Firewall nevšedních možností - Kerio WinRoute Firewall 6.1.1 malý, ale

Společnost Kerio Technologies jistě není potřeba zkušenějším uživatelům či
administrátorům představovat. Pokud sledujete dění v oblasti bezpečnostního

softwaru podrobněji, jistě vám neuniklo, že plzeňská softwarová ofenzíva nejen

stále pokračuje, ale pozvolna a plíživě nabírá na síle. Jednak se rozšířila

nabídka jednotlivých produktů, ale rovněž jsou průběžně uváděny jejich nové a

vylepšené verze. V tomto článečku se zastavíme nad právě uvedeným mírným

evolučním počinem v podobě nejaktuálnějšího firewallu řeč je tedy o aplikaci,

jež firmu v podstatě proslavila.

Hned na počátku je potřeba uvést, že verze 6.1 (přesněji jsme testovali

variantu 6.1.1) opravdu není na rozdíl od „šestky“ nějakým zásadně novým

produktem. Za zmínku však stojí v podstatně všechny novinky, jež byly zařazeny,

a to přesto, že jich mnoho nebylo. Jejich hodnota je však značná, proto o nich

ztratíme pár slov.

Na prvním místě jednoznačně oceňujeme dotaženou spolupráci firewallu s

doménovými strukturami typu Active Directory, jejichž pomocí zajišťují servery

firmy Microsoft správu síťového prostředí. Tvůrci definitivně dospěli k

transparentnímu řešení, kdy existující účty v doméně Windows (tedy v databázi

Active Directory) jsou prostřednictvím otevřeného protokolu Kerberos k

dispozici pro přímé ověřování na firewallu. Aby to bylo správně pochopeno: není

nutné předem provádět jakési importy či mapování mezi lokálním firewallovým

účtem a jeho doménovým protějškem, neboť propojení je „živé“ a vše je viditelné

napříč sítí. Praktické důsledky jsou zřejmé kromě toho, že odpadá zbytečná

administrace či tvorba duplicitních položek, je pohodlně možné striktně vynutit

ověření uživatele oproti existujícím strukturám. Pro ujasnění dodejme, že toto

transparentní chování samozřejmě funguje i s obdobně mapovanými skupinami, tedy

nikoliv jen s jednotlivými účty. A aby toho nebylo málo, autoři produktu

nezůstali u ověřování v jediné doméně, ale dovolují definovat hned několik

doménových struktur pro případ, že by byla chráněna složitější síť. Na druhou

stranu netvrdíme, že není co vylepšovat, takže jeden tip: v tuto chvíli je

možné určit pro ověřování jediný konkrétní doménový řadič příslušné domény, což

je škoda, neboť jich bývá kvůli zástupnosti v síti typicky větší množství.

Pojďme k další funkci, kterou je služba s ambiciózním jménem Clientless

SSL-VPN. Autoři zde dospěli při vývoji řešení VPN do jedné z vyhraněných poloh

jako univerzální klient je použit obyčejný webový prohlížeč podporující SSL,

přístup je chráněn přihlašovacím dialogem s ověřením proti účtu. Výsledkem

tohoto připojení je prozatím přístup ke sdíleným zdrojům, které jsou v interní

síti nabízeny pomocí služby SMB/CIFS (tedy tradičním „sharováním“). Rozhraní,

generované do klientského prohlížeče, je přiměřeně dobře ovladatelné a funkční.

Nenechte se zmást použitím letitého protokolu SSL a základní funkcionalitou:

nasazení SSL v oblasti virtuálního privátního síťování je velmi moderním

trendem a tvůrci z Keria jistě mají již teď za lubem další funkce, jež budou po

tomto „výkopu“ následovat. Netřeba dodávat, že použití prohlížeče jako klienta

VPN přináší řadu výhod. Na závěr poznamenejme, že ve všech případech, v nichž

figuruje chráněné spojení SSL, je samozřejmostí import vlastních certifikátů. I

když pro administrátory Windows probíhá import privátního klíče dosti

nekonformním způsobem…

Závěrem nezbývá než dodat, že v tomto případě jde sice o na první pohled malý,

ale přesto velmi důležitý krok vpřed na cestě ke zvyšování užitné hodnoty

celého produktu. Integrace do sítí Windows je zase o něco lepší.5



Kerio WinRoute Firewall 6.1.1

+ přímé ověřování v Active Directory

+ podpora více domén Windows

+ integrovaný antivirus

- pevně zadaný jediný doménový řadič

K recenzi poskytla firma:

Kerio Technologies, s. r. o., http://www.kerio.cz

Cena: 10 300 Kč (bez DPH) pro 10 uživatelů na 1 rok