Eén van de nieuwste produkten van Zyxel is de ZyWall10, een Firewall/VPN oplossing voor thuis- en kantoorgebruik die onder andere hackers op afstand zou moeten houden. De steeds toenemende gevallen van virtuele inbraak en de schade die bedrijven hierdoor lijden waren voor de Security Products Development Group van Zyxel de reden om een oplossing te verzinnen. Als Internet toegang en beveiliging van het netwerk zou de Zywall 10 aan alle eisen tegemoet komen die online gebruikers verwachten van een firewall. Security.nl ging op onderzoek uit en testte de Zywall10.

Zyxel is al jaren een bekende leverancier van routers, modems en terminal adapters voor de zakelijke markt. Het bedrijf heeft als missie om Internet toegang te brengen die informatie uitwisseling versnelt en de effectiviteit van mensen en organisaties verbetert.

In 1989 werd Zyxel opgericht in het Taiwanese Hsinchu en is sindsdien behoorlijk gegroeid. Het Taiwanese bedrijf is nu de grootste DSL router verkoper in de wereld en de tweede verkoper van routers in Europa. Zyxel leunt sterk op haar eigen research en development afdeling en sterke kennis van breedband technologie om te kunnen anticiperen op deze steeds veranderende markt.

Features

De Zywall beschikt standaard over firewall functionaliteit. Verder vindt men content filtering aan boord en is de Zywall in staat om IPSEC tunnels op te zetten. Interessant is dat de Zywall de firewall logs via email kan versturen of ze kan afleveren op een (UNIX) syslog host. Standaard doet de Zywall aan Network Adress Translation (Zyxel noemt dit overigens zelf SUA, Single User Account), waarmee een verbinding gedeeld kan worden met meerdere PC's.

ICSA certified

Het ICSA laboratorium test produkten of zij voldoen en blijven voldoen aan een aantal gestelde eisen. Deze eisen zijn te vinden op de pagina van ICSA. De Zywall 10 is een van de produkten die een ICSA certified sticker mag dragen. Hoewel ook de Firewall van Zywall 10 gecertified is door het ICSA draagt de router alleen een sticker voor het IPsec gedeelte.

IPSEC

IPSEC staat voor Internet Protocol Security. Deze veilige vorm van het Internet Protocol stelt gebruikers instaat om veilig te communiceren via het internet. Het IPSec is dan ook een architectuur die als doel heeft om “interoperable, cryptographically-based security services for IP layer environments” aan te bieden. Het protocol doet dit op basis van authenticatie, data integriteit en vertrouwelijkheid.

Het pakket

De Zywall10 wordt geleverd in een kartonnen doos die gevuld is met een CD, een read me first foldertje, een crossover UTP kabel, een normale UTP kabel, een DB-9M kabel en natuurlijk de Zywall10 zelf. Het ontbreken van een uitgebreide (papieren) handleiding, die wel op de CD staat, doet ons vermoeden dat de installatie een fluitje van een cent moet zijn. De readme first folder, die drie kleine pagina's beslaat, legt duidelijk uit hoe je de router moet installeren. Het is inderdaad vrij simpel om de router te voorzien van de nodige kabels. De achterkant van het apparaat heeft namelijk een 10/100M LAN port en een 10M WAN port. De wanport wordt verbonden met het internet modem (ADSL of kabel), via de 10/100M LAN port kan je je PC of switch met de router verbinden. Verder is er nog plek voor een de DB-9M kabel die je kunt gebruiken om het apparaat via de console te benaderen. Wat ons opvalt is de uplink knop die de LAN poort kan schakelen tussen normaal en crosslink (bijvoorbeeld om een PC rechtstreeks aan de Zyxel te koppelen) en als laatste is er nog een reset knop.

De hardware installatie is dan ook een korte aangelegenheid. Nu moet de software van de router worden geconfigureerd. Standaard heeft de Zywall10 het IP adres 192.168.1.1 en een DHCP server met IP pool adressing die begint vanaf 192.168.1.33. Om de settings van de router te wijzigen kan je in de adresbalk van je browser 192.168.1.1 intypen en via een wachtwoord (standaard ‘1234’, snel veranderen dus!) het menu betreden. Daar kan van alles van WAN/LAN, NAT/FILTER en Firewall setup tot SNMP configuratie ingesteld worden. Voor hardcore gebruikers is het ook mogelijk de Zyxel via telnet (helaas geen SSH..)te beheren middels een menu, daar zijn echter niet alle features beschikbaar. Zo is de firewall configuratie alleen via de (overigens niet via een veilige SSL verbinding bereikbare) web interface in te stellen. Om veiligheidsredenen is de web interface default alleen te benaderen via de LAN poort.

Het testen

We hebben de Zywall10 getest met een Wanadoo Broadband Premium verbinding. Wanadoo maakt gebruik van het PPPoE protocol om te connecten met het Internet. Om deze verbinding aan de praat te krijgen met de Zywall moest het kabelmodem een aantal keren uit en aan gezet te worden. Daarnaast blijkt de Zywall de nare gewoonte hebben om standaard een timeout te zetten op de verbinding, zodat je connectie na (een in te stellen) aantal seconden automatisch wordt verbroken. Niet meer van deze tijd, waar je met kabel of ADSL 'always on' bent en het vervelend is als je je sessies kwijtraakt. Wellicht dat Zyxel hier in een toekomstige software versie iets aan kan doen, bijvoorbeeld de timeout standaard uitschakelen.

Het voornaamste waar de we Zywall 10 op zullen testen is de aanwezige VPN tunneling. VPN tunneling stelt de thuisgebruiker/werker instaat om veilig met het kantoor te connecten om daar gegevens uit te wisselen. Via VPN wordt er een secure IPSEC tunnel aangebracht die inbraak moet voorkomen. Om deze optie aan te zetten in de Zywall10 moeten we via het admin menu een aantal instellingen verrichten. De tunnel wordt in ons geval gemaakt tussen twee Zywalls, één aan het kabelmodem en één in een datacenter waar een speciaal netwerk achter de Zywall veilig moet kunnen worden bereikt. Om de tunnel op te kunnen zetten moet de Zywall weten wat de lokaal gebruikte IP reeks is (dit mag ook een zogenaamde RCF1918 reeks zijn zoals 192.168.0.x nummers) en wat de remote IP reeks is. Het is ook mogelijk een enkel IP adres te gebruiken of een subnet. Verder dient ingesteld te worden wat de 'secure gateway' is, in ons geval het IP adres van de Zyxel aan de andere kant. Omdat Wanadoo een dynamisch nummer toekent kunnen we dit niet instellen in de Zywall in het datacenter, het is in dat geval toegestaan om 0.0.0.0 in te vullen. De VPN kan dan alleen worden opgezet door de Zywall aan de Wanadoo kant, op zich geen enkel probleem. Om de IPSEC verbinding op te kunnen zetten hebben de Zywalls ook een aantal sleutels nodig, standaard staan de instellingen hiervoor al juist ingesteld en hoeven we alleen een 'pre-shared key' in te stellen. Met behulp van deze key zetten de Zywalls hun initiele beveiligde verbinding op en wisselen ze vervolgens nieuwe sleutels uit.

Na het invullen van de benodigde gegevens (de handleiding moest hier wel regelmatig voor worden geraadpleegd maar geeft een zeer uitgebreide uitleg over de werking van de VPN) zijn we zover dat de tunnel kan worden gestart. Dit doet de Zyxel automatisch zodra we een IP nummer in het beveiligde datacenter netwerk proberen te bereiken. In de 'SA monitor' zien we inderdaad een Secure Assocation (SA) ontstaan tussen de twee Zywalls. De IP nummers achter de Zywall in het datacenter zijn nu vanaf thuis bereikbaar over de IPSEC verbinding. De Zywalls blijken ook een soort bridging te doen; Windows networking broadcasts worden ook over de tunnel heen en weer gestuurd. Dit is handig voor bedrijven die thuiswerkers veilige toegang willen geven tot het bedrijfsnetwerk, de servers verschijnen automatisch in de Network Neighbourhood thuis.

Het is ook mogelijk een centrale Zywall via een VPN te benaderen vanaf stand-alone PC's, dit is bijvoorbeeld handig voor medewerkers die veel op pad zijn met hun notebook. Security.nl testte dit met een Windows2000 werkstation. Op de zyxel.com website is hiervoor een HOWTO te vinden, die echter alleen uit een zeer grote achter elkaar geplaatste serie screenshots bestaat. Het is daarom niet erg eenvoudig de Windows2000 machine zover te krijgen dat de verbinding ook daadwerkelijk opgezet kan worden. Een wizard die deze instellingen voor je kan maken zou ook zeker op z'n plaats zijn hier. Uiteindelijk kregen we overigens het wel voor elkaar de Windows2000 machine te laten communiceren met een server in het beveiligde netwerk.

Conclusie

De Zywall 10 is een zeer complete router die inderdaad voldoet aan alle eisen die een thuisgebruiker kan stellen. De VPN tunneling optie is makkelijk in te stellen, de router zelf heeft voor de gevorderde gebruiker ook voldoende opties. De adviesprijs van de Zywall10 ligt om en nabij de 400 euro. Zyxel heeft overigens ook de Zywall1 in het assortiment, deze kan maar 1 VPN verbinding opzetten maar is een stuk goedkoper, de adviesprijs is ca. 185 euro. De Zywall1 beschikt tevens over een 4-poorts switch zodat thuisgebruikers prima af zijn met een kabel- of ADSL aansluiting, een PC en een Zywall1. Op een centrale lokatie kan het bedrijf dan de Zywall10 neerzetten die vanaf meerdere thuisgebruikers verbindingen accepteert. Overigens levert Zyxel ook nog grote broers van de Zywall10: de Zywall50 en Zywall100 bieden dezelfde functionaliteit maar kunnen meer VPN verbindingen aan.

Gebruiksgemak: De hardware matige installatie van de router is een fluitje van een cent. Het connecten van de kabels spreekt voor zich en ook de meegeleverde kabels zijn daarbij erg handig. Afhankelijk van je provider zal het instellen van de verbinding niet veel werk zijn.

Features: De Zywall10 heeft alle features die je van een router mag verwachten en meer. De router is namelijk ICSA certified en heeft de mogelijkheid voor IPSEC en content filtering.

Pluspunten: een goede prijs/kwaliteit verhouding, de Zyxel ziet er goed uit (zilveren behuizing die ook aan de muur is te bevestigen).

Minpunten: Het enige minpunt is de handleiding op de CD. We hadden graag een papieren versie gezien naast de duidelijke readme folder.

Prijs: De advies prijs ligt om en nabij de 405 euro. De hoge prijs wordt veroorzaakt door het feit dat deze router ICSA certified is en IPSEC aankan. Het is zoals gezegd voor thuisgebruikers ook mogelijk de goedkopere Zywall1 aan te schaffen met iets minder functionaliteit.

Meer informatie: Zyxel.nl