Bezpečnost firem připojených na Internet se během posledních let stala velmi složitou – firmy se chrání pomocí různých nástrojů, jako jsou například antivirové a antispyware produkty, filtry zachycující nevyžádanou poštu, systémy na prevenci proniknutí, šifrovacími technologiemi na přístup do vnitropodnikové sítě, šifrováním e-mailové komunikace, filtrováním nebezpečného obsahu apod. I když si nemyslíme, že ve světě bezpečnosti existuje jeden lék na všechno, produktová řada Astaro Security Gateway obsahuje ochranné prvky, které si na hranici podnikové sítě a Internetu umíme představit.
Ukázka Astaro Security Gateway 220
Německá společnost Astaro vznikla v roce 2000 a poskytuje především řešení pro bezpečnost. První produkty byly Linuxové distribuce zaměřené na zabezpečení sítě – v podstatě softwarové ekvivalenty současné produktové řady. Této možnosti zůstala firma věrná a umožňuje vám rozhodnout se, zda budete jejich produkty používat jako softwarová řešení (buď na vlastním fyzickém hardwaru nebo v VMWare virtuálním serveru) nebo jako předinstalovaná hardwarová zařízení.
Astaro Security Gateway 220 je hardwarové zařízení, které obsahuje procesor Intel Pentium 4 na taktovací frekvenci 2,8 GHz, 1 GB RAM, 80GB disk a 8 síťových rozhraní. Velikost zařízení je 1 rack unit. Podstatnou částí zařízení je však software, který v sobě kombinuje operační systém Linux, systém na předcházení průniku Snort (s certifikovanými pravidly od společnosti Sourcefire), dva antivirové systémy na filtrování webového a e-mailového provozu, antispamový filtr, webový content filtr, routr, VPN přístup, reportovací rozhraní, stavový packetový filtr, packet shaper a několik dalších součástí. Dokáže tak pokrýt velkou škálu potřeb, které se běžně svěřují internetové bráně.
Instalace a konfigurace
Podle Getting Started Guide jsme základní nastavení provedli v podstatě v průběhu několika minut. Základním nastavením nás provází wizard, který nám především umožní nastavit připojení k Internetu (rozhraní WAN) a lokální adresní rozsah. Po prvním přihlášení nás přivítá intuitivní, ale na možnosti bohaté rozhraní. Zde bych rám zdůraznil jednoduchost a především rychlost práce s rozhraním, což není u podobných konkurenčních produktů běžná vlastnost – často se konfigurují přes pomalé a těžkopádné rozhraní, např. klientskou aplikaci pod OS Windows nebo přes zastaralý a dlouho nevyvíjený Java applet.
Konfigurace je tedy možná z jakéhokoliv operačního systému bez nutnosti cokoliv instalovat – a s výjimkou VPN přístupu pomocí některých protokolů není potřeba nic instalovat ani při používání brány.
Vzhledem k bohatým možnostem a podrobnému nastavení nedoporučuji nastavovat složitější součásti běžným uživatelem, neznalým terminologie počítačových sítí. Dokumentace je sice podrobná a přehledná, ale vzdělání v problematice nenahradí. Na druhé straně, po prvotním nastavení je bránu možné jednoduše používat bez nutnosti dělat velké změny během provozu. To, že výrobce nesáhl po jednoduchém rozhraní, které by neumožňovalo dělat pokročilejší nastavení, oceňujeme – brána dokáže pracovat s agregací linek, můžete nastavit pokročilá pravidla směrování (dokonce dynamického pomocí protokolu OSPF) nebo bridgeování, aktivovat NTP server, nebo podrobně nastavit kvalitu služby (QoS) na základě jednotlivých protokolů.
Síťová bezpečnost
Bezpečnost síťové vrstvy je zabezpečována jednak klasickým packetovým filtrem, ale i IPS systémem Snort. Je možné se rozhodnout, zda systém má odhalené průniky nebo zneužití zranitelností logovat nebo rovnou vyhazovat. Taktéž je možné selektivně vypnout některá pravidla nebo dokonce přidávat vlastní. Systém si vzorky automaticky updatuje. Výhodou tohoto přístupu je rychlá ochrana před běžnými internetovými zranitelnostmi, které nemusí být na straně klienta ještě opraveny – dokonce na ně nemusela ještě vyjít oficiální oprava od výrobce.
Systém síťové bezpečnosti obsahuje i klasifikátor peer-to-peer sítí podle provozu (tj. nejen podle portu), a tak dokáže spolehlivě odhalit např. provoz Skype nebo Bittorrent. Na základě detektoru protokolu je potom možné daný provoz buď zakázat, nebo omezit. Systém taktéž podporuje protokoly pro přenos hlasu přes Internet (VoIP), konkrétně SIP a H.323 – dokáže je spolehlivě identifikovat a propustit, když je to potřeba (což zvláště u protokolu SIP není samozřejmostí, protože na samotný přenos hlasu se používají sekundární spojení používající protokol RTP).
Modul síťové bezpečnosti umí také odhalit Instant Messaging komunikaci (Yahoo! Messenger, ICQ/AOL, Google Talk, Jabber, IRC, MSN, Skype) a také ji logovat, zablokovat přenos souborů přes ni nebo jí zablokovat úplně.
Webový filtr
Filtr protokolů HTTP a FTP dokáže zabezpečit online antivirovou kontrolu dvěma nezávislými antivirovými produkty. Výhodou takového řešení je zachycení škodlivého kódu už na rozhraní sítě. Samozřejmě, nejde o plnohodnotnou náhradu antivirového programu v počítači (škodlivý kód se do počítače může dostat i jinou cestou, například přes USB klíč, šifrované spojení, nebo když je přenosný počítač připojen do jiné sítě mimo podnik).
Druhou součástí webového filtru je filtr stránek, který umožňuje administrátorovi vybrat sadu stránek, které chce povolit nebo zakázat. Výběr je dělaný podle kategorií a správce se může rozhodnout povolit určitým skupinám uživatelů různé skupiny stránek. Také je možné některé stránky povolit jen v určitém čase (např. během přestávky na oběd). Webové stránky systém rozpoznal velmi dobře. Dokonce, i když se jednalo o slovenské stránky, uměl je zařadit do správné kategorie.
E-mailový filtr
E-mailový filtr používá několik technologií filtrace – dva antivirové produkty na filtraci škodlivého kódu a několik způsobů boje proti spamu. Brána neobsahuje plnohodnotný e-mailový server, má za úkol jen “pročistit” příchozí e-maily od škodlivých a nevyžádaných zpráv. Přesto poskytuje relativně pokročilé možnosti – v první řadě je to uživatelský portál, ve kterém si každý uživatel může nadefinovat vlastní whitelisty, prohlížet části logů, které se ho týkají (tj. umí zjistit, zda mu daný e-mail prošel nebo neprošel) a prohlížet e-mailovou karanténu a případně systém učit a opravovat při špatné klasifikaci e-mailů. Uživatelský portál (a i jiné části brány) umožňují autentizaci pomocí autentizačního serveru (na bázi Active Directory, Radius, LDAP, eDirectory nebo TAKACS+).
Druhou, poměrně nestandardní vlastností je možnost šifrování, dešifrování, podepisování a ověřování podpisů e-mailů pomocí standardů v S/MIME a OpenPGP přímo na bráně. Z hlediska bezpečnosti není úplně nejideálnější volba svěřit tento úkol bráně – e-maily je teoreticky možné odchytávat cestou z brány k počítači uživatele, případně je možné se vydávat za někoho jiného z podniku. Na druhou stranu pro podnik, který z nějakého důvodu nemůže nasadit šifrování e-mailů přímo u klientů, je toto řešení aspoň o něco lepší než nešifrovaná komunikace. Myslíme si ale, že šifrování a především podepisování e-mailů patří do e-mailového klienta a ne na bránu. Je to však možnost brány, kterou jednoduše nemusíte využít.
VPN a IPSec
Brána umožňuje tvorbu šifrovaných spojení mezi sítěmi na bázi protokolu IPSec. Jako autentizační mechanismus umí použít pre-shared key nebo X.509 certifikáty, takže je velmi jednoduchým způsobem možné vytvořit šifrované spojení i s jinými zařízeními (od jiných výrobců). Brána obsahuje kompletní správu certifikátů.
Velmi zajímavá je podpora Remote Access VPN – šifrovaného přístupu uživatelů do vnitřní sítě organizace. Většina bran podporuje jeden nebo dva protokoly. Astaro podporuje PPTP, L2TP/IPSec, IPSec a SSL přístup (pod SSL přístupem si v Astaru představují OpenVPN připojení nad šifrovaným protokolem TLS). Možnosti jsou tedy bohaté a je vlastně na uživateli (a správci), jakou bezpečnost požadují a zda jsou ochotni si nastavovat složitější VPN nebo použít externí software, který VPN nastaví automaticky. Velkou výhodou je, že všechna nastavení jsou přístupná z uživatelského portálu, včetně podrobných návodů.
Velkou výhodou je dobrá podpora připojení i z jiných operačních systémů jako Windows pomocí “SSL VPN” (tedy programového balíku OpenVPN) při zachování celkem slušné úrovně bezpečnosti (připojení přes PPTP je možné i z OS Mac OS X nebo Linux, ale v tomto případě se nejedná o velmi bezpečný způsob připojení).
Nástroje pro správce
Správce systému má možnost nahlížet do reportovací části, kde se nacházejí jednak systémové informace o bráně (vytížení procesoru, volná RAM, vytížení síťových rozhraní), ale i reporty o aktivitách jednotlivých uživatelů (nejčastěji navštěvované stránky). Drobnou nevýhodou je absence grafů pro jednotlivé uživatele (není možné sledovat zagrafovanou aktivitu v čase).
Správce systému si může nechat posílat pravidelné reporty i e-mailem. O důležitých událostech umí systém informovat nejen prostřednictvím elektronické pošty, ale i pomocí SNMP trapů, takže je možné systém jednoduše propojit se stávajícím dohledovým systémem.
Systém také umožňuje jednoduchým způsobem zazálohovat celou konfiguraci, kterou je možné v případě problémů nebo výměny brány jednoduchým způsobem obnovit. Nevýhodou brány z hardwarového hlediska je, že obsahuje jen jeden pevný disk a jeden zdroj – komponenty, které se nejčastěji poškozují, nejsou redundantní. Předplatné však obsahuje promptní výměnu poškozené brány za nový kus v případě problémů – a tehdy se záloha konfigurace určitě hodí. Je však škoda, že v tomto případě přijdou uživatelé o karanténu a systém o naučená pravidla pro boj proti spamu.
Správce systému může také v krizových případech použít přístup přes protokol SSH. Trochu odrazující je (pochopitelné) varování, že při jakýchkoliv změnách provedených přes SSH jako root přichází zákazník o technickou podporu. Myslíme si ale, že tuto možnost je nutné využít jen zřídkakdy, protože opravdu téměř všechno je možné dělat přes webové rozhraní.
Bezpečnost a updaty
Systém, pro který je zaplacená technická podpora, automaticky získává nárok na aktualizace softwaru, které je třeba aplikovat ručně. Systém však umí o všech aktualizacích informovat (jak je výše uvedeno: pomocí e-mailu a SNMP trapu), takže není nutné sledovat, zda je potřeba instalovat aktualizaci. Některé aktualizace potřebují restart systému, proto je potřeba je aplikovat tehdy, kdy je to z hlediska chodu organizace možné.
Systém samotný je udělán tak, že všechny služby viditelné zvenku se nacházejí v tzv. chroot kleci, takže kompromitace jednotlivé služby nekompromituje celý systém (minimálně následnou kompromitaci systému podstatným způsobem ztíží).
Aktualizace Snort pravidel a vzorků antiviru se dějí automaticky a na pozadí.
High availability
Astaro Security Gateway 220 dokáže pracovat v režimu high availability současně s druhou stejnou bránou. Pro tento účel je potřeba brány propojit rozhraním eth3, které je k tomu vyhrazeno. Při propojení by mělo dojít k autokonfiguraci druhého zařízení, tuto možnost jsme ale netestovali, protože na testování jsme měli jen jednu bránu.
Přizpůsobení vzhledu
Brána umožňuje přizpůsobení vzhledu pomocí změny standardního loga Astaro na firemní logo a také změnu textu jednotlivých chybových hlášek vysvětlujících zablokování stránky.
Licenční politika
Kromě nejmenší brány Astaro Security Gateway 110 mají všechny brány neomezený počet uživatelů (resp. počet uživatelů je omezený hardwarovými schopnostmi brány). U každé brány je uvedené pásmo, které brána dokáže odfiltrovat. U recenzované Astaro Security Gateway 220 je to 320 Mbps přes packetový filtr (firewall), 170 Mbps VPN trafficu, 140 Mbps trafficu přes systém detektoru průniků (IPS), 300 tisíc e-mailů denně a 400 tisíc současných spojení. Tato čísla jsou minimální, ale nejsou licenčně ani technicky omezena.
Při koupi brány je tedy potřeba počítat se samotnou cenou brány, ročním poplatkem za support (poskytuje se ve dvou úrovních: Gold a Platinum, které se liší reakční dobou na support požadavky a garantovanou dobou výměny vadného kusu zařízení).
Roční poplatek je také za volitelné součásti web a e-mail filtru.
U softwarových bran (ať už software appliance nebo virtual appliance) je omezený počet uživatelů, uživatel může používat daný software na jakémkoliv podporovaném hardwaru.
Závěr
Podle našeho názoru se jedná o velmi zajímavé řešení bezpečnosti na rozhraní vnitřní sítě organizace a Internetu, které kombinuje více způsobů ochrany a bezpečného přístupu do vnitřní sítě zvenku. Zařízení se po hardwarové stránce dá vytknout pouze použití neredundantních komponentů (pevný disk a zdroj). Možnost zapojení v redundantním režimu tento nedostatek potlačuje. Proto si myslíme, že tento produkt je vhodný pro menší a střední organizace jako komplexní řešení border security.