{"id":19352,"date":"2021-08-04T11:41:00","date_gmt":"2021-08-04T09:41:00","guid":{"rendered":"https:\/\/www.sysbus.eu\/?p=19352"},"modified":"2021-08-02T09:56:55","modified_gmt":"2021-08-02T07:56:55","slug":"im-test-das-zyxel-nebula-control-center-zentrale-verwaltungsloesung-fuer-it-infrastrukturen","status":"publish","type":"post","link":"https:\/\/www.sysbus.eu\/?p=19352","title":{"rendered":"Im Test: Das Zyxel „Nebula Control Center“ \u2013 zentrale Verwaltungsl\u00f6sung f\u00fcr IT-Infrastrukturen"},"content":{"rendered":"\n

Dr. G\u00f6tz G\u00fcttich<\/strong><\/p>\n\n\n\n

Mit dem „Nebula Control Center“ bietet Zyxel eine Verwaltungsumgebung auf Cloud-Basis an, die \u00a0sich f\u00fcr das Management von Switches, WLAN-Access-Points und Firewalls eignet. Mit der L\u00f6sung wendet sich der Hersteller haupts\u00e4chlich an Einrichtungen, die \u00fcber eine gro\u00dfe Zahl an Au\u00dfenstellen verf\u00fcgen, in denen sich keine IT-Spezialisten vor Ort befinden. Diese Au\u00dfenstellen k\u00f6nnen mit Hilfe der Nebula Cloud durch eine zentrale IT-Abteilung installiert und verwaltet werden. Im Test haben wir das Produkt unter die Lupe genommen.<\/p>\n\n\n\n

Dieser Beitrag ist auch als PDF verf\u00fcgbar: https:\/\/www.sysbus.eu\/wp-content\/uploads\/2021\/08\/IT_Testlab_Test_Zyxel_Nebula.pdf<\/a><\/p>\n\n\n\n

\"\"<\/a>
Bild: Zyxel<\/figcaption><\/figure>\n\n\n\n\n\n\n\n

Das Nebula Control Center eignet sich laut Zyxel f\u00fcr das Management von Netzen mit bis zu 250 Teilnehmern. Die verwalteten Ger\u00e4te, also die Access Points, Switches und Firewalls, lassen sich jeweils getrennt administrieren und \u00fcberwachen. Der Datenverkehr selbst wird dabei nicht \u00fcber die Cloud gesteuert, sondern die ermittelten Datenpakete werden nur als statistische Werte in die Cloud hochgeladen. Auf diese Weise erfasst das System keine Informationen dar\u00fcber, wer wann welche Aktion durchgef\u00fchrt hat, so dass der Datenschutz gew\u00e4hrleistet bleibt.<\/p>\n\n\n\n

Im Betrieb funktioniert das System so, dass man sich einen Account unter https:\/\/nebula.zyxel.com<\/a> anlegt, unter diesem die kompatiblen Ger\u00e4te anmeldet und anschlie\u00dfend eine Konfiguration f\u00fcr die Netzwerkkomponenten festlegt, beispielsweise mit den zu verwendenden SSIDs und VPN-Verbindungen. Danach werden die einzelnen Komponenten dann ans Netz angeschlossen, verbinden sich mit der Cloud, holen sich dort ihre \u2013 zuvor festgelegte \u2013 Konfiguration herunter und nehmen den Betrieb auf. Anschlie\u00dfend lassen sich die einzelnen Ger\u00e4te dann \u00fcber die Cloud \u00fcberwachen und verwalten. Bei allen Nebula-kompatiblen Access Points, Switches und Firewalls ist es sogar m\u00f6glich, einen Hybrid-Modus zu verwenden, in dem sie sowohl mit als auch ohne das Nebula-Management-Werkzeug zum Einsatz kommen.<\/p>\n\n\n\n

Die Lizensierung wird \u00fcber eine Organisationsstruktur realisiert. So kann beispielsweise ein Fachh\u00e4ndler eine Lizenz f\u00fcr seine gesamte Organisation erwerben und anschlie\u00dfend seine einzelnen Kunden in Form von darunterliegenden Sites verwalten. Bei den Sites kann es sich neben den Netzen von unterschiedlichen Kunden nat\u00fcrlich auch um verschiedene Niederlassungen eines Unternehmens oder \u00c4hnliches handeln. Die Sites enthalten dann jeweils die im betroffenen Netz verwalteten Ger\u00e4te.<\/p>\n\n\n\n

Konfigurations-Updates lassen sich entweder sofort oder zeitverz\u00f6gert (alle zehn Minuten) ausrollen und es besteht auch die M\u00f6glichkeit, Rollbacks durchzuf\u00fchren, je nach Lizenz nach zwei, f\u00fcnf oder auch 365 Tagen. Die Registrierung ist \u00fcbrigens kostenlos und f\u00fcr viele der bereitgestellten Funktionen ben\u00f6tigen die Anwender \u00fcberhaupt keine Lizenz \u2013 sie stehen \u00fcber das Nebula Base Pack jedem frei zur Verf\u00fcgung.<\/p>\n\n\n\n

Zu den weiteren relevanten Features des Systems geh\u00f6ren Benutzerkonten mit unterschiedlichen Zugriffsrechten, Alarmfunktionen (via E-Mail und Push) und grafische Dashboards. F\u00fcr Umgebungen wie Heime stellt die L\u00f6sung zudem dynamische pers\u00f6nliche PSKs (DPPSKs) zur Verf\u00fcgung. Diese erm\u00f6glichen es den Nutzern, sich bei allen zur Organisation geh\u00f6renden SSIDs anzumelden, woraufhin sie ein eigenes VLAN zugewiesen bekommen und auf alle f\u00fcr sie freigegebenen Ressourcen zugreifen. So ist es beispielsweise m\u00f6glich, von der Kantine aus etwas auf dem Drucker im eigenen Zimmer auszudrucken.<\/p>\n\n\n\n

Zus\u00e4tzlich besteht auch die Option, GPS-Daten zu hinterlegen. In diesem Fall erscheinen die vorhandenen Komponenten auf einer Karte, die genau zeigt, welches Ger\u00e4t sich wo befindet.<\/p>\n\n\n\n

\"\"<\/a>
Nach dem ersten Login wird der Administrator von einem Wizard empfangen, der ihn durch die Erstkonfiguration f\u00fchrt (Screenshot: IT-Testlab Dr. G\u00fcttich)<\/figcaption><\/figure>\n\n\n\n

Um die Infrastrukturen auch von unterwegs aus im Auge behalten zu k\u00f6nnen, stellt Zyxel f\u00fcr die Nebula Cloud eine App zur Verf\u00fcgung, die unter Android und iOS nutzbar ist. Mit ihr werden Administratoren in die Lage versetzt, in Echtzeit von \u00fcberall aus Daten einzusehen und steuernd einzugreifen.<\/p>\n\n\n\n

Der Test<\/strong><\/p>\n\n\n\n

Im Test legten wir uns ein Konto in der Nebula Cloud an, wiesen diesem Konto unsere Testger\u00e4te zu und erstellten eine erste Konfiguration. Anschlie\u00dfend banden wir die Komponenten (eine Firewall, einen Switch und einen WLAN-Access-Point) in unser Netzwerk ein und lie\u00dfen sie mit der Cloud Kontakt aufnehmen sowie ihre Einstellungen herunterladen. Danach machten wir uns mit dem Leistungsumfang der Cloud-L\u00f6sung im laufenden Betrieb vertraut und analysierten unsere Ergebnisse.<\/p>\n\n\n\n

Inbetriebnahme<\/strong><\/p>\n\n\n\n

F\u00fcr den Test stellte uns Zyxel eine Firewall vom Typ \u201cUSG FLEX 100<\/a>\u201d, einen Switch vom Typ \u201cGS1920-8HP<\/a>\u201d und einen WLAN-Access-Point vom Typ \u201cNWA110AX<\/a>\u201d zur Verf\u00fcgung. Nachdem wir unser Nebula-Konto angelegt und uns eingeloggt hatten, startete ein Wizard, der uns durch die Einrichtung des Systems f\u00fchrte. Dieser half uns dabei, unsere Organisation und unsere Site anzulegen und fragte uns anschlie\u00dfend nach unserem Aufenthaltsort (Deutschland) und der zu verwendenden Zeitzone.<\/p>\n\n\n\n

Im n\u00e4chsten Schritt konnten wir unsere Ger\u00e4te zu der Cloud-Umgebung hinzuf\u00fcgen. Dazu mussten wir f\u00fcr die drei Komponenten lediglich die MAC-Adressen und die Seriennummern eintragen, daraufhin erkannte das System den Typ der Produkte und band sie in Nebula ein. Alternativ gibt es auch die M\u00f6glichkeit, die QR-Codes der Ger\u00e4te mit der Nebula App (auf die wir sp\u00e4ter noch genauer eingehen) zu scannen und die Produkte auf diese Weise in die Cloud einzubinden.<\/p>\n\n\n\n

\"\"<\/a>
Das organisationsweite Change-Log hilft beim Nachverfolgen von Konfigurations\u00e4nderungen (Screenshot: IT-Testlab Dr. G\u00fcttich) <\/figcaption><\/figure>\n\n\n\n

Nach dem Hinzuf\u00fcgen der Ger\u00e4te ging es an die Erstkonfiguration der Komponenten. F\u00fcr den Access Point fragte die Web-Oberfl\u00e4che nach der zu verwendenden SSID und der Sicherheitskonfiguration. An dieser Stelle entschieden wir uns f\u00fcr WPA2-PSK und vergaben einen entsprechenden Schl\u00fcssel. Zus\u00e4tzlich richteten wir auch ein Guest-WLAN ein. Hier hat man die Option, den Zugriff \u00fcber ein Captive Portal, einen Klick auf eine Einverst\u00e4ndniserkl\u00e4rung oder einen Facebook-Login zu steuern. Im Test verwendeten wir an dieser Stelle das Captive Portal, was dann sp\u00e4ter problemlos funktionierte. Was den Switch anging, waren f\u00fcr unsere Erstkonfiguration keine weiteren Schritte erforderlich.<\/p>\n\n\n\n

Zero Touch Provisioning (ZTP)<\/strong><\/p>\n\n\n\n

Interessanter war die Einrichtung der Firewall. Diese muss ja erfahren, auf welche Art und Weise sie ins Internet kommt, damit sie und die anderen Ger\u00e4te \u00fcberhaupt in die Lage versetzt werden, sich ihre Konfiguration aus der Cloud zu holen. Dazu kommt das so genannte Zero-Touch-Provisioning zum Einsatz. Daf\u00fcr fragte uns der Wizard nach einem Namen f\u00fcr das Gateway, dem VLAN-Tag und dem WAN-Typ. F\u00fcr letzteren unterst\u00fctzt das Produkt DHCP, statisch oder PPPoE. Da wir mit einem Anschluss von \u201cDeutsche Glasfaser\u201d arbeiteten, entschieden wir uns an dieser Stelle f\u00fcr DHCP. Jetzt konnten wir eine E-Mail-Adresse angeben, an die die Konfiguration verschickt wurde. Damit war der Wizard abgeschlossen.<\/p>\n\n\n\n

In der Praxis k\u00f6nnten die zust\u00e4ndigen Mitarbeiter die Konfiguration jetzt noch anpassen, VPN-Parameter vergeben, Firewall-Regel setzen und \u00c4hnliches. Man ist also keinesfalls darauf beschr\u00e4nkt, nur die vom Wizard gesammelten Informationen f\u00fcr die Erstkonfiguration zu verwenden. Die L\u00f6sung stellt sogar Konfigurations-Templates zur Verf\u00fcgung, die sich nutzen lassen, um schnell fertige Konfigurationen ganzer Sites zu erstellen.<\/p>\n\n\n\n

Wenn die Konfiguration fertig ist, k\u00f6nnte der Administrator, der sie bis zu diesem Zeitpunkt durchgef\u00fchrt hat, veranlassen, dass die Ger\u00e4te an die Au\u00dfenstelle geschickt werden, in der sie zum Einsatz kommen sollten. Die Mail mit der Konfiguration k\u00f6nnte an einen Mitarbeiter der Au\u00dfenstelle gehen. Dieser m\u00fcsste die Komponenten nach ihrem Eingang lediglich auspacken und entsprechend der Vorgaben mit dem Netz verbinden. Im Test gingen wir genauso vor: Wir schlossen die Firewall mit Port zwei an unseren Internet-Zugang an und verbanden einen Client mit der heruntergeladenen Mail (dazu kann beispielsweise ein Notebook Verwendung finden) mit dem LAN-Port vier der USG FLEX 100.<\/p>\n\n\n\n

\"\"<\/a>
Konfigurationen lassen sich zwischen verschiedenen Sites synchronisieren (Screenshot: IT-Testlab Dr. G\u00fcttich) <\/figcaption><\/figure>\n\n\n\n

Dieser Client muss als DHCP-Client konfiguriert sein, damit er die richtigen Netzwerk-Parameter bekommt, um mit der Firewall, die Default-m\u00e4\u00dfig mit der IP-Adresse 192.168.1.1 arbeitet, zu kommunizieren. Sobald die Verbindung hergestellt wurde, reicht es aus, in der Mail auf einen Link zu klicken. Der Client nimmt dann die Verbindung zum Web-Interface der Firewall auf und \u00fcbertr\u00e4gt die n\u00f6tigen Daten direkt \u00fcber die angeklickte URL an das Ger\u00e4t.<\/p>\n\n\n\n

Das ganze Vorgehen wird in der Mail genau beschrieben und auch ein Mitarbeiter ohne IT-Kenntnisse sollte keine Probleme damit haben, die genannten Schritte auszuf\u00fchren. Es gibt aber noch einen alternativen Weg, um die Konfiguration zu \u00fcbertragen. Alle f\u00fcr die Einrichtung der Firewall erforderlichen Angaben finden sich auch in Form einer JSON-Datei im Anhang der Mail. Kopiert man diese Datei auf einen USB-Stick und startet die Firewall neu, so liest sie w\u00e4hrend des Boot-Vorgangs die Daten ein und verbindet sich mit der Nebula-Cloud. Im Test funktionierte das einwandfrei und wir konnten anschlie\u00dfend \u00fcber das Web-Interface auf die Konfiguration der USG FLEX zugreifen. Der zweite Weg eignet sich beispielsweise f\u00fcr Umgebungen, in denen kein Mitarbeiter einen Client als DHCP-Client konfigurieren kann oder in denen niemand dazu in der Lage ist, eine E-Mail zu empfangen. Der Administrator k\u00f6nnte den USB-Stick auch den Ger\u00e4ten beim Versand direkt beilegen, so dass der \u201cInstallateur\u201d auf \u00fcberhaupt keinen Computer zugreifen muss.<\/p>\n\n\n\n\n\n\n\n

Konfiguration nach unseren W\u00fcnschen<\/strong><\/p>\n\n\n\n

Nachdem die Firewall im Web-Interface erschien, passten wir zun\u00e4chst einmal ihre LAN-Konfiguration so an, dass unsere Clients \u00fcber sie ins Internet kamen. Das war erforderlich, da in unserem LAN ein anderes Subnetz als die 192.168.1.0 zum Einsatz kam und viele unserer Systeme mit festen IP-Adressen arbeiteten. In Umgebungen, in denen alle Rechner als DHCP-Clients konfiguriert wurden, ist dieser Schritt nicht erforderlich.<\/p>\n\n\n\n

Jetzt schlossen wir den Switch und den Access Point an die USG FLEX 100 an und verbanden unsere sonstigen Systeme mit dem Switch. Daraufhin meldeten sich die beiden \u00fcbrigen Zyxel-Komponenten ebenfalls in der Cloud an und waren \u00fcber das Web-Interface konfigurierbar. Au\u00dferdem konnten alle unsere Systeme auf das Internet zugreifen. In n\u00e4chsten Schritt passten wir nun noch einige Konfigurationsparameter genauer an unsere Bed\u00fcrfnisse an, beispielsweise legten wir diverse Firewall-Regeln fest, aktualisierten die Firmware der verwendeten Nebula-Ger\u00e4te und deaktivierten PoE auf den Switch Ports, auf denen wir diese Funktion nicht brauchten, danach war das System (einschlie\u00dflich der zuvor angelegten WLANs) komplett einsatzbereit. Das ganze Vorgehen nahm nicht einmal eine Viertelstunde in Anspruch.<\/p>\n\n\n\n

\"\"<\/a>
Firmware-Updates sind unter anderem auf Organisationsebene durchf\u00fchrbar (Screenshot: IT-Testlab Dr. G\u00fcttich)<\/figcaption><\/figure>\n\n\n\n

Der Leistungsumfang des Konfigurationswerkzeugs<\/strong><\/p>\n\n\n\n

Gehen wir nun auf die zentralen Features ein, die die L\u00f6sung bietet. Im Web-Interface finden sich Einstellungen und \u00dcberwachungsm\u00f6glichkeiten f\u00fcr die Organisationen, die Sites und die verbundenen Ger\u00e4te. Dabei unterscheidet die L\u00f6sung jeweils zwischen einem Monitoring\u2013 und einem Konfigurationsbereich.<\/p>\n\n\n\n

Die Organisationsverwaltung<\/strong><\/p>\n\n\n\n

Organisationsweit stellt das Nebula-Portal eine \u00dcbersicht \u00fcber die Sites und Ger\u00e4te bereit, die sich bei Bedarf durchsuchen l\u00e4sst. Zus\u00e4tzlich gibt es auch ein Change Log, das s\u00e4mtliche Konfigurations\u00e4nderungen vorh\u00e4lt. Das ist sehr n\u00fctzlich bei der Fehlersuche. Was die Konfiguration der Organisation angeht, so lassen sich hier Sites anlegen, Administratorkonten einrichten und diverse Einstellungen wie der Organisationsname, das Land, in dem die Organisation arbeitet und der Idle-Timeout der Webseite festlegen. Dar\u00fcber hinaus gibt es eine \u00dcbersicht \u00fcber die Ger\u00e4telizenzen und ihre Ablaufdaten, eine Cloud-Authentifizierung (also eine Verwaltung der Benutzerkonten in der Nebula User-Database) und eine Funktion zum Konfigurationsmanagement. Mit letzterer k\u00f6nnen die Verantwortlichen Konfigurationen zwischen mehreren Sites synchronisieren, Switch-Einstellungen von einem Ger\u00e4t auf ein anderes kopieren sowie Site\u2013 und Switch-Settings sichern und wiederherstellen.<\/p>\n\n\n\n

Die Konfiguration der Switch-Einstellungen findet sich deshalb auf Organisationsebene, da es viele Anwendungsbereiche gibt, in denen die Switch-Einstellungen jeweils identisch sind, die anderen Konfigurationsparameter aber spezifisch angepasst werden m\u00fcssen. In solchen Umgebungen kann es n\u00fctzlich sein, die Switch-Konfigurationen (zum Beispiel mit ihren VLANs) zuerst auszubringen und den Rest sp\u00e4ter einzurichten.<\/p>\n\n\n\n

\"\"<\/a>
Das Dashboard mit aktuellen Informationen auf Site-Ebene (Screenshot: IT-Testlab Dr. G\u00fcttich)<\/figcaption><\/figure>\n\n\n\n

Au\u00dferdem lassen sich die Sicherheitseinstellungen (also die Settings der Threat\u2013 und Content-Filter und \u00c4hnliches) \u00fcber mehrere Sites hinweg synchronisieren, Ger\u00e4te-Firmwares auf den aktuellen Stand bringen und VPNs orchestrieren. Die Orchestrierung der VPNs macht es in Umgebungen mit vielen Niederlassungen m\u00f6glich, Konfigurationen zu erstellen, in denen jede Niederlassung direkt mit jeder anderen kommunizieren kann. Das System unterst\u00fctzt demzufolge Settings, die weit \u00fcber das Einrichten einzelner VPN-Tunnel hinausgehen. Im Betrieb lassen sich im Orchestrator Tunnel zu einer anderen Nebula-Site per Drag-and-Drop hinzuf\u00fcgen und so Mesh-Konfigurationen realisieren, was unter anderem f\u00fcr Kaufhaus- und Hotelketten einen gro\u00dfen Nutzen bringen kann.<\/p>\n\n\n\n

Die Konfiguration von VPN-Verbindungen zwischen verschiedenen Niederlassungen l\u00e4sst sich so besonders einfach umsetzen, da sie an einer zentralen Stelle in der Cloud erstellt wird und dann automatisch auf den jeweiligen Gateways zum Einsatz kommt. Sie kann folglich mit Nebula sehr gut automatisiert werden.<\/p>\n\n\n\n

Am gleichen Ort k\u00f6nnen die zust\u00e4ndigen Mitarbeiter auch die bereits erw\u00e4hnten Konfigurations-Templates anlegen. Dabei handelt es sich um virtuelle Sites, die sich an echte Sites binden lassen. Bei Bedarf gibt es dabei die Option, einzelne Konfigurationsparameter lokal zu \u00fcberschreiben.<\/p>\n\n\n\n

\"\"<\/a>
Die USG FLEX 100 liefert unter anderem Detailinformationen zu den am meisten genutzten Anwendungen und Ports (Screenshot: IT-Testlab Dr. G\u00fcttich)<\/figcaption><\/figure>\n\n\n\n

Das Management der Sites<\/strong><\/p>\n\n\n\n

Was die Sites angeht, so enth\u00e4lt der Monitoring-Bereich ein Dashboard mit Informationen \u00fcber den Status der vorhandenen Ger\u00e4te mit verbundenen WLAN-Clients, der PoE-Power-Nutzung der Switch-Ports und dem WAN-Durchsatz der Firewall. Au\u00dferdem zeigt das Dashboard die am meisten genutzten Netzwerkanwendungen, die Top-Clients nach Datenverkehr, die aktiven SSIDs, die WLAN-Top-Clients nach Datenverkehr im drahtlosen Netz, die Hersteller der aktiven WLAN-Clients, die im WLAN eingesetzten Betriebssysteme und die Nutzung der Access Points.<\/p>\n\n\n\n

Dazu kommen im Monitoring-Bereich eine durchsuchbare Liste der in der Site vorhandenen Clients und eine Containment-List. Diese umfasst Malicious Clients, die von der Collaborative-Detection-and-Response-Funktion des Gateways (zu dieser sp\u00e4ter mehr) erkannt und in das Containment (also eine Art Quarant\u00e4ne) verschoben wurden. Die Benutzer dieser Clients erhalten dann eine Meldung, dass sie sich an den Administrator wenden sollen.<\/p>\n\n\n\n

Ebenfalls Teil des Monitoring-Abschnitts: eine \u00dcbersicht \u00fcber den Standort der Ger\u00e4te mit Karten und Raumpl\u00e4nen, eine grafische Darstellung der Netzwerktopologie und eine \u00dcbersicht \u00fcber die Vouchers. Bei den Vouchers handelt es sich um zeitlich beschr\u00e4nkte Zugriffsrechte f\u00fcr bestimmte Anwender, die beispielsweise in gedruckter Form Hotelg\u00e4sten in die Hand gedr\u00fcckt werden k\u00f6nnen.<\/p>\n\n\n\n

\"\"<\/a>
Zu den Security-Features geh\u00f6rt unter anderem ein Threat-Filter (Screenshot: IT-Testlab Dr. G\u00fcttich)<\/figcaption><\/figure>\n\n\n\n

Die „Cloud-Intelligence-Logs“, die UTM-Meldungen zusammenfassen, damit man nicht das ganze Event-Log durchsuchen muss, bringen beispielsweise einen gro\u00dfen Vorteil, wenn ein Administrator nach einer Gesch\u00e4ftsreise oder nach seinem Urlaub wieder ins B\u00fcro kommt und sich schnell dar\u00fcber informieren m\u00f6chte, was in seiner Abwesenheit geschehen ist. Eine \u00dcbersicht \u00fcber die verwendeten Anwendungen, die zeigt, zu welchem Zeitpunkt die meisten Daten\u00fcbertragungen stattfanden und wie viele Daten pro Applikation \u00fcbertragen wurden, rundet den Monitoring-Bereich ab.<\/p>\n\n\n\n

\u00dcber die genannte „Application“-Funktion haben Anwender dar\u00fcber hinaus die M\u00f6glichkeit, Kategorien wie „Games“, „File Sharing“ oder „Peer-to-Peer“ per „1-Klick“ direkt im Monitoring-Tool zu sperren. Auch Anwendungen wie zum Beispiel Fortnite k\u00f6nnen bei Erkennung im Netzwerk per 1-Klick blockiert oder in der Bandbreite limitiert werden. Dies bedarf keiner Firewall-Regel.<\/p>\n\n\n\n\n\n\n\n

Die Site-Konfiguration bietet viele Funktionen<\/strong><\/p>\n\n\n\n

Was die Konfigurationsoptionen angeht, so umfassen die \u201cGeneral Settings\u201d unter anderem Angaben wie den Site-Namen, die Zeitzone, den verwendeten Gateway-Typ sowie die lokalen Login-Daten beziehungsweise die SNMP\u2013 und Syslog-Konfiguration. Dar\u00fcber hinaus lassen sich hier die Token f\u00fcr die in der Einleitung erw\u00e4hnten dynamischen PSKs anlegen und die Einstellungen zu den Vouchern mit dem Text, der auf den Voucher-Ausdrucken steht und \u00c4hnlichem vornehmen.<\/p>\n\n\n\n

Unter \u201cCollaborative detection & response\u201d sind die Administratoren dazu in der Lage, die bereits erw\u00e4hnte gleichnamige Funktion zu verwalten, die Malicious Clients erkennt und ins Containment verschiebt. Au\u00dferdem k\u00f6nnen sie die Containment-Seite, die die Anwender auf den Malicious-Clients angezeigt bekommen, gestalten (mit Redirect-URL, Logo und Nachrichtentext) und eine Ausschlussliste definieren.<\/p>\n\n\n\n

\"\"<\/a>
Der URL-Threat-Filter in Aktion (Screenshot: IT-Testlab Dr. G\u00fcttich)<\/figcaption><\/figure>\n\n\n\n

Die Alarmeinstellungen erm\u00f6glichen das Aktivieren von Alerts per Mail an die Site-Administratoren oder beliebige Empf\u00e4nger oder per Push in die Nebula App. Die Alarme lassen sich f\u00fcr die Bereiche \u201cWireless\u201d, \u201cSwitches\u201d, \u201cSecurity Gateway\u201d, \u201cOther\u201d und \u201cCDR Containment\u201d anlegen. Im Test ergaben sich dabei keine Schwierigkeiten. Dar\u00fcber hinaus besteht auch die M\u00f6glichkeit, einen Sicherheitsreport automatisch zu erzeugen und per Mail zu verschicken und die Schwellwerte f\u00fcr die Ereignisse festzulegen. Die letzten Punkte der Site-Konfiguration erm\u00f6glichen es unter anderem, weitere Ger\u00e4te hinzuzuf\u00fcgen und die Firmware der Ger\u00e4te der Site auf den aktuellen Stand zu bringen (das geht auch mit Zeitplan, was im Test problemlos funktionierte).<\/p>\n\n\n\n

Das Management der Firewall<\/strong><\/p>\n\n\n\n

Was die Monitoring-Optionen angeht, so findet sich im Eintrag zur USG FLEX 100 unter anderem eine \u00dcbersichtsseite, die Informationen wie MAC-Adresse, Seriennummer, Portbelegung, Speicher\u2013 und CPU-Last, WAN-IP-Adresse, Netzwerknutzung und \u00c4hnliches umfasst. Interessant an dieser Stelle: die so genannten Live Tools, mit denen sich die zust\u00e4ndigen Mitarbeiter einen \u00dcberblick \u00fcber den aktuellen Verkehr und die DHCP-Leases verschaffen k\u00f6nnen. An gleicher Stelle existiert auch die M\u00f6glichkeit, Netzwerkprobleme mit Werkzeugen wie Ping, Traceroute oder DNS-Lookup zu l\u00f6sen, eine Remote-Verbindung zur Firewall herzustellen oder das Ger\u00e4t neu zu starten.<\/p>\n\n\n\n

Die \u201cClients\u201d-Seite zeigt die Nutzung des Netzwerks und bietet eine durchsuchbare Liste der vorhandenen Client-Systeme mit ihren Adressen, dem Verbindungsstatus und \u00e4hnlichen Informationen. \u00dcber die \u00fcbrigen Eintr\u00e4ge der Monitoring-Sektion k\u00f6nnen die Administratoren das Event-Log einsehen und sich \u00fcber die VPN-Verbindungen informieren. Zus\u00e4tzlich greifen sie bei Bedarf auf den DSGVO-konformen \u201cSecuReporter\u201d zu, der einen umfassenden \u00dcberblick dar\u00fcber liefert, welche Ereignisse im Bereich Security aufgetreten sind, unter anderem mit den erkannten Alerts, den URL Threat Filter Hits, den Antivirus\/Malware Hits, den IDP Hits, den Top-Attack-Origins beziehungsweise -Types und \u00c4hnlichem. Diese Seite bringt also eine detaillierte \u00dcbersicht \u00fcber die aktuelle Bedrohungslage.<\/p>\n\n\n\n

\"\"<\/a>
Der „SecuReporter“ informiert \u00fcber die aktuelle Bedrohungslage (Screenshot: IT-Testlab Dr. G\u00fcttich)<\/figcaption><\/figure>\n\n\n\n

Im Konfigurationsbereich haben die zust\u00e4ndigen Mitarbeiter die M\u00f6glichkeit festzulegen, mit welchen Netzen welche Ports verbunden sein sollen (WAN, LAN Group 1, LAN Group 2), die Interfaces und ihre IP-Adressen zu bearbeiten, die Konfiguration von Routing (mit WAN Load Balancing) und NAT anzupassen und Site-to-Site- beziehungsweise Remote-Access-VPNs einzurichten.<\/p>\n\n\n\n

Die n\u00e4chsten Punkte der USG-FLEX-Konfiguration befassen sich mit den Firewall-Regeln (nach Source, Destination, Aktion, Protokoll, Content Filtering Policy und so weiter) und den Security Services. Letztere umfassen den eben erw\u00e4hnten Content Filter, eine Application Patrol, \u00fcber die sich bestimmte Anwendungen wie beispielsweise Acrobat, Fortnite oder Facebook Live blockieren lassen und einen URL-Threat-Filter, der potenziell gef\u00e4hrliche Sites blockt. Dazu kommen noch eine Anti-Malware-Funktion, die die \u00fcbertragenen Daten scannt und ein IDS\/IPS-System.<\/p>\n\n\n\n

Die letzten Konfigurationspunkte dienen zur Definition des Captive Portal (mit Logo, Text und Vergleichbarem), der Authentifizierungsmethode f\u00fcr die User, die ins Netz m\u00f6chten (via Click-to-Continue oder Nebula Cloud) und den Gateway-Einstellungen. Letztere umfassen unter anderem die DNS-Settings, die DynDNS-Konfiguration und die Angabe der zu verwendenden Authentifizierungs-Server (Active Directory, Radius beziehungsweise LDAP).<\/p>\n\n\n\n

Die Konfiguration der Switches<\/strong><\/p>\n\n\n\n

Bei den Switches gibt es auch wieder diverse \u00dcbersichtsseiten, die \u00fcber den Status der Ger\u00e4te, die Auslastung, die Ports, die angebundenen Clients und \u00c4hnliches informieren. Hier lassen sich die Switches auch neu starten und einzelne Ports zur\u00fccksetzen. Eintr\u00e4ge zum Event Log und Vergleichbarem runden die Monitoring-Sektion ab.<\/p>\n\n\n\n

Im Konfigurationsbereich der Switches sind die zust\u00e4ndigen Mitarbeiter unter anderem dazu in der Lage, die Switch-Ports zu verwalten (zum Beispiel PoE ein und aus, Link-Aggregation und Setzen von Tags), eine ACL einzurichten, Routen zu setzen und Einstellungen zum IGMP-Snooping vorzunehmen. Radius-Einstellungen und PoE-Schedules schlie\u00dfen zusammen mit den Switch-Settings den Konfigurationsbereich ab. Die Switch-Settings umfassen Einstellungen zu VLANs, STP, QoS, Access Management, Port-Mirroring und \u00c4hnlichem.<\/p>\n\n\n\n

Die Verwaltung der Access Points<\/strong><\/p>\n\n\n\n

Wenden wir uns zum Schluss unserer Funktions\u00fcbersicht noch dem Management der Access Points zu. Die \u00dcberwachungsfunktion f\u00fcr diese Ger\u00e4te liefert unter anderem wieder Daten wie den Standort, die Seriennummer, die IP-Konfiguration und die Auslastung. Au\u00dferdem stehen wieder Befehle wie Ping und Traceroute zur Verf\u00fcgung und es ist auch m\u00f6glich, eine SSH-Verbindung zu den Access Points aufzubauen.<\/p>\n\n\n\n

Abgesehen davon gibt es wieder eine Client-Liste und einen Zugriff auf das Event-Log. Die \u201eWireless Health\u201c-Funktion gibt im Gegensatz dazu einen \u00dcberblick \u00fcber den Status des Access Points zum aktuellen Zeitpunkt und (als Grafik) in den letzten 24 Stunden, sieben Tagen oder 30 Tagen. Genauso kann man sich an dieser Stelle auch \u00fcber den Status der Clients informieren.<\/p>\n\n\n\n

\"\"<\/a>
Das AP Dashboard der Nebula App (Screenshot: IT-Testlab Dr. G\u00fcttich)<\/figcaption><\/figure>\n\n\n\n

Die Konfigurationsoptionen bieten eine Ansicht \u00fcber die vorhandenen SSIDs und ihre jeweilige Konfiguration. Au\u00dferdem lassen sich an gleicher Stelle SSID-Einstellungen wie Security-Settings, Traffic-Beschr\u00e4nkungen oder auch eine Layer-2-Isolation konfigurieren.<\/p>\n\n\n\n

Zus\u00e4tzlich besteht auch die Option, das Captive Portal zu gestalten (mit Logo, Text und \u00c4hnlichem) und SSIDs ein- und auszublenden. \u00dcber die Port-Einstellungen lassen sich schlie\u00dflich die LEDs der Access Points ausschalten, Ethernet-Failovers und das Load Balancing einrichten, VLANs f\u00fcr bestimmte Ports erlauben und vieles mehr.<\/p>\n\n\n\n

Arbeiten mit der Nebula App<\/strong><\/p>\n\n\n\n

Die Nebula App l\u00e4sst sich nutzen, um die Umgebung von Unterwegs aus zu \u00fcberwachen und diverse Verwaltungst\u00e4tigkeiten auszuf\u00fchren. Sie liefert in einem Dashboard einen \u00dcberblick \u00fcber den Status der verwalteten Ger\u00e4te und der angeschlossenen Komponenten, die meistgenutzten Anwendungen, die Auslastung der WLANs und \u00c4hnliches. Dar\u00fcber hinaus erm\u00f6glicht sie auch die WLAN-Konfiguration, zeigt eine Site-Map an und informiert \u00fcber die G\u00fcltigkeitsdauer der Lizenzen. Au\u00dferdem bietet die App unter anderem Zugriff auf den Support und erm\u00f6glicht das Firmware-Management und den Empfang von Push-Benachrichtigungen. Im Test stellte sie sich vor allem wegen letzterer Funktion als sehr n\u00fctzlich heraus.<\/p>\n\n\n\n

\"\"<\/a>
Die App informiert unter anderem \u00fcber die verbundenen Clients (Screenshot: IT-Testlab Dr. G\u00fcttich)<\/figcaption><\/figure>\n\n\n\n

Fazit<\/strong><\/p>\n\n\n\n

Das Nebula Control Center von Zyxel l\u00e4sst sich extrem einfach in Betrieb nehmen. Vor allem die Option, die Konfigurationen der Sites von Fachpersonal an einer zentralen Stelle zu erstellen und anschlie\u00dfend automatisch an die Ger\u00e4te auszurollen, die nicht von IT-Fachleuten in Betrieb genommen werden m\u00fcssen, kann voll \u00fcberzeugen. Au\u00dferdem bringt die L\u00f6sung einen sehr gro\u00dfen Funktionsumfang mit und stellt alle wesentlichen Verwaltungs-Features f\u00fcr kleinere Umgebungen kostenlos zur Verf\u00fcgung, so dass sie auch dort gut zum Einsatz kommen k\u00f6nnte und \u2013 beispielsweise aufgrund der Push-Alerts \u00fcber die App \u2013 einen echten Mehrwert bringen w\u00fcrde.<\/p>\n\n\n\n

Besonders gut eignet sich das Nebula Control Center aber f\u00fcr den Einsatz in Organisationen mit vielen Niederlassungen und bei Fachh\u00e4ndlern, die Kunden-Sites administrieren m\u00fcssen. Diese bekommen umfassende Werkzeuge f\u00fcr das Monitoring und die Verwaltung in die Hand, die ihnen bei der t\u00e4glichen Arbeit sehr helfen k\u00f6nnen. In diesem Zusammenhang sei nur exemplarisch auf den VPN-Orchestrator, die Collaborative Detection & Response oder auch das organisationsweite Firmware-Management verwiesen. Wir verleihen dem Produkt aufgrund seines durchdachten Aufbaus und des gro\u00dfen Funktionsumfangs das Pr\u00e4dikat „IT-Testlab tested and recommended“.<\/p>\n\n\n\n

Dieser Beitrag ist auch als PDF verf\u00fcgbar: https:\/\/www.sysbus.eu\/wp-content\/uploads\/2021\/08\/IT_Testlab_Test_Zyxel_Nebula.pdf<\/a> <\/p>\n\n\n\n

Anmerkung:<\/strong><\/p>\n\n\n\n

Wir haben diesen Test im Auftrag des Herstellers durchgef\u00fchrt. Der Bericht wurde davon nicht beeinflusst und bleibt neutral und unabh\u00e4ngig, ohne Vorgaben Dritter. Diese Offenlegung dient der Transparenz.<\/em><\/p>\n","protected":false},"excerpt":{"rendered":"

Mit dem „Nebula Control Center“ bietet Zyxel eine Verwaltungsumgebung auf Cloud-Basis an, die \u00a0sich f\u00fcr das Management von Switches, WLAN-Access-Points und Firewalls eignet. Mit der L\u00f6sung wendet sich der Hersteller haupts\u00e4chlich an Einrichtungen, die \u00fcber eine gro\u00dfe Zahl an Au\u00dfenstellen verf\u00fcgen, in denen sich keine IT-Spezialisten vor Ort befinden. Diese Au\u00dfenstellen k\u00f6nnen mit Hilfe der Nebula Cloud durch eine zentrale IT-Abteilung installiert und verwaltet werden. Im Test haben wir das Produkt unter die Lupe genommen.<\/p>\n","protected":false},"author":1,"featured_media":19354,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"colormag_page_container_layout":"default_layout","colormag_page_sidebar_layout":"default_layout","footnotes":""},"categories":[39,9],"tags":[15076,6257,825,12542,269,64,217],"class_list":["post-19352","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-management","category-test","tag-centrol-center","tag-cloud","tag-firewall","tag-nebula","tag-switch","tag-wlan","tag-zyxel"],"amp_enabled":true,"_links":{"self":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts\/19352","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=19352"}],"version-history":[{"count":1,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts\/19352\/revisions"}],"predecessor-version":[{"id":19370,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts\/19352\/revisions\/19370"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/media\/19354"}],"wp:attachment":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=19352"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=19352"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=19352"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}