Czy duże przedsiębiorstwa potrzebują zapór UTM (Unified Threat Management) ze wszystkimi funkcjami ochrony brzegowej? W dużych sieciach lokalnych stosuje się najczęściej specjalizowane rozwiązania ochronne, a nie urządzenia typu "wszystko w jednym", popularne w małym i średnim biznesie. A jednak duże firmy i instytucje mogą skorzystać na zintegrowanych produktach. Wyniki testów potwierdziły, że dodanie kolejnych mechanizmów ochrony może znacząco wpływać na wydajność zapory. Tym razem opisujemy wyniki testowania funkcji VPN, antywirusowych, wysokiej dostępności i dynamicznego routingu oraz prezentujemy podsumowanie naszego wielkiego testu UTM klasy enterprise.

Funkcjonalność VPN - duże zróżnicowanie

Chociaż VPN i zapora ogniowa od ponad siedmiu lat rezydują wspólnie w tej samej "skrzynce", testy obu typów VPN: site-to-site (lokalizacja - lokalizacja) i zdalnego dostępu pokazały znaczące różnice w jakości implementacji.

VPN typu site-to-site są bardziej istotne w zaporach UTM dla przedsiębiorstw i dlatego w czasie testów szczególną uwagę zwrócono na możliwość łatwego utworzenia i zarządzania dużymi VPN. Trzech dostawców wyróżniających się w zakresie VPN klasy enterprise to: Check Point, Cisco i Juniper. Firmy te dostarczyły odpowiednie technologie VPN i centralne narzędzia zarządzania, ułatwiające budowanie sieci składającej się z setek węzłów działających w różnych technologiach.

Udostępnione wydanie Cisco Security Manager (CSM) prezentuje dojrzałą technologię zarządzania, spełniającą wszystkie potrzeby dużych VPN, chociaż nadal są tu obszary wymagające pewnej poprawy - np. reguły VPN i zapory ogniowej nie są jeszcze połączone, co nadmiernie komplikuje definiowanie polityk. Generalnie jednak wdrażanie dużych VPN z pomocą tych narzędzi jest procesem relatywnie łatwym.

Kroki w dobrym kierunku

Check Point i Juniper także mają wyróżniające się narzędzia do zarządzania i definiowania VPN dla dużych wdrożeń site-to-site. Narzędzia obu tych firm ułatwiają definiowanie złożonych architektur VPN, a wiele trudnych elementów takiego definiowania, związanych z manipulowaniem bardzo dużymi VPN - takich jak uwierzytelnianie tunelu z wykorzystaniem certyfikatów cyfrowych - jest do wykonania nie tylko w prosty sposób, ale także nienarażający bezpieczeństwa sieci.

Cisco i Juniper obrały właściwy kierunek, łącząc VPN site-to-site z dynamicznym routingiem w celu zmniejszenia złożoności zarządzania VPN przy szybko zmieniającej się topologii sieci.

SonicWall - kolejny dostawca, który wprowadził szereg innowacji do centralnego zarządzania - także wykonał duży krok w zakresie kontroli i zarządzania konfiguracją VPN. SonicWall Global Management System pozwala na przeciągnięcie grupy zapór do VPN i następnie automatycznie konfiguruje i wprowadza konfiguracje VPN do wszystkich urządzeń. Kiedy topologia sieci ulega zmianie i zapory są dodawane lub usuwane, Global Management System utrzymuje wszystkie elementy w stanie aktualnym, w pełni połączone.

WatchGuard, wcześniej innowator w ułatwianiu budowania oraz monitorowania VPN, dzisiaj już nie ma tak zaawansowanych rozwiązań. VPN site-to-site jest łatwa do skonfigurowania, jeżeli buduje się pojedynczy tunel pomiędzy zaporą WatchGuard Peak i urządzeniami WatchGuard dla oddziałów zamiejscowych z rodziny Edge. Jednak nie ma tu scentralizowanego zarządzania zaporami Peak, co praktycznie oznacza brak opcji budowania dużych VPN site-to-site. Tunele mogą być zestawiane pojedynczo.

Kolejnym rozczarowaniem jest system zarządzania IBM/ISS w postaci urządzenia Site Protector. System ten prezentuje możliwości zarządzania VPN sprzed dobrych kilku lat. Nie zapewnia centralnego zarządzania dużymi topologiami VPN i wymaga, aby VPN była definiowana z użyciem bardzo tradycyjnego modelu chronionych sieci i bram ochronnych - terminologia wywodząca się bezpośrednio ze standardów IPSec i wyraźnie nieprzystająca do prób połączenia polityk VPN i zapory ogniowej.

Rozwiązania Astaro ASG 425a, Fortinet Fortigate 3600A i Secure Computing Sidewinder 2150D, pozbawione centralnego zarządzania, reprezentują bardzo wczesne możliwości VPN site-to-site. Secure Computing planuje wydanie nowych narzędzi centralnego zarządzania opartych na systemie uzyskanym w wyniku przejęcia firmy CyberGuard.

Powiązania zdalnego dostępu

Najlepszymi możliwościami zdalnego dostępu VPN jeszcze raz wykazały się rozwiązania Check Point i Cisco. Check Point uzyskała dobrą ocenę za połączenie łatwej konfiguracji z silnymi mechanizmami dodatkowymi. Proces ustawiania zdalnego dostępu VPN, jaki zapewnia Check Point, jest prosty i szybki w mniej skomplikowanych przypadkach dopuszczania zdalnych użytkowników do sieci chronionych przez zapory ogniowe Check Point. Jeśli jednak trzeba wyjść poza łatwe przypadki, to istnieje wystarczająco dobrze napisana dokumentacja, wspomagająca ustawianie elementów, takich jak: rozdzielone tunelowanie, rozdzielona implementacja DNS, połączenie VPN przez wiele zapór ogniowych i integracja NAC (Network Access Control).