Testreihe VPN-Gateways, Teil 3: Barracuda
Flexible VPN-Lösung
Barracudas CloudGen-Firewalls bieten umfangreiche Sicherheitsfunktionen. Als Remote-Access-Gateway unterstützen sie verschiedene VPN-Protokolle. Für die Standortkopplung stellt ein proprietäres Tunnelprotokoll mehr Features bereit als Standard-IPSec. Die Verwaltung erfolgt per Web-Konsole oder Windows-Anwendung. Lösungen für ein zentrales Management auch größerer Umgebungen sind ebenfalls erhältlich.
Barracuda Networks bietet neben Produkten für die E-Mail-Sicherheit seit geraumer Zeit auch Firewalls, Application- und Cloud-Sicherheitslösungen sowie Backup-Appliances an. Für die LANline-VPN-Testreihe stellte Barracuda zwei Geräte der CloudGen-Firewall-Familie zur Verfügung. Das Spektrum reicht von KMU-Lösungen bis zu den F1000-Enterprise-Systemen, die bis zu 10 Millionen gleichzeitige Sessions unterstützen.
Zum LANline-Test traten eine F18- und eine F280-Appliance an. Die F18-Box verfügt über vier 1-GBit/s-Ethernet-Ports für die WAN- und LAN-Anbindung, die sich individuell für das gewünschte Übertragungsprotokoll konfigurieren lassen. Sie eignet sich für bis zu 25 VPN-Clients.
Das F280-Modell bietet sechs LAN/WAN-Ports sowie einen LAN-Switch mit weiteren acht 1-GBit/s-Ports. Die Firewall ist mit einem integrierten WLAN-Access-Point ausgestattet und unterstützt bis zu 50 VPN-Clients. Beide getestete Geräte verfügen jeweils über einen RJ45-Konsolen-, einen VGA- sowie vier USB-2.0-Ports.
Die CloudGen-Firewalls unterstützen neben den klassischen Firewall-Funktionen zahlreiche weitere Features. Dazu zählen Intrusion Detection and Prevention (IPS), Schutz vor DoS/DDoS-Angriffen, Mail- und Web-Security-Gateway, Malware-Protection, URL-Filtering, Botnet- und Spyware-Erkennung sowie Advanced Threat Protection mit Sandbox-Funktion. Barracuda nennt die Systeme Cloud Generation Firewall, weil sie neben Verbindungen zwischen Unternehmensstandorten, Remote-Zugriffen mobiler Clients und direkten Zugriffen auf das öffentliche Internet auch die Kommunikation mit Cloud-Services schützen können.
Die Lösung lässt sich als virtuelle Appliance in den Clouds der großen Anbieter wie AWS, Azure oder Google betreiben. Zudem unterstützen die Geräte SD-WAN-Funktionen (Software-Defined WAN), indem sie den Traffic über verschiedene Zugangstopologien redundant und mit Lastverteilung transportieren. Der WAN-Verkehr lässt sich zudem durch Datenkomprimierung, -deduplizierung und Caching beschleunigen.
Die CloudGen-Firewalls werden mit der Management-IP 192.168.200.200 ausgeliefert. Wir konfigurierten ein Notebook mit einer IP-Adresse aus diesem Subnetz und verbanden es mit dem Ethernet-Port 1 des Geräts. Dann gaben wir in einem Web-Browser die IP-Adresse der Box ein und meldeten uns damit an der Web-Konsole an. Beim ersten Login startet automatisch ein Wizard, der den Administrator durch die Grundkonfiguration führt. Wir stellten die Management-IP auf eine Adresse aus dem Testnetz um und gaben die benötigten DNS-Server an.
Erfolgt der Internetzugang per Proxy-Server, lässt sich dieser ebenfalls im Wizard konfigurieren. Kann die Barracuda-Appliance über das LAN bereits auf das Internet zugreifen, registriert sich das Gerät automatisch auf der Hersteller-Website. Die Basiskonfiguration lässt sich aber auch ohne Internetverbindung durchführen. In diesem Fall muss der Administrator das System auf Barracudas Website manuell registrieren.
Wir testeten beide Wege.
Die F18-Box hatte über den T-Online-DSL-Router des Management-Netzes Direktzugriff auf das Internet und registrierte sich automatisch beim Hersteller. Bei der F280-Box stellten wir die Internetverbindung erst im zweiten Schritt her, indem wir den Ethernet-Port 4 als WAN-Port für PPPoE konfigurierten und ihn mit dem DSL-Modem unseres zweiten DSL-Anschlusses von 1&1 verbanden. Die Registrierung der Seriennummer hatten wir vorher durchgeführt. Auch diese Box aktivierte nun automatisch alle von Barracuda für den Test lizenzierten Funktionen.
Die Web-Konsole ist übersichtlich strukturiert und bietet mehrere Assistenten für die Firewall-Konfiguration und die Einrichtung der Remote-Access-Gateway-Settings. Neben der Web-GUI stellt Barracuda für die Verwaltung auch eine Windows-Anwendung bereit, die den vollständigen Befehlssatz umfasst. Der Administrator muss sich aber entscheiden, welches Tool er nutzen möchte, weil der Zugriff immer nur auf einem Weg möglich ist.
Gewöhnungsbedürftig ist, dass bei Änderungen an der Netzwerkkonfiguration häufig die Verbindung der Web-Konsole zur Appliance verloren geht, unabhängig davon, welcher Port bearbeitet wurde. Es dauert dann einige Sekunden, und mitunter muss sich der Administrator neu anmelden. Mit Barracuda Cloud Control bietet der Hersteller zudem eine Cloud-Anwendung für die Systemverwaltung via Internet an. Ein zentrales Management größerer Umgebungen ist über Barracudas Firewall Control Center möglich.
VPN-Testszenarien
Die CloudGen-Firewalls unterstützen mehrere VPN-Protokolle. Wir konfigurierten für den Remote-Zugriff ein IPSec-VPN und ein SSL-VPN. Die Systeme lassen sich auch für L2TP- und PPTP-Verbindungen einsetzen. Die Standortkopplung stellten wir per Site-to-Site-VPN her. Um den Zugriff auf die zwei VPN-Gateways vom Internet aus zu ermöglichen, richteten wir für beide Geräte bei dyn.org einen DynDNS-Eintrag ein. Für die F18-Box, die über den T-Online-DSL-Router mit dem Internet verbunden war, konfigurierten wir den DSL-Router für DynDSN und konfigurierten zudem ein Port-Forwarding für 443 SSL und 691 VPN, um eingehende VPN-Verbindungsanfragen direkt an das Barracuda-Gateway weiterzuleiten. Das F280-Gerät war per DSL-Modem mit dem Internet verbunden, und wir aktivierten auf dieser Box die DynDNS-Option, sodass sie direkt per Internet erreichbar war.
Im nächsten Schritt aktivierten wir auf beiden Geräten die VPN-Funktion. Der Assistent für die Remote-Access-Gateway-Konfiguration leitet den Administrator Schritt für Schritt durch die Einstellungen. Unter anderem werden die IP-Adressen für das virtuelle VPN-Client-Netzwerk definiert und festgelegt, auf welche lokalen Netzwerke die Remote-Clients zugreifen dürfen. Wir richteten zunächst ein IPSec-VPN ein. Dann installierten wir auf einem Windows-Testnotebook den Barracuda-VPN-Client und zusätzlich den Windows Network Access Client (NAC), mit dem sich Netzwerk- und VPN-Zugriffe über Profile und Richtlinien steuern lassen. Der VPN-Client ist auch für macOS erhältlich, für Linux wiederum gibt es einen Befehlszeilen-VPN-Client.
Nachdem wir den VPN-Client für den IPSec-Zugriff konfiguriert hatten, konnten wir uns über das Internet mit den Barracuda-VPN-Gateways verbinden und auf die an der jeweiligen Box über das lokale LAN angeschlossenen Rechner zugreifen. NAC ermöglicht die Konfiguration zahlreicher VPN-Settings und unterstützt verschiedene Profile.
Der VPN-Zugriff per Handy ist mit den nativen IPSec-VPN-Clients von Android von iOS möglich. Für den LANline-Test passten wir auf einem Android-8.0-Smartphone die VPN-Konfiguration gemäß den Vorgaben von Barracuda an. Anschließend konnten wir über das Mobilfunknetz eine Verbindung zum Barracuda-VPN-Gateway aufbauen und mit einer Android-RDP-App (Remote Desktop Protocol) auf einen Rechner im lokalen Testnetz zugreifen.
VPN-Web-Portal
Für den Test der Remote-Zugriffe per SSL-VPN aktivierten wir die Cudalaunch-Anwendung. Dabei handelt es sich um ein kleines Web-Portal, das dem Anwender die für VPN-Zugriffe freigeschalteten Applikationen auf einer Website anzeigt. Als Remote-Anwendung konfigurierten wir auf beiden Boxen RDP. Nachdem wir Cudalaunch auf dem Windows-Testnotebook installiert hatten, konnten wir per Internet auf die vom Barracuda-Gateway bereitgestellte Portalseite zugreifen und uns per Klick auf das RDP-Icon an dem in der RDP-Konfiguration hinterlegten Testrechner anmelden. Cudalaunch ist auch für iOS und Android im jeweiligen App-Store erhältlich.
Um die Kopplung zweier Standorte per VPN zu testen, nutzten wir einen WAN-Simulator, der das Routing zwischen den zwei VPN-Gateways durchführte. Barracuda bietet mit Tina ein eigenes VPN-Tunnelprotokoll für die Standortkopplung an, das einen größeren Funktionsumfang bietet als das Standardprotokoll IPSec. Tina unterstützt unter anderem eine intelligente Verkehrssteuerung und eine WAN-Optimierung, wobei die Gegenstelle eine Barracuda-Appliance sein muss. Für eine Kopplung mit VPN-Gateways anderer Hersteller unterstützen die CloudGen-Systeme auch IPSec-VPN-Tunnel mit IKEv1 und IKEv2.
Um einen Tina-Tunnel aufzubauen, muss der Administrator die Geräte auf beiden Seiten entsprechend konfigurieren. Dies erfolgt in der Web-Konsole über ein Popup-Fenster, in dem man die IP-Konfiguration für beide Standorte einträgt, die Verschlüsselungsparameter konfiguriert und die Schlüsseldateien erzeugt. Wir richteten einen bidirektionalen Tunnel ein, um bidirektionale Zugriffe zu ermöglichen. Zum Abschluss legten wir die VPN-Service-Forwarding-Regeln für die Site-to-Site-Kommunikation an. Dann konnten wir von beiden VPN-Standorten aus auf die Rechner am jeweils anderen Standort zugreifen.
Fazit
Barracudas CloudGen-Firewalls bieten umfassende Sicherheitsfunktionen und unterstützen zahlreiche VPN-Protokolle. Im Test ließen sich die VPN-Zugriffsverfahren ohne größere Umstände einrichten. Etwas gewöhnungsbedürftig ist der kurzzeitige Abbruch der Web-Konsolenverbindung, sobald man an der Konfiguration der Ethernet-Ports etwas ändert. Abgesehen davon ist die Web-Oberfläche übersichtlich gestaltet und einfach zu bedienen. Die Listenpreise für das kleine F18-Modell beginnen bei rund 830 Euro, das größere F280-Gerät liegt bei 3.200 Euro.
Lesen Sie mehr zum Thema
