Jak to tedy vlastně nakonec dopadlo
A jak tedy dopadl RoBoX? Musím přiznat mírné zklamání, nikoli však nad RoBoXem, ale nad účastí testerů. Nejspíše byla důvodem nedostatečná motivace. Nakonec, pokud je firewall alespoň trochu dobře navržený, jako že GNAT Box je, pak realizace útoku, který má mít šanci na úspěch, vyžaduje mnoho času a energie a to je přesně to, čeho mají profesionálové málo. Každopádně příliš mnoho pokusů o průnik se neudálo, a tak mluvit o brutálním testu, který by dal firewallu "pořádně zabrat", opravdu nelze, ač jsem v to v duchu doufal. Řekněme tedy, že se nám podařilo otestovat RoBoX ve standardním provozu.
Logy jsem analyzoval pomocí již zmíněného RnR (RportGen for Gnatbox ver 1.1.6), který umí jednoduše roztřídit, co na který port přišlo, odkud apod. Neumožňuje ale vyhodnocovat stavy firewallu ani reagovat na nahlášené události typu ALARM, NOTICE apod., natož pro ně vytvořit statistiku. To by měl umět GNAT Box Reporting Utility, ale ten se rozhodl držet bobříka mlčení a nevyzradil ani písmenko. Bohužel tedy nemohu prezentovat úchvatnou statistiku včetně rozboru, na kterou jsme se všichni jistě těšili. A bohužel není v lidských silách protřídit a komplexně vyhodnotit logy za týden. Přesto vás o základní informace neošidím.
V logu se objevilo poměrně dost ALARMů (kdyby ne, tak bych se hodně divil a měl bych každopádně problém). Jedná se o záznamy od filtrů, které značí události nebezpečné, ukážeme si to na příkladu jednoho takového záznamu z konkrétního logu z druhého testu. Nicméně upozorňuji, že oproti modelové situaci výše se v tomto odstavci moc nového nedozvíte.
May 7 09:49:19 192.168.190.20 FILTER: 16347 matches for 17: Deny warning ANY ALL alarm from ANY_IP to ANY_IP
Tento záznam prozrazuje, že dne 7. května, v čase 09:49:19 přišlo na rozhraní firewallu s IP 192.168.190.20 něco ošklivého. Jednalo se o událost číslo 16347 od spuštění RoBoXu a vyhodnocoval ji filtr 17. Ten je nastaven tak, aby odmítl (deny) veškeré pakety, které sedí na jeho definici (každý, který se na něj dostane), a to pro všechna rozhraní RoBoXu (ANY – kterékoli z rozhraní, ALL – porty), ať již jsou směřována odkuďkoli kamkoli (pomocí Adresového objektu ANY_IP je zde ošetřen celý adresní rozsah IP v.4)
FILTR 17: (viz obrázek) odchytává veškeré pakety, které neodchytl žádný z předchozích filtrů. Takové pakety tedy nutně nepatří mezi ty povolené.
Dalším typem zpráv jsou tyto, které jsou obdobou předešlé, ale adresnější:
May 7 17:06:35 192.168.190.20 FILTER: RAF (17) block - warning TCP [147.32.126.xxx:42413]->[147.230.190.20:12435] alarm sis1 l=0 f=0x2
RAF zde značí typ filtru, který tuto zprávu generoval, zde Remote Acces Filter a opět číslo 17. Záznam praví, že pomocí TCP paketu zaslaného z IP adresy 147.32.126.xxx a konkrétního plikačního portu 42413 se někdo pokusil připojit na zakázaný port 12435 na vnějším rozhraní RoBoXu. Podle podezřele vysokého čísla cílového portu se jedná o jasný útok. Výjimkou by byla situace, kdy by na tomto portu byl Virtuální Crack, ale to by neřešil filtr 17. Další údaje prozrazují rozhraní, na něž paket přišel (sis1), a jeho délku (l=0).
Pokud by některý z těchto paketů prošel, prozradil by ho záznam na cílovém stroji, což se nestalo.
Co prozradily logy na jednotlivých strojích
Stroj: | Úkol stroje v testu: | Logy: | Popis: |
TOMB 192.168.191.21 | počítač v PSN, sem mířil veškerý provoz, přes otevřené porty 80, 22 a 25 | tomb_secure | soubor s hlášeními od PAM, sshd a dalších interních bezpečnostních mechanismů Linuxu na stroji jménem Tomb. Další logy neobsahovaly žádné podstatné údaje (ve vztahu k testu) |
Jak vidno, není moc co analyzovat:-) | |||
Notebook 192.168.190.111 | Notebook, kam byly ukládány záznamy zaslané prostřednictvím Remote logging z RoBoXu, na stroj nebyl zvenčí žádný přístup, pouze z PSN byl přístupný port pro syslog (TCP/514), DNS (TCP+UDP/53) apod. | /var/log/robox_local0 | Soubor s hlášeními od NAT na RoBoXu, tj. o každém spojení, které bylo puštěné dovnitř na jednom z povolených portů |
RnR nás obšťastnil takovýmito pěknými výpisy – Využití portů, Přijatá a odeslaná data v bajtech na každém z rozhraní, Výpis dění a Celkovou statistikou | |||
Notebook 192.168.190.111 | Logovací notebook – tentokrát jiný datový soubor | /var/log/messages jinak též robox_local2 | Souhrn dění na síti, hlášení filtrů a dalších služeb RoBoXu. Odfiltroval jsem DNS pakety, které zabíraly 98.2% souboru. Z toho je zřejmé, že příliš útoků se nedělo. Bohužel. |
RnR o tomto logu mnoho nepoví, neboť neumí vyhodnotit ALARM, NOTICE a jiné události, které jsou pro nás podstatné. Protože nástroj, který by to měl umět, odmítl spolupráci, prošel jsem log ručně. Potud, pokud jsem log prozkoumal, nenalezl jsem žádný problém ani žádné zoufalé volání RoBoXu o pomoc. Jedinou výjimkou bylo hlášení o nenastaveném e-mailu, kam chtěl zaslat upozornění, protože jeden z testerů vytrvale bombardoval firewall pakety mířenými postupně na všechny porty (portscan), což je důvodem k upozornění správce. Jednou z možností, kromě zaslání varování a samozřejmě odmítnutí podobně nevkusných paketů, je i úplné zavření síťového rozhraní. Možností je však mnohem více. | |||
RoBoX 147.230.190.20 | RoBoX je testovaný firewall, zvenku přístupný na IP adrese 147.230.190.20. | Interni LOG RoBoXu | Souhrn všech podstatných hlášení, zejména od filtrů. Maximálně 512 položek, což ovšem znamená, že jeden portscan (otestování odezvy velkého množství portů počítače) spolehlivě přemaže vše staré, neboť na rozdíl do logů posílaných ven se do interního logu píše každý záznam od každého filtru (ven se posílá výsledek za nějaký časový úsek, například že jsou skenovány porty od 3200 do 60000). |
Nemá tudíž smysl tento log analyzovat, protože RoBoX byl nastavený tak, aby filtry hlásily téměř vše. Tudíž se vše důležité velmi rychle přepsalo nedůležitými režijními pakety. V souboru, který je zde jako ukázka, pak jsou vidět především záznamy paketů, které si vyměňoval RoBoX s konfiguračním počítačem při administraci pomocí HTTPS protokolu. |
Závěrem
RoBoX propustil skutečně jen to, co propustit měl, a zbytek odfiltroval. Odmítnuté a útočné pakety nahlásil do logů (poslední odstavec nad tímto). Dovoluji si tedy tvrdit, že tento test splnil výborně a píši RoBoXu prošel.
Horší situace je s GB Report Utilitou, kterou se mi nepovedlo rozumně rozchodit tak, aby mi poskytla jakákoli přijatelná data. Když už přijmu, že potřebuje SQL databázi (v instalaci pro Windows je MySQL pro Windows) a bez ní odmítá fungovat, tak nemůžu přehlédnout naprosto nepoužitelné uživatelské rozhraní. Výsledky a kvalitu reportů nemohu posoudit, protože utilita sice data nasála dovnitř, ale ven už nevydala nic. Dle mého názoru má GTA ještě hodně co na GB reportu zlepšovat.
RoBoX je velmi robustní a spolehlivý firewall. Po celou dobu testování (cca 5 neděl) jsem se nesetkal s jakoukoli nestabilitou ani problémem technického ani jiného funkčního rázu. Konfigurace je podle manuálu zvládnutelná, ale pro toho, kdo ji dělá poprvé, rozhodně není příjemná a automatická. Nicméně toto řeší prodejce hotline či přímo pracovníkem, který vše nastaví za zákazníka. RoBoX nabízí nadstandardní služby a konkurenci překonává obvykle i po výkonové stránce. Největší slabinou (na našem trhu) zůstává cena, ale zase za ni zákazník obdrží produkt pro 25 uživatelů. Software RoBoXu ctí uznávaná bezpečnostní pravidla a ani při konfiguraci nevystavuje chráněné sítě útokům, navíc disponuje funkcí pro kontrolu nastavení.
Technické specifikace a parametry firewallu RoBoX GB - 25
Max Concurrent Connections | 10000 |
Remote Acces Filters | 100 |
Outbound Filters | 100 |
Tunnels | 100 |
Aliases | 25 |
Static routes | 100 |
Static Maps | 100 |
Time Groups | 100 |
Pass Through Filters | 100 |
VPN Security Associations | 100 |
Objects | 100 |
URL Acces Lists | 100 |
DNS Domains | 5 |
MTBF | 300 000hodin |
3x | 10/100 Ethernet NICs |
1x | RS 232 connector |
Rozměry | 2,54x15,24x15,875 |
Hmotnost | 0,585 kg |
Orientační cena s DPH za RoBoX 25 | 35 000,- (995USD) |
+ | Stabilita |
+ | 2 oddělené chráněné sítě |
+ | Vlastní operační systém |
+ | Vzdálené logování |
+ | Žádné pohyblivé části |
+ | Snadný upgrade |
+ | Vzdálená správa |
+ | Malé rozměry - skladnost |
+ | Sériové rozhraní pro připojení konzole podpora PPP protokolu pro dial-ip a ISDN-TA |
+ | Dokonale tichý :-) |
- | Složitá konfigurace |
- | křížový UTP a sériový kabel by mohly být ceně |
- | Jen skoro funkční analyzátor logů |
- | 25 uživatelů může být málo |
- | Cena, i když … |
Za zapůjčení děkuji firmě . Za umožnění testů Katedře Informatiky TUL a Cesnetu. Jmenovitě pak děkuji Davidu Kmochovi za trpělivost a cennou pomoc a Aleši Zítkovi za osvětlení mnoha technických otázek.