Dlouhodobý test hardwarového firewallu RoBox - 2. díl: zapojení, konfigurace, pro koho se hodí?

Firewally se dostávají do podvědomí uživatelů stále více - internet expanduje a ochrana počítače je nezbytná. Softwarových firewallů jsou desítky ne-li stovky, ale hardwarových? Jeden takový byl podroben testu. Jak si vedl, co lze od něj očekávat a kolik vlastně stojí?
  • 1. díl testu RoBOXu: co se vlastně skrývá v té krabičce?
  • 2. díl testu RoBoXu: zapojení, konfigurace, pro koho se hodí?
  • 3. díl testu RoBoXu: popis nejdůležitějších služeb a funkcí
  • 4. díl testu RoBoxu: jak si vede konkurence?
  • 5. díl testu RoBoXu: Testy, testy, testy
  • 6. díl testu RoBoXu: Jak to tedy vlastně nakonec dopadlo
  • Zapojení a provoz

    Základní hardwareová instalace RoBoXu je velmi jednoduchá. Nejprve se připojí UTP kabelem do stávající firemní sítě, což se projeví rozsvícením diod na příslušném konektoru (na zadečku RoBoXu:-). V materiálech je počítáno s konfigurací provedenou ze stanice připojené do přepínače, či hubu stávající firemní sítě, do které je posléze připojen i RoBoX, a to pomocí standardního UTP kabelu (do libovolného sis konektoru). Pokud byste chtěli konfigurovat ze stanice přímo připojené do RoBoXu, pak je nutné použít křížený (cross-over) kabel. Pro řídký případ konfigurace pomocí konzole (ovšem profík má pro semigrafiku jistou slabost a konzoli si snadno zamiluje) slouží sériový port RS-232. Výhodou konzole je to, že se tak dá RoBoXu podívat pod pokličku při nabíhání systému a lze tak napravit fatální chyby, jako například zapomenuté heslo, neznámé IP adresy rozhraní apod.

    Poté se zapojí konektor síťového adaptéru do příslušné zdířky a RoBoX začne nabíhat. Během necelé minuty obživne, což radostně oznámí zhasnutím diody ERROR, zatímco dioda POWER zarputile svítí (a my jsme rádi, protože zhasnutí = problém). Výskyt chyby je nepravděpodobný a tak svítící diodu ERROR uvidíte nejspíše pouze právě při bootování systému.

    RoBoX má, tři UTP (10/100Mbit) konektory pro připojení sítí. První port, jménem sis0 je standardně označený jako PROTECTED a slouží pro připojení chráněné sítě. Druhý (sis1)je označený jako EXTERNAL a slouží pro připojení vnější sítě, či typicky Internetového směrovače (routeru). Třetí konektor (sis2) je standardně nakonfigurovaný jako PSN (Private Service Network, také demilitarizovaná zóna), ale lze jej nakonfigurovat i jinak. PSN je velkou výhodou RoBoXu, neboť do této chráněné sítě se standardně umísťují servery, které musí oboustranně komunikovat s vnějším (nebezpečným) světem (www, e-mail, DNS, FTP, atd.). Tato síť je plně chráněná a je zároveň odstíněná od chráněné vnitřní sítě (jsou fyzicky na různých síťových kartách a jiných síťích). Kompromitace PSN tak znamená jen minimální ohrožení pro chráněnou síť, která může mít kompletně zakázaný přístup zvenčí, tj. maximální bezpečí.

    PSN většina konkurentů postrádá a takticky o tom mlčí. Obvykle mají jen jednu chráněnou síť a ačkoli mají více síťových konektorů, než RoBoX nejsou nebezpečné služby odstíněné od PROTECTED sítě. Více konektroů obvykle má fungovat jako jakýsi integrovaný hub, ale obvykle jich stejně není dost pro maximální počet uživatelů. Na dalším hubu, či switchi, tak zákazník stejně neušetří.

    Sériový konektor je použitelný nejen pro konfiguraci RoBoXu, ale i pro připojení modemu umožňujícímu přes PPP protokol spojení do vnější sítě. Upozorňuji, že PPP, tedy připojení do vnější sítě pomocí vytáčených linek, či ISDN-TA není opět u většiny (hardwareových) konkurentů implementován.

    Instalace RoBoXu – nastavení firewallu

    RoBoX je velmi samostatné zařízení. Celá základní instalace spočívá v několika málo krocích, které jsou dobře popsané v dokumentaci a zvládne je i laik, zvláště za pomoci dobrého kouzelníka. Wizard při prvním připojení systému (či po kompletním resetu) provede uživatele nejzákladnějšími nastaveními. Po nich je RoBoX připojený k síti a plně funkční v "default" módu. Toto základní nastavení, znamená, že je možný neomezený přístup z vnitřních sítí do vnější sítě, ale zakázaný každý přístup dovnitř zvenku. To je sice extrémně bezpečné, ale má to svá omezení. Například není možné zpřístupnit světu WWW stránky, či přijímat poštu na strojích za firewallem. Je však často pravdou, že firmy do 25 uživatelů obvykle používají poštovní server u ISP a web vystavují tamtéž, neboť jejich provoz by se zbytečně prodražil. S klidným svědomím tedy mohu prohlásit, že toto nastavení bude s minimem úprav většině zákazníků vyhovovat.

    Častou výjimkou je ovšem požadavek na přístup z domova do firemního Intranetu, či vytvoření VPN s další sítí (např. druhá pobočka, či mateřská firma). Zde však již přijde na řadu manuál (400 stran v angličtině), či odborník. Manuál je však také spíše pro odborníky, neboť i přes zjevnou snahu autorů vše vysvětlit, obávám se, že laik by se brzy při četbě "zatrvdil". Kdo však principy TCP/IP sítí a jejich bezpečnosti zná, nalezne v manuálu opravdu ideálního pomocníka. GNAT Box je možné konfigurovat za pomoci webového rozhraní, které je velmi příjemné, GBAdminu, který šel v přívětivosti ještě o kousek dál a z konzole. Přesto ani jedna aplikace neoplývá přebytkem komentářů (řekl bych až "strohost nade vše"), které však jsou přehledně uvedené v manuálu, včetně ukázkových příkladů.

    V dalším textu předpokládám, že RoBoX je nastartovaný, připojený správným kabelem do firemní sítě a do též sítě je připojený i počítač, ze kterého je RoBoX konfigurovaný. Nyní je potřeba RoBoX přemluvit, aby se s naším počítačem laskavě bavil. Řešení je netradiční. Místo nastavení RoBoXu se musí nastavit konfigurační počítač. Je to ale logické, neboť v RoBoXu je nastavena pro každé jeho rozhraní IP adresa (od výrobce) a RoBoX se v default módu baví jen s počítači z jeho vnitřních sítí. Konfigurační počítač, tedy musí být nastaven tak, aby do jeho vnitřních sítí patřil.

    Následujících pár odstavvů pojednává o konkrétních postupech při nastavování. Pokud zrovna RoBoX nekonfigurujete, tak je s klidem přeskočte.

    1. dočasné nastavení TCP/IP konfigurace na konfigurační stanici z níž chcete RoBoX spravovat.
    Ač je sameček v samičce a dioda v horní části použitého konektoru (kterým je RoBoX připojen do sítě) nejspíše svítí (oranžově pro 10Mbit a zeleně pro 100Mbit síť ), základní nastavení RoBoXu je takové, že samička samečka nezná. Port sis0 (pro konfiguraci doporučený – tj. sem by měla být připojena firemní síť, do oblasti PROTECTED) na RoBoXu je totiž nastavený od výrobce na IP adresu 192.168.71.254 a s konfigurační stanicí, která je obvykle na jiné logické síti se odmítá bavit. Na stanici je nutné dočasně nastavit stejnou podsíť jakou má RoBoX, tj. 192.168.71.xxx (např. 192.168.71.253) a jako bránu (gateway, default route) nastavit 192.168.71.254.

    2. Reinicializace síťování na stanici obnáší u Win95/98/98SE/ME reboot u Win2k, WinXP jen restart sítě. U *nixů stačí jen změnit pár záznamů v příslušných tabulkách. Poté již RoBoX bude dostupný a z naší stanice bude možné se na něj připojit. Tyto operace si při konfiguraci z konzole pochopitelně ušetříme a celou konfiguraci je možné zvládnout na první připojení.

    3. Nastavení RoBoXu pro firemní síť. Poté je na uživateli, aby zvolil, kterou z možností pro nastavování RoBoXu vybere. Buď zvolí propracovanou aplikaci GBAdmin pro MS Windows, zmíněnou konzoli, či libovolný webový prohlížeč, který umí "frejmy" a SSL protokol (dle manuálů to činí problém snad jen dnes již archaickému MS Internet Exploreru 5.0 pro MacIntoshe, zatímco aktuální Opera, Mozilla, Netscape ale i MS IE fungují bez problémů). Je dokonce možné, ale silně nedoporučované vypnout požadavek na SSL a pracovat nad HTTP protokolem nezabezpečeně.

    Z mého pohledu je ideální konfigurace přes web , především proto, že nemusíte nikam nic instalovat a vše se odehraje přímo na RoBoXu. Webový prohlížeč je dnes již téměř všude a na všech operačních systémech. V GBAdnimu i prohlížeči je vše ve vkusném grafickém hávu, což konzole postrádá. Další nastavování popíši s laskavým čtenářovým dovolením pouze pro webový prohlížeč.

    4. Připojení na RoBoX. Předpokládejme, že se nám podařilo připojit na adresu https://192.168.71.254, načež po vyřízení certifikátů pro SSL, jsme se dostali k přihlašovacímu dialogu. Uživatelské jméno a heslo pro přístup do konfigurátoru, potažmo do RoBoxu je uvedené v manuálu (gnatbox/gnatbox) a je silně doporučeno jej změnit a pak především nezapomenout! (Později je možné vytvořit víc uživatelů s rozličnými právy a tedy i pouze s právem měnit, či právem jen prohlížet, což profíci jistě ocení)

    5. Možná přijde i kouzelník. No a nyní právě přijde chvilka pro kouzelníka (Wizard), který se všetečnými dotazy (v angličtině) na vše podstatné vyptá. První nastavení obnáší registraci komponent (VPN klienta, registrace GNAT Boxu, apod.), nastavení brány, DNS apod.

    Dále je nutné nastavit IP adresy pro síťová rozhraní RoBoXu tak, aby se znal k naší firemní síti, protože jistě nebudeme měnit nastavení sítě, aby odpovídalo nějakému firewallu. Poměrně důležitou položkou je DHCP, které je nuné vypnout, pokud v síti není využíváno, jinak to může dělat problémy. Stiskem tlačítka save se vše uloží a RoBoX začne pracovat (tj. filtrovat pakety) v aktualizovaném nastavení, zatím stále v default bezpečnostním módu. Pro stroje venku je nyní vidět jen IP adresa firewallu a pro stroje uvnitř je přístupný celý svět. Znamená to, že v žádném okamžiku konfigurace se vnitřní sítě ani na chvíli neotevřou pro potenciální útočníky.

    Pokud je instalace vedena z PC nastaveného na onu dočasnou IP adresu, RoBoX se pro ně stane v okamžiku stisku tlačítka save nedostupný (z konzole je samozřejmě přístupný neustále).

    6. Nyní je nutné na konfiguračním PC vrátit původní nastavení TCP/IP pro vnitřní síť a po její reinicializaci se znovu připojit na RoBoX, na jeho nově přiřazené IP adrese. Toto je důležité, protože na žádné jiné adrese se RoBoX neozve a v default nastavení nepovolí připojení odjinud, než z vnitřních sítí. Pokud byste IP adresy rozhraní zapomněli, nezbývá než připojit se prostřednictvím konzole, protože jinak se dovnitř prostě nikdo nedostane.

    7. A konečně se dostáváme ke konfiguraci RoBoXu. Pokud je vše v pořádku, bude vás na nastavené IP adrese vítat přihlašovací dialog RoBoXova webserveru. Po přihlášení můžete plně využít dobrodiní oné tlusté bichle, a dokončit detailní instalaci, zahrnující otevření tunelů, nastavení DNS, vzdálenou autentizaci a vzdálené logování, routovací záležitosti RIP, gateway, přidání filtrů a tunelů, které zpřístupní servery těm, pro koho jsou určené a další nastavení.

    RoBoX je koncipován jako striktně bezpečnostní zařízení. Znamená to, že se na něj dá připojit pouze z vnitřní (PROTECTED) sítě, pokud to uživatel sám nezmění, či z konzole. Na RoBoXu neběží žádné jiné přístupné služby, než firewallové. Odborníci jistě potvrdí, že kde nic není, ani cracker nebere a jedná se o velmi rozumné řešení. Přesto existuje možnost vzdáleného přístupu a konfigurace na dálku. Pokud je povolena, je možné nastavovat RoBoX například z centra firmy, což ušetří pobočkám čas i náklady. Slouží k tomu webové rozhraní s protokolem HTTPS (nebo jen HTTP, či lze omezit přístup jen z GBAdmin (port 77), nebo dokonce jen konzole), čili bezpečnosti je učiněno zadost a zároveň má správce dostatek volnosti.

    Kam se RoBoX hodí a kam ne

    RoBoX je určen výlučně do TCP/IP sítí, je ideální jako pobočkový firewall k velkým firemním firewallům. Pro použití doma i ve Windowsových sítích sice lze použít, ale správce musí vědět co dělá a jsem si jistý, že existují pro tento účel vhodnější řešení. Co se týká výkonu, ten je srovnatelný s "velkými bratříčky" a omezení jsou spíše "marketingového" rázu , tj. zejména v počtu uživatelů. Z rozhovoru s dodavatelem jsem však zjistil zajímavou věc. Zákazník k RoBoXu dostane k ruce i plnou podporu na dobu 30 dní (dále dle dohody, existuje též možnost zakoupit roční předplatné na nové verze, včetně e-mailové a telefonické podpory). Pracovníkovi podpory jen řekne co a jak chce nastavit a věc je vyřízená. Podstatné je, že v tom zákazník nezůstane sám. Musím přiznat, že této podpory jsem využil i já a vřele doporučuji.

    Pokud by zákazník nechtěl nastavovat samostatně nic (vědom si možných rizik), může být povolená zmíněná dálková zpráva a veškerá nastavení si pak vyřídí s dodavatelem po telefonu nebo po síti. Díky povaze RoBoXu, který neobsahuje žádné pohyblivé díly a až paranoidní bezpečnostní politice se může stát, že na RoBoX pak fyzicky několik let nikdo nesáhne, protože to nebude potřeba. Pokud se má jednat o mobilní firewall, pak se uživatel chtě nechtě ovládání naučit musí. Ale to platí nejen pro firewally. Navíc ovládání má logiku a pokud zvládne nastavení jednou, příště to je již hračka (to poprvé ale může bolet, ale to asi nikoho nepřekvapí). Jednou ze služeb GNAT Boxu je tlačítko DEFAULT, což je dobrý pomocník, ale zlý pán. Více v zítřejším pokračování článku o firewallu RoBoX.