Klávesové zkratky na tomto webu - základní­
Přeskočit hlavičku portálu


Dlouhodobý test hardwarového firewallu RoBox - 6. díl: Jak to tedy vlastně nakonec dopadlo

aktualizováno 
Firewally se dostávají do povědomí uživatelů stále více - internet expanduje a ochrana počítače je nezbytná. Softwarových firewallů jsou desítky, ne-li stovky, ale hardwarových? Jeden takový byl podroben testu. Jak si vedl, co lze od něj očekávat a kolik vlastně stojí?
  • 1. díl testu RoBOXu: co se vlastně skrývá v té krabičce?
  • 2. díl testu RoBoXu: zapojení, konfigurace, pro koho se hodí?
  • 3. díl testu RoBoXu: popis nejdůležitějších služeb a funkcí
  • 4. díl testu RoBoxu: jak si vede konkurence?
  • 5. díl testu RoBoXu: Testy, testy, testy
  • 6. díl testu RoBoXu: Jak to tedy vlastně nakonec dopadlo
  • Jak to tedy vlastně nakonec dopadlo

    A jak tedy dopadl RoBoX? Musím přiznat mírné zklamání, nikoli však nad RoBoXem, ale nad účastí testerů. Nejspíše byla důvodem nedostatečná motivace. Nakonec, pokud je firewall alespoň trochu dobře navržený, jako že GNAT Box je, pak realizace útoku, který má mít šanci na úspěch, vyžaduje mnoho času a energie a to je přesně to, čeho mají profesionálové málo. Každopádně příliš mnoho pokusů o průnik se neudálo, a tak mluvit o brutálním testu, který by dal firewallu "pořádně zabrat", opravdu nelze, ač jsem v to v duchu doufal. Řekněme tedy, že se nám podařilo otestovat RoBoX ve standardním provozu.

    Logy jsem analyzoval pomocí již zmíněného RnR (RportGen for Gnatbox ver 1.1.6), který umí jednoduše roztřídit, co na který port přišlo, odkud apod. Neumožňuje ale vyhodnocovat stavy firewallu ani reagovat na nahlášené události typu ALARM, NOTICE apod., natož pro ně vytvořit statistiku. To by měl umět GNAT Box Reporting Utility, ale ten se rozhodl držet bobříka mlčení a nevyzradil ani písmenko. Bohužel tedy nemohu prezentovat úchvatnou statistiku včetně rozboru, na kterou jsme se všichni jistě těšili. A bohužel není v lidských silách protřídit a komplexně vyhodnotit logy za týden. Přesto vás o základní informace neošidím.

    V logu se objevilo poměrně dost ALARMů (kdyby ne, tak bych se hodně divil a měl bych každopádně problém). Jedná se o záznamy od filtrů, které značí události nebezpečné, ukážeme si to na příkladu jednoho takového záznamu z konkrétního logu z druhého testu. Nicméně upozorňuji, že oproti modelové situaci výše se v tomto odstavci moc nového nedozvíte.

    May 7 09:49:19 192.168.190.20 FILTER: 16347 matches for 17: Deny warning ANY ALL alarm from ANY_IP to ANY_IP

    Tento záznam prozrazuje, že dne 7. května, v čase 09:49:19 přišlo na rozhraní firewallu s IP 192.168.190.20 něco ošklivého. Jednalo se o událost číslo 16347 od spuštění RoBoXu a vyhodnocoval ji filtr 17. Ten je nastaven tak, aby odmítl (deny) veškeré pakety, které sedí na jeho definici (každý, který se na něj dostane), a to pro všechna rozhraní RoBoXu (ANY – kterékoli z rozhraní, ALL – porty), ať již jsou směřována odkuďkoli kamkoli (pomocí Adresového objektu ANY_IP je zde ošetřen celý adresní rozsah IP v.4)
    FILTR 17: (viz obrázek) odchytává veškeré pakety, které neodchytl žádný z předchozích filtrů. Takové pakety tedy nutně nepatří mezi ty povolené.

    Dalším typem zpráv jsou tyto, které jsou obdobou předešlé, ale adresnější:
    May 7 17:06:35 192.168.190.20 FILTER: RAF (17) block - warning TCP [147.32.126.xxx:42413]->[147.230.190.20:12435] alarm sis1 l=0 f=0x2

    RAF zde značí typ filtru, který tuto zprávu generoval, zde Remote Acces Filter a opět číslo 17. Záznam praví, že pomocí TCP paketu zaslaného z IP adresy 147.32.126.xxx a konkrétního plikačního portu 42413 se někdo pokusil připojit na zakázaný port 12435 na vnějším rozhraní RoBoXu. Podle podezřele vysokého čísla cílového portu se jedná o jasný útok. Výjimkou by byla situace, kdy by na tomto portu byl Virtuální Crack, ale to by neřešil filtr 17. Další údaje prozrazují rozhraní, na něž paket přišel (sis1), a jeho délku (l=0).

    Pokud by některý z těchto paketů prošel, prozradil by ho záznam na cílovém stroji, což se nestalo.

    Co prozradily logy na jednotlivých strojích

    Stroj: Úkol stroje v testu: Logy: Popis:
    TOMB 192.168.191.21 počítač v PSN, sem mířil veškerý provoz, přes otevřené porty 80, 22 a 25 tomb_secure soubor s hlášeními od PAM, sshd a dalších interních bezpečnostních mechanismů Linuxu na stroji jménem Tomb. Další logy neobsahovaly žádné podstatné údaje (ve vztahu k testu)
    Jak vidno, není moc co analyzovat:-)
    Notebook 192.168.190.111 Notebook, kam byly ukládány záznamy zaslané prostřednictvím Remote logging z RoBoXu, na stroj nebyl zvenčí žádný přístup, pouze z PSN byl přístupný port pro syslog (TCP/514), DNS (TCP+UDP/53) apod. /var/log/robox_local0 Soubor s hlášeními od NAT na RoBoXu, tj. o každém spojení, které bylo puštěné dovnitř na jednom z povolených portů
    RnR nás obšťastnil takovýmito pěknými výpisy – Využití portů, Přijatá a odeslaná data v bajtech na každém z rozhraní, Výpis dění a Celkovou statistikou
    Notebook 192.168.190.111 Logovací notebook – tentokrát jiný datový soubor /var/log/messages jinak též robox_local2 Souhrn dění na síti, hlášení filtrů a dalších služeb RoBoXu. Odfiltroval jsem DNS pakety, které zabíraly 98.2% souboru. Z toho je zřejmé, že příliš útoků se nedělo. Bohužel.
    RnR o tomto logu mnoho nepoví, neboť neumí vyhodnotit ALARM, NOTICE a jiné události, které jsou pro nás podstatné. Protože nástroj, který by to měl umět, odmítl spolupráci, prošel jsem log ručně. Potud, pokud jsem log prozkoumal, nenalezl jsem žádný problém ani žádné zoufalé volání RoBoXu o pomoc. Jedinou výjimkou bylo hlášení o nenastaveném e-mailu, kam chtěl zaslat upozornění, protože jeden z testerů vytrvale bombardoval firewall pakety mířenými postupně na všechny porty (portscan), což je důvodem k upozornění správce. Jednou z možností, kromě zaslání varování a samozřejmě odmítnutí podobně nevkusných paketů, je i úplné zavření síťového rozhraní. Možností je však mnohem více.
    RoBoX 147.230.190.20 RoBoX je testovaný firewall, zvenku přístupný na IP adrese 147.230.190.20. Interni LOG RoBoXu Souhrn všech podstatných hlášení, zejména od filtrů. Maximálně 512 položek, což ovšem znamená, že jeden portscan (otestování odezvy velkého množství portů počítače) spolehlivě přemaže vše staré, neboť na rozdíl do logů posílaných ven se do interního logu píše každý záznam od každého filtru (ven se posílá výsledek za nějaký časový úsek, například že jsou skenovány porty od 3200 do 60000).
    Nemá tudíž smysl tento log analyzovat, protože RoBoX byl nastavený tak, aby filtry hlásily téměř vše. Tudíž se vše důležité velmi rychle přepsalo nedůležitými režijními pakety. V souboru, který je zde jako ukázka, pak jsou vidět především záznamy paketů, které si vyměňoval RoBoX s konfiguračním počítačem při administraci pomocí HTTPS protokolu.

    Závěrem

    RoBoX propustil skutečně jen to, co propustit měl, a zbytek odfiltroval. Odmítnuté a útočné pakety nahlásil do logů (poslední odstavec nad tímto). Dovoluji si tedy tvrdit, že tento test splnil výborně a píši RoBoXu prošel.

    Horší situace je s GB Report Utilitou, kterou se mi nepovedlo rozumně rozchodit tak, aby mi poskytla jakákoli přijatelná data. Když už přijmu, že potřebuje SQL databázi (v instalaci pro Windows je MySQL pro Windows) a bez ní odmítá fungovat, tak nemůžu přehlédnout naprosto nepoužitelné uživatelské rozhraní. Výsledky a kvalitu reportů nemohu posoudit, protože utilita sice data nasála dovnitř, ale ven už nevydala nic. Dle mého názoru má GTA ještě hodně co na GB reportu zlepšovat.

    RoBoX je velmi robustní a spolehlivý firewall. Po celou dobu testování (cca 5 neděl) jsem se nesetkal s jakoukoli nestabilitou ani problémem technického ani jiného funkčního rázu. Konfigurace je podle manuálu zvládnutelná, ale pro toho, kdo ji dělá poprvé, rozhodně není příjemná a automatická. Nicméně toto řeší prodejce hotline či přímo pracovníkem, který vše nastaví za zákazníka. RoBoX nabízí nadstandardní služby a konkurenci překonává obvykle i po výkonové stránce. Největší slabinou (na našem trhu) zůstává cena, ale zase za ni zákazník obdrží produkt pro 25 uživatelů. Software RoBoXu ctí uznávaná bezpečnostní pravidla a ani při konfiguraci nevystavuje chráněné sítě útokům, navíc disponuje funkcí pro kontrolu nastavení.

    Technické specifikace a parametry firewallu RoBoX GB - 25

    Max Concurrent Connections 10000
    Remote Acces Filters 100
    Outbound Filters 100
    Tunnels 100
    Aliases 25
    Static routes 100
    Static Maps 100
    Time Groups 100
    Pass Through Filters 100
    VPN Security Associations 100
    Objects 100
    URL Acces Lists 100
    DNS Domains 5
    MTBF 300 000hodin
    3x 10/100 Ethernet NICs
    1x RS 232 connector
    Rozměry 2,54x15,24x15,875
    Hmotnost 0,585 kg
    Orientační cena s DPH za RoBoX 25 35 000,- (995USD)

    + Stabilita
    + 2 oddělené chráněné sítě
    + Vlastní operační systém
    + Vzdálené logování
    + Žádné pohyblivé části
    + Snadný upgrade
    + Vzdálená správa
    + Malé rozměry - skladnost
    + Sériové rozhraní pro připojení konzole
    podpora PPP protokolu pro dial-ip a ISDN-TA
    + Dokonale tichý :-)
    - Složitá konfigurace
    - křížový UTP a sériový kabel by mohly být ceně
    - Jen skoro funkční analyzátor logů
    - 25 uživatelů může být málo
    - Cena, i když …

    Za zapůjčení děkuji firmě . Za umožnění testů Katedře Informatiky TUL a Cesnetu. Jmenovitě pak děkuji Davidu Kmochovi za trpělivost a cennou pomoc a Aleši Zítkovi za osvětlení mnoha technických otázek.





    Hlavní zprávy

    Další z rubriky

    Senzory obsazenosti parkovacího místa předvádělo několik výrobců a počítají s...
    Invaze čidel začala. Podívejte se na to nejzajímavější z IoT Expa

    V pražském Fórum Karlín v úterý proběhla konference SigFox World IoT Forum 2017. Podívejte se s námi na ty nejzajímavější představované projekty.  celý článek

    Nově verze čtečky Kindle Oasis je voděodolná.
    Čtečka elektronických knih Kindle je konečně voděodolná

    Po deseti letech od uvedení první čtečky se značkou Kindle vydal Amazon verzi, se kterou se nemusíte bát do vody.  celý článek

    Konference Ignite je pořádána v americkém Orlandu.
    Nové Windows S notebooky cenou nepřekročí 350 USD

    Microsoft na konferenci Ignite představil nové modely notebooků s odlehčenými Windows S.  celý článek

    Najdete na iDNES.cz



    mobilní verze
    © 1999–2017 MAFRA, a. s., a dodavatelé Profimedia, Reuters, ČTK, AP. Jakékoliv užití obsahu včetně převzetí, šíření či dalšího zpřístupňování článků a fotografií je bez souhlasu MAFRA, a. s., zakázáno. Provozovatelem serveru iDNES.cz je MAFRA, a. s., se sídlem
    Karla Engliše 519/11, 150 00 Praha 5, IČ: 45313351, zapsaná v obchodním rejstříku vedeném Městským soudem v Praze, oddíl B, vložka 1328. Vydavatelství MAFRA, a. s., je členem koncernu AGROFERT.