Zaščita pred nadlogami z interneta
Virusi, hekerji, neželena pošta, to so danes magične besede, ko govorimo o zaščiti računalnikov v internetu. Za vse tri obstajajo programske rešitve, ki jih nameščamo na osebne računalnike, ali pa se odločimo za centralno namestitev na strežnik. Lahko pa se odločimo tudi drugače - omislimo si specializirano napravo.
Specializirane naprave oz. t.i. "applianci", so lahko zelo različne in služijo zaščiti pred vsemi ali pa le pred eno od omenjenih nadlog. Še več, lahko so videti kot majhen domači usmerjevalnik, kot običajen osebni računalnik, ali pa kot "pravi" strežnik, ki ga namestimo v komunikacijsko omaro. Vsem pa je skupno, da jih ponavadi namestimo "na vhodna vrata" v podjetje, se pravi na povezavo v internet, kjer služijo ko resen vdorobran in zaščitnik našega omrežja.
Preizkusili smo tri varnostne naprave, ki lahko na tem področju pomagajo. Ena (PineApp SeCure SOHO) je namenjena zaščiti pred vsemi opisanimi nevarnostmi in implementaciji v manjšem podjetju, ostali dve sta specializirani samo na filtriranje pošte pred virusi in neželeno pošto in sta namenjeni ena srednje velikemu podjetju, druga pa po svojih zmogljivostih verjetno zadovolji potrebe vsakega slovenskega podjetja.
PineApp SeCure SOHO 1240
PineApp je naprava, ki je namenjena manjšim podjetjem (SOHO - Small Office/Home Office) z do 100 uporabnikov. Obstaja tudi šibkejša različica Secure SOHO 1220, ki je namenjena do 50 uporabnikom. Naprave niso omejene s številom uporabniških licenc, temveč z zmogljivostjo strojne opreme, zato je število uporabnikov bolj informativnega značaja.
Za osnovo je vzet kar osebni računalnik Lenovo, na katerem teče namenska programska oprema. Na napravo lahko priključimo monitor in tipkovnico (kar imajo nekatere namenske naprave onemogočeno), ter tako na monitorju spremljamo dogajanje v besedilnem načinu ali pa nastavimo nekatere osnovne parametre za delovanje naprave (npr. IP naslov). Za razliko od namenskih naprav, tu ni gumba za vzpostavitev privzetih tovarniških nastavitev. Zato v primeru, da je naprava nastavljena drugače, kot naj bi bile privzete nastavitve (kar je bilo tudi v našem primeru, saj je bila testna naprava očitno že konfigurirana na druge nastavitve omrežnega okolja), edini način nastavljanja preko besedilne konzole. Drugi, vsekakor prijaznejši način, nastavljanja in upravljanja naprave je preko spletnega vmesnika.
Dostop do naprave preko spletnega vmesnika
SeCure SOHO ni samo klasičen usmerjevalnik, temveč omogoča precej več. Seveda lahko opravlja vlogo usmerjevalnika (vgrajena ima dva omrežna vmesnika, enega s hitrostjo 1 Gb/s in drugega s 100 Mb/s), skrbi za vzpostavitev ADSL povezave, poleg tega pa je tudi zmogljiv požarni zid, VPN strežnik, filtrira spletno vsebino (po vsebini ali spletnih naslovih - URL) in elektronsko pošto (anti-virus in anti-spam).
SeCure SOHO lahko deluje kot samostojen strežnik za elektronsko pošto. Podpira pošto za do 5 različnih domen. Poskrbi tudi za sprejem pošte iz zunanjih poštnih strežnikov, preko protokola POP3. Omogoča veliko nastavitev, kar je sicer pohvalno, vendar pa jih je po drugi strani mogoče že celo preveč za okolja katerim je namenjen. Že samo za npr. nastavljanje pravil za blokiranje priponk k e-pošti, imamo razmeroma veliko možnosti. Pravila lahko kreiramo in urejamo sami. V primeru konfliktne situacije v kreiranih pravilih, obvelja tisto, ki je bilo narejeno prvo oziroma tisto, ki je "ostrejši". Enako kot pravila za priponke, dodajamo in urejamo tudi svoja pravila za neželeno pošto oz. spam. Zaščita proti neželeni pošti je že v osnovi razmeroma močna. Uporablja enajst različnih načinov filtriranja: hevristične algoritme, bayesian, greylisting, RBL in SURBL, SPF, RPD, ... Pohvalijo se s filtriranjem, ki naj bi identificiralo 98,5% neželene pošte. V kombinaciji s protivirusno zaščito, ki ravno tako pregleduje prihajajočo elektronsko pošto, bi to moralo zadostovati za razmeroma varno uporabo elektronske pošte. Za protivirusno zaščito uporabljajo rešitve podjetij F-Secure in Kaspersky, ter svojo rešitev za zaščito pred črvi. Če to še vedno ne zadostuje, lahko dodajamo še črne in bele liste pošiljateljev, ter s tem še dodatno omejimo oz. prepustimo elektronsko pošto.
PineApp SeCure SOHO 1240
Kaj: Naprava za zaščito pred nevarnostmi z interneta.
Zahteve: Spletni brskalnik, lokalno omrežje, dostop do interneta.
Izdeluje: PineApp Ltd., www.PineApp.com.
Prodaja: AdriaCom, www.adria-com.eu
Cena: 2.515 EUR.
Za: Rešitev vse v enem.
Proti: Malo zahtevnejše prvo nastavljanje.
Dostop do pošte je mogoč preko POP3 ali IMAP odjemalca (v obeh primerih je mogoča tudi varna povezava) ali preko spletnega vmesnika (Webmail). Uporabnike lahko uvozimo iz besedilne datoteke ali pa se povežemo preko LDAP z obstoječo imeniško strukturo. Podpira Windows 2000/2003 aktivni imenik, Novell, OpenLDAP, LotusNotes, Exchange 5.5, CommuniGate Pro 5.x in iPlanet.
V primeru, da poštni strežnik v podjetju že imamo, lahko PineAppa nastavimo tudi samo kot posredniški strežnik za pošto (smart host), ki deluje kot zaščita pošte pred virusi in neželeno pošto.
Nastavitev blokiranja priponk k e-pošti
Najsi gre za domačo uporabo, ko želimo zaščititi otroke pred določeno vsebino, ki je dostopna na spletu, ali pa za poslovno uporabo, ko želimo preprečiti oziroma vsaj omejiti pregledovanje vsebine, ki ni namenjena delu, pride prav filtriranje in omejevanje dostopa. Najbolj osnovno je seveda, da sami vpišemo do katerih strani ne dovolimo dostopa (črna lista). Če po vpisu določenega naslova na črno listo želi nekdo dostopati do njega, dobi obvestilo, da je naslov prepovedan
Obvestilo o prepovedi dostopa do želene spletne strani
Seveda pa omogoča SeCure SOHO več kot samo to. Spreminjamo lahko nastavitve, kjer določimo na katerih vratih naj spremlja promet, dodane ima že prednastavljene filtre za določene sklope po posameznih vsebinah ali internetnih naslovih. Tako lahko hitro in enostavno omejimo deskanje po spletu in zaposlene "prisilimo", da se bolj posvetijo svojemu delu.
Požarni zid (s podporo Stateful packet inspection - SPI) je ravno tako razmeroma zmogljiv. Nastavljamo ga z dodajanjem pravil s katerimi omogočamo ali onemogočamo promet do različnih virov po posameznih vratih. Na voljo imamo dnevnike in poročila o delovanju požarnega zidu s pomočjo katerih lahko spremljamo njegovo delovanje. SeCure SOHO deluje tudi kot VPN strežnik, ki podpira PPTP način povezave, kar omogoča uporabnikom, ki uporabljajo vsaj Windows 2000, razmeroma enostaven dostop do lokalnega omrežja, saj lahko uporabijo odjemalca, ki je že vgrajen v sistem.
Celoten sistem predstavlja zanimivo rešitev za manjša podjetja, saj dobimo v enem kosu opreme, praktično vse potrebno. Za dodatno univerzalnost pogrešamo le še kakšen enostavnejši datotečni in tiskalniški strežnik, pa tudi spletni in FTP strežnik bi lahko bila vključena. Glede na to, da je osnova osebni računalnik, to ne bi smelo predstavljati večjega problema. Tako je naprava namenjena podjetjem, ki imajo za te storitve že obstoječ strežnik.
Zaščita za primer odpovedi strojne opreme, je v izdelavi varnostnih kopij sistema, oziroma natančneje konfiguracije sistema in poštnih predalov, ki je vgrajena v sam sistem. Omogoča izdelavo urnika, kdaj se arhiviranje izvede. Shranjevanje je mogoče na drug računalnik/strežnik preko FTP ali Samba protokola. V času garancije se v primeru okvare zamenja celotna naprava, ki jo iz varnostne kopije podatkov hitro usposobimo za nadaljnje delo.
Ob nakupu naprave dobimo enoletno licenco za posodabljanje celotne programske opreme, ki jo je mogoče po poteku obnoviti, kar je pri uporabi protivirusne zaščite praktično nuja. Podaljšanje licence, zajema tudi vzdrževanje naprave oziroma podaljšanje garancije.
PineApp SeCure SOHO je zanimiva naprava, ki v eni škatli poskrbi za celotno zaščito lokalnega omrežja manjšega podjetja. Vmesnik za upravljanje je dovolj dobro narejen, vendar bo laikom zaradi obilice možnosti, vsaj na začetku, povzročal nekaj težav.
Barracuda Spam Firewall 200
Barracuda Spam Firewall je ožje usmerjena naprava, saj zagotavlja le čiščenje elektronske pošte. Testirani model z oznako 200 je drugi po vrsti in omogoča zaščito pred virusi in neželeno pošto za do 500 uporabnikov elektronske pošte. Ščitimo lahko več različnih domen in sicer do največ 50. Deluje kot posredniški strežnik za elektronsko pošto, ki prejeto pošto preveri ni nato posreduje naprej obstoječemu strežniku za elektronsko pošto. Zaradi takšnega načina delovanja je popolnoma neodvisen od vrste obstoječega strežnika za elektronsko pošto in ga je mogoče implementirati v praktično vsa okolja.
Barracuda Spam Firewall 200
Kaj: Naprava za filtriranje elektronske pošte pred virusi in neželeno pošto.
Zahteve: Spletni brskalnik, lokalno omrežje, dostop do interneta, poštni strežnik.
Izdeluje: Barracuda Networks Inc., www.barracuda.com.
Prodaja: Optisis, www.optisis.si
Cena: 2.158 EUR, podaljšanje licence za eno leto 598,80 EUR.
Za: Preglednost delovanja, zmogljivo filtriranje pošte,.
Proti: Zaradi veliko možnosti, nepregleden uporabniški vmesnik.
Napravo predstavlja manjši strežnik vgrajen v ohišje namenjeno vgradnji v 19-palčno omaro. Celotna rešitev je tako kot večina tovrstnih, zgrajena na Linux osnovi. Za začetno nastavitev je potrebno priključiti zaslon in tipkovnico, da nastavimo vse potrebne IP nastavitve. Obstaja tudi rešitev z uporabo tipke Reset na sprednji strani naprave, s katero lahko izbiramo med tremi privzetimi nastavitvami IP naslovov: 192.168.200.200, 192.168.1.200, 10.1.1.200. Če nam ne ustrezajo, jih je potrebno ročno popraviti. Ko so te nastavitve urejene, lahko do naprave dostopamo s pomočjo spletnega brskalnika s katerim nato upravljamo z napravo. Grafični vmesnik ima obilico možnosti, na žalost pa je občasno malce bolj počasen.
Pregled delovanja
Osnovne nastavitve so dovolj preproste: nastavimo ime domene za katero želimo prejemati pošto in naslove prejemnikov. Vso ostalo elektronsko pošto sistem samodejno zavrne. Nastavimo še naslov obstoječega poštnega strežnika, ter popravimo nastavitve na požarnem zidu oz. usmerjevalniku, da pošto preusmerimo na Barracuda Spam Firewall. V primeru, da je naprava v javnem delu omrežja, je potrebno popraviti tudi MX zapis na DNS strežniku, da pošto pravilno usmerimo.
Agresivnost filtriranja neželene pošte lahko ročno nastavimo. Privzeta nastavitev je, da se večina pošte označi z določeno besedo (privzeto "[BULK]") v glavi sporočila. Tako kot vse podobne naprave ali programske rešitve je tudi tu potrebno nekaj poskušanja, da nastavimo pravo mero agresivnosti filtra, saj v primeru previsoke stopnje filtriranja lahko pride do izgube pošte, ki jo sicer želimo prejeti. Ročno lahko dodajamo t.i. črne in bele liste pošiljateljev, dodamo pa lahko tudi zunanje sezname (RBL ali DNSBL) naslovov s katerih prihaja neželena pošta. Barracuda Spam Firewall že privzeto uporablja svojo črno listo pošiljateljev in zunanjo listo spmahaus.org.
Nastavitve filtriranja neželene pošte
Izbiramo lahko med dvema načinoma delovanja. Dohodni (Inbound) način preverja vso prihajajočo pošto, možnost pa imamo tudi osnovnega preverjanja odhajajoče pošte. Pri odhodnem (Outbound) načinu, pa preverjamo samo odhodno pošto, če je skladna z vsemi pravili, ki jih zahtevamo.
Ustvarjanje varnostnih kopij nastavitev naprave je rešeno podobno kot, pri PineApp Securo SOHO. Lahko nastavimo samodejno shranjevanje na FTP ali Samba strežnik, ročno pa lahko shranimo nastavitve na svoj računalnik.
Že na prvi strani, ko se preko spletnega brskalnika prijavimo na napravo, vidimo osnovne podatke o delovanju, ter grafični in tabelarični prikaz statistike prejete pošte. Tako dobimo hiter vpogled koliko pošte je bilo prejete in koliko zavrnjene. Dostop imamo tudi do dnevnika prejete pošte, kjer lahko ročno urejamo prejeto pošto in ji dodajamo atribute. Tako lahko posamezne pošiljatelje dodamo na belo listo, druge pa označimo kot spam in tako sistem počasi učimo natančnejšega prepoznavanja neželene pošte.
Barracuda Spam Firewall 200 je zanimiva naprava, ki svojo nalogo dobro opravi. Pri testiranju nas je motila edino njena glasnost (ventilatorji za hlajenje), ki je bila precejšnja glede na velikost naprave. Vendar ob upoštevanju, da je namenjena montaži v strežniško/komunikacijsko omaro, ki je navadno postavljena v namenskem prostoru, to niti ni pomembno. Garancija za napravo je eno leto, ki jo je mogoče podaljšati ob dokupu paketov za 1 do 5 let. Za posodobitev programske opreme je potrebno plačati posebej in v garancijo ni vključena.
Sophos ES4000 Email Appliance
Podjetje Sophos je v svetu poznano predvsem kot izdelovalec programske protivirusne zaščite. Namenska naprava za zaščito elektronske pošte pred virusi in neželeno pošto, je torej nekakšna evolucija podjetja, ki želi obdržati oz. izboljšati tržni delež.
Med vsemi tremi preizkušenimi izdelki je ES4000 namenjen največjim obremenitvam, posledično torej večjim podjetjem. Po podatkih proizvajalca zmore pregledati do 80.000 sporočil na uro. Strojno opremo sestavljata dva Intel Xeon 3,2 GHz procesorja in 2 GB pomnilnika. Za povečanje zanesljivosti delovanja sta diska (146 GB SCSI) zrcaljena (RAID1), vgrajena pa sta tudi dva napajalnika, ki ju je mogoče zamenjati med delovanjem (hot-swap). Vse skupaj je v pravem eno višinskem (1U) strežniškem ohišju, namenjeno montaži v strežniško omaro.
Sophos ES4000 Email Appliance
Kaj: Naprava za filtriranje elektronske pošte pred virusi in neželeno pošto.
Zahteve: Spletni brskalnik, lokalno omrežje, dostop do interneta, poštni strežnik.
Izdeluje: Sophos Plc., www.sophos.com.
Prodaja: Sophos, www.sophos.si
Cena: 8.760 EUR, podaljšanje letne licence po uporabniku od 18,30 do 33 EUR, odvisno od števila uporabnikov
Za: Enostavnost in zmogljivost.
Proti: Možnost nastavljanja naprave samo preko ločenega mrežnega priključka, cena licence odvisna od števila uporabnikov.
ES4000 ima vgrajena dva omrežna vmesnika, enega za konfiguriranje naprave in drugega za samo delovanje. Za nastavitev vseh parametrov delovanja, je potrebno računalnik priključiti na vmesnik namenjen konfiguriranju, nastaviti ustrezen IP naslov na računalniku in se priključiti na ES4000 preko spletnega vmesnika. Malce nerodno je, da je nastavljanje mogoče samo preko tega mrežnega priključka, vsekakor pa ti pripomore k večji varnosti. Naprej so stvari razmeroma preproste. Vpišemo ime domene za katero želimo sprejemati pošto, naslov strežnika za našo elektronsko pošto in že lahko začnemo s filtriranjem pošte. Seveda se lahko ukvarjamo še z nastavitvami občutljivosti SPAM filtrov, postavljamo pogoje kaj se zgodi, ko doseže pošta določeno število točk pri ocenjevanju (kriteriji za SPAM), ali gre pošta v karanteno ali pa se takoj izbriše, blokiramo določene pošiljatelje oz. druge spet dodamo na seznam varnih pošiljateljev ter podobno. Ena izmed prednosti, ki Sophosov izdelek uvršča med bolj zaželene za malo večja podjetja je povezava z obstoječo imeniško storitvijo. Preko LDAP protokola se lahko poveže z obstoječim strežnikom in pregleduje, če prejemnik pošte sploh obstaja v naši organizaciji. Ravno tako lahko omogočimo uporabnikom upravljanje s karanteno, torej dostop do pošte, ki je prispela na njihov naslov in jo je sistem prestavil v karanteno.
Upravljanje naprave je preko lično oblikovanega spletnega uporabniškega vmesnika. Že na prvi strani, ko se prijavimo, dobimo zbirko vseh pomembnih podatkov, ki nas informirajo o delovanju.
Pregleden uporabniški vmesnik
Druga dokaj močna stran so tudi poročila, kjer lahko spremljamo tako število sprejetih sporočil, kot tudi delovanje same naprave. Iskalnik nam omogoča iskanje po dnevniku prejetih sporočil, kjer lahko tista, ki so v karanteni ročno posredujemo naprej uporabniku (v primeru napačnega filtriranja).
Pregled poročil o delovanju
Varnostno shranjevanje nastavitev je mogoče na FTP strežnik ali ročno na lasten računalnik.
Sophos ES4000 se je med testiranjem zelo dobro izkazal že s privzetimi nastavitvami. Odstranil je veliko večino vseh neželenih sporočil, tako, da so bili uporabniški poštni predali spet bolj ali manj prazni. Glede na druga dva izdelka, je pozitivno presenetil z enostavnostjo nastavitev, saj je temu namenjen samo en zavihek v uporabniškem vmesniku in grafično dodelavo uporabniškega vmesnika.
Garancija za napravo je tri leta, posodobitve programske oprema pa so na voljo v različnih paketih od enega do treh let. Na žalost je cena licence odvisna od števila uporabnikov.