Zabezpečené routery propojí pobočku i kancelář

Nenávratně pryč je doba, kdy jsme pro připojení vzdálených poboček museli vzít zavděk jen velmi skromnou internetovo...


Nenávratně pryč je doba, kdy jsme pro připojení vzdálených poboček museli vzít
zavděk jen velmi skromnou internetovou konektivitou a zajištění bezpečnosti
vyžadovalo často neúměrné investice. Přestože rozvoj na trhu širokopásmových
připojení bychom si dokázali představit i ve veselejších barvách, jeho nástup
přece jen přinesl na trh rovněž kvalitní a vyrovnanou nabídku dobře vybaveného
hardwaru pro malé sítě. Vzhledem k cenovému vývoji je tedy dnes zcela reálný
požadavek obsluhovat vzdálené pobočky prostřednictvím tunelování provozu
lokální sítě některou z technologií typu VPN.
Zevrubný průzkum nabízených řešení naznačuje, že výrobci mírně preferují model,
v němž "malý síťový hardware" plní zároveň úlohu internetového routeru a
rozhraní pro sestavení VPN linek typu brána-brána, jejichž úkolem je tunelovat
lokální provoz do prostředí vzdálené LAN, typicky ve firemní centrále.
Samozřejmě je zde nabízena také konektivita typu klient-brána, jež dovoluje
sestavit spojení mezi koncovým (vzdáleným) uživatelem, přicházejícím pro změnu
z internetu do pobočkové lokální sítě, avšak tento model zdaleka nepatří mezi
"povinnou" výbavu.

Jak na VPN
Při pohledu hlouběji k jádru věci je jasně patrné, že vítězem v oblasti
realizace VPN v prostředí IP síťování se jasně stává protokol IPsec, jenž se
tak definitivně prosadil. Bezesporu k tomu přispělo i vyřešení problému
přechodu přes službu NAT (vysvětlení tohoto pojmu se vám dostane ve vloženém
textu) a postupné rozšiřování implementací tohoto velmi bezpečného řešení.
Zároveň je zřetelné, že "nová vlna" tvorby virtuálních privátních sítí na bázi
osvědčeného protokolu SSL do těchto sfér prozatím nedorazila.
Co se detailního zavedení IPsecu týče, v některých aspektech jsou výrobci v
mimořádné shodě. U testovaných produktů je prakticky samozřejmostí využití
nejslabší ověřovací metody při vzájemném dohadování klientů, a to sdíleného
tajemství (preshared key), při jehož správě je nutno dbát především na fyzické
zabezpečení samotného zařízení tak, aby nedošlo k prozrazení a zneužití. Jiná
metoda typicky ověření certifikátem se mezi testovanými produkty nevyskytovala.
Mnohem širší nabídka možností však panuje v oblasti samotného šifrování IPsec
paketů, kde normou je především klasický DES, většina dodavatelů však nabízí i
silnější 3DES a výjimkou v našem přehledu nebyl ani standard nejnovější, AES, o
jehož síle a bezpečnosti prozatím není pochyb. Pro digitální podpis paketů je
pak možné zvolit ze dvou běžných hashovacích algoritmů, kde vedle MD5
doporučujeme volit spíše odolnější SHA1. V případě výměny šifrovaného materiálu
pomocí asymetrického algoritmu je u většiny testovaných produktů k dispozici
prověřený Diffie-Hellman, a to v podobě DH Group 1, 2 či někdy i 5.
Pokud se vrátíme k možnosti připojení vzdálených klientů k internetové bráně a
tunelování do pobočkové/domácí LAN, zde již výrobci tak jednotní nejsou. V řadě
případů se objevuje implementace serveru PPTP, ale výjimkou není ani L2TP s
využitím IPsec.
Velmi důležitým kritériem je zde bezesporu schopnost obsloužit paralelně větší
množství šifrovaných tunelů beze ztrát na rychlosti přenosu. V tomto bodě je
nutno být při výběru přiměřeně kritický a neočekávat od zařízení za cca 5 000
Kč schopnosti dedikovaného hardwaru se stonásobnou cenou. Ačkoliv výrobci ve
svých materiálech hrdě specifikují nezřídka možnost konfigurovat několik
desítek VPN tunelů (což se ukázalo jako pravdivé), skutečná realita je
střízlivější: z předem nakonfigurovaných VPN spojení lze paralelně využívat
typicky jen několik z nich, především z důvodu velké zátěže při šifrovacích
výpočetních operacích. Některá zařízení mají počet paralelních tunelů přímo
napevno dán, ale ani u ostatních se reálné možnosti nepohybují výše než mezi
5-10 paralelními VPN kanály. U řešení pro malou pobočku či domácí kancelář se
však nic jiného ani nežádá.

WAN a LAN konektivita
Kromě požadavků na bezpečnost je samozřejmě druhým nejdůležitějším úkolem
připojení malé sítě k internetu. Mezi námi srovnávaným hardwarem jsou k
nalezení různorodé varianty: někteří výrobci šli v integraci dosti daleko,
takže v jejich produktech objevíte například i zabudované ADSL routery se
vstupem rovnou ze splitteru, mnohem častějším případem je však na straně WAN
přípojka v podobě klasického Ethernetu, nabízející dostatečně univerzální
řešení. Toto řešení dobře vyhoví jak uživatelům kabelových přípojek a ADSL
modemů, tak uživatelům, kteří disponují jinou konektivitou. Prozatím je však
problémem třeba využití služby Eurotel Data Express, neboť stále jediný (!)
dodávaný modem disponuje rozhraním USB, s čímž se prozatím pokusil vyrovnat jen
jediný dodavatel, a to navíc díky aktivitě dobrovolníků, kteří svůj update
firmwaru dali k dispozici ke stažení zdarma.
Na straně pobočkové či domácí LAN je již prakticky standardem 4portový
ethernetový přepínač, v případě vyšších nároků lze od některých dodavatelů
získat variantu s 8 porty. Dobře patrný je také trend nasazení (jako nedílnou
součást lokální konektivity) alternativy v podobě Wi-Fi přístupového bodu (AP),
jehož možnosti bývají velice slušné. Běžnou součástí pobočkové či domácí LAN
jsou pak dále DHCP server pro obsluhu lokálních klientů a jednoduché možnosti
publikování interních serverů do internetu formou virtuálních
demilitarizovaných zón.

Přehled zařízení
V našem následujícím přehledu naleznete celkem 11 zařízení od sedmi výrobců.
Při jejich výběru a zařazení do tohoto srovnání jsme především vycházeli z
požadavků na připojení pomocí virtuální privátní sítě (VPN) a ochranu alespoň
jednoho rozhraní pomocí routeru a firewallu, aby mohlo být využito jako sdílená
internetová konektivita či obecně přípojka do nezabezpečené sítě. Ze společných
vlastností testovaných produktů můžeme zmínit třeba ovládání pomocí grafického
uživatelského rozhraní ve formě dynamických webových stránek, připojení
několika lokálních počítačů pomocí přepínaného Fast Ethernetu či implementaci
stále uznávanějšího standardu IPsec. Podrobnější výčet možností jednotlivých
produktů je pak přehledně umístěn v celkové tabulce vlastností.
Jak z údajů zahrnutých v tabulce, tak z textového přehledu vyplývá, že nabídka
je velmi vyrovnaná a funkcionalita v mnoha ohledech dosti podobná. Pokud je
vaším požadavkem především maximální bezpečnost IPsec tunelu, pak se orientujte
na nabídku nejnovějšího šifrovacího standardu AES. Způsob ověření
komunikujících protistran v podstatě nehraje roli, jelikož u všech produktů
najdete variantu se sdíleným klíčem. Pokud používáte ADSL přípojku, jistě
neopomeňte potřebu PPTP volání na straně WAN rozhraní, a pokud jsou vaše nároky
směřovány k možnosti spravovat šířku pásma a prosadit kvalitu služeb, pak jsou
v našem přehledu dva jasní kandidáti, které jsme se rozhodli ocenit. Jde o
produkty společností Draytek a D-Link.

3Com OfficeConnect VPN Firewall a OfficeConnect Secure Router
Oba dva modely zaujímají v nabídce společnosti 3Com již po nějakou dobu
stabilní pozici a nabízejí standardní funkcionalitu, jež v zásadě pokrývá námi
výše vznesené požadavky. V oblastech našeho hlavního zájmu, tedy internetové
konektivity a provozování VPN, nabízejí oba produkty poměrně podobné parametry.
Co se týče virtuálních privátních sítí, obsahují obě krabičky všechny důležité
možnosti. Můžete pracovat s čistými IPsec tunely, kombinovanou variantou L2TP
nad IPsec i čistým PPTP protokolem, přičemž sestavování tunelů mezi sítěmi je
důsledně a přehledně odděleno od obsluhy vzdálených klientů. Ochrana pomocí
protokolu IPsec disponuje i nejnovějším šifrovacím standardem AES (vedle DES a
3DES); ověření sdíleným klíčem je pak běžným mechanismem.
První z modelů OfficeConnect VPN Firewall disponuje zabudovanou technologií QoS
pro řízení šířky alokovaného pásma určitým službám, obě zařízení pak disponují
standardním firewallem s možnostmi detailnější kontroly odchozích požadavků a
jejich eliminace. Samozřejmostí je dále funkce virtuální demilitarizované zóny;
pokud však disponujete více veřejnými adresami, lze zprovoznit službu NAT i v
režimu 1 : 1.
Internetová konektivita je v obou případech řešena univerzálně prostřednictvím
ethernetového portu, na němž je možno připojit jak ADSL, tak kabelový modem či
jakoukoliv jinou síť se statickou nebo dynamicky přidělenou IP adresou, a
nechybí zde ani podpora protokolů PPTP ani PPPoE. Lokální síť zahrnuje
přepínané ethernetové porty s dobře nastavitelným DHCP serverem.

Asus SL500
Pokud bychom měli jednoznačně říci, na co se tvůrci tohoto modelu známé značky
zaměřili, pak odpověď zní: firewall a VPN. Router je navržen dle předpokladu,
že budete vyžadovat velmi široké možnosti nastavení filtrace provozu a poměrně
volnou ruku máte rovněž při konfiguraci tunelů či obsluze vzdálených klientů.
Internetová konektivita je pojata poněkud základním způsobem. Kromě statické a
dynamické IP adresy na ethernetovém portu by našinec jistě ocenil ještě PPTP
pro ADSL linku, neboť zbývající PPPoE mu příliš nepomůže. Vedle tradičních 4
přepínaných portů do lokální sítě naleznete na krabičce nečekaně také RJ-45
konektor pro sériový kabel určený k administraci. Bohužel v základním návodu
nebyla o nějakém konzolovém rozhraní ani řádka.
Opravdu ukázkovým způsobem je ovšem zpracován firewall a především pak jeho
administrace, založená na politikách a přístupových seznamech. Velmi potěšující
je také implementace řady aplikačních filtrů včetně stále žádanějších a
zaměřených na internetovou telefonii, tedy pro standardy SIP a H.323. Stejně
jako u firewallu lze i v případě konfigurace VPN sítí využít interních
pravidel, založených na skupinách uživatelů. Pro šifrování jsou k dispozici
standardy DES a 3DES, jednoznačně jsou rozdělena spojení mezi pobočkami a
klientské VPN a poměrně přehledné jsou také statistiky chráněných tunelů. V
neposlední řadě stojí za zmínku slušný filtr pro obranu před nejběžnějšími
útoky typu DoS a velmi dobrá je též služba NAT, obsluhující i zásobník IP adres.

D-Link Dl-804-HV
Tato společnost má ve své nabídce celou řadu zajímavých modelů a námi vybraný
představuje poměrně univerzální řešení s vysokou úrovní zabezpečení. Router s
označením Dl-804-HV nabízí různá internetová připojení pomocí ethernetového
portu včetně podpory PPTP pro tuzemské ADSL. Na krabičce dále naleznete ne
zrovna obvyklé sériové rozhraní COM pro využití dial-up či ISDN modemu, určené
k realizaci WAN. Na druhou stranu klientská část produktu je poměrně standardní
4x přepínaný Ethernet a je trošku škoda, že DHCP server nelze přinutit k
rozdávání IP adres mimo "natvrdo" definovaný rozsah.
Výbava pro realizaci VPN spojení je u produktu velice slušná a všestranná.
Samozřejmý IPsec nabízí šifrování DES či 3DES, ale nechybí ani méně běžné
servery pro tunely PPTP a L2TP, v obou případech s autentizací PAP, CHAP i
MS-CHAP. Celkem lze u Dl-804-HV předem nadefinovat až 40 tunelů včetně určení
maximálního počtu těch paralelně povolených.
Na základě široce nastavitelných pravidel je možné velmi dobře připravit
filtrování na firewallu, přičemž díky přehlednému rozhraní je nastavování
poměrně intuitivní. Mezi možnostmi dále nechybí kontrola lokálních uživatelů
při snaze o přístup do internetu, a to na základě MAC adres, blokování
nepovolených URL či celých domén. Protokol pro správu SNMP je podporován v
novější verzi 2c, na druhou stranu třeba obsluha lokálních klientů pomocí DHCP
služby je omezena na přesně vymezený rozsah adres, což je škoda.

DrayTek Vigor2900 a 2900G
Síťová zařízení společnosti DrayTek patří díky své nekompromisní výbavě již
delší dobu mezi nejlepší ve své oblasti a ani v případě našeho zkoumání dvojice
routerů tomu nebylo jinak. Oba testované produkty DrayTek Vigor 2900 a 2900G se
liší v podstatě "pouze" absencí Wi-Fi přístupového bodu, který schází u modelu
bez písmena G v názvu.
Implementace VPN je v této třídě zařízení naprosto nekompromisní. Oba produkty
podporují jak tunelovaná spojení mezi pobočkami, tak připojení vzdálených
klientů proti této bráně, a vedle IPsec se širokými možnosti také dokáží
obsluhovat spojení pomocí protokolu PPTP. V případě IPsec lze šifrovat
algoritmy DES, 3DES i AES, a nevídanou věcí je v případě PPTP možnost volby
síly šifrovacího algoritmu MPPE, do čehož se ostatní výrobci zatím příliš
nepouštějí.
Možnosti pro vybudování sítě LAN jsou také u obou produktů velmi dobré. Kromě 4
ethernetových portů nabízí model "G" i přístupový bod dle normy 802.11b/g a
opět ojediněle vídanou možnost v podobě definování virtuálních lokálních
segmentů (VLAN), a to dokonce s řízením šířky pásma (QoS)! Možnosti QoS najdeme
také na WAN rozhraní a mezi tradiční nabídku Vigorů patří připojení k externímu
serveru RADIUS pro ověřování klientů. Příjemnou drobností je dále přítomnost
USB portu pro síťovou tiskárnu.
Jako velmi dobrou lze u obou produktů označit i implementaci firewallu, jehož
metodika sestavování pravidel může být na první pohled trochu spletitá, na
druhou stranu nabízí široké možnosti a značnou volnost při konfiguraci. V menu
dokonce nechybí ani základní výbava IDS.
Oba produkty Vigor představují bezesporu jednu z nejlepších voleb ve své
kategorii.

Level One WBR-3402B a WBR-3403TX
Dvě zařízení u nás ne až tak známé značky se zásadně lišila především v
možnostech internetové konektivity, i když tím rozdíly nekončí. Model 3402B v
sobě přímo integruje ADSL modem pro Annex B (novější přípojku standardu ISDN),
a je tedy určen k přímému zapojení do splitteru pomocí konektoru RJ-11, kdežto
jeho sourozenec WBR-3403TX disponuje univerzálnějším ethernetovým WAN
rozhraním, jemuž musí být příslušný modem předřazen. Pro připojení LAN jsou k
dispozici opět 4 ethernetové konektory a také jeden port pro síťovou tiskárnu u
3402B je typu USB, u 3403TX pak paralelní. Rozdíly najdeme také u zabudovaného
přípojného bodu (AP) pro sítě Wi-Fi, neboť oba jsou sice normovány dle
standardů 802.11b/g, avšak model 3403TX obsahuje o poznání méně
konfigurovatelnou variantu, navíc bez podpory zabezpečení prostřednictvím
protokolu WPA jaká škoda, jeho bratříček umí Wi-Fi šifrovat i nejnovějším AES.
Výbava v oblasti VPN je u obou produktů celkem standardní, takže si můžete
předem nadefinovat až 40 tunelů se všemi parametry a za účelem řízení též
stanovit jejich maximální současný počet. Ze šifrovacích algoritmů jsou k
dispozici DES a 3DES a ověření klientů tradičně probíhá sdíleným tajemstvím.
Poměrně slušné jsou možnosti poskytované firewallovými pravidly, jejichž
součástí mohou být i časová omezení, a ve spojení s Wi-Fi i filtrace na úrovni
MAC adres. I z těchto zařízení je možno zasílat informace na Syslog server nebo
pomocí poštovního protokolu SMTP přímo správci.

SMC BR14VPN a BR18VPN
Zařízení u nás možná trochu nenápadného, ale osvědčeného výrobce, společnosti
SMC, by se dala charakterizovat jako stabilní kvalita plus mnoho funkcí a pár
příjemných překvapení. K vyzkoušení a prověření jsme obdrželi dva téměř
identické modely BR14VPN a BR18VPN, jež se v souladu se svým označením lišily
především počtem lokálních ethernetových portů (4 a 8), čímž výrobce dovoluje
pokrýt i náročnější požadavky.
Jádrem obou zařízení je univerzální router, jehož internetovou konektivitu může
zajistit prostřednictvím ethernetového rozhraní jak ADSL, tak kabelový modem či
jiný typ spojení. Výrobce otevřel uživatelům i zadní vrátka zamontováním
klasického sériového rozhraní (port COM) pro přímé napojení dial-up modemu či
ISDN linky.
Při sestavování VPN nejste nijak omezeni. Spojení mezi pobočkami lze realizovat
pomocí IPsec tunelů se šifrou DES či 3DES, přičemž vzdálené klienty pak můžete
obsluhovat jak pomocí staršího protokolu PPTP, tak novějšího L2TP (oba nabízejí
silnější PPP autentizaci MS-CHAP a samozřejmě zapnutí ochrany MPPE). Celkový
počet povolených tunelů je možné u obou produktů nastavit přímo. SMC do
zařízení rovněž velmi dobře implementovalo firewall, v němž můžete sestavovat
pravidla nejen dle síťových kritérií, ale také v souladu s časovými omezeními
přístupu, dále nechybí filtrace dle MAC adres a blokování zadaných URL řetězců.
Z příjemných drobností bychom neradi opomenuli třeba možnost zasílat události
na server Syslog či přímé odesílání informačních e-mailů na danou adresu a také
podporu SNMP protokolu i ve verzi 2c.

ZyXel Prestige 334
Zařízení dobře známého výrobce, jehož modemy už toho z dějin internetu dost
pamatují, je koncipováno jako co nejuniverzálnější brána pro malou lokální síť.
Spojení WAN je tradičně na portu pro ethernet a kromě PPTP a PPPoE nabízí také
statickou a dynamickou IP adresu. Na druhou stranu DHCP server, určený k
obsluze klientů na čtyřech LAN ethernetových přepínaných portech, je zcela
volně konfigurovatelný co do IP adresace, což jsme ocenili. Že jde především o
router a bránu, dokazují slušné možnosti nastavení třeba u překladu adres NAT
(asi nejvšestrannější, jaké jsme viděli), na druhou stranu implementace VPN je
provedena spíše jako povinná a skromná výbava. Ačkoliv pro šifrování jsou
dostupné algoritmy DES a 3DES, definovat je možno pouze 2 spojení, a to je
bezesporu nepříjemný limit. Rozhodně nepřekvapí, že autentizace je řešena
sdíleným klíčem.
Poměrně dobře propracován je systém logování událostí. V detailním rozhraní lze
velmi přesně určit, jaké typy záznamů budou vytvářeny. Nejenže tak můžete
definovat příjemce e-mailu či Syslog server, ale navíc lze zvolit přesná
pravidla či časování, kdy bude zasílán a čištěn pro další použití. Co se týká
implementovaného firewallu, tak ten disponuje (kromě přítomnosti tradičních
pravidel) několika zajímavými možnostmi, jakými jsou například filtrování URL
řetězců, a přítomností aplikačních filtrů, které lze uplatnit na ActiveX prvky
či Java aplety. U produktů SMC lze také uplatnit blokování provozu dle typu
definované služby či časového rozvrhu dle denní doby či dne v týdnu.


Slovníček
PPTP
Jde o protokol pro realizaci bezpečného, šifrovaného tunelu, postavený na
dodatečné ochraně původního veřejného protokolu PPP pro přenos rámců na 2.
vrstvě modelu OSI. Typicky je určen pro relativně nespolehlivé a pomalé sériové
linky, tedy hlavně pro dial-up či klasický RAS po telefonních okruzích, ale pro
realizaci paketové VPN je možné jej zapouzdřit znovu na IP vrstvě. Pro
ověřování uživatele využívá některý z autentizačních protokolů "rodiny" CHAP
(např. MS-CHAPv2) a šifrování provádí proprietárním mechanismem MPPE. Pochází z
dílny společnosti Microsoft a dnes je všeobecně implementován nejen ve Windows,
ale i na dalších platformách a hardwaru jiných dodavatelů včetně těch
testovaných v našem přehledu. Právě pro svou ne úplnou transparentnost bývá
někdy zpochybňován.
IPsec
Standard ochrany paketů síťové vrstvy IP pomocí mechanismu šifrování a
digitálního podpisu, jež mají zajistit jak nečitelnost neoprávněnému uživateli,
tak zabránit útokům podvržením či modifikací na trase. Vznikl jako veřejná
norma, původně zamýšlená jako integrální součást dlouhodobě připravovaného,
nového protokolu IP verze 6, avšak při průtazích v jeho vývoji byl přednostně
různými výrobci implementován již do stávající IPv4. Krom vysoké bezpečnosti a
spolehlivosti je kladně hodnocen především pro svou transparentnost, neboť
využívá ověřené a dobře zavedené šifrovací algoritmy, jako jsou DES, 3DES, AES,
pro výměnu klíčů pak mechanismus Diffie-Hellman. Vzájemné ověřování
komunikujících stran je možno provádět základním způsobem alespoň pomocí
sdíleného tajemství (preshared key), v pokročilejším případě pak výměnou
digitálních certifikátů s asymetrickým algoritmem RSA.
L2TP
Protokol vyvinutý speciálně pro realizaci VPN spojení v prostředí paketových
sítí, typicky na bázi internetového IP. Vznikl na základě uplatnění zkušeností
společností Microsoft a Cisco z vývoje protokolů PPTP a L2F. Ve své podstatě
zapouzdřuje rámce typu PPP znovu na úrovni 3. vrstvy, např. do paketu IP, a
zajišťuje jejich doručení směrovanou sítí. Protože sám o sobě nezahrnuje
mechanismy pro šifrování či digitální podpis, je často implementován ve spojení
se standardem IPsec jako "L2TP over IPsec". Jeho výhodou je mimo jiné nezávislá
vzájemná autentizace počítačů (při vyjednávání IPsec) a uživatele VPN (na
úrovni L2TP), naopak počáteční nevýhodou byly podobně jako u čistého IPsec
obecně problémy se službou NAT.
NAT-T
Mechanismus označovaný jako NAT Traversal či IPSec Through je dnes nezbytnou
součástí síťového prvku či rozhraní, jež chrání lokální sítě prostřednictvím
služby překladu adres (NAT). Právě tento problém porušení bezpečné komunikace
při průchodu službou NAT byl před několika lety citelným hendikepem při
nasazování řešení pomocí IPsec a jeho řešení dovoluje bezvýhradné nasazení.
Podstatou mechanismu je v zásadě ustavení speciálního kanálu mezi klientskou
částí a serverem, jenž službu NAT provádí, tak, že IPsec komunikace je
dodatečně balena do UDP paketů, jež zajistí pomocí své hlavičky správné
doručení bez poškození.
RADIUS
Standardizovaná služba pro ověřování klientů sítí VPN, dial-up, RAS, Wi-Fi, ale
také ADSL či ISDN. Obecně slouží k centralizaci mechanismů autentizace,
autorizace a účtování (AAA), jež jsou prováděny univerzálně bez ohledu na to,
přes který přípojný bod v infrastruktuře klient vstupuje. Nejdůležitější
vlastnosti služby jsou popsány ve veřejných normách RFC 2138 a 2139.









Komentáře
K tomuto článku není připojena žádná diskuze, nebo byla zakázána.