernenden.
Konfiguration auf Raten
Zwar war das Sezieren des Vendotto bis jetzt aufschlussreich, wirklich weiter gebracht hat es uns aber noch nicht. Da wir den Server ja erreichen konnten, nicht aber die Firewall, liegt der Fehler offenbar am Verbindungskabel vom Server zur SonicWALL. Das lässt sich leider im Gegensatz zum zweiten Patch-Kabel nicht einfach auswechseln, da es in den Gehäusetiefen des Servers zwischen den blankliegenden Y-Kabel-Enden verschwindet.
Mit einem kurzen Augenverdrehen und einer saftigen Interjektion pfriemeln wir also am schon ab Werk eingerissenen Kabel herum und hoffen auf Kontakt. Und tatsächlich: Nachdem wir das Kabel einigermaßen senkrecht zum Stecker hingebogen und den Vendotto wieder angeschlossen haben, lässt nun auch die Firewall mit sich reden. Allerdings nur bedingt, denn die "Firmware ist korrupt", wie uns das Management-Interface jetzt wissen lässt.
Na schön, spielen wir sie eben neu ein. Doch halt - so einfach ist das nicht. Im Download-Bereich der Vendotto-Website gibt es alles Mögliche, nur keine Firmware für die Firewall. Gut, dass wir durch das Aufschrauben wissen, dass wir ein TELE3-Board haben. Noch besser, dass wir dabei auch die Seriennummer des Boards entdeckt haben. In der Vendotto-Dokumentation findet sich weder das eine noch das andere, und ohne diese Informationen lässt sich bei SonicWALL keine neue Firmware downloaden.
Tipps und Tricks
Nach den initialen Hard- und Software-Basteleien an unserer knapp 2000 Euro teuren Appliance können wir nun endlich auch die Grundeinrichtung erledigen. Dazu gilt es, sich noch folgende Tatsache vor Augen zu führen, die so nirgends in der Dokumentation steht: Wir müssen insgesamt vier IP-Interfaces konfigurieren.
Sowohl der Server als auch die Firewall besitzen jeweils eine interne und eine externe Netzwerkschnittstelle. Die "externe" NIC des Server-Boards führt ins LAN und muss ergo eine LAN-IP-Adresse erhalten. Entsprechend verbindet die externe Schnittstelle der Firewall das Gesamtsystem mit dem WAN und benötigt ebenfalls eine passende IP. Die beiden internen NICs verbinden dagegen Server und Firewall und müssen deshalb im selben Netz liegen (per Default 192.168.168.0/16). Das tun sie auch ab Werk - und sollten daher tunlichst nicht umkonfiguriert werden.
Nun legt aber TEAC dem Vendotto auf CD ein Werkzeug namens SonicWALL Setup Tool bei, das sogar auf der Startseite der Disk explizit verlinkt ist. Es suggeriert dem arglosen User, man könne damit die IP-Adresse für die "Remote Configuration" der SonicWALL einrichten. Versuchen Sie's einfach nicht - sonst müssen Sie nämlich das Vendotto-Gehäuse aufschrauben und den gut versteckten Reset-Taster des SonicWALL-Boards betätigen. Das setzt dann die Firewall wieder auf das Werks-Setup zurück. Jedenfalls, wenn Sie auf diesen Trick kommen - dokumentiert ist er nicht.
Basiseinrichtung
Per Default besorgt sich der Vendotto die IP-Adresse für das LAN-Interface bei einem eventuell vorhandenen DHCP-Server. Warum das Gerät diesen Ansatz wählt, obwohl es ja eigentlich selbst als zentraler Server inklusive DHCP/DNS für das fragliche Netz dienen soll, kann vermutlich nur TEAC erklären.
Soll der Vendotto eine fixe IP-Adresse erhalten, was bei seinem Einsatzspektrum wohl die Regel sein dürfte, gilt es zunächst, auf einem Client im LAN den Vendotto Manager, eine Win32-Applikation, zu installieren. Sie sucht anschließend nach einem im Netz vorhandenen Vendotto und teilt diesem zunächst eine "provisorische" IP-Adresse aus dem Subnetz des Konfigurations-Clients zu. Das "provisorisch" steht deswegen in Anführungszeichen, weil uns auch nach längerem Grübeln kein Grund eingefallen ist, warum der Vendotto diese Adresse nicht behalten können sollte.
Das darf er aber nicht: In einem weiteren Schritt startet der Manager nun im Browser das Webinterface des Vendotto und verlangt vom Administrator kategorisch, sofort die LAN-IP-Adresse zu ändern. Man kann sie auch auf die "provisorische" IP "ändern" - aber ändern muss man sie. Bei der Gelegenheit lassen sich gleich NetBIOS-Name und Workgroup der Appliance einrichten. Als Nächstes sollte man via Systemtools/Administrator-Passwort das Verwaltungs-Interface mit einem Zugriffschutz versehen - per Default ist kein Passwort eingetragen.
Serverdienste
Entgegen der Angabe in der Dokumentation nehmen Sie sich als Nächstes die Definition der Benutzer vor. Ohne eingetragene User lassen sich die Zugriffsrechte im Server-Setup ja schlecht festlegen. Die Vendotto-Anwender müssen manuell definiert werden, einen Import oder eine Authentifizierung über einen eventuell vorhandenen Domain-Controller beherrscht die Appliance nicht.
Nun steht die Konfiguration des SMB-Servers an (Server-Setup/Fileserver Setup). Hier legen Sie fest, ob der Vendotto als Domain Master Browser agieren und die Adressauflösung per WINS vornehmen soll. Alternativ lässt sich aber auch ein anderer Rechner im Netz zu diesen Zwecken nutzen, der dann hier eingetragen werden muss.
Im Sharefolder Setup finden sich bereits Ordner für den public-Zugriff, die Home-Verzeichnisse der definierten Benutzer (samt Intranet-Folder), die vorinstallierte Groupware sowie den Webserver. Hier können Sie einerseits neue Shares anlegen und andererseits die Zugriffsrechte für jeden User getrennt festlegen.
Printserver, Webserver und DHCP
Unter Printserver Setup richten Sie zum einen den Drucker an der parallelen Schnittstelle des Vendotto mit Namen ein. Zum anderen können Sie hier bis zu drei Netzwerkdrucker eintragen. Für alle konfigurierten Printer lassen sich über diese Page im Betrieb auch Jobs aus der jeweiligen Queue entfernen.
Für den Webserver gilt es, im Vendotto-Setup zunächst nur den Namen festzulegen, unter dem dieser erreichbar sein soll. Alle weiteren Belange müssen entweder über das separate SonicWALL-Setup (Port Forwarding) oder manuell (Einrichten des Content) erledigt werden.
Über das DHCP Server Setup aktivieren Sie die entsprechende Funktion und versorgen den Dienst mit den grundlegenden Konfigurationsdaten wie DHCP-Adressbereich, Lease-Zeiten, Domain Name und IP-Adressen von Gateway und DNS- sowie WINS-Servern.
DNS
Ein echtes Schmankerl stellt die Einrichtung des DNS dar. Das entsprechende Aufsetzen der Zone-Dateien darf man nicht etwa per Editor oder Einspielen vorbereiteter Files durchführen. Stattdessen sind die Einträge Punkt für Punkt über das Webinterface zu erledigen.
Hier hat es TEAC geschafft, auf einer einzelnen Page insgesamt drei verschiedene Methoden zum Eintragen, Ändern und Löschen von Records zu implementieren und diese auch noch auf zwei verschiedene Seitenbereiche zu verteilen.
Als wäre das noch nicht verwirrend genug, führt TEAC alle bereits vorgenommenen Records zum Editieren als Einzelpunkte auf. Mehr als ein halbes Dutzend Einträge lassen sich daher pro Zone nicht mehr sinnvoll verwalten.
Systemtools, WAN
Unter dem Menüpunkt Systemtools des Management-Interface findet sich eine Sammlung nützlicher Werkzeuge. Hier kann der Administrator den Systemstatus prüfen und die Logfiles ansehen, den Vendotto reinitialisieren oder herunterfahren sowie Konfigurationen als Dateien speichern und wieder laden.
Mit dem Menüpunkt Internet/WAN kommt der Admin dagegen nur selten in Kontakt. Zwar ließe sich hier das Webinterface der SonicWALL aufrufen. Das läuft dann aber als Frame im Vendotto-Webmanagement, worunter die Übersichtlichkeit deutlich leidet. Um den Durchblick zu behalten, konfiguriert man die Firewall besser direkt über ihr internes Interface (https://192.168.168.168).
Auf Grund der etwas seltsamen Eigenart des Vendotto, bei jeder Initialisierung die IP-Adresse der Verbindung zur SonicWALL zu "vergessen", muss man jedoch an dieser Stelle gelegentlich über Firewall Tools/Initial config die Appliance an die passende IP "erinnern".
SonicWALL
Die SonicWALL stellt per se schon eine komplette Security Appliance mit mächtigem Funktionsumfang dar. Darunter fallen etwa eine komplette IPsec-VPN-Implementation samt Zertifikats-Management, Authentifizierung über RADIUS, ein optionaler Virenschutz und anderes mehr. Darum muss sich der Administrator bei der Konfiguration aber nicht zwangsläufig sofort kümmern: Die Clients hinter dem Vendotto haben per Default erst einmal Internet-Zugriff via NAT.
Speziell die Menüpunkte Filter und Access im SonicWALL-Webinterface lohnen jedoch ein genaueres Hinsehen. Im Bereich Filter lässt sich über Positiv- und Negativlisten festlegen, auf welche URLs die Benutzer zugreifen dürfen und welche Keywords geblockt werden sollen. Auch das Sperren potenziell gefährlichen Contents (ActiveX, Java, Cookies) und externer Proxies beherrscht die SonicWALL.
Firewall
Das Kernstück der SonicWALL bildet die Firewall mit Stateful Packet Inspection. Das Management-Interface bietet dazu unter dem Menüpunkt Access einen intuitiven und eingängigen Weg, eigene Rules zu definieren. Dazu kann man sich aus einem vordefinierten Pool mit Diensten bedienen, für die man dann anhand von Quelle und Ziel (respektive Source- und Destination-Bereichen) Regeln erstellt. Diese lassen sich generell oder nur zu bestimmten Zeiten anwenden. Für spezielle Zwecke kann der Administrator auch eigene Services definieren und mit einem eingängigen Namen versehen.
Für alle ihr bekannten Services bietet die SonicWALL die Möglichkeit, einen entsprechenden Server im LAN per Port Forwarding auch für das Internet zugänglich zu machen. Im Zusammenspiel mit dem Vendotto kommt dafür vorrangig dessen Webserver in Frage, der sich auf diesem Weg zum Internet-Server des Unternehmens befördern lässt.
Fazit
Der von der Grundidee und im Ansatz interessante und nützliche TEAC Vendotto demonstriert eines überdeutlich: Zur Entwicklung einer Server Appliance genügt es nicht, irgendwelche Komponenten mehr schlecht als recht zusammen in ein Gehäuse zu stopfen und dann eine lieblose Weboberfläche zur Bedienung darüber zu ziehen. Dies fällt beim Vendotto um so mehr auf, als eine seiner Komponenten - die SonicWALL - an sich schon eine Appliance darstellt. Die wirkt jedoch ganz im Gegensatz zum Gesamtsystem ausgereift und in sich konsistent bedienbar.
Mangelnde oder fehlende Konfigurationsmöglichkeiten der Vendotto-Oberfläche und die stellenweise gegen Null tendierende Usability der Benutzerschnittstelle lassen schnell den Wunsch aufkommen, doch lieber die Konfigurationsdateien des Systems direkt editieren zu können. Und das legt wiederum die häretische Frage nahe, warum man sich überhaupt eine derartige "Appliance" zulegen sollte. Alles, was der TEAC Vendotto funktionell bietet, könnte eine beliebige Linux-Distribution auf einem ordinären PC genauso gut erledigen. Hier präsentiert sich der Vendotto mehr oder weniger als reductio ad absurdum des Appliance-Gedankens.
Die eingangs geschilderte miserable Verarbeitung der Komponenten - und das bei einem Systempreis von fast 2000 Euro - setzt dem Ganzen schließlich die Krone auf. Für eine solche Summe kann man bei typischen Business-PC-Anbietern einen gut ausgestatteten Workgroup-Server mit Pentium-4/1,8GHz, 256 MByte RAM sowie zwei 80-GByte-IDE-Platten als RAID 1 bekommen - und eine Linux-Professional-Distribution ist auch noch mit drin. (jlu)