Test kliencki firewalli sprzętowych
Transkrypt
Test kliencki firewalli sprzętowych
Test Aktualności IT Security Review Test kliencki firewalli sprzętowych Zwróciliśmy się do firm (użytkowników wybranych firewalli sprzętowych) z pytaniem, jak oceniają ich działanie. Na łamach pisma prezentujemy opinie pracowników odpowiedzialnych za wdrożenie sprzętu w firmie, a więc osób, które były najbliżej całego procesu. A doświadczenia te bywały różne... D zięki uprzejmości producentów lub przedstawicieli produktu, dotarliśmy bezpośrednio do firm, które korzystają z danego firewalla. Aby maksymalnie zobiektywizować ocenę, poprosiliśmy o ocenę sprzętu użytkowników – konkretnie osoby odpowiedzialne za cały proces wdrożenia sprzętu w firmie. Logiczne jest, że ci, którzy są najbliżej całego procesu, najlepiej wiedzą, w czym firewall za- wiódł, a w jakich obszarach zachwycił. Niektóre firmy, zarówno producenci jak i te wskazane przez producentów, nie wyraziły zainteresowania wzięciem udziału w teście klienckim. Bijemy brawo tym, którzy w myśl zasady, że „prawdziwa cnota krytyk się nie boi”, zdecydowali się na współpracę z Bostonem. W kolejnym, grudniowym numerze przedstawimy test kliencki firewalli programowych. Firewall DFL-1600 firmy D-Link DARIUSZ TĘCZYŃSKI INFORMATYK WYDZIAŁU PRAWA I ADMINISTRACJI UNIWERSYTETU ŁÓDZKIEGO Na Wydziale Prawa i Administracji Uniwersytetu Łódzkiego w tej chwili używamy firewalla DFL-1600, który działa bezbłędnie. Zdecydowaliśmy się na zakup tego urządzenia z kilku powodów. Po pierwsze, DFL wcześniej trafił do sprzedaży w innych częściach świata i w momencie naszego zakupu na necie były już pozytywne opinie na jego temat. Po drugie, cena też nie była wygórowana. Instalacja była banalnie prosta. Wypięcie starego serwera, podłączenie i konfiguracja DFL-a zajęły mi jedno popołudnie. Jako że lubię sprawdzać jak działa wsparcie, zadzwoniłem do biura D-Linku w Warszawie. Dowiedziałem się wtedy, że jest wsparcie telefoniczne pod numerem 0-800 12 w Niemczech, że nie ma szkoleń w Polsce, ale jeśli miałbym czas, to mogę przyjechać do Warszawy, a oni na miejscu zrobią mi szkolenie. Skorzystałem z zaproszenia i podczas trwającego 3 godziny szkolenia dowiedziałem się wszystkiego, co mnie interesowało o DFL-u. W trakcie użytkowania firewalla zaczęły występować usterki. Najpierw pojawiły się strony WWW, z którymi nie można się było połączyć (pomagało wpisanie takiego adresu na białą listę). Później dał o sobie znać błąd w filtrze ALG, który powodował, że po paru dniach pracy następowało przepełnienie stosu i firewall zawisał. Więcej można przeczytać na str. 16-17. Firewall Ethernus firmy Embedos JACEK DZILIŃSKI INFORMATYK URZĘDU GMINY CIECHANÓW Ethernus produkowany przez Embedos jest dobrym przykładem produktu, który wychodzi naprzeciw rzeczywistym potrzebom małych firm i jednostek samorządowych. Serwer oparty na jądrze Linuxa. Co jest w nim tak wyjątkowego? Niezawodność, prostota obsługi i zestaw usług, oferowany przez jedną „skrzynkę”. Zacznijmy od podstaw. Administrator ma do dyspozycji interfejs graficzny pozwalający szybko skonfigurować niezbędne usługi. Bezpośredni dostęp do systemu został zablokowany. Czy to wada? Niekoniecznie. Zestaw usług został starannie przemyślany przez projektantów i przyzwoicie zaimplementowany. Mamy tu wszystko, co naprawdę jest potrzebne aktywnej grupie roboczej. Począwszy od usług serwera plików i wydruków, skończywszy na routerze i bardzo skutecznym firewallu. Serwer obsługuje relacyjne bazy danych, konkretnie FireBird i MySQL. Konfiguracja podstawowych usług TCP/IP typu DNS czy DHCP to dosłownie kilkanaście minut dla osoby znającej podstawy. Dodatkowo mamy obsługę łączy ISDN. Obsługa kopii bezpieczeństwa jest www.boston-review.com rozwiązana bardzo dobrze. Obsługa techniczna jest mocną stroną produktu. Mamy do dyspozycji zdalną administrację przez HTTPS, łącza supportu technicznego i profesjonalny zespół wsparcia ze strony Embedos. Same zalety? Niestety nie. Ciągle mamy autoryzację na poziomie grupy roboczej. Nie ma możliwości ustalenia zasad polityki bezpieczeństwa dla stacji roboczych i narzędzi administracyjnych do egzekwowania tychże zasad. Serwer ma również pewne wady sprzętowe. Podstawowe, to brak możliwości konfiguracji RAID. Całość danych przechowywana jest na jednym dysku SATA. Pewnym zaskoczeniem jest dostarczanie serwera z uchwytami do ustawienia maszyny w pionie. Nie wpływa to dobrze na MTBF dysku. Podsumowując: bardzo ciekawy produkt. To atrakcyjna oferta dla małych firm, zwłaszcza dla podmiotów opierających się na outsourcingu usług informatycznych. Cztery miesiące użytkowania systemu to niewiele. Ale nie wydarzyło się w tym czasie nic, co wymagałoby interwencji administratora. Nr 1/2006 Aktualności IT Security Review Test Firewall ZyWall-70 firmy ZyXEL DR INŻ. KAZIMIERZ LAL DYREKTOR SOFTEL RZESZÓW Urządzenia firewall firmy ZyXEL wykorzystujemy od 2001 roku. Często służą one do łączenia oddziałów banków spółdzielczych z centralą. Medium transmisyjnym są łącza ISDN lub Internet. W centrali montowane są urządzenia typu ZyWall70 albo ZyWall-35, natomiast w oddziałach ZyWall 35 lub 10. W praktyce spełniają one rolę routerów filtrujących i szyfratorów. Są odpowiedzialne za obsługę kanałów VPN łączących centralę banku z oddziałami. ZyWalle wspierają różne algorytmy szyfrowania: DES/3DES/AES oraz MD5 i SHA1. Dlaczego właśnie produkty firmy ZyXEL? Są to urządzenia po prostu niezawodne. Poza tym na bieżąco realizowany jest proces aktualizacji oprogramowania firmowego oraz usuwane są luki w zabezpieczeniach. Wszystkie urządzenia mogą być kierowane zdalnie przez terminal znakowy, telnet i www. ZyWall 5,35 i 70 w wersji UMT oferują zarządzanie za pośrednictwem szyfrowanego www i ssh. Są to urządzenia zaprojektowane i oprogramowane przez profesjonalistów, którzy mają podobne preferencje do moich – np. interfejsy znakowe we wszystkich modelach są identyczne! Dlaczego w 2001 roku wybraliśmy ZyXELa? Po prostu, w przeszłości modemy analogowe ZyXEL udowodniły, że ludzie, którzy je skonstruowali i wyprodukowali, wiedzieli co robią. Na zasadzie aproksymacji założyliśmy, że jest tak dalej. Udało się... Aby nie było tak różowo – często pojawiają się problemy z zakupem potrzebnych urządzeń, bo dystrybutorzy nie mają ich w magazynach. Phion Netfance, dystrybutor: firma Dagma (może być traktowany jako rozwiązanie firewalla sprzętowego) MAREK PYKA INFORMATYK Z FIRMY SUTCO POLSKA Dokonując zimnego osądu, muszę stwierdzić, że za kwotę kilkadziesięciu tysięcy złotych można by oczekiwać czegoś odrobinę bardziej funkcjonalnego. Oceniając system, należy podkreślić, iż ma on bardzo dobry system Firewall, który (poparty interfejsem administracyjnym w trybie graficznym) jest bardzo skuteczny. Kolejnym pozytywem jest duża funkcjonalność systemu, zapewniona dużą ilością usług serwerowych. Na plus należy również zaliczyć to, że system działa w oparciu o dedykowany system operacyjny, który dzięki modyfikacjom dokonanym przez firmę Phion stał się odporny na wszystkie testowane przeze mnie exploity. Do minusów zaliczyć należy m.in.: ograniczoną funkcjonalność Serwera VPN do pięciu klientów, niezałączenie systemu ISS Proventia (doNr 1/2006 stępny za dodatkową opłatą) umożliwiającego wprowadzenie automatycznej kontroli treści dla serwera PROXY, mało czytelną formę raportowania wykorzystania zasobów i, co najważniejsze, niewystarczającą stabilność pracy systemu. Reasumując, system wykorzystywany jest w firmie od roku i po jego wdrożeniu ilość ataków na system teleinformatyczny spadła. Zgodnie z wymogami Zarządu wprowadzona została kontrola i rozliczanie ruchu internetowego dla pracowników zakładu. Małe zachwiania stabilności systemu są usuwane na bieżąco, działa sieć VPN (choć oczywiście nie w pełnej zakładanej funkcjonalności). Większość założeń została zrealizowana. Więcej można przeczytać na str. 20-21. www.boston-review.com Rozmowa z Anną Piechocką, Dyrektorem Biura Oprogramowania DAGMA BOSTON: Na co zwracają uwagę odbiorcy firewalla i czego najczęściej dotyczą ich pytania? Anna Piechocka: Pierwszym kryterium oceny – oprócz zapewnianego poziomu bezpieczeństwa – jest zwykle łatwość konfiguracji i administracji. Firewall jest podstawowym narzędziem administratora, stąd, oprócz zapewnienia bezpieczeństwa, musi umożliwiać efektywne wprowadzanie zmian. Klienci zwracają również uwagę na możliwość połączeń VPN i to, czy kanały VPN zawarte są w cenie firewalla, czy też trzeba za nie zapłacić dodatkowo. By móc łatwo zdiagnozować problemy, administrator potrzebuje danych – przejrzyste statystyki i „oswojenie się” z nimi administratora również ma duże znaczenie przy decyzji zakupu. Co ważne, w przypadku Phiona – moduł szczegółowych statystyk zawarty jest w podstawowej cenie firewalla. Ważna jest również skalowalność rozwiązania, by jego zakup nie ograniczał rozwoju sieci firmowej. BOSTON: Czy precyzujecie Państwo swoją grupę docelową? AP: Typowy odbiorca Phion Netfence jest zaawansowanym administratorem, dobrze znającym swoją sieć. Wprawdzie podstawowa administracja w Phionie jest bardzo prosta i umożliwia błyskawiczne zmiany – jednak swe ogromne możliwości system ujawnia dopiero w rękach doświadczonego administratora. Sprzedawane przez nas rozwiązanie jest skalowalne w bardzo szerokim zakresie dzięki jego koncepcji tzw. „software appliance” – firewalla programowego zintegrowanego z systemem operacyjnym. Trudno wyróżnić wąską grupę docelową. Dlatego też używają go średnie i duże firmy, ale również międzynarodowe korporacje. Administrator Phiona może zarządzać wieloma firewallami rozsianymi w oddziałach firmy na całym kontynencie – koncern EADS (produkujący m.in. samoloty Airbus) chroni z pomocą Phiona około 100 oddziałów i klientów mobilnych w Europie. Ważne jest, że klient, który wybiera Phiona, nie jest przez ten system ograniczany – w przypadku szybkiego rozwoju firmy, dział IT dokupuje po prostu kolejne licencje, nie marnując w ten sposób już poniesionych wydatków. BOSTON: Jakie są Państwa plany rozwoju na rynku firewalli? AP: Firewalle stanowią ważną strategicznie część w portfolio produktów dystrybuowanych przez DAGMĘ – obok programów antywirusowych, antyspyware, szyfrowania czy rozwiązań IDS. W założeniu chcemy mieć portfolio, z którego klient będzie miał szanse wybrać odpowiednie dla siebie rozwiązania dla kompletnego zabezpieczenia sieci firmowej. W najbliższym czasie będziemy koncentrować się na promowaniu Phiona na poziomie rozwiązań korporacyjnych i Outpost Network Security jako uzupełnienia zabezpieczeń. Outpost jest centralnie zarządzanym firewallem na stacje robocze. Liczymy na jego dobrą sprzedaż jako uzupełnienie firewalla korporacyjnego. Jest to szczególnie ważne w przypadku notebooków, które często łączą się z Internetem poza siecią firmową. Z pewnością będziemy też popularyzować sprzedaż Phiona jako rozwiązania sprzętowego – zintegrowanego z platformą bezpieczeństwa NEXCOM. ◆ 13