1. Strona główna
  2. Wiadomości

Wielki test UTM dla przedsiębiorstw cz. 2

  • Józef Muszyński,
  • Joel Snyder,

ASA5540 z IPS SSM-20

Administratorom sieci zamierzającym łączyć IPSec VPN i NAC, Check Point zapewnia pakiet zabezpieczeń punktów końcowych sieci - Integrity Clientless Security, który jest całkowicie zintegrowany z IPSec VPN. Ponadto Check Point zapewnia tzw. visitor mode, tryb tunelujący ruch VPN przez port 443 TCP.

ASA5540 z IPS SSM-20

Producent: Cisco (www.cisco.com)

Zalety: Silne funkcje zarządzania Cisco Security Manager; bardzo elastyczne opcje translacji adresów sieciowych; wielopoziomowy IPS.

Wady: Brak mechanizmów sieciowych o jakości charakteryzującej produkty Cisco, takich jak dynamiczny routing; niewygodne niektóre funkcje zarządzania; pokrycie funkcji IPS mniejsze od oczekiwań.

Cena: 25 tys. USD za sprzęt; 15 tys. USD za zarządzanie.

* Cena obejmuje dwie instancje sprzętowe, wymagane do testowania funkcji HA

Funkcjonalność VPN zapewniana przez Cisco, wywodząca się z popularnego koncentratora VPN Cisco serii 3000, jest rozwinięta również w ASA 5540.

Skuteczność skanowania antywirusowego Większość testowanych UTM może skanować poszczególne aplikacje jedynie na standardowych portach. Testowano trzy aplikacje (SMTP, FTP, HTTP) na czterech portach, a niestandardowe porty nie były uwzględniane w większości produktów - SonicWall i WatchGuard to wyjątki, z tym że proxy WatchGuard nie może skanować FTP. Jednak nawet przy typowych portach ponad połowa testowanych zapór przepuściła znaczącą liczbę wirusów.

Chociaż Check Point ma pewną przewagę nad zdalnym dostępem Cisco w kilku detalach, takich jak połączenia przez wiele punktów wejściowych i mechanizm zapory ogniowej związane z użytkownikiem, większość zarządców sieci powinna być zadowolona również z możliwości zdalnego dostępu zapewnianych przez Cisco.

Możliwości zdalnego dostępu VPN zapewniane przez ScreenOS zawsze były "brakującym ogniwem" systemu zabezpieczeń Junipera. Można mieć nadzieję, że firma włączy do ScreenOS technologię SSL VPN nabytą w wyniku przejęcia Neoteris.

Na razie, jeżeli poszukuje się zdalnego dostępu VPN w rozwiązaniach Juniper, to nie należy szukać go w ScreenOS.

Trzy urządzenia biorące udział w testach - Astaro ASG 425a, Fortigate 3600A i SonicWall PRO 5060 - mają dołączone możliwości SSL VPN. Są one jednak przeznaczone raczej dla MSP - nie mają sterowania i zakresu konfigurowania Check Point czy Cisco, ale pozwalają na uzyskanie zdalnego dostępu i pracują wystarczająco szybko i efektywnie.

IBM/ISS Proventia MX5010, Secure Computing Sidewinder 2150D i WatchGuard Firebox X8500e wykorzystują do zdalnego dostępu IPSec VPN w stylu z końca lat 90. Żaden rozsądnie myślący administrator sieci nie zechce rozwijać VPN klasy przedsiębiorstwa na tego typu konfiguracji. Wydaje się, że zrozumiał to WatchGuard, ponieważ dopuszcza nie więcej niż 50 klientów dla swojego urządzenia.

W UTM klasy enterprise nie ma miejsca na AV

C25

Testy wykazały, że antywirus wyjątkowo drenuje wydajność UTM. Biorąc to pod uwagę, praktycznie nie ma sporu, czy oprogramowanie antywirusowe jest dobrym pomysłem w zaporach ogniowych UTM, czy też nie.
C25

Producent: Crossbeam Systems (www.crossbeamsystems.com)

Zalety: Wysoka wydajność w trybie zapory ogniowej; duża liczba portów.

Wady: Secure Platform ograniczona w funkcjonalności wymaganej dla wdrożeń w przedsiębiorstwach; słaba wydajność przy włączonych funkcjach antywirusowych.

Cena: 48 tys. USD za sprzęt; 45 tys. USD za oprogramowanie; 6 tys. za zarządzanie.

* Cena obejmuje dwie instancje sprzętowe, wymagane do testowania funkcji HA

Wielu specjalistów uważa, że oprogramowanie ochrony antywirusowej nie ma znaczenia dla wdrożeń zapór ogniowych UTM, ponieważ desktopowe aplikacje antywirusowe i urządzenia ochrony poczty elektronicznej wykonują już zadanie skanowania antywirusowego dostatecznie dobrze. Są jednak tacy, którzy uważają, że umieszczenie antywirusa w UTM ma wiele zalet, ponieważ daje dodatkową możliwość blokowania wirusów w innych miejscach sieci.

Przeprowadzone testy wydają się potwierdzać pierwszy pogląd. Zaobserwowano nie tylko niepokojące problemy wydajnościowe po włączeniu skanowania antywirusowego w jakimkolwiek UTM, ale także fakt, iż UTM niespecjalnie dobrze wykonują to zadanie.

System x3650 z oprogramowaniem Check Point Secure Platform

Testy rozpoczęto zdając sobie sprawę, że większość dostawców zakłada, iż skanowanie antywirusowe w UTM jest użyteczne w sektorze MSP, ale już niekoniecznie przy wdrożeniach zapór ogniowych przedsiębiorstwa pracujących z gigabitową przepustowością. Spotkano się z wadami implementacji, a także błędami i głęboko ukrytymi mechanizmami, które okazały się niezbędne, aby skanowanie antywirusowe pracowało poprawnie.

System x3650 z oprogramowaniem Check Point Secure Platform

Producent: IBM (www.ibm.com)

Zalety: Dobra wydajność zapory ogniowej; łatwa instalacja z Secure Platform.

Wady: Secure Platform ograniczona w funkcjonalności wymaganej dla wdrożeń w przedsiębiorstwach.

Cena: 13 tys. USD za sprzęt; 49,5 tys. USD za oprogramowanie; 6 tys. USD za zarządzanie.

* Cena obejmuje dwie instancje sprzętowe, wymagane do testowania

Niewielu z uczestniczących w testach dostawców poważnie traktuje oprogramowanie antywirusowe. Niektórzy nawet nie włączają takiej opcji do urządzeń z górnej półki. Na przykład Juniper ISG-1000 stawia użytkownika przed koniecznością wyboru pomiędzy ochroną antywirusową a IPS. Cisco ASA5540 nie zapewnia natomiast żadnej opcji antywirusowej.

Niektórzy dostawcy dają jednak szansę funkcjom AV. Secure Computing Sidewinder zapewnia zarządcom sieci ścisłą kontrolę nad parametrami skanowania antywirusowego. Dla każdej reguły, która dopuszcza przez zaporę ogniową ruch obsługujący protokoły HTTP, FTP i SMTP, można specyfikować zakres skanowania.

Sidewinder uzyskał wysoką punktację za blokowanie wirusów w ruchu FTP, SMTP i HTTP. Aczkolwiek, kiedy próbowano wysyłać wirusy przez zaporę używając niestandardowego portu HTTP, Sidewinder nie wykrył żadnego z nich. Skanowanie wykonywane jest umiarkowanym kosztem wydajności, niemniej przy włączonym skanerze antywirusowym przepustowość Sidewinder 2150D spada o 50%.