Appliances für kleine Unternehmen
Die Fast-Alleskönner
Spezialisten und Generalisten
Appliances für kleine Unternehmen
Wer sich professionell im Internet bewegt, kann schnell ein Lied singen von der Masse der notwendigen Hard- und Software: Firewall-Router für den Zugang, Mail-Server zum Empfang und Versand von Nachrichten, Webserver für Intra- und Internet ? das Ganze gewürzt mit Virenscanner sowie Spam- und Content-Filter. Kein Wunder, dass vor allem kleineren und mittleren Betrieben der Aufwand schnell über den Kopf wächst. Abhilfe versprechen spezielle Geräte, die viele dieser Funktionen in einem Gehäuse vereinen. Zu Preisen ab 1300 Euro versprechen sie Funktionsfülle und Sicherheit bei einfacher Bedienung.
Allerdings weisen Appliances deutliche Unterschiede beim Funktionsumfang auf. Auf der einen Seite gibt es Geräte, die vor allem erweiterte Funktionen für den Internet-Zugang sowie gesicherte Verbindungen bieten. In diese Kategorie fallen Micro Liss und Sonicwall. Ihnen gegenüber stehen die Produkte, die zusätzliche Services für die Anwender im lokalen Netz bereitstellen. So sind Defendo wie auch Intranator und Ben Hur mit einem Mail-Server ausgestattet.
Für zusätzliche Sicherheit sorgt meist die Option, einen Virenscanner gesondert zu lizenzieren. Dieser prüft die per HTTP oder FTP geholten Daten wie auch Mails auf eventuell enthaltene Schadprogramme. Spam-, Content- und Dateityp-Filter komplettieren dies.
Für Schrank und Schreibtisch
Appliances für kleine Unternehmen
Ein anderes Unterscheidungsmerkmal der Appliances ist die verwendete Hardware. Alle Produkte basieren auf einer vom Hersteller angepassten Linux-Distribution, die auf speziell zusammengestellter Hardware läuft. Das Spektrum reicht dabei vom vollwertigen PC über 19-Zoll-Geräte für den Schrankeinbau bis hin zu lüfterlosen Produkten.
Einen echten DNS-Server zur Namensauflösung bieten bieten nur Ben Hur und Intranator. Die restlichen Geräte begnügen sich damit, Anfragen an den Server des Providers oder einen anderen vorgegebenen Server weiterzuleiten. Micro Liss und Sonicwall müssen zudem ohne Festplatte auskommen. Entsprechend kann ihr Proxy keinen Cache zur Verfügung stellen.
Pyramid Ben Hur II-20
Appliances für kleine Unternehmen
Ben Hur II-20 ist die kleinste von mehreren vom Hersteller Pyramid angebotenen Appliances. Das heißt aber nicht, dass am Funktionsumfang gespart wird. Im Testfeld ist die Ben Hur II-20 das Gerät, das dem Anspruch einer All-in-one-Appliance am besten gerecht wird. Ihr Handicap: Ausgestattet mit einem auf 400 MHz getakteten Prozessor eignet sie sich vorwiegend für kleinere Umgebungen mit 20 bis 25 Nutzern.
Diesen bietet Ben Hur II-20 allerdings einen beachtlichen Leistungsumfang. Das beginnt bei den vier Netzwerk-Interfaces, die sich nach Belieben an LAN-Segmente, das Internet oder eine DMZ anschließen lassen. Für den Schutz vor Angriffen sorgt eine Firewall mit Stateful Packet Inspection und Unterstützung für ein externes Intrusion-Detection-System, das allerdings nur per SNMP-Trap, nicht aber per Mail von einem Einbruchsversuch unterrichtet.
Für Verbindungen zu anderen Netzen oder externen Clients stellt Ben Hur VPNs nach IPsec zur Verfügung. Der integrierte Proxy-Server ist in der Lage, einen Teil der internen Festplatte als Cache-Speicher zu nutzen. Eine erzwungene Authentifizierung der Anwender ist ebenfalls möglich. Der Proxy sorgt auf Wunsch zudem für eine Anonymisierung der übermittelten Daten.
Der integrierte Mail-Server unterstützt mehrere Domains. Externe Postfächer leert er per POP3, IMAP oder SMTP und verteilt eintreffenden Nachrichten an lokale Accounts. Unerwünschte Dateitypen in Anhängen lassen sich ebenso ausfiltern wie Spam-Mails. Der gesondert zu lizenzierende Virenscanner prüft eingehende Mails ebenso auf digitale Schädlinge wie bei aktiviertem Proxy-Server die über diesen per HTTP und FTP eintreffenden Files.
Zudem gibt es einen Webserver, der je nach Konfiguration aus internem Netz, Internet oder beiden erreichbar ist. Sogar virtuelle Hosts lassen sich anlegen. Darüber hinaus können auch Windows-kompatible Freigaben bereitgestellt werden. Für Unix-Anwender stehen per NFS ansprechbare Netzlaufwerke zur Verfügung. Ein MySQL-Server stellt Datenbank-Funktionen bereit. Für Backups lässt sich ein Rsync-Server einrichten.
Dass der DHCP-Server seine Informationen über dynamisch vergebene IP-Adressen an den vollwertigen DNS-Server weiterreicht, ist angesichts der enormen Funktionsfülle fast selbstverständlich. Das Highlight zum Schluss ist die Möglichkeit, mehrere LAN-Ports per Channel-Bonding zur Steigerung des Datendurchsatzes zu nutzen.
Fazit. Die Ben Hur II-20 besticht nicht nur durch Funktionsvielfalt, sondern auch durch die gelungene Integration der einzelnen Dienste.
Linogate Defendo Medium
Appliances für kleine Unternehmen
Für die Anbindung an lokales Netz und Internet stehen zwei Netzwerk-Interfaces zur Verfügung, wobei die WAN-Schnittstelle auch als DMZ-Port arbeiten kann. Zusätzlich ist Defendo mit einer ISDN-Karte ausgerüstet, die für Einwahlverbindungen, nicht aber für Fax-Versand oder -Empfang nutzbar ist.
Über virtuelle, frei definierbare Interfaces verwaltet Defendo mehrere Subnetze, deren Datenverkehr genau wie die Kommunikation mit Gegenstellen im Internet über die integrierte Firewall gesteuert und beschränkt werden kann. Zwischen den einzelnen Subnetzen sowie zum Internet bietet Defendo NAT, um die einzelnen Teilnehmer der jeweiligen Netze hinter einer einzigen IP-Adresse zu verstecken. Als weiteres Sicherheitsfeature ist das Ausfiltern aktiver Web-Inhalte möglich.
Die Firewall arbeitet mit Stateful Packet Inspection und besitzt ein Intrusion-Detection-System. Bei erkannten Einbruchsversuchen informiert sie per Mail, einen SNMP-Trap kann nicht auslösen. Port-Weiterleitungen zu Servern im internen Netz sind ebenso möglich wie der Aufbau einer DMZ. Die Netzwerkdienste umfassen einen DHCP-Server zur Vergabe von IP-Adressen sowie einen DNS-Relay. Einen echten DNS-Server bringt das Gerät nicht mit.
Der Proxy-Cache sorgt für reduziertes Transfervolumen und schnellere Antwortzeiten. Schutz vor Viren bietet der gesondert zu lizenzierende Virenscanner. Dieser prüft über den Proxy eingehende Daten wie auch Mail-Anhänge.
Der integrierte Mail-Server ist in der Lage, mehrere Domains zu bedienen. In externen Postfächern lagernde Mails holt er per POP3 und SMTP ab. Als Anhänge unerwünschte Dateitypen erkennt Defendo und löscht diese oder stellt sie in ein Quarantäne-Verzeichnis. Zum Aussortieren von Werbe-Mails dient ein regelbasierter Spam-Filter.
Zum Aufbau eines Intranets steht ein Webserver zur Verfügung. Dessen Inhalte lassen sich per FTP, Windows-Freigabe oder per Telnet verwalten. Ein Zugriff auf Web-Inhalte aus dem Internet ist nicht möglich.
Die Verwaltung erfolgt über ein Web-Interface, das ausschließlich über das verschlüsselte HTTPS ansprechbar ist. Die Benutzerführung ist übersichtlich, zu jeder Eingabemaske steht eine eigene, kontextbezogene Hilfeseite zur Verfügung.
Fazit. Defendo Medium wird den Ansprüchen der Zielgruppe gut gerecht. Lediglich an einigen Ecken könnte noch gefeilt werden. So wäre ein vollwertiger DNS-Server kein Schaden. Das Gerät ist auf alle Fälle kein Fehlkauf ? auch wenn man auf einige der erweiterten Funktionen verzichten muss.
Intra2net Intranator 2500
Appliances für kleine Unternehmen
Intranator 2500 von Intra2net ist eine PC-basierte Lösung. Das schicke Gehäuse beherbergt neben den drei Netzwerk-Anschlüssen eine integrierte ISDN-Karte. Sogar eine Fernverwaltung ist per ISDN-Einwahl möglich. Ein Display an der Gehäusefront liefert laufend wechselnde Informationen über diverse Details.
Als Zusatzfunktionen bietet die Intra2net-Appliance einen integrierten Mail-Server sowie einen Fax-Server an. Letzterer ist allerdings nur über einen speziellen Windows-Client nutzbar. Der Mail-Server ist Multi-Domain-fähig und zudem in der Lage, externe Accounts abzufragen. An Netzwerkdiensten finden sich DHCP- und vollwertiger DNS-Server. Für Anwender ohne eigene Domain bietet Intranator 2500 Support dynamischer DNS-Dienste, um auch für diese Kunden VPN-Sitzungen zu ermöglichen.
Zum Aufbau virtueller privater Netze setzt Intranator ausschließlich auf IPsec, wobei das Gerät als Endpunkt der Verbindung fungieren wie auch durchlaufenden VPN-Verkehr passieren lassen kann.
Die Firewall arbeitet regelbasiert und beherrscht Stateful Packet Inspection ? ein Intrusion-Detection-System ist nicht realisiert. Alle anderen Funktionen wie Port-Forwarding, Network-Address-Translation und DMZ-Support sind vorhanden. Web-Inhalte wie ActiveX filtert die Appliance ebenso wenig wie Cookies oder den Zugriff auf externe Proxy-Server. Der Proxy-Server kann bei Intranator 2500 als transparenter Proxy, als normaler Proxy und als Proxy mit Authentifizierungszwang arbeiten. Zusätzlich bietet er einen Caching-Proxy.
Die Verwaltung erfolgt über ein Web-Interface, das sowohl unverschlüsselt per HTTP wie auch über das sichere HTTPS erreichbar ist. Zum Schutz vor Fehlkonfigurationen kann der Anwender eine Warteschlange zur Aufnahme der vorgenommenen Änderungen aktivieren. Über eine optionale Prüfung lässt sich anschließend feststellen, ob die resultierende Konfiguration ein arbeitsfähiges Ergebnis liefert. Zusätzlich wird bei jeder Eingabe des Anwenders geprüft, ob die geänderten oder neu eingetragenen Werte mit bestehenden Einstellungen kollidieren. So positiv sich dies auch anhört: Die Benutzerführung der Intranator könnte besser sein. Multiple Menüebenen mit identischer Funktion erschweren die Übersicht. So bleibt oft nur der Blick in die ausschließlich als PDF-Datei verfügbare Dokumentation. Diese ist immerhin vollständig und erläutert sowohl Einstieg wie auch die gebotenen Funktionen zufrieden stellend.
Fazit. Intranator 2500 bietet für relativ viel Geld ein ausreichendes Feature-Set. Immerhin 2400 Euro sind für eine Firewall ohne Intrusion-Detection, einen Mail-, einen VPN- sowie einen Fax-Server und Caching-Proxy zu bezahlen.
Sonicwall Pro 2040
Appliances für kleine Unternehmen
Mit Sonicwall Pro 2040 stellt sich das einzige Gerät für den Rack-Einbau dem Test. Die Anbindung an LAN, Internet und andere Netze übernehmen die drei Netzwerk-Ports, ein weiterer lässt sich optional freischalten.
Den Schutz der lokalen Rechner übernimmt eine Firewall mit Stateful Packet Inspection, die sich gegen eine Gebühr mit einem Intrusion-Detection-System aufrüsten lässt. Im Fall eines Einbruchsversuchs informiert die Sonicwall den Anwender per E-Mail oder SNMP-Trap. Die restlichen Firewall-Funktionen wie Network-Address-Translation, Port-Forwarding oder Aufbau einer demilitarisierten Zone sind vollständig vorhanden, wobei für Letztere der optionale Port zu verwenden ist.
Für zusätzliche Sicherheit beim Surfen im Web sorgen Filter, die nicht nur aktive Inhalte wie ActiveX und Javascript ausblenden können, sondern auch in der Lage sind, Cookies und bekanntermaßen gefälschte Zertifikate abzuweisen. Einen Proxy zum kanalisierten Zugriff auf das Internet bietet die Sonicwall-Appliance nicht. Dafür ist sie in der Lage, alle passenden Anfragen an einen bereits vorhandenen Proxy-Server durchzureichen, ohne dass der Nutzer davon etwas bemerkt.
Der DHCP-Server vergibt automatisch IP-Adressen. Da der DNS-Server nur als Relay zu einem echten DNS ausgeführt ist, können so versorgte Rechner allerdings nicht über ihren Namen angesprochen werden. Um externe Büros, Zweigstellen oder einzelne Anwender sicher anzubinden, setzt auch Sonicwall auf VPN-Verbindungen per IPsec. Allerdings sind diese in der Grundversion auf maximal zehn gleichzeitige Sitzungen begrenzt, weitere Lizenzen lassen sich nachkaufen. Zur Verschlüsselung der VPN-Daten stehen X.509-Zertifikate und Preshared Secrets zur Wahl.
Einen integrierten Mail-Server sucht man bei Sonicwall Pro 2040 vergebens. Immerhin ist das Gerät aber in der Lage, durchlaufenden Mail-Verkehr auf Viren zu untersuchen, und auch unerwünschte Dateianhänge selektiert die Appliance und filtert sie aus. Für den Virenscanner ist ebenfalls eine gesonderte Lizenz notwendig. Gleiches gilt für das Aufrüsten der Standard-Edition des Betriebssystems auf die Enhanced-Version. Für die dazu fälligen 800 Euro Aufpreis erhält man die Möglichkeit, auch drahtlose Netze mit Hilfe spezieller Access-Points zu verwalten, sowie die Integration in das Netzwerk-Management.
Fazit. Rein von der Feature-Liste her gesehen bietet die Sonicwall recht wenig für den doch hohen Preis von 2314 Euro in der Grundversion. Ihre Stärke liegt jedoch nicht in der Bereitstellung möglichst vieler Funktionen, sondern in der möglichst einfachen Integration in bestehende Netzstrukturen. Hier kann die Sonicwall ihr Potenzial voll ausspielen und die bereits existierenden Dienste-Server optimal versorgen und schützen.
Telcotech Micro Liss II FL
Appliances für kleine Unternehmen
Die Micro Liss II von Telcotech ist eine lüfterlose Appliance und lässt sich daher sowohl im Netzwerkschrank wie auch direkt im Büro betreiben. Die drei Netzwerk-Schnittstellen sind frei konfigurierbar und erlauben eine flexible Anbindung sowohl an lokale Netze wie auch an das Internet oder eine demilitarisierte Zone. Dank der Unterstützung virtueller Netzwerk-Interfaces kann die Appliance auch mehrere Subnetze über einen LAN-Port adressieren.
Das integrierte Intrusion-Detection-System erkennt Angriffe auf das lokale Netz, wehrt diese ab und informiert auf Wunsch per E-Mail über aufgetretene Vorfälle. Mangels SNMP-Unterstützung ist die Micro Liss II nicht in der Lage, einen SNMP-Trap auszulösen, um auf diesem Weg über wichtige Ereignisse zu informieren. Potenziell gefährliche Web-Inhalte wie ActiveX- oder Javascripts filtert das Gerät nicht, gleiches gilt für Cookies. Die restlichen Firewall-Funktionen wie Port-Weiterleitung, DMZ oder Network-Address-Translation sind dagegen vollzählig vorhanden.
Einen Zugriff auf Dienste und Server im LAN über das Internet unterstützt die Micro Liss II per VPN via IPsec. Hierbei ist Zahl der gleichzeitig möglichen Sitzungen nicht beschränkt, die mit 600 MHz getaktete CPU setzt allerdings eine natürliche Grenze. Zum Aufbau einer VPN-Verbindung können sowohl X.509- und RSA-Zertifikate wie auch ein Preshared Secret zum Einsatz kommen.
Ein integrierter Proxy sorgt für kontrollierten Zugriff der Anwender auf HTTP- und FTP-Dienste. Seine Arbeitsweise ist je nach Konfiguration für die Nutzer auf die Modi transparent oder wie die Arbeit mit einem normalen Proxy einstellbar. Zusätzlich kann der Proxy von den Anwendern eine Authentifizierung verlangen. Da die Micro Liss II keine interne Festplatte besitzt, kann der Proxy auch keinen Cache zur Verfügung stellen.
Die weiteren Dienste sind eher spärlich gesät. Ein DHCP-Server ist für die Adressvergabe an Clients im LAN zuständig, ein vollwertiger DNS-Server sorgt für die Auflösung von Rechnernamen in IP-Adressen. Dies gilt jedoch nicht für Rechner, die ihre Adresse vom DHCP-Server bezogen haben, da zwischen diesem und dem DNS-Server kein Informationsaustausch stattfindet. Einen Mail-Server bietet das Gerät nicht, ebenso verzichtet es auf Virenschutz.
Fazit: Die Micro Liss II bietet im Vergleich zu den anderen Produkten den wohl geringsten Leistungsumfang. Dafür besitzt sie als einziges Gerät im Test eine integrierte Intrusion-Detection. Diese Tatsache in Verbindung mit den flexiblen Routing-Funktionen prädestiniert das Produkt zum Einsatz in Netzen mit vielen Subnetzen und externen Anbindungen. Für diese Umgebungen ist auch der Preis von 1550 Euro akzeptabel.
Empfehlung der Redaktion
Appliances für kleine Unternehmen
Pyramid Ben Hur II-20
Ben Hur II-20 überzeugt vor allem durch ein überragendes Feature-Set sowie das unschlagbare Preis-Leistungs-Verhältnis. Mit ihrer Firewall, dem integrierten Mail-Server sowie den File-, Print- und FTP-Diensten deckt die Appliance alle Bedürfnisse für LAN und WAN vollständig ab. Dank der gelungenen Integration der Dienste stellt Ben Hur II-20 die ideale All-in-one-Lösung speziell für kleinere Unternehmen dar. Das überragende Handbuch ermöglicht auch Einsteigern die problemlose Konfiguration des Geräts ? lediglich das Web-Interface könnte noch ein wenig übersichtlicher gestaltet sein.