Łatanie muru

Po co atakować fortecę bronioną przez specjalistów w godzinach pracy, jeśli wystarczy zainteresować się notebookiem szefa wyniesionym do domu?

Po co atakować fortecę bronioną przez specjalistów w godzinach pracy, jeśli wystarczy zainteresować się notebookiem szefa wyniesionym do domu?

Opłacalność

Opłacalność

Coraz większa popularność komputerów przenośnych, połączeń bezprzewodowych i małych sieci domowych ułatwia zadanie włamywaczom. Wielu z nich skończyło z amatorszczyzną - całe grupy coraz lepiej wykształconych profesjonalistów biorą się za konstruowanie elektronicznych wspólników, atakujących coraz szerszym frontem i w coraz bardziej wyrafinowany sposób. Po co płacić ludziom, skoro sam szpiegowany zaniesie w swym notebooku konia trojańskiego na interesujące nas spotkanie, nieświadomie nagra całość przez mikrofon wbudowany w komputer, często jeszcze ozdobi obrazem i nie mając o tym pojęcia, wyśle pod wskazany adres z miejsca pozbawionego ochrony służbowego firewalla. Na przykład z małej sieci domowej, którą świeżo założył i teraz dumny udostępnia rodzinie i... włamywaczom. Włamywacze nie lubią się chwalić, więc nie znamy dokładnie statystyki ich osiągnięć. Niemniej jednak środki do realizacji szpiegowskiego scenariusza są już w ich zasięgu. A skoro jest miecz, trzeba się rozejrzeć za tarczą. Jednym z elementów obrony są sprzętowe zapory sieciowe. Nie chodzi o skomplikowane wersje przeznaczone do dużych korporacji, a raczej niewielkie i tanie urządzenia do ochrony jednego lub kilku komputerów. Operują dużo skromniejszym zasobem środków obrony, ale w wielu wypadkach wystarczającym.

Często nawet niewielka przeszkoda może zniechęcić napastnika, który ma wokół siebie bez liku w ogóle niezabezpieczonych komputerów.

Ocena końcowa

Ocena końcowa

Między atakującymi a broniącymi trwa wyścig technologiczny. Niedawno za wystarczające zabezpieczenie uchodziła translacja adresów IP. Dziś nawet nie wspomina się o ochronnej funkcji tej techniki. Od innych rodzajów ochrony zapory różnią się przede wszystkim lokalizacją. Umieszcza się je na granicy pomiędzy bezpieczną w założeniu siecią lokalną a światem zewnętrznym. Jeszcze niedawno za dobrą uważano zaporę posługującą się trzema metodami kontroli ruchu: filtrowaniem pakietów, sprawdzaniem interfejsu komunikacyjnego (serwer proxy) i inspekcją pełnostanową (Stateful Packet Inspection), która śledzi pakiety nie tylko na poziomie warstwy transportowej, ale i wyższych.

Parametry techniczne i wyniki testów

Parametry techniczne i wyniki testów

Zapory można konfigurować. Chodzi o sformułowanie reguł, które określą, jaki rodzaj ruchu zapora ma przepuszczać, a jaki zatrzymywać. Reguły mogą obejmować adresy IP, adresy sprzętowe MAC, nazwy domen, które w istocie są grupami adresów IP, długą listę protokołów (TCP, HTTP, pocztowy SMTP i wiele innych) i numery portów, zwykle związane z rodzajem protokołu, np. FTP zwykle korzysta z portu 21. Wreszcie możliwe jest sprawdzanie samej treści wewnątrz pakietu i tworzenie reguł dla określonych słów, rodzajów dołączanych plików i wszystkiego, co się da odczytać i sklasyfikować. Nowsze zapory pozwalają na tworzenie równie łatwo reguł dla ruchu kierowanego do wewnątrz i na zewnątrz bronionego obszaru. Czasem zadaniem zapory jest umożliwienie pobierania stron WWW czy FTP. Wtedy tworzy się tzw. strefę zdemilitaryzowaną (DMZ), którą stanowi komputer wystawiony poza bronioną strefę. W wypadku dzierżawionego numeru IP warto zabezpieczyć się przed skutkami jego zmiany i skorzystać z dynamicznego serwera nazw.

Zapory sprzętowe zazwyczaj są zintegrowane z przełącznikami. Taka hybryda powinna wystarczyć w niewielkiej sieci domowej i biurowej: wydajnie łączyć komputery wewnętrzne, udostępniać Internet i jeden globalny IP dla kilku lokalnych maszyn, wreszcie wykorzystywać tunele VPN do łączenia się z zaufanymi miejscami. Po reakcji producentów, zmianach w technologii wytwarzania i wykorzystywaniu coraz bardziej wyspecjalizowanych układów widać, że połączenie obu funkcji sieciowych w jednej obudowie spotkało się z uznaniem użytkowników. Najwięcej kłopotów mają z prawidłową konfiguracją urządzeń. Reguły gotowe w momencie nagrywania krążka mogą się szybko zdezaktualizować, więc nie tędy droga. Wskazana jest pomoc z Internetu, tak jak w wypadku wirusów. Cerberian Data Center (www.cerberian.com), które współtworzy firma ZyXEL, to prawdopodobnie pierwsza witryna udzielająca podobnej pomocy.

ZyXEL Prestige 660HW-31

Prestige 660HW-31 wyprzedził konkurentów o ułamek punktu.

Wśród nadesłanych modeli 660HW-31 zalicza się do wyjątków pozbawionych wejścia ethernetowego. To ogranicza jego zastosowanie do grupy użytkowników bezpośrednio łączących się z Internetem przez niesymetryczny DSL.

Rezerwy gotowe

Nie jest to zwykła wersja standardu, ale 2+. Może pobierać do 24 Mb na sekundę i wysyłać 3,5 Mb. Dzięki temu przetrwa niejedną modernizację krajowych sieci.

Urządzenie jest zbudowane z elementów renomowanych firm, układów Texas Instruments i pamięci Winbonda. Oficjalnie wyjście bezprzewodowe obsługuje standard 54 Mb/s, chociaż chipset jest gotów do transmisji dwukrotnie szybszej. Poza łatwym do rozszyfrowania systemem WEP mamy także nowszy i bezpieczniejszy WPA. Możliwe jest również potwierdzenie tożsamości przez system RADIUS.

Do urządzenia można podłączyć do czterech komputerów sieci wewnętrznej, z których jeden, spięty z wybranym gniazdkiem, tzw. DMZ, może mieć inne reguły dostępu. Do dyspozycji jest dynamiczny DNS, który zmniejsza niedogodności korzystania ze zmiennego numeru IP. Do trybu passthrough ograniczono asortyment tuneli VPN.

W zgodzie z wymogami bezpieczeństwa konfigurację zapory rozpoczyna się od stanu maksymalnie zamkniętego. Arsenał blokad jest obszerny, można je ustawiać nawet spoza sieci lokalnej albo wczytując przygotowany przez eksperta plik z zestawem opcji.

Informacje Scientific, tel. (22) 6448558

http://www.scientific.com.pl

Cena 692 zł

Linksys WRV54G

Konstruktorzy przewidują wspomaganie przez Norton Personal Firewall.

Linksys przegrał z najlepszym modelem w teście o dziesiątą część punktu. Gdyby oceniać elegancję i funkcjonalność obudowy, kolejność mogłaby być odwrotna.

Do użytku wewnętrznego

Zgodnie z zapowiedzią na opakowaniu, Linksys okazał się głównie szerokopasmowym przełącznikiem z rozbudowaną obsługą do 50 tuneli VPN.

Zapora nie jest zła, ale brakuje jej tak ważnych funkcji, jak filtrowanie wychodzących pakietów czy automatyczne prowadzenie czarnej listy komputerów, które wysyłają podejrzane sygnały.

Prawidłowe skonfigurowanie zapory nie jest proste, nie ułatwia go wyjątkowo lakoniczna instrukcja, w dodatku napisana w obcym języku. Pomysł uzupełnienia działania urządzenia o program Personal Firewall Symanteca należy pochwalić, szkoda tylko, że próbna wersja pracuje jedynie przez dwa miesiące.

Internet może być dostarczony tylko przez złącze Ethernet. Po wewnętrznej stronie zapory są do dyspozycji cztery gniazdka tego samego typu - jednego można używać jako DMZ. Jest jeszcze sieć bezprzewodowa, chroniona tylko łatwiejszym do podsłuchu i złamania szyfrem WEP z maksymalnie 128-bitowym kluczem.

Urządzenie można konfigurować przez wbudowaną stronę WWW, równie łatwo dostępną przez przewody, jak i łączność radiową. To wyjątkowo szeroka dziura w zabezpieczeniach. Na pochwałę zasługuje trzyletnia gwarancja.

Informacje FEN, tel. (61) 8468700

http://www.fen.pl

Cena 830 zł


Zobacz również