Šikovný firewall

1. 7. 2005

Sdílet

Na první pohled vypadá NetScreen 5-GT jako další z řady firewallů, určených proSOHO, ale může nabídnout řadu nadstandardních funkcí. Primárně se jedná o stavový firewall s podporou...
Na první pohled vypadá NetScreen 5-GT jako další z řady firewallů, určených pro
SOHO, ale může nabídnout řadu nadstandardních funkcí. Primárně se jedná o
stavový firewall s podporou řízení síťového provozu (traffic shapping) a
kvality služeb (QoS), doplněný o podporu VPN (IPsec, L2TP), ochranu proti
útokům typu DoS a volitelnou možnost AV ochrany a filtrování obsahu.
Balení obsahuje mimo firewallu napájecí zdroj, sériový kabel pro připojení
konzole, dva přímé kabely RJ-45, instalační příručku a CD s manuálem. Samotný
NetScreen 5-GT je modrá krabička o rozměrech 20 x 13 x 3 cm. Na přední straně
nalezneme diody indikující stav zařízení i jednotlivých portů. Vzadu je kromě
konektoru napájení ještě resetovací tlačítko, dvě sériová rozhraní RS-232 a pět
rozhraní RJ-45. Jedno sériové rozhraní slouží pro připojení konzole a druhé pro
modem. Čtyři rozhraní RJ-45 slouží k připojení lokální sítě (ať už přímo
počítačů nebo rozbočovačů či přepínačů ). Rozhraní "Untrusted" je určeno k
připojení k xDSL modemu/kabelovému modemu či jinému širokopásmovému typu
připojení. Existuje i provedení NS-5GT přímo s integrovaným ADSL modemem.
Hardwarovým srdcem NetSreenu 5-GT jsou integrované obvody ASIC, které spolu s
128 MB RAM dodávají firewallu dostatečný výkon. Udávaná propustnost činí 75
Mb/s, propustnost VPN spojení šifrovaného algoritmem 3DES je 20 Mb/s. Firewall
by měl zvládnout (ač k tomu není určen) obsloužit i síť s více než padesáti
koncovými stanicemi. NetScreen 5-GT je možné konfigurovat jednak pomocí
příkazové řádky CLI, dále přes webové grafické rozhraní, případně přes
centrální management NSM. Webové rozhraní lze provozovat jak v nezabezpečené
formě, tak přes šifrované HTTPS, přístup ke správě lze omezit na předem zvolené
adresy. Po přihlášení do grafického menu spatříme souhrnný přehled
nejdůležitějších informací, data o aktuálním vytížení procesoru, paměti, počet
aktuálních sessions, logy a stav síťových rozhraní.
NetScreen 5-GT může pracovat ve dvou základních režimech, označovaných jako
transparentní a routovací. V transparentním režimu se chová jako L2 bridge,
tzn. na úrovni síťové vrstvy není vůbec "vidět". Všechny jeho filtrovací a
bezpečnostní schopnosti jsou samozřejmě zachovány. V routovacím režimu se chová
jako standardní L3 router. Jednotlivá rozhraní mají IP adresy, je možné
používat NAT, PAT a mapování portů. Aby bylo možné mít za firewallem více sítí,
podporuje NetScreen 5-GT jednak statické směrování a dále i dynamické směrovací
protokoly RIPv2, OSPF i BGP.
Ve výchozí konfiguraci je zakázán veškerý provoz ve všech směrech. Pomocí
průvodce (nebo ručně) je nutné generovat sadu pravidel. NetScreen 5-GT
podporuje jednoduché řízení kvality služeb QoS. U každého pravidla lze
specifikovat minimální garantovanou rychlost, maximální přenosovou rychlost a
stupeň priority daného provozu. U pravidel lze zapnout podrobné statistiky
využití, včetně reakcí na překročení stanovených limitů. Poplachové zprávy lze
doručit pomocí e-mailu nebo SMNP. V případě doručování zpráv pomocí e-mailu
však nelze nastavit autentizaci vůči poštovnímu serveru a ani se nepředpokládá,
že by SMTP server běžel na jiném portu než 25. Naproti tomu u nastavení syslog
serveru možnost nastavit konkrétní port nechybí. Co se týče podpory SMNP, jsou
podporovány pouze starší a z bezpečnostního hlediska nevhodné verze 1 a 2c.
Poslední verze 3, která podporuje zprávy, jež mohou být současně šifrované i
autentizované, bohužel není podporována.
Podporovány jsou VPN na bázi IPSec a L2TP a L2TP-over-IPSec. Lze vytvářet jak
VPN typu klient/LAN, tak i LAN/LAN. Správu klíčů je možné realizovat ručně i
automaticky pomocí protokolu IKE. Při použití IKE máme na výběr tzv.
předsdílené klíče a variantu s certifikáty (X.509). Pakety přenášené ve VPN
mohou být šifrovány algoritmy DES (klíč délky 56 bitů), 3-DES (klíč délky 168
bitů) nebo AES (klíč délky 128,192 nebo 256 bitů). Zabezpečení proti modifikaci
nebo poškození dat se děje pomocí hashovacích funkcí MD-5 či SHA-1. Vzhledem k
posledním poznatkům kryptologů o (ne)bezpečnosti MD-5 je rozhodně lepší
používat pouze algoritmus SHA-1.
Instalace firewallu NetScreen 5-GT je jednoduchá a intuitivní. Za pomoci
průvodců lze konfigurovat celé zařízení do provozuschopného stavu během
několika minut. Ačkoliv by se našlo několik drobností, které výsledný dojem
trochu kazí (např. v prohlížečích založených na jádře Gecko jsou některé
grafické prvky vykresleny chybně), jedná se o věci, které by mohly být v příští
verzi firmwaru odstraněny.

Juniper NetScreen 5-GT
K testu zapůjčila firma: VUMS DataCom
Cena vč. DPH: cca 14 000 Kč