Požarni zid z varnimi tuneli

Objavljeno: 15.4.2005 16:44 | Avtor: Grega Šimenc | Kategorija: Preizkusi | Revija: November 2004

Snapgear je med poznavalci varnostnih rešitev na področju IT znan po zmogljivih napravah, zgrajenih na podlagi operacijskega sistema Linux. Pod svoje okrilje ga je pred letom dni vzelo podjetje Cyberguard, zato se prodaja nadaljuje pod imenom novega lastnika.

Preizkusili smo pet od sedmih naprav iz družine varnih usmerjevalnikov SG. Prav vsi modeli podpirajo povezovanje enega ali več računalnikov v internet, bodisi prek povezave ADSL, kabelskega omrežja ali česa tretjega. Dokaj zmogljiv vgrajeni požarni zid dopolnjuje tudi možnost delovanja kot strežnik VPN ali odjemalec po protokolih PPTP, L2TP ali IPSec.

Najosnovnejši v družini je model SG300, ki se opazno razlikuje od drugih članov. Ohišje je v celoti plastično, tudi omrežni priključki na zadnji strani, medtem ko so ohišja preostalih modelov kovinska. Namenjen je povezovanju manjšega števila računalnikov v internet, s povezovanjem skozi tunel VPN pa lahko računalniki postanejo del nekega drugega omrežja. Vgrajeno je omrežno stikalo s štirimi priključki - pri drugih preizkušenih modelih te družine je treba priključke dokupiti. Čeprav gre za vstopni model v družini SG, je nabor funkcij razmeroma dober. Ponaša se s storitvijo QoS, ki omogoča določanje prioritet posameznim namenskim programom na podlagi uporabljene številke vrat (port number). Ob odpovedi glavne (širokopasovne) povezave v internet zna SG300 sam vzpostaviti rezervno povezavo prek zunanjega analognega modema ali vmesnika ISDN. Požarni zid varuje pred večino znanih vrst napadov, poleg tega lahko ustvarjamo tudi lastna merila za blokiranje škodljivega omrežnega prometa tako na priključku WAN kot tudi LAN.

Močnejši modeli iz družine SG so predvsem procesorsko zmogljivejši. Po navedbah izdelovalca je najmočnejši, SG575, po zaslugi strojne rešitve kodiranja podatkov zmožen vzdrževati do 400 tunelov IPSec hkrati (SG300 le 50), v načinu PPTP ali L2TP pa je zmogljivost opazno manjša (do 20 hkratnih navideznih tunelov VPN). SG570 in SG575 premoreta še ločen omrežni priključek DMZ, ki lahko rabi tudi kot dodatna širokopasovna povezava v internet. Možen je tudi "Load balancing" ali porazdelitev internetnega prometa med dvema aktivnima povezavama v internet, ob tem pa je za rezervo še vedno na voljo tudi klicni dostop.

Naprave SG lahko upravljamo prek vgrajenega spletnega strežnika ali protokola telnet, pri močnejših modelih pa sta na voljo tudi varnejša protokola SSH in HTTPS. Ob prvi prijavi nam naprava celo ponudi čarovnika, s katerim lahko nastavimo osnovne parametre, kot so naslov IP na vmesniku LAN ali vrsta povezave na WAN. Vse drugo nastavljamo ročno prek obsežnih menujev, ob tem pa moramo pograjati ne ravno najboljša navodila (v obliki pdf na priloženi zgoščenki), v katerih ni moč prebrati več kot le osnovni opis funkcij. Pomanjkljivost delno odpravlja zbirka znanja na internetni strani izdelovalca, a vendarle menimo, da bi bila priložena navodila lahko izčrpnejša.

Za preizkus delovanja VPN smo uporabili SG530 v načinu odjemalec za tunel PPTP. Izkazalo se je, da omenjeni način deluje le, kadar SG530 igra aktivno vlogo, torej izvaja prevajanje naslovov (NAT) in z vgrajenim strežnikom DHCP dodeljuje naslove IP iz drugega podomrežja (subnet), kot so v omrežju na drugi strani tunela. Bolje se obnese v načinu strežnik VPN (podpira tunele PPTP ali L2TP, zadnjega v kombinaciji s protokolom IPSec), kjer bi si morda želeli možnost nastavitve časovne omejitve priklopa določenih uporabnikov ali skupine. Vzpostavitev tunela IPSec je mogoča tudi z uporabo certifikatov CA in CRL, vendar je to vse prej kot enostavno opravilo. Na srečo nam ob morebitnih težavah pri povezovanju lahko priskoči na pomoč izčrpen dnevnik dogodkov. Zanimivo je še to, da število hkrati aktivnih tunelov VPN ni omejeno s številom licenc kot pri nekaterih sorodnih izdelkih, temveč je omejeno s procesorsko zmogljivostjo naprave.

CyberGuard SG300

Kaj: Omrežna varnostna naprava z vgrajenim štirivratnim stikalom.

Priključki: 1 × WAN, 4 × LAN, zaporedni vmesnik.

Izdeluje: CyberGuard, www.cyberguard.com.

Prodaja: Sinfonika, www.sinfonika.si, (01) 588 71 44.

Cena: 76.800 tolarjev.

Za: Širok nabor varnostnih funkcij, možnost rezervne klicne povezave.

Proti: Kakovost izdelave, slaba pisna navodila, visoka cena.

CyberGuard SG530, SG550, SG570, SG575

Kaj: Zmogljiva omrežna varnostna naprava.

Priključki: 1 × WAN, 1 × LAN, zaporedni vmesnik, SG570 ter SG575 tudi 1 × DMZ.

Izdeluje: CyberGuard, www.cyberguard.com.

Prodaja: Sinfonika, www.sinfonika.si, (01) 588 71 44.

Cena: SG530 90.000 tolarjev; SG550 127.200 tolarjev; SG570 152.400 tolarjev; SG575 241.200 tolarjev.

Za: Zmogljiva zasnova in funkcionalnost, zmogljivost IPSec, možnost dveh neodvisnih internetnih povezav (SG570 in 575).

Proti: Zapletena nastavitev, slaba pisna navodila.

Naroči se na redna tedenska ali mesečna obvestila o novih prispevkih na naši spletni strani!
Prijava

Komentirajo lahko le prijavljeni uporabniki