Test kliencki firewalli sprzętowych

Test
Aktualności
IT Security Review
Test kliencki
firewalli sprzętowych
Zwróciliśmy się do firm (użytkowników wybranych firewalli sprzętowych)
z pytaniem, jak oceniają ich działanie. Na łamach pisma prezentujemy opinie
pracowników odpowiedzialnych za wdrożenie sprzętu w firmie, a więc osób, które
były najbliżej całego procesu. A doświadczenia te bywały różne...
D
zięki uprzejmości producentów lub przedstawicieli produktu, dotarliśmy bezpośrednio do firm, które korzystają z danego firewalla.
Aby maksymalnie zobiektywizować ocenę, poprosiliśmy o ocenę sprzętu użytkowników – konkretnie osoby odpowiedzialne za
cały proces wdrożenia sprzętu w
firmie. Logiczne jest, że ci, którzy
są najbliżej całego procesu, najlepiej wiedzą, w czym firewall za-
wiódł, a w jakich obszarach zachwycił.
Niektóre firmy, zarówno producenci jak i te wskazane przez producentów, nie wyraziły zainteresowania wzięciem udziału w teście
klienckim. Bijemy brawo tym, którzy w myśl zasady, że „prawdziwa
cnota krytyk się nie boi”, zdecydowali się na współpracę z Bostonem.
W kolejnym, grudniowym numerze przedstawimy test kliencki firewalli programowych.
Firewall DFL-1600 firmy D-Link
DARIUSZ TĘCZYŃSKI
INFORMATYK WYDZIAŁU PRAWA
I ADMINISTRACJI UNIWERSYTETU ŁÓDZKIEGO
Na Wydziale Prawa i Administracji
Uniwersytetu Łódzkiego w tej chwili używamy firewalla DFL-1600, który działa bezbłędnie. Zdecydowaliśmy się na zakup tego urządzenia z
kilku powodów. Po pierwsze, DFL
wcześniej trafił do sprzedaży w innych częściach świata i w momencie naszego zakupu na necie były
już pozytywne opinie na jego temat. Po drugie, cena też nie była
wygórowana. Instalacja była banalnie prosta. Wypięcie starego serwera, podłączenie i konfiguracja DFL-a
zajęły mi jedno popołudnie.
Jako że lubię sprawdzać jak działa wsparcie, zadzwoniłem do biura
D-Linku w Warszawie. Dowiedziałem się wtedy, że jest wsparcie telefoniczne pod numerem 0-800
12
w Niemczech, że nie ma szkoleń
w Polsce, ale jeśli miałbym czas, to
mogę przyjechać do Warszawy, a
oni na miejscu zrobią mi szkolenie.
Skorzystałem z zaproszenia i podczas trwającego 3 godziny szkolenia dowiedziałem się wszystkiego,
co mnie interesowało o DFL-u.
W trakcie użytkowania firewalla zaczęły występować usterki. Najpierw pojawiły się strony WWW,
z którymi nie można się było połączyć (pomagało wpisanie takiego
adresu na białą listę). Później dał o
sobie znać błąd w filtrze ALG, który
powodował, że po paru dniach pracy następowało przepełnienie stosu
i firewall zawisał.
Więcej można przeczytać na str.
16-17.
Firewall Ethernus firmy Embedos
JACEK DZILIŃSKI
INFORMATYK URZĘDU GMINY CIECHANÓW
Ethernus produkowany przez Embedos jest dobrym przykładem
produktu, który wychodzi naprzeciw rzeczywistym potrzebom małych firm i jednostek samorządowych. Serwer oparty na jądrze Linuxa. Co jest w nim tak wyjątkowego? Niezawodność, prostota obsługi
i zestaw usług, oferowany przez jedną „skrzynkę”.
Zacznijmy od podstaw. Administrator ma do dyspozycji interfejs
graficzny pozwalający szybko skonfigurować niezbędne usługi. Bezpośredni dostęp do systemu został zablokowany.
Czy to wada? Niekoniecznie. Zestaw usług został starannie przemyślany przez projektantów i przyzwoicie zaimplementowany. Mamy
tu wszystko, co naprawdę jest potrzebne aktywnej grupie roboczej.
Począwszy od usług serwera plików
i wydruków, skończywszy na routerze i bardzo skutecznym firewallu.
Serwer obsługuje relacyjne bazy danych, konkretnie FireBird i MySQL.
Konfiguracja podstawowych usług TCP/IP typu DNS czy DHCP to
dosłownie kilkanaście minut dla
osoby znającej podstawy. Dodatkowo mamy obsługę łączy ISDN.
Obsługa kopii bezpieczeństwa jest
www.boston-review.com
rozwiązana bardzo dobrze. Obsługa techniczna jest mocną stroną
produktu.
Mamy do dyspozycji zdalną administrację przez HTTPS, łącza supportu technicznego i profesjonalny zespół wsparcia ze strony Embedos.
Same zalety? Niestety nie. Ciągle mamy autoryzację na poziomie grupy roboczej. Nie ma możliwości ustalenia zasad polityki bezpieczeństwa dla stacji roboczych i
narzędzi administracyjnych do egzekwowania tychże zasad. Serwer
ma również pewne wady sprzętowe. Podstawowe, to brak możliwości konfiguracji RAID. Całość danych przechowywana jest na jednym dysku SATA. Pewnym zaskoczeniem jest dostarczanie serwera z
uchwytami do ustawienia maszyny
w pionie. Nie wpływa to dobrze na
MTBF dysku.
Podsumowując: bardzo ciekawy
produkt. To atrakcyjna oferta dla
małych firm, zwłaszcza dla podmiotów opierających się na outsourcingu usług informatycznych. Cztery
miesiące użytkowania systemu to
niewiele. Ale nie wydarzyło się w
tym czasie nic, co wymagałoby interwencji administratora.
Nr 1/2006
Aktualności
IT Security Review
Test
Firewall ZyWall-70 firmy ZyXEL
DR INŻ. KAZIMIERZ LAL
DYREKTOR SOFTEL RZESZÓW
Urządzenia firewall firmy ZyXEL
wykorzystujemy od 2001 roku. Często służą one do łączenia oddziałów
banków spółdzielczych z centralą. Medium transmisyjnym są łącza
ISDN lub Internet. W centrali montowane są urządzenia typu ZyWall70 albo ZyWall-35, natomiast w oddziałach ZyWall 35 lub 10. W praktyce spełniają one rolę routerów filtrujących i szyfratorów. Są odpowiedzialne za obsługę kanałów VPN łączących centralę banku z oddziałami. ZyWalle wspierają różne algorytmy szyfrowania: DES/3DES/AES
oraz MD5 i SHA1. Dlaczego właśnie
produkty firmy ZyXEL? Są to urządzenia po prostu niezawodne. Poza tym na bieżąco realizowany jest
proces aktualizacji oprogramowania firmowego oraz usuwane są luki w zabezpieczeniach. Wszystkie
urządzenia mogą być kierowane
zdalnie przez terminal znakowy, telnet i www. ZyWall 5,35 i 70 w wersji
UMT oferują zarządzanie za pośrednictwem szyfrowanego www i ssh.
Są to urządzenia zaprojektowane
i oprogramowane przez profesjonalistów, którzy mają podobne preferencje do moich – np. interfejsy
znakowe we wszystkich modelach
są identyczne!
Dlaczego w 2001 roku wybraliśmy
ZyXELa? Po prostu, w przeszłości modemy analogowe ZyXEL udowodniły, że ludzie, którzy je skonstruowali
i wyprodukowali, wiedzieli co robią.
Na zasadzie aproksymacji założyliśmy, że jest tak dalej. Udało się...
Aby nie było tak różowo – często
pojawiają się problemy z zakupem
potrzebnych urządzeń, bo dystrybutorzy nie mają ich w magazynach.
Phion Netfance, dystrybutor: firma
Dagma (może być traktowany jako
rozwiązanie firewalla sprzętowego)
MAREK PYKA
INFORMATYK Z FIRMY SUTCO POLSKA
Dokonując zimnego osądu, muszę
stwierdzić, że za kwotę kilkadziesięciu tysięcy złotych można by oczekiwać czegoś odrobinę bardziej funkcjonalnego. Oceniając system, należy podkreślić, iż ma on bardzo dobry system Firewall, który (poparty
interfejsem administracyjnym w trybie graficznym) jest bardzo skuteczny. Kolejnym pozytywem jest duża
funkcjonalność systemu, zapewniona dużą ilością usług serwerowych.
Na plus należy również zaliczyć to, że
system działa w oparciu o dedykowany system operacyjny, który dzięki
modyfikacjom dokonanym przez firmę Phion stał się odporny na wszystkie testowane przeze mnie exploity.
Do minusów zaliczyć należy m.in.:
ograniczoną funkcjonalność Serwera VPN do pięciu klientów, niezałączenie systemu ISS Proventia (doNr 1/2006
stępny za dodatkową opłatą) umożliwiającego wprowadzenie automatycznej kontroli treści dla serwera
PROXY, mało czytelną formę raportowania wykorzystania zasobów i,
co najważniejsze, niewystarczającą
stabilność pracy systemu.
Reasumując, system wykorzystywany jest w firmie od roku i po jego wdrożeniu ilość ataków na system teleinformatyczny spadła. Zgodnie z wymogami Zarządu wprowadzona została kontrola i rozliczanie
ruchu internetowego dla pracowników zakładu. Małe zachwiania stabilności systemu są usuwane na bieżąco, działa sieć VPN (choć oczywiście nie w pełnej zakładanej funkcjonalności). Większość założeń została
zrealizowana.
Więcej można przeczytać na str.
20-21.
www.boston-review.com
Rozmowa z Anną Piechocką,
Dyrektorem Biura Oprogramowania DAGMA
BOSTON: Na co zwracają uwagę odbiorcy firewalla i czego najczęściej
dotyczą ich pytania?
Anna Piechocka: Pierwszym kryterium oceny – oprócz zapewnianego poziomu bezpieczeństwa – jest zwykle łatwość konfiguracji i administracji.
Firewall jest podstawowym narzędziem administratora, stąd, oprócz zapewnienia bezpieczeństwa, musi umożliwiać efektywne wprowadzanie
zmian. Klienci zwracają również uwagę na możliwość połączeń VPN i to,
czy kanały VPN zawarte są w cenie firewalla, czy też trzeba za nie zapłacić dodatkowo. By móc łatwo zdiagnozować problemy, administrator potrzebuje danych – przejrzyste statystyki i „oswojenie się” z nimi administratora również ma duże znaczenie przy decyzji zakupu. Co ważne, w przypadku
Phiona – moduł szczegółowych statystyk zawarty jest w podstawowej cenie
firewalla. Ważna jest również skalowalność rozwiązania, by jego zakup nie
ograniczał rozwoju sieci firmowej.
BOSTON: Czy precyzujecie Państwo swoją grupę docelową?
AP: Typowy odbiorca Phion Netfence jest zaawansowanym administratorem, dobrze znającym swoją sieć. Wprawdzie podstawowa administracja
w Phionie jest bardzo prosta i umożliwia błyskawiczne zmiany – jednak
swe ogromne możliwości system ujawnia dopiero w rękach doświadczonego administratora. Sprzedawane przez nas rozwiązanie jest skalowalne
w bardzo szerokim zakresie dzięki jego koncepcji tzw. „software appliance”
– firewalla programowego zintegrowanego z systemem operacyjnym. Trudno wyróżnić wąską grupę docelową. Dlatego też używają go średnie i duże
firmy, ale również międzynarodowe korporacje. Administrator Phiona może
zarządzać wieloma firewallami rozsianymi w oddziałach firmy na całym kontynencie – koncern EADS (produkujący m.in. samoloty Airbus) chroni z pomocą Phiona około 100 oddziałów i klientów mobilnych w Europie. Ważne
jest, że klient, który wybiera Phiona, nie jest przez ten system ograniczany
– w przypadku szybkiego rozwoju firmy, dział IT dokupuje po prostu kolejne
licencje, nie marnując w ten sposób już poniesionych wydatków.
BOSTON: Jakie są Państwa plany rozwoju na rynku firewalli?
AP: Firewalle stanowią ważną strategicznie część w portfolio produktów
dystrybuowanych przez DAGMĘ – obok programów antywirusowych, antyspyware, szyfrowania czy rozwiązań IDS. W założeniu chcemy mieć portfolio, z którego klient będzie miał szanse wybrać odpowiednie dla siebie rozwiązania dla kompletnego zabezpieczenia sieci firmowej. W najbliższym
czasie będziemy koncentrować się na promowaniu Phiona na poziomie rozwiązań korporacyjnych i Outpost Network Security jako uzupełnienia zabezpieczeń. Outpost jest centralnie zarządzanym firewallem na stacje robocze.
Liczymy na jego dobrą sprzedaż jako uzupełnienie firewalla korporacyjnego. Jest to szczególnie ważne w przypadku notebooków, które często łączą
się z Internetem poza siecią firmową. Z pewnością będziemy też popularyzować sprzedaż Phiona jako rozwiązania sprzętowego – zintegrowanego
z platformą bezpieczeństwa NEXCOM. ◆
13