SSL VPN -> ISA 2006 / IAG 2007 -> SecureGuard IAG800 Appliance
So nun habe ich für unsere Firma eine nette Teststellung einer IAG Appliance von SecureGuard besorgt. Genau gesagt eine IAG800. Also flugs ausgepackt und was soll ich sagen – ein 1HE Intel BareBone (schätze ich mal) mit einem SecureGuard Aufkleber 🙂
Das ganze kommt auf 2x250GB 3,5″ Platten daher welche im Raid 1 laufen.
Als Bootloader kommt ein Linux zum Einsatz, mit welchem man z.B. die Recovery Funktionen nutzen kann.
Auf der Maschine läuft ein englischer Windows 2003 R2 standard Server zusammen mit einem ebenfalls englischen Internet Security & Acceleration Server 2006 standard und der Wahle Intelligent Application Gateway 2007 Server Installation.
Die beiliegende Doku bestand aus zwei Quick Installation Guides zum IAG und zum ISA. Auf Anfrage war aber auch noch eine detaillierte IAG Beschreibung zu haben.
Von SecureGuard bekommt man ein ganz nettes Webinterface über welches sich eigentlich alle ISA Funktionen administrieren lassen und das sogar in Deutsch :).
Ich persönlich bin aber doch eher der ISA MMC User – und das ist auch kein Problem.
Zum IAG / SSL VPN – dem eigentlichen Grund der Teststellung…
Alle wichtigen Funktionen wie:
Datei Explorer über Browser
OWA Tunnel zum Exchange
RDP Sitzungen zu verschiedenen Server
einem ordinären VPN Tunnel über HTTPS
und
mappen von Laufwerken über jenen VPN Tunnel
ist alles vorhanden und lässt sich problemlos auf lokale, LDAP oder AD Gruppen beschränken.
Singel Sign On geht natürlich auch überall hin.
Ein weiteres cooles Feature ist, dass man Infos vom Client abfragen kann und über diese Anwendungen deaktivieren kann, wenn der Virenscanner nicht aktuell ist oder die lokale Firewall nicht läuft sowie vieles mehr. Entweder man blendet die Verknüpfung aus und der Client weiß garnicht das es sie gibt oder sie wird inaktiv und dem User wird eine Meldung angezeigt, was er falsch gemacht hat.
So und nun schreibe ich mal warum wir uns jetzt doch kein IAG holen 🙂
Leider funktionieren alle oben genannten Funktionen nur 100% wenn man 2000 oder XP als OS sein eigen nennt. In unserer IT Abteilung / Firma arbeitet aber doch schon der eine oder andere mit einem Vista.
Und das führt trotz IAG SP1 und ISA SP1 zu einigen reproduzierbaren Fehlern.
z.B.
mappen von Laufwerken geht nicht -> „Dieses OS wird nicht unterstützt“
RDP Sitzungen starten nicht mit dem richtigen Ziel
Der VPN Client läuft bei 30% meiner Vista Testclients nicht sauber (auch auf meinem Lapi *heul*)
Das IAG Plugin generiert (logischerweise) einen Haufen Firewallregeln im ISA
Leider loggt der ISA die Usernamen bei SSL VPN Sessions nicht mit
Und wenn ich den Usern erlaube den VPN Client zu verwenden kann ich im ISA/IAG nicht reglementieren welche Ziele/Ressourcen im intern Netz genutzt werden sollen. Entweder alles oder garnix.
Im Endeffekt würde ich sagen das vor allem der letzte Punkt und das Vista Problem den Ausschlag gegeben haben doch kein IAG zu nehmen. Vom stolzen Preis reden wir hier mal nicht -> mit 4 Netzwerkports, 4GB Ram und 3 Jahre NBD Onsite Support immerhin knapp 6000 EUR netto.
Nun wird ein ganz ordinärer Dell PowerEdge 2950 Rechnenknecht mit einem losen ISA 2k6 sein Werk tun müssen 🙂 Und das ganze ist auch noch 2k günstiger als ein IAG800 und immerhin 1k5 als ein ISA800 von SecureGuard. Und wenn es dann doch mal SSL VPN sein muss, tut es auch eine kleine SonicWall am DMZ Port 🙂 da haben wie immer noch 800 EUR gespart und mein Vista geht auch :).