Klávesové zkratky na tomto webu - základní­
Přeskočit hlavičku portálu


Dlouhodobý test hardwarového firewallu RoBox - 1. díl: co se vlastně skrývá v té krabičce?

aktualizováno 
Firewally se dostávají do podvědomí uživatelů stále více - internet expanduje a ochrana počítače je nezbytná. Softwarových firewallů jsou desítky ne-li stovky, ale hardwarových? Jeden takový byl podroben testu. Jak si vedl, co lze od něj očekávat a kolik vlastně stojí?
  • 1. díl testu RoBOXu: co se vlastně skrývá v té krabičce?
  • 2. díl testu RoBoXu: zapojení, konfigurace, pro koho se hodí?
  • 3. díl testu RoBoXu: popis nejdůležitějších služeb a funkcí
  • 4. díl testu RoBoxu: jak si vede konkurence?
  • 5. díl testu RoBoXu: Testy, testy, testy
  • 6. díl testu RoBoXu: Jak to tedy vlastně nakonec dopadlo
  • RoBox - firewall pro profesionály

    Když jsem letos v březnu navštívil výstavu LinuxExpo, zahlédl jsem u stánku firmy Rekonix zajímavou nápadně nenápadnou krabičku. Provokativně blikala diodkami a lákala pohledy svým červenobílým logem RoBoX. Nedalo mi to a otázal jsem se na účel této krabičky o rozměrech přibližně tří na sebe položených krabiček na CD. Zvěděl jsem, že se jedná o hardwareový internetový firewall, který nejen malým firmám slibuje velmi solidní ochranu před útoky. Slovo dalo slovo a tento roztomilý kus hardware mi byl zapůjčen k otestování. Rád bych se s vámi nyní podělil o zkušenosti a dojmy z provozování zapůjčeného RoBoxu.

    Co to vlastně je takový RoBox Internet Firewall GB-25?

    Firewall RoBoX je přísně účelové bezpečnostní zařízení. Lze říci, že neobsahuje nic zbytečného, a tedy ani potenciálně zneužitelného. Vlastně ani jméno RoBoXu není jen tak samoúčelné, jedná se totiž o zkratku Remote Office / Branch Office Internet Security. To lze zjednodušeně přeložit asi jako Internetová bezpečnost pro vzdálené pobočky, jinak řečeno firewall s VPN pro zabezpečené propojení sítí mezi firmami. Uvnitř krabičky se skrývá průmyslové PC s Compact Flash kartou, na které je nahrán lehce modifikovaný systémový software GNAT Box ve verzi 3.2.x. (Gnat je označení pro hmyz, přičemž gnat box je jakousi krabičkou na obtížný hmyz, čímž jsou míněni crackeři.) Tento systémový software je v zahraničí velice populární a je k dispozici v softwareové verzi GNAT Box Pro, GB-Flash, GNAT Box Light a demo (poslední dva jsou zdarma), nebo jako specializovaný hardware s příslušným softwarem (RoBoX, GB 1000, …). Pro velké firmy je RoBoX se svým omezením na 25 (resp 10) uživatelů nepoužitelný, proto sáhnou spíše po softwareové verzi, či po větším bratříčkovi GB 1000, které jsou bez omezení počtu uživatelů. Pro pobočky a malé firmy však by toto řešení bylo příliš drahé a zbytečně předimenzované a právě pro ně je určen RoBoX. Ideální konfigurace je "velký" firewall na ústředí a RoBoXy na pobočkách. To je ostatně také jeho velmi časté a předpokládané využití. Správce, či bezpečnostní technik firmy tak pracuje stále s jedním řešením a to je navíc 100% kompatibilní, co víc si může přát? :-) GNAT Box umí samozřejmě vytvářet VPN sítě a protože GNAT Box firewally jsou IPSec kompatibilní, tak mohou teoreticky tvořit VPN (Virtuální Privátní Sítě) s libovolným IPSec kompatibilním firewallem.

    RoBoX má omezení na maximálně 25 uživatelů, tj. IP adres v chráněných sítích, které umožňuje vytvořit dvě, a to fyzicky oddělené. Oproti GNAT Box PRO, či větším HW bratříčkům má poněkud omezený počet filtrů, aliasů apod., ale jinak je prakticky totožný. Navzdory své velikosti toho tedy nabízí prakticky stejně jako oni, navíc je extrémně skladný a na údržbu nenáročný. Je to zdatný firewall, ale pro domácnosti a nejmenší firmy je přeci jen poněkud drahý.

    RoBoX je firewall a jde mu to opravdu dobře

    RoBoX je především firewall, tedy zařízení, které umí rozhodnout který paket smí a který nesmí kam projít. Je nesmírně důležité, aby fungoval ihned po připojení na síť a pokud možno nedovolil obsluze udělat vyloženou bezpečnostní chybu. Klíčovým je zde pravidlo "co není explicitně povolené, to je zakázané", které RoBoX beze zbytku ctí. V takzvaném default nastavení je povolen pouze provoz z chráněné sítě ven a nic není povoleno dovnitř, aniž to bylo vyžádané zevnitř.

    V prostředí webové administrace vypadají outbound filtry (pro pakety jdoucí ven) např. takto:

    V tomto nastavení se nachází při nákupu a je možné jej do něj znovu vrátit provedením úplného resetu. To se obsluze náramně hodí, pokud by došlo například k chybě při konfigurování. Nastavení je možné si uložit na vzdálený počítač a znovu jej do RoBoXu kdykoli nahrát. RoBoX má též funkci pro kontrolu nastavení, která uživatele upozorní, pokud by se dopustil nějaké zjevné chyby. Kompletní výpis, který tato funkce generuje je poměrně dlouhý. Ukázkový fragment můžete vidět zde. Díky této kontrole je poměrně obtížné RoBoX nastavit špatně. Za tuto funkci si zaslouží podrbat na bříšku.

    RoBoX poskytuje základní funkce DNS serveru (primárního) pro své vnitřní sítě. Umožňuje vytvořit dvě vzájemně odstíněné vnitřní sítě, říkejme jim PROTECTED a PSN. Jelikož každá má přidělený vlastní síťový konektor a má přidělenou vlastní adresu sítě, jsou tyto od sebe oddělené opravdu velmi dobře. V default nastavení je z PROTECTED přímo přístupný každý stroj (typicky server) v PSN, ale z PSN se není možné dostat do PROTECTED sítě. Vzájemnou interakci chráněných sítí lze nastavovat prostřednictvím tunelů, a to jak pro jednotlivé adresy, tak pro všechny stroje v sítích, či jen pro vybrané porty. Možné je téměř vše, ale nejbezpečnější je kupodivu zachování nastavení z default nastavení.

    PSN je zkratka pro Private Service Network a říká se jí též demilitarizovaná zóna. Je to chráněná podsíť, kam jsou umístěny servery, které musí být přístupné z venkovní sítě (Internet). Default nastavení je takové, že i kdyby útočník pronikl na server v PSN, tak nijak neohrozí stroje v PROTECTED síti. Díky fyzickému oddělení sítí je tak bezpečnost opravdu velmi robustní (je to jednoznačný klad dvou (a více) chráněných podsítí)

    Správa adresového prostoru vnitřních sítí je plně v režii tzv. NAT služby (Network Address Translation = překládání síťových adres), která ve spolupráci s DNS umožňuje všem strojům uvnitř chráněných sítí bez problémů přistupovat do sítí vnějších, aniž by měly registrované IP adresy (mají libovolné Intranetové adresy). Takže i když firma platí za přístup přes jedinou IP adresu, je přes ní umožněn přístup do Internetu všem strojům uvnitř. Samozřejmě pokud to správce nezakáže, což u RoBoXu není problém. K NATu a všem ostatním letmo zmíněným k funkcím RoBoXu se vrátíme níže, v dalších odstavcích.

    Proč si RoBoX určitě nekoupíte v supermarketu

    Primárním důvodem je cena a politika výrobce. Bohužel pro objasnění této otázky budu potřebovat poměrně dost prostoru. Zajímá-li vás popis RoBoXu a nikoli cenové politiky GTAa přeskočte prosím následující odstavce až k dalšímu nadpisu.

    RoBoX je k dostání ve 2 verzích. RoBoX GB-10 a GB-20, podle softwareového omezení počtu uživatelů. Uživatel = IP adresa stroje ve vnitřních sítích. Z GB-10 je možné za poplatek upgradeovat na GB-25. Pokud zákazník potřebuje více uživatelů, musí se poohlédnout po GB-1000, nebo po softwareové verzi (GB PRO, GB – FLASH), které již počet zákazníků omezený nemají. Jediným jejich limitem pak je maximálně 32 tisíc současných spojení. GTA tak má rafinovaně pokryté celé spektrum zákazníků a má tomu i přizpůsobené ceny.

    Politika omezování počtu uživatelů je na trhu firewallů zcela standardní, jenže tak pro porovnávání cen produktů jednoduše nelze použít pouze nákupní cenu firewallu. Cena se totiž rozpočítává na jednoho uživatele, a to umožňuje výrobcům libovolně snižovat či zvyšovat výhodnost nákupu, pouhým povolením či zákazem dalších uživatelů u svého produktu. Například z předraženého firewallu pro 20 zákazníků lze přidáním dalších 20 učinit nejlevnější stroj v kategorii. Velmi rafinované, ale nijak překvapivé.

    Na konto RoBoXu musím poznamenat asi tolik, že 25 uživatelů je zhruba dvojnásobek počtů, které nabízí konkurence, přesto mi jeho cena (cca 35000,- s DPH za 25 uživatelskou verzi) přijde dosti vysoká a neškodilo by její snížení. Když už jsem to nakousl, tak musím doplnit, že ve srovnání s konkurencí a s přihlédnutím k výbavě není cena za RoBoX nijak přemrštěná. Ale stejně.

    Určitou část peněz je možné ušetřit zakoupením 10 uživatelské verze RoBoXu, a později ji upgradeovat na 25 uživatelů. Případně zakoupit většího bratříčka. Na všech produktech běží srovnatelný software GNAT Box 3.2.x, čili uživatel se ani při koupi výkonnějšího řešení nebude muset přeškolovat. RoBoX nabízí několik služeb, které konkurence často neposkytuje (např. kontrolu nastavení, sériový port, dvě vnitřní sítě, aj). Takovéto funkce pak vnáší do cenové matematiky množství dalších vzrušujících prvků.

    Přesto však jsem dosud neodpověděl úvodní otázku. Dovolte mi poukázat ještě na jeden aspekt: Firewallům s GNAT Box softwarem (SW i HW) patří velice solidní místo na světovém trhu. Ve světě je občas v první trojici, v Čechách však nikoli (prim má FireWall-1, poté Cisco PIX a Gauntlet drive a další). Tomu odpovídá příslušná světová a z ní odvozená česká cena, neboť mnozí zákazníci soudí, že "aby řešení mohlo být dobré, musí být i drahé". I otázal jsem se dovozce, co k tomu může říci.

    Odpovědí mi bylo, že firma GTA preferuje kvalitu, a seriozní zákazníci očekávají za seriozní řešení i seriozní cenu. Jsou země, například podivuhodné Japonsko, kde je kvalita měřena především dle ceny a nízká cena sebelepší řešení výrazně diskriminuje. Nechci nijak komentovat Japonce, ale obávám se, že zákazník v Čechách to vidí jinak:-) Krédo GTA však znamená, že se s GNAT Box řešeními setkáváme především u ověřených distributorů (resellerů), kteří zajistí instalaci i poradu, pokud ji zákazník potřebuje a nikoli v supermarketech.

    No a když to dáme dohromady, tak vyjde asi toto. RoBoX je na první pohled příliš drahý a jeho přednosti lze ocenit teprve při bližším pohledu, a ten zajistí právě odborný prodejce a nikoli brigádník v supermarketu. Tak jako auta chtějí autosalón, kde zákazníkovi správně vysvětlí co vlastně potřebuje a které auto je pro něj to pravé, tak firewall potřebuje odborný personál, který jej správně "prodá". Prodejce navíc zajistí na požádání kompletní instalaci a horkou linku pro své zákazníky.

    Protože je RoBoX je malinký a roztomilý, tak mnoho lidí podlehne omylu, že je dělaný pro Windowsové minisítě, a tedy ho zvládne každý správce i "správce" Windowsové sítě. Není tomu tak. RoBoX je profesionální bezpečnostní řešení určené do TCP/IP sítí a neměl by ho konfigurovat nikdo, kdo do bezpečnosti sítí a do fungování TCP/IP sítí nevidí. Toto je další důvod, proč je prodáván tak jak je. A věřte nebo ne, i přes svou cenu se prý solidně prodává.

    Co se skrývá v černém …

    Ta malá černá krabička, je vlastně samostatný počítač PC s procesorem 486/133MHz (AMD SC 520). Obsahuje 64MB RAM a 16MB Compact Flash kartu, na níž je uložený veškerý software firewallu. V zařízení nejsou žádné pohyblivé části, což velmi zvyšuje jeho spolehlivost. Pro uchlazení stačí vhodně umístit RoBoX tak, aby kolem mohl proudit volně vzduch. Že byste chtěli vidět, jak to vypadá uvnitř? Jako téměř všude i zde platí, že otevřením se vzdáváte záruky, přesto vás o obrázek (i když ne přímo RoBoXu neošidím).

    Představu o vnitřnostech získáte z tohoto obrázku (jedná se o komponentu z níž si vlastní stroj může postavit téměř každý, nabízenou firmou). Deska obsahuje tři 10/100Mbit Ethernetové porty, sériové rozhraní, compact flash disk paměť, samozřejmě procesor apod.

    Vnější skutečně plechový obal má rozměry 2,5x12,2x15,9cm, s matově černým fešáckým povrchem. A protože je plechový, tak je opravdu velice solidní a umělohmotnou konkurenci by ve všech pevnostních testech bez problémů přežil. A protože se jedná o mobilní zařízení, může si tak majitel k RoBoXu obvyklé zacházení v rukavičkách odpustit a navíc jej snadno nacpe i aktovky.

    Na předním panelu jsou tři diody, z nichž první signalizuje přítomnost napájení, druhá bliká v rytmu putujících paketů a třetí signalizuje výskyt chyby (také svítí při startu systému). Na zadním panelu je konektor pro napájení ze síťového adaptéru, jeden DB9 konektor sériového rozhraní pro připojení konzole, či modemu pro PPP připojení a tři RJ-45 UTP konektory pro připojení sítí. RoBoX váží 585 gramů, což je mimochodem srovnatelné s váhou přiloženého manuálu.

    Tým dotváří několik útlých brožurek pro rychlou instalaci, CD-ROM se softwarem a síťový adaptér. Absenci českého manuálu samozřejmě kritizuji, ale podle mých informací dovozce na věci pracuje a navíc poskytuje asistenci odborníka, což jakýkoli manuál samozřejmě překonává. V krabici naleznete též několik papírů rozličného určení (registrační čísla produktů, reklamní materiály apod.). Jednotlivé komponenty jako VPN Manager a další je nutné při první instalaci zaregistrovat (opsat registrační číslo z papírků), stejně jako vyplnit základní informace a oživit TCP/IP nastavení, což usnadní strýček Wizard. Jako správný kouzelník se objeví pouze jednou a usnadní tak první část konfigurace. Vše lze později ručně změnit, ale už to nebude tak kouzelné.

    Software, aneb zabezpečené jedničky a nuly

    Operační systém je založený na upraveném jádru FreeBSD. Spolu se systémovým GNAT Box softwarem je uložený na flash disku a je možné jej v případě potřeby snadno upgradeovat (i vzdáleně). V současné době je GNAT Box PRO ve verzi 3.2.5s a nese certifikaci ICSA (ICSA je americká firma, asi nejvýznamnější v oboru, zabývající se certifikací a nezávislým testováním všeho od firewallů po antiviry). První GNAT Box vznikl v roce 1996 a dnes již přes své mládí dospěl a je velmi oblíbený mezi slečnami … ehm profesionály, a má v oboru dobrou pověst. GNAT Box software je základem mnoha rozličných komerčních produktů (GB-Flash, GB-1000, RoBoX), ale i verze NEKOMERČNÍ (GNAT Box Light, si můžete stáhnout a je úplně zdarma).

    Software GNAT Box si celý počítač kompletně vyhradí jen pro sebe. Zcela ignoruje operační systém, který na počítači býval, neboť obsahuje vlastní velice dobře zabezpečený a především stabilní systém. Počítač s GNAT Boxem není možné využívat na nic jiného, než jako firewall. Problémy s operačním systémem tak odpadají, ale zůstávají zde ty spojené s kvalitou hardware. RoBoX je velice praktický, neboť má v ceně i vlastní vyzkoušený hardware a navíc nepotřebuje vyhradit žádný další počítač.

    Jakmile je GNAT Box jednou nakonfigurovaný a je případně povolena vzdálená správa, můžete jej klidně zazdít, a zapomenout na něj. Vše je možné spravovat na dálku prostřednictvím GBAdminu, či webového prohlížeče podporujícího SSL. Největší slabinou RoBoXu, zůstává omezený počet uživatelů, což u GNAT Box Pro, GB-Flash či GB-1000 není. Software z RoBoXu není možné vyjmout a provozovat samostatně, neb vyžaduje hardwareový klíč. (SW verze vyžadují dongle = hardlock = klíč na paralelní port). Jinak má RoBoX jen minimum odlišností od sourozenců.

    RoBoX zvládne až 10 000 současných připojení, neomezená verze GNAT Boxu až 32000. Ovšem na výkonném PC (se 3 síťovými kartami), či na speciálním hardwaru. Datová propustnost firewallu na 100Mbit síti činí 25Mbit (garantováno, ale podle testů zvládá bez problémů přes 92 Megabitů za vteřinu). V reálném testu provedeném před 2 roky však zcela deklasoval konkurenci. GNAT Box neprovádí inspekci datové části paketu, což šetří čas, ale některé konkurenční produkty to umí (např. FireWall-1), byť za cenu nižší rychlosti. GB-1000 pak zvládá bez problémů i gigabitové sítě. Ve skutečnosti však je linka do Internetu obvykle o řád nižší, než je rychlost lokální sítě, čili výkon RoBoXu stejně nevyužijete. Každopádně je tak zajištěno, že RoBoX nikdo nepokoří brutální silou, např. DDoS útokem. Pro VPN s bezpečným šifrováním je garantována rychlost 2 Megabity za vteřinu.

    Pokud máte ve všech těch označeních firewallů zmatek, není se čemu divit a svůj podíl viny na tom přiznávám:-). Proto nyní uvedu stručnou hierarchii produktů s GNAT Box systémovým softwarem, z níž je patrné i postavení RoBoXu. Ačkoli se jedná o recenzi RoBoXu, uvidíte, že jen minimum údajů je specifických pouze pro RoBoX a je možno ji tedy brát i jako recenzi ostatních firewallů od GTA.

    Hierarchie GNAT Boxů

    Produkt Typ Cena
    Základem všech firewallových produktů GTA je software GNAT Box Pro (zahrnuje v sobě i operační systém), je určený pro Intel kompatibilní PC od 486 nahoru. Startuje a běží z diskety, není vůbec potřeba harddisk. Standardně podporuje 3 (lze využít i jen 2, nebo až 12) síťová rozhraní, a má neomezený počet uživatelů. Je rozšiřitelný na 12 síťových rozhraní (kódem nazvaným MultiInterface Option). Licenčně je chráněn hardwareovým zámkem na paralelní port (dongle). software 35000,- (995 USD)
    GB-Flash, je GNAT Box Pro rozšířený o DNS server, DHCP server, CyberNOT, VPN Client, firewall-to-firewall VPN s IKE (dynamickou výměnou klíče). Start a provoz s Compact Flash disku připojeného jako primární harddisk. Jinak viz GB PRO. Software + CFdisk 52 500,- (1500 USD)
    GB-1000, je funkčně totožný s GB-Flash (také využívá CompactFlash), ale je dodávaný se specializovaným hardwarem, rozměrově sedícím do rackové skříně (je standardně osazen 4 ethernetovými kartami – pro 4 samostatné sítě. Pozor konkurence často nabízí víc konektorů, ale jen dvě sítě!). Obsahuje jeden volný PCI slot, kam je možné zakoupit rozšiřovací kartu (od 4x 10/100Mbit přes TokenRing po 1000Mbit). Jinak viz GNAT Box PRO. Hardware + SW 94 500,- (2700 USD)
    RoBox 25 [nebo RoBoX 10] je ořezaný GB-1000. HW je méně výkonný, má pouze 3 síťová rozhraní bez možného rozšíření, Limit do 25 [resp. 10] uživatelů (IP adres za firewallem). Je bez podpory VPN, kterou je nutné dokoupit (aktivační kód). Z verze 10 lze udělat verzi 25 (opět aktivační kód) Hardware + SW GB-25 - 35000,-
    (995 USD)
    [GB-10 - 24500,-
    (699 USD)]
    GNAT Box, který je funkčně stejný jako GNAT Box Pro, ale je omezený na 2 uživatele, resp. po zaregistrování je možné mít 5 IP adres za firewallem, ale pouze na 2 síťových rozhraních. Chybí tedy PSN a VPN podpora. Tato verze je ideální pro domácí sítě (např. s kabelovým přístupem do Internetu) a vezme si jen starou 486ku se dvěma síťovými kartami. Software Zdarma
    Download
    GNAT Box Demo. Je naprosto totožný s GNAT Box Pro, ale nemá hardwareový zámek, takže běží 180 minut ve "full režimu", pak zastaví a po restartu běží o 30 minut kratší dobu (až do nuly). Je to ideální řešení pro ty, kdo si chtějí nejprve firewall vyzkoušet, než jej koupí. Software Zdarma
    Download

    Zítra se dočtete, co je vlastně nutné ke zprovoznění hardwareového firewallu, jak se instaluje a kde všude najde RoBoX uplatnění.

     





    Hlavní zprávy

    Další z rubriky

    Srovnání podsvícení starší a nové generace Surface Pro.
    Surface od Microsoftu má problém. Nové verzi prosvítá podsvětlení

    Někteří uživatelé letošní verze notebooku 2v1 Surface od Microsoftu si u tohoto prémiového zařízení stěžují na špatnou kvalitu displeje.  celý článek

    Přehrávače iPod nano jsou v sedmi barevných provedeních
    iPod Shuffle a Nano se staly minulostí, Apple jejich produkci ukončil

    Malé kapesní hudební přehrávače iPod Nano a Shuffle po dvanácti letech mizí z nabídky a nedostanou za sebe náhradu. Na cestách má zahrát iPhone, při sportu...  celý článek

    Google trekker
    Kam Google nemůže autem, posílá fotit člověka s koulí

    Google Street View je služba, která přináší 360° pohled nejen na silnice, ale snaží se proniknout i na místa, kam se člověk dostane jen po svých. A k tomu má...  celý článek

    Najdete na iDNES.cz



    mobilní verze
    © 1999–2017 MAFRA, a. s., a dodavatelé Profimedia, Reuters, ČTK, AP. Jakékoliv užití obsahu včetně převzetí, šíření či dalšího zpřístupňování článků a fotografií je bez souhlasu MAFRA, a. s., zakázáno. Provozovatelem serveru iDNES.cz je MAFRA, a. s., se sídlem
    Karla Engliše 519/11, 150 00 Praha 5, IČ: 45313351, zapsaná v obchodním rejstříku vedeném Městským soudem v Praze, oddíl B, vložka 1328. Vydavatelství MAFRA, a. s., je členem koncernu AGROFERT.