Zyxel - bardziej uniwersalny i bezpieczny, ale wolniejszy

Kolejnym testowanym przez nas urządzeniem był koncentrator ZyWALL SSL 10. Jego konfiguracja jest już zdecydowanie bardziej mozolna niż modelu firmy Netgear i wymaga starannej lektury instrukcji. Konfiguracja Microsoft Active Directory (AD) jest tak naprawdę równoznaczna z konfiguracją LDAP i wymaga podania wielu parametrów.

Przed konfiguracją AD warto zwiększyć czas nieaktywności, po którym połączenie będzie zrywane. Domyślnie wartość jest ustawiona na 5 minut, co w naszym przypadku nie wystarczyło na skonfigurowanie usługi. Mimo trudniejszej niż w przypadku Netgeara SSL312 konfiguracji AD, należy pochwalić Zyxela za możliwość ustalania polityk dostępów ze względu na przynależność do grup. Programiści Zyxela nie zadbali natomiast o możliwość modyfikowania polityk dla indywidualnych użytkowników. Można to robić jedynie dla użytkowników z lokalnej bazy urządzenia.

Interesująca jest możliwość dodatkowego uwierzytelniania logowania jednorazowymi hasłami generowanymi przez token, a także możliwość sprawdzenia stanu zabezpieczeń maszyny klienckiej (tzw. endpoint security). Urządzenie może sprawdzać między innymi wersję systemu operacyjnego łączącego się komputera oraz zainstalowane w nim dodatki service pack, obecność i wersję oprogramowania antywirusowego, osobistego firewalla, wersję przeglądarki. Co prawda zestaw predefiniowanych reguł nie jest zbyt bogaty (np. na liście znalazły się tylko dwa programy antywirusowe), niemniej jednak możemy jeszcze tworzyć własne reguły sprawdzające obecność konkretnych kluczy w rejestrze, czy też uruchomionych w systemie procesów, co przy odpowiedniej konfiguracji pozwoli wymusić na użytkowniku właściwy poziom zabezpieczeń.

Administrator może skonfigurować dla użytkowników dostęp do aplikacji dostępnych w intranecie przez przeglądarkę internetową, dostęp do programów sieciowych przez stunelowanie odpowiednich portów (TCP bądź UDP) z lokalnego hosta na odpowiedni port zdalnej maszyny, a także skonfigurować dostęp do wybranych udziałów na serwerach plików. Mimo uprzedniej autoryzacji w Active Directory w trakcie logowania do urządzenia, musimy jeszcze raz się autoryzować na każdym z serwerów, jeśli spróbujemy skorzystać z dostępu do tychże udziałów.

Niezbyt fortunne wydaje się umieszczenie w wielkim oknie przeglądarki niewielkiego okienka, w którym możemy przeglądać dostępne foldery i pliki. Dostępne operacje na plikach i folderach to możliwość załadowania i pobrania pliku, przeglądania zawartości i tworzenia folderów, a także usuwania plików i pustych folderów i w przeciwieństwie do Netgeara wszystkie działały poprawnie. O ile użytkownik otrzymał takie uprawnienie, wraz z portalem dostępowym zostanie też załadowany wirtualny interfejs sieciowy kierujący w miarę potrzeb ruch do zdalnej sieci.

Do pracy za pośrednictwem ZyWALL SSL 10 potrzebna jest Java, nie jesteśmy tu więc tak ograniczeni jak w przypadku Netgeara.

Urządzenie kupujemy z licencją na 10 jednoczesnych tuneli i jego cena wynosi ok. 450 USD. Rozszerzenie licencji do 25 tuneli to kolejne 158 USD. Ponadto możemy też rozważyć dokupienie tokenów do jednorazowych haseł. Zakup dwóch tokenów wraz z oprogramowaniem to wydatek rzędu 110 USD. Kolejne 5 możemy dokupić za 275, zaś za 10 tokenów zapłacimy 515 USD.

Linksys - wydajny kombajn dla najmniejszych

Dla sieci, w których wystarczy maksymalnie pięć jednocześnie zestawianych tuneli VPN, rozwiązaniem może być Linksys RVL200-EU. Jest to raczej router dostępowy dla małej firmy wraz z wieloma związanymi z tym funkcjami, ale można go również użyć jako koncentrator VPN. Tutaj mamy sporo możliwości autoryzowania użytkowników (przy czym jednocześnie może to być tylko jedna z metod), a są to m.in. Active Directory, LDAP, RADIUS, zaś ustawienie autoryzacji w Active Directory jest równie łatwe jak dla Netgeara.

Dobitnym dowodem na to, że jest to urządzenie dla naprawdę małych firm, jest to, iż delegując autoryzację na inny serwer, dajemy zarazem możliwość dostępu dla wszystkich, którzy mogą się na nim zautoryzować. Nie mamy tutaj praktycznie żadnej możliwości ustalania polityk dostępu. Dość ubogi też jest portal umożliwiający połączenie VPN. Jedynym jego aktywnym elementem jest ogromna kłódka, po kliknięciu w którą zostaje zestawione połączenie VPN. Najistotniejszym mankamentem tego połączenia jest brak obsługi DNS i WINS zdalnej sieci. Możemy odwoływać się do komputerów przez nazwy zdefiniowane w pliku hosts, bądź bezpośrednio przez adresy IP.

Jak już wspomniano jest to raczej router dostępowy, a usługi VPN poprzez SSL świadczy niejako przy okazji. Należy jednak ocenić jego możliwości dostępu do sieci z zewnątrz jako bardzo dobre, zwłaszcza że kosztuje tylko 559 zł brutto. Z pewnością warto o nim pomyśleć, jeśli potrzebujemy skonfigurować dostęp do Internetu w niewielkiej firmie i rozważyć wydanie kwoty odrobinę większej niż na standardowy router, zapewniając jednocześnie taki podstawowy, ale bardzo przyzwoity dostęp do firmy przez VPN.