De NetScreen-5GT is een opvallende verschijning in de wereld van firewalls voor het midden- en kleinbedrijf (mkb). Hoewel firewallleveranciers Check Point, SonicWall, WatchGuard en Fortinet stuk voor stuk draadloze technologie aan hun producten voor het mkb hebben toegevoegd, kan geen van hen tippen aan de flexibiliteit die Juniper biedt op het gebied van ondersteuning voor wlan's, authenticatietechnologie en beveiligingsbeleid.

Onze test concentreerde zich op de draadloze functionaliteit en mogelijkheden van het product. De firewall is prima geschikt voor geavanceerde draadloze omgevingen waar meerdere veiligheidszones en authenticatiesystemen binnen een kleine geografische regio zijn vereist zoals bijvoorbeeld een bepaalde verdieping van een bedrijfspand.

Tegelijkertijd kan de NetScreen-5GT Wireless met zijn optische asymmetrische adsl-poort fungeren als totaaloplossing voor beveiligde toegang voor het MKB met functies als internetconnectiviteit, toegang voor gasten en medewerkers, draadloze en vaste toegang binnen het dmz-netwerk en automatische virusscans.

De NetScreen-5GT Wireless biedt basis radiofunctionaliteit. De firewall is uitgerust met 802.11b/g met een aantal antenneopties (inclusief directioneel en omnidirectioneel met versterkt signaal). De Juniper onderscheidt zich echter van de concurrent door zijn indrukwekkende beveiligingsopties.

Interoperabiliteit dankzij geavanceerde hardwarebeveiliging

Met behulp van de NetScreen-5GT Wireless kunt u vier verschillende wlan's creëren die elk worden geïdentificeerd door een eigen service set identifier (ssid). Een vereiste voor elk access point met meerdere ssid's is dat deze unieke ethernetadressen hanteert voor elke ssid, basis-ssid's (bbsid's) genoemd. Deze functie, waarvoor belangrijke hardwareondersteuning benodigd is, wordt ook ondersteund door de meer gevestigde leveranciers van draadloze apparatuur zoals Aruba en Airespace, een bedrijf dat recentelijk door Cisco werd overgenomen.

Zonder deze functie zouden systemen met meerdere ssid's moeilijk kunnen samenwerken met een groot aantal laptops met draadloze functionaliteit. De NetScreen-5GT Wireless biedt ondersteuning voor maximaal vier bssid's, één voor elk wlan. We ondervonden geen problemen op het gebied van interoperabiliteit met stuurprogramma's op de geteste Windows- of Macintosh-clients.

Elke wlan kan tevens zijn voorzien van verschillende authenticatie- en encryptieparameters die volledig onder het beheer van de it-manager vallen. Tijdens onze tests probeerden we verschillende methoden uit, van eenvoudige Wired Equivalent Privacy-authenticatie tot zwaar beveiligde 802.1X-authenticatie op basis van 802.11i (vaak ook wel WPAv2 genoemd). Alle werkwijzen die we uitprobeerden, met inbegrip van protected extensible authentication protocol (peap), tunneled transport layer security en tls-authenticatie, bleken direct te werken. Zeker gezien onze testervaringen uit het verleden, bleek deze mate van interoperabiliteit griezelig accuraat.

Online authenticatie

De NetScreen-5GT Wireless kan ook worden gebruikt om online authenticatie in te stellen. Als deze functie is geactiveerd, moeten gebruikers die toegang zoeken tot het beveiligde bedrijfsnetwerk eerst met behulp van een browser een gebruikersnaam en wachtwoord opgeven alvorens een verbinding met de NetScreen-5GT tot stand wordt gebracht. We testten deze functie door de NetScreen-5GT Wireless de gebruikersnaam en het wachtwoord te laten controleren op onze zakelijke RADIUS-server.

We integreerden het apparaat in onze testopstelling en gebruikten het enkele dagen als ons draadloos acces point. We configureerden onze 802.1X RADIUS-server, Odyssey van Funk Software om authentificatie te verzorgen met behulp van de NetScreen-5GT Wireless. Vervolgens verbonden we Dell-laptops met Windows XP en een draadloze kaart van Dell, een Apple-laptop met Mac OS X en een interne draadloze kaart van Apple en HP- en Nokia-pda's met het draadloze netwerk.

Vanwege de populariteit van Cisco's draadloze hardware in zakelijke netwerken voerden we tevens XP-tests uit met behulp van de draadloze 802.11a/b/g-kaart van Cisco en de zelf ontwikkelde software van Cisco voor draadloos beheer.

Om de verschillende draadloze authenticatiemechanismen te testen, lieten we de NetScreen-5GT Wireless verschillende configuraties doorlopen, waaronder basic 802.1X, 802.1X met WPAv1 en 802.1X met WPAv2. Voor de pda's maakten we ook gebruik van Wired Equivalent Privacy en online authentificatie voor het testen van de interoperabiliteit.

Stabiliteitstests

Om de stabiliteit van de draadloze verbinding te testen alsook het vermogen om alle vier bssid's te gebruiken, zetten we een ASUS WL-330g Ethernet-to-wireless adapter in om ook onze HP-printer met de NetScreen-5GT Wireless te verbinden.

Hoewel de internetpagina's die Juniper heeft ingebouwd voor online authentificatie geen schoonheidsprijs zullen winnen, was alle functionaliteit aanwezig die voor een dergelijke functie is vereist, namelijk een locatie om een gebruikersnaam en wachtwoord in te voeren.

De draadloze mogelijkheden worden vergroot dankzij de mogelijkheid om elk van deze wlan's in een andere veiligheidszone onder te brengen. In NetScreen-bewoordingen vormen de veiligheidszones grenzen tussen de verschillende onderdelen van een netwerk en is het mogelijk om een beveiligingsbeleid tussen twee willekeurige zones te definiëren. Dit houdt in dat elk van de vier wlan's kan zijn voorzien van een eigen ssid die op een speciale manier kan worden geauthentificeerd en beveiligd en van een eigen beveiligingsbeleid kan worden voorzien. Hierdoor wordt netwerkbeheerders de nodige flexibiliteit geboden.

Geen concurrentie voor de enterprise switch

De NetScreen-5GT Wireless vormt geen bedreiging voor zakelijke access point-producten of enterprise switches. Ondanks de uitmuntende wlan-functionaliteit heeft Juniper een aantal beperkingen aan het wlan-gebruik gesteld door sommige combinaties van bridged- en routed-configuraties niet te ondersteunen. Hoewel er ondersteuning wordt geboden voor de meeste configuraties die gebruikmaken van verschillende subnets of network address translation (nat), werkt de NetScreen-5GT Wireless mogelijk niet goed in omgevingen waarin roaming tussen access points plaatsvindt.

Hoewel de NetScreen-5GT Wireless is uitgerust met volledige IPSec- en Layer 2 Tunneling Protocol vpn-functionaliteit, ontbreken er ook een aantal geavanceerde wlan-functies zoals ondersteuning voor virtuele lan's.

Ook kent de NetScreen-5GT Wireless de nodige scherpe randjes. De installatiewizard is verre van eenvoudig in het gebruik.

Bovendien lijken de ontwerpers van de gui geen kaas te hebben gegeten van draadloze terminologie. Het instellen van sommige parameters, bijvoorbeeld voor draadloze authentificatie, wordt hierdoor onnodig gecompliceerd.

Een tikkeltje teveel misschien?

Voor it-afdelingen die geen behoefte hebben aan meerdere wlan's is de NetScreen-5GT Wireless wellicht aan de dure kant. Volledig uitgerust met een antivirusscanner, indringerpreventie, vier wlan's en drie vaste veiligheidszones gaat deze firewall voor meer dan 2.000 dollar over de toonbank.

Een dergelijke mate van controle kan aanzienlijk bijdragen aan het bedrijfsresultaat: een instapmodel NetScreen-5GT Wireless met twee draadloze en vaste interfaces is verkrijgbaar vanaf 770 dollar. Wilt u slechts een single access point aan uw draadloos netwerk toevoegen, dan zou u met een draadloze 802.11b/g access point ter waarde van 50 dollar voordeliger uit zijn. Bron: Techworld