facebook LinkedIN LinkedIN - follow
IT SYSTEMS 3/2008 , ITSM (ITIL) - Řízení IT , Recenze a testy - HW

Brány do podnikových sítí I. díl

Recenze: D-Link DFL-800

Martin Konečný [ konecny (zavináč) ccb (tečka) cz ]




Další články seriálu:

Základním prvkem pro zabezpečení počítačové sítě před útoky zvenčí je firewall. V dřívějších dobách se často realizoval počítačem se dvěma síťovými kartami a operačním systémem Linux, případně BSD, kde jsou funkce firewallu a další bezpečnostní prvky součástí prakticky každé distribuce, v českých firmách se často prosadila i řešení na různých verzích Windows s bezpečnostními produkty třetích stran. Kromě toho, že stavba vlastního routeru s firewallem je pro správce sítě záživnější činnost než instalovat Windows na pracovní stanice, specializované produkty nebyly dostupné vůbec, nebo byly drahé. V posledních dvou letech došlo k výraznému rozšíření nabídky „krabiček“ od různých výrobců s velkým množstvím funkcí, nízkou spotřebou a cenou na úrovni běžného PC. V redakci jsme měli možnost otestovat firewall D-Link DFL-800.



DFL-800 je VPN firewall vhodný pro malé sítě (výrobce udává jako maximální hodnotu 150 uživatelů). Podle specifikace dokáže obsloužit až 25 tisíc souběžných relací s datovou propustností firewallu až 150 Mb/s. Disponuje sedmi porty LAN o rychlosti 10/100 Mb, jedním portem pro DMZ a dvěma porty WAN. Šasi s pěkným designem můžete položit na stůl, nebo namontovat do racku pomocí přiložené montážní sady. Zařízení prošlo certifikačním testem firewallů v ICSA Labs a VPN je podle testu VPNC AES Interoperability schopno pracovat s jinými IPSec zařízeními.

Administrace

Administrační webové rozhraní je dostupné přes HTTP i HTTPS. Vzdálený přístup k zařízení lze povolovat pro jednotlivá síťová rozhraní. Kromě toho lze povolit přístup přes SNMP a SSH. Oceňuji, že webové rozhraní je funkční nejen v Internet Exploreru, ale i ve Firefoxu, což výrobce deklaruje na přihlašovací stránce. Alternativně je možnost administrace přes konzolový terminál připojený na Console portu přes rozhraní RS-232 (potřebný kabel RJ-45/RS-232 je součástí balení).
Webové rozhraní je hezké nejen po grafické stránce, ale je i funkční a přehledné (obr. 1). K dispozici je pouze v anglickém jazyce, ale myslím, že to pro žádného správce nebude problém. Zajímavostí je inteligentní ukládání změn konfigurace, takže když se administrátor uklepne například v IP adrese, zařízení se samo uvede zpět do předchozí konfigurace, pokud se k němu po uložení nové konfigurace administrátor nepřihlásí do 30 sekund. Před uložením změn zařízení umožňuje zobrazení rozdílů v nastavení a návrat k poslední uložené konfiguraci. Zařízení je rovněž možné vrátit do původního stavu od výrobce. Pro případy nejvyšší nouze je na zadní straně tlačítko reset.

Obr. 1: Úvodní stránka administračního rozhraní se základním přehledem
Obr. 1: Úvodní stránka administračního rozhraní se základním přehledem

Objects – pojmenování objektů

V sekci Objects lze přidělovat názvy například rozsahům IP adres, rozhraním a časovým rozvrhům. První podkupinou objektů je Address Book, kde je možné pojmenovávat IP adresy aplikačních serverů, DNS, bran a síťových rozhraní. Tato pojmenování se pak nabízí formou rozbalovacích seznamů ve všech dalších pravidlech a nastaveních, kde není možné zapisovat přímo IP adresy nebo jejich rozsahy. V první chvíli mi trošku vadilo, že jsem musel z některého dialogu přeskočit do definic, abych si pojmenoval nějaký nový objekt, ale nakonec jsem naznal, že to vede administrátora k pořádku a systematičnosti v pravidlech a nastaveních.
Další skupinou jsou ALG (Application Layer Gateways), které umožňují definovat pokročilé akce pro některé protokoly. Například pro HTTP je možné nastavit odstranění ActiveX, JavaScriptu, Java appletů nebo blokování Cookies (obr. 2).

Obr. 2: Definice filtrace URL a aktivního obsahu HTTP protokolu
Obr. 2: Definice filtrace URL a aktivního obsahu HTTP protokolu

Skupina Services umožňuje editaci parametrů jednotlivých síťových služeb. Zařízení obsahuje přes osmdesát předdefinovaných služeb, které lze dále v případě potřeby upravovat a doplňovat (obr. 3).

Obr. 3: Pojmenování síťových služeb
Obr. 3: Pojmenování síťových služeb

Za velmi užitečnou pokládám skupinu Schedules, která umožňuje nastavovat pojmenované rozvrhy, které se dále užívají zejména pro nastavení pravidel (obr. 4). Základní rozvrh umožňuje nastavit začáteční a koncové datum a zatrhnout hodiny u jednotlivých dní, tedy například pondělí 9 až 13 hodin, středa 8 až 10 hodin (obr. 5). Pokročilý rozvrh disponuje jemnějším nastavením týdenních a měsíčních událostí s přesností na minuty a je určen spíše k časování pravidelných aktivit, poněvadž zde není k dispozici začáteční ani koncové datum.

Obr. 4: Pojmenování rozvrhů umožňuje vytvářet komplexní časová pravidla
Obr. 4: Pojmenování rozvrhů umožňuje vytvářet komplexní časová pravidla


Obr. 5: Základní rozvrh pro jednotlivé hodiny a dny
Obr. 5: Základní rozvrh pro jednotlivé hodiny a dny

Pravidla a síťová nastavení

Sekce Rules umožňuje nastavení IP pravidel – například zapínání překladu adres (NAT) pro jednotlivá rozhraní – a nastavení pravidel pro přístup podle IP adres. Sekce Interfaces slouží pro konfiguraci fyzických a virtuálních síťových rozhraní a IPSec tunelů. V sekci Routing lze nastavovat statické a dynamické směrování. Firewall disponuje DHCP serverem a funkcí DHCP relay. Samozřejmostí je podpora DynDNS a řady podobných služeb (obr. 6). Administrátor může nastavit řadu pokročilých parametrů IP, TCP, ICMP, timeouty, fragmentaci a řadu dalších (obr. 7).

Obr. 6: Samozřejmostí je podpora DynDNS a obdobných služeb
Obr. 6: Samozřejmostí je podpora DynDNS a obdobných služeb

Firewall, IDP/IPS a Zone Defense

Firewall obsahuje ochranu proti DoS/DdoS, umožňuje filtraci URL na základě klíčových slov a již zmíněné blokování aktivního obsahu webových stránek. Zařízení může pracovat v transparentním režimu, což usnadňuje jeho začlenění do stávající topologie sítě.
IDP (intrusion detection and prevention) a IPS (intrusion prevention system) slouží k detekci narušení sítě. Administrátor může zapínat pravidla pro jednotlivé protokoly a zařízení podle tohoto nastavení může zabránit i šíření dosud neznámého viru. Základní funkce IPS včetně aktualizace jsou dostupné zdarma a chrání před známými hrozbami. Rozšířené funkce IPS se poskytují formou předplatného a poskytují ochranu proti dosud neznámým hrozbám na základě rozpoznávání příznaků ohrožení. Po tříměsíční zkušební lhůtě je lze zakoupit za necelých tři tisíce korun na rok.
Funkce Zone Defense umožňuje firewallu kontrolovat lokálně připojené switche a odpojovat počítače, které se chovají podezřele (např. nákaza virem, nadměrný síťový provoz, …). Firewall je tak schopen zabránit šíření viru nejen směrem do internetu, ale i uvnitř lokální sítě. Tato technologie je dostupná jen pro některé modelové řady switchů značky D-Link. Kromě automatického blokování může administrátor nastavit whitelist pro IP adresy, na které se nemají limity vztahovat a blacklist na IP adresy, které nesplňují podmínky pro automatické blokování, ale z jiných důvodů je třeba, aby byly od lokální sítě odpojené.

Obr. 7: Detailní nastavení parametrů IP
Obr. 7: Detailní nastavení parametrů IP

Traffic management

Zařízení poskytuje správci možnost nastavovat limity pro jednotlivé IP adresy, sítě a síťové služby. Nastavená pravidla si lze představit jako potrubí a síťový provoz jako tekutinu, čemuž odpovídá terminologie v administračním rozhraní. Limity se definují pomocí tzv. pipes (roury), a to buď v kilobitech, nebo paketech za sekundu. Následně se dají vytvářet pravidla (pipe rules), které přidělují kapacity jednotlivých rour jednotlivým „druhům tekutin“ (síťový provoz rozlišený podle zdrojových/cílových sítí či IP adres, podle služeb nebo podle definovaného časového rozvrhu.

VPN

Vytvoření virtuální privátní sítě je u switchů a firewallů dnes naprostou samozřejmostí. Ani DFL-800 nezůstává pozadu a nabízí podporu jak IPSec, tak i PPTP a L2TP. Zařízení dovoluje vytvořit až 300 VPN tunelů. Podporuje šifrování DES, 3DES, AES, Blowfish, Twofish a CAST-128. Přihlášení k zařízení je možné přes interní databázi uživatelů, přes Radius server, LDAP (IPSec) nebo Microsoft IAS.

Server load balancing

Zařízení poskytuje funkce pro vyrovnávání zátěže mezi více servery, které tvoří tzv. serverovou farmu (obr. 8). Cílem je vyšší výkon, škálovatelnost a spolehlivost. Zátěž mezi servery může být rozdělována podle relací (session), podle IP adres (požadavek z určité IP adresy je vyřízen určitým serverem), nebo podle sítí (požadavek z určité sítě je vyřízen určitým serverem). Každý z těchto režimů je vhodný pro jiný typ aplikací, takže je možné nastavit pro různé služby různé režimy. Ve všech režimech je možné nastavit dva způsoby distribuce zátěže v rámci serverové farmy. Algoritmus Round Robin servery obsazuje postupně (rozděluje se pouze první požadavek ze session, IP adresy, či sítě, další už směřují na stejný server). Algoritmus Connection Rate vyhodnocuje počet požadavků na každý server a nový požadavek přidělí serveru s nejnižším počtem dosud obsloužených požadavků. Zařízení testuje provoz jednotlivých serverů ve farmě buď na úrovni ICMP (třetí vrstva OSI), nebo na úrovni TCP (čtvrtá vrstva OSI). V případě výpadku přesměrovává veškerý provoz na ostatní servery ve farmě.

Obr. 8: Schéma server load ballancingu
Obr. 8: Schéma server load ballancingu

Selhání připojení WAN

Zařízení umožňuje sdílení kapacity dvou WAN linek. Nastavení se provádí například tak, že přes jednu WAN linku směrujeme protokoly POP3 a SMTP a přes druhou FTP a HTTP. V případě výpadku jedné z linek je provoz automaticky přesměrován na druhou linku. Automatické vyvažování zátěže podobným způsobem, jako tomu bylo u funkce server load balancing, u tohoto zařízení zatím možné, ale výrobce ho slibuje zahrnout do některé z dalších aktualizací firmware. Administrátor tedy musí rozdělit pásma obou linek dle svého uvážení, vyhradit je pro jednotlivé služby a sledovat, jestli je dané rozdělení optimální.

Logování událostí

Implicitně zařízení používá interní log ve vlastní paměti, administrátor může definovat další záznamy na syslog server, nebo zasílání přes SMTP (obr. 9).

Obr. 9: Zařízení umožňuje SMTP notifikaci a logování do interního logu, nebo na syslog server
Obr. 9: Zařízení umožňuje SMTP notifikaci a logování do interního logu, nebo na syslog server

Dokumentace

Na přiloženém CD se nachází 250stránkový PDF manuál, stručný návod pro instalaci a PDF s příklady konfigurace (vše v angličtině). Zejména začínající správci ocení právě příklady konfigurace, které ukazují typické scénáře využití zařízení, včetně popisu všech nastavení krok za krokem.

Závěr

Celkově jsem měl z D-Linku DFL-800 velmi dobrý dojem. Poctivý kus odvedené práce je vidět nejen na technických funkcích zařízení, ale i na jeho designu a graficky velmi pěkném a ergonomickém webovém rozhraní. Zařízení nevydává při provozu žádný hluk (což není u všech firewallů této kategorie samozřejmost), takže ho lze bez obav umístit i do kancelářských prostor. Perfektně splní všechny obvyklé požadavky na firewall, navíc disponuje pokročilými funkcemi, jako je server load balancing a WAN failover. Po doplnění funkce vyvažování zatížení WAN linek bude pro správce velkým lákadlem. Cena zařízení se v e-shopech pohybuje okolo třinácti tisíc korun bez DPH.
Hodnocení:
+ množství funkcí
+ ovládací rozhraní
+ pořizovací cena
+ bez licenčních poplatků za uživatele
- předplatné za rozšířenou IPS ochranu
- absence load ballancingu pro WAN v aktuálním firmwaru

V následujících dílech seriálu o branách podnikových sítí v časopisu IT Systems najdete podrobné recenze zařízení Proventia, Edimax a dalších renomovaných značek.
Chcete získat časopis IT Systems s tímto a mnoha dalšími články z oblasti informačních systémů a řízení podnikové informatiky? Objednejte si předplatné nebo konkrétní vydání časopisu IT Systems z našeho archivu.


Další články seriálu:


Inzerce

Konec papírování, digitalizujte a usnadněte si práci!

IT Systems 3/2024V aktuálním vydání IT Systems jsme se zaměřili na vývoj digitalizace ve světě peněz, tedy v oblasti finančnictví a pojišťovnictví. Dozvíte se například, proč je aktuální směrnice PSD2 v inovaci online bankovnictví krokem vedle a jak by její nedostatky měla napravit připravovaná PSD3. Hodně prostoru věnujeme také digitalizaci státní správy a veřejného sektoru, která nabírá obrátky.