Klávesové zkratky na tomto webu - základní­
Přeskočit hlavičku portálu


Appliance učiní váš spánek klidnějším

aktualizováno 
Červi, trojští koně, díry v zabezpečení, nabourávání a útoky – a co má dělat malá či střední firma? Nainstaluje si bezpečnostní řešení typu „všechno v jednom“ (all-in-one). Jen se musí ujistit, že takový produkt dělá čest svému jménu…

Právě úspěšnost šesti krabicových řešení typu „všechno v jednom“ se rozhodli porovnat naši američtí kolegové v Havajské laboratoři specializované na sítě v provozu tamní státní univerzity. Všech šest recenzovaných produktů je považováno za „řešení“, ale varujeme vás: nejedná se o 100% spolehlivé plug-and-play produkty. Naše testy rovněž ukázaly, že výrobci mají rozdílné mínění nejen o definicích všezahrnujícího zabezpečení, ale také o tom, co takové řešení „vše v jednom“ má obsahovat.

Vyzvali jsme celkem sedm výrobců firewallů, aby nám zaslali nejnovější verze svýchh řešení. Šest statečných zápasníků se dostavilo na startovací čáru: Check Point Safe@Office 225, Juniper Netscreen-5GT Enhanced, NetGear VPN Firewall FVS328, ServGate EdgeForce Plus, SonicWall Pro 2040 a WatchGuard Firebox X1000. Jeden z vyzvaných (Symantec) se nezúčastnil testu, protože nebyl schopen připravit software na úrovni distribuce včas. Produkt ServGate EdgeForce Plus jsme do přehledu nezařadili, jelikož se na českém trhu neprodává.

Jak jsme hodnotili

Bezpečnost zeširoka

Bezpečnost zeširoka

V aktuálním testu týdne jsme se blíže podívali na bezpečnostní řešení označovaná jako appliances. Tedy zařízení typu „všechno v jednom“. Jednalo se o pět produktů renomovaných (v oblasti bezpečnosti) společností Check Point, Juniper Networks, NetGear, SonicWall a WatchGuard.

Protože bezpečnostní řešení typu „vše v jednom“ se značně liší v nabízených funkcích, soustředili jsme se na tři základní oblasti: výkon VPN, ochranu před útoky na firewall a schopnosti antivirového programu. Hodnocení výkonu VPN by mělo být založeno na tom, které řešení nejlépe přesouvá a balí data do kódovaných paketů. K tomuto testu jsme použili testovací balík TeraVPN 4.0 od společnosti Spirent Communications instalovaný na šasi SmartBits 600 (SMB-600) vybavené dvěma kartami TeraMetrics XD 10/100 s jedním fastethernetovým rozhraním.

Naše testy začali pouze s jedním tunelem, abychom se ujistili, že jsou VPN funkční. V dalším testu jsme již využili 20 tunelů nebo nejvyšší podporovaný počet tunelů, pokud jich zařízení 20 nezvládlo. Malá nebo střední firma o 100 až 200 zaměstnancích využívá obvykle nejvíce 20 tunelů najednou. Nejdříve jsme vytvořili 20 tunelů Phase I (IKE) a pak jsme v každém z nich vytvořili jeden tunel Phase II (IPSec). Nechali jsme poslat sadu souborů s pevnou velikostí 1 024 bajtů rozdělením 500 000 sad mezi všech 20 tunelů. Poté, jako druhý test, jsme začali posílat po krocích soubory o velikosti 64 bajtů až 1 350 bajtů. Tato fáze byla opakována 50 000krát během každého kroku.

Appliances – všechno v jednom

Produkty tohoto typu se ideálně hodí do prostředí malých a středně velkých firem a společností. V jednom šasi tak mají administrátoři k dispozici produkt nabízející funkcionalitu firewallu, VPN, antivirového, nebo dokonce i antispamového řešení. Setkat se dále můžete i s kombinací se systémem detekce narušení (IDS).

Dále jsme prověřili základní funkce firewallu v testu na druhé vrstvě. Nejdříve jsme použili Avalanche/Reflector software od Spirentu instalovaný na SMB-600, čímž jsme získali rozsah pevně daných útoků. Přidali jsme různé DDoS (distrubuovaný DoS) útoky, abychom zjistili, zda budou na firewallech rozeznány a zazní alespoň alarm. Ta lepší řešení – EdgeForce Plus, NetScreen a Safe@Office – nejen spustila alarm, ale také ničila příslušné packety.

Pokusili jsme se také o sadu manuálních útoků – cokoli, abychom dostali ping skrz firewall. Vzdal to pouze NetGear, ale i v tomto případě to bylo značně nejisté, protože při pokusu o zopakování tohoto průniku jsme již úspěšní nebyli. Sečteno a podtrženo: jakmile jsou tato zařízení nastavena, můžete se považovat za ochráněné před běžnými útoky.

Náročné testování
Při testech zařízení jsme se soustředili na tři základní oblasti: výkon VPN, ochranu před útoky na firewall a schopnosti antivirového programu. Použili jsme přitom náročnou sestavu hardwaru a softwaru i od společnosti Spirent Communications v honotě několika desítek tisíc dolarů.
Nakonec jsme testovali antivirové schopnosti dodaných řešení umístěním linuxového serveru Sendmail vně firewallu. Tento server zasílal infikované pakety sérii klientů umístěných za firewallem. Veškeré viry byly simulovány virovým kódem získaným z Evropského institutu pro výzkum počítačových antivirů (European Institute for Computer Anti-Virus Research). Veškeré viry byly zaslány v surové formě komprimované v zip souboru. Žádné z testovaných řešení nemělo nejmenší problém se zastavením infikovaných paketů, ačkoli ne všechna podporovala IMAP (Internet Message Access Protocol) klienty.

Check Point Safe@Office 225

Přestože je Check Point znám zejména celou řadou robustních řešení s vysokou cenou a komplexním OS, nevelký Safe@Office ukázal, že je v oblasti SOHO firewallů skvělým zápasníkem. Safe@Office 225 je nejsnáze konfigurovatelným zařízením ze všech testovaných řešení, navíc je založen na nejprodávanější platformě Check Pointu – Firewall-1. V případě Safe@Office 225 však není díky jeho vysoce intuitivní uživatelské prostředí ovládání složité (jako je tomu u korporátních implementací Firewallu-1). Takřka každá část programu má pro nastavení samostané karty včetně dynamických DNS, dynamických VPN a e-mailového antiviru. Navíc každá část včetně nápovědy je po internetu automaticky aktualizována ze serverů společnosti Check Point.

Ačkoli má toto řešení pravděpodobně dostatek síly k ochránění i větších společností, je Safe@Office typickým SOHO produktem. Check Point jednotku omezil na 10 současných připojení firewallu. Je také limitován na 10 současných připojení VPN; nicméně tyto připojení mohou být libovolně kombinovány včetně klient-LAN nebo LAN-LAN. V prostředích malých firem, je jak jsme se sami přesvědčili díky Safe@Office, správa a zabezpečení sítě jednoduchým a dosažitelným úkolem.

Jak je u Check Point typické, jádro za těmito několika připojeními je překvapivě robustní. Klientská připojení VPN mohou být IPsec – zdarma ke stažení od Check Pointu – nebo PPTP (Point to Point Tunneling Protocol), který podporuje klienta Microsoft VPN. Dále mohou být klienti autorizováni porovnáním s interní databází nebo RADIUS serverem. Jednotka také umožňuje statické směrování, což znamená, že můžete mít za firewallem další „podsítě“, které rovněž mohou směrovat.

Safe@Office se v testu ukázal jako velmi efektivní firewall. Jednotka odrazila sadu našich simulovaných útoků a přestála všechny pokusy proplížit se pomocí pingu z WANu buď do DMZ (demilitarizované zóny) nebo LAN. Safe@Office má unikátní způsob antivirové kontroly e-mailů, podle které jsme uzpůsobili náš test. Řešení přesměruje veškerou poštu na server Check Pointu, který ji zkontroluje a poté přeposílá adresátovi. To vysvětluje, proč je tak malý procesor tohoto zařízení schopen řešit tolik služeb najednou. Na druhou stranu, na rozdíl od jiných antivirových řešení, Safe@Office nemůže kontrolovat viry stažené před instalací.

Takže? Check Point, aby dosáhl řešení Safe@Office, svléknul tolik opěvovaný Firewall-1 až na kost. Předchází jej však uživatelsky přátelské ovládání a díky využití rozsáhlých webových služeb, jako jsou antivirový systém, filtrování webu a dynamické DNS, nabízí Safe@Office komplexní služby za přijatelnou cenu.

Juniper NetScreen-5GT Enhanced

NetScreen-5GT Enhanced v podobě malé krabičky kombinuje všechno, co byste si od řešení typu „všechno v jednom“ mohli přát včetně firewallu, VPN, detekce průniku a antiviru. Navíc se přístroj pyšní atraktivní cenou 500 dolarů včetně 10 VPN klientů.

NetScreen-5GT má logicky navržené webové rozhraní. Pokud hledáte jen obecný zdravotní stav firewallu není nutné se prokousávat do hloubky jeho menu, což přijde v nouzové situaci vhod – a tato jednotka reaguje na nouzové situace. NetScreen jde ale ještě dál za základní funkcionalitu obdobných řešení se specifickými obranami hostitele proti populárním útokům, a to včetně takových, jakými jsou WinNuke, ICMP/UDP, SYN flood, a mnoha dalších, ať již založených na Javě nebo na ActiveX.

Reakce na různé útoky jsou zobrazeny v podobě menu. Tato jednotka umožňuje nastavit obranu od jednoduchého zazvonění budíku až po vypouštění náhodných paketů. Po tomto nastavení NetScreen zastavil všechno, co jsme na něj poslali, včetně toho, že jsme šli až za hranice našich běžných způsobů útočení.

Podobně na nás udělaly silný dojem antivirové možnosti. Zde stejně jako Safe@Office od Check Pointu i NetScreen řeší antivirovou funkcionalitu formou předplacené služby, kterou u Juniperu zaštiťuje partner Trend Micro. Testované zařízení rozlišovalo antivirové nastavení na WebMail a POP3/SMTP služby; byli jsme však překvapeni, že nejsou podporováni uživatelé komunikující prostřednictvím protokolu IMAP. Rovněž test VPN funkcionality byl u NetScreenu takřka bezproblémový, přičemž se jednotka s přehledem postarala o 20 VPN tunelů.

Jak jsme se v našich testech přesvědčili, NetScreen může plnohodnotně ochránit SOHO či malou nebo střední firmu. Jeho výkon vykazuje schopnost plnit úkoly firewallu pro sítě s až 50 klienty, aniž by se „zapotil“. Nejenže podporuje několikanásobné ISP pro překlenutí selhání, ale umí i přerušit vytáčené připojení v případě selhání WAN. Filtrování obsahu internetu je dalším příkladem jeho nadstandardní výbavy. Za příplatek lze také získat přístup k předplacené službě WebSence, kde lze tvořit firemní bílé nebo černé seznamy.

Jednou z unikátních funkcí NetScreenu je přesměrování zdroje. Každá jednotka, kterou jsme testovali, si poradí s přidaným statickým přesměrováním, ale pouze NetScreen umožňuje přidat položky přesměrování zdroje, které vykazují odkud přesměrování pochází a kam zdroj dorazil přes OSPF, RIP (Routing Information Protocol), BGP (Boundary Gateway Protocol) nebo statickou položku. Toto je vskutku pokročilá funkce firewallu, kterou jsme u malého řešení nečekali a jednoznačně jsme nepředpokládali, že bude takto přístupná.

NetGear VPN Firewall FVS328

NetGear si udělal dobré jméno v produktové aréně kategorie SOHO, a ačkoli testovaý model FVS328 tuto pověst nepoškodí, klopýtali jsme při jeho testování dostatečně na to, abychom byli při doporučování tohoto řešení opatrnější.

NetGear FVS328 jako jediná z testovaných jednotek nepodporuje antivirus. Na druhou stranu u něj bylo jeho základní nastavení druhým nejjednodušším a při ceně 195 dolarů bylo toto bezkonkurenčně nejlevnější. Bohužel jednoduchost jeho použití jde tak trochu na úkor funkcionality; pokud chcete cokoli jen trochu upravit dle svých požadavků, musíte se ponořit do obsáhlé dokumentace.

Nejvíce problémů jsme měli při testování funkcionality VPN. Naše testovací zařízení Spirent SmartBits 600 na TeraVPN, chtělo z výkonnostních důvodů využít některých kódových schémat, ale způsob, jakým NetGear nastavil VPN, se neshodoval se Spirentovým nastavením. V případě FVS328 je trochu složité nastavit pokročilé vlastnosti propojení VPN, jako je například Diffie-Hellman Key Agreement Standard. Když se nám to nakonec podařilo, zjistili jsme, že jednotka umí pouze 3DES a skupinu 2 Diffie-Hellman. Toto sice není kritické pro řešení orientované na SOHO, ale Check Point i ServGate nabídly větší možnosti.

Také poté, co jsme nastavili VPN tunely, vyvstalo ještě několik nesrovnalostí. Nemohli jsme například aktivovat VPN tunel, dokud jsme nejdříve neposlali skrz ping, což nebylo v návodech od NetGearu zmíněno. A ačkoli návod naznačoval, že IPsec by měl bý nastaven jako služba, opomněli zmínit, že takovéto nastavení je kritické pro zprovoznění jakéhokoli VPN tunelu. NetGear nám následně sdělil, že o problému s tunelováním vědí a pracují na nové verzi firmwaru, který by měl problém vyřešit.

Testy firewallu dopadly lépe. Velmi se nám líbilo jeho základní nastavení, které je jednoduché a založené na průvodci. Krabička poskytuje kompletní firewall, jenž prošel našimi všemi našimi ad hoc pokusy o nabourání se a zastavil řadu útoků DDoS. Průvodce dokonce nabízí několik „vychytávek“, jako je například znepřístupnění některých typů přenosů v závislosti na denní hodině. Líbila se nám také možnost vložení adres pro certifikační autority.

Ačkoli je řešení od NetGearu k dispozici za velmi lákavou cenu a obsahuje přátelské prostředí, jde o běžný firewall obutý do možností VPN – a je to vidět. Protože jeho CPU pozbývá možnosti kódování, je výkon při 10 a více současně otevřených tunelech výrazně snížen. Jak ale známe NetGear, lepší firmware je již jistě na světě. Doporučujeme však tento produkt plně otestovat, než za něj utratíte byť malé množství peněz. Vaše společnost bude za tuto námahu odměněna vyšší bezpečností.

SonicWall Pro 2040

Jednotka Pro 2040 je kombinací další generace operačního systému společnosti SonicWall a hardwarové architektury, která snese slušnou zátěž, pokud je správně nastavená – úkol, který není tak jednoduchý, jak byste si mohli myslet podle pověsti výrobce. Ihned po rozbalení vám musí být jasné, že tento firewall střední třídy je (díky svému zevnějšku) čertíkem z krabičky. Ve větší firmě jej můžete namontovat do racku, kde zabírá místo o velikosti 1 U, nebo ho lze jen položit na stůl či polici (ve firmě odpovídající definici SOHO).

K testování jsme jej obdrželi v plné výbavě; za normálních okolností si zákazník musí operační systém Enhanced objednat zvlášť. Potom může využívat pokročilých funkcí včetně zajištění proti selhání ISP, rozložení zátěže mezi několika jednotek 2040 nebo nastavení překladu adres (NAT) podle pravidel.

SonicWall Pro 2040 samozřejmě funguje i bez SonicOS Enhanced, ale krabička jej vyžaduje i na hardwarové úrovni: instalací Enhanced aktivujete čtvrtý ethernetový port 10/100, který lze využít jako druhé WAN, LAN nebo DMZ spojení nebo hardwarové propojení s jinou Pro 2040 pro případ selhání. Ani z pohledu nabízených funkcí není SonicWall žádný chudák, a to vzhledem k jeho plné integraci s nabídkou bezpečnostních prvků včetně antiviru a filtrování obsahu.

SonicWall vybavil Pro 2040 samostatným procesorem pro kódování. Podávaný výkon byl solidní a identický bez ohledu na použitý způsob kódování – AES-256 nebo 3DES. Pro 2040 si také poradil se všemi statickými útoky na firewall a rovněž prošel antivirovými testy. Nicméně, vezmeme-li v potaz jeho cenu 1 995 dolarů, očekávali jsme od něj více než od srovnatelného NetScreenu-5GT, za který zaplatíte „pouhých“ 495 dolarů.

Snad jediným problémem tohoto zařízení bylo, když jsme museli změnit interní systémovou LAN adresu. To způsobilo, že nás firewall úplně izoloval a donutil nás kompletně přeinstalovat firmware, smazat původní nastavení a licence. Než jsme byli schopni zprovoznit znovu více než 2 VPN spojení museli jsme firewall znovu zaregistrovat u SonicWallu. Poučení? Webové rozhraní jednotky Pro 2040 není blbuvzdorné.

WatchGuard Firebox X1000

WatchGuard na svém zařízení musí ještě zapracovat. Náš úžas z nádherné červené barvy Fireboxu při otevření balení byl první a zároveň posledním pozitivním pocitem z tohoto produktu. Brzy po začátku testování jsme jej pracovně pojmenovali „Microsoft box“, protože vyžadoval tvrdý restart častěji než Windows server – a to je zařízení, které interně běží na Linuxu!

Související články:
Dlouhodobý test hardwarového firewallu RoBox - 1. díl: co se vlastně skrývá v té krabičce?
Dvě Dlouhodobý test hardwarového firewallu RoBox - 2. díl: zapojení, konfigurace, pro koho se hodí?
Dlouhodobý test hardwarového firewallu RoBox - 3. díl: popis nejdůležitějších služeb a funkcí
Dlouhodobý test hardwarového firewallu RoBox - 4. díl: jak si vede konkurence?
Dlouhodobý test hardwarového firewallu RoBox - 5. díl: Testy, testy, testy
Dlouhodobý test hardwarového firewallu RoBox - 6. díl: Jak to tedy vlastně nakonec dopadlo
Vzhledem k tomu, že každý restart zabral přinejmenším plných 60 vteřin, byli jsme z toho brzy velmi unaveni. A systémoví administrátoři budou také, protože tvrdý restart v podstatě znamená přinejmenším restart internetové brány. Každý krok při nastavování často vyžadoval několik restartů, takže vaši uživatelé také nebudou nadšení.

Dokonce i bez pekla, které představovalo restartování, není nastavení Fireboxu žádná procházka růžovou zahradou. Pro nastavení využívá tlustého klienta, takže aby šel firewall vůbec zprovoznit, musí se na stanici určené pro nastavení Fireboxu nainstalovat software – žádné jiné z testovaných zařízení něco takového nevyžaduje. Firewall musíte poté připojit jak ethernetovým, tak sériovým připojením. Sériový port přitom není konzolí; je to pouze cesta, kterou software sděluje Fireboxu základní informace o nastavení, takže si uvědomí svou existenci v síti. Důvod pro tento krok nám uniká.

Daleko více nás znepokojuje, že nelze využít VPN funkcionalitu, i když zařízení s cenovkou 2 500 dolarů je uváděné jako firewall a VPN řešení. Jestliže vyžadujete VPN funkcionalitu, musíte si stáhnout jinou verzi operačního systému ze stránek WatchGuardu. WatchGuard argumentuje tím, že produkt je míněn pro export, a proto nesmí být silná enkrypce zahrnuta v základní nabídce. Dále, ačkoli je Firebox prodáván s pěti ethernetovými porty, si musíte zaplatit další licence, aby byly všechny aktivní; v základu jsou aktivní pouze nedůvěryhodný WAN port a dva LAN porty.

Jediná funkce, která odlišuje Firebox od ostatních produktů v testu, je intenzivní koncentrace na technologii proxy. Dobrým příkladem je http proxy, která – místo pouhého procházení TCP portem 80 – umožňuje mnohem hlubší kontrolu veškerých internetových přenosů. Ačkoli implementace této technologie může znamenat vynikající průnik do příchozího a odchozího internetového provozu, WatchGuard nevytvořil dostatečně jednoduché nastavení, aby ospravedlnil svou přítomnost na trhu určeném pro bezpečnostní profesionály z jiných oborů než IT.

Závěr

Na těch zařízeních, která od nás dostala certifikát řešení, naše testy prokázaly, že jejich funkce jsou robustní a dostatečně vyspělé, aby poskytly dostatečný bezpečnostní štít menším společnostem, bez potřeby najímání specialistů na problematiku bezpečnosti sítě na plný úvazek. Výběr správného řešení pro vás je jednoduše otázkou komfortu uživatelského prostředí, ceny a výhledu do budoucna ve smyslu růstu vaší počítačové sítě v nejbližších letech.

Autoři: Brian Chee a Oliver Rist, redaktoři Computerworldu

Zveřejněno se souhlasem týdeníku Computerworld.





Hlavní zprávy

Další z rubriky

Konference Ignite je pořádána v americkém Orlandu.
Nové Windows S notebooky cenou nepřekročí 350 USD

Microsoft na konferenci Ignite představil nové modely notebooků s odlehčenými Windows S.  celý článek

Říjnové novinky společnosti Google
Nový reproduktor Google je jako koblížek. Notebook to umí s perem

Google Home má novou malou barevnou a velkou hi-fi verzi. Nový notebook s Chrome OS je přetáčecí a podporuje digitální pero. K tomu firma ukázala vlastní...  celý článek

Virtuální realita v podobě HoloLens chce být každodenním pomocníkem.
Připravte se na mixovanou realitu ve Windows. Přijde v polovině října

S příchodem podzimního vylepšení Windows 10 bude systém plně podporovat mixovanou realitu. Firmy se již na ni plně připravují a při startu za necelé dva týdny...  celý článek

Hledáte maminku v okolí na společné aktivity?
Hledáte maminku v okolí na společné aktivity?

Tyhle maminky na eMimino.cz jsou na tom stejně.

Najdete na iDNES.cz



mobilní verze
© 1999–2017 MAFRA, a. s., a dodavatelé Profimedia, Reuters, ČTK, AP. Jakékoliv užití obsahu včetně převzetí, šíření či dalšího zpřístupňování článků a fotografií je bez souhlasu MAFRA, a. s., zakázáno. Provozovatelem serveru iDNES.cz je MAFRA, a. s., se sídlem
Karla Engliše 519/11, 150 00 Praha 5, IČ: 45313351, zapsaná v obchodním rejstříku vedeném Městským soudem v Praze, oddíl B, vložka 1328. Vydavatelství MAFRA, a. s., je členem koncernu AGROFERT.