Bezpečnost není luxus

Problematika zabezpečení je v současné době v kurzu. Možná právě nebývalá

„popularita“ této tematiky s sebou však často přináší negativní důsledek v

podobě dojmu, že takto závažné starosti se týkají jenom velkých sítí, bohatých

firem a specializovaných administrátorů.

Jedna z nejtěžších voleb, před kterou jste často postaveni, zní: zvolit

hardware nebo software? Výběr mezi řešením typu klasické aplikace, či

hardwarové krabičky, resp. appliance, není jednoduchou záležitostí. Kritérií je

mnoho, a proto si pojďme pomoci příklady.

Řešíte-li opravdu malou síť např. v domácnosti nebo kanceláři a po ruce není

nikdo, komu by pokročilejší správa byla blízká, sáhněte určitě po hardwaru (viz

vložený text Malá hardwarová volba) se základní konfigurací, jež nebývá

obtížná, se pro jednou poperete, a nemusíte blokovat žádný počítač pro běh

firewallu. Podobná situace nastává ve větší pobočce či malé firmě, jež vyžaduje

pokročilou VPN funkcionalitu, neboť i zde dokáže appliance výborně zastat svou

úlohu a nenutí vás budovat VPN server. Máte-li k dispozici jeden nevyužitý

počítač a zručného administrátora, stojí zato si softwarovou variantu vyzkoušet.

Na druhou stranu je potřeba připomenout, že bezpečnost není v současné době

záležitostí jediného místa v síti softwarový firewall by se měl stát

samozřejmostí na každém počítači, neboť v některých ohledech je jeho práce

nezastupitelná.



Firewall pro rostoucí firmu

Předmětem tohoto článku jsou zařízení a software, jejichž prvořadým úkolem je

především chránit sítě a provoz síťových služeb. Ačkoli je v současné době na

trhu široká škála takovýchto řešení, bezpochyby lze najít produkty, které je

možno označit v jistém směru za typické. Do následujícího přehledu jsme

zařadili software čtyř výrobců firem Check Point Software Technologies, Kerio

Technologies, Microsoft a Symantec, které lze považovat za „vzorové“, tj.

zahrnují funkcionalitu, která je v zásadě typická pro tento typ programového

vybavení. Význačnou vlastností všech čtyř produktů je především velký

potenciál, neboť s jejich používáním můžete začít v síti s desítkou počítačů a

úspěšně pokračovat i v případě, že vaše firma enormně naroste.



Check Point Firewall-1/VPN-1

Pro řadu správců i uživatelů je jméno výrobce tohoto softwaru synonymem pro

zabezpečení sítě a šifrovanou komunikaci, a proto v našem přehledu nemohl

chybět. Programové vybavení této firmy je dodáváno jak ve formě aplikace pro

konkrétní operační systém (např. Solaris či Windows), tak v zakuklené podobě

hardwarových appliances, v nichž je zpřístupněna vždy přiměřená úroveň služeb

dle cílové skupiny uživatelů.



Ovládací rozhraní

Po stránce globální správy nabízejí produkty Check Pointu velmi dobře

propracovanou strategii a z ní vycházející ovládací rozhraní. Prakticky lze na

systém nahlížet v potřebné abstraktní rovině a konfigurovat vlastnosti

nezávisle na konkrétním firewallu výhoda této strategie se samozřejmě výrazně

projeví v případě, že systém nasadíte v rozsáhlejším prostředí. Grafické

rozhraní, které je implementováno např. ze zařízení typu appliance, patří mezi

propracované a grafické provedení je na špičkové úrovni. Jste-li na druhou

stranu velmi pokročilým správcem a máte „v ruce“ práci s textovou konzolí,

můžete využít konfiguračních direktiv a přímý zápis z příkazové řádky. Namístě

je zmínit silnou zbraň, kterou je propracovaný systém distribuce bezpečnostních

politik tato služba vám umožní doručit potřebná nastavení na každý bod, jenž

chrání vaší síť, a značně tak zpřehlední celou správu. Vzájemnou kompatibilitu

jednotlivých řešení, jež stojí na platformě tohoto výrobce, snad netřeba

připomínat.



Podpora VPN

Jak vyplývá již z názvu, podpora virtuálních privátních sítí je u tohoto

produktu klíčovou záležitostí. Začněme od klientů, kde může administrátor

zvolit dvojí cestu: jednou je využití standardních protokolů a volba některého

klientských OS (bez potíží použijete Windows či Linux), druhou pak implementace

nativních klientů téhož výrobce, jež zajistí rozšířenou funkcionalitu a

naprostou kompatibilitu. Šifrovaná komunikace pomocí protokolu IPSec je

samozřejmě podporována jak v tunelovacím módu za účelem propojení dvou sítí,

tak v režimu pro „příjem“ vzdálených klientů, a nedílnou součástí je možnost

využití certifikátů pro autentizaci sestavovaných relací. Právě možnost využití

certifikátů vám otevírá široké možnosti pro integraci se stávající PKI

infrastrukturou. Z použitých šifrovacích algoritmů bychom rádi upozornili na

dostupnost AES, což jistě zanedlouho bude stále rozšířenější standard,

poskytující oproti zavedeným postupům (typicky 3DES) některé výhody.



Antivirová kontrola

Především u „menších“ modelů, v nichž je software Check Point nainstalován

(například appliances se značkou SofaWare), každý správce jistě ocení možnost

integrace se systémem antivirové kontroly. Pomocí této funkce máte možnost

velmi prostým způsobem zajistit kontrolu např. poštovní komunikace v rámci

existující infrastruktury, neboť firewall je schopen se dotazovat na příslušném

serveru a žádat kontrolu inkriminovaných souborů. Tuto vymoženost jistě oceníte

opět především v případě větších implementací, kdy zajistíte ochranu všech

satelitních sítí, resp. poboček či vzdálených klientů.



Správa klientů

Jedním z nezbytných konfiguračních kroků je jistě definování uživatelů a

skupin, a v této fázi nás velmi zaujala možnost komunikace s existujícími LDAP

databázemi. Pokud disponujete infrastrukturou Active Directory ve Windows

2000/2003, je k dispozici poměrně přímá cesta, jak využít definované skupiny a

jejich členy, a navíc můžete využít také existující certifikáty pro VPN provoz.

Na druhou stranu, LDAP standard nabízí dostatek prostoru k tomu, aby jako zdroj

posloužila jiná zdrojová struktura na odlišném operačním systému.



Závěr

Zásadní výhodou řešení z dílny Check Pointu je především nesmírná všestrannost.

Vyřešeny jsou prakticky všechny hlavní funkce, jež může správce od takovéhoto

softwaru očekávat, a jako klíčovou lze jistě označit podporu VPN a integraci s

databázemi klientů pomocí LDAP. Management rozsáhlého prostředí prostřednictvím

politik patří určitě mezi špičku ve své kategorii. Důležitým aspektem však

zůstává cena zájemce si musí opravdu dobře spočítat, zda se mu investice do

takto všestranného, a tedy i nákladnějšího řešení opravdu vyplatí. Cílovým

zákazníkem bude ideálně větší firma s řadou poboček a „domácích“ pracovníků.



Kerio WinRoute Firewall 5

K technologiím Kerio se asi většina administrátorů v minulosti dostala

prostřednictvím řešení WinRoute, jež velmi dobře sloužilo (a stále slouží) k

připojení menší sítě do internetu a nabízí dobrou funkcionalitu. Přestože tato

aplikace odvádí svou práci výborně, výrobce velmi správně pochopil, že zůstat

na této úrovni by možná znamenalo zůstat na půli cesty, a proto na sklonku

letošního února představil první finální verzi produktu, o němž budu dále

mluvit. Již z data uvolnění je zřejmé, že aplikace je stále bouřlivě vyvíjena a

vylepšována.



Antivirová kontrola

První věcí, jež nás velmi potěšila, je plná integrace antivirové kontroly při

průchodu veškerých datových toků. Ta je zajišťována na dvou možných úrovních:

buďto je pomocí plug-inů (jakýchsi „konektorů“) inspekce prováděna na základě

kooperace se samostatným antivirovým programem, jenž je umístěn jinde v síti,

nebo můžete využít variantu firewallu s plně integrovaným řešením společnosti

McAfee. Výhody druhé možnosti jsou nasnadě vše lze spravovat z jedné konzole a

instalovat najednou.

Správa uživatelů

Protože produkt samozřejmě zahrnuje funkcionalitu proxy serveru

(zprostředkovává klientům lokální sítě internetové služby), je nezbytností

ověřování totožnosti uživatelů. Byli jsme spokojeni s tím, že v existující

infrastruktuře Windows 2000 Serverů se službou Active Directory nemusíme

vytvářet účty znovu a ručně, ale můžeme je přímo z existující databáze

naimportovat. Maximální míru zabezpečení vám poskytne podpora protokolu

Kerberos 5, nicméně pro starší verze doménových prostředí (typicky Windows NT

4.0) je pochopitelně připraven protokol NTLM.



Proxy server

Zůstanete-li ještě u proxy serveru, pro úplnost dodáme, že nebudete mít potíže

ani s další nezbytnou funkcionalitou. DHCP server podporuje zcela libovolný,

vám zadaný síťový rozsah, který jasně vymezíte maskou podsítě, a stejně snadno

můžete definovat výjimky (adresy napevno) a rezervace na základě MAC adresy.

Pomocí DHCP také jednoduše rozdělíte nastavení defaultní brány, služeb DNS a

WINS a také doménu. Důležitou službou z hlediska výkonu je na proxy serveru

rovněž cache, tedy mezipaměť pro přenášená data (typicky http objekty). I zde

nám připadají možnosti dostačující: odkládaná data si nasměrujete, kam chcete,

přesně lze specifikovat TTL (dobu životnosti v cache) a také míru využití

diskového prostoru a operační paměti. Příjemné jsou i „drobnosti“ jako

volitelné akceptování TTL z konkrétních souborů cachování údajů o přesměrování

stránek. Tím však možnosti nekončí velmi nás potěšila vymoženost definovat TTL

dle URL adresy, čímž lze zajistit, že uživatelé budou mít např. vždy čerstvou

variantu zpravodajských stránek.



Firewall

Pojďme k firewallu, kde se veškerá administrace odehrává na úrovni tzv.

pravidel. Příjemné je, že rovnou po instalaci jste vybaveni základní sadou,

díky níž „rozběháte“ minimálně 50 % potřebného provozu. Líbilo se nám, že v

uplatňování nastavených pravidel platí zažitý systém: začíná se shora, jakmile

firewall najde vyhovující podmínku, provede akci, a na posledním místě je

defaultní odmítnutí všeho. Poslední instanci lze vypnout (což je užitečné např.

na doladění základní konektivity) a v případě, že oddělujete např. dvě lokální

či naopak veřejné sítě, se jednoduše také zbavíte NATu opět prostou deaktivací

příslušného pravidla. Mimochodem, právě překlad adres lze velmi detailně

konfigurovat. Pokud své požadavky zpřesníte, samozřejmě lze tvořit pravidla

vlastní, přičemž máte naprosto volné ruce: lze využít omezení časové, přesnou

definici dle protokolů a členství v příslušných uživatelských skupinách.



Kontrola obsahu

Další úrovní kontroly komunikace je inspekce obsahu, dostupná pro WWW a FTP

obsah, a i zde budete spokojeni, neboť možností je celá řada. Inkriminované

zdroje lze pořádat do skupin a poté hromadně přidělovat, přičemž potěšující je,

že pravidlo může být definováno jak pro ověřené, tak obecně pro všechny

uživatele. Následovat mohou typické akce propuštění či zahození, ale také

dodatečné přihlášení uživatelů, kteří nebyli identifikováni. Nechcete-li se

zdržovat se seznamy URL a jejich obsahem, využijte integrovaný systém Cobion a

jeho bohatou databázi.



VPN

Při použití ve firemním prostředí je klíčová podpora virtuálních privátních

sítí. V tomto ohledu je popisované řešení určitě zklamáním. Výrobcem je

příslušná funkcionalita propagována dosti mlhavě a bližší ohledání prokázalo,

že podpora VPN se v podstatě omezuje na možnost kontroly propouštění

příslušných protokolů skrz firewall, přesněji řečeno žádné další možnosti jsem

v dokumentaci ani v administrátorské konzoli neodhalil. Ačkoliv je možno

považovat transparentní propouštění IPSecu za slušnou výhodu, stále je to jen

„odvar“ očekávaných možností.



Závěrem

Řešení firmy Kerio je výbornou volbou pro správce malých či středních sítí,

jejichž velikost je do jisté míry předem daná a odhadnutelná. Přestože možnosti

konfigurace zabezpečení jsou velmi široké, absence pokročilejší VPN

funkcionality je značnou nevýhodou. Na druhou stranu je velmi pozitivním

argumentem zajímavá cena tohoto řešení. Mezi velmi dobrými vlastnostmi bychom

rádi ještě vyzdvihli kooperaci s antivirovými programy.



MS ISA Server 2000 EE

Jste-li pamětníky MS Proxy Serveru 2.0, jistě se s námi shodnete na tom, že

pořádné firewallové řešení v nabídce této firmy dlouho chybělo. S příchodem ISA

Serveru se situace zásadně zlepšila, neboť jeho možnosti jsou o několik řádů

dále, a jak se ukázalo v praxi, jedná se o dostatečně spolehlivé a robustní

řešení, a to i v nižší verzi Standard Edition.



Na první pohled

Pokud jste s ISA Serverem dosud nepracovali, buďte při prvním osahávání

opatrní. Protože se přece jen nejedná o textový editor, není logika jeho

používání tak přímočará a příliš zbrklým postupem si můžete způsobit značné

potíže. Filozofie produktu je pojata následovně: využijte defaultní nastavení a

jen pozvolna přidávejte věci, kterým rozumíte. Pokud toto nedodržíte, můžete se

dostat do nebezpečné spleti, z níž se jen těžko hledá cesta.

Zásadní pro správné fungování je si uvědomit, jaké typy klientů ve vnitřní síti

ISA Server rozpoznává. Buďto je to tzv. firewall klient (ten je realizován

speciální klientskou aplikací na každém počítači), dále je to web proxy klient

(realizovaný prohlížečem, který je schopen předat ověřovací informaci), anebo

do třetice Secure NAT klient, což je obecně jakýkoliv systém, jehož defaultní

brána směruje na ISA Server. S těmito typy (které je možno pochopitelně

kombinovat) pak souvisejí různé možnosti.

Další klíčovou vlastností, kterou je třeba vést v patrnosti, je chápání

síťových rozhraní ISA Server předpokládá, že každá z připojených sítí bude mít

vlastní adresovací rozsah a mezi nimi bude probíhat překlad adres (NAT), čímž

je zajištěna určitá minimální míra zabezpečení. Tato koncepce vám možná

zpočátku bude připadat trošku složitá (obzvláště při návrhu s demilitarizovanou

zónou), avšak to se časem poddá.



Proxy server

Služba proxy serveru zajišťuje pochopitelně především vyřizování dotazů klientů

z vnitřní sítě, ale může hrát roli i ve směru opačném, při tzv. bezpečném

publikování, k čemuž se ještě dostaneme. Velmi slušně je vyřešena funkcionalita

cachování, jejíchž parametry lze poměrně detailně nastavit. Lze tak říci, jaká

bude životnost objektů, na který disk budou data odkládána a jak bude využívána

operační paměť. Dosti přesně lze také říci, podle čeho a jak bude TTL určen, a

to v různých situacích.

Význačnou vlastností nejen proxy služby je to, že jednotlivá pravidla je

potřeba definovat postupně, pomocí tzv. elementů. Ty posléze budou tvořit

jakousi mozaiku, jež ve výsledku zajistí potřebné omezení, a to jak na úrovni

protokolové (kontrolujete http, FTP atd.), tak obsahové (inspekce volaných

URL). Pokud potřebujete využít ověřování lokálních klientů, je nutno sáhnout do

konfigurace tzv. listeneru („naslouchače“), což je vlastně vnitřní komunikační

rozhraní proxy služby, a zde zvolit metody autentizace samozřejmostí je co

nejtěsnější sepětí s možnostmi Windows. Pozor však na jeden fakt: neumí-li

klient předat autentizační informace (např. prostřednictvím dialogu v

prohlížeči, začne být konfigurace komplikovaná.



Reporty

Na ISA Serveru jsou k dispozici velmi dobré možnosti sledování činnosti.

Podrobně lze monitorovat chování všech služeb (především firewallu a proxy

serveru), a pokud důsledně využijete např. autentizaci klientů vnitřní sítě,

lze získat velmi hodnotné údaje o datových tocích. Samozřejmostí je logování

operací firewallu, a to v některém ze zvolených formátů v závislosti na

metodice příštího zpracování. Velkou výhodou je, že nativní údaje ISA Serveru

lze interpretovat do podoby přehledných webových dokumentů se zajímavými

statistikami. Na druhou stranu je nevýhodou, že tato práce není moc intuitivní.

Bez zaškolení si nejdříve dost „vyhrajete“, než odhalíte správnou souslednost

kroků, jež povedou k lákavému reportu v podobě koláčových grafů.



Firewall

Pokud po ISA Serveru vyžadujete propuštění komunikace z vnějšího prostředí

dovnitř, dostanete se opět do situace, kdy vám příliš nepomůže intuice.

Přestože možnosti jsou poměrně široké, je potřeba je znát předem a zvolit tu

správnou, což není pro začínajícího správce snadné. Nastavení také souvisí s

návrhem IP adresace, takže pokud začnete ze špatného konce, můžete si vše hodně

zkomplikovat.

K prostému zviditelnění webového serveru je k dispozici funkce Web publishing,

jež v podstatě pracuje jako „proxy server naopak“, tedy vzdálenému uživateli

sama předkládá stránky ze serveru, který je ukryt v lokální síti. Výhodou je,

že zde také můžete použít cachování. Pro jiné protokoly je potřeba sáhnout ke

službě Server publishing, jež dovoluje vybrat ze širší zásoby protokolových

definic. V obou případech stále není nutné sahat do nejniternějších nastavení

paketových filtrů tato potřeba vyvstane ve chvíli, kdy jeden váš počítač hostí

tři síťové karty, z nichž jedna vede do DMZ (demilitarizovaná zóna). Protože

ISA Server zná jen síť vnitřní a vnější a nic mezi tím, je nutné nastavit DMZ

také jako vnější a zprovoznit mezi dvěma síťovými kartami směrování s detailně

specifikovanými paketovými filtry.



Závěrem

ISA Server je řešení s velkým potenciálem především pro rostoucí firmy, jejichž

nároky na bezpečnost a zároveň výkonnost síťového připojení pravděpodobně

značně porostou. Ačkoliv je k dispozici široká funkcionalita, domníváme se, že

řadě správců může činit správa alespoň zpočátku potíže, neboť některé koncepce

nejsou na první pohled snadno pochopitelné. Jasnou výhodou je orientace na

masivní sdílení webové cache či bezpečné publikování serverů, jako trošku

zkostnatělé bychom hodnotili nárazové funkce typu IDS či absenci přímé

antivirové kontroly.



Symantec Enterprise Firewall/VPN 7

V současné době není pochyb, že společnost Symantec představuje zásadního

dodavatele bezpečnostních technologií. Není žádným tajemstvím, že toho dosáhla

promyšlenou akviziční politikou a integrací do vlastní produktové nabídky, a to

je případ i tohoto produktu. Řešení, jež se dříve jmenovalo Raptor, je dnes

dodáváno jak v ryze softwarové podobě (např. pro Windows), tak jako součást

hardwarových appliances, jimž slouží jako spolehlivý „motor“.



Ovládací rozhraní

Jste-li zvyklí na rutinní práci s platformou Windows 2000 (resp. 2003/XP)

prostřednictvím administrátorské konzole MMC, bude se vám s tímto softwarem

(podobně jako s ISA Serverem) zacházet velmi dobře. Hierarchické uspořádání

funkcí v levé části okna v podobě stromu a detailní náhledy či výčty v pravé

části poskytují dostatečně přehledné rozhraní, a zkušenější z vás jistě rychle

docení možnosti kontextového menu. Pro úplnost ještě uvedu, že „kořenem“

konzole není samotná aplikace (v tomto případě firewall), ale Symantec

Enterprise Management pokud využíváte další systémy tohoto dodavatele, vše

můžete snadno a přehledně ovládat z jediného místa.



VPN

Správa virtuálních privátních sítí je jistě jednou z nejsilnějších stránek

tohoto řešení. Samozřejmostí je využívání technologie IPSec, tedy šifrovaných

tunelů, jež jsou zabezpečeny na síťové vrstvě, a nepříliš zkušení správci ocení

možnost nastavení pomocí dobře navržených wizardů. IPSec lze nasadit jak v módu

tunelovacím (tedy firewall bude sloužit jako brána, zapouzdřující veškerou

komunikaci např. mezi pobočkami), tak v módu transportním pro datový tok mezi

jednotlivými klienty. Rovněž v případě potřeby „protunelovat“ zabezpečenou

komunikaci skrz nastavený proxy server, jenž provádí překlad adres (NAT),

nenarazíte na problém, neboť jednoduchým nastavením lze komunikaci na patřičnou

proxy službu nasměrovat. Vlastní definování VPN je prováděno prostřednictvím

politik a k dispozici máte širokou škálu nastavení, takže nebudete mít problém

vše sladit se systémem na druhém konci tunelu či s různými klienty.

V souvislosti s VPN zmíníme ještě další vlastnost, která nás zaujala, a to

definování síťových nastavení pro vzdálené klienty, kteří budou používat server

s tímto softwarem jako vzdálenou VPN bránu. Součástí definice uživatelské

skupiny je také detailní konfigurace parametrů, jako jsou primární a sekundární

DNS a WINS servery či adresa doménového řadiče. Nechybí výběr způsobů

autentizace uživatele a možnost omezení současně připojených VPN tunelů.



Proxy Server

Tato část produktu, respektive funkcionalita zajišťující klientům vnitřní sítě

bezpečný a dobře sledovatelný přístup k vnějším zdrojům, je zpracována opravdu

dobře. Koncepčně je vše navrženo velmi přehledně o jednotlivé typy komunikace

se stará příslušná komponenta, jistě ne náhodou označovaná jako daemon, a

jejich příslušným nastavením dostane správce vše pod kontrolu. K dispozici je

tedy například služba HTTPD, FTPD či TELNETD, ale také DNSD či PINGD. Z názvů

je patrné (zdaleka to nejsou všechny), že relativně snadno a rychle může

správce zpřístupnit řadu služeb, aniž by musel sahat k detailnímu nastavení

paketových filtrů na firewallu. Za zmínku ještě stojí, že zde také najdete

jakéhosi „generálního daemona“, kterého lze využít k propouštění ostatního

provozu, pro který není přímo výrobcem definována odpovídající proxy služba.



Kontrola obsahu

Produkty Symantecu jsou mimo jiné známy tím, že nabízejí i velmi slušnou

kontrolu obsahu u některých služeb, přičemž důraz je kladen především na webové

stránky na například diskusní skupiny (newsgroups). Přestože především v

případě služby WWW máte k ruce opět velmi dobrý potenciál pro odfiltrování

potenciálně nežádoucího obsahu, překvapilo nás, že výrobce neuznal za vhodné

připravit několik defaultních politik, jež by jistě zastaly dost práce. U

diskusních skupin je to o něco lepší, neboť zde najdete řadu přednastavených

pravidel.



Sledování činnosti

I tato funkcionalita, bez níž si práci s firewallem či proxy serverem těžko

dovedeme představit, je zpracována velmi slušně a hlavně poměrně přehledně. K

dispozici je tradiční logování, v němž jsou události opatřeny jednoznačnými

příznaky dle závažnosti a také popisem charakteru (vše připomíná běžný Event

Viewer ve Windows), a dále řada graficky lépe vyvedených reportů s různými

parametry nastavení služeb. Nemile nás ale překvapilo, že právě tuto druhou

skupinu dokumentů s cennými informacemi se nám nedařilo jednoduše uložit.



Firewall

Konfigurace firewallových pravidel je u tohoto řešení stejně bezproblémová jako

realizace ostatních nastavení. Výrazně vám pomůže velmi široká škála předem

připravených protokolových definic, na jejichž základě si můžete vybírat,

případně samozřejmě definovat vlastní. Ocenili jsme především fakt, že i

správce bez nijak výjimečných znalostí tohoto systému může rychle pochopit, jak

jsou pravidla „postavena“ a kde je potřeba definovat základní stavební kameny.

Tedy opět přehledné a jasné.



Závěrem

Softwarová výbava od Symantecu představuje velmi všestranné řešení pro

prakticky všechny typy zařízení a implementací, od nejmenších po velmi

rozsáhlé. Opravdu dobře je zpracováno ovládání a koncepce celého produktu je

nesmírně intuitivní, takže práce s ním je logická a přehledná. Troufáme si

tvrdit, že se s tímto softwarem bude dobře pracovat začínajícímu správci i

„profíkovi“. Klíčová je samozřejmě pro firemní účely podpora VPN a integrace se

správou ostatních řešení od Symantecu.



Malá hardwarová volba

V úvodu na straně 13 jsme poukázali na to, že zabezpečení je úkolem pro každého

uživatele, byť by disponoval jediným počítačem s širokopásmovým připojením k

internetu. Zde bychom rádi zpřesnili, koho vlastně považujeme za cílovou

uživatelskou skupinu v případě zařízení, o němž budeme hovořit. Tradičně bývá

tato kategorie označována zkratkou SOHO (small office, home office), která je

poměrně výstižná řešení, s nimiž vás hodláme obeznámit, jsou určena domácím

uživatelům, kteří disponují jediným počítačem či malou sítí (do cca 5 strojů),

a dále malým kancelářím, firmám či pobočkám, jejichž síťové prostředí zahrnuje

typicky kolem 20 i více PC.

Rozhraní a připojení

Dle letmého pohledu do základních popisů rychle zjistíte, že magickým číslem je

zde čtyřka: převážná většina zařízení disponuje 4 porty LAN pro připojení

počítačů ve vnitřní síti a jedním portem, jenž bývá označován jako WAN pomocí

tohoto rozhraní (a kabelového či DSL modemu) je realizováno připojení k

internetu. Přesto se našlo i několik odlišných konfigurací, jež zahrnovaly

např. paralelní port pro síťovou tiskárnu či COM/RS232 sériové rozhraní pro

záložní dial-up linku. Porty LAN i WAN bývají osazeny výhradně konektory RJ-45

pro kabeláž UTP kategorie 5 a disponují rychlostí 100 Mb/s.

Běžná domácí síť

V této kategorii najdete řešení, jež se vyznačují především cenovou

dostupností. Protože se předpokládá, že cílový uživatel není nijak mimořádně

obeznámen se síťovou problematikou, bývají možnosti konfigurace omezeny na

zpřístupnění základních služeb. Firewall bývá realizován formou základních

pravidel, jež jsou spojována se zavedenými službami, a systém IDS často není

využíván. V případě, že u neznalých uživatelů bez možnosti detailní správy na

místě vyžadujete konkrétní, komplikované nastavení bezpečnostní politiky, vřele

doporučujeme sáhnout po modelu centrální správy a distribuce nastavení na

cílová zařízení (viz níže odstavec Pod stálým dohledem).

Mezi typické zástupce této třídy v našem přehledu patří např. 3Com Office

Connect, jež při zachování velmi nízkých nákladů nabízí dostatečnou

funkcionalitu a nekomplikované nastavení. Velmi přehledným nastavením rovněž

disponuje Edimax Broadband Router BR-6104, který je navíc dodáván s velmi

slušným tištěným manuálem.

Domácí firma/malá kancelář

Do této pokročilejší kategorie je možno zařadit zařízení, jejichž funkcionalita

je v některém směru zásadně rozšířena, například o detailní konfiguraci

firewallu, základní podporu VPN či např. připojení záložní linky. Uvedené

produkty dobře poslouží náročnějším domácím uživatelům či kancelářím, jejichž

požadavky obsahují některé pokročilejší prvky. V našem přehledu jsou jimi např.

výborný DrayTek Vigor 2200E s podporou VPN a kvalitním monitorováním nebo U. S.

Robotics 8000A s tiskovým serverem pro síťovou tiskárnu a sériovým portem pro

dial-up záložní linku.

Pobočka firmy

Pro zajištění funkcionality tohoto typu je klíčovou vlastností podpora tunelů

VPN s tím, že hovoříme o schopnosti firewallu toto spojení inicializovat či

přijímat ve funkci koncového bodu (nejde nám tedy o průchod skrz). V přehledu

jsou zařazeny produkty, jež nabízejí v tomto ohledu řadu možností. Běžným

standardem bývá využití protokolu PPTP, a v lepším případě je k dispozici

šifrování na bázi IPSecu. Opravdu dobře vybavené produkty umožňují v posledně

jmenovaném případě nejen využít ručně nastavený klíč (preshared key), ale také

pracovat s certifikáty, takže integrace s PKI je reálně možná. V tomto ohledu

patří bezesporu mezi nejvydařenější zařízení DrayTek Vigor 2300 s podporou

mnoha desítek souběžných VPN tunelů a jinak bohatými funkcemi, dále Planet

VRT-401 s výbornými možnostmi pro správu certifikátů, jichž se při tvorbě VPN

na bázi IPSecu užívá, či D-Link DI-804V s rozšířenou VPN podporou a záložním

sériovým portem pro dial-up linku. Jako zajímavost bych zde zmínil zařízení

Edimax Broadband Router Multi-homing BR-6541, jež disponuje na rozdíl od všech

vrstevníků 4 rozhraními typu WAN a nabízí podrobné nastavení politik, jež

určují, jak bude využití stálých či záložních linek optimalizováno.

Na závěr této kategorie jsme si ponechali zmínku o zařízeních typu appliance z

dílny Symantecu. Pro firmy či pobočky do cca 30 uživatelů jsou určeny modely s

označením 100, 200 a 200R, jež integrují firewallové řešení spolu s

funkcionalitou VPN. Nejvyšší varianta 200R již poskytuje VPN podporu i mobilním

uživatelům (nejen spojení typu brána-brána), ovšem svou cenou se už vymyká zde

zařazeným produktům.

Pod stálým dohledem

Na tomto místě jsme se rozhodli zmínit zařízení, jež podporují práci s

centrálně sestavenými bezpečnostními politikami. Jejich hlavní výhodou je v

podstatě univerzální nasazení, neboť erudovaný správce může definovat pravidla

pro nejrůznější použití a koncový uživatel na pobočce či v domácí kanceláří

prakticky detailní konfiguraci neřeší. Velmi dobrým příkladem je produktová

řada společnosti SofaWare, do níž náleží Safe@Home, Safe@Home Pro a

Safe@Office. V zařízení je implementován firewall firmy Check Point a vše

příkladně spolupracuje s centrálním serverem, jenž distribuuje jednotlivé

politiky. Tato vymoženost nijak nevylučuje přechod do režimu detailní lokální

správy.

Z oblasti softwarových řešení je dobrým příkladem tohoto přístupu aplikace

Symantec Client Security, jež pracuje v podstatě na stejném principu, ovšem ve

funkci ochránce lokální stanice.

Na hranici

V našem přehledu naleznete rovněž několik řešení, jež se nacházejí díky svým

parametrům na samé hranici SOHO kategorie. Zařazeny byly právě z důvodu

snazšího vymezení zájmové skupiny, neboť na jejich příkladu je dobře patrné,

kdy nastává potřeba takto sofistikovaných řešení a tomu odpovídajícího

personálu, neboť zde je již jistá erudice vyžadována.

Jedním z příkladů je firewall RoBox, dodávaný v tuzemsku společností Infima.

Jedná se o appliance, jehož softwarovou část tvoří (jinak běžně samostatně

prodávaný) kvalitní firewall GnatBox. Parametrem, v němž bezesporu toto řešení

přesahuje hranice námi použité kategorie SOHO, je celková propustnost RoBox

zvládne až 30 000 souběžných spojení, a takovýto provoz se vám podaří

vygenerovat při současné práci mnoha desítek uživatelů na silné lince (jistě

přes 1 Mb/s). Samotná konektivita pochopitelně nemusí být míněna pouze směrem

do internetu, neboť zařízení lze využít pro bezpečné oddělení lokálních sítí,

kde rychlost 10 Mb/s není ničím překvapivým.

Dalším příkladem budiž appliance z dílny Nokie, u níž jsme zvyklí především na

mobilní telefony. Produkt IP120 v sobě v podobě přiměřeně malé krabičky

integruje velmi výkonné řešení pro zabezpečení sítě zařízení obsahuje špičkový

softwarový pohon od Check Pointu v podobě zaručeného Firewallu-1 a podpory

privátní sítí VPN-1, a je rovněž dobrou ukázkou toho, že náročná řešení si

žádají patřičné odborníky. S konfigurací si jistě lépe poradí správci zvyklí na

kouzla unixových konfiguračních souborů než uživatelé Windows. Z dalších

vymožeností zmíním podporu řady routovacích protokolů, široké možnosti správy a

implementaci protokolu IP ve verzi 6.

Do třetice bych rád zmínil zástupce z dílny světového lídra, a to firewall

Cisco PIX 501. Tento produkt se z kategorie SOHO bezesporu vymyká širokou

nabídkou funkcí, přičemž ke konfiguraci některých z nich je lepší sáhnout do

terminálové relace. Na druhou stranu, produkt disponuje opravdu velmi dobrým

grafickým uživatelským rozhraním, takže do příkazové řádky v zásadě nemusíte a

v prohlížeči nastavíte poměrně detailně řadu důležitých funkcí včetně volby

sledovaných vzorů IDS, kterých je k dispozici pěkná řádka.



Slovníček

Appliance

Všeobecné označení pro zařízení typu „černá skřínka“, jež obsahuje integrovaný

hardware i software do podoby dedikovaného systému. Ovládání a konfigurace se

provádějí po síti prostřednictvím webového rozhraní, pomocí sériového

(konzolového) kabelu přes terminálovou relaci či prostřednictvím

specializovaného softwaru z libovolného PC v síti.

DHCP

Jedna ze základních síťových služeb, sloužící k automatickému přidělování IP

neboli síťových adres a dalších parametrů. Je-li tato služba v síti spuštěna,

každý nově spuštěný počítač, nastavený pro automatickou konfiguraci TCP/IP,

získá po síti potřebné parametry. Jedná se o možnost, jak značně zjednodušit

správu počítačů v domácí či firemní síti. Všechna zařízení, o nichž se zde

dočtete, tuto službu podporují.

DMZ

Demilitarizovaná zóna část počítačové sítě, která je důsledně oddělena jak od

internetu, tak od ostatních uživatelů ve vnitřní, chráněné síti. Typicky slouží

k umístění počítačů, jejichž služby (např. webový nebo poštovní server) mají

být bezpečně dostupné z vnitřní sítě a zároveň volně viditelné z internetu.

IDS

Intrusion Detection System neboli systém pro zaznamenání průniku je komplexní

služba zajišťující sledování různých pokusů o útok z internetu do chráněné,

vnitřní sítě. Jedná se obecně o kolekci různě složitých postupů, jež na základě

výskytu předem definovaných, dobře známých událostí dokáží „inteligentně“

rozpoznat nekalé aktivity vůči vaší síti. Součástí také často bývají postupy

pro varování správce (odesílání e-mailu atd.), jako též podrobné zápisy do

záznamových souborů událostí (tzv. logů).

IPSec

Jedna z podpůrných šifrovacích technologií pro sestavení spojení typu VPN. Je

alternativou k využití PPTP a v současnosti se již těší poměrně široké podpoře.

MAC adresa

Hardwarová adresa jednoznačně identifikující každou síťovou kartu v počítači či

jakékoliv síťové rozhraní na zařízeních, jako jsou směrovače (routery) či

firewally. Je trvale „vypálena“ do hardwarových součástí a je světově

jedinečná, neboť výrobci je důsledně rozdělují dle stanovených pravidel.

Využívá se při komunikaci na nejnižší síťové úrovni, např. na lokální síti

pomocí nejrozšířenější technologie Ethernet. Pozor, neplést se síťovou neboli

IP adresou!

NAT

Technologie překladu síťových neboli IP adres. Jedná se o nezbytný postup, jak

pomocí jedné či několika málo veřejných, z internetu dostupných adres

zviditelnit celou lokální, vnitřní síť za routerem či firewallem. Výsledkem je

jednak možnost pomocí jediné adresy připojit velké množství počítačů, jednak

vnitřní síť ukrýt „za NAT“. Ačkoli není technologie NATu jednoduchá na

implementaci, veškerá uváděná zařízení ji alespoň v základní podobě podporují.

PPTP

Jedna z technologií umožňující šifrovaný přenos dat po sítích, sloužící k

budování tzv. VPN, tedy virtuálních privátních sítí. Vyznačuje se všeobecně

velkým rozšířením podporují ji jak běžné operační systémy (Windows, Linux a

další), tak i řada dalších zařízení (mnohé ze zde popisovaných). V tuzemsku

slouží jako primární metoda pro připojení a využití služeb pomocí technologie

ADSL, a proto je nutná schopnost jejího uplatnění na WAN rozhraní. Většina zde

popisovaných zařízení dokáže PPTP připojení vyvolat.

UTP

V současné době nejrozšířenější typ kabeláže pro lokální sítě v domácnostech či

firmách. Unshielded Twisted Pair neboli nestíněný kroucený pár (dvoulinka) je

poměrně levný a využívá se rovněž pro domácí telefonní rozvody. Pro potřeby

telefonu a analogových modemů je použit konektor RJ-11, pro počítačové sítě pak

o něco větší konektor označovaný jako RJ-45. Právě druhý uvedený je standardním

konektorem pro připojení veškeré kabeláže k zařízením, o nichž je v tomto

přehledu řeč.

VPN

Způsob komunikace po síti, jenž zajišťuje utajení dat a sestavení vyhrazeného

spojení. Virtual Private Network neboli virtuální privátní síť pracuje na

principu hypotetického tunelu všechna vaše data jsou sice ve skutečnosti dále

„rozsekána“ na části, ale jsou šifrována a označena tak, aby je nikdo nemohl

číst a pozměnit, takže z pohledu uživatele se jedná jakoby o sestavení tunelu.

Technologie VPN je často využívána a například pro nasazení ADSL v tuzemsku

přímo nutná.

WAN

Rozlehlá síť neboli Wide Area Network. V přeneseném smyslu slova se tímto

pojmem označuje síťové rozhraní, jež slouží pro připojení k internetu neboli do

vnější (též externí) sítě, resp. směrem k vašemu ISP.