Funkcemi nabité firewally jasně září

Při obraně před stále se zvyšujícím nebezpečím pocházejícím z internetu vyžadují firmy od firewallů stále víc...


Při obraně před stále se zvyšujícím nebezpečím pocházejícím z internetu
vyžadují firmy od firewallů stále více funkcí, jako jsou například správa
bezpečnostní politiky, IDP (intrusion detection and prevention detekce a
prevence narušení) a schopnosti v oblasti VPN. Výrobci firewallů se snaží těmto
výzvám vyhovět a plní firewally dalšími a dalšími funkcemi.
V našich testech naleznete dva firewally horní cenové kategorie Fortinet
FortiGate 500 a WatchGuard Vclass V80 a také zařízení určené pro menší sítě
SonicWall Pro 330 (firewall s integrovanou silnou VPN funkcionalitou).
Ke zhodnocení schopností těchto pokročilých zařízení jsme emulovali prostředí
víceprotokolové sítě a poté proti nim spustili celou řadu útoků, například Syn,
Smurf, Reset a ARP (Address Resolution Protocol) floodů, nejprve oddělených,
poté simultánních. Navíc jsme otestovali deklarované údaje o podpoře VPN,
včetně VPN tunelů a měření výkonnosti.
Dobrou zprávou je, že si účastníci testu vedli až na pár výjimek dobře při
simulovaných útocích. FortiGate 500 nebyl vyřazen z provozu při žádném z nich,
produkt WatchGuard V80 pak neodolal pouze při útoku typu Syn Flood. Zařízení
SonicWall Pro 330, které jsme považovali za nejslabší z testovaných, ve
skutečnosti poskytovalo silnou ochranu proti všem útokům s výjimkou ARP flood;
tento útok však není běžný.
Už ne tak pozitivním zjištěním je fakt, že s ohledem na naše potřeby není
nasazení VPN dostatečně jednoduché, a to ani u zařízení SonicWall, u kterého
bychom to vzhledem k jeho povaze očekávali.

Fortinet FortiGate 500
Tento high-endový firewall se pohybuje v oblasti těsně pod nabídkou firewallů
pro velké firmy. Běží na integrovaném 1GHz procesoru Pentium 4, který poskytuje
dostatečný výkon ve srovnání s méně robustním výrobkem SonicWallu.
Nastavení FortiGate 500 je snadné a lze jej realizovat buď přes webové grafické
rozhraní, nebo přes příkazovou řádku. Grafické rozhraní pro správu je
intuitivní a příjemné pro oči, přičemž obsahuje sekce jako systém, firewall,
uživatel, VPN, NIDS (Network Intrusion Detection System), Anti-Virus, e-mailové
a webové filtry, a dále záznamy a výstupní sestavy, mezi nimiž lze snadno
vybírat pomocí vlevo umístěné nabídky. Filtrování spamu není plnohodnotné, ale
podpora klíčových slov je zahrnuta. Záznamové funkce jsou dostatečně granulární
a volby upozornění nabízejí pět úrovní důležitosti od mimořádných událostí až
po informativní hlášení.
Při odolávání útokům FortiGate 500 zašlapal své konkurenty do prachu žádný z
našich testů či jejich kombinací tento firewall neuvedl do rozpaků. Podporoval
až 2 400 víceprotokolových připojení za sekundu a vydržel až 422 000 trvalých
připojení. K prověření síly FortiGate 500 v oblasti VPN jsme zařízení
překonfigurovali do NAT/Route módu. Fortinet nabízí konfigurační soubor, jehož
nastavení nám zabralo několik hodin, protože FortiGate 500 nenabízí snadný
způsob automatického klonování tunelů. Konfigurace fungovala skvěle při testu
10 tunelů, přičemž maximální počet dosahuje hodnoty 1 023. Mohli jsme otestovat
jednotlivé tunely nebo jejich rozsah až do počtu 2 000, avšak testovaná verze
firmware z nějakého důvodu nepodporovala více než 1 023 simultánních tunelů.
Obousměrná propustnost tunelů dosáhla 25,2 Mb/s, což se rozhodně neblíží
teoretické hranici konkurenčního produktu WatchGuard Vclass V80, nicméně je to
výsledek podstatně lepší, než jaký jsme zaznamenali u zařízení SonicWall Pro
330.

SonicWall Pro 330
Produkt SonicWall Pro 330 nabízel v našem testu nejlepší poměr cena/výkon. Pro
330 využívá upravenou verzi operačního systému VXWorks a nastavuje se přes
webové grafické rozhraní. Rozhraní pro správu je ryze praktické, stejně jako
jeho design, a vyhovuje pro daný účel nastavení je vcelku jednoduché.
Konfigurace je však trochu spletitá bylo třeba nastavit rozsahy IP adres
připojených k WAN nebo určit bránu, přes kterou bude provoz směrován.
Co se týče dodávání dat, pak SonicWall (běžící na poněkud méně výkonném
procesoru StrongArm 233 MHz, určeném spíše pro PDA) umožnil maximálně 340
připojení za sekundu a celková hodnota trvalých připojení dosáhla hranice 96
000. Zařízení nebylo schopné zvládnout vyšší zatížení a také práce se smíšenými
protokoly byla oproti zbývajícím dvěma účastníkům testu horší. Přesto ale
slušně odolávalo útokům s výjimkou ARP, kdy míra neúspěšně zpracovaných
transakcí dosáhla 28,4 %.
Firewall SonicWall Pro 330 vytvořil a předával data přes 843 tunelů, což se
téměř blíží výkonu zařízení FortiGate 500, ale jeho datová propustnost byla
omezena na 5,5 Mb/s. Po dosažení hodnoty 843 současně připojených tunelů začal
produkt ukončovat tunely a při testování pomocí zařízení TeraVPN se objevilo v
záznamech chybové hlášení payload malformed. Test propustnosti vykázal malé
množství CRC chyb a také jistou fragmentaci tunelů.

WatchGuard Vclass V80
Počáteční nastavení produktu Vclass V80 lze uskutečnit buď přes šifrované SSL
připojení na portu 443 s využitím software WatchGuard Vcontroller, nebo z
prostředí příkazové řádky, podobného tomu, které naleznete u produktů firmy
Cisco. Změny jsou vykonávány přímo a nevyžadují restart zařízení, pokud při
nich nedochází ke změně rozhraní.
Průvodce softwaru Vcontroller vás v šesti jednoduchých krocích názorně provede
konfigurací, přesto však tato jednoduchost padá na vrub případným přizpůsobením
nastavení. Mezi důležitými schopnostmi je možno jmenovat podporu DHCP nebo
odesílání varování pomocí e-mailu, pokud dojde k výskytu definovaných podmínek.
Výchozí nastavení bezpečnostní politiky firewallu zahazuje veškerý příchozí
provoz. Její parametry lze nadefinovat s využitím elegantní obrazovky Hacker
Prevention (je součástí průvodce nastavením), což umožňuje zachytit útok, jenž
proklouzne logikou integrovaného čipu. Můžete také nastavit omezení počtu
paketů za sekundu v případě několika běžných útoků. Díky těmto možnostem
uzpůsobení je produkt velmi flexibilní a škálovatelný. Grafické rozhraní je
rozděleno na tři části činnosti, politiky a správa.
Firma WatchGuard v dubnu 2002 odkoupila společnost RapidStream a produktová
řada RapidStream RSSA (RapidStream Security Appliance) se přeměnila právě na
sérii produktů Vclass. Hardwarová architektura zůstala stejná, upgradován byl
software. Jeho nejnovější verze zahrnuje inspekční protokoly pro HTTP a SMTP na
aplikační vrstvě, podporu směrování pomocí protokolu BGP (Border Gateway
Protocol), předávání DHCP nebo zotavení WAN.
Firewall V80 podporuje úctyhodných 1 150 připojení za sekundu, přičemž dokázal
udržet 125 960 současných připojení a odolal všem testovaným útokům. Povšimli
jsme si ale zvyšujícího se zpoždění (latence), které narůstalo každou minutou a
poté náhle pokleslo na předchozí úroveň, jako by snad zapnul časový spínač nebo
došlo k nějaké interní události.
Podpora VPN byla u Vclass V80 nejlepší z testovaných produktů, když dokázal
přenášet data přes 7 968 tunelů při obousměrné propustnosti 63 Mb/s. Testovaný
firmware nepodporuje šifrovací protokol AES (Advanced Encryption Standard) nebo
Group 5, přičemž lze vytvořit nebo zrušit nejvýše dva tunely za sekundu. Byli
jsme proto nuceni improvizovat a použít Group 2 a šifrování 3DES.

Závěr
Produkty WatchGuard Vclass V80 a Fortinet FortiGate 500 nabízejí shodná řešení
ve stejné cenové oblasti, s mírně odlišnými silnými stránkami u každého z nich.
Pokud je pro vás nejdůležitější výkon, pak je FortiGate 500 jasnou volbou.
Pokud spíše potřebujete VPN funkcionalitu, vyberte si WatchGuard. Obě zařízení
byla v našich testech neproniknutelná. SonicWall Pro 330 byl nejslabším
účastníkem našeho testu, ale jeho cena je ve srovnání s dvěma zbývajícími
konkurenty násobně nižší, což z něj činí vhodného kandidáta pro většinu středně
velkých firem.

Jak jsme testovali
Při testu základních rychlostí připojení k firewallu a jeho výkonu při
odvracení útoků jsme použili balík aplikací od firmy Spirent Communications,
zahrnující Web Avalanche 5.2, Reflektor 5.2 a Avalanche Analyzer 5.2. K
vytvoření víceprotokolové sítě v DMZ (demilitarizované zóně) jsme využili již
zmíněný Web Reflektor. 70 % provozu tvořil protokol HTTP, 10 % FTP, 10 % POP3 a
10 % SMTP, čímž jsme navázali maximální počet spojení, které je firewall
schopen v reálném prostředí podporovat. Nejprve jsme na jednotlivých zařízeních
prověřili maximální počet současných připojení. Poté jsme provedli základní
test využívající 60 % zjištěné maximální hodnoty CPS (Characters Per Second
znaků za sekundu) a posléze zaútočili na DMZ zvenčí s využitím Syn, Smurf, ARP
a reset floods, jež jsme emulovali aplikací Web Avalanche. Každý z útoků běžel
samostatně po dobu 10 minut, přičemž na zařízení směřovalo 350 útočících paketů
za sekundu. Nakonec jsme spustili všechny čtyři útoky současně. Analýzu jsme
realizovali pomocí samostatné aplikace Avalanche Analyzer.
Důležité VPN funkce (např. propustnost jednotlivých tunelů a maximální počet
tunelů podporovaný jednotlivými firewally jsme vyzkoušeli pomocí Spirent
TeraVPN 2.10. Část tunelu mezi bezpečnostní branou a veřejným portem firewallu
(tzv. Fáze 1) byla nakonfigurována jako DH2 s podporou SHA1 IKE autentizace s
AES (Advanced Encryption Standard) 128bitovým IKE šifrováním. Fáze 2, která
zahrnuje část tunelu od zdrojové sítě po cílovou síť, byla nastavena pro
využití IP Security. Použili jsme až tři dvojice karet na operačním systému
Linux, z nichž každá podporovala 3 500 tunelů. Tím jsme otestovali maximální
počet tunelů podporovaný jednotlivými firewally. Při testech výkonnosti
tunelování dat podporoval každý pár karet 200 tunelů.









Komentáře
K tomuto článku není připojena žádná diskuze, nebo byla zakázána.