Wielki test UTM dla przedsiębiorstw cz. 2
- Józef Muszyński,
- Joel Snyder,
- 04.02.2008
Czy duże przedsiębiorstwa potrzebują zapór UTM (Unified Threat Management) ze wszystkimi funkcjami ochrony brzegowej? W dużych sieciach lokalnych stosuje się najczęściej specjalizowane rozwiązania ochronne, a nie urządzenia typu "wszystko w jednym", popularne w małym i średnim biznesie. A jednak duże firmy i instytucje mogą skorzystać na zintegrowanych produktach. Wyniki testów potwierdziły, że dodanie kolejnych mechanizmów ochrony może znacząco wpływać na wydajność zapory. Tym razem opisujemy wyniki testowania funkcji VPN, antywirusowych, wysokiej dostępności i dynamicznego routingu oraz prezentujemy podsumowanie naszego wielkiego testu UTM klasy enterprise.
Czy duże przedsiębiorstwa potrzebują zapór UTM (Unified Threat Management) ze wszystkimi funkcjami ochrony brzegowej? W dużych sieciach lokalnych stosuje się najczęściej specjalizowane rozwiązania ochronne, a nie urządzenia typu "wszystko w jednym", popularne w małym i średnim biznesie. A jednak duże firmy i instytucje mogą skorzystać na zintegrowanych produktach. Wyniki testów potwierdziły, że dodanie kolejnych mechanizmów ochrony może znacząco wpływać na wydajność zapory. Tym razem opisujemy wyniki testowania funkcji VPN, antywirusowych, wysokiej dostępności i dynamicznego routingu oraz prezentujemy podsumowanie naszego wielkiego testu UTM klasy enterprise.
Funkcjonalność VPN - duże zróżnicowanie
Chociaż VPN i zapora ogniowa od ponad siedmiu lat rezydują wspólnie w tej samej "skrzynce", testy obu typów VPN: site-to-site (lokalizacja - lokalizacja) i zdalnego dostępu pokazały znaczące różnice w jakości implementacji.Producent: Astaro (www.astaro.com)
Zalety: W urządzeniu upakowano wiele narzędzi open source; łatwe ustawianie funkcji HA; zawiera SSL VPN dla zdalnego dostępu.
Wady: Zarządzanie jest kłopotliwe i rozczłonkowane; konfigurowanie IPS i alarmów jest słabe; błędy w funkcjach HA.
Cena: 20 tys. USD za sprzęt; 10,6 tys. za oprogramowanie.
* Cena obejmuje dwie instancje sprzętowe, wymagane do testowania funkcji HA
Udostępnione wydanie Cisco Security Manager (CSM) prezentuje dojrzałą technologię zarządzania, spełniającą wszystkie potrzeby dużych VPN, chociaż nadal są tu obszary wymagające pewnej poprawy - np. reguły VPN i zapory ogniowej nie są jeszcze połączone, co nadmiernie komplikuje definiowanie polityk. Generalnie jednak wdrażanie dużych VPN z pomocą tych narzędzi jest procesem relatywnie łatwym.
Kroki w dobrym kierunku
Check Point i Juniper także mają wyróżniające się narzędzia do zarządzania i definiowania VPN dla dużych wdrożeń site-to-site. Narzędzia obu tych firm ułatwiają definiowanie złożonych architektur VPN, a wiele trudnych elementów takiego definiowania, związanych z manipulowaniem bardzo dużymi VPN - takich jak uwierzytelnianie tunelu z wykorzystaniem certyfikatów cyfrowych - jest do wykonania nie tylko w prosty sposób, ale także nienarażający bezpieczeństwa sieci.
Producent: Check Point Software (www.checkpoint.com)
Zalety: W pełni wyposażona zapora ogniowa i oprogramowanie zarządzania; elastyczne opcje HA; wyróżniające się VPN site-to-site i zdalnego dostępu.
Wady: System operacyjny Secure Platform ograniczony w funkcjonalności sieciowej i zarządzania klasy enterprise; konfigurowanie UTM generalnie słabe lub nadmiernie skomplikowane.
Cena: 31 tys. USD za sprzęt; 19,8 tys. USD za oprogramowanie.
* Cena obejmuje dwie instancje sprzętowe, wymagane do testowania funkcji HA
SonicWall - kolejny dostawca, który wprowadził szereg innowacji do centralnego zarządzania - także wykonał duży krok w zakresie kontroli i zarządzania konfiguracją VPN. SonicWall Global Management System pozwala na przeciągnięcie grupy zapór do VPN i następnie automatycznie konfiguruje i wprowadza konfiguracje VPN do wszystkich urządzeń. Kiedy topologia sieci ulega zmianie i zapory są dodawane lub usuwane, Global Management System utrzymuje wszystkie elementy w stanie aktualnym, w pełni połączone.
WatchGuard, wcześniej innowator w ułatwianiu budowania oraz monitorowania VPN, dzisiaj już nie ma tak zaawansowanych rozwiązań. VPN site-to-site jest łatwa do skonfigurowania, jeżeli buduje się pojedynczy tunel pomiędzy zaporą WatchGuard Peak i urządzeniami WatchGuard dla oddziałów zamiejscowych z rodziny Edge. Jednak nie ma tu scentralizowanego zarządzania zaporami Peak, co praktycznie oznacza brak opcji budowania dużych VPN site-to-site. Tunele mogą być zestawiane pojedynczo.
Kolejnym rozczarowaniem jest system zarządzania IBM/ISS w postaci urządzenia Site Protector. System ten prezentuje możliwości zarządzania VPN sprzed dobrych kilku lat. Nie zapewnia centralnego zarządzania dużymi topologiami VPN i wymaga, aby VPN była definiowana z użyciem bardzo tradycyjnego modelu chronionych sieci i bram ochronnych - terminologia wywodząca się bezpośrednio ze standardów IPSec i wyraźnie nieprzystająca do prób połączenia polityk VPN i zapory ogniowej.
Producent: Fortinet (www.fortinet.com)
Zalety: Dobra wydajność z włączonym skanowaniem antywirusowym; dobry współczynnik przechwyceń wirusów; dobre upakowanie sprzętu.
Wady: Zaawansowane mechanizmy wymagają stosowania interfejsu wierszy komend; słaba dokumentacja, słabe IPS.
Cena: 122 tys. USD za sprzęt, oprogramowanie i zarządzanie.
* Cena obejmuje dwie instancje sprzętowe, wymagane do testowania funkcji HA
Powiązania zdalnego dostępu
Najlepszymi możliwościami zdalnego dostępu VPN jeszcze raz wykazały się rozwiązania Check Point i Cisco. Check Point uzyskała dobrą ocenę za połączenie łatwej konfiguracji z silnymi mechanizmami dodatkowymi. Proces ustawiania zdalnego dostępu VPN, jaki zapewnia Check Point, jest prosty i szybki w mniej skomplikowanych przypadkach dopuszczania zdalnych użytkowników do sieci chronionych przez zapory ogniowe Check Point. Jeśli jednak trzeba wyjść poza łatwe przypadki, to istnieje wystarczająco dobrze napisana dokumentacja, wspomagająca ustawianie elementów, takich jak: rozdzielone tunelowanie, rozdzielona implementacja DNS, połączenie VPN przez wiele zapór ogniowych i integracja NAC (Network Access Control).