Linux E X P R E S

Facebook

Bezpečnostná brána Huawei Eudemon 200E-X1W

eudemon.jpg

Prinášame recenziu bezpečnostnej brány Huawei Eudemon 200E-X1W. Táto škatuľa vyzerá ako niečo pre malú pobočku nejakej firmy, vie ju pripojiť na internet a/alebo do existujúcej firemnej VPNky či už cez L2TP, GRE, IPSec alebo MPLS a v závislosti od ceny sa oplatí alebo neoplatí viac, ako Cisco.


Takto vyzerá router po zmontovaní Takto vyzerá router po zmontovaní

Po vybalení z krabice a zapojení do siete sa Eudemon podobá na router, ktorý mám doma. Šedá krabica, tri antény a vzadu niekoľko portov na pripojenie sieťového kábla. Pri bližšej obhliadke je ale vidieť, že tento router nemieri do domácností, ale k profesionálom. Medzi portmi nájdete prípojku na sieťovú konzolu, dva nezávislé porty na prípojky k internetu a USB port.

Prvé prihlásenie. Radím zadať heslo kratšie než 12 znakov, niektoré formuláre mali s dlhším heslom problém Prvé prihlásenie. Radím zadať heslo kratšie než 12 znakov, niektoré formuláre mali s dlhším heslom problém

Pri prvom prihlásení na administračnú stránku (štandardne 192.168.0.1) si router vyžiada nové heslo a otvorí sprievodcu pripojením k internetu. Tu ma zaujala možnosť nastavenia 3G siete. Podľa manuálu je do USB portu možné pripojiť 3G modem a tým získať ďalší nezávislý prístup k internetu. Sprievodca nastaveniami sa nachádza hneď v prvej položke menu, a okrem pripojenia k internetu takto môžete nastaviť VPN a IPSec.

Sprievodca nastavením pripojenia k internetu Sprievodca nastavením pripojenia k internetu

Užívateľské rozhranie ma celkom prekvapilo množstvom nastavení. V jednotlivých položkách menu nájdete nastavenie siete (LAN, WiFi, 3G), routing, firewall, nastavenia na udržiavanie Quality of Service. Celkom pekne sa dá vyhrať s nastavením užívateľov, ktorí majú prístup k administrácii routeru. Je možné autentifikáciu napojiť na RADIUS server, alebo tiež nahrať jednotlivým užívateľom SSH kľúče. Ak by GUI nastavenia nestačili, k administrátorskej konzole sa dá pripojiť nielen cez SSH alebo sieťovú konzolu, ale aj priamo z prehliadača.

Konzola funguje aj priamo v prehliadači Konzola funguje aj priamo v prehliadači

Router

Keď pominieme dva porty na pripojenie k internetu, zostáva nám oem 100Mbit portov na pripojenie do LAN a tri antény na WiFi. Jednotlivé porty je možné priradiť k rôznym VLAN. Prislúchajúcu VLAN nastavujete aj pri vytváraní WiFi sietí. V základnom nastavení sú chránené heslom, cez WPA-PSK, druh šifrovania je možné zmeniť (o WEP asi nikto už záujem mať nebude, ale o rôznych módoch WPA2 sa oplatí uvažovať). Napriek tomu, že router podporuje autentifikáciu užívateľov cez RADIUS server, neprišiel som na to, ako previazať RADIUS a prístup k WiFi. Na druhú stranu, WiFi má veľmi dobrý dosah a ak sa vám zdá maximum 64 klientov obmedzujúce, môžete zapojiť takmer neobmedzené množstvo ďalších sietí. Preháňam, ale mať z jedného zariadenia prístupných šestnásť rôznych WiFi sietí je zaujímavá skúsenosť. Predpokladám, že to zďaleka neznamená, že by sa na tento jeden router mohlo pripojiť takmer tisíc WiFi klientov, mojich päť to zvládlo bezproblémovo a vzhľadom k tomu, že ide naozaj o high-end router, odhadol by som niečo medzi tridsiatimi a šesťdesiatimi. Router nižšej triedy vie mať problém už aj pod desať klientov.

Začiatok mojich experimentov s WiFi, zatiaľ „len“ šesť sietí Začiatok mojich experimentov s WiFi, zatiaľ „len“ šesť sietí

Unified Threat Management

Po spustení router nesprístupní všetky svoje možnosti, na to ho treba prepnúť z firewall módu do UTM módu v ponuke System | Configuration. Na zmenu je potrebné znovu zadať heslo. Router vás ešte upozorní, že bude vypnuté fragment transparent forwarding a zapne link status detection. Zaujal som prístup „ak neviem, čo to znamená, asi mi to nebude vadiť“ a potvrdením som dostal prístup k ďalším položkám v ponuke. Ide o Antivirus, Intrusion Prevention, URL Filtering a RBL Filtering. U antivíru aj intrusion detection je dôležité najprv nastaviť jeho licenčný kľúč v System | Maintenace | Update Center, bez ktorých nepôjde stiahnuť ich update. Pri intrusion detection je možné pridať svoje definície aj manuálne, oproti štandardnému firewallu vie rozlišovať aj protokoly aplikačnej vrstvy.

Filtrovanie URL je prístupné len v UTM móde Filtrovanie URL je prístupné len v UTM móde

VPN

Asi najväčšou devízou Eudumonu je dobrá podpora rôznych VPN systémov. A to je aj vlastnosť, ktorá asi najviac ukazuje, pre koho je tento router určený. Malá firma, alebo domácnosť len ťažko využije IPSec, alebo VPN pomocou MPLS. Protokol MPLS je obzvlášť zaujímavý, vyvinutý bol na routovanie na veľké vzdialenosti a momentálne sa používa hlavne na vytváranie geograficky rozsiahlych VPN. Narozdiel od IPSec, ktorý vytvára tunel medzi dvoma zariadeniami, zariadenia prepojené pomocou MPLS sa budú správať, ako keby boli prepojené priamo jedným switchom. Do podobného ranku môžeme zaradiť aj protokol BGP, ktorý slúži na prepojenie separátnych autonómnych sietí cez internet.

Pre IPSec má router pohodlného sprievodcu Pre IPSec má router pohodlného sprievodcu

Čo chýba?

Asi najviac mi pri prezeraní konfigurácie chýbala možnosť použiť IPv6. Obzvlášť keď router podporuje špecializované routovacie protokoly ako BGP, neprítomnosť IPv6 v nastaveniach bije do očí. Eudumony rady 200E-X sú však uvádzané ako IPv6 ready, preto neviem. Možno mi len neprišiel správny update. Ako ďalšiu nevýhodu vidím neprítomnosť DNSSEC, router má vlastnú DNS cache a pri dôraze na bezpečnosť mi tu chýba. Na druhú stranu DNSSEC, aj napriek tomu, že už dávno nejde o novú technológiu, nie je až tak rozšírený.

Pohľad na krabicu z perspektívy prehliadača... Pohľad na krabicu z perspektívy prehliadača...

...a v skutočnosti ...a v skutočnosti

Záverom

Eudemon 200 pravdepodobne u vás doma veľmi nevyužijete. Ako riešenie bezpečnosti v malej firme mi už sedí viac, užívateľské rozhranie je jednoduché a myslím, že ho zvládne používať každý, kto si už niekedy musel manuálne nastaviť na svojom počítači sieť. Aj bez zakúpenej licencie na firewall ide o solídnu bezpečnostnú bránu. Na druhú stranu, malá firma ťažko využije pokročilé možnosti VPN, ktoré router poskytuje. So známym, ktorý sa „sieťarinou“ profesionálne zaoberá, som sa zhodol asi na tomto: „Táto škatuľa vyzerá ako niečo pre malú pobočku nejakej firmy, vie ju pripojiť na internet a/alebo do existujúcej firemnej VPNky či už cez L2TP, GRE, IPSec alebo MPLS a v závislosti od ceny sa oplatí alebo neoplatí viac, ako Cisco.“

Diskuze (2) Nahoru