Hardwarový všelék na bezpečnostní problémy

Hardwarová bezpečnostní řešení typu UTM (Unified Threat Management) budí mezi zákazníky stále větší zájem především pro jednoduchost nasazení a správu, které z nich činí systémy ideální především pro prostředí malých a středních firem nebo pro zabezpečení firemních poboček.

Lákadlo rostoucího trhu nemohlo nechat chladnou ani společnost Check Point, která si již získala dobrou pověst na poli bezpečnostního softwaru pro firemní zákazníky. Doposud byly její technologie v podobě hardwarových řešení typu appliance byly dostupné jen prostřednictvím nabídky partnerských firem (Nokia, Crossbeam). Teprve v letošním roce se i sám Check Point odhodlal ke vstupu na trh hardwarových zařízení, když představila své produkty s všeříkajícím označením UTM-1. A jak jsme se měli možnost přesvědčit, byl to krok úspěšný a výrobce se může směle postavit čelem i konkurentům zvučných jmen.

Vše v jednom

Základními stavebními kameny bezpečnostní hradby UTM-1 jsou firewall, VPN, SmartDefense IPS, antispyware, antivirus a konečně webový (URL) filtr. Podle požadavků je k dispozici také řada doplňků, především webový aplikační firewall (Web Intelligence) či nástroj pro QoS a správu šířky pásma (FloodGate-1). Produkty typu UTM je obecně vhodné nasazovat v redundantní konfiguraci, neboť pokud dojde k jakékoliv poruše, mohla by firma zůstat bez jakékoliv ochrany. Základní možností je zde nasazení dvou zařízení v režimu aktivní/pasivní, kdy jedno zařízení zvládá celou zátěž a druhé je v pasivním režimu zapojeno jako záložní. Volitelný doplněk ClusterXL pak dovoluje nasazení dvou (či více) zařízení v clusteru pro zajištění vysoké dostupnosti, kdy je zátěž rozdělována mezi obě (všechny) appliance.

Název Check Point UTM-1 zahrnuje tři různé verze tohoto zařízení, které nesou modelová označení UTM-1 450, UTM-1 1050 a UTM-1 2050 a na první pohled vypadají v běžném rackovém 1U šasi velmi podobně. Bližší pohled potvrdí, že funkčně jsou naprosto shodné, přičemž základní rozdíl plyne především z různého výkonu, který výrobce uvádí ve svých specifikacích. Ten v případě modelu UTM-1 450, který jsme měli k dispozici pro bližší seznámení my, začíná u propustnosti firewallu 400 Mb/s a propustnosti VPN 190 Mb/s, přičemž appliance disponuje čtveřicí ethernetových portů typu 10/100/1000.

Zbylé dva modely pak nabízejí firewall s výkonem 1, resp. 2 Gb/s a VPN s propustností 250 nebo 400 Mb/s. Kromě toho pak navíc obsahují další čtyři rozhraní pro Ethernet 10/100. Od těchto hodnot se odvíjí také doporučený počet uživatelů, které je jedno zařízení schopno obsloužit – konkrétně pro naši „čtyřistapadesátku“ je to 250, ve vyšších konfiguracích 500 a 1 000 uživatelů.

Prostředky a výkon

Jak bylo řečeno, UTM-1 je hardwarové řešení založené na známých a osvědčených softwarových technologiích Check Pointu, s nimiž si už výrobce na trhu bezpečnostních systémů udělal velmi dobré jméno. Dobrou zprávou tedy je, že nová appliance poskytuje veškeré možnosti, které obsahuje funkcemi nabitý software výrobce.

Základem je zmíněný firewall v kombinaci s VPN umožňující propojení dvou lokalit či vzdálený přístup (dostupná je i funkce SSL VPN). Za zmínku stojí, že samotné UTM-1 může vystupovat v roli certifikační autority, což je v praxi velmi užitečné. Webový (URL) filtr používá vlastní databázi Check Pointu a samozřejmostí je možnost kontroly protokolů VoIP nebo P2P aplikací. Funkce antimalwaru a antispywaru využívají pro zvýšení spolehlivosti také nástroje třetích stran.

Služby Smart Defense Services zajišťují aktualizaci IPS, antiviru a webového filtru v reálném čase (pochopitelně v rámci ročního poplatku).
Při počáteční instalaci produktu jsou k dispozici průvodci, kteří celý proces výrazně zjednoduší. Správu zařízení lze provádět z přehledného webového rozhraní, kde můžete konfigurovat systémová a síťová nastavení či zálohování a obnovu atd.

Pro ovládání bezpečnostních funkcí a tvorbu politik je k dispozici konzole SmartDashboard, která bude povědomá správcům obeznámeným se systémy Check Pointu. Všichni zákazníci nicméně mohou těžit z faktu, že poskytuje jednotné rozhraní pro všechny bezpečnostní nástroje dostupné v UTM-1, což je jednou z klíčových konkurenčních výhod tohoto zařízení.


Multifunkční bezpečnostní zařízení Check Point UTM-1 nabízí spolehlivou ochranu v hardwarovém kabátě.

Je samozřejmé, že při šíři možností, jež produkt poskytuje, není práce s uživatelským rozhraním úplně triviální, celkově je však navržena maximálně efektivně. Zásadní výhodou je také volitelná možnost integrované správy z jediného rozhraní bez nutnosti použití externího serveru při nasazení více UTM jednotek.

Za zmínku stojí prostředky pro obnovení tovární konfigurace v případě havárie apod. Kromě možnosti obnovy přímo z webového rozhraní je totiž k dispozici také USB port, do nějž lze jednoduše zasunout výrobcem dodávaný USB klíč a přímo z něj po rebootu UTM provést obnovu zpět na tovární nastavení. Třetí možností je obnova pomocí hyperterminálové konzole.

UTM-1 pracuje při trošku vyšší hladině hluku, to však nebude směrodatné, pokud bude nasazeno v serverové místnosti mimo pracoviště správců.
Jestliže z hlediska softwarové výbavy představuje UTM-1 ověřenou robustní platformu, je rozhodující kvalita hardwarového řešení, založeného na x86 platformě Intel. Po této stránce UTM-1 nezklamalo, ale nutno dodat, že se nekoná ani žádný zázrak. Při hodnocení se opíráme o zátěžové testy našeho sesterského časopisu Networkworld, které byly provedeny při generování HTTP provozu a měření výkonu pomocí produktů Spirent WebAvalanche a WebReflector.

Jestliže bylo zařízení nasazeno jako firewall bez aktivace dalších funkcí, blížila se jeho skutečná propustnost, která činila 389 Mb/s, uváděné hodnotě 400 Mb/s, což je zanedbatelný rozdíl. Prakticky k žádné degradaci výkonu nedošlo ani po spuštění doplňkových funkcí UTM v defaultním nastavení, ačkoliv ta představují spíše nižší úroveň ochrany.

Po zapnutí prostředků webové klientské ochrany (Smart Defense IPS) pro detekci a filtrování útoků zaměřených na prohlížeč však propustnost rázem klesla až na 37 Mb/s a ještě níže se dostala při spuštění všech ochran IPS. Podobně tomu bylo při zapnutí antiviru, ať už v kombinaci s IPS nebo bez něj.

Záleží pochopitelně na tom, jakou úroveň zabezpečení budete vyžadovat – jak ale plyne z testování, které Networkworld dlouhodobě provádí, je běžné, že při přísnějších požadavcích, tedy po aktivaci více ochranných funkcí při aplikaci vysoce restriktivních politik výkon UTM systému klesne až o 90 %. Běžně lze však počítat zhruba s 50% poklesem výkonu oproti uváděné propustnosti. V těchto ohledech nicméně UTM-1 od Check Pointu není žádnou černou ovcí tohoto trhu, jeho výkon odpovídá běžným standardům.

Dobrý dojem

Na závěr lze říci, že výsledný dojem, který na nás zařízení Check Point UTM-1 udělalo, byl velmi dobrý. Faktem je, že po výkonnostní stránce testy nepřinesly žádné velké překvapení, nicméně dosažené výsledky neklesly pod reálná očekávání.

Není bez zajímavosti, že cena UTM-1 450 je vlastně totožná s cenou softwarového produktu pro 250 uživatelů. Z toho plyne, že hardwarové řešení (které je takto vlastně zdarma) vyvažuje svá výkonnostní omezení faktem, že může chránit teoreticky i větší počet pracovníků firmy – aniž byste na rozdíl od softwaru byli nuceni připlácet za další licence. To se však vyplatí samozřejmě spíše příležitostně, neboť doporučený počet uživatelů, ačkoliv není závazný má své opodstatnění především v zachování přijatelného výkonu.

Je třeba vyzdvihnout výhody, které výrobce poskytuje zejména v oblasti správy. Z tohoto pohledu je UTM-1 nabídkou více než zajímavou a výrobce se může směle ucházet o přízeň zákazníků, kteří hledají relativně snadno aplikovatelný „všelék“ na své bezpečnostní potíže.

Check Point UTM-1 + spolehlivé bezpečnostní funkce, jednotná a snadná správa, snadné nasazení - nepříliš vysoký výkon Prodejce: Check Point, www.checkpoint.cz Cena: 7 500 dolarů (UTM-1 450), 12 500 dolarů (UTM-1 1050), 15 500 dolarů (UTM-1 2050), roční realtimová aktualizace bezpečnostní služeb SmartDefence Services plus content Inspection 2 200 dolarů (UTM-1 450), 3 300 dolarů (UTM-1 1050), 3 900 dolarů (UTM-1 2050)