Varnost za VSE omrežje
Zavedanje najrazličnejših nevarnosti, ki prežijo na nas v svetovnem spletu, se je v zadnjem času skokovito povečalo. Vedno več posameznikov in podjetij se ozira po programski opremi ali po namenskih varnostnih napravah, ki bi jim omogočile varno poslovanje in jih v določeni meri razbremenile. Vsemu povpraševanju seveda hitro sledi ponudba, na trgu se je že znašlo precejšnje število namenskih varnostnih naprav. Ogledali smo si, kako in na kakšne načine se izdelovalci lotevajo težav in ali so upravljavcem omrežij in varnostnim inženirjem res v pomoč.
Obvladovanje varnostne problematike v podjetjih v zadnjem času postaja ena pomembnejših nalog. Časi, ko se je podjetje lahko pred neprijetnostmi svetovnega spleta zavarovalo že s požarnim zidom, so že nekaj časa za nami. Varnostne grožnje so se dodobra preselile na višje ravni, ki jih z navadnim požarnim zidom ne moremo več zaustaviti. Različne vrste škodljivega programja se znajo izvrstno pretvarjati, da so običajen in pravilen omrežni promet. Kraja identitet, virusi, črvi, vohunsko in raznovrstno škodljivo programje danes sestavlja večino varnostnih groženj, ki se jih lahko ubranimo le z naprednimi požarnimi zidovi in dodatno programsko opremo.
V obtoku je vedno več besed, kot so virus, spyware, dialer, phising ali v angleščini, na kratko, kar Malware (škodljivo programje), in njihovih protirazličic: Anti-Virus, Anti-Spyware, Anti-Dialer, Anti-Phising oziroma, na kratko, Anti-Malware. Vsakdo od nas pa je zanesljivo že naletel na izraz spam (nezaželena pošta) in njegov nasprotni pol, Anti-Spam. Iznajdljivost škodljivega programja je vedno večja, protiukrepi pa sicer hitro prihajajo na trg, a so vedno malce prepozni.
Večanje števila varnostnih groženj iz dneva v dan povzroča mnogo sivih las vsem zadolženim za varnost v podjetjih, poleg tega pa se stroški škode ali njenega preprečevanja skokovito večajo. Ena izmed večjih težav postaja hitrost odziva v podjetju, čas, ki preteče med izbruhom nove vrste grožnje in vpeljavo zaščite proti njej. To v velikih podjetjih zahteva že kar celo četico visoko specializiranih ljudi, ki se vsak dan posvečajo samo grožnjam ter zaščiti lastnih omrežij in sistemov. To pa precej povečuje stroške, da ne govorimo o tem, da dobrih strokovnjakov ni mogoče najti prav za vsakim vogalom.
Na ta velik, pravzaprav občutljiv in še ne čisto dorečen trg se v zadnjem času spušča vedno več izdelovalcev, ki skušajo združevati programsko opremo z dovolj enostavnim upravljanjem in avtomatskim vsakdanjim sledenjem novim zahtevam. S tem skušajo olajšati in predvsem poenostaviti delo in upravljanje, varnostne grožnje pa prestaviti v razmere, ki so bolj obvladljive.
Izziv je predvsem izbira storitev, ki naj bi jih neka naprava ali programska oprema podpirala. Bo izdelovalec vpletel v svoj izdelek ves nabor možnih storitev ali se bo specializiral samo za eno od njih, na primer za varovanje elektronske pošte? Bo ponujal več različnih naprav ali za vsako storitev posebno napravo? Odločitev ni lahka, tehtati je treba med možnostmi strojne opreme, med zmogljivostjo in prepustnostjo sistemov, skratka med velikim številom različnih dejavnikov. Kam in kako se bo obrnil trg in kdo bo napolnil tržne niše in pridobil svoj delež, pa zaenkrat še ni popolnoma jasno.
Vsak od izdelovalcev se tega izziva loteva drugače, a vendar se pri vseh kaže nekaj skupnega. Vedno bolj se namreč izkazuje, da takim zahtevam še najbolj odgovarja namenska naprava. Pri njej se izdelovalec lahko potrudi za robustno zasnovo, za usklajeno delovanje strojne in programske opreme, za enostavno upravljanje, za možnost enostavnih nadgradenj in za enostavno dodajanje novih funkcionalnosti. Tako se podjetje izogne vsakdanjemu preverjanju in sledenju novim in novim grožnjam. Taka namenska naprava poleg tega ustreza tudi današnjemu modelu izločanja informatike iz podjetij. Seveda ne smemo zanemariti niti prednosti, ki jih ima tak model za samega izdelovalca: uporabniki vsako leto za te ugodnosti prispevajo kar nekaj več sredstev.
Pred kakšnimi grožnjami pa nas take naprave branijo? Predvsem pred virusi. Prav vse naprave podpirajo to možnost, nekatere so celo nastale na podlagi izkušenj izdelovalca z lastno protivirusno programsko opremo. Sledi varovanje pred trojanskimi konji, črvi, vohunskim programjem oz. celo vrsto škodljivega programja. Posebna vrsta grožnje je nezaželena pošta, ki povzroča številne težave in je zelo različno obravnavana. Nekateri ponujajo čisto zaprto rešitev, pri kateri lahko izbiramo le med občutljivostjo prepoznave ter črnimi in belimi listami pošiljateljev, s tem pa se hitro znajdemo pred težavo (ne)uspešne prepoznave res nezaželene pošte. Spet drugi pa omogočajo silno veliko raznih nastavitev, različne algoritme, samoučenje programske opreme in podobno. Pri tem je (ne)uspešnost prepoznave nezaželene pošte sicer velika, a je uvajalni čas učenja in določanja za nas pravih nastavitev toliko večji.
Ob pestri izbiri izdelkov smo na preizkus uvrstili šest namenskih naprav. To so: Panda GateDefender 8050, Networks Defender ND401, Symantec Gateway Security 5640, McAfee Secure Internet Gateway (e500), Borderware Mxtreme 200 in ClearSwift MIMEsweeper SMTP appliance CS500. Nekatere naprave so majhne, nekatere velike, nekatere podpirajo zelo različen nabor storitev, nekatere so bolj ozko specializirane, nekatere so čisto posebne strojne vrste, nekatere pa so v celoto s programsko opremo zapakirani navadni strežniki. Večino povezuje le ena rdeča nit: poganja jih operacijski sistem Linux.
BorderWare MXtreme 200
Borderwarova naprava Mxtreme 200 je namenjena samo varovanju elektronske pošte in jo sam izdelovalec opisuje kot namenski požarni zid za elektronsko pošto. Napravo se umesti med strežnike za elektronsko pošto v našem notranjem omrežju in svetovni splet in tam z nadzorovanjem vse prenesene elektronske pošte preprečuje vnos in razširjanje vseh vrst škodljivega programja.
Strojno je to ena manjših naprav, saj je višine 1U in polovične dolžine. Preprosto jo je umestiti v navadno 19-palčno sistemsko omaro. Na napravi najdemo tudi priključke za monitor in tipkovnico, ki pa se uporabljata le pri prvi namestitvi sistema. Z dvema omrežnima priključkoma lahko napravo brez večjih posegov enostavno priključimo v že obstoječe omrežje. Naprava sama je tudi požarni zid, ki prepušča samo elektronsko pošto, vsi drugi dostopi do nje pa so omejeni in dobro nadzorovani.
Upravljamo jo z navadnim brskalnikom prek varne povezave. Upravljavski vmesnik je urejen funkcionalno, najbolj pa pride do izraza informativna pomoč, ki je na voljo skoraj za vsako izbiro. S tem je upravljanje zelo olajšano in prijazno do upravljavca. Izbir in možnosti je namreč zelo veliko, razširjena razlaga pa nam hitro omogoči jasen in pravilen izbor. Skozi padajoče menuje in razne medpovezave, ki nas vodijo v pravi smeri, je upravljanje poenostavljeno, pri tem pa se upravljavskemu vmesniku ni treba odrekati opredelitvi po določenih sklopih; to zelo olajša dostop do različnih izbir.
Prav lahko bi pomislili, da ima naprava, ki skrbi le za varnost elektronske pošte, kaj manj možnosti od drugih naprav in da je mogoče celo enostavnejša. A se ne bi mogli bolj motiti. Prav zaradi načrtne omejenosti naprave samo na elektronsko pošto se je izdelovalec lahko potrudil, da vanjo vplete čim več možnosti in funkcionalnosti, pomembnih za prenos, varnost in vsestranske zmožnosti elektronske pošte. Že sama osnova naprave skrbi za varnost pri oddajanju in sprejemanju sporočil, za protivirusno pregledovanje sporočil in priponk in za vsebinsko pregledovanje ter filtriranje celotnih sporočil po raznovrstnih merilih. A to je le začetek, osnova, na kateri nato temelji celoten sistem, ki mu ne manjka preprečevanja vsiljenih sporočil, možnosti lokalnih elektronskih poštnih predalov, možnosti oddaljenega dostopa z brskalniki in različnih možnosti overjanja uporabnikov. Vgrajena je podpora različnim vrstam imenikov, tudi Microsoftovemu aktivnemu imeniku, prek katerega lahko uporabnike enostavno overimo. Med mehanizme za overjanje na daljavo spadajo navadno uporabnik/geslo, naprednejši Radius ali ldap ali pa sistemi enkratnih gesel: RSA SecurID, SafeWord in CryptoCard. Ob pomoči dodatnih zunanjih strežnikov pa lahko sporočila na poti do uporabnikov celo šifriramo. To nam zagotavlja precejšnjo varnost v svetovnem spletu in tudi v večjem krajevnem omrežju. V podporo šifriranju zna naprava celo izdajati digitalna potrdila končnim uporabnikom, seveda pa lahko upošteva tudi digitalna potrdila, izdana s strani drugih agencij. Tudi naprave Mxtreme se lahko povezuje v gruče in s tem zagotavlja optimizirano deljenje bremena ter visoko razpoložljivost ob odpovedi ene od naprav.
Za preprečevanje vdora virusov v naše omrežje skrbi protivirusna programska oprema Kaspersky, ki osvežuje svoje vzorce najmanj vsakih 15 in največ vsakih 60 minut. Za preprečevanje nezaželene pošte pa skrbi tehnologija Intercept, ki na podlagi številnih vzorcev in pravil lahko precej natančno opredeli elektronsko pošto kot nezaželeno. Na razpolago je še dodatna programska oprema BrightMail, ki nam omogoči še veliko dodatnih možnosti; ena od njih je posredovanje nezaželene pošte v poseben strežnik, v katerem si uporabniki sami razvrščajo in opredeljujejo nezaželeno pošto. Ker BrightMail deluje na podlagi vzorcev, jih tudi v rednih intervalih sam avtomatsko prenaša iz spleta. Za še večjo funkcionalnost pri nezaželenih sporočilih pa si lahko omislimo celo vtičnike za najpogosteje uporabljane odjemalce za elektronsko pošto.
Upravljavski vmesnik Mxtreme 200
V vzdrževanje so zajete tudi vse nadgradnje programske opreme; za prenos novih različic skrbi naprava sama s storitvijo za posodobitve. Vendar pa se te posodobitve ne izvedejo same, temveč jih mora potrditi upravljavec. Cela vrsta različnih poročil, statistik in pregledovanja zapisanih dogodkov nam omogoča natančno določevanje obremenjenosti, točen pregled delovanja ali pa samo iskanje določenega zaporedja dogodkov.
Nazivna zmogljivost naprave je 6500 sporočil na uro, za osnovno različico naprave bomo odšteli 1.275.000 tolarjev (5320,5 evra), oziroma 1.689.000 tolarjev (7048 evrov) za napravo z licencami za vso pomembnejšo programsko opremo brez omejitve števila uporabnikov. Cena enoletnega vzdrževanja je vezana na ceno naprave in obsega približno 40 % nakupne cene naprave na leto. Med veliko različnimi možnostmi licenciranja omenimo le še dodatek BrightMail, za katerega bomo odšteli še dodatnih 507.000 tolarjev (2115,7 evra) na leto, za 100 uporabnikov. Kot povsod tudi pri Borderwaru velja, da je treba vložiti kar nekaj truda in časa v razumevanje in določitev za nas čim ugodnejših licenčnih pogojev.
Prav omejenost Mxtreme 2000 le na elektronsko pošto je tudi njena največja prednost. Zanesljiv in polno funkcionalen sistem preverjanja elektronske pošte, ki bo v marsičem izboljšal varnost našega omrežja in nam dodobra odpravil težave z nezaželeno pošto.
Borderware Mxtreme 200
Izdeluje: BorderWare, www.borderware.com.
Prodaja: Hic Salta, www.hicsalta.si.
Cena: 1.689.000 tolarjev (7048 evrov).
Za: Veliko možnosti razvrščanja elektronskih sporočil, lokalni e-poštni predali.
Proti: Namenjen samo elektronski pošti, cena.
Primernost za manjše pisarne (1-3 uporabniki): 5.
Primernost za osnovna podjetja (1-10 uporabnikov, strežniki): 6.
Primernost za manjša podjetja (10-50 uporabnikov, strežniki): 7.
Primernost za srednje velika podjetja (50-200 uporabnikov, strežniki): 9.
Primernost za velika podjetja (več kot 200 uporabnikov, strežniki): 8.
ClearSwift MIMEsweeper SMTP Appliance CS500
Clearswiftov MIMEsweeper SMTP Appliance je namenska naprava, ki ponuja popolno rešitev za varno prenašanje elektronske pošte. Že dobro preizkušeni Clearswiftovi programski opremi je izdelovalec dodal še dodatne pomembne storitve, vse skupaj združil z močno in zanesljivo strojno opremo, dodal še enostaven upravljavski vmesnik in na trg je prišla namenska naprava, ki veliko obeta.
Za strojno opremo je uporabljen kar Dellov strežnik PowerEdge 750 polne dolžine in višine 1U, ki je namenjen namestitvi v običajno 19-palčno sistemsko omaro. Strežnik ima vse običajne priključke, nas pa bosta zanimala predvsem dva omrežna vmesnika. Z njuno pomočjo lahko napravo enostavno in hitro umestimo v omrežje brez večjih težav. Operacijski sistem temelji na varnostno močno prikrojenem Linuxu, njegov namen pa je obdelovati samo in edino tisto, čemur je naprava namenjena: elektronsko pošto.
Že na daleč je opaziti, da je izdelovalec vložil zelo veliko dela in truda v sam upravljavski vmesnik. To se mu bo prej ali slej povrnilo. Zelo pa se vloženi trud povrne posameznemu upravljavcu naprave, saj je upravljanje res pregledno, lahko in enostavno. Vmesnik je razdeljen na tako imenovane centre, prek katerih so vse akcije hitro dostopne, v neštevilnih nastavitvah pa se preprosto ne moremo izgubiti.
Veliko dela je bilo vloženega tudi v čim enostavnejšo prvo namestitev, ko v nekaj korakih začetnega nastavljanja že pridemo do čisto spodobno delujoče naprave. Prva, privzeta politika je že pripravljena ob nastavitvi, s tem pa je čas vpeljave močno skrajšan. A tudi določanje nove varnostne politike, ki nam je pisana na kožo, ne bi smelo vzeti prav veliko časa. Vse akcije so namreč zelo jasno in na dolgo opisno razložene, pravilom pa lahko dodajamo tudi svoje zapiske. Večinoma so vsa pravila razdeljena na tri dele: v prvem delu povemo sistemu, kaj naj gleda v določenem sporočilu, v drugem delu mu povemo, kaj naj s tem sporočilom naredi, v tretjem delu pa mu povemo, koga naj obvesti o svoji akciji.
Naprava ima tri glavne sklope delovanja: preprečevanje nezaželene pošte z izdelkom SpamLogic, protivirusno pregledovanje in pregledovanje proti škodljivim programom z izdelkom Kaspersky in vsebinsko filtriranje. Vsebinsko filtriranje preiskuje vsebine vseh elektronskih sporočil in vseh priponk. Po določenih pravilih nato pregledana sporočila razvrsti v skupine, tem pa nato določimo, kaj naj se zgodi z njimi. Z vsebinskim filtriranjem lahko zaustavljamo zaupna sporočila, sporočila glede na določene besede, sporočila s sporno vsebino, priponke z izvršljivimi datotekami, skriptami in še marsikaj. Protivirusna programska oprema Kaspersky skrbi, da prek elektronske pošte v naše omrežje ne pride noben virus, nobeno vohunsko programje in da tudi vse druge grožnje škodljivega programja ostanejo pred vrati. Protivirusni in drugi vzorci se pri tem seveda redno obnavljajo. Preprečevanje nezaželene pošte je ena večjih odlik opisane naprave. Izdelovalec trdi, da SpamLogicu uspe prepoznati nezaželeno pošto v več kot 99 % primerov, vendar je te trditve treba jemati s precejšnjo skepso. Kljub temu da so v SpamLogic vgradili veliko različnih načinov pregledovanja sporočil: statistični pregled sporočila (Bayesian analysis), besedilne analize (kjer tudi, na primer, v1agra še vedno pomeni viagra), uvrščanje med nedovoljene naslove (black list) v realnem času, avtomatsko uvrščanje med dovoljene naslove (bele liste), zapiranje pred prenašalci velike količine sporočil na neznane naslove in še kaj bi našli.
Upravljavski vmesnik MimeSweeper SMTP Appliance
Model CS500 je namenjen omrežjem, ki uporabljajo tja do 500 poštnih predalov. Za toliko je licencirana tudi naprava, za katero bomo morali odšteti 2.474.100 tolarjev (10.324,2 evra). Vsakoletno vzdrževanje pa nas bo stalo 50 % nabavne cene naprave. Prav tako bomo morali doplačati še morebitno prvo namestitev in nastavljanje. Pravzaprav je osnovno licenciranje pri Clearswiftovih napravah veliko manj zapleteno kot pri vseh drugih, zaplete se šele pri gručah in pri številu uporabnikov nad 1000. Zato tudi tu vseeno kaže, da se je pred nakupom treba dobro pozanimati o vseh vrstah licenciranja.
Clearswiftov MIMEsweeper SMTP appliance je robustna naprava, ki zelo dobro opravlja svoje delo. Namenjena je le elektronskim sporočilom in njihovi varnosti, a tudi tu kaže, da je to lahko predvsem njena prednost. Enostavno upravljanje, odličen upravljavski vmesnik in vrhunska orodja za preprečevanje raznovrstnih groženj se štejejo napravi samo v dobro.
ClearSwift MIMEsweeper SMTP Appliance
Izdeluje: Clearswift, www.clearswift.com.
Prodaja: Hic Salta, www.hicsalta.si.
Cena: 2.474.100 tolarjev (10.324,2 evra).
Za: Odličen upravljavski vmesnik, učinkovito preprečevanje nezaželene pošte.
Proti: Brez lokalnih poštnih predalov, cena.
Primernost za manjše pisarne (1-3 uporabniki): 5.
Primernost za osnovna podjetja (1-10 uporabnikov, strežniki): 5.
Primernost za manjša podjetja (10-50 uporabnikov, strežniki): 5.
Primernost za srednje velika podjetja (50-200 uporabnikov, strežniki): 7.
Primernost za velika podjetja (več kot 200 uporabnikov, strežniki): 9.
McAfee Secure Internet Gateway APPLIANCE (E500)
McAffejev izdelek Webshield zna pregledovati elektronsko pošto, brskati po spletu, prenašati datoteke iz spleta ter protokol ICAP, pri tem pa odkriva viruse, razno vohunsko programje, preprečuje krajo identitete in nezaželeno elektronsko pošto ter s pregledovanjem vsebine preprečuje brskanje po nedovoljenih spletnih straneh.
Naprava je ena večjih, saj je običajen strežnik polne dolžine in višine 1U, ki se ga lahko namesti v običajno 19-palčno sistemsko omaro. Na napravo lahko priključimo monitor, tipkovnico in miško, na voljo pa sta še pogon CD ter disketnik in dva omrežna vmesnika. V omrežje se napravo priključi na enega od treh načinov: kot nevplivni most, kot nevplivni usmerjevalnik ali kot namenski posredovalni strežnik. Trije različni načini delovanja omogočajo zelo enostavno umestitev naprave v že postavljeno omrežje brez dodatnega truda ali sprememb samega omrežja.
McAfee za upravljanje uporablja namenskega odjemalca, ki temelji na javi in uporablja varno povezavo. Za prvo namestitev naprave lahko uporabimo tudi čarovnika, ki nas v osmih korakih pripelje do funkcionalne namestitve sistema. Kot je navada pri namenskih napravah in tudi McAfee pri tem ni izjema, je vmesnik lahko razumljiv in sistematično razdelan. Osnovni zaslon je zgledno urejen in nam lahko v trenutku pove, kaj se dogaja z našo napravo in ali je morda preveč obremenjena ali ne. Na kateremkoli zaslonu smo že, pomoč je vedno hitro in enostavno dostopna.
Varnostne nastavitve naprave upravljamo prek politik. Te politike so različne za vseh pet protokolov, ki jih naprava prepoznava. To so elektronska pošta (stmp, pop3), prenašanje datotek iz spleta, brskanje po spletu ter protokol ICAP. V teh protokolih se ves promet pregleduje za morebitne viruse, vse vrste škodljivega programja, zaustavlja pa se tudi nezaželena pošta. Za nezaželeno pošto je na voljo le osnovni nabor nastavitev, z dokupom dodatne programske opreme SpamKiller pa se ta nabor in funkcionalnost zelo povečata. Vpeljava politik in njihovo razumevanje sta enostavna, tako kot nastavljanje, kaj in kako bo naprava pregledovala promet.
McAfee - nastavljanje politike za elektronsko pošto
Avtomatsko posodabljanje si lahko nastavimo sami ob pomoči čarovnika. Omogočeno je pobiranje novih definicij protivirusnih vzorcev ter novih programskih paketov, popravkov same programske opreme ali nadgradenj funkcionalnosti. Tako naprava prek spleta sama preverja ali potrebuje nadgradnjo. Programska oprema podpira tudi vpeljavo več enakih naprav, ki si bodo delile breme, naš dostop do spleta pa bo varen in zanesljiv tudi ob okvari ene izmed naprav.
Za iskanje napak ima naprava na voljo kar nekaj orodij, za nadzor delovanja pa je vzorno poskrbljeno z alarmi, besedilnimi poročili in najrazličnejšimi grafi. Pregledujemo lahko vse zapisane dogodke, zadržane viruse, dostope do nedovoljenih strani, dostope do upravljavskega vmesnika in podobno. Pomembne dogodke lahko definiramo kot alarme, te pa si lahko pošiljamo naprej kot elektronsko pošto ali po protokolu snmp. McAffe ima na voljo tudi programski paket ePolicy Orchestrator, prek katerega lahko z enega mesta poteka upravljanje, nadzor in alarmiranje več McAffejevih naprav, z njim lahko ob več napravah vpeljemo tudi enotno politiko.
Naprava McAfee Security Internet Gateway Appliance je namenjena do 500 uporabnikom in za količino 60.000 sporočil na uro, za njo pa bomo odšteli 510.150 tolarjev (2128,8 evra). Enoletna podpora strojni opremi nas bo stala 54.656 tolarjev (228,1 evra), za delovanje pa bomo morali še nakupiti licence. Enoletna licenca za enega uporabnika (za 51-100 uporabnikov) za uporabo storitev Antivirus, AntiSpam in URL filtriranje nas bo tako stala 4704 tolarjev (19,63 evra). S podaljšanjem podpore za eno leto si zagotovimo popravila strojne opreme, tehnično pomoč in vse nadgradnje programske opreme. Kot pri vseh namenskih napravah je tudi tu licenčni model precej zapleten in le dobra predpriprava pred samim nakupom nas lahko reši nepotrebnih skrbi in težav v prihodnje.
McAfee gradi na prepoznavnosti svoje protivirusne programske opreme in se trudi za vse boljšo tehnologijo pri odkrivanju raznih vohunskih programov. Če k temu dodamo še preprečevanje nezaželene pošte, vsebinsko pregledovanje večine danes največ rabljenih protokolov, napravi nimamo kaj očitati.
McAfee Secure Internet Gateway Appliance
Izdeluje: McAfee, www.mcafee.com.
Prodaja: Alterna Intertrade, www.alterna-i.si.
Cena: 510.150 tolarjev (2128,8 evra).
Za: Različni načini priklopa, čarovniki za namestitev in upravljanje.
Proti: Namenski upravljavski odjemalec, dodatno plačljive komponente.
Primernost za manjše pisarne (1-3 uporabniki): 5.
Primernost za osnovna podjetja (1-10 uporabnikov, strežniki): 7.
Primernost za manjša podjetja (10-50 uporabnikov, strežniki): 9.
Primernost za srednja podjetja (50-200 uporabnikov, strežniki): 6.
Primernost za velika podjetja (več kot 200 uporabnikov, strežniki): 5.
Networks Defender ND401
Networks Defender ND401 je tako rekoč univerzalna naprava. Združuje celo paleto različnih storitev, od požarnega zidu prek zasebnih omrežij, protivirusnega pregledovanja, pregledovanja vsebin, prenesenih iz spleta in elektronske pošte, preprečevanja nezaželene pošte pa do imenskega, spletnega, podatkovnega, e-poštnega, datotečnega in še kakšnega strežnika.
Eno od naprav slovenskega podjetja TrendNet smo v Monitorju že obdelali - v marčevski številki smo podrobno opisali model Networks Defender ND310. Naprava ND401 je v primerjavi z ND310 nekoliko manj zmogljiva in brez ISDN povezljivosti, programska oprema in funkcionalnosti pa ostajajo enake. Z novo serijo, ki je prišla na trg v začetku letošnjega leta, se napravi tudi navzven ne razlikujeta več. Razen seveda po napisu.
ND401 je namenjena do 500 uporabnikom, za njo pa bomo odšteli 3990 dolarjev (+ DDV), vsakoletna podpora pa nas bo stala dodatnih 600 dolarjev + DDV. Dodatno se zaračunava še prva namestitev pri enem od pogodbenih partnerjev izdelovalca.
Storitve Networks Defenderja ND401
Kot rečeno, skuša biti ND401 univerzalna naprava, ki ponuja resnično mnogo storitev. Tako omrežnih in varnostnih kot tudi strežniških. Predvsem od nas samih je odvisno, za kaj jo bomo uporabljali. Na voljo imamo dovolj storitev in možnosti, da s to odločitvijo ne bi smelo biti težav.
Networks Defender ND401
Izdeluje: TrendNet, www.networksdefender.com.
Prodaja: Triglif, www.triglif.si.
Cena: 937.000 tolarjev.
Za: Število podprtih storitev, univerzalnost.
Proti: Nekoliko nerodno zapisovanje dogodkov, cena.
Primernost za manjše pisarne (1-3 uporabniki): 7.
Primernost za osnovna podjetja (1-10 uporabnikov, strežniki): 9.
Primernost za manjša podjetja (10-50 uporabnikov, strežniki): 7.
Primernost za srednja podjetja (50-200 uporabnikov, strežniki): 6.
Primernost za velika podjetja (več kot 200 uporabnikov, strežniki): 5.
PANDA GateDefender 8050
Pandin GateDefender 8050 je namenska naprava, ki se trudi preprečevati večino današnjih varnostnih groženj. Tako varuje pred virusi, črvi, trojanskimi konji, vsemi vrstami škodljivih programov, nezaželeno elektronsko pošto, nedovoljenimi vsebinami v svetovnem spletu in še čim. Svoje poslanstvo opravlja za vse danes največ rabljene storitve: brskanje po svetovnem spletu (http), prenašanje datotek (ftp), elektronsko pošto (smtp, pop3, imap4) in novičarske skupine (nntp).
Sodi med manjše naprave, celoten mini-računalnik je postavljen v namensko ohišje. S priključki ni radodarna, a resnici na ljubo jih več ne potrebujemo. Na zadnji strani so le zaporedni priključek, priključek VGA za zaslon, dva omrežna priključka in priključek za napajanje. Na zadnji strani sta še gumb za vklop in gumb za vnovični zagon, na prednji strani pa pogon CD in dve statusni lučki; to je vse. V omrežje se napravo z dvema omrežnima vmesnikoma priključi kot omrežni most (bridge), zato je sama priključitev zelo enostavna in brez kakršnegakoli korenitega posega v omrežje.
Kljub skromni strojni obliki sta upravljavski vmesnik in nabor storitev pravo nasprotje. Spletni upravljavski vmesnik je pregleden in ga je enostavno uporabljati, čeprav naprava ponuja precej možnosti. Sklopi so pregledno ločeni med seboj, dostop do različnih nastavitev pa hitro osvojimo. Vse nastavitve skušajo biti pisno opredeljene in opisane v razumljivem jeziku. To zelo pripomore k lahkotnosti upravljanja. Seveda nam je vedno na voljo tudi hitro in enostavno dostopna pomoč.
Panda pregleduje in varuje pred grožnjami kar šest največ rabljenih protokolov: http, ftp, nntp, smtp, pop3 in imap4, ki se uporabljajo za brskanje po spletu, za prenašanje datotek iz spleta, za prebiranje novičarskih skupin in za elektronsko pošto. V teh protokolih preprečuje prehod znanim virusom, vsem mogočim oblikam škodljivih programov, preprečuje prehod nezaželeni pošti ter zaustavlja brskanje po nedovoljenih spletnih straneh. V vseh primerih preprečevanja imamo na voljo dovolj možnosti, da nastavimo, kako bomo varovali naše omrežje.
Panda - različne vrste nastavitev za škodljivo programje
Programska oprema naprave deluje na podlagi pregledovanja vzorcev za vse vrste škodljivih programov, tudi za nezaželeno pošto. To se osvežuje z rednim posodabljanjem vzorcev na 90 minut. Poleg avtomatskega posodabljanja vseh definicij škodljivega programja se na 12 ur samodejno posodablja programska oprema same naprave, če je seveda nova programska oprema na voljo.
Status naprave si lahko ogledamo v vsakem trenutku, za vsa pomembnejša opozorila pa je pripravljen poseben prostor, kjer jih ne moremo spregledati. Upravljavski vmesnik nam tudi omogoča dovolj natančen pregled nad dogajanjem; različne statistike in zapisovanje dogodkov so hitro in enostavno dostopni. Naprava podpira tudi deljenje bremena oz. visoko razpoložljivost v sodelovanju z drugo enako napravo.
Naprava GateDefender 8050 je namenjena do 50 uporabnikom in približno 80 sporočil na sekundo, stane pa 397.999 tolarjev (1660,8 evra); k temu moramo prišteti še licence za različne storitve. Licenca za eno leto za enega uporabnika za največ 26 licenc za programsko opremo AntiVirus, AntiSpam in WebFilter je tako 8770 tolarjev (36,6 evra). Vsa podpora je vedno všteta v ceno, prav tako prva namestitev in začetne nastavitve. Celoten cenovni model je precej zapleten, omenimo le posebnost, da smo ob podaljšanju licenc za programsko opremo upravičeni do najnovejše strojne naprave.
Lahko rečemo, da je Pandina naprava narejena z mislijo na enostavno namestitev in upravljanje. Celotna struktura naprave, temelječa na vzorcih, ki se samodejno posodabljajo, pravzaprav ne potrebuje posebnega vzdrževanja. Pri vsem moramo še najbolj paziti na to, da na napravo preprosto ne pozabimo.
Panda GateDefender 8050
Izdeluje: Panda Software, www.pandasoftware.com.
Prodaja: Ribera, www.pandasoftware.si.
Cena: 397.999 tolarjev (1660,8 evra).
Za: Število pregledovanih protokolov, enostavno upravljanje.
Proti: Strojna oblika, nenatančno definiranje nezaželene pošte.
Primernost za manjše pisarne (1-3 uporabniki): 7.
Primernost za osnovna podjetja (1-10 uporabnikov, strežniki): 8.
Primernost za manjša podjetja (10-50 uporabnikov, strežniki): 7.
Primernost za srednje velika podjetja (50-200 uporabnikov, strežniki): 5.
Primernost za velika podjetja (več kot 200 uporabnikov, strežniki): 4.
Symantec Gateway Security 5640
Symantecov SGS 5640 združuje požarni zid, podporo navideznim zasebnim omrežjem, sistem za prepoznavanje/preprečevanje vdorov, protivirusno preverjanje, sistem za pregledovanje vsebin ter sistem za preprečevanje nezaželene pošte. Namenjen je velikim obremenitvam in veliki količini prometa.
Naprava je največja na našem preizkusu in je v osnovi strežnik polne dolžine in višine 2U, ki je prirejen namestitvi v običajno 19-palčno omaro. Na lično oblikovani prednji plošči ima vmesnik LCD, prek katerega je mogoče nastaviti osnovne parametre in pregledati osnovno stanje naprave. Vse drugo se opravi prek upravljavskega vmesnika. Na zadnji strani nas pričaka osem omrežnih vmesnikov, zaporedni vhod ter priključek za napajanje. Strežnik je izveden zelo modularno, vsi pomembni deli za delovanje se lahko podvojijo. Ker je naprava tudi požarna pregrada in strežnik za navidezna zasebna omrežja, njeno umeščanje v omrežje zahteva dobro in premišljeno načrtovanje.
Upravljanje naprave poteka prek brskalnika in javanskega izvajalnega okolja (JRE). Vmesnik je kljub veliko možnostim dobro razdelan in pregleden. Vendar se je treba zavedati, da je programska oprema naprave zelo obsežna in omogoča silno veliko možnosti. Brez predhodnega znanja o omrežni arhitekturi, požarnih zidovih in vseh mogočih nastavitvah omrežnega prometa se z napravo nikakor ne gre poigravati. Pa vendar se vmesnik zelo potrudi, da bi nam bil v pomoč. V pomoč je tudi kar nekaj čarovnikov, ki znajo dobršen del dela postoriti namesto nas.
Uporabniški vmesnik SGS 5640
Tudi pri Symantecu celotno varnost obravnavajo s t. i. "politikami" (policy). V okviru teh politik lahko izvajamo želena pravila za določene sklope programske opreme. Med te večje sklope sodijo požarna pregrada, navidezna zasebna omrežja, protivirusno pregledovanje, preprečevanje nezaželene pošte, sistem za zaznavo/preprečevanje vdorov in vsebinsko filtriranje. Vsakemu od teh sklopov pa lahko priredimo celo vrsto pravil, v skladu z našo varnostno politiko. Naprava torej vsebuje vse važnejše sklope, ki jih lahko od varnostne naprave zgornjega razreda tudi pričakujemo.
Symantec svoje avtomatske posodobitve imenuje LiveUpdate. Čim hitreje se namreč naprava odzove na nove grožnje, tem bolje je to za nas in za naše omrežje. Zato je tudi Symantec veliko pozornosti namenil prav temu podsklopu, s katerim lahko posodabljamo programsko opremo in vzorce novih groženj. V spletu so na voljo trije strežniki LiveUpdate, prek katerih lahko posodobitve izvajamo v rednih intervalih in samodejno prenašamo nove vzorce za vse pomembnejše programske sklope same naprave. Visoko razpoložljivost in deljenje bremena pri Symantecu zagotavljajo s postavljanjem naprav v gručo, v kateri je lahko do osem naprav.
Statistike, alarmi in nadzor naprave so pri taki vrsti naprave ena izmed njenih pomembnejših nalog. Brez natančnega zapisovanja dogodkov, alarmiranja ali statistike naprava ne bi bila več osrednji branik našega omrežja. Poleg nje dobimo še celo vrsto programske opreme in orodij, ki jih lahko s pridom uporabimo. Med vso to dodatno programsko opremo omenimo le syslog strežnik, s katerim lahko vse zapisane dogodke prejemamo v strežnikih v notranjem, varnejšem okolju, da se slučajno ne bi izgubili ali da jih ne bi kdo namenoma izbrisal.
Symantec Gateway Security 5640 je namenjen omrežnemu pretoku 1,4 Gb/s (skupaj, na osmih omrežnih vmesnikih) in 250.000 hkratnim povezavam, stal pa nas bo 1.624.509 tolarjev (6779 evrov) + 12.702 tolarjev (53 evrov) za osnovno licenco pri 50 uporabnikih. Licenca za vse razpoložljive storitve za 50 uporabnikov za tri mesece nas bo stala še dodatnih 339.128 tolarjev (1415,2 evra). Odjemalci za navidezna zasebna omrežja se kupujejo posebej, na voljo pa so tudi trije različni modeli podpore. Seveda se moramo dobro pozanimati o vseh vrstah licenčnin in podpore, še prej pa je dobro natančno vedeti, katere storitve bi želeli uporabljati.
S samo strojno in programsko zasnovo Symantec meri predvsem na velika podjetja. Velika prepustnost, dolga vrsta funkcionalnosti in celotna naravnanost k zagotavljanju čim boljše varnosti so poglavitne prednosti naprave. Vendar pa to ni naprava, ki bi jo postavili in se z njo ne ukvarjali več. Potrebuje dovolj znanja in časa za upravljanje in nadzor, a zato bo naše omrežje veliko varnejše in zanesljivejše. Če želimo uporabiti vse podprte storitve, "potrebuje" tudi kar zajeten IT proračun...
Symantec Gateway Security 5640
Izdeluje: Symantec, www.symantec.com.
Prodaja: CHS, www.chs.si.
Cena: 1.624.509 tolarjev (6779 evrov).
Za: Zagotavljanje vsestranske varnosti, število omrežnih vmesnikov.
Proti: Potrebno znanje za upravljanje in nadzor.
Primernost za manjše pisarne (1-3 uporabniki): 5.
Primernost za osnovna podjetja (1-10 uporabnikov, strežniki): 6.
Primernost za manjša podjetja (10-50 uporabnikov, strežniki): 7.
Primernost za srednje velika podjetja (50-200 uporabnikov, strežniki): 9.
Primernost za velika podjetja (več kot 200 uporabnikov, strežniki): 9.
Je z njimi res bolj enostavno?
V zgornjem pregledu smo spoznali šest naprav, ki opravljajo svoje delo na različne načine, a so med seboj vendarle nekako primerljive. Primerljive so v smislu enostavnosti umeščanja v že postavljena omrežja in njihovega upravljanja. Prav vse je namreč mogoče brez večjih težav priključiti v omrežje, svoje delo pa lahko začnejo opravljati v zelo kratkem času; upravljanje v nobenem primeru ne povzroča večjih skrbi. Morda sta edini izjemi Symantecova in Trendnetova (Networks Defender) naprava, ki precej presegata namembnost drugih naprav na našem preizkusu. Z gotovostjo pa bi lahko trdili, da je tudi priključitev teh dveh naprav in njuno upravljanje precej lažje kot pri drugi programski opremi ali podobnih napravah njunega ranga in funkcionalnosti.
A vsaka medalja ima dve strani: enostavnost in lahkost upravljanja lahko hitro pripeljeta do prevelikega podcenjevanja namenske naprave. Čeprav ni potreben velik projekt za to, da bi napravo umestili v omrežje, pa to še ne pomeni, da nam ni treba zelo dobro razmisliti, kako in kje naj bi jo umestili. Tu imajo mala podjetja prednost; umestitev namenskih naprav v majhno omrežje v nobenem primeru ne povzroča dolgoročnih posledic, pri velikih omrežjih pa ponavadi ni tako. Pri velikih omrežjih se šele s časom pokaže, da je postavitev naprave nepravilna in/ali nezadostna. V najboljšem primeru to pomeni samo kup dodatnih stroškov, v najslabšem pa poleg stroškov še veliko dodatnega dela, skrbi in obilo neprespanih noči.
Pustimo torej enostavnost v začetni fazi ob strani, še kako nam bo prišla prav v naslednji fazi, v fazi vsakdanjega dela, ko bo treba napravo upravljati in nadzirati. Pred odločitvijo za napravo je treba še dobro razmisliti, katere storitve bi sploh radi imeli in kaj bomo s temi storitvami počeli. Lahko se namreč zgodi, da nam samo preprečevanje vsiljenih sporočil lahko povzroči celo več dela, kot nam ga naprava prihrani. Z napačno varnostno politiko, ko bo omrežje preveč ali premalo zaprto, pa si lahko nakopljemo celo vrsto vsakdanjih popravkov in sprememb.
Ponudnikov namenskih naprav je v naši deželi kar nekaj. Na funkcionalnosti svojih naprav se dobro spoznajo in nam jih tudi z veseljem razložijo. Naprave namreč nikakor niso poceni, vsak ponudnik se mora za prodajo kar precej potruditi. Če se torej oboroženi s kaj, kje in kako podamo na iskanje naprave, ki bi nam bila pisana na kožo, odločitev ne bi smela biti težka.
Odgovor na vprašanje v zgornjem mednaslovu je torej pritrdilen: da, z njimi je bolj enostavno. Skupek v celoto "zapakirane" strojne in programske opreme z dobrim upravljavskim vmesnikom in dobro mero funkcionalnosti bi nam večinoma moral prinesti veliko več dobrega!