Téma počítačové bezpečnosti je dlouhodobým evergreenem nejen českého internetu. Vzhledem k stále větší aktivitě a důvtipu útočníků a tím pádem i rostoucímu riziku krádeže důvěrných dat, se ale není čemu divit. V dnešním článku se tak budeme opět věnovat oblasti firemní bezpečnosti, byť tentokrát tedy z trochu jiného úhlu. Blíže se podíváme na aktivní síťový prvek Check Point UTM-1 Edge NW, který cílí na oblast malých a středních podniků, a který nabízí přinejmenším zajímavou alternativu vůči zavedeným bezpečnostním řešením.
Check Point UTM-1 Edge NW
S úvahami nad významem bezpečnosti jsme se na stánkách ITBizu v minulosti setkali už nesčetněkrát. Stejně jako se neustále rozvíjí rafinovanost autorů bezpečnostních hrozeb, zdokonalují se dostupná bezpečnostní řešení. Jinými slovy zatímco v průběhu 90. let k pocitu IT bezpečnosti stačilo zakoupit a nainstalovat antivirový program bránící hrozbám šířícím se po disketách, s příchodem a dramatickým internetu se situace významně změnila. Škodlivé kódy se najednou začaly šířit prostřednictvím stále populárnější emailové komunikace a běžný antivirový software je byl schopen odhalit až příliš pozdě, pokud tedy vůbec.
Tak se zrodila oblast komplexních bezpečnostních řešení, která klasický antivirus významně obohacují o další funkce a služby. Namísto pouhého prohledávání pevného disku a vložených médií tak dnešní bezpečnostní aplikace aktivně kontrolují všechny příchozí emaily a stahované soubory, v reálném čase (ne)doporučují uživatelům návštěvu škodlivých internetových stránek a k odhalení bezpečnostních hrozeb využívají metody sofistikované heuristické analýzy.
Dnes se tak dostáváme do situace, kdy je firma k zajištění maximální bezpečnosti své počítačové sítě a tedy i důležitých dat a duševního vlastnictví nucena investovat do několika různých bezpečnostních řešení. Kromě routerů, firewallů a dalších prvků chránících firemní sítě se jedná i o již zmíněné bezpečnostní balíky instalované na klientských stanicích, či nejrůznější formy softwarového a hardwarového šifrování obsahu pevných disků. Samozřejmě s tím jak firma roste a stoupá sofistikovanost bezpečnostních hrozeb, zvyšuje se i množství bezpečnostních řešení, které je firma nucena nakoupit a integrovat do své IT infrastruktury. To nebývá vždy právě jednoduché.
Řešení pro SMB
Oblast státní správy, korporací a středně velkých firem ale pro tuto chvíli nechme stranou a podívejme se na oblast malých podniků a startupů, jejichž počet se neustále zvyšuje. Základním problémem segmentu malých podniků z hlediska bezpečnosti je fakt, že potencionální rizika se jich týkají prakticky ve stejné míře, jako se týkají větších podniků a nadnárodních korporací. Na rozdíl od nich ale malé podniky a startupy často nedisponují volnými prostředky, které by mohly investovat do ochrany vlastní IT infrastruktury. Jak z toho začarovaného kruhu ven?
Možné řešení komplikované situace malých podniků a startupů přináší izraelský výrobce bezpečnostních řešení Check Point, kterému jsme se už v minulosti několikrát věnovali. Ten přímo do oblasti malých podniků a domácích kanceláří míří se síťovým bezpečnostním prvkem UTM-1 Edge NW.
Samotné označení UTM v názvu produktu znamená „Unified Threat Management“, tedy „jednotná správa hrozeb“, a nutno podotknout, že testované UTM-1 Edge NW toto označení naplňuje bezezbytku. Jinými slovy tato malá modrá krabička rozšiřuje všechny funkce běžného WiFi routeru o plnohodnotný firewall, antivir a antispamový filtr.
Z hlediska hardware je model UTM-1 Edge NW vybaven čtveřicí 10/100/1000 Mbps LAN portů, po jednom WAN a WAN2 portu a dvojící USB portů. Samozřejmostí je také dvojice antén určených pro co nejkvalitnější pokrytí okolí signálem WiFi. Jen pro zajímavost, vyšší verze ADSL je vybavena navíc ještě SFP portem a slotem pro ExpressCard 3G modem.
Přehled připojených zařízení.
Co se funkcí týká, nabízí model UTM-1 Edge NW vše, co lze od podobného aktivního síťového prvku očekávat. Samozřejmě nechybí ani možnost vytváření a správy VPN tunelů, kterých může být až 400, či podrobný log, který eviduje každou významnější akci. Zajímavá funkce, která rozhodně stojí za zmínku, se jmenuje SmartDefense. Jak už sám název napovídá, SmartDefense bude další službou modelu UTM-1 Edge NW, která má za úkol zajistit maximální bezpečnost dané počítačové sítě. Princip SmartDefense spočívá ve schopnosti rozpoznat bezpečnostní hrozbu na aplikační úrovni a zabránit jí v proniknutí do systémů a dalším šíření.
Velmi zajímavě působí také schopnost provádět antivirovou a antispamovou kontrolu už na vstupu všech dat do sítě, čímž odpadá nutno instalovat bezpečnostní software na jednotlivé klientské stanice. Vzhledem k absenci obou těchto funkcí v testovaném modelu jsme ale neměli možnost je ozkoušet v praxi.
Naše zkušenost
Zapůjčený UTM-1 Edge NW jsme podrobili několikatýdennímu redakčnímu testu, kdy zařízení plně nahradilo náš běžně používaný WiFi router. Nasazení do ostrého provozu je sice vždy trochu riziko, na druhou stranu jak jinak než prací v reálných podmínkách lze skutečně a důkladně ověřit funkčnost.
Vezměme to ale popořadě – zapojení UTM-1 Edge NW není nic komplikovaného a zvládne jej i méně zkušený počítačový uživatel. První konfiguraci zařízení je nutné provést prostřednictvím síťového kabelu, který je naštěstí přiložen v balení. Mluvíme-li o první konfiguraci, nemáme v podstatě na mysli nic jiného než první přihlášení do systému, zvolení administrátorského hesla a zapnutí a nastavení WiFi sítě. Veškeré další nastavování tak může probíhat pohodlně a bez kabelu.
Dalším logickým krokem bylo nastavení připojení k internetu. To nám, přes dodržení doslova blbuvzdorného postupu, překvapivě nefungovalo. Respektive se tedy tvářilo, že funguje, žádné pakety ale nikam necestovaly. Naštěstí i tentokrát pomohla osvědčená metoda vypnout / zapnout a během necelých 10 minut od vůbec prvního spuštění Check Point UTM-1 Edge NW naše redakční síť zase fungovala tak, jako předtím.
Během testování UTM-1 Edge NW jsme narazili i na jeden poměrně bizarní problém, tedy částečné blokování komunikace s Facebookem. V praxi to vypadalo tak, že se webové stránky Facebooku sice načetly, zároveň se ale nezobrazily žádné obrázky a některé funkce také nefungovaly tak, jak měly. Bezesporu se jednalo o jednoduše odstranitelný problém na straně příliš striktně nastaveného firewallu, na druhou stranu jsme se o to příliš nesnažili – práce bez neustálého vyrušování ze strany sociálních sítí přeci jen vynikala vyšší efektivitou, byť zrovna tohle záměr tvůrců Check Point UTM-1 Edge NW rozhodně nebyl.
Celkový dojem z testování Check Point UTM-1 Edge NW je i přes několik marginálních problémů velmi pozitivní. Zařízení rozhodně velmi dobře plnilo svou roli a chránilo firemní síť se všemi do ní připojenými stanicemi a dalším zařízením.
Co je v základu, a co je nutné dokoupit
Cena samotného zařízení UTM-1 Edge NW začíná na hranici 675 dolarů, tedy něco málo na 11 tisíci Kč. Za to zákazník dostane samotné zařízení s veškerým výše zmíněným příslušenstvím a licenci na provoz v síti s až 8 uživateli. S případným větším počtem uživatelů se zvyšuje i cena licence, která dosahuje 950 dolarů (zhruba 15 500 kč) pro 16 uživatelů, 1 400 dolarů (okolo 23 000 Kč) pro 32 uživatelů a až 2 200 dolarů (něco málo přes 36 tisíc Kč) v případě neomezeného počtu připojených stanic.
Nutno ovšem podotknout, že uvedené ceny zahrnují víceméně jen samotné zařízení a za nadstandardní služby si je nutné dále připlatit. Bohužel je to právě tento nadstandard, který dělá Check Point UTM-1 Edge NW tak zajímavým a pravděpodobně i výjimečným.
Na mysli máme především již zmíněné možnosti antiviru a antispamového filtru, které nás ještě před samotným zapůjčením zařízení velmi oslovily. Jejich cena se pohybuje v řádu stovek dolarů (řádově tisíce Kč) za rok, což na jednu stranu není zanedbatelná částka, na stranu druhou ale následně není nutné drahé bezpečnostní balíky instalovat na jednotlivé klientské stanice. Tedy přinejmenším na desktopy. Alespoň ve firmách s řádově deseti a více zaměstnanci tak využitím centrálního bezpečnostního řešení můžete ještě ušetřit.
Jak už ale bylo zmíněno, aktivní doplňkové funkce antivirus a antispam bohužel nebyly součástí testovaného modelu UTM-1 Edge NW a nemohly jsme je tak ozkoušet.
Co se ceny týká, tak sečteno a podtrženo, Check Point UTM-1 Edge NW rozhodně není levnou záležitostí a bezesporu najdete mnoho levnějších alternativ. Na druhou stranu hledáte-li kvalitní bezpečnostní řešení schopné odhalit a neutralizovat široké spektrum hrozeb, nebude pro vás vyšší cena pravděpodobně příliš velkou překážkou.
Závěr
Nakonec tak vyvstává otázka, zdali se investice do zařízení typu Check Point UTM-1 Edge NW vyplatí či jestli stejnou ochranu neposkytne řádově levnější značkový konkurenční router doplněný bezpečnostním balíkem instalovaným na každém počítači. Jak už to tak bývá, na tuto otázku, bohužel, neexistuje příliš univerzální odpověď.
V první řadě závisí na velikosti organizace. Tedy Check Point UTM-1 Edge NW rozhodně není určeno pro zabezpečení malé domácí sítě nebo kanceláře podnikatelů-jednotlivců. Na druhou stranu o čím větší firmě, a tedy i větším počtu zaměstnanců a tím pádem i licencí, se bavíme, tím spíš se testované zařízení Check Point UTM-1 Edge NW ukazuje jako vhodnější řešení.
Druhým velkým rozhodovacím faktorem je bezesporu kritérium kvalitního bezpečnostního řešení. Jinými slovy testovaný Check Point UTM-1 Edge NW je vhodný pro ty jednotlivce či firmy, kteří bezpečí svých dat kladou na první místo a vyšší náklady pro ně v tomto případě nehrají příliš velkou roli. Naopak firmám, které s důvěrnými či cennými daty pracují jen minimálně, velmi pravděpodobně postačí levnější bezpečnostní řešení.
Unifikovaná bezpečnostní řešení přesto na trhu bezesporu mají své místo – jednak díky jednoduchosti nasazení a správy, jednak pak díky komplexnosti poskytovaných bezpečnostních služeb. Rozhodně ale nejsou určeny příliš širokému spektru zákazníků, ale spíš užší a přesně vymezené cílové skupině. To se tak, pravděpodobně, odráží i ve vyšší ceně zařízení.