1 / 22

SROVNÁNÍ KOMERČNÍCH FIREWALLŮ

SROVNÁNÍ KOMERČNÍCH FIREWALLŮ. Jan Beránek 3. ročník EI PEF MZLU v Brně. Úvod. bezpečnost informací je v poslední době významným problémem jednou z oblastí, které je třeba zabezpečit, je bod propojení privátní sítě do internetu k tomu slouží firewally. Základní pojmy.

starbuck
Download Presentation

SROVNÁNÍ KOMERČNÍCH FIREWALLŮ

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. SROVNÁNÍ KOMERČNÍCH FIREWALLŮ Jan Beránek 3. ročník EI PEF MZLU v Brně

  2. Úvod • bezpečnost informací je v poslední době významným problémem • jednou z oblastí, které je třeba zabezpečit, je bod propojení privátní sítě do internetu • k tomu slouží firewally

  3. Základní pojmy • firewall – zařízení, které řídí provoz přes hranici podnikové a internetu. Využívá k tomu předem definovaná bezpečnostní pravidla • hraniční směrovač – poslední router ve správě společnosti před připojením do internetu • vpn (virtual private network) - technologie, která vytvoří zabezpečenou síťovou relaci v internetu (nezabezpečené prostředí). Využívá šifrované přenosy, autentizační mechanismy…

  4. Členění firewallů z obchodního pohledu • podnikové firewally – ochrana podnikových intranetů, zahrnují nastavení pravidel bezpečnostní politiky, často i diferencovaně pro různé uživatele, podporují vpn. • pc firewally – softwarové produkty pro pracovní stanice, neimplementují pokročilejší technologie pro ochranu dat (př. vpn)

  5. Některé používané techniky • load balancing – obrana proti denial of service (dos), rovnoměrné vytížení serverů • nat (network address translation) – překlad síťových adres • filtrace paketů – proti ip spoofing • šifrování – proti packet sniffing, algoritmy des, tripple des (3des), aes, blowfish • autentizace – proti neoprávněnému přístupu

  6. Testování v ICSA Labs • testováním se zabývá ICSA Labs • požadavky na produkt – The Modular Firewall Certification Criteria (4.1) • v současnosti přibližně 140 firewallů • nejznámější značky podnikových firewallů (podle ICSA): Cisco, Kerio, Symantec, Cyberguard, GTA (Global Technology Associates) a další

  7. Cisco PIX 506E • hardwarový produkt • používá vlastní PIX OS • 2 ethernetové rozhraní + 1 port pro připojení administrátorské konzole • maximální počet připojení: 25 000 • počet souběžných vpn spojení: 25

  8. Cisco PIX 506E

  9. Cisco PIX 506E • stateful inspection • network address translation • podpora multimediálního přenosu v reálném čase • hardwarová akcelerace vpn • šifrovací algoritmy des, tripple des, aes

  10. Cisco PIX 506E • administrace • lokální – prostřednictvím CiscoWorks VPN/Security Management Solution (VMS) • vzdálená pomocí Cisco PIX Device Manageru (využívá běžný internetový prohlížeč) • na příkazové řádce přes telnet nebo ssh • poznámky ICSA Labs • chyby v logování událostí • veřejné rozhraní defaultně reaguje na ping

  11. Cyberguard Knightstar KS-1000 • hardwarový produkt • využívá upravený OS UNIX • maximálně 500 000 souběžných připojení • až 50 vpn připojení současně

  12. Cyberguard Knightstar KS-1000 • filtrování paketů – možnost volby mezi • obvodovou bránou • aplikační bránou • stateful inspection • network address translation • vpn – algoritmy des, tripple des, aes • podpora multimediálního přenosu • umí spolupracovat s několika komerčními antiviry

  13. Cyberguard Knightstar KS-1000 • administrace • vzdálená – přes běžný internetový prohlížeč • existuje možnost oznamování událostí na firewallu přes SNMP nebo e-mailem • poznámky ICSA Labs • problémy s logováním • firewall neblokoval všechny fragmenty IP datagramů, které měl • všechny chyby byly nakonec opraveny

  14. GTA GB-750 • hardwarový produkt • vlastní operační systém GB-OS • 3 ethernetové rozhraní • maximálně 20 000 souběžných připojení • až 50 současných vpn připojení • administrace • vzdálená – aplikace GB-Commander

  15. GTA GB-750 • stateful inspection • network address translation • podpora real-time přenosů • hardwarově akcelerovaná vpn • šifrovací algoritmy des, tripple des, aes, blowfish, kontrolní součty MD5, sha • poznámky ICSA Labs – bez problémů

  16. Kerio Winroute Firewall 6 • softwarový produkt – nainstaluje se na pc s Win 2000/XP, které se připojí na místo firewallu • poněkud jiné vlastnosti firewallu • podstatná je správná instalace a údržba systému windows • hlubší správa uživatelských účtů a skupin • různé doplňkové služby (blokování ActiveX, pop-upů apod.)

  17. Kerio Winroute Firewall 6 • používá aplikační proxy bránu • network address translation • vpn – šifrovací algoritmus blowfish • spolupráce s antiviry třetích společností – kontrola http, ftp, e-mailu • administrace • správa pomocí konfigurační aplikace běžící pod Win – buď lokální, nebo vzdálená

  18. Kerio Winroute Firewall 6 • specifické rysy • blokování přístupu k určitým webovým stránkám pro uživatele či skupiny uživatelů • filtrování ActiveX, javascriptu v http, správa cookies, filtrování ftp, sítí p2p • využití Microsoft Active Directory • kvóty objemu přenesených dat pro uživatele • poznámky ICSA Labs • problémy s logováním • firewall byl náchylný k denial of service (dos) • během certifikace se vše vyřešilo

  19. Shrnutí • Cisco PIX 506E a GTA GB-750 jsou v zásadě srovnatelné. • Cyberguard Knightstar KS-1000 je výkonnější, ale také o dost dražší. • Kerio Winroute Firewall 6 je poněkud jiný typ firewallu, je sice hardwarově a systémově závislý, ale podporuje mnoho doplňkových služeb

  20. PC Firewally • poněkud jiné požadavky • nepodporují pokročilé služby (vpn) • ceny od 0 (u freeware produktů) do cca. 60-80 $ (nejlepší placené verze) • oblíbené značky • Kerio Personal Firewall – 45 $ • Zone Alarm – verze Pro 49 $ • Tiny Firewall – kompletní verze 89 $ • armor2net – zdarma a další…

  21. Závěr • nestačí jen vybrat správný firewall, ale také ho správně nainstalovat a nastavit • neustále je třeba monitorovat síť a upravovat nastavení firewallu • firewall dopomůže k dobrému zabezpečení jen v kombinaci s ostatními prostředky a postupy

  22. Děkuji za pozornost.

More Related