Dlouhodobý test hardwarového firewallu RoBox - 6. díl: Jak to tedy vlastně nakonec dopadlo

Firewally se dostávají do povědomí uživatelů stále více - internet expanduje a ochrana počítače je nezbytná. Softwarových firewallů jsou desítky, ne-li stovky, ale hardwarových? Jeden takový byl podroben testu. Jak si vedl, co lze od něj očekávat a kolik vlastně stojí?
  • 1. díl testu RoBOXu: co se vlastně skrývá v té krabičce?
  • 2. díl testu RoBoXu: zapojení, konfigurace, pro koho se hodí?
  • 3. díl testu RoBoXu: popis nejdůležitějších služeb a funkcí
  • 4. díl testu RoBoxu: jak si vede konkurence?
  • 5. díl testu RoBoXu: Testy, testy, testy
  • 6. díl testu RoBoXu: Jak to tedy vlastně nakonec dopadlo
  • Jak to tedy vlastně nakonec dopadlo

    A jak tedy dopadl RoBoX? Musím přiznat mírné zklamání, nikoli však nad RoBoXem, ale nad účastí testerů. Nejspíše byla důvodem nedostatečná motivace. Nakonec, pokud je firewall alespoň trochu dobře navržený, jako že GNAT Box je, pak realizace útoku, který má mít šanci na úspěch, vyžaduje mnoho času a energie a to je přesně to, čeho mají profesionálové málo. Každopádně příliš mnoho pokusů o průnik se neudálo, a tak mluvit o brutálním testu, který by dal firewallu "pořádně zabrat", opravdu nelze, ač jsem v to v duchu doufal. Řekněme tedy, že se nám podařilo otestovat RoBoX ve standardním provozu.

    Logy jsem analyzoval pomocí již zmíněného RnR (RportGen for Gnatbox ver 1.1.6), který umí jednoduše roztřídit, co na který port přišlo, odkud apod. Neumožňuje ale vyhodnocovat stavy firewallu ani reagovat na nahlášené události typu ALARM, NOTICE apod., natož pro ně vytvořit statistiku. To by měl umět GNAT Box Reporting Utility, ale ten se rozhodl držet bobříka mlčení a nevyzradil ani písmenko. Bohužel tedy nemohu prezentovat úchvatnou statistiku včetně rozboru, na kterou jsme se všichni jistě těšili. A bohužel není v lidských silách protřídit a komplexně vyhodnotit logy za týden. Přesto vás o základní informace neošidím.

    V logu se objevilo poměrně dost ALARMů (kdyby ne, tak bych se hodně divil a měl bych každopádně problém). Jedná se o záznamy od filtrů, které značí události nebezpečné, ukážeme si to na příkladu jednoho takového záznamu z konkrétního logu z druhého testu. Nicméně upozorňuji, že oproti modelové situaci výše se v tomto odstavci moc nového nedozvíte.

    May 7 09:49:19 192.168.190.20 FILTER: 16347 matches for 17: Deny warning ANY ALL alarm from ANY_IP to ANY_IP

    Tento záznam prozrazuje, že dne 7. května, v čase 09:49:19 přišlo na rozhraní firewallu s IP 192.168.190.20 něco ošklivého. Jednalo se o událost číslo 16347 od spuštění RoBoXu a vyhodnocoval ji filtr 17. Ten je nastaven tak, aby odmítl (deny) veškeré pakety, které sedí na jeho definici (každý, který se na něj dostane), a to pro všechna rozhraní RoBoXu (ANY – kterékoli z rozhraní, ALL – porty), ať již jsou směřována odkuďkoli kamkoli (pomocí Adresového objektu ANY_IP je zde ošetřen celý adresní rozsah IP v.4)
    FILTR 17: (viz obrázek) odchytává veškeré pakety, které neodchytl žádný z předchozích filtrů. Takové pakety tedy nutně nepatří mezi ty povolené.

    Dalším typem zpráv jsou tyto, které jsou obdobou předešlé, ale adresnější:
    May 7 17:06:35 192.168.190.20 FILTER: RAF (17) block - warning TCP [147.32.126.xxx:42413]->[147.230.190.20:12435] alarm sis1 l=0 f=0x2

    RAF zde značí typ filtru, který tuto zprávu generoval, zde Remote Acces Filter a opět číslo 17. Záznam praví, že pomocí TCP paketu zaslaného z IP adresy 147.32.126.xxx a konkrétního plikačního portu 42413 se někdo pokusil připojit na zakázaný port 12435 na vnějším rozhraní RoBoXu. Podle podezřele vysokého čísla cílového portu se jedná o jasný útok. Výjimkou by byla situace, kdy by na tomto portu byl Virtuální Crack, ale to by neřešil filtr 17. Další údaje prozrazují rozhraní, na něž paket přišel (sis1), a jeho délku (l=0).

    Pokud by některý z těchto paketů prošel, prozradil by ho záznam na cílovém stroji, což se nestalo.

    Co prozradily logy na jednotlivých strojích

    Stroj: Úkol stroje v testu: Logy: Popis:
    TOMB 192.168.191.21 počítač v PSN, sem mířil veškerý provoz, přes otevřené porty 80, 22 a 25 tomb_secure soubor s hlášeními od PAM, sshd a dalších interních bezpečnostních mechanismů Linuxu na stroji jménem Tomb. Další logy neobsahovaly žádné podstatné údaje (ve vztahu k testu)
    Jak vidno, není moc co analyzovat:-)
    Notebook 192.168.190.111 Notebook, kam byly ukládány záznamy zaslané prostřednictvím Remote logging z RoBoXu, na stroj nebyl zvenčí žádný přístup, pouze z PSN byl přístupný port pro syslog (TCP/514), DNS (TCP+UDP/53) apod. /var/log/robox_local0 Soubor s hlášeními od NAT na RoBoXu, tj. o každém spojení, které bylo puštěné dovnitř na jednom z povolených portů
    RnR nás obšťastnil takovýmito pěknými výpisy – Využití portů, Přijatá a odeslaná data v bajtech na každém z rozhraní, Výpis dění a Celkovou statistikou
    Notebook 192.168.190.111 Logovací notebook – tentokrát jiný datový soubor /var/log/messages jinak též robox_local2 Souhrn dění na síti, hlášení filtrů a dalších služeb RoBoXu. Odfiltroval jsem DNS pakety, které zabíraly 98.2% souboru. Z toho je zřejmé, že příliš útoků se nedělo. Bohužel.
    RnR o tomto logu mnoho nepoví, neboť neumí vyhodnotit ALARM, NOTICE a jiné události, které jsou pro nás podstatné. Protože nástroj, který by to měl umět, odmítl spolupráci, prošel jsem log ručně. Potud, pokud jsem log prozkoumal, nenalezl jsem žádný problém ani žádné zoufalé volání RoBoXu o pomoc. Jedinou výjimkou bylo hlášení o nenastaveném e-mailu, kam chtěl zaslat upozornění, protože jeden z testerů vytrvale bombardoval firewall pakety mířenými postupně na všechny porty (portscan), což je důvodem k upozornění správce. Jednou z možností, kromě zaslání varování a samozřejmě odmítnutí podobně nevkusných paketů, je i úplné zavření síťového rozhraní. Možností je však mnohem více.
    RoBoX 147.230.190.20 RoBoX je testovaný firewall, zvenku přístupný na IP adrese 147.230.190.20. Interni LOG RoBoXu Souhrn všech podstatných hlášení, zejména od filtrů. Maximálně 512 položek, což ovšem znamená, že jeden portscan (otestování odezvy velkého množství portů počítače) spolehlivě přemaže vše staré, neboť na rozdíl do logů posílaných ven se do interního logu píše každý záznam od každého filtru (ven se posílá výsledek za nějaký časový úsek, například že jsou skenovány porty od 3200 do 60000).
    Nemá tudíž smysl tento log analyzovat, protože RoBoX byl nastavený tak, aby filtry hlásily téměř vše. Tudíž se vše důležité velmi rychle přepsalo nedůležitými režijními pakety. V souboru, který je zde jako ukázka, pak jsou vidět především záznamy paketů, které si vyměňoval RoBoX s konfiguračním počítačem při administraci pomocí HTTPS protokolu.

    Závěrem

    RoBoX propustil skutečně jen to, co propustit měl, a zbytek odfiltroval. Odmítnuté a útočné pakety nahlásil do logů (poslední odstavec nad tímto). Dovoluji si tedy tvrdit, že tento test splnil výborně a píši RoBoXu prošel.

    Horší situace je s GB Report Utilitou, kterou se mi nepovedlo rozumně rozchodit tak, aby mi poskytla jakákoli přijatelná data. Když už přijmu, že potřebuje SQL databázi (v instalaci pro Windows je MySQL pro Windows) a bez ní odmítá fungovat, tak nemůžu přehlédnout naprosto nepoužitelné uživatelské rozhraní. Výsledky a kvalitu reportů nemohu posoudit, protože utilita sice data nasála dovnitř, ale ven už nevydala nic. Dle mého názoru má GTA ještě hodně co na GB reportu zlepšovat.

    RoBoX je velmi robustní a spolehlivý firewall. Po celou dobu testování (cca 5 neděl) jsem se nesetkal s jakoukoli nestabilitou ani problémem technického ani jiného funkčního rázu. Konfigurace je podle manuálu zvládnutelná, ale pro toho, kdo ji dělá poprvé, rozhodně není příjemná a automatická. Nicméně toto řeší prodejce hotline či přímo pracovníkem, který vše nastaví za zákazníka. RoBoX nabízí nadstandardní služby a konkurenci překonává obvykle i po výkonové stránce. Největší slabinou (na našem trhu) zůstává cena, ale zase za ni zákazník obdrží produkt pro 25 uživatelů. Software RoBoXu ctí uznávaná bezpečnostní pravidla a ani při konfiguraci nevystavuje chráněné sítě útokům, navíc disponuje funkcí pro kontrolu nastavení.

    Technické specifikace a parametry firewallu RoBoX GB - 25

    Max Concurrent Connections 10000
    Remote Acces Filters 100
    Outbound Filters 100
    Tunnels 100
    Aliases 25
    Static routes 100
    Static Maps 100
    Time Groups 100
    Pass Through Filters 100
    VPN Security Associations 100
    Objects 100
    URL Acces Lists 100
    DNS Domains 5
    MTBF 300 000hodin
    3x 10/100 Ethernet NICs
    1x RS 232 connector
    Rozměry 2,54x15,24x15,875
    Hmotnost 0,585 kg
    Orientační cena s DPH za RoBoX 25 35 000,- (995USD)

    + Stabilita
    + 2 oddělené chráněné sítě
    + Vlastní operační systém
    + Vzdálené logování
    + Žádné pohyblivé části
    + Snadný upgrade
    + Vzdálená správa
    + Malé rozměry - skladnost
    + Sériové rozhraní pro připojení konzole
    podpora PPP protokolu pro dial-ip a ISDN-TA
    + Dokonale tichý :-)
    - Složitá konfigurace
    - křížový UTP a sériový kabel by mohly být ceně
    - Jen skoro funkční analyzátor logů
    - 25 uživatelů může být málo
    - Cena, i když …

    Za zapůjčení děkuji firmě . Za umožnění testů Katedře Informatiky TUL a Cesnetu. Jmenovitě pak děkuji Davidu Kmochovi za trpělivost a cennou pomoc a Aleši Zítkovi za osvětlení mnoha technických otázek.

    • Nejčtenější

    Kam pro filmy bez Ulož.to? Přinášíme další várku streamovacích služeb do TV

    v diskusi je 125 příspěvků

    26. března 2024

    S vhodnou aplikací na vás mohou v televizoru na stisk tlačítka čekat tisíce filmů, seriálů nebo...

    Z jaderné triády zbyly Britům už jen ponorky. A ty musejí posílit

    v diskusi je 76 příspěvků

    27. března 2024

    Jadernou triádu tvoří strategické bombardéry s jadernými zbraněmi, mezikontinentální balistické...

    {NADPIS reklamního článku dlouhý přes dva řádky}

    {POPISEK reklamního článku, také dlouhý přes dva a možná dokonce až tři řádky, končící na tři tečky...}

    Rusko zastavilo odlet na ISS s první Běloruskou, letět měla i Američanka

    v diskusi je 50 příspěvků

    21. března 2024  10:23,  aktualizováno  14:26

    Ve čtvrtek 21. března se necelých deset minut před půl třetí odpoledne měla vydat na Mezinárodní...

    Hlučínsko patří nám. Před 100 lety byl podepsán definitivní protokol o hranici

    v diskusi je 17 příspěvků

    28. března 2024

    Před 100 lety definitivně skončily tahanice o československo-německé hranice. 28. března 1924 byl...

    {NADPIS reklamního článku dlouhý přes dva řádky}

    {POPISEK reklamního článku, také dlouhý přes dva a možná dokonce až tři řádky, končící na tři tečky...}

    Načapali jsme otesánka, který se velkého sousta nezalekne. Boeing 747-400F

    v diskusi je 8 příspěvků

    21. března 2024

    Poté, co na Letiště Václava Havla Praha přestaly v barvách Qatar Airways létat nákladní Boeingy...

    Američané odepsali modul, který je vrátil po půl století na Měsíc

    v diskusi je 15 příspěvků

    28. března 2024,  aktualizováno  11:41

    Od začátku letošního roku je na Měsíci a kolem něj poměrně rušno. Vedle řady sond, které zamířily...

    Hlučínsko patří nám. Před 100 lety byl podepsán definitivní protokol o hranici

    v diskusi je 17 příspěvků

    28. března 2024

    Před 100 lety definitivně skončily tahanice o československo-německé hranice. 28. března 1924 byl...

    Úspěšný let prototypu XB-1 vrací do hry cestování nadzvukovou rychlostí

    v diskusi je 31 příspěvků

    27. března 2024  17:17

    Po více než dvaceti letech, od ukončení provozu letounu Concorde, se možná opět dočkáme nadzvukové...

    Jarní bouře ničila před 100 lety Prahu. Napáchala obří škody

    v diskusi je 10 příspěvků

    27. března 2024

    Prahou prošla před 100 lety, 27. března 1924, neobvykle silná jarní bouřka. V části hlavního města...

    2. týden: Vyhrajte dobroty pro batolata v hodnotě 3 466 Kč
    2. týden: Vyhrajte dobroty pro batolata v hodnotě 3 466 Kč

    Zúčastněte se volby jména roku 2024 a správně odpovězte na soutěžní otázku.

    Rána pro britskou monarchii. Princezna Kate má rakovinu, chodí na chemoterapii

    Britská princezna z Walesu Kate (42) se léčí s rakovinou. Oznámila to sama ve videu na sociálních sítích poté, co se...

    Smoljak nechtěl Sobotu v Jáchymovi. Zničil jsi nám film, řekl mu

    Příběh naivního vesnického mladíka Františka, který získá v Praze díky kondiciogramu nejen pracovní místo, ale i...

    Rejžo, jdu do naha! Balzerová vzpomínala na nahou scénu v Zlatých úhořích

    Eliška Balzerová (74) v 7 pádech Honzy Dědka přiznala, že dodnes neví, ve který den se narodila. Kromě toho, že...

    Pliveme vám do piva. Centrum Málagy zaplavily nenávistné vzkazy turistům

    Mezi turisticky oblíbené destinace se dlouhá léta řadí i španělská Málaga. Přístavní město na jihu země láká na...

    Kam pro filmy bez Ulož.to? Přinášíme další várku streamovacích služeb do TV

    S vhodnou aplikací na vás mohou v televizoru na stisk tlačítka čekat tisíce filmů, seriálů nebo divadelních...