Secure Computing SnapGear SG565
- Kamil Folga,
- 07.12.2006
"Kombajny" realizujące kompleksowe zabezpieczenie styku z Internetem i oferujące jednocześnie system antywirusowy, antyspamowy, zaporę ogniową, system wykrywania intruzów itp. były dotychczas przeznaczone dla dużych przedsiębiorstw. Obecnie pojawia się coraz więcej urządzeń przeznaczonych dla małych i średnich. W ich gronie Secure Computing ze SnapGear SG565 z pewnością się wyróżnia.
"Kombajny" realizujące kompleksowe zabezpieczenie styku z Internetem i oferujące jednocześnie system antywirusowy, antyspamowy, zaporę ogniową, system wykrywania intruzów itp. były dotychczas przeznaczone dla dużych przedsiębiorstw. Obecnie pojawia się coraz więcej urządzeń przeznaczonych dla małych i średnich. W ich gronie Secure Computing ze SnapGear SG565 z pewnością się wyróżnia.
Do testu urządzenie zostało dostarczone w pudełku zawierającym SG565, zasilacz, dwie anteny, kabel CAT5e, instrukcję obsługi oraz płytę z oprogramowaniem. Solidna metalowa obudowa zabezpiecza urządzenie przed uszkodzeniem fizycznym. Przedni panel SG565 wyposażono w diody kontrolne oznaczone kolejno: Power, H/B, ETH, USB, WLAN, Serial, Online, VPN. Na tylnym panelu umieszczono gniazdo zasilania oraz porty do przyłączenia anten (ANT1, ANT2), port szeregowy (SERIAL), 2 porty USB, czteroportowy przełącznik (A1-A4) i port Ethernet (B).
Uruchomienie urządzenia wywołuje miganie wszystkich kontrolek na przednim panelu, aż do czasu wprowadzenia podstawowej konfiguracji. W tej czynności pomoże nam prowadzący za rękę konfigurator (Quick Setup Wizard). Po wstępnej konfiguracji adresacji IP, interfejsów, haseł oraz podstawowych funkcji, urządzenie jest gotowe do pracy.
Funkcjonalność SG565
Diagnostyka systemu ujawnia "serce" SG565 - Linux version 2.4.31.
Konfigurację można przeprowadzić przez przeglądarkę - przejrzyste menu graficzne zostało podzielone na cztery sekcje: ustawienia sieciowe (Network Setup), zaporę ogniową (Firewall), VPN, ustawienia systemowe (System). Dostępny jest także interfejs wierszy poleceń.
Konfiguracja ustawień sieciowych pozwala na podstawowe ustawienia portów (przełącznik, Ethernet, COM, Wireless). Urządzenie pozwala na konfigurację statycznego oraz dynamicznego trasowania z wykorzystaniem protokołów RIPv1, RIPv2, OSPF, BGPv4. System jest przystosowany do adresacji IPv4 i IPv6. Przepustowość systemu wynosi 120 Mb/s.
Standardowe opcje dla tego typu urządzeń to podstawowy serwer DHCP, funkcja DNS Proxy oraz DynamicDNS. SG565 wspiera wiele sposobów realizacji połączeń internetowych, zezwalając zarówno na ich agregację oraz redundancję (failover). Dodatkowo zintegrowany serwer web-cache umożliwia zwiększenie szybkości dostępu do stron www. Odwiedzane strony są zapamiętywane lokalnie, co przyspiesza do nich dostęp. Serwer web-cache oparto na oprogramowaniu Squid. Można użyć zewnętrznej pamięci masowej w celu stworzenia bufora do przechowywanych danych. W podstawowej wersji oprogramowanie Squid wykorzystuje pamięć operacyjną urządzenia. Oczywiście w tym przypadku nadmierne wykorzystanie zasobów na potrzeby serwera pośredniczącego może spowodować znaczny spadek wydajności pracy całego systemu. Dodatkowe opcje w ustawieniach sieciowych to serwer proxy dla połączeń SIP, zarządzanie QoS oraz udostępnianie drukarek.
SnapGear wyróżnia ciekawie rozwiązana, zintegrowana zapora ogniowa. Firewall pozwala akceptować, odrzucać lub porzucać pakiety, opierając się na adresach, usługach oraz interfejsach. Zasady filtrowania pakietów ustalane są zarówno dla protokołów IPv4, jak i IPv6. Reguły mogą opierać się na stanie połączeń (Stateful Packet Inspecion). Dostępne są podstawowe funkcje NAT: przekierowanie portów, źródłowy NAT, NAT 1 do 1, maskarada, brama UPnP. W opcjach grupy dotyczących zapory ogniowej możemy zdefiniować zasady zdalnego dostępu. Usługi administracyjne mogą opierać się na protokołach TELNET, SSH, HTTP, HTTPS. Możemy skonfigurować usługę HTTPS, tak aby korzystała z wprowadzonego certyfikatu lub utworzonego przez SG565. Implementacja zapory ogniowej została certyfikowana przez laboratoria ICSA, co potwierdza jej wysoką jakość i skuteczność.
<hr size="1" noshade>SnapGear SG565
SnapGear SG565
Zalety: duży wybór dostępnych interfejsów, system antywirusowy oraz IDS w postaci darmowej usługi, dobre wsparcie VPN, łatwość konfiguracji
Wady: oprogramowanie o otwartych źródłach może stanowić potencjalną lukę systemu; trudno przewidzieć przyszłość oprogramowania nietworzonego komercyjnie
Cena: 1830 zł (SRP, dystrybutor: Alstor); roczna licencja WebWasher - 149 USD<hr size="1" noshade>
Skuteczna zapora ogniowa powinna mieć opcję filtracji zawartości. W przypadku SG565 usługa nie jest zintegrowana z urządzeniem i jest realizowana przez komercyjne rozwiązanie, wymagające subskrypcji. Oprogramowanie o nazwie WebWasher umożliwia filtrację spamu. Szkoda, że nie istnieje wbudowana opcja filtrowania podstawowych treści, bez konieczności dodatkowych wydatków. Także filtracja niechcianej poczty powinna zostać wbudowana w urządzenie jako jedna z podstawowych usług. Z drugiej strony jest to jedyna płatna usługa wykorzystywana przez SnapGear SG565. Warto podkreślić, że aktywna ochrona antyspamowa przyczynia się do zwiększenia ogólnych możliwości antywirusowych, dostępnych w urządzeniu.
SG565 oferuje skanowanie antywirusowe, wykorzystując darmowe oprogramowanie ClamAV.
Do realizacji ochrony antywirusowej użyto sprawdzonego darmowego oprogramowania ClamAV.
W konfiguracji SG565 pracuje ono jako brama antywirusowa dla usług STMP, POP3, HTTP, POP3. To dobry wybór, biorąc pod uwagę liczbę wdrożeń ClamAV w komercyjnych środowiskach oraz metodykę aktualizacji baz. W przeciwieństwie do większości podobnych urządzeń użytkownik nie musi płacić dodatkowo za wykorzystanie antywirusa, co jest dużą zaletą systemu.
Rozwiązanie obsługi VPN w SG565 można uznać za udane. Dostępne opcje VPN to klient i serwer PPPTP, klient i serwer L2TP, IPSec oraz tunelowanie portów. Wydajność wirtualnych sieci prywatnych obsługują sprzętowe układy akceleracji. Przepustowość przy wykorzystaniu połączeń VPN wynosi ponad 30 Mb/s. Prócz przewodowych możliwości tworzenia VPN ze zdalnymi użytkownikami oraz połączeń punkt-punkt, SG565 pozwala na użycie IPSec i PPTP VPN w sieci bezprzewodowej, co znakomicie podnosi bezpieczeństwo WLAN. Maksymalna łączna liczba tuneli jest ograniczona do 150. Pozwala na pełną obsługę oddziału firmy zdalnie przyłączającego się do centrali lub niewielkiego wdrożenia jako koncentratora połączeń VPN.
Konfiguracja interfejsów SnapGear SG565.
Rozwojowe urządzenie musi oferować system plików umożliwiający modyfikacje i kontrolowanie zmian. SG565 pozwala na utworzenie kopii i odzyskiwanie konfiguracji z pliku. Jest także możliwość generowania plików ze specjalnie spreparowanymi informacjami dotyczącymi systemu i konfiguracji, które będą pomocne przy wsparciu technicznym. Oczywistą rzeczą jest możliwość przeładowania konfiguracji, jej zapisu oraz aktualizacji oprogramowania.
Czy warto?
Ocena SnapGear SG565
Doświadczony administrator jest w stanie przy wykonaniu dużej pracy zapewnić podobną funkcjonalność, używając jako podstawy systemu Linux i darmowego oprogramowania. SnapGear, wykorzystując oprogramowanie open source (Linux, Snort, Squid i ClamAV), daje jednak coś więcej - dobry panel konfiguracyjny, łatwość zarządzania, bieżące automatyczne aktualizacje oraz wsparcie techniczne. Oczywiście wykorzystanie oprogramowania open source oprócz zalet ma i wadę - trudny do przewidzenia los oprogramowania, które nie jest tworzone komercyjnie. Użycie powszechnie dostępnego oprogramowania o otwartym kodzie źródłowym daje możliwość wykorzystania luk, jeszcze przed poznaniem sposobu obrony (zero days exploit). Mamy nadzieję, że Secure Computing będzie dbał o szybkie aktualizacje firmware.
SnapGear jest więc świetnym narzędziem dla wszystkich użytkowników, którzy nie mają czasu na wnikliwe studiowanie dokumentacji Linux, a potrzebują kompleksowego rozwiązania bezpiecznej bramy do Internetu. Zdecydowanie wyróżnia się na tle podobnych urządzeń dostępnych na rynku.