Wielki test UTM dla przedsiębiorstw cz. 1
- Józef Muszyński,
- Joel Snyder,
- 07.01.2008
Firma zapomniała też o mechanizmach centralnego zarządzania. CSM nie może np. pokazywać wydajności, błędów i informacji o stanach. Do tego służy narzędzie zarządzania uruchamiane w samym urządzeniu, udostępniające wyczerpujące informacje o jego stanie. Jednak informacje te odnoszą się tylko do jednej zapory w danym czasie.
W rezultacie są dwa narzędzia zarządzania obsługujące tę samą zaporę ogniową, co podnosi poziom potencjalnych konfliktów przy uaktualnianiu polityk. Do zarządzania polityką nie można także dołączyć analiz IPS, wymagają one oddzielnej aplikacji i osobno kupowanego urządzenia - Monitoring, Analysis and Response System.
System zarządzania Juniper - NetScreen Security Manager (NSM) - jest narzędziem używanym do sterowania zaporami ogniowymi, które firma uzyskała przejmując NetScreen trzy lata temu, i które od tego czasu zostało udoskonalone. NSM jest pojedynczą aplikacją, łączącą zarządzanie zaporą ogniową i IPS, działania śledcze, monitorowanie i alarmowanie, ze wszystkimi mechanizmami NAT I UTM, które dotyczą danej polityki. Takie połączenia, oprócz innych aspektów polityki, ułatwiają zrozumienie tego co wykonuje zapora ogniowa i dlaczego.
Problemy z NSM, takie jak brak narzędzi śledczych dla IPS i możliwości tworzenia polityk obejmujących wiele stref, są oczywiste dla tych, którzy budują i zarządzają rozległymi politykami z mechanizmami UTM. Jednak te niedostatki nie zagroziły czołowej pozycji NSM na liście rozwiązań zarządzania zaporami UTM klasy przedsiębiorstwa.
Scentralizowane narzędzia zarządzania dla platformy SonicWall spełniają podstawowe wymagania, jednak najbardziej interesujące ulepszenia dotyczą zarządzania zaporą ogniową. Można tu znaleźć wiele interesujących "pokręteł" sterujących zaporą SonicWall Pro 5060, które są oczywistym rezultatem skupienia się na rynku SMB. Jednak wiele z tych funkcji dobrze przekłada się na duży rozmiar przedsiębiorstwa.
Na przykład SonicWall Pro 5060 ma mechanizm SSL Control, który pozwala na wymuszanie niektórych polityk SSL, takich jak blokowanie certyfikatów podpisanych przez nieznane urzędy certyfikacji lub wygasłe certyfikaty - narzędzie bardzo przydatne w walce z phishingiem. Pro 5060 ma także oddzielnie licencjonowaną zaporę ogniową poziomu aplikacyjnego, która może być używana do inspekcji protokołów HTTP, SMTP i FTP.
Zarządzanie zupełnie nieodpowiednie dla UTM klasy przedsiębiorstwa reprezentuje IBM Internet Security System SiteProtector, urządzenie zarządzające do produktów IBM/ISS - od IPS/IDS po narzędzia ochrony desktopa i zapory UTM dla przedsiębiorstw. Oryginalne urządzenie Proventia Multi-Function Security było dla ISS (przed wchłonięciem firmy przez IBM) sposobem na osiąganie funkcjonalności IPS dla oddziałów zamiejscowych. Jednak typowe potrzeby tych oddziałów to dwie - trzy strefy, dwie - trzy reguły polityki i sposób budowania tunelu z "kwaterą główną".
Proventia MX5010 ma takie mechanizmy, ale nic ponadto. SiteProtector posługuje się terminologią mało zrozumiałą (np. zapory ogniowe są nazywane "agentami") i ma system zarządzania polityką przeznaczony dla zapór oddziałowych, a nie dla zapór przedsiębiorstwa. Włączenie wysokiej dostępności wymaga np. dodania zestawu reguł pozwalających na porozumiewanie się urządzeń. Nawet specjalny kreator ISS nie uwzględniał takich szczegółów. Podobny problem napotkano przy włączaniu dynamicznego routingu, który wymaga dodawania specyficznych reguł zapory ogniowej pozwalających na przesyłanie uaktualnień OSPF przez zaporę ogniową.
Secure Computing przekazał do testów produkt w niewłaściwym momencie jego cyklu rozwoju. Linia zapór Sidewinder nigdy nie miała prawdziwego centralnego zarządzania. Kiedy firma zakupiła Cyberguard, dostawcę zapór ogniowych proxy klasy przedsiębiorstwa, jednym z nabytków były scentralizowane narzędzia zarządzania. Niestety, chociaż firma udostępniła wersję 7 Sidewinder, nowe narzędzia zarządzania nie były jeszcze gotowe. Sam model zarządzania zaporą ogniowa jest elegancki. Sidewinder jest zaporą ogniową opartą na strefach i specjaliści ds. bezpieczeństwa mogą uważać narzędzia oferowane przez Secure Computing za atrakcyjne. Natomiast administratorzy sieci prawdopodobnie nie podzielą tego zdania.
Zarządzanie Astaro Internet Security także wymaga czasu i umiejętności. Korzystając z przeglądarkowego interfejsu graficznego (firma nie dostarczyła do testów scentralizowanych narzędzi zarządzania), można się zorientować, że w tym produkcie wymieszano mnóstwo interesujących mechanizmów opartych na rozwiązaniach open source. Jednak nie udało się zintegrować zarządzania tymi mechanizmami. Na przykład dopuszczenie ruchu HTTP przez zaporę ogniową wymaga wejścia na jedną z części GUI i ustawienia reguł filtra pakietów pozwalających na przepuszczenie ruchu HTTP. Jeżeli następnie chce się skanować ten ruch pod kątem wirusów, to trzeba udać się do innej części GUI i włączyć proxy HTTP - wycofując reguły filtra pakietów i konfigurując skanowanie antywirusowe na proxy. Generalnie Astaro nie jest przygotowana jeszcze na wejście do dużego przedsiębiorstwa.