Bezpečnost není luxus

1. 5. 2003

Sdílet

Problematika zabezpečení je v současné době v kurzu. Možná právě nebývalá "popularita" této tematiky s sebou však...
Problematika zabezpečení je v současné době v kurzu. Možná právě nebývalá
"popularita" této tematiky s sebou však často přináší negativní důsledek v
podobě dojmu, že takto závažné starosti se týkají jenom velkých sítí, bohatých
firem a specializovaných administrátorů.
Jedna z nejtěžších voleb, před kterou jste často postaveni, zní: zvolit
hardware nebo software? Výběr mezi řešením typu klasické aplikace, či
hardwarové krabičky, resp. appliance, není jednoduchou záležitostí. Kritérií je
mnoho, a proto si pojďme pomoci příklady.
Řešíte-li opravdu malou síť např. v domácnosti nebo kanceláři a po ruce není
nikdo, komu by pokročilejší správa byla blízká, sáhněte určitě po hardwaru (viz
vložený text Malá hardwarová volba) se základní konfigurací, jež nebývá
obtížná, se pro jednou poperete, a nemusíte blokovat žádný počítač pro běh
firewallu. Podobná situace nastává ve větší pobočce či malé firmě, jež vyžaduje
pokročilou VPN funkcionalitu, neboť i zde dokáže appliance výborně zastat svou
úlohu a nenutí vás budovat VPN server. Máte-li k dispozici jeden nevyužitý
počítač a zručného administrátora, stojí zato si softwarovou variantu vyzkoušet.
Na druhou stranu je potřeba připomenout, že bezpečnost není v současné době
záležitostí jediného místa v síti softwarový firewall by se měl stát
samozřejmostí na každém počítači, neboť v některých ohledech je jeho práce
nezastupitelná.

Firewall pro rostoucí firmu
Předmětem tohoto článku jsou zařízení a software, jejichž prvořadým úkolem je
především chránit sítě a provoz síťových služeb. Ačkoli je v současné době na
trhu široká škála takovýchto řešení, bezpochyby lze najít produkty, které je
možno označit v jistém směru za typické. Do následujícího přehledu jsme
zařadili software čtyř výrobců firem Check Point Software Technologies, Kerio
Technologies, Microsoft a Symantec, které lze považovat za "vzorové", tj.
zahrnují funkcionalitu, která je v zásadě typická pro tento typ programového
vybavení. Význačnou vlastností všech čtyř produktů je především velký
potenciál, neboť s jejich používáním můžete začít v síti s desítkou počítačů a
úspěšně pokračovat i v případě, že vaše firma enormně naroste.

Check Point Firewall-1/VPN-1
Pro řadu správců i uživatelů je jméno výrobce tohoto softwaru synonymem pro
zabezpečení sítě a šifrovanou komunikaci, a proto v našem přehledu nemohl
chybět. Programové vybavení této firmy je dodáváno jak ve formě aplikace pro
konkrétní operační systém (např. Solaris či Windows), tak v zakuklené podobě
hardwarových appliances, v nichž je zpřístupněna vždy přiměřená úroveň služeb
dle cílové skupiny uživatelů.

Ovládací rozhraní
Po stránce globální správy nabízejí produkty Check Pointu velmi dobře
propracovanou strategii a z ní vycházející ovládací rozhraní. Prakticky lze na
systém nahlížet v potřebné abstraktní rovině a konfigurovat vlastnosti
nezávisle na konkrétním firewallu výhoda této strategie se samozřejmě výrazně
projeví v případě, že systém nasadíte v rozsáhlejším prostředí. Grafické
rozhraní, které je implementováno např. ze zařízení typu appliance, patří mezi
propracované a grafické provedení je na špičkové úrovni. Jste-li na druhou
stranu velmi pokročilým správcem a máte "v ruce" práci s textovou konzolí,
můžete využít konfiguračních direktiv a přímý zápis z příkazové řádky. Namístě
je zmínit silnou zbraň, kterou je propracovaný systém distribuce bezpečnostních
politik tato služba vám umožní doručit potřebná nastavení na každý bod, jenž
chrání vaší síť, a značně tak zpřehlední celou správu. Vzájemnou kompatibilitu
jednotlivých řešení, jež stojí na platformě tohoto výrobce, snad netřeba
připomínat.

Podpora VPN
Jak vyplývá již z názvu, podpora virtuálních privátních sítí je u tohoto
produktu klíčovou záležitostí. Začněme od klientů, kde může administrátor
zvolit dvojí cestu: jednou je využití standardních protokolů a volba některého
klientských OS (bez potíží použijete Windows či Linux), druhou pak implementace
nativních klientů téhož výrobce, jež zajistí rozšířenou funkcionalitu a
naprostou kompatibilitu. Šifrovaná komunikace pomocí protokolu IPSec je
samozřejmě podporována jak v tunelovacím módu za účelem propojení dvou sítí,
tak v režimu pro "příjem" vzdálených klientů, a nedílnou součástí je možnost
využití certifikátů pro autentizaci sestavovaných relací. Právě možnost využití
certifikátů vám otevírá široké možnosti pro integraci se stávající PKI
infrastrukturou. Z použitých šifrovacích algoritmů bychom rádi upozornili na
dostupnost AES, což jistě zanedlouho bude stále rozšířenější standard,
poskytující oproti zavedeným postupům (typicky 3DES) některé výhody.

Antivirová kontrola
Především u "menších" modelů, v nichž je software Check Point nainstalován
(například appliances se značkou SofaWare), každý správce jistě ocení možnost
integrace se systémem antivirové kontroly. Pomocí této funkce máte možnost
velmi prostým způsobem zajistit kontrolu např. poštovní komunikace v rámci
existující infrastruktury, neboť firewall je schopen se dotazovat na příslušném
serveru a žádat kontrolu inkriminovaných souborů. Tuto vymoženost jistě oceníte
opět především v případě větších implementací, kdy zajistíte ochranu všech
satelitních sítí, resp. poboček či vzdálených klientů.

Správa klientů
Jedním z nezbytných konfiguračních kroků je jistě definování uživatelů a
skupin, a v této fázi nás velmi zaujala možnost komunikace s existujícími LDAP
databázemi. Pokud disponujete infrastrukturou Active Directory ve Windows
2000/2003, je k dispozici poměrně přímá cesta, jak využít definované skupiny a
jejich členy, a navíc můžete využít také existující certifikáty pro VPN provoz.
Na druhou stranu, LDAP standard nabízí dostatek prostoru k tomu, aby jako zdroj
posloužila jiná zdrojová struktura na odlišném operačním systému.

Závěr
Zásadní výhodou řešení z dílny Check Pointu je především nesmírná všestrannost.
Vyřešeny jsou prakticky všechny hlavní funkce, jež může správce od takovéhoto
softwaru očekávat, a jako klíčovou lze jistě označit podporu VPN a integraci s
databázemi klientů pomocí LDAP. Management rozsáhlého prostředí prostřednictvím
politik patří určitě mezi špičku ve své kategorii. Důležitým aspektem však
zůstává cena zájemce si musí opravdu dobře spočítat, zda se mu investice do
takto všestranného, a tedy i nákladnějšího řešení opravdu vyplatí. Cílovým
zákazníkem bude ideálně větší firma s řadou poboček a "domácích" pracovníků.

Kerio WinRoute Firewall 5
K technologiím Kerio se asi většina administrátorů v minulosti dostala
prostřednictvím řešení WinRoute, jež velmi dobře sloužilo (a stále slouží) k
připojení menší sítě do internetu a nabízí dobrou funkcionalitu. Přestože tato
aplikace odvádí svou práci výborně, výrobce velmi správně pochopil, že zůstat
na této úrovni by možná znamenalo zůstat na půli cesty, a proto na sklonku
letošního února představil první finální verzi produktu, o němž budu dále
mluvit. Již z data uvolnění je zřejmé, že aplikace je stále bouřlivě vyvíjena a
vylepšována.

Antivirová kontrola
První věcí, jež nás velmi potěšila, je plná integrace antivirové kontroly při
průchodu veškerých datových toků. Ta je zajišťována na dvou možných úrovních:
buďto je pomocí plug-inů (jakýchsi "konektorů") inspekce prováděna na základě
kooperace se samostatným antivirovým programem, jenž je umístěn jinde v síti,
nebo můžete využít variantu firewallu s plně integrovaným řešením společnosti
McAfee. Výhody druhé možnosti jsou nasnadě vše lze spravovat z jedné konzole a
instalovat najednou.
Správa uživatelů
Protože produkt samozřejmě zahrnuje funkcionalitu proxy serveru
(zprostředkovává klientům lokální sítě internetové služby), je nezbytností
ověřování totožnosti uživatelů. Byli jsme spokojeni s tím, že v existující
infrastruktuře Windows 2000 Serverů se službou Active Directory nemusíme
vytvářet účty znovu a ručně, ale můžeme je přímo z existující databáze
naimportovat. Maximální míru zabezpečení vám poskytne podpora protokolu
Kerberos 5, nicméně pro starší verze doménových prostředí (typicky Windows NT
4.0) je pochopitelně připraven protokol NTLM.

Proxy server
Zůstanete-li ještě u proxy serveru, pro úplnost dodáme, že nebudete mít potíže
ani s další nezbytnou funkcionalitou. DHCP server podporuje zcela libovolný,
vám zadaný síťový rozsah, který jasně vymezíte maskou podsítě, a stejně snadno
můžete definovat výjimky (adresy napevno) a rezervace na základě MAC adresy.
Pomocí DHCP také jednoduše rozdělíte nastavení defaultní brány, služeb DNS a
WINS a také doménu. Důležitou službou z hlediska výkonu je na proxy serveru
rovněž cache, tedy mezipaměť pro přenášená data (typicky http objekty). I zde
nám připadají možnosti dostačující: odkládaná data si nasměrujete, kam chcete,
přesně lze specifikovat TTL (dobu životnosti v cache) a také míru využití
diskového prostoru a operační paměti. Příjemné jsou i "drobnosti" jako
volitelné akceptování TTL z konkrétních souborů cachování údajů o přesměrování
stránek. Tím však možnosti nekončí velmi nás potěšila vymoženost definovat TTL
dle URL adresy, čímž lze zajistit, že uživatelé budou mít např. vždy čerstvou
variantu zpravodajských stránek.

Firewall
Pojďme k firewallu, kde se veškerá administrace odehrává na úrovni tzv.
pravidel. Příjemné je, že rovnou po instalaci jste vybaveni základní sadou,
díky níž "rozběháte" minimálně 50 % potřebného provozu. Líbilo se nám, že v
uplatňování nastavených pravidel platí zažitý systém: začíná se shora, jakmile
firewall najde vyhovující podmínku, provede akci, a na posledním místě je
defaultní odmítnutí všeho. Poslední instanci lze vypnout (což je užitečné např.
na doladění základní konektivity) a v případě, že oddělujete např. dvě lokální
či naopak veřejné sítě, se jednoduše také zbavíte NATu opět prostou deaktivací
příslušného pravidla. Mimochodem, právě překlad adres lze velmi detailně
konfigurovat. Pokud své požadavky zpřesníte, samozřejmě lze tvořit pravidla
vlastní, přičemž máte naprosto volné ruce: lze využít omezení časové, přesnou
definici dle protokolů a členství v příslušných uživatelských skupinách.

Kontrola obsahu
Další úrovní kontroly komunikace je inspekce obsahu, dostupná pro WWW a FTP
obsah, a i zde budete spokojeni, neboť možností je celá řada. Inkriminované
zdroje lze pořádat do skupin a poté hromadně přidělovat, přičemž potěšující je,
že pravidlo může být definováno jak pro ověřené, tak obecně pro všechny
uživatele. Následovat mohou typické akce propuštění či zahození, ale také
dodatečné přihlášení uživatelů, kteří nebyli identifikováni. Nechcete-li se
zdržovat se seznamy URL a jejich obsahem, využijte integrovaný systém Cobion a
jeho bohatou databázi.

VPN
Při použití ve firemním prostředí je klíčová podpora virtuálních privátních
sítí. V tomto ohledu je popisované řešení určitě zklamáním. Výrobcem je
příslušná funkcionalita propagována dosti mlhavě a bližší ohledání prokázalo,
že podpora VPN se v podstatě omezuje na možnost kontroly propouštění
příslušných protokolů skrz firewall, přesněji řečeno žádné další možnosti jsem
v dokumentaci ani v administrátorské konzoli neodhalil. Ačkoliv je možno
považovat transparentní propouštění IPSecu za slušnou výhodu, stále je to jen
"odvar" očekávaných možností.

Závěrem
Řešení firmy Kerio je výbornou volbou pro správce malých či středních sítí,
jejichž velikost je do jisté míry předem daná a odhadnutelná. Přestože možnosti
konfigurace zabezpečení jsou velmi široké, absence pokročilejší VPN
funkcionality je značnou nevýhodou. Na druhou stranu je velmi pozitivním
argumentem zajímavá cena tohoto řešení. Mezi velmi dobrými vlastnostmi bychom
rádi ještě vyzdvihli kooperaci s antivirovými programy.

MS ISA Server 2000 EE
Jste-li pamětníky MS Proxy Serveru 2.0, jistě se s námi shodnete na tom, že
pořádné firewallové řešení v nabídce této firmy dlouho chybělo. S příchodem ISA
Serveru se situace zásadně zlepšila, neboť jeho možnosti jsou o několik řádů
dále, a jak se ukázalo v praxi, jedná se o dostatečně spolehlivé a robustní
řešení, a to i v nižší verzi Standard Edition.

Na první pohled
Pokud jste s ISA Serverem dosud nepracovali, buďte při prvním osahávání
opatrní. Protože se přece jen nejedná o textový editor, není logika jeho
používání tak přímočará a příliš zbrklým postupem si můžete způsobit značné
potíže. Filozofie produktu je pojata následovně: využijte defaultní nastavení a
jen pozvolna přidávejte věci, kterým rozumíte. Pokud toto nedodržíte, můžete se
dostat do nebezpečné spleti, z níž se jen těžko hledá cesta.
Zásadní pro správné fungování je si uvědomit, jaké typy klientů ve vnitřní síti
ISA Server rozpoznává. Buďto je to tzv. firewall klient (ten je realizován
speciální klientskou aplikací na každém počítači), dále je to web proxy klient
(realizovaný prohlížečem, který je schopen předat ověřovací informaci), anebo
do třetice Secure NAT klient, což je obecně jakýkoliv systém, jehož defaultní
brána směruje na ISA Server. S těmito typy (které je možno pochopitelně
kombinovat) pak souvisejí různé možnosti.
Další klíčovou vlastností, kterou je třeba vést v patrnosti, je chápání
síťových rozhraní ISA Server předpokládá, že každá z připojených sítí bude mít
vlastní adresovací rozsah a mezi nimi bude probíhat překlad adres (NAT), čímž
je zajištěna určitá minimální míra zabezpečení. Tato koncepce vám možná
zpočátku bude připadat trošku složitá (obzvláště při návrhu s demilitarizovanou
zónou), avšak to se časem poddá.

Proxy server
Služba proxy serveru zajišťuje pochopitelně především vyřizování dotazů klientů
z vnitřní sítě, ale může hrát roli i ve směru opačném, při tzv. bezpečném
publikování, k čemuž se ještě dostaneme. Velmi slušně je vyřešena funkcionalita
cachování, jejíchž parametry lze poměrně detailně nastavit. Lze tak říci, jaká
bude životnost objektů, na který disk budou data odkládána a jak bude využívána
operační paměť. Dosti přesně lze také říci, podle čeho a jak bude TTL určen, a
to v různých situacích.
Význačnou vlastností nejen proxy služby je to, že jednotlivá pravidla je
potřeba definovat postupně, pomocí tzv. elementů. Ty posléze budou tvořit
jakousi mozaiku, jež ve výsledku zajistí potřebné omezení, a to jak na úrovni
protokolové (kontrolujete http, FTP atd.), tak obsahové (inspekce volaných
URL). Pokud potřebujete využít ověřování lokálních klientů, je nutno sáhnout do
konfigurace tzv. listeneru ("naslouchače"), což je vlastně vnitřní komunikační
rozhraní proxy služby, a zde zvolit metody autentizace samozřejmostí je co
nejtěsnější sepětí s možnostmi Windows. Pozor však na jeden fakt: neumí-li
klient předat autentizační informace (např. prostřednictvím dialogu v
prohlížeči, začne být konfigurace komplikovaná.

Reporty
Na ISA Serveru jsou k dispozici velmi dobré možnosti sledování činnosti.
Podrobně lze monitorovat chování všech služeb (především firewallu a proxy
serveru), a pokud důsledně využijete např. autentizaci klientů vnitřní sítě,
lze získat velmi hodnotné údaje o datových tocích. Samozřejmostí je logování
operací firewallu, a to v některém ze zvolených formátů v závislosti na
metodice příštího zpracování. Velkou výhodou je, že nativní údaje ISA Serveru
lze interpretovat do podoby přehledných webových dokumentů se zajímavými
statistikami. Na druhou stranu je nevýhodou, že tato práce není moc intuitivní.
Bez zaškolení si nejdříve dost "vyhrajete", než odhalíte správnou souslednost
kroků, jež povedou k lákavému reportu v podobě koláčových grafů.

Firewall
Pokud po ISA Serveru vyžadujete propuštění komunikace z vnějšího prostředí
dovnitř, dostanete se opět do situace, kdy vám příliš nepomůže intuice.
Přestože možnosti jsou poměrně široké, je potřeba je znát předem a zvolit tu
správnou, což není pro začínajícího správce snadné. Nastavení také souvisí s
návrhem IP adresace, takže pokud začnete ze špatného konce, můžete si vše hodně
zkomplikovat.
K prostému zviditelnění webového serveru je k dispozici funkce Web publishing,
jež v podstatě pracuje jako "proxy server naopak", tedy vzdálenému uživateli
sama předkládá stránky ze serveru, který je ukryt v lokální síti. Výhodou je,
že zde také můžete použít cachování. Pro jiné protokoly je potřeba sáhnout ke
službě Server publishing, jež dovoluje vybrat ze širší zásoby protokolových
definic. V obou případech stále není nutné sahat do nejniternějších nastavení
paketových filtrů tato potřeba vyvstane ve chvíli, kdy jeden váš počítač hostí
tři síťové karty, z nichž jedna vede do DMZ (demilitarizovaná zóna). Protože
ISA Server zná jen síť vnitřní a vnější a nic mezi tím, je nutné nastavit DMZ
také jako vnější a zprovoznit mezi dvěma síťovými kartami směrování s detailně
specifikovanými paketovými filtry.

Závěrem
ISA Server je řešení s velkým potenciálem především pro rostoucí firmy, jejichž
nároky na bezpečnost a zároveň výkonnost síťového připojení pravděpodobně
značně porostou. Ačkoliv je k dispozici široká funkcionalita, domníváme se, že
řadě správců může činit správa alespoň zpočátku potíže, neboť některé koncepce
nejsou na první pohled snadno pochopitelné. Jasnou výhodou je orientace na
masivní sdílení webové cache či bezpečné publikování serverů, jako trošku
zkostnatělé bychom hodnotili nárazové funkce typu IDS či absenci přímé
antivirové kontroly.

Symantec Enterprise Firewall/VPN 7
V současné době není pochyb, že společnost Symantec představuje zásadního
dodavatele bezpečnostních technologií. Není žádným tajemstvím, že toho dosáhla
promyšlenou akviziční politikou a integrací do vlastní produktové nabídky, a to
je případ i tohoto produktu. Řešení, jež se dříve jmenovalo Raptor, je dnes
dodáváno jak v ryze softwarové podobě (např. pro Windows), tak jako součást
hardwarových appliances, jimž slouží jako spolehlivý "motor".

Ovládací rozhraní
Jste-li zvyklí na rutinní práci s platformou Windows 2000 (resp. 2003/XP)
prostřednictvím administrátorské konzole MMC, bude se vám s tímto softwarem
(podobně jako s ISA Serverem) zacházet velmi dobře. Hierarchické uspořádání
funkcí v levé části okna v podobě stromu a detailní náhledy či výčty v pravé
části poskytují dostatečně přehledné rozhraní, a zkušenější z vás jistě rychle
docení možnosti kontextového menu. Pro úplnost ještě uvedu, že "kořenem"
konzole není samotná aplikace (v tomto případě firewall), ale Symantec
Enterprise Management pokud využíváte další systémy tohoto dodavatele, vše
můžete snadno a přehledně ovládat z jediného místa.

VPN
Správa virtuálních privátních sítí je jistě jednou z nejsilnějších stránek
tohoto řešení. Samozřejmostí je využívání technologie IPSec, tedy šifrovaných
tunelů, jež jsou zabezpečeny na síťové vrstvě, a nepříliš zkušení správci ocení
možnost nastavení pomocí dobře navržených wizardů. IPSec lze nasadit jak v módu
tunelovacím (tedy firewall bude sloužit jako brána, zapouzdřující veškerou
komunikaci např. mezi pobočkami), tak v módu transportním pro datový tok mezi
jednotlivými klienty. Rovněž v případě potřeby "protunelovat" zabezpečenou
komunikaci skrz nastavený proxy server, jenž provádí překlad adres (NAT),
nenarazíte na problém, neboť jednoduchým nastavením lze komunikaci na patřičnou
proxy službu nasměrovat. Vlastní definování VPN je prováděno prostřednictvím
politik a k dispozici máte širokou škálu nastavení, takže nebudete mít problém
vše sladit se systémem na druhém konci tunelu či s různými klienty.
V souvislosti s VPN zmíníme ještě další vlastnost, která nás zaujala, a to
definování síťových nastavení pro vzdálené klienty, kteří budou používat server
s tímto softwarem jako vzdálenou VPN bránu. Součástí definice uživatelské
skupiny je také detailní konfigurace parametrů, jako jsou primární a sekundární
DNS a WINS servery či adresa doménového řadiče. Nechybí výběr způsobů
autentizace uživatele a možnost omezení současně připojených VPN tunelů.

Proxy Server
Tato část produktu, respektive funkcionalita zajišťující klientům vnitřní sítě
bezpečný a dobře sledovatelný přístup k vnějším zdrojům, je zpracována opravdu
dobře. Koncepčně je vše navrženo velmi přehledně o jednotlivé typy komunikace
se stará příslušná komponenta, jistě ne náhodou označovaná jako daemon, a
jejich příslušným nastavením dostane správce vše pod kontrolu. K dispozici je
tedy například služba HTTPD, FTPD či TELNETD, ale také DNSD či PINGD. Z názvů
je patrné (zdaleka to nejsou všechny), že relativně snadno a rychle může
správce zpřístupnit řadu služeb, aniž by musel sahat k detailnímu nastavení
paketových filtrů na firewallu. Za zmínku ještě stojí, že zde také najdete
jakéhosi "generálního daemona", kterého lze využít k propouštění ostatního
provozu, pro který není přímo výrobcem definována odpovídající proxy služba.

Kontrola obsahu
Produkty Symantecu jsou mimo jiné známy tím, že nabízejí i velmi slušnou
kontrolu obsahu u některých služeb, přičemž důraz je kladen především na webové
stránky na například diskusní skupiny (newsgroups). Přestože především v
případě služby WWW máte k ruce opět velmi dobrý potenciál pro odfiltrování
potenciálně nežádoucího obsahu, překvapilo nás, že výrobce neuznal za vhodné
připravit několik defaultních politik, jež by jistě zastaly dost práce. U
diskusních skupin je to o něco lepší, neboť zde najdete řadu přednastavených
pravidel.

Sledování činnosti
I tato funkcionalita, bez níž si práci s firewallem či proxy serverem těžko
dovedeme představit, je zpracována velmi slušně a hlavně poměrně přehledně. K
dispozici je tradiční logování, v němž jsou události opatřeny jednoznačnými
příznaky dle závažnosti a také popisem charakteru (vše připomíná běžný Event
Viewer ve Windows), a dále řada graficky lépe vyvedených reportů s různými
parametry nastavení služeb. Nemile nás ale překvapilo, že právě tuto druhou
skupinu dokumentů s cennými informacemi se nám nedařilo jednoduše uložit.

Firewall
Konfigurace firewallových pravidel je u tohoto řešení stejně bezproblémová jako
realizace ostatních nastavení. Výrazně vám pomůže velmi široká škála předem
připravených protokolových definic, na jejichž základě si můžete vybírat,
případně samozřejmě definovat vlastní. Ocenili jsme především fakt, že i
správce bez nijak výjimečných znalostí tohoto systému může rychle pochopit, jak
jsou pravidla "postavena" a kde je potřeba definovat základní stavební kameny.
Tedy opět přehledné a jasné.

Závěrem
Softwarová výbava od Symantecu představuje velmi všestranné řešení pro
prakticky všechny typy zařízení a implementací, od nejmenších po velmi
rozsáhlé. Opravdu dobře je zpracováno ovládání a koncepce celého produktu je
nesmírně intuitivní, takže práce s ním je logická a přehledná. Troufáme si
tvrdit, že se s tímto softwarem bude dobře pracovat začínajícímu správci i
"profíkovi". Klíčová je samozřejmě pro firemní účely podpora VPN a integrace se
správou ostatních řešení od Symantecu.

Malá hardwarová volba
V úvodu na straně 13 jsme poukázali na to, že zabezpečení je úkolem pro každého
uživatele, byť by disponoval jediným počítačem s širokopásmovým připojením k
internetu. Zde bychom rádi zpřesnili, koho vlastně považujeme za cílovou
uživatelskou skupinu v případě zařízení, o němž budeme hovořit. Tradičně bývá
tato kategorie označována zkratkou SOHO (small office, home office), která je
poměrně výstižná řešení, s nimiž vás hodláme obeznámit, jsou určena domácím
uživatelům, kteří disponují jediným počítačem či malou sítí (do cca 5 strojů),
a dále malým kancelářím, firmám či pobočkám, jejichž síťové prostředí zahrnuje
typicky kolem 20 i více PC.
Rozhraní a připojení
Dle letmého pohledu do základních popisů rychle zjistíte, že magickým číslem je
zde čtyřka: převážná většina zařízení disponuje 4 porty LAN pro připojení
počítačů ve vnitřní síti a jedním portem, jenž bývá označován jako WAN pomocí
tohoto rozhraní (a kabelového či DSL modemu) je realizováno připojení k
internetu. Přesto se našlo i několik odlišných konfigurací, jež zahrnovaly
např. paralelní port pro síťovou tiskárnu či COM/RS232 sériové rozhraní pro
záložní dial-up linku. Porty LAN i WAN bývají osazeny výhradně konektory RJ-45
pro kabeláž UTP kategorie 5 a disponují rychlostí 100 Mb/s.
Běžná domácí síť
V této kategorii najdete řešení, jež se vyznačují především cenovou
dostupností. Protože se předpokládá, že cílový uživatel není nijak mimořádně
obeznámen se síťovou problematikou, bývají možnosti konfigurace omezeny na
zpřístupnění základních služeb. Firewall bývá realizován formou základních
pravidel, jež jsou spojována se zavedenými službami, a systém IDS často není
využíván. V případě, že u neznalých uživatelů bez možnosti detailní správy na
místě vyžadujete konkrétní, komplikované nastavení bezpečnostní politiky, vřele
doporučujeme sáhnout po modelu centrální správy a distribuce nastavení na
cílová zařízení (viz níže odstavec Pod stálým dohledem).
Mezi typické zástupce této třídy v našem přehledu patří např. 3Com Office
Connect, jež při zachování velmi nízkých nákladů nabízí dostatečnou
funkcionalitu a nekomplikované nastavení. Velmi přehledným nastavením rovněž
disponuje Edimax Broadband Router BR-6104, který je navíc dodáván s velmi
slušným tištěným manuálem.
Domácí firma/malá kancelář
Do této pokročilejší kategorie je možno zařadit zařízení, jejichž funkcionalita
je v některém směru zásadně rozšířena, například o detailní konfiguraci
firewallu, základní podporu VPN či např. připojení záložní linky. Uvedené
produkty dobře poslouží náročnějším domácím uživatelům či kancelářím, jejichž
požadavky obsahují některé pokročilejší prvky. V našem přehledu jsou jimi např.
výborný DrayTek Vigor 2200E s podporou VPN a kvalitním monitorováním nebo U. S.
Robotics 8000A s tiskovým serverem pro síťovou tiskárnu a sériovým portem pro
dial-up záložní linku.
Pobočka firmy
Pro zajištění funkcionality tohoto typu je klíčovou vlastností podpora tunelů
VPN s tím, že hovoříme o schopnosti firewallu toto spojení inicializovat či
přijímat ve funkci koncového bodu (nejde nám tedy o průchod skrz). V přehledu
jsou zařazeny produkty, jež nabízejí v tomto ohledu řadu možností. Běžným
standardem bývá využití protokolu PPTP, a v lepším případě je k dispozici
šifrování na bázi IPSecu. Opravdu dobře vybavené produkty umožňují v posledně
jmenovaném případě nejen využít ručně nastavený klíč (preshared key), ale také
pracovat s certifikáty, takže integrace s PKI je reálně možná. V tomto ohledu
patří bezesporu mezi nejvydařenější zařízení DrayTek Vigor 2300 s podporou
mnoha desítek souběžných VPN tunelů a jinak bohatými funkcemi, dále Planet
VRT-401 s výbornými možnostmi pro správu certifikátů, jichž se při tvorbě VPN
na bázi IPSecu užívá, či D-Link DI-804V s rozšířenou VPN podporou a záložním
sériovým portem pro dial-up linku. Jako zajímavost bych zde zmínil zařízení
Edimax Broadband Router Multi-homing BR-6541, jež disponuje na rozdíl od všech
vrstevníků 4 rozhraními typu WAN a nabízí podrobné nastavení politik, jež
určují, jak bude využití stálých či záložních linek optimalizováno.
Na závěr této kategorie jsme si ponechali zmínku o zařízeních typu appliance z
dílny Symantecu. Pro firmy či pobočky do cca 30 uživatelů jsou určeny modely s
označením 100, 200 a 200R, jež integrují firewallové řešení spolu s
funkcionalitou VPN. Nejvyšší varianta 200R již poskytuje VPN podporu i mobilním
uživatelům (nejen spojení typu brána-brána), ovšem svou cenou se už vymyká zde
zařazeným produktům.
Pod stálým dohledem
Na tomto místě jsme se rozhodli zmínit zařízení, jež podporují práci s
centrálně sestavenými bezpečnostními politikami. Jejich hlavní výhodou je v
podstatě univerzální nasazení, neboť erudovaný správce může definovat pravidla
pro nejrůznější použití a koncový uživatel na pobočce či v domácí kanceláří
prakticky detailní konfiguraci neřeší. Velmi dobrým příkladem je produktová
řada společnosti SofaWare, do níž náleží Safe@Home, Safe@Home Pro a
Safe@Office. V zařízení je implementován firewall firmy Check Point a vše
příkladně spolupracuje s centrálním serverem, jenž distribuuje jednotlivé
politiky. Tato vymoženost nijak nevylučuje přechod do režimu detailní lokální
správy.
Z oblasti softwarových řešení je dobrým příkladem tohoto přístupu aplikace
Symantec Client Security, jež pracuje v podstatě na stejném principu, ovšem ve
funkci ochránce lokální stanice.
Na hranici
V našem přehledu naleznete rovněž několik řešení, jež se nacházejí díky svým
parametrům na samé hranici SOHO kategorie. Zařazeny byly právě z důvodu
snazšího vymezení zájmové skupiny, neboť na jejich příkladu je dobře patrné,
kdy nastává potřeba takto sofistikovaných řešení a tomu odpovídajícího
personálu, neboť zde je již jistá erudice vyžadována.
Jedním z příkladů je firewall RoBox, dodávaný v tuzemsku společností Infima.
Jedná se o appliance, jehož softwarovou část tvoří (jinak běžně samostatně
prodávaný) kvalitní firewall GnatBox. Parametrem, v němž bezesporu toto řešení
přesahuje hranice námi použité kategorie SOHO, je celková propustnost RoBox
zvládne až 30 000 souběžných spojení, a takovýto provoz se vám podaří
vygenerovat při současné práci mnoha desítek uživatelů na silné lince (jistě
přes 1 Mb/s). Samotná konektivita pochopitelně nemusí být míněna pouze směrem
do internetu, neboť zařízení lze využít pro bezpečné oddělení lokálních sítí,
kde rychlost 10 Mb/s není ničím překvapivým.
Dalším příkladem budiž appliance z dílny Nokie, u níž jsme zvyklí především na
mobilní telefony. Produkt IP120 v sobě v podobě přiměřeně malé krabičky
integruje velmi výkonné řešení pro zabezpečení sítě zařízení obsahuje špičkový
softwarový pohon od Check Pointu v podobě zaručeného Firewallu-1 a podpory
privátní sítí VPN-1, a je rovněž dobrou ukázkou toho, že náročná řešení si
žádají patřičné odborníky. S konfigurací si jistě lépe poradí správci zvyklí na
kouzla unixových konfiguračních souborů než uživatelé Windows. Z dalších
vymožeností zmíním podporu řady routovacích protokolů, široké možnosti správy a
implementaci protokolu IP ve verzi 6.
Do třetice bych rád zmínil zástupce z dílny světového lídra, a to firewall
Cisco PIX 501. Tento produkt se z kategorie SOHO bezesporu vymyká širokou
nabídkou funkcí, přičemž ke konfiguraci některých z nich je lepší sáhnout do
terminálové relace. Na druhou stranu, produkt disponuje opravdu velmi dobrým
grafickým uživatelským rozhraním, takže do příkazové řádky v zásadě nemusíte a
v prohlížeči nastavíte poměrně detailně řadu důležitých funkcí včetně volby
sledovaných vzorů IDS, kterých je k dispozici pěkná řádka.

Slovníček
Appliance
Všeobecné označení pro zařízení typu "černá skřínka", jež obsahuje integrovaný
hardware i software do podoby dedikovaného systému. Ovládání a konfigurace se
provádějí po síti prostřednictvím webového rozhraní, pomocí sériového
(konzolového) kabelu přes terminálovou relaci či prostřednictvím
specializovaného softwaru z libovolného PC v síti.
DHCP
Jedna ze základních síťových služeb, sloužící k automatickému přidělování IP
neboli síťových adres a dalších parametrů. Je-li tato služba v síti spuštěna,
každý nově spuštěný počítač, nastavený pro automatickou konfiguraci TCP/IP,
získá po síti potřebné parametry. Jedná se o možnost, jak značně zjednodušit
správu počítačů v domácí či firemní síti. Všechna zařízení, o nichž se zde
dočtete, tuto službu podporují.
DMZ
Demilitarizovaná zóna část počítačové sítě, která je důsledně oddělena jak od
internetu, tak od ostatních uživatelů ve vnitřní, chráněné síti. Typicky slouží
k umístění počítačů, jejichž služby (např. webový nebo poštovní server) mají
být bezpečně dostupné z vnitřní sítě a zároveň volně viditelné z internetu.
IDS
Intrusion Detection System neboli systém pro zaznamenání průniku je komplexní
služba zajišťující sledování různých pokusů o útok z internetu do chráněné,
vnitřní sítě. Jedná se obecně o kolekci různě složitých postupů, jež na základě
výskytu předem definovaných, dobře známých událostí dokáží "inteligentně"
rozpoznat nekalé aktivity vůči vaší síti. Součástí také často bývají postupy
pro varování správce (odesílání e-mailu atd.), jako též podrobné zápisy do
záznamových souborů událostí (tzv. logů).
IPSec
Jedna z podpůrných šifrovacích technologií pro sestavení spojení typu VPN. Je
alternativou k využití PPTP a v současnosti se již těší poměrně široké podpoře.
MAC adresa
Hardwarová adresa jednoznačně identifikující každou síťovou kartu v počítači či
jakékoliv síťové rozhraní na zařízeních, jako jsou směrovače (routery) či
firewally. Je trvale "vypálena" do hardwarových součástí a je světově
jedinečná, neboť výrobci je důsledně rozdělují dle stanovených pravidel.
Využívá se při komunikaci na nejnižší síťové úrovni, např. na lokální síti
pomocí nejrozšířenější technologie Ethernet. Pozor, neplést se síťovou neboli
IP adresou!
NAT
Technologie překladu síťových neboli IP adres. Jedná se o nezbytný postup, jak
pomocí jedné či několika málo veřejných, z internetu dostupných adres
zviditelnit celou lokální, vnitřní síť za routerem či firewallem. Výsledkem je
jednak možnost pomocí jediné adresy připojit velké množství počítačů, jednak
vnitřní síť ukrýt "za NAT". Ačkoli není technologie NATu jednoduchá na
implementaci, veškerá uváděná zařízení ji alespoň v základní podobě podporují.
PPTP
Jedna z technologií umožňující šifrovaný přenos dat po sítích, sloužící k
budování tzv. VPN, tedy virtuálních privátních sítí. Vyznačuje se všeobecně
velkým rozšířením podporují ji jak běžné operační systémy (Windows, Linux a
další), tak i řada dalších zařízení (mnohé ze zde popisovaných). V tuzemsku
slouží jako primární metoda pro připojení a využití služeb pomocí technologie
ADSL, a proto je nutná schopnost jejího uplatnění na WAN rozhraní. Většina zde
popisovaných zařízení dokáže PPTP připojení vyvolat.
UTP
V současné době nejrozšířenější typ kabeláže pro lokální sítě v domácnostech či
firmách. Unshielded Twisted Pair neboli nestíněný kroucený pár (dvoulinka) je
poměrně levný a využívá se rovněž pro domácí telefonní rozvody. Pro potřeby
telefonu a analogových modemů je použit konektor RJ-11, pro počítačové sítě pak
o něco větší konektor označovaný jako RJ-45. Právě druhý uvedený je standardním
konektorem pro připojení veškeré kabeláže k zařízením, o nichž je v tomto
přehledu řeč.
VPN
Způsob komunikace po síti, jenž zajišťuje utajení dat a sestavení vyhrazeného
spojení. Virtual Private Network neboli virtuální privátní síť pracuje na
principu hypotetického tunelu všechna vaše data jsou sice ve skutečnosti dále
"rozsekána" na části, ale jsou šifrována a označena tak, aby je nikdo nemohl
číst a pozměnit, takže z pohledu uživatele se jedná jakoby o sestavení tunelu.
Technologie VPN je často využívána a například pro nasazení ADSL v tuzemsku
přímo nutná.
WAN
Rozlehlá síť neboli Wide Area Network. V přeneseném smyslu slova se tímto
pojmem označuje síťové rozhraní, jež slouží pro připojení k internetu neboli do
vnější (též externí) sítě, resp. směrem k vašemu ISP.