Sysbus
ManagementTests

Im Test: Das Zyxel “Nebula Control Center” – zentrale Verwaltungslösung für IT-Infrastrukturen

gg

Konfiguration nach unseren Wünschen

Nachdem die Firewall im Web-Interface erschien, passten wir zunächst einmal ihre LAN-Konfiguration so an, dass unsere Clients über sie ins Internet kamen. Das war erforderlich, da in unserem LAN ein anderes Subnetz als die 192.168.1.0 zum Einsatz kam und viele unserer Systeme mit festen IP-Adressen arbeiteten. In Umgebungen, in denen alle Rechner als DHCP-Clients konfiguriert wurden, ist dieser Schritt nicht erforderlich.

Jetzt schlossen wir den Switch und den Access Point an die USG FLEX 100 an und verbanden unsere sonstigen Systeme mit dem Switch. Daraufhin meldeten sich die beiden übrigen Zyxel-Komponenten ebenfalls in der Cloud an und waren über das Web-Interface konfigurierbar. Außerdem konnten alle unsere Systeme auf das Internet zugreifen. In nächsten Schritt passten wir nun noch einige Konfigurationsparameter genauer an unsere Bedürfnisse an, beispielsweise legten wir diverse Firewall-Regeln fest, aktualisierten die Firmware der verwendeten Nebula-Geräte und deaktivierten PoE auf den Switch Ports, auf denen wir diese Funktion nicht brauchten, danach war das System (einschließlich der zuvor angelegten WLANs) komplett einsatzbereit. Das ganze Vorgehen nahm nicht einmal eine Viertelstunde in Anspruch.

Firmware-Updates sind unter anderem auf Organisationsebene durchführbar (Screenshot: IT-Testlab Dr. Güttich)

Der Leistungsumfang des Konfigurationswerkzeugs

Gehen wir nun auf die zentralen Features ein, die die Lösung bietet. Im Web-Interface finden sich Einstellungen und Überwachungsmöglichkeiten für die Organisationen, die Sites und die verbundenen Geräte. Dabei unterscheidet die Lösung jeweils zwischen einem Monitoring– und einem Konfigurationsbereich.

Die Organisationsverwaltung

Organisationsweit stellt das Nebula-Portal eine Übersicht über die Sites und Geräte bereit, die sich bei Bedarf durchsuchen lässt. Zusätzlich gibt es auch ein Change Log, das sämtliche Konfigurationsänderungen vorhält. Das ist sehr nützlich bei der Fehlersuche. Was die Konfiguration der Organisation angeht, so lassen sich hier Sites anlegen, Administratorkonten einrichten und diverse Einstellungen wie der Organisationsname, das Land, in dem die Organisation arbeitet und der Idle-Timeout der Webseite festlegen. Darüber hinaus gibt es eine Übersicht über die Gerätelizenzen und ihre Ablaufdaten, eine Cloud-Authentifizierung (also eine Verwaltung der Benutzerkonten in der Nebula User-Database) und eine Funktion zum Konfigurationsmanagement. Mit letzterer können die Verantwortlichen Konfigurationen zwischen mehreren Sites synchronisieren, Switch-Einstellungen von einem Gerät auf ein anderes kopieren sowie Site– und Switch-Settings sichern und wiederherstellen.

Die Konfiguration der Switch-Einstellungen findet sich deshalb auf Organisationsebene, da es viele Anwendungsbereiche gibt, in denen die Switch-Einstellungen jeweils identisch sind, die anderen Konfigurationsparameter aber spezifisch angepasst werden müssen. In solchen Umgebungen kann es nützlich sein, die Switch-Konfigurationen (zum Beispiel mit ihren VLANs) zuerst auszubringen und den Rest später einzurichten.

Das Dashboard mit aktuellen Informationen auf Site-Ebene (Screenshot: IT-Testlab Dr. Güttich)

Außerdem lassen sich die Sicherheitseinstellungen (also die Settings der Threat– und Content-Filter und Ähnliches) über mehrere Sites hinweg synchronisieren, Geräte-Firmwares auf den aktuellen Stand bringen und VPNs orchestrieren. Die Orchestrierung der VPNs macht es in Umgebungen mit vielen Niederlassungen möglich, Konfigurationen zu erstellen, in denen jede Niederlassung direkt mit jeder anderen kommunizieren kann. Das System unterstützt demzufolge Settings, die weit über das Einrichten einzelner VPN-Tunnel hinausgehen. Im Betrieb lassen sich im Orchestrator Tunnel zu einer anderen Nebula-Site per Drag-and-Drop hinzufügen und so Mesh-Konfigurationen realisieren, was unter anderem für Kaufhaus- und Hotelketten einen großen Nutzen bringen kann.

Die Konfiguration von VPN-Verbindungen zwischen verschiedenen Niederlassungen lässt sich so besonders einfach umsetzen, da sie an einer zentralen Stelle in der Cloud erstellt wird und dann automatisch auf den jeweiligen Gateways zum Einsatz kommt. Sie kann folglich mit Nebula sehr gut automatisiert werden.

Am gleichen Ort können die zuständigen Mitarbeiter auch die bereits erwähnten Konfigurations-Templates anlegen. Dabei handelt es sich um virtuelle Sites, die sich an echte Sites binden lassen. Bei Bedarf gibt es dabei die Option, einzelne Konfigurationsparameter lokal zu überschreiben.

Die USG FLEX 100 liefert unter anderem Detailinformationen zu den am meisten genutzten Anwendungen und Ports (Screenshot: IT-Testlab Dr. Güttich)

Das Management der Sites

Was die Sites angeht, so enthält der Monitoring-Bereich ein Dashboard mit Informationen über den Status der vorhandenen Geräte mit verbundenen WLAN-Clients, der PoE-Power-Nutzung der Switch-Ports und dem WAN-Durchsatz der Firewall. Außerdem zeigt das Dashboard die am meisten genutzten Netzwerkanwendungen, die Top-Clients nach Datenverkehr, die aktiven SSIDs, die WLAN-Top-Clients nach Datenverkehr im drahtlosen Netz, die Hersteller der aktiven WLAN-Clients, die im WLAN eingesetzten Betriebssysteme und die Nutzung der Access Points.

Dazu kommen im Monitoring-Bereich eine durchsuchbare Liste der in der Site vorhandenen Clients und eine Containment-List. Diese umfasst Malicious Clients, die von der Collaborative-Detection-and-Response-Funktion des Gateways (zu dieser später mehr) erkannt und in das Containment (also eine Art Quarantäne) verschoben wurden. Die Benutzer dieser Clients erhalten dann eine Meldung, dass sie sich an den Administrator wenden sollen.

Ebenfalls Teil des Monitoring-Abschnitts: eine Übersicht über den Standort der Geräte mit Karten und Raumplänen, eine grafische Darstellung der Netzwerktopologie und eine Übersicht über die Vouchers. Bei den Vouchers handelt es sich um zeitlich beschränkte Zugriffsrechte für bestimmte Anwender, die beispielsweise in gedruckter Form Hotelgästen in die Hand gedrückt werden können.

Zu den Security-Features gehört unter anderem ein Threat-Filter (Screenshot: IT-Testlab Dr. Güttich)

Die “Cloud-Intelligence-Logs”, die UTM-Meldungen zusammenfassen, damit man nicht das ganze Event-Log durchsuchen muss, bringen beispielsweise einen großen Vorteil, wenn ein Administrator nach einer Geschäftsreise oder nach seinem Urlaub wieder ins Büro kommt und sich schnell darüber informieren möchte, was in seiner Abwesenheit geschehen ist. Eine Übersicht über die verwendeten Anwendungen, die zeigt, zu welchem Zeitpunkt die meisten Datenübertragungen stattfanden und wie viele Daten pro Applikation übertragen wurden, rundet den Monitoring-Bereich ab.

Über die genannte “Application”-Funktion haben Anwender darüber hinaus die Möglichkeit, Kategorien wie “Games”, “File Sharing” oder “Peer-to-Peer” per “1-Klick” direkt im Monitoring-Tool zu sperren. Auch Anwendungen wie zum Beispiel Fortnite können bei Erkennung im Netzwerk per 1-Klick blockiert oder in der Bandbreite limitiert werden. Dies bedarf keiner Firewall-Regel.

Das könnte dir auch gefallen

Im Test: SafeNet Data Protection on Demand von Gemalto

gcg

PRTG Hosted Monitor im Test – Cloud-basiertes Monitoring

dcg

Windows 10 Update

gg
Die mobile Version verlassen
%%footer%%