Pierwszym krokiem przy wprowadzaniu zabezpieczeń w systemach firmowych jest wybór rozwiązania, które będzie pilnowało styku z Internetem. O ile jednak średnie czy duże organizacje mogą przebierać w rozmaitych produktach, o tyle mniejsze musza kontrolować wydatki. A te, w których IT jest jedynie centrum kosztów, z pewnością nie będą chciały od razu inwestować w drogie, renomowane rozwiązania. Dlatego też postanowiliśmy przyjrzeć się propozycjom open source, które byłyby w stanie zrealizować funkcje korporacyjnej bramy, a przy tym nie zrujnować kieszeni mniejszych organizacji.

Co powinno się znaleźć w nowoczesnej bramie ALL-IN-ONE ?

Z pewnością jej trzon stanowi zapora ogniowa. Obecnie firewalle bez kontroli stanów, czyli zwykłe filtry pakietów, nie są już alternatywą. Zapora ogniowa powinna więc przynajmniej „widzieć” stan konwersacji, umożliwiać filtrowanie oparte na typowych protokołach. Dobrze jest, jeżeli potrafi patrzeć ponad warstwą 3 i 4 OSI oraz rozumieć najpowszechniejsze protokoły aplikacyjne, np. http, smtp, pop3, ftp. To ostatnie zadanie nie musi być realizowane bezpośrednio przez moduł zapory, ale wśród funkcji nie powinno go zabraknąć.

Z reguły z firewallem w parze idzie IPS. Jako, że UTM musi pogodzić wiele funkcji , nie należy oczekiwać od niego wyszukanych mechanizmów heurystycznych czyli kontroli setek protokołów. Po IPS-ie można za to spodziewać się obecności mechanizmów, które pozwolą skutecznie odeprzeć najczęstsze ataki, np. spoofing, proste MITM czy ataki wymierzone przeciwko klasycznym już podatnościom (Nmda, Code Red). Nie zaszkodzi też, jeżeli UTM umożliwi tworzenie własnych sygnatur ataków. Z pewnością nie może także zabraknąć ochrony antywirusowej pobieranych treści. Podobnie więc jak IPS, także antywirus powinien wiedzieć, gdzie szukać kodu złośliwego w SMTP czy http, a także pozwalać na rozpakowanie i przeskanowanie archiwów. Do tego szukajmy ochrony przed SPAM-em – najlepiej integrującej się z dobrymi RBL-ami.

Skoro wszystko ma być w jednym, to należy też oczekiwać funkcji VPN. Dobrze, jeżeli jest to zarówno SSL, jak i IPSec VPN – to pozwoli na nawiązanie połączenia z firmą w zasadzie z dowolnego miejsca. Cała reszta to przydatne dodatki – możemy więc mieć na przykład serwer Proxy (także transparentne) czy moduł filtrowania treści z co najmniej kilkunastoma kategoriami stron. Jak pokazały nasze testy, na tym możliwości opensource’owych UTM-ów się nie kończą.

WIELKA TRÓJKA

Każdy testowany produkt łączy wiele cech wspólnych – zarówno technologicznych, jak i marketingowych. Trzonem każdego jest Linux. Zestaw podstawowych funkcji realizowanych jest z wykorzystaniem dobrze znanych narzędzi open source (np. Snort, Squid, ClamAV, OpenVPN). Wszyscy twórcy rozwinęli linie produktową i oprócz wersji bezpłatnych utrzymują także komercyjne. Od darmowych braci odróżnia je przede wszystkim oficjalne wsparcie oraz dodatkowe funkcje, do których realizacji zaprzęgnięto komercyjne narzędzia (np. Kaspersky w przypadku Untangle czy Sophos w Endianie), a pojawiają się też urządzenia. Pomimo tego merkantylizmu, niesprawiedliwe byłoby powiedzenie, że mamy do czynienia z narzędziami drogimi.

Produkt	Funkcja	Oparte na
Untangle	Antywirus/Antyphishing/Antyspyware	ClamAV
	Antyspam	Spam Assasin
	Anty Adware	AdBlock Plus
	QoS	Untangle
	IPS	SNORT
	VPN	OpenVPN
Vyatta	Proxy	Squid
	IPS	SNORT (w wersji płatnej aktualizacja reguł z Sourcefire VRT)
	VPN	OpenVPN
Endian	VPN	OpenVPN
	Proxy	SQUID
	Antywirus	ClamAV
	IPS	Snort

Wybrane funkcje produktów i zastosowanie rozwiązania open source

VYATTA MOCARZ

O ile Untangle jest bardzo prostym w obsłudze systemem, o tyle pierwsze zetknięcie z Vyattą (www.vyatta.pl) może wywołać lekkie przerażenie. Podobnie jak Untangle, oparty jest na Debianie, ale podejście twórców jest zupełnie inne. Jest to narzędzie zdecydowanie skierowane do osób wiedzących co robią, a którym przy okazji nie przeszkadza praca z linią poleceń. Domyślnie bowiem GUI zostało wyłączone, co autorzy tłumaczą względami bezpieczeństwa. Na szczęście jednak poruszanie się w CLI nie jest trudne. W Vyatta jest kilka mechanizmów ułatwiających pracę z CLI, np. dokańczanie poleceń, składnia zbliżona do konfiguracji popularnych urządzeń sieciowych (np. przełączników Cisco), pomoc do każdego z poleceń.

Jeżeli jednak zdecydujemy się na aktywowanie GUI, to jest ono dostępne poprzez przeglądarkę (w trybie configure polecenie set service https, a następnie commit). Jeżeli trzeba byłoby określić je jednym słowem to najfajniejszym będzie „asceza” – zwłaszcza w porównaniu z Untangle. Nie ma tu żadnych wodotrysków. Za to działa szybko i pozwala na precyzyjne strojenie każdego parametru systemu. Niektórzy (w tym autor) wolą jednak korzystać z CLI.

Vyatta z pewnością nie jest kombajnem do wszystkiego, nie jest również dla każdego. W wersji bezpłatnej (Core) mamy do dyspozycji dobry router (z obsługą OSPF czy BGP), pełno stanowy firewall z funkcjami NAT, serwer DHCP, serwer proxy z funkcjami kontroli treści, koncentrator VPN (IPSec i SSL) czy Load Balancer dla wielu interfejsów WAN. Za pomocą Vyatty możemy również tworzyć VLAN-y, wykonywać bonding interfejsów. Możliwości jest naprawdę wiele. Nie ma jednak kreatorów, które przeprowadzą przez konkretne zadania. Autorzy Vyatty starają się plasować swoje rozwiązanie jako bezpośrednią konkurencję Cisco, i to zarówno w obszarze routerów, jak i zapór (ASA). Na pewno cenowo wypadają korzystniej. Co do funkcjonalności – cóż, wszystko zależy od gustów. Jeżeli darmowa wersja Core nie jest wystarczająca (chodzi przede wszystkim o wsparcie), możemy dokupić trzy pakiety subskrypcji SE (Pro, Enterprise, Premium) i do każdego dodać jeszcze Plus. Ten ostatni to sygnatury IPS Sourcefire i rozbudowany moduł Web Filtering. Licencjonowana jest liczba core’ów procesora. Dla przykładu subskrypcja SE na 1-2 core’ów, to wydatek ok. 1200 USD – w sumie dość rozsądnie.

Co do instalacji, to przebiega ona w całości w środowisku tekstowym i jest dość dobrze sparametryzowana. Istotną zaletą tego produktu jest możliwość pobrania obrazów ISO do instalacji na konkretnych platformach, np. uniwersalny LiveCD, szablon do VMware EXS 3 i 4 szablon do Citrix XEN. Nie jest to też narzędzie łase na zasoby – wymagania sprzętowe Vyatty są znacznie mniejsze, niż Untangle. W zupełności wystarczy PIV z 1 GB RAM-u.

Po zainstalowaniu Vyatty pierwszym krokiem jest konfiguracja interfejsów „z palca”. Potem napięcie rośnie… Liczba parametrów jest pokaźna i nie sposób ich wszystkich krótko opisać.

Jeżeli nie chcemy wydawać pieniędzy, a szukamy wsparcia, to mamy kilka możliwości. Możemy skorzystać z dokumentacji zawierającej parametry wszystkich poleceń CLI. Możemy też odwiedzić forum (www.vyatta.org/forum). Mamy także bloga (www.aleinwand.blogspot.com), który w zasadzie w całości poświęcony jest Vyatta. Martwi jedynie, że ostatni wpis pochodzi prawie sprzed roku. Jest wreszcie lista różnych miejsc w sieci, które opisują liczne warianty konfiguracyjne (www.vyatta.org/community/reading-room).

WNIOSKI

Podsumowując: znalezienie dobrej bramy dla niewielkiej firmy wcale nie musi wiązać się z wydatkiem kilkudziesięciu tysięcy złotych. Wystarczy trochę odwagi i wiary w produkty open source.

Jeżeli szukamy produktu Plug and Play, a osoba nim zarządzająca nie jest specjalistą lub nie będzie miała czasu na dokładną konfigurację, to Untangle jest z pewnością godny polecenia. Osoby poszukujące szczegółowości i pełnej kontroli nad parametrami warto zainteresować Vyattą – ma ona wiele wspólnego z profesjonalnymi produktami i nie jest typowym UTM-em.

Źródło: Networld 11/2010