Linux E X P R E S

Facebook

Pro vaši firmu: Bezpečnostní brána ZyWALL USG 100

zywall.jpg

Připojení firemní sítě do internetu si nedokážeme představit bez kvalitního firewallu. Sám o sobě v současnosti nestačí. V jeho úloze „strážce brány“ mu musí pomáhat další technologie, např. detektor průniku, program pro filtrování obsahu a antivirový program. Někdy jde o čistě softwarová řešení postavená na běžných PC, jindy o jednoúčelová hardwarová zařízení, mezi něž patří také bezpečnostní brána ZyWALL USG 100 od společnosti ZyXEL.


Seznámení s přístrojem

Bezpečnostní brána ZyWALL USG 100 patří do skupiny zařízení poskytujících ochranu vnitřní sítě ve velmi širokém rozsahu. Kromě firewallu je vybavena detektorem průniku, antivirovým programem, programem pro filtrování obsahu a antispamovým filtrem. K tomu je plnohodnotně vybavena v oblasti VPN a poskytuje podporu pro adaptéry sítí 3G.

Jistě je možné argumentovat, že velmi zkušený správce sítě dokáže na běžné PC nainstalovat jednoúčelovou linuxovou distribuci, zvládne například pomocí programu Shorewall nakonfigurovat firewall v jádře, doplnit jej detektorem průniku Snort, antivirovým programem ClamAV. Chtěl bych podotknout, že v otázkách snadnosti nastavení a konzumace elektrické energie hardwarové řešení jednoznačně zvítězí.

Pohled na čelní stranu přístroje ukáže výbavu sedmi ethernetovými porty. První dva jsou určeny pro vnější síť, třetí, čtvrtý a pátý port jsou vyhrazeny LAN, šestý port slouží pro připojení přístupového bodu bezdrátové sítě a konečně sedmý port je vyhrazen pro DMZ (demilitarizovaná zóna). Výbavu doplňují dva porty USB sloužící pro připojení externích modulů 3G.

Čelní strana přístrojeČelní strana přístroje

Na zadní straně přístroje najdete běžný sériový port RS-232 pro připojení telefonního modemu, druhý sériový port pro připojení počítače, PCMCIA slot pro použití rozšiřující karty bezdrátové sítě a konektor napájení. Je vidět, že sériové porty zůstávají u firewallů a průmyslových počítačů pořád standardem, zatímco z běžných PC už pomalu mizí.

Pohled zezaduPohled zezadu

Veškerá nastavení internetové brány probíhají v přehledném internetovém rozhraní, vybaveném rozbalovacím menu s rychlým přístupem k většině nastavení přístroje. Uživatelské rozhraní v odstínech modré je navíc vyšperkováno například přehlednými grafy, tlačítky a řádkem pro zpětná hlášení systému. Kromě webového rozhraní má správce k dispozici textovou konzoli přístupnou pomocí telnetu nebo OpenSSH. Linuxový shell ale nečekejte. Možnosti konzole jsou definovány použitým operačním systémem, jímž je pravděpodobně firemní ZyNOS (ZyXEL Network Operating System).

Stav zařízeníStav zařízení

Bezpečnostní brána ZyWALL USG 100 je výkonově určena pro ochranu sítě menší společnosti. Dle údajů od výrobce by měl její výkon dostačovat pro maximálně 25 uživatelů vnitřní sítě. Tomu odpovídá propustnost firewallu udaná výrobcem 100 Mb/s, stejně jako propustnost VPN sítě zabezpečené protokolem IPsec - 50 Mb/s. Obě hodnoty přístroj dle očekávání vzdalují od výkonu malých routerů určených pro trh SoHo, tedy pro domácnosti a malé kanceláře. Totéž platí pro možných 50 tunelů VPN chráněných protokolem IPsec a 20 000 současných spojení na NAT. Pro rozsáhlejší firemní sítě výrobce doporučuje výkonnější USG 200 nebo USG 300.

Pro srovnání: v minulosti recenzovaný VPN router Ovislink Air Live IP-2000VPN, určený pro trh SoHo, zvládne 10 tunelů VPN a 2 000 současných spojení na NAT.

Bezpečnostní technologie

Základem bezpečnostních technologií USG 100 je stavový firewall vybavený seznamem pro řízení přístupu (ACL - Access control list). Tento seznam umožňuje nastavit omezující pravidla pro jednotlivé bezpečnostní zóny. Různá pravidla tedy budou platit například mezi LAN (Local Area Network) a DMZ, různá mezi LAN a WAN (Wide Area Network), jiná mezi LAN a VPN.

FirewallFirewall

Volitelně je firewall rozšiřitelný o aplikační bránu (ALG – Application-level gateway), která umožňuje omezit útoky z vnější sítě přímo na aplikační vrstvě (layer 7), tedy tam, kde probíhají nejčastěji a kde je stavový firewall nedokáže odhalit.

Aplikační bránaAplikační brána

Druhou obrannou linii USG 100 představuje systém detekce a prevence průniku (IDP - Intrusion Detection & Prevention system). Volitelně použitý IDP umožňuje kontrolu na bázi zón, je vybaven automatickou aktualizací signatur útoků a zkušení správci si do něj mohou přidávat signatury vlastní. Navíc zvládá detekci anomálních dat, stejně jako detekci a ochranu před zaplavením (flooding).

Pro zvýšení bezpečnosti je ZyWALL USG 100 vybaven mezi uživateli velice neoblíbenou, ale správci hojně používanou technologií filtrování obsahu internetu. Je možné blokovat jednotlivé URL, klíčová slova, Java applety, prvky Active X a další. Filtrování obsahu je opatřeno seznamem výjimek (blacklist a whitelist) a také databází od společnosti BlueCoat pro dynamické filtrování URL adres. Význam této technologie pro bezpečnost vaší firemní sítě asi není nutné příliš rozebírat.

Poslední obrannou linii ZyWALL USG 100 představuje antivirový program. Zde výrobce nabízí dvě možnosti volby. Správce sítě si může zvolit buď renomovaný antivir od společnosti Kaspersky Lab, nebo levnější, ale méně renomovaný antivir přímo od výrobce bezpečnostní brány, společnosti ZyXEL.

ZyWALL USG 100ZyWALL USG 100

Softwarová výbava přístroje je tedy široká, ale pozor - ne vše je obsaženo v jeho ceně. Některé aplikace jsou dodávány s přístrojem ve formě třicetidenních dočasných licencí a pokud je chcete používat trvale, je nezbytné uhradit cenu jejich trvalejší licence, viz následující tabulku.

Služba

Cena licence na 1 rok

ZyXEL Antivir

76 EUR

Kaspersky Antivir

93 EUR

IDP/Aplikační brána

49 EUR

Filtrování obsahu

63 EUR

Sečtením ceny služeb (beru v úvahu pouze jeden antivirový program - Kaspersky Antivir) a převedením na koruny kurzem 25,7 dojdete k částce 5 268,5 Kč za rok. Podotýkám, že cena licence je stanovena na zařízení a nikoli na uživatele a přepočet je možno považovat pouze za orientační.

Je vidět, že se ZyXEL u řady USG spolehl převážně na proprietární bezpečnostní technologie. Tento přístup kontrastuje s přístupem, který použil například konkurenční Ovislink ve své čistě linuxové bezpečnostní bráně AirLive RS-3000. Přesto USG 100 obsahuje některé programy uvolněné se svobodnými a open-source licencemi. Jmenujme například ppp, NETKIT Telnet, OpenSSL, libevent, xinetd a bind.

K zařízení je možné dále dokoupit technologii dvoufaktorové autentizace, tedy technologie umožňující použití tokenu pro generování jednorázových hesel - ZyWALL OTP (One Time Password).

Sítě a VPN

ZyWALL USG 100 podporuje autentizaci uživatelů nejen pomocí Active Directory od společnosti Microsoft, ale také pomocí protokolů LDAP nebo RADIUS. Pro usnadnění provozu časově náročných aplikací, jako např. VoIP a video konference, umožňuje USG 100 řízení šířky pásma na základě nastavení priorit.

V dané třídě jsem očekával implementaci VPN - Virtual Private Network bez kompromisů a toto očekávání ZyWALL USG 100 beze zbytku splnil. Podporovány jsou bezpečné komunikační tunely na bázi IPSec, SSL a L2TP (přes IPSec), chybí podpora pro PPTP - Point-to-Point Tunneling Protocol. Osobně ale absenci zastaralého a bezpečnostně problémového protokolu PPTP za velkou nevýhodu nepovažuji. Naopak za velice přínosnou považuji možnost použití hybridní VPN, tedy kombinace zabezpečené VPN a důvěryhodné VPN.

L2TP VPNL2TP VPN

V oblasti bezdrátových sítí spoléhá ZyWALL USG 100 na řešení třetích stran. Bohužel současný seznam podporovaných zařízení obsahuje pouze tři. Zabudovaný PCMCIA slot umožňuje použití 3G karet Sierra Wireless AC850 nebo AC860 a do USB portu připojíte pouze 3G modem Huawei E220. ZyWALL USG 100 je poměrně čerstvou novinkou, lze předpokládat, že se seznam podporovaných zařízení časem rozroste.

Bezpečnostní brána ZyWALL USG 100 nabízí rozsah možností ochrany firemní sítě, který jsme donedávna vídali pouze u bezpečnostních bran vyšších tříd. Její pořizovací cena kolem 12 000 Kč s DPH a výkony jejího hardwaru přitom nevybočují z mezí obvyklých u hardwarových firewallů, určených pro ochranu sítí do 25 uživatelů. Zvýšená bezpečnost, ale na druhé straně se prodražuje provoz přístroje dodatečnými náklady na softwarové licence. Na otázku, zda bude přístroj úspěšný, odpoví až jeho uživatelé.

Firewall s certifikací ICSA

  • Seznam pro řízení přístupu (ACL) na bázi zón

  • Bezpečnostní zóny

  • Stavová inspekce paketů

  • Ochrana před DoS/DDoS

  • Nastavení pravidel na bázi uživatele (user-aware)

  • ALG s podporou uživatelských portů

Ochrana před průnikem

  • In-line režim (směrování/most)

  • IDP kontrola na bázi zón

  • Uživatelsky nastavitelný profil ochrany

  • Hloubková kontrola paketů na bázi signatur

  • Automatická aktualizace signatur

  • Uživatelsky upravené signatury

  • Detekce a ochrana před anomálními daty

  • Detekce a ochrana před zaplavením (flooding)

  • Detekce a ochrana před anomáliemi v protokolu: HTTP/ICMP/TCP/UDP

Antivir

  • ZyXEL antivir s certifikací ICSA nebo antivir Kaspersky

  • Stream-based antivir

  • Pokrývá aktuální viry ze seznamu Wild List

  • Skenuje HTTP/FTP/SMTP/POP3/IMAP4

  • Automatická aktualizace signatur

  • Bez omezení na velikost souboru

  • Podpora seznamů Blacklist/Whitelist

Hybridní VPN

IPSec VPN s certifikací ICSA

  • Šifrování: AES/3DES/DES

  • Autentizace: SHA-1/MD5

  • Správa klíčů: Manuální klíč/IKE

  • Technologie Perfect Forward Secrecy: DH Group 1/2/5

  • NAT v kontextu IPSec VPN

  • Dead Peer Detection/Relay Detection

  • Podpora certifikátu PKI (X.509)

  • Nahrávání certifikátů (CMP/SCEP)

  • Autentizace Xauth

  • Podpora L2TP přes IPSec

SSL VPN

  • Neklientský bezpečný vzdálený přístup (reverzní proxy režim)

  • SecuExtender (režim Full Tunnel)

  • Unifikované užití pravidel

  • Podpora dvoufaktorové autentizace

  • Uživatelsky upravitelné rozhraní (uživatelský portál)

Application Patrol

  • Stupňovatelné nastavení přístupu k aplikacím IM/P2P

  • Časové rozvrhy, řízení šířky pásma

  • Nastavení na bázi uživatele (user-aware)

  • Aktuální podpora IM/P2P (založená na IDP signaturách)

  • Statistické výpisy v reálném čase

Řízení šířky pásma

  • Nastavení priorit

  • Shapování datového toku na bázi pravidel

  • Maximální/garantovaná šířka pásma

  • Půjčování šířky pásma

Antispam

  • Ochrana podle zón

  • Transparentní zachycení pošty přes protokoly SMTP/POP3

  • Podpora seznamů Blacklist/Whitelist

  • Podpora kontroly DNSBL

  • Statistické výpisy

High Availability (vysoká dostupnost)

  • Device HA (aktivní/pasivní režim)

  • Detekce výpadku zařízení

  • Monitorování spojení

  • Konfigurace Auto-Sync

  • Distribuce datového toku přes několik WAN připojení

  • VPN HA (záložní dálkové VPN brány)

Filtrování obsahu

  • Blokování URL, blokování klíčový slov

  • Seznam výjimek (Blacklist a Whitelist)

  • Blokování Java apletů, cookies a prvků Active X

  • Databáze pro dynamické filtrování URL adres (od společnosti BlueCoat)

Uživatelské licence

  • Neomezené

Síťové připojení

  • Režim směrování/režim most/smíšený režim

  • Seskupování portů na vrstvě 2

  • Ethernet/PPPoE/PPTP

  • Tagged VLAN (802.1Q)

  • Virtuální rozhraní (alias rozhraní)

  • Směrování na bázi pravidel (s rozlišením uživatelů, user-aware)

  • NAT na bázi pravidel (SNAT/DNAT)

  • RIP v1/v2

  • OSPF

  • IP multicasting (IGMP v1/v2)

  • DHCP klient/server/relay

  • Vestavěný DNS server

  • Dynamické služby DNS

Autentizace

  • Vnitřní databáze uživatelů

  • Microsoft Windows Active Directory

  • Externí databáze uživatelů LDAP/RADIUS

  • ZyWALL OTP (One Time Password)

  • Vynucená uživatelská autentizace (transparentní autentizace)

Správa systému

  • Administrace na bázi rolí

  • Vícenásobné administrátorské přihlášení

  • Vícejazykové webové rozhraní (HTTPS/HTTP)

  • Objektově-orientovaná konfigurace

  • Rozhraní příkazové řádky (konzole/webová konzole/SSH/TELNET)

  • Komplexní lokální přihlášení

  • Syslog (zasílání až na 4 servery)

  • Výstraha přes email (zasílání až na 2 servery)

  • SNMP v2c (MIB-II)

  • Monitorování datového toku v reálném čase

  • Obnova dřívější konfigurace systému (rollback)

  • Textový konfigurační soubor

  • Upgrade firmwaru přes FTP/FTP-TLS/Web GUI

  • Pokročilé výpisy (Vantage Report)

  • Centralizovaná síťová správa (Vantage CNM)

Podpora 3G

  • Pokročilé zabezpečení přenosu pomocí WEP šifrování a podpory WPA/WPA2

  • PCMCIA: Sierra Wireless AC850 (karta je dodávána samostatně)

  • USB: Huawei E220 (zařízení je dodávána samostatně)

Certifikace

  • Firewall s certifikací ICSA

  • IPSec VPN s certifikací ICSA

  • Antivir s certifikací ICSA

Kompatibilní standardy

  • HSF (Hazardous Substance Free, bez nebezpečných látek): RoHS and WEEE

  • EMC: FCC Part 15 Class B, CE-EMC Class B, C-Tick Class B, VCCI Class B

  • Bezpečnost: CSA International (ANS/UL60950-1,CSA60950-1, EN60950-1, IEC60950-1)

Hardwarové specifikace

  • Velikost paměti: 256 MB DDR2 RAM/256 MB Flash

  • Porty: GbE x 7 (RJ-45)

  • Rozhraní: Auto-negotiation a Auto MDI/MDI-X

  • Konzole: RS-232 (DB9F)

  • AUX: RS-232 (DB9M)

  • LED kontrolky: PWR, SYS, AUX, CARD

  • Resetovací tlačítko

  • Slot pro rozšiřovací kartu

  • 2 USB porty

Fyzické specifikace

  • Možnost montáže do racku (souprava pro montáž do racku je součástí přístroje)

  • Rozměry: 242 (š) x 175 (h) x 35.5 (v) mm

  • Hmotnost: 1,2 Kg

Diskuze (10) Nahoru