Verschlüsselung kostet Performance
Linogate Defendo
Defendo bietet neben dem üblichen Zugriffsverfahren per Secure HTTP einen Monitor- und Tastaturanschluss zur Wiederherstellung des Systems nach einer Fehlkonfiguration. Die Appliance basiert auf Linux, die Bedienung ist deshalb für Unix-Kenner einfach. Die Konfiguration kann auf zwei Wegen erfolgen. Standardeinstellungen lassen sich über Browser-gestützte Assistenten erledigen, die bei LAN-Anbindung, Fernwartung, Internetzugang- und E-Mail-Einrichtung helfen. Die verfügbaren Optionen werden im unteren Bereich der Konfigurations-Websites ausführlich erläutert. Eine Online-Hilfe ist darum an dieser Stelle nicht nötig, auch weniger versierte Anwender finden sich zurecht. Für individuelle Einstellungen wählt man die einzelnen Module, zum Beispiel "Schnittstellen", "Firewall" oder "DNS". Diese bieten jedoch keine detaillierten Erklärungen, eine Online-Hilfe wäre deshalb hier wünschenswert.
In Problemfällen kann der Administrator den integrierten ISDN-Fernwartungszugang aktivieren und so eine Ferndiagnose ermöglichen. Auf diesem Weg lässt sich die komplette Firewall verwalten. Während der Tests nutzte Linogate diesen Zugang, um die Firewall-Konfigurationen mit dem EANTC abzustimmen. Dies hat insbesondere die gemeinsame Fehlersuche mit dem Hersteller stark vereinfacht.
Zur Konfiguration der Appliance nutzten wir den Expertenmodus der einzelnen Module. Die Parameter für die LAN- und WAN-Schnittstellen lassen sich sehr intuitiv einstellen. Schwieriger war es, die richtigen Firewall-Optionen zu wählen. Abhängig von der Auswahl der vordefinierten Sicherheitsstufen für eine Schnittstelle bietet das System unterschiedliche Menüpunkte. Bei einer hohen Vertrauensstufe lässt die Firewall fast alle Pakete durch, über das Menü sind nur relativ wenig Parameter konfigurierbar. Anders sieht es mit der niedrigen Vertrauensstufe aus: Hier ist fast alles verboten, weshalb sehr viele Menüpunkte vorhanden sind, um die gewünschten Verkehrsarten einzeln freizuschalten. Die Konfigurationsoberfläche war an dieser Stelle kaum noch selbsterklärend. Da auch das Handbuch nicht weiter half, sprachen wir die Einstellungen mit dem Hersteller ab.
Um VPN-Verbindungen aufzubauen, werden IPSec-Schnittstellen konfiguriert, die auf einer Netzwerkschnittstelle basieren (zum Beispiel eth0). Dabei legten wir auch die Adresswerte der VPN-Verbindung fest, den Übertragungsmodus, die Identifikationsschlüssel und die Parameter für den Schlüsseltausch. Für die Einrichtung einer größeren Anzahl von VPN-Verbindungen ist kein separates Softwaremodul vorhanden. Sie sollte deshalb von einem Experten vorgenommen werden.