Bezpečnostní řešení se snaží o celkové pokrytí

Pro někoho, kdo je zodpovědný za bezpečnost sítě malé či střední firmy, jsou krabicová řešení (nazývaná takté...


Pro někoho, kdo je zodpovědný za bezpečnost sítě malé či střední firmy, jsou
krabicová řešení (nazývaná taktéž appliances), která pohlídají všechny
bezpečnostní aspekty, více než zajímavým zbožím. Přirozeně tato řešení
poskytují požadovanou úroveň zabezpečení a na rozdíl od kombinování
bezpečnostních programů a najímání vyškolených pracovníků nejsou příliš složitá
ani nákladná.
Červi, trojští koně, díry v zabezpečení, nabourávání a útoky a co má dělat malá
či střední firma? Nainstaluje si bezpečnostní řešení typu "všechno v jednom"
(all-in-one). Jen se musí ujistit, že takový produkt dělá čest svému jménu...
Právě úspěšnost pěti appliances řešení typu "všechno v jednom" se rozhodli
porovnat naši američtí kolegové v Havajské laboratoři specializované na sítě v
provozu tamní státní univerzity. Všech pět recenzovaných produktů je považováno
za "řešení", ale varujeme vás: nejedná se o 100% spolehlivé plug-and-play
produkty. Naše testy rovněž ukázaly, že výrobci mají rozdílné mínění nejen o
definicích všezahrnujícího zabezpečení, ale také o tom, co takové řešení "vše v
jednom" má obsahovat.
Vyzvali jsme celkem šest výrobců firewallů, aby nám zaslali nejnovější verze
svých řešení. Pět statečných zápasníků se dostavilo na startovací čáru: Check
Point Safe@Office 225, Juniper Netscreen-5GT Enhanced, NetGear VPN Firewall
FVS328, SonicWall Pro 2040 a WatchGuard Firebox X1000.

Jak jsme hodnotili
Protože bezpečnostní řešení typu appliances se značně liší v nabízených
funkcích, soustředili jsme se na tři základní oblasti: výkon VPN, ochranu před
útoky na firewall a schopnosti antivirového programu.
Hodnocení výkonu VPN by mělo být založeno na tom, které řešení nejlépe přesouvá
a balí data do kódovaných paketů. K tomuto testu jsme použili testovací balík
TeraVPN 4.0 od společnosti Spirent Communications instalovaný na šasi SmartBits
600 (SMB-600) vybavené dvěma kartami TeraMetrics XD 10/100 s jedním
fastethernetovým rozhraním.
Naše testy začaly pouze s jedním tunelem, abychom se ujistili, že jsou VPN
funkční. V dalším testu jsme jich již využili 20 nebo nejvyšší podporovaný
počet, pokud jich zařízení 20 nezvládlo. Malá nebo střední firma o 100 až 200
zaměstnancích využívá obvykle nejvíce 20 tunelů najednou.
Při samotném testování jsme nejdříve vytvořili 20 tunelů Phase I (IKE) a pak
jsme v každém z nich vytvořili jeden tunel Phase II (IPsec). Testování jsme
započali zasláním sady souborů s pevnou velikostí 1 024 bajtů rozdělením 500
000 sad mezi všech 20 tunelů. Poté, jako druhý test, jsme začali posílat po
krocích soubory o velikosti 64 bajtů až 1 350 bajtů. Tato fáze byla opakována
50 000krát během každého kroku.
Dále jsme prověřili základní funkce firewallu v testu na druhé vrstvě. Nejdříve
jsme použili Avalanche/Reflector software od Spirentu instalovaný na SMB-600,
čímž jsme získali rozsah pevně daných útoků. Přidali jsme různé DDoS
(distrubuovaný DoS) útoky, abychom zjistili, zda budou na firewallech rozeznány
a zazní alespoň alarm. Ta lepší řešení NetScreen a Safe@Office nejen spustila
alarm, ale také ničila příslušné pakety.
Pokusili jsme se také o sadu manuálních útoků cokoli, abychom dostali ping skrz
firewall. Vzdal to pouze NetGear, ale i v tomto případě to bylo značně nejisté,
protože při pokusu o zopakování tohoto průniku jsme již úspěšní nebyli. Sečteno
a podtrženo: jakmile jsou tato zařízení nastavena, můžete se považovat za
ochráněné před běžnými útoky.
Nakonec jsme testovali antivirové schopnosti dodaných řešení umístěním
linuxového serveru Sendmail vně firewallu. Tento server zasílal infikované
pakety sérii klientů umístěných za firewallem. Veškeré viry byly simulovány
virovým kódem získaným z Evropského institutu pro výzkum počítačových antivirů
(European Institute for Computer Anti-Virus Research) a byly zaslány v surové
formě komprimované v zip souboru. Žádné z testovaných řešení nemělo nejmenší
problém se zastavením infikovaných paketů, ačkoli ne všechna podporovala IMAP
(Internet Message Access Protocol) klienty.

Check Point Safe@Office 225
Přestože je Check Point znám zejména celou řadou robustních řešení s vysokou
cenou a komplexním OS, nevelký Safe@Office ukázal, že je v oblasti SOHO
firewallů skvělým zápasníkem.
Safe@Office 225 je nejsnáze konfigurovatelným zařízením ze všech testovaných
řešení, navíc je založen na nejprodávanější platformě Check Pointu Firewall-1.
V případě Safe@Office 225 však není díky jeho vysoce intuitivnímu uživatelskému
prostředí ovládání složité (jako je tomu u korporátních implementací
Firewallu-1). Takřka každá část programu má pro nastavení samostané karty
včetně dynamických DNS, dynamických VPN a e-mailového antiviru. Navíc každá
část včetně nápovědy je po internetu automaticky aktualizována ze serverů
společnosti Check Point.
Ačkoli má toto řešení pravděpodobně dostatek síly k ochránění i větších
společností, je Safe@Office typickým SOHO produktem. Check Point jednotku
"omezil" na 25 současných připojení firewallu. Dále nabízí 10 současných
připojení VPN; nicméně tato připojení mohou být libovolně kombinovány včetně
klient-LAN nebo LAN-LAN. V prostředích malých firem je, jak jsme se sami
přesvědčili díky Safe@Office, správa a zabezpečení sítě jednoduchým a
dosažitelným úkolem.
Jak je u Check Point typické, jádro za těmito připojeními je překvapivě
robustní. Klientská připojení VPN mohou být realizována prostřednictvím IPsec
zdarma ke stažení od Check Pointu nebo pomocí PPTP (Point to Point Tunneling
Protocol), který podporuje VPN klienta Microsoftu. Dále mohou být klienti
autorizováni porovnáním s interní databází nebo RADIUS serverem. Jednotka také
umožňuje statické směrování; můžete mít za firewallem další "podsítě", které
rovněž mohou směrovat.
Safe@Office se v testu ukázal jako velmi efektivní firewall. Jednotka odrazila
sadu našich simulovaných útoků a přestála všechny pokusy proplížit se pomocí
pingu z WANu buď do DMZ (demilitarizované zóny) nebo LAN.
Safe@Office má unikátní způsob antivirové kontroly e-mailů. Řešení přesměruje
veškerou poštu na server Check Pointu, který ji zkontroluje a poté přeposílá
adresátovi. To vysvětluje, proč je tak malý procesor tohoto zařízení schopen
řešit tolik služeb najednou.
Takže? Check Point, aby dosáhl řešení Safe@Office, svléknul tolik opěvovaný
Firewall-1 až na kost. Předchází jej však uživatelsky přátelské ovládání a díky
využití rozsáhlých webových služeb, jako jsou antivirový systém, filtrování
webu a dynamické DNS, nabízí Safe@Office komplexní služby za přijatelnou cenu.

Juniper NetScreen-5GT Enhanced
NetScreen-5GT Enhanced v podobě malé krabičky kombinuje všechno, co byste si od
řešení typu "všechno v jednom" mohli přát včetně firewallu, VPN, detekce
průniku a antiviru. Navíc se přístroj pyšní atraktivní cenou 500 dolarů včetně
10 VPN klientů.
NetScreen-5GT má logicky navržené webové rozhraní. Pokud hledáte jen obecný
zdravotní stav firewallu není nutné se prokousávat do hloubky jeho menu, což
přijde v nouzové situaci vhod a tato jednotka reaguje na nouzové situace.
NetScreen jde ale ještě dál za základní funkcionalitu obdobných řešení se
specifickými obranami hostitele proti populárním útokům, a to včetně takových,
jakými jsou WinNuke, ICMP/UDP, SYN flood, a mnoha dalších, ať již založených na
Javě nebo na ActiveX.
Tato jednotka umožňuje nastavit obranu od jednoduchého zazvonění budíku až po
vypouštění náhodných paketů. Po tomto nastavení NetScreen zastavil všechno, co
jsme na něj poslali, včetně toho, že jsme šli až za hranice našich běžných
způsobů útočení.
Podobně na nás udělaly silný dojem antivirové možnosti. Zde stejně jako
Safe@Office od Check Pointu i NetScreen řeší antivirovou funkcionalitu formou
předplacené služby, kterou u Juniperu zaštiťuje partner Trend Micro. Testované
zařízení rozlišovalo antivirové nastavení na WebMail a POP3/SMTP služby; byli
jsme však překvapeni, že nejsou podporováni uživatelé komunikující
prostřednictvím protokolu IMAP. Rovněž test VPN funkcionality byl u NetScreenu
takřka bezproblémový, přičemž se jednotka s přehledem postarala o 20 VPN tunelů.
Jak jsme se v našich testech přesvědčili, NetScreen může plnohodnotně ochránit
SOHO či malou nebo střední firmu. Jeho výkon vykazuje schopnost plnit úkoly
firewallu pro sítě s až 50 klienty, aniž by se "zapotil". Nejenže podporuje
několikanásobné ISP pro překlenutí selhání, ale umí i přerušit vytáčené
připojení v případě selhání WAN. Filtrování obsahu internetu je dalším
příkladem jeho nadstandardní výbavy. Za příplatek lze také získat přístup k
předplacené službě WebSence, kde lze tvořit firemní bílé nebo černé seznamy.
Jednou z unikátních funkcí NetScreenu je přesměrování zdroje. Každá jednotka,
kterou jsme testovali, si poradí s přidaným statickým přesměrováním, ale pouze
NetScreen umožňuje přidat položky přesměrování zdroje, které vykazují odkud
přesměrování pochází a kam zdroj dorazil přes OSPF, RIP (Routing Information
Protocol), BGP (Boundary Gateway Protocol) nebo statickou položku. Toto je
vskutku pokročilá funkce firewallu, kterou jsme u malého řešení nečekali a
jednoznačně jsme nepředpokládali, že bude takto přístupná.

NetGear VPN Firewall FVS328
NetGear si udělal dobré jméno v produktové aréně kategorie SOHO, a ačkoli
testovaý model FVS328 tuto pověst nepoškodí, klopýtali jsme při jeho testování
dostatečně na to, abychom byli při doporučování tohoto řešení opatrnější.
NetGear FVS328 jako jediná z testovaných jednotek nepodporuje antivirus. Na
druhou stranu u něj bylo jeho základní nastavení druhým nejjednodušším a při
ceně 195 dolarů bylo toto zařízení bezkonkurenčně nejlevnější. Bohužel
jednoduchost jeho použití jde tak trochu na úkor funkcionality; pokud chcete
cokoli jen trochu upravit dle svých požadavků, musíte se ponořit do obsáhlé
dokumentace.
Nejvíce problémů jsme měli při testování funkcionality VPN. Naše testovací
zařízení Spirent SmartBits 600 na TeraVPN chtělo z výkonnostních důvodů využít
některých šifrovaných schémat, ale způsob, jakým NetGear nastavil VPN, se
neshodoval se Spirentovým nastavením. V případě FVS328 je trochu složité
nastavit pokročilé vlastnosti propojení VPN, jako je například Diffie-Hellman
Key Agreement Standard. Když se nám to nakonec podařilo, zjistili jsme, že
jednotka umí pouze 3DES a skupinu 2 Diffie-Hellman. Toto sice není kritické pro
řešení orientované na SOHO, ale zařízení Check Point nabídl větší možnosti.
Také poté, co jsme nastavili VPN tunely, vyvstalo ještě několik nesrovnalostí.
Nemohli jsme například aktivovat VPN tunel, dokud jsme nejdříve neposlali skrz
ping, což nebylo v návodech od NetGearu zmíněno. A ačkoli návod naznačoval, že
IPsec by měl bý nastaven jako služba, opomněli zmínit, že takovéto nastavení je
kritické pro zprovoznění jakéhokoli VPN tunelu. NetGear nám následně sdělil, že
o problému s tunelováním vědí a pracují na nové verzi firmwaru, který by měl
problém vyřešit.
Testy firewallu dopadly lépe. Velmi se nám líbilo jeho základní nastavení,
které je jednoduché a založené na průvodci. Krabička poskytuje kompletní
firewall, jenž prošel všemi našimi ad hoc pokusy o nabourání se a zastavil řadu
útoků DDoS. Průvodce dokonce nabízí několik "vychytávek", jako je například
znepřístupnění některých typů přenosů v závislosti na denní hodině. Líbila se
nám také možnost vložení adres pro certifikační autority.
Ačkoli je NetGear k dispozici za velmi lákavou cenu a obsahuje přátelské
prostředí, jde o běžný firewall obutý do možností VPN a je to vidět. Protože
jeho CPU pozbývá možnosti šifrování, je výkon při 10 a více současně otevřených
tunelech výrazně snížen. Jak ale známe NetGear, lepší firmware je již jistě na
světě. Doporučujeme však tento produkt plně otestovat, než za něj utratíte byť
malé množství peněz.

SonicWall Pro 2040
Jednotka Pro 2040 je kombinací další generace OS společnosti SonicWall a
hardwarové architektury, která snese slušnou zátěž, pokud je správně nastavená
úkol, který není tak jednoduchý, jak byste si mohli myslet podle pověsti
výrobce.
Ihned po rozbalení vám musí být jasné, že tento firewall střední třídy je (díky
svému zevnějšku) čertíkem z krabičky. Ve větší firmě jej můžete namontovat do
racku, kde zabírá místo o velikosti 1 U, nebo ho lze jen položit na stůl či
polici (ve firmě odpovídající definici SOHO).
K testování jsme jej obdrželi v plné výbavě; za normálních okolností si
zákazník musí operační systém Enhanced objednat zvlášť. Potom může využívat
pokročilých funkcí včetně zajištění proti selhání ISP, rozložení zátěže mezi
několika jednotek 2040 nebo nastavení překladu adres (NAT) podle pravidel.
SonicWall Pro 2040 samozřejmě funguje i bez SonicOS Enhanced, ale krabička jej
vyžaduje i na hardwarové úrovni: instalací Enhanced aktivujete čtvrtý
ethernetový port 10/100, který lze využít jako druhé WAN, LAN nebo DMZ spojení
nebo hardwarové propojení s jinou Pro 2040 pro případ selhání. Ani z pohledu
nabízených funkcí není SonicWall žádný chudák, a to vzhledem k jeho plné
integraci s nabídkou bezpečnostních prvků včetně antiviru a filtrování obsahu.
SonicWall vybavil Pro 2040 samostatným procesorem pro šifrování spojení.
Podávaný výkon byl solidní a identický bez ohledu na použitý způsob kryptování
AES-256 nebo 3DES. Pro 2040 si také poradil se všemi statickými útoky na
firewall a rovněž prošel antivirovými testy. Nicméně, vezmeme-li v potaz jeho
cenu 1 995 dolarů, očekávali jsme od něj více než od srovnatelného
NetScreenu-5GT, za který zaplatíte "pouhých" 495 dolarů.
Snad jediným problémem tohoto zařízení bylo, když jsme museli změnit interní
systémovou LAN adresu. To způsobilo, že nás firewall úplně izoloval a donutil
nás kompletně přeinstalovat firmware, smazat původní nastavení a licence. Než
jsme byli schopni zprovoznit znovu více než 2 VPN spojení, museli jsme firewall
znovu zaregistrovat u SonicWallu.

WatchGuard Firebox X1000
WatchGuard na svém zařízení musí ještě zapracovat. Náš úžas z nádherné červené
barvy Fireboxu při otevření balení byl prvním a zároveň posledním pozitivním
pocitem z tohoto produktu. Brzy po začátku testování jsme jej pracovně
pojmenovali "Microsoft box", protože vyžadoval tvrdý restart častěji než
Windows server a to je zařízení, které interně běží na Linuxu!
Vzhledem k tomu, že každý restart zabral přinejmenším plných 60 vteřin, byli
jsme z toho brzy velmi unaveni. A systémoví administrátoři budou také, protože
tvrdý restart v podstatě znamená přinejmenším restart internetové brány. Každý
krok při nastavování často vyžadoval několik restartů, takže vaši uživatelé
také nebudou nadšení.
Dokonce i bez pekla, které představovalo restartování, není nastavení Fireboxu
žádná procházka růžovou zahradou. Pro nastavení využívá tlustého klienta, takže
aby šel firewall vůbec zprovoznit, musí se na stanici určené pro nastavení
Fireboxu nainstalovat software žádné jiné z testovaných zařízení něco takového
nevyžaduje. Firewall musíte poté připojit jak ethernetovým, tak sériovým
připojením. Sériový port přitom není konzolí; je to pouze cesta, kterou
software sděluje Fireboxu základní informace o nastavení, takže si uvědomí svou
existenci v síti. Důvod pro tento krok nám uniká.
Daleko více nás znepokojuje, že nelze využít VPN funkcionalitu, i když zařízení
s cenovkou 2 500 dolarů je uváděné jako firewall a VPN řešení. Jestliže
vyžadujete VPN funkcionalitu, musíte si stáhnout jinou verzi operačního systému
ze stránek WatchGuardu. WatchGuard argumentuje tím, že produkt je míněn pro
export, a proto nesmí být silná enkrypce zahrnuta v základní nabídce (to ale
platí pouze pro uživatele v USA). Dále, ačkoli je Firebox prodáván s pěti
ethernetovými porty, musíte si zaplatit další licence, aby byly všechny
aktivní; v základu jsou aktivní pouze nedůvěryhodný WAN port a dva LAN porty.
Jediná funkce, která odlišuje Firebox od ostatních produktů v testu, je
intenzivní koncentrace na technologii proxy. Dobrým příkladem je http proxy,
která místo pouhého procházení TCP portem 80 umožňuje mnohem hlubší kontrolu
veškerých internetových přenosů. Ačkoli implementace této technologie může
znamenat vynikající průnik do příchozího a odchozího internetového provozu,
WatchGuard nevytvořil dostatečně jednoduché nastavení, aby ospravedlnil svou
přítomnost na trhu určeném pro bezpečnostní profesionály z jiných oborů než IT.

Závěr
Na těch zařízeních, která od nás dostala certifikát řešení, naše testy
prokázaly, že jejich funkce jsou robustní a vyspělé, aby poskytly dostatečný
bezpečnostní štít menším společnostem, bez potřeby najímání specialistů na
problematiku bezpečnosti sítě na plný úvazek. Výběr správného řešení pro vás je
jednoduše otázkou komfortu uživatelského prostředí, ceny a výhledu do budoucna
ve smyslu růstu vaší počítačové sítě v nejbližších letech.

Řešení typu appliances
Juniper NetScreen-5GT Enhanced
Mezi bezpečnostními řešeními typu appliances na nás udělal největší dojem
NetScreen-5GT Enhanced, jenž nabízí působivé množství funkcí za velmi zajímavou
cenu. Tato malá krabička má dostatek výkonu a pokročilých funkcí (jako
filtrování obsahu internetu a přesměrování zdroje), aby ochránila i středně
velkou společnost se cca 50 stanicemi v síti. NetScreen-5GT také nabízí
výbornou podporu VPN a antiviru. Poradí si rovněž s celou řadou útoků včetně
SYN flood nebo WinNuke.

Komentáře
K tomuto článku není připojena žádná diskuze, nebo byla zakázána.