Právě úspěšnost šesti krabicových řešení typu „všechno v jednom“ se rozhodli porovnat naši američtí kolegové v Havajské laboratoři specializované na sítě v provozu tamní státní univerzity. Všech šest recenzovaných produktů je považováno za „řešení“, ale varujeme vás: nejedná se o 100% spolehlivé plug-and-play produkty. Naše testy rovněž ukázaly, že výrobci mají rozdílné mínění nejen o definicích všezahrnujícího zabezpečení, ale také o tom, co takové řešení „vše v jednom“ má obsahovat.
Vyzvali jsme celkem sedm výrobců firewallů, aby nám zaslali nejnovější verze svýchh řešení. Šest statečných zápasníků se dostavilo na startovací čáru: Check Point Safe@Office 225, Juniper Netscreen-5GT Enhanced, NetGear VPN Firewall FVS328, ServGate EdgeForce Plus, SonicWall Pro 2040 a WatchGuard Firebox X1000. Jeden z vyzvaných (Symantec) se nezúčastnil testu, protože nebyl schopen připravit software na úrovni distribuce včas. Produkt ServGate EdgeForce Plus jsme do přehledu nezařadili, jelikož se na českém trhu neprodává.
Jak jsme hodnotili
| Bezpečnost zeširoka |
|
Bezpečnost zeširoka V aktuálním testu týdne jsme se blíže podívali na bezpečnostní řešení označovaná jako appliances. Tedy zařízení typu „všechno v jednom“. Jednalo se o pět produktů renomovaných (v oblasti bezpečnosti) společností Check Point, Juniper Networks, NetGear, SonicWall a WatchGuard. |
Naše testy začali pouze s jedním tunelem, abychom se ujistili, že jsou VPN funkční. V dalším testu jsme již využili 20 tunelů nebo nejvyšší podporovaný počet tunelů, pokud jich zařízení 20 nezvládlo. Malá nebo střední firma o 100 až 200 zaměstnancích využívá obvykle nejvíce 20 tunelů najednou. Nejdříve jsme vytvořili 20 tunelů Phase I (IKE) a pak jsme v každém z nich vytvořili jeden tunel Phase II (IPSec). Nechali jsme poslat sadu souborů s pevnou velikostí 1 024 bajtů rozdělením 500 000 sad mezi všech 20 tunelů. Poté, jako druhý test, jsme začali posílat po krocích soubory o velikosti 64 bajtů až 1 350 bajtů. Tato fáze byla opakována 50 000krát během každého kroku.
|
Appliances – všechno v jednom |
|
Produkty tohoto typu se ideálně hodí do prostředí malých a středně velkých firem a společností. V jednom šasi tak mají administrátoři k dispozici produkt nabízející funkcionalitu firewallu, VPN, antivirového, nebo dokonce i antispamového řešení. Setkat se dále můžete i s kombinací se systémem detekce narušení (IDS). |
Pokusili jsme se také o sadu manuálních útoků – cokoli, abychom dostali ping skrz firewall. Vzdal to pouze NetGear, ale i v tomto případě to bylo značně nejisté, protože při pokusu o zopakování tohoto průniku jsme již úspěšní nebyli. Sečteno a podtrženo: jakmile jsou tato zařízení nastavena, můžete se považovat za ochráněné před běžnými útoky.
| Náročné testování |
| Při testech zařízení jsme se soustředili na tři základní oblasti: výkon VPN, ochranu před útoky na firewall a schopnosti antivirového programu. Použili jsme přitom náročnou sestavu hardwaru a softwaru i od společnosti Spirent Communications v honotě několika desítek tisíc dolarů. |
Check Point Safe@Office 225
Přestože je Check Point znám zejména celou řadou robustních řešení s vysokou cenou a komplexním OS, nevelký Safe@Office ukázal, že je v oblasti SOHO firewallů skvělým zápasníkem. Safe@Office 225 je nejsnáze konfigurovatelným zařízením ze všech testovaných řešení, navíc je založen na nejprodávanější platformě Check Pointu – Firewall-1. V případě Safe@Office 225 však není díky jeho vysoce intuitivní uživatelské prostředí ovládání složité (jako je tomu u korporátních implementací Firewallu-1). Takřka každá část programu má pro nastavení samostané karty včetně dynamických DNS, dynamických VPN a e-mailového antiviru. Navíc každá část včetně nápovědy je po internetu automaticky aktualizována ze serverů společnosti Check Point.
Ačkoli má toto řešení pravděpodobně dostatek síly k ochránění i větších společností, je Safe@Office typickým SOHO produktem. Check Point jednotku omezil na 10 současných připojení firewallu. Je také limitován na 10 současných připojení VPN; nicméně tyto připojení mohou být libovolně kombinovány včetně klient-LAN nebo LAN-LAN. V prostředích malých firem, je jak jsme se sami přesvědčili díky Safe@Office, správa a zabezpečení sítě jednoduchým a dosažitelným úkolem.
Jak je u Check Point typické, jádro za těmito několika připojeními je překvapivě robustní. Klientská připojení VPN mohou být IPsec – zdarma ke stažení od Check Pointu – nebo PPTP (Point to Point Tunneling Protocol), který podporuje klienta Microsoft VPN. Dále mohou být klienti autorizováni porovnáním s interní databází nebo RADIUS serverem. Jednotka také umožňuje statické směrování, což znamená, že můžete mít za firewallem další „podsítě“, které rovněž mohou směrovat.
Safe@Office se v testu ukázal jako velmi efektivní firewall. Jednotka odrazila sadu našich simulovaných útoků a přestála všechny pokusy proplížit se pomocí pingu z WANu buď do DMZ (demilitarizované zóny) nebo LAN. Safe@Office má unikátní způsob antivirové kontroly e-mailů, podle které jsme uzpůsobili náš test. Řešení přesměruje veškerou poštu na server Check Pointu, který ji zkontroluje a poté přeposílá adresátovi. To vysvětluje, proč je tak malý procesor tohoto zařízení schopen řešit tolik služeb najednou. Na druhou stranu, na rozdíl od jiných antivirových řešení, Safe@Office nemůže kontrolovat viry stažené před instalací.
Takže? Check Point, aby dosáhl řešení Safe@Office, svléknul tolik opěvovaný Firewall-1 až na kost. Předchází jej však uživatelsky přátelské ovládání a díky využití rozsáhlých webových služeb, jako jsou antivirový systém, filtrování webu a dynamické DNS, nabízí Safe@Office komplexní služby za přijatelnou cenu.
Juniper NetScreen-5GT Enhanced
NetScreen-5GT Enhanced v podobě malé krabičky kombinuje všechno, co byste si od řešení typu „všechno v jednom“ mohli přát včetně firewallu, VPN, detekce průniku a antiviru. Navíc se přístroj pyšní atraktivní cenou 500 dolarů včetně 10 VPN klientů.
NetScreen-5GT má logicky navržené webové rozhraní. Pokud hledáte jen obecný zdravotní stav firewallu není nutné se prokousávat do hloubky jeho menu, což přijde v nouzové situaci vhod – a tato jednotka reaguje na nouzové situace. NetScreen jde ale ještě dál za základní funkcionalitu obdobných řešení se specifickými obranami hostitele proti populárním útokům, a to včetně takových, jakými jsou WinNuke, ICMP/UDP, SYN flood, a mnoha dalších, ať již založených na Javě nebo na ActiveX.
Reakce na různé útoky jsou zobrazeny v podobě menu. Tato jednotka umožňuje nastavit obranu od jednoduchého zazvonění budíku až po vypouštění náhodných paketů. Po tomto nastavení NetScreen zastavil všechno, co jsme na něj poslali, včetně toho, že jsme šli až za hranice našich běžných způsobů útočení.
Podobně na nás udělaly silný dojem antivirové možnosti. Zde stejně jako Safe@Office od Check Pointu i NetScreen řeší antivirovou funkcionalitu formou předplacené služby, kterou u Juniperu zaštiťuje partner Trend Micro. Testované zařízení rozlišovalo antivirové nastavení na WebMail a POP3/SMTP služby; byli jsme však překvapeni, že nejsou podporováni uživatelé komunikující prostřednictvím protokolu IMAP. Rovněž test VPN funkcionality byl u NetScreenu takřka bezproblémový, přičemž se jednotka s přehledem postarala o 20 VPN tunelů.
Jak jsme se v našich testech přesvědčili, NetScreen může plnohodnotně ochránit SOHO či malou nebo střední firmu. Jeho výkon vykazuje schopnost plnit úkoly firewallu pro sítě s až 50 klienty, aniž by se „zapotil“. Nejenže podporuje několikanásobné ISP pro překlenutí selhání, ale umí i přerušit vytáčené připojení v případě selhání WAN. Filtrování obsahu internetu je dalším příkladem jeho nadstandardní výbavy. Za příplatek lze také získat přístup k předplacené službě WebSence, kde lze tvořit firemní bílé nebo černé seznamy.
Jednou z unikátních funkcí NetScreenu je přesměrování zdroje. Každá jednotka, kterou jsme testovali, si poradí s přidaným statickým přesměrováním, ale pouze NetScreen umožňuje přidat položky přesměrování zdroje, které vykazují odkud přesměrování pochází a kam zdroj dorazil přes OSPF, RIP (Routing Information Protocol), BGP (Boundary Gateway Protocol) nebo statickou položku. Toto je vskutku pokročilá funkce firewallu, kterou jsme u malého řešení nečekali a jednoznačně jsme nepředpokládali, že bude takto přístupná.
NetGear VPN Firewall FVS328
NetGear si udělal dobré jméno v produktové aréně kategorie SOHO, a ačkoli testovaý model FVS328 tuto pověst nepoškodí, klopýtali jsme při jeho testování dostatečně na to, abychom byli při doporučování tohoto řešení opatrnější.
NetGear FVS328 jako jediná z testovaných jednotek nepodporuje antivirus. Na druhou stranu u něj bylo jeho základní nastavení druhým nejjednodušším a při ceně 195 dolarů bylo toto bezkonkurenčně nejlevnější. Bohužel jednoduchost jeho použití jde tak trochu na úkor funkcionality; pokud chcete cokoli jen trochu upravit dle svých požadavků, musíte se ponořit do obsáhlé dokumentace.
Nejvíce problémů jsme měli při testování funkcionality VPN. Naše testovací zařízení Spirent SmartBits 600 na TeraVPN, chtělo z výkonnostních důvodů využít některých kódových schémat, ale způsob, jakým NetGear nastavil VPN, se neshodoval se Spirentovým nastavením. V případě FVS328 je trochu složité nastavit pokročilé vlastnosti propojení VPN, jako je například Diffie-Hellman Key Agreement Standard. Když se nám to nakonec podařilo, zjistili jsme, že jednotka umí pouze 3DES a skupinu 2 Diffie-Hellman. Toto sice není kritické pro řešení orientované na SOHO, ale Check Point i ServGate nabídly větší možnosti.
Také poté, co jsme nastavili VPN tunely, vyvstalo ještě několik nesrovnalostí. Nemohli jsme například aktivovat VPN tunel, dokud jsme nejdříve neposlali skrz ping, což nebylo v návodech od NetGearu zmíněno. A ačkoli návod naznačoval, že IPsec by měl bý nastaven jako služba, opomněli zmínit, že takovéto nastavení je kritické pro zprovoznění jakéhokoli VPN tunelu. NetGear nám následně sdělil, že o problému s tunelováním vědí a pracují na nové verzi firmwaru, který by měl problém vyřešit.
Testy firewallu dopadly lépe. Velmi se nám líbilo jeho základní nastavení, které je jednoduché a založené na průvodci. Krabička poskytuje kompletní firewall, jenž prošel našimi všemi našimi ad hoc pokusy o nabourání se a zastavil řadu útoků DDoS. Průvodce dokonce nabízí několik „vychytávek“, jako je například znepřístupnění některých typů přenosů v závislosti na denní hodině. Líbila se nám také možnost vložení adres pro certifikační autority.
Ačkoli je řešení od NetGearu k dispozici za velmi lákavou cenu a obsahuje přátelské prostředí, jde o běžný firewall obutý do možností VPN – a je to vidět. Protože jeho CPU pozbývá možnosti kódování, je výkon při 10 a více současně otevřených tunelech výrazně snížen. Jak ale známe NetGear, lepší firmware je již jistě na světě. Doporučujeme však tento produkt plně otestovat, než za něj utratíte byť malé množství peněz. Vaše společnost bude za tuto námahu odměněna vyšší bezpečností.
SonicWall Pro 2040
Jednotka Pro 2040 je kombinací další generace operačního systému společnosti SonicWall a hardwarové architektury, která snese slušnou zátěž, pokud je správně nastavená – úkol, který není tak jednoduchý, jak byste si mohli myslet podle pověsti výrobce. Ihned po rozbalení vám musí být jasné, že tento firewall střední třídy je (díky svému zevnějšku) čertíkem z krabičky. Ve větší firmě jej můžete namontovat do racku, kde zabírá místo o velikosti 1 U, nebo ho lze jen položit na stůl či polici (ve firmě odpovídající definici SOHO).
K testování jsme jej obdrželi v plné výbavě; za normálních okolností si zákazník musí operační systém Enhanced objednat zvlášť. Potom může využívat pokročilých funkcí včetně zajištění proti selhání ISP, rozložení zátěže mezi několika jednotek 2040 nebo nastavení překladu adres (NAT) podle pravidel.
SonicWall Pro 2040 samozřejmě funguje i bez SonicOS Enhanced, ale krabička jej vyžaduje i na hardwarové úrovni: instalací Enhanced aktivujete čtvrtý ethernetový port 10/100, který lze využít jako druhé WAN, LAN nebo DMZ spojení nebo hardwarové propojení s jinou Pro 2040 pro případ selhání. Ani z pohledu nabízených funkcí není SonicWall žádný chudák, a to vzhledem k jeho plné integraci s nabídkou bezpečnostních prvků včetně antiviru a filtrování obsahu.
SonicWall vybavil Pro 2040 samostatným procesorem pro kódování. Podávaný výkon byl solidní a identický bez ohledu na použitý způsob kódování – AES-256 nebo 3DES. Pro 2040 si také poradil se všemi statickými útoky na firewall a rovněž prošel antivirovými testy. Nicméně, vezmeme-li v potaz jeho cenu 1 995 dolarů, očekávali jsme od něj více než od srovnatelného NetScreenu-5GT, za který zaplatíte „pouhých“ 495 dolarů.
Snad jediným problémem tohoto zařízení bylo, když jsme museli změnit interní systémovou LAN adresu. To způsobilo, že nás firewall úplně izoloval a donutil nás kompletně přeinstalovat firmware, smazat původní nastavení a licence. Než jsme byli schopni zprovoznit znovu více než 2 VPN spojení museli jsme firewall znovu zaregistrovat u SonicWallu. Poučení? Webové rozhraní jednotky Pro 2040 není blbuvzdorné.
WatchGuard Firebox X1000
WatchGuard na svém zařízení musí ještě zapracovat. Náš úžas z nádherné červené barvy Fireboxu při otevření balení byl první a zároveň posledním pozitivním pocitem z tohoto produktu. Brzy po začátku testování jsme jej pracovně pojmenovali „Microsoft box“, protože vyžadoval tvrdý restart častěji než Windows server – a to je zařízení, které interně běží na Linuxu!
Dokonce i bez pekla, které představovalo restartování, není nastavení Fireboxu žádná procházka růžovou zahradou. Pro nastavení využívá tlustého klienta, takže aby šel firewall vůbec zprovoznit, musí se na stanici určené pro nastavení Fireboxu nainstalovat software – žádné jiné z testovaných zařízení něco takového nevyžaduje. Firewall musíte poté připojit jak ethernetovým, tak sériovým připojením. Sériový port přitom není konzolí; je to pouze cesta, kterou software sděluje Fireboxu základní informace o nastavení, takže si uvědomí svou existenci v síti. Důvod pro tento krok nám uniká.
Daleko více nás znepokojuje, že nelze využít VPN funkcionalitu, i když zařízení s cenovkou 2 500 dolarů je uváděné jako firewall a VPN řešení. Jestliže vyžadujete VPN funkcionalitu, musíte si stáhnout jinou verzi operačního systému ze stránek WatchGuardu. WatchGuard argumentuje tím, že produkt je míněn pro export, a proto nesmí být silná enkrypce zahrnuta v základní nabídce. Dále, ačkoli je Firebox prodáván s pěti ethernetovými porty, si musíte zaplatit další licence, aby byly všechny aktivní; v základu jsou aktivní pouze nedůvěryhodný WAN port a dva LAN porty.
Jediná funkce, která odlišuje Firebox od ostatních produktů v testu, je intenzivní koncentrace na technologii proxy. Dobrým příkladem je http proxy, která – místo pouhého procházení TCP portem 80 – umožňuje mnohem hlubší kontrolu veškerých internetových přenosů. Ačkoli implementace této technologie může znamenat vynikající průnik do příchozího a odchozího internetového provozu, WatchGuard nevytvořil dostatečně jednoduché nastavení, aby ospravedlnil svou přítomnost na trhu určeném pro bezpečnostní profesionály z jiných oborů než IT.
Závěr
Na těch zařízeních, která od nás dostala certifikát řešení, naše testy prokázaly, že jejich funkce jsou robustní a dostatečně vyspělé, aby poskytly dostatečný bezpečnostní štít menším společnostem, bez potřeby najímání specialistů na problematiku bezpečnosti sítě na plný úvazek. Výběr správného řešení pro vás je jednoduše otázkou komfortu uživatelského prostředí, ceny a výhledu do budoucna ve smyslu růstu vaší počítačové sítě v nejbližších letech.
Autoři: Brian Chee a Oliver Rist, redaktoři Computerworldu
Zveřejněno se souhlasem týdeníku Computerworld.
