Firewall nevšedních možností - Kerio WinRoute Firewall 6.1.1 malý, ale

1. 9. 2005

Sdílet

Společnost Kerio Technologies jistě není potřeba zkušenějším uživatelům čiadministrátorům představovat. Pokud sledujete dění v oblasti bezpečnostního softwaru podrobněji, jistě v...
Společnost Kerio Technologies jistě není potřeba zkušenějším uživatelům či
administrátorům představovat. Pokud sledujete dění v oblasti bezpečnostního
softwaru podrobněji, jistě vám neuniklo, že plzeňská softwarová ofenzíva nejen
stále pokračuje, ale pozvolna a plíživě nabírá na síle. Jednak se rozšířila
nabídka jednotlivých produktů, ale rovněž jsou průběžně uváděny jejich nové a
vylepšené verze. V tomto článečku se zastavíme nad právě uvedeným mírným
evolučním počinem v podobě nejaktuálnějšího firewallu řeč je tedy o aplikaci,
jež firmu v podstatě proslavila.
Hned na počátku je potřeba uvést, že verze 6.1 (přesněji jsme testovali
variantu 6.1.1) opravdu není na rozdíl od "šestky" nějakým zásadně novým
produktem. Za zmínku však stojí v podstatně všechny novinky, jež byly zařazeny,
a to přesto, že jich mnoho nebylo. Jejich hodnota je však značná, proto o nich
ztratíme pár slov.
Na prvním místě jednoznačně oceňujeme dotaženou spolupráci firewallu s
doménovými strukturami typu Active Directory, jejichž pomocí zajišťují servery
firmy Microsoft správu síťového prostředí. Tvůrci definitivně dospěli k
transparentnímu řešení, kdy existující účty v doméně Windows (tedy v databázi
Active Directory) jsou prostřednictvím otevřeného protokolu Kerberos k
dispozici pro přímé ověřování na firewallu. Aby to bylo správně pochopeno: není
nutné předem provádět jakési importy či mapování mezi lokálním firewallovým
účtem a jeho doménovým protějškem, neboť propojení je "živé" a vše je viditelné
napříč sítí. Praktické důsledky jsou zřejmé kromě toho, že odpadá zbytečná
administrace či tvorba duplicitních položek, je pohodlně možné striktně vynutit
ověření uživatele oproti existujícím strukturám. Pro ujasnění dodejme, že toto
transparentní chování samozřejmě funguje i s obdobně mapovanými skupinami, tedy
nikoliv jen s jednotlivými účty. A aby toho nebylo málo, autoři produktu
nezůstali u ověřování v jediné doméně, ale dovolují definovat hned několik
doménových struktur pro případ, že by byla chráněna složitější síť. Na druhou
stranu netvrdíme, že není co vylepšovat, takže jeden tip: v tuto chvíli je
možné určit pro ověřování jediný konkrétní doménový řadič příslušné domény, což
je škoda, neboť jich bývá kvůli zástupnosti v síti typicky větší množství.
Pojďme k další funkci, kterou je služba s ambiciózním jménem Clientless
SSL-VPN. Autoři zde dospěli při vývoji řešení VPN do jedné z vyhraněných poloh
jako univerzální klient je použit obyčejný webový prohlížeč podporující SSL,
přístup je chráněn přihlašovacím dialogem s ověřením proti účtu. Výsledkem
tohoto připojení je prozatím přístup ke sdíleným zdrojům, které jsou v interní
síti nabízeny pomocí služby SMB/CIFS (tedy tradičním "sharováním"). Rozhraní,
generované do klientského prohlížeče, je přiměřeně dobře ovladatelné a funkční.
Nenechte se zmást použitím letitého protokolu SSL a základní funkcionalitou:
nasazení SSL v oblasti virtuálního privátního síťování je velmi moderním
trendem a tvůrci z Keria jistě mají již teď za lubem další funkce, jež budou po
tomto "výkopu" následovat. Netřeba dodávat, že použití prohlížeče jako klienta
VPN přináší řadu výhod. Na závěr poznamenejme, že ve všech případech, v nichž
figuruje chráněné spojení SSL, je samozřejmostí import vlastních certifikátů. I
když pro administrátory Windows probíhá import privátního klíče dosti
nekonformním způsobem...
Závěrem nezbývá než dodat, že v tomto případě jde sice o na první pohled malý,
ale přesto velmi důležitý krok vpřed na cestě ke zvyšování užitné hodnoty
celého produktu. Integrace do sítí Windows je zase o něco lepší.5

Kerio WinRoute Firewall 6.1.1
+ přímé ověřování v Active Directory
+ podpora více domén Windows
+ integrovaný antivirus
- pevně zadaný jediný doménový řadič
K recenzi poskytla firma:
Kerio Technologies, s. r. o., http://www.kerio.cz
Cena: 10 300 Kč (bez DPH) pro 10 uživatelů na 1 rok