V dalším dílu seriálu o branách do podnikových sítí jsme měli možnost v redakci otestovat zařízení z divize IBM Internet Security Systems s označením Proventia MX1004. Jedná se o multifunkční bezpečnostní zařízení pro zabezpečení firemní sítě.



Krabička o rozměrech 25×4×18 cm a hmotnosti 1,2 kg v sobě ukrývá malé PC s proprietárním operačním systémem. K dispozici jsou čtyři ethernetová rozhraní o rychlosti 10/100 Mb, oproti předchozím modelům je pro připojení k sériovému portu zapotřebí místo standardního kabelu redukce z Canon 9 na RJ-45. Přes sériový port lze provést řadu nastavení, ale textové prostředí Hyperterminálu je vhodné zejména k nastavení IP adresy zařízení. Základní nastavení se dají provést rovněž přes SSH. Zařízení poskytuje webové administrační rozhraní v angličtině, ke kterému se přistupuje webovým prohlížečem přes zabezpečený protokol HTTPS (obr. 1). Kromě prohlížeče Internet Explorer je však třeba mít nainstalovanou Javu ve verzi 5, s verzí 6 firmware nespolupracuje. Zařízení lze také centralizovaně spravovat spolu s ostatními bezpečnostními prvky pomocí softwaru Site Protector od ISS.


Obr. 1: Webové administrační rozhraní je Java applet

Bezpečnostní funkce

Zařízení může fungovat jako router s překladem adres a vestavěným DHCP serverem. Kromě toho podporuje transparentní režim, ve kterém pouze jako firewall a bezpečnostní gateway filtruje průchozí síťovou komunikaci. IPS/IDS firewall umožňuje nastavení základních síťových pravidel, detekuje přes 2 500 typů útoků a umožňuje analýzu více než 130 síťových protokolů. Další možností, jak omezit nejen riziko infekce, ale i ochránit uživatele před nevhodným obsahem je blokování URL. Administrátor může zapínat filtrování celých skupin typů webů – v databázi je přes šedesát milionů kategorizovaných adres a databázi lze dále ručně nebo automaticky aktualizovat (obr. 2). Správce může přidávat další adresy na blacklist nebo na whitelist. Při zapnutí filtrace kategorie „Online Purchases; Auctions; Small Advertisements“ si Proventia sama poradila kromě ebay.com i s českým aukčním serverem aukro.cz, takže je na české prostředí připravená (obr. 4).


Obr. 2: Aktualizace všech bezpečnostních modulů jsou možné z jednoho místa
Vestavěný antispam pracuje s protokoly POP3 a SMTP. Umožňuje značkování spamu v předmětu mailu na základě analýzy založené na více než dvě stě tisících vzorcích. Kromě toho je možné udržovat vlastní blacklist a whitelist. Databázi SPAM filtru je možné ručně nebo automaticky aktualizovat z internetu. Výrobce uvádí více než 95procentní úspěšnost antispamu a 0,01 procenta chybně pozitivních detekcí.
Antivir od společnosti Sophos umožňuje kontrolu obsahu přenášeného protokoly HTTP (obr. 3), FTP, SMTP a POP3. Kromě detekční databáze s ruční nebo automatickou aktualizací, která chrání před známými hrozbami, zařízení chrání před neznámými nákazami na základě analýzy rizikového chování programů. Antivir si poradí s devíti druhy komprimovaných souborů a otestuje jejich obsah. Kromě toho může správce zcela zakázat přenos souborů s určitými příponami. Zachycené soubory se umísťují do karantény, odkud je může admnistrátor případně obnovovat, nebo zcela mazat.


Obr. 3: Při pokusu o stažení viru se uživateli zobrazí varovné hlášení

VPN, propustnost, spolehlivost

Zařízení disponuje VPN serverem s podporou IPSec a L2TP se šifrováním DES, 3DES a AES. Nastavení VPN usnadňuje dokumentace, kde jsou ukázky různých konfigurací VPN (dvě zařízení Proventia, PC s Windows 2000/XP a Proventia, softwarový VPN server a Proventia). Interoperabilita VPN se zařízeními jiných dodavatelů a úroveň zabezpečení je garantována certifikací NSS a ICSA Firewall-Corporate. VPN server provádí autentifikaci uživatelů proti interní databázi nebo přes Radius server.
Výrobce uvádí jako doporučený počet sto uživatelů a při zapnutí všech ochran na všech protokolech by zařízení mělo být schopné přenášet data rychlostí až 34 Mb/s. VPN se šifrováním 3DES může přenášet až 25 Mb/s přes sto VPN tunelů.


Obr. 4: Návštěva nevhodné stránky skončí tímto hezkým hlášením
Zařízení neumožňuje připojení dvou WAN linek. Spolehlivost lze zvýšit pomocí funkce High availibility, kdy v případě nefunkčnosti jednoho zařízení může převzít jeho funkci zařízení záložní.
Správce může nastavit e-mailovou notifikaci, veškeré události se zaznamenávají přes systémový log, kromě toho Proventia podporuje SNMP. Systémový čas lze řídit pomocí protokolu NTP. Přes webové rozhraní je možné zálohovat nejen konfiguraci, ale také celý systém, a správce ho tak může obnovit v případě neúspěšného upgradu nebo chybné změny v nastavení. Pro snazší řešení případných problémů je možné vytvořit tzv. system support file, který lze zaslat na technickou podporu.
K řadě zařízení Proventia M je k dispozici anglický PDF manuál o 380 stránkách.

Závěr

Proventia MX1004 je bezpochyby kvalitní multifunkční bezpečnostní zařízení. Jeho použití v kancelářských prostorech bych nedoporučoval pro velkou hlučnost, takže je vhodné mu vyhradit místo v uzavřeném racku, nebo někde v serverovně. V českých e-shopech není Proventia MX1004 k dostání, cena se v přepočtu pohybuje okolo 25 tisíc korun, roční předplatné uživatelské podpory a aktualizací bezpečnostních databází a firmware vyjde v přepočtu na něco přes sedm tisíc korun.

Hodnocení:
+ bezpečnostní funkce
+ kvalitní antivir a antispam
+ podpora ISS labs
- chybí podpora více WAN
- nekompatibilita s Javou verze 6
- hlučnost zařízení

V následujícím dílu seriálu o branách podnikových sítí se budeme věnovat dvěma zařízením společnosti Edimax.