Dlouhodobý test hardwarového firewallu RoBox - 6. díl: Jak to tedy vlastně nakonec dopadlo

Firewally se dostávají do povědomí uživatelů stále více - internet expanduje a ochrana počítače je nezbytná. Softwarových firewallů jsou desítky, ne-li stovky, ale hardwarových? Jeden takový byl podroben testu. Jak si vedl, co lze od něj očekávat a kolik vlastně stojí?
  • 1. díl testu RoBOXu: co se vlastně skrývá v té krabičce?
  • 2. díl testu RoBoXu: zapojení, konfigurace, pro koho se hodí?
  • 3. díl testu RoBoXu: popis nejdůležitějších služeb a funkcí
  • 4. díl testu RoBoxu: jak si vede konkurence?
  • 5. díl testu RoBoXu: Testy, testy, testy
  • 6. díl testu RoBoXu: Jak to tedy vlastně nakonec dopadlo
  • Jak to tedy vlastně nakonec dopadlo

    A jak tedy dopadl RoBoX? Musím přiznat mírné zklamání, nikoli však nad RoBoXem, ale nad účastí testerů. Nejspíše byla důvodem nedostatečná motivace. Nakonec, pokud je firewall alespoň trochu dobře navržený, jako že GNAT Box je, pak realizace útoku, který má mít šanci na úspěch, vyžaduje mnoho času a energie a to je přesně to, čeho mají profesionálové málo. Každopádně příliš mnoho pokusů o průnik se neudálo, a tak mluvit o brutálním testu, který by dal firewallu "pořádně zabrat", opravdu nelze, ač jsem v to v duchu doufal. Řekněme tedy, že se nám podařilo otestovat RoBoX ve standardním provozu.

    Logy jsem analyzoval pomocí již zmíněného RnR (RportGen for Gnatbox ver 1.1.6), který umí jednoduše roztřídit, co na který port přišlo, odkud apod. Neumožňuje ale vyhodnocovat stavy firewallu ani reagovat na nahlášené události typu ALARM, NOTICE apod., natož pro ně vytvořit statistiku. To by měl umět GNAT Box Reporting Utility, ale ten se rozhodl držet bobříka mlčení a nevyzradil ani písmenko. Bohužel tedy nemohu prezentovat úchvatnou statistiku včetně rozboru, na kterou jsme se všichni jistě těšili. A bohužel není v lidských silách protřídit a komplexně vyhodnotit logy za týden. Přesto vás o základní informace neošidím.

    V logu se objevilo poměrně dost ALARMů (kdyby ne, tak bych se hodně divil a měl bych každopádně problém). Jedná se o záznamy od filtrů, které značí události nebezpečné, ukážeme si to na příkladu jednoho takového záznamu z konkrétního logu z druhého testu. Nicméně upozorňuji, že oproti modelové situaci výše se v tomto odstavci moc nového nedozvíte.

    May 7 09:49:19 192.168.190.20 FILTER: 16347 matches for 17: Deny warning ANY ALL alarm from ANY_IP to ANY_IP

    Tento záznam prozrazuje, že dne 7. května, v čase 09:49:19 přišlo na rozhraní firewallu s IP 192.168.190.20 něco ošklivého. Jednalo se o událost číslo 16347 od spuštění RoBoXu a vyhodnocoval ji filtr 17. Ten je nastaven tak, aby odmítl (deny) veškeré pakety, které sedí na jeho definici (každý, který se na něj dostane), a to pro všechna rozhraní RoBoXu (ANY – kterékoli z rozhraní, ALL – porty), ať již jsou směřována odkuďkoli kamkoli (pomocí Adresového objektu ANY_IP je zde ošetřen celý adresní rozsah IP v.4)
    FILTR 17: (viz obrázek) odchytává veškeré pakety, které neodchytl žádný z předchozích filtrů. Takové pakety tedy nutně nepatří mezi ty povolené.

    Dalším typem zpráv jsou tyto, které jsou obdobou předešlé, ale adresnější:
    May 7 17:06:35 192.168.190.20 FILTER: RAF (17) block - warning TCP [147.32.126.xxx:42413]->[147.230.190.20:12435] alarm sis1 l=0 f=0x2

    RAF zde značí typ filtru, který tuto zprávu generoval, zde Remote Acces Filter a opět číslo 17. Záznam praví, že pomocí TCP paketu zaslaného z IP adresy 147.32.126.xxx a konkrétního plikačního portu 42413 se někdo pokusil připojit na zakázaný port 12435 na vnějším rozhraní RoBoXu. Podle podezřele vysokého čísla cílového portu se jedná o jasný útok. Výjimkou by byla situace, kdy by na tomto portu byl Virtuální Crack, ale to by neřešil filtr 17. Další údaje prozrazují rozhraní, na něž paket přišel (sis1), a jeho délku (l=0).

    Pokud by některý z těchto paketů prošel, prozradil by ho záznam na cílovém stroji, což se nestalo.

    Co prozradily logy na jednotlivých strojích

    Stroj: Úkol stroje v testu: Logy: Popis:
    TOMB 192.168.191.21 počítač v PSN, sem mířil veškerý provoz, přes otevřené porty 80, 22 a 25 tomb_secure soubor s hlášeními od PAM, sshd a dalších interních bezpečnostních mechanismů Linuxu na stroji jménem Tomb. Další logy neobsahovaly žádné podstatné údaje (ve vztahu k testu)
    Jak vidno, není moc co analyzovat:-)
    Notebook 192.168.190.111 Notebook, kam byly ukládány záznamy zaslané prostřednictvím Remote logging z RoBoXu, na stroj nebyl zvenčí žádný přístup, pouze z PSN byl přístupný port pro syslog (TCP/514), DNS (TCP+UDP/53) apod. /var/log/robox_local0 Soubor s hlášeními od NAT na RoBoXu, tj. o každém spojení, které bylo puštěné dovnitř na jednom z povolených portů
    RnR nás obšťastnil takovýmito pěknými výpisy – Využití portů, Přijatá a odeslaná data v bajtech na každém z rozhraní, Výpis dění a Celkovou statistikou
    Notebook 192.168.190.111 Logovací notebook – tentokrát jiný datový soubor /var/log/messages jinak též robox_local2 Souhrn dění na síti, hlášení filtrů a dalších služeb RoBoXu. Odfiltroval jsem DNS pakety, které zabíraly 98.2% souboru. Z toho je zřejmé, že příliš útoků se nedělo. Bohužel.
    RnR o tomto logu mnoho nepoví, neboť neumí vyhodnotit ALARM, NOTICE a jiné události, které jsou pro nás podstatné. Protože nástroj, který by to měl umět, odmítl spolupráci, prošel jsem log ručně. Potud, pokud jsem log prozkoumal, nenalezl jsem žádný problém ani žádné zoufalé volání RoBoXu o pomoc. Jedinou výjimkou bylo hlášení o nenastaveném e-mailu, kam chtěl zaslat upozornění, protože jeden z testerů vytrvale bombardoval firewall pakety mířenými postupně na všechny porty (portscan), což je důvodem k upozornění správce. Jednou z možností, kromě zaslání varování a samozřejmě odmítnutí podobně nevkusných paketů, je i úplné zavření síťového rozhraní. Možností je však mnohem více.
    RoBoX 147.230.190.20 RoBoX je testovaný firewall, zvenku přístupný na IP adrese 147.230.190.20. Interni LOG RoBoXu Souhrn všech podstatných hlášení, zejména od filtrů. Maximálně 512 položek, což ovšem znamená, že jeden portscan (otestování odezvy velkého množství portů počítače) spolehlivě přemaže vše staré, neboť na rozdíl do logů posílaných ven se do interního logu píše každý záznam od každého filtru (ven se posílá výsledek za nějaký časový úsek, například že jsou skenovány porty od 3200 do 60000).
    Nemá tudíž smysl tento log analyzovat, protože RoBoX byl nastavený tak, aby filtry hlásily téměř vše. Tudíž se vše důležité velmi rychle přepsalo nedůležitými režijními pakety. V souboru, který je zde jako ukázka, pak jsou vidět především záznamy paketů, které si vyměňoval RoBoX s konfiguračním počítačem při administraci pomocí HTTPS protokolu.

    Závěrem

    RoBoX propustil skutečně jen to, co propustit měl, a zbytek odfiltroval. Odmítnuté a útočné pakety nahlásil do logů (poslední odstavec nad tímto). Dovoluji si tedy tvrdit, že tento test splnil výborně a píši RoBoXu prošel.

    Horší situace je s GB Report Utilitou, kterou se mi nepovedlo rozumně rozchodit tak, aby mi poskytla jakákoli přijatelná data. Když už přijmu, že potřebuje SQL databázi (v instalaci pro Windows je MySQL pro Windows) a bez ní odmítá fungovat, tak nemůžu přehlédnout naprosto nepoužitelné uživatelské rozhraní. Výsledky a kvalitu reportů nemohu posoudit, protože utilita sice data nasála dovnitř, ale ven už nevydala nic. Dle mého názoru má GTA ještě hodně co na GB reportu zlepšovat.

    RoBoX je velmi robustní a spolehlivý firewall. Po celou dobu testování (cca 5 neděl) jsem se nesetkal s jakoukoli nestabilitou ani problémem technického ani jiného funkčního rázu. Konfigurace je podle manuálu zvládnutelná, ale pro toho, kdo ji dělá poprvé, rozhodně není příjemná a automatická. Nicméně toto řeší prodejce hotline či přímo pracovníkem, který vše nastaví za zákazníka. RoBoX nabízí nadstandardní služby a konkurenci překonává obvykle i po výkonové stránce. Největší slabinou (na našem trhu) zůstává cena, ale zase za ni zákazník obdrží produkt pro 25 uživatelů. Software RoBoXu ctí uznávaná bezpečnostní pravidla a ani při konfiguraci nevystavuje chráněné sítě útokům, navíc disponuje funkcí pro kontrolu nastavení.

    Technické specifikace a parametry firewallu RoBoX GB - 25

    Max Concurrent Connections 10000
    Remote Acces Filters 100
    Outbound Filters 100
    Tunnels 100
    Aliases 25
    Static routes 100
    Static Maps 100
    Time Groups 100
    Pass Through Filters 100
    VPN Security Associations 100
    Objects 100
    URL Acces Lists 100
    DNS Domains 5
    MTBF 300 000hodin
    3x 10/100 Ethernet NICs
    1x RS 232 connector
    Rozměry 2,54x15,24x15,875
    Hmotnost 0,585 kg
    Orientační cena s DPH za RoBoX 25 35 000,- (995USD)

    + Stabilita
    + 2 oddělené chráněné sítě
    + Vlastní operační systém
    + Vzdálené logování
    + Žádné pohyblivé části
    + Snadný upgrade
    + Vzdálená správa
    + Malé rozměry - skladnost
    + Sériové rozhraní pro připojení konzole
    podpora PPP protokolu pro dial-ip a ISDN-TA
    + Dokonale tichý :-)
    - Složitá konfigurace
    - křížový UTP a sériový kabel by mohly být ceně
    - Jen skoro funkční analyzátor logů
    - 25 uživatelů může být málo
    - Cena, i když …

    Za zapůjčení děkuji firmě . Za umožnění testů Katedře Informatiky TUL a Cesnetu. Jmenovitě pak děkuji Davidu Kmochovi za trpělivost a cennou pomoc a Aleši Zítkovi za osvětlení mnoha technických otázek.

    • Nejčtenější

    Vyplatilo se Němcům opustit jádro? Studie odhaluje překvapivé zjištění

    Norská studie dokazuje, že masivní investice do obnovitelných zdrojů energie přinesly Německu v posledních 20 letech mnohem menší redukci emisí skleníkových plynů, než jakou by zajistily za výrazně...

    3. října 2024

    Palubní inženýr Concordu neměl za letu čas ani na jídlo. Práci mu vzal počítač

    Cesta z Londýna do New Yorku trvala letounu Condorde zhruba tři hodiny. Toto nadzvukové dopravní letadlo je dodnes považováno za vrchol civilní letecké dopravy, který už téměř 21 let známe jen jako...

    6. října 2024

    {NADPIS reklamního článku dlouhý přes dva řádky}

    {POPISEK reklamního článku, také dlouhý přes dva a možná dokonce až tři řádky, končící na tři tečky...}

    Parní lokomotiva, která nikdy nemohla přijet uhlím napřed

    Vedle parních lokomotiv „obyčejné“ konstrukce vznikaly také parní lokomotivy méně obvyklé, až vyloženě neortodoxní, kam patří i stroje systému Fairlie. Obousměrné lokomotivy Fairlie vypadají na první...

    30. září 2024

    Opravdu byste se před T. rexem neschovali ani v autě?

    Za poslední čtvrtstoletí se objevilo několik studií, které přišly s odhady konkrétní síly a tlaku, jimiž dokázal Tyrannosaurus rex působit na svoji kořist. Výsledky různých výzkumů se značně liší v...

    29. září 2024

    {NADPIS reklamního článku dlouhý přes dva řádky}

    {POPISEK reklamního článku, také dlouhý přes dva a možná dokonce až tři řádky, končící na tři tečky...}

    Umělá inteligence zvětšováním hloupne. Nesečte ani 47309068053 s 95464

    Premium

    Velké jazykové modely jsou už na webu k dispozici nějakou dobu. Spousta lidí si je zvykla používat každý den. Je však třeba dávat pozor. I ty nejlepší AI pořád selhávají při zdánlivě primitivních...

    3. října 2024

    Slunce umí i „táboráky“, ale největší překvapení připravilo letos, říká astronom

    Premium

    Díky družicím, které se přibližují k naší mateřské hvězdě, snad lidstvo jednou poodhalí největší záhadu sluneční fyziky: Proč je povrch Slunce chladnější než jeho atmosféra? Do té doby si ovšem s...

    6. října 2024

    Palubní inženýr Concordu neměl za letu čas ani na jídlo. Práci mu vzal počítač

    Cesta z Londýna do New Yorku trvala letounu Condorde zhruba tři hodiny. Toto nadzvukové dopravní letadlo je dodnes považováno za vrchol civilní letecké dopravy, který už téměř 21 let známe jen jako...

    6. října 2024

    Je Intel v koncích? Ždímá AMD akumulátor? Vyzkoušeli jsme nové procesory

    Vyzkoušeli jsme notebooky s nejnovějšími procesory AMD, Intel a Qualcomm. Víme, jaký výkon nabídnou, jak rychle vyždímají akumulátor a podle čeho si je máte vybrat a jaký skok představují oproti...

    5. října 2024

    Když selžou padáky, může SpaceX nově zachránit astronauty i díky motorům

    Kosmická loď Crew Dragon vozí astronauty na oběžnou dráhu a zpět už od roku 2020, ale přesto její vývoj nekončí. Nově může v případě nouzové situace využít své silné motory SuperDraco k bezpečnému...

    5. října 2024

    Akční letáky
    Akční letáky

    Prohlédněte si akční letáky všech obchodů hezky na jednom místě!

    Škoda odhalila nový elektromobil Elroq na Vltavě, ceny startují na 800 tisících

    Škoda představila v Praze, v reprezentativní budově Občanské plovárny, svůj nový elektromobil. Model Elroq je od...

    Vyplatilo se Němcům opustit jádro? Studie odhaluje překvapivé zjištění

    Norská studie dokazuje, že masivní investice do obnovitelných zdrojů energie přinesly Německu v posledních 20 letech...

    Sexy studentka je novou hvězdou Playboye. Nafotil ji SuperStar Miro Šmajda

    V létě vyhrála soutěž Hledáme Playmate 2024 a už má za sebou focení pro Playboy. Studentka Sandra Taškovičová (19) z...

    V dubnu zrušil asistovanou sebevraždu, nyní se Jan Kavalír dočkal dcery

    Bývalý fitness trenér Jan Kavalír (33) trpící neurosvalovým onemocněním ALS zrušil letos v dubnu asistovanou sebevraždu...

    Co dělá v žaludku studená kola a proč je lepší pít po jídle, líčí biochemička

    Premium Možná vás už napadlo, co se děje v našem žaludku, když se v něm potká jídlo s pitím. Nebo patříte k těm hloubavějším...