Média a my

Jak si vybírat bezpečnostní bránu?

Výběr dostatečně výkonného modelu bezpečnostní brány je z hlediska dalšího nasazení a vynucení bezpečnostní politiky jedním z nejpodstatnějších v celém procesu výběru. Bohužel většina výběrových řízení tento krok omezí na porovnání dat z datasheetů prezentovaných výrobci porovnávaných zařízení, a to bez hlubší analýzy, jaká data se srovnávají a jak relevantní jsou k reálnému výkonu v uvažovaném typu nasazení daného zařízení.

Vliv konfigurace bezpečnostní politiky bývá uvažovaný velmi zřídka, a když, tak většinou jen ve vztahu k hlavní funkci stavového firewallu. Přitom z bezpečnostního hlediska je nutné při nasazení a konfiguraci uvažovat s komplexním nastavením co nejširšího spektra funkcí. Do základní sestavy pro vyhodnocení celkového výkonu by měl spadat nad rámec propustnosti fi rewallu minimálně výkon IPS, antimalwaru/antiviru, fi ltru webových stránek a aplikačního fi ltru. Když už dojde na datasheet, je třeba se věnovat poznámkám pod čarou, které zpravidla udávají, za jakých podmínek se data naměřila.


Jak je to s propustností?
Pro ilustraci jsou níže uvedené metodiky testování propustnosti fi rewallu z datasheetů několika výrobců v abecedním pořadí – jde pokud možno o doslovné překlady. Cisco – udává dva údaje, první je maximální propustnost měřená při UDP provozu za ideálních podmínek, druhý je tzv. multiprotokol – profi l provozu primárně složený z TCP aplikací, jako HTTP, SMTP, FTP, IMAPv4, BitTorrent a DNS. Dell udává jednu hodnotu jako maximální výkon na základě RFC 2544. Fortinet udává tři hodnoty propustnosti UDP provozu při velikosti paketů 1 518, 512 a 64 bajtů. Check Point uvádí dva údaje – prvním je hrubá propustnost při UDP provozu s velikostí paketů 1 518 bajtů podle RFC 3511 a druhým je předpokládaná maximální propustnost v prostředí se směsí provoz z reálného světa, několika modulů (Security Software Blades), typickým počtem pravidel, zapnutým překladem adres (NAT), logováním a většinou bezpečnostních ochran. Sophos metodiku neuvádí, Watchguard uvádí propustnosti určené při použití několika toků skrz několik portů, které se budou lišit na základě prostředí a konfi gurace.

O jak vypovídající hodnotu a porovnatelnost dat ale jde?
Cisco u první hodnoty neuvádí zcela nic vyjma ideálních podmínek pro měření, může se teoreticky jednat i o tzv. jumbo frames, u druhého údaje to vypadá na první pohled lépe, ale protože není uveden poměr protokolů ani velikost paketů či datagramů, tak vypovídací hodnota je opět minimální. Dell se odvolává na RFC 2544, ale neuvádí, za jakých podmínek se testovalo – lze dovodit, že pravděpodobně používá UDP pakety o velikosti 1 518 bajtů. Fortinet defi nuje velikosti a typ paketů ve třech testech 1 518, 512, 64 bajtů, ale neuvádí metodiku. Check Point zase udává metodiku RFC 3511 s pakety o velikosti 1 518 bajtů u prvního testu, druhý test je zcela nedefi novaný, uvozený termínem předpokládaný. Data od Sophosu a Watchguardu jsou z hlediska porovnatelnosti a výpovědní hodnoty v podstatě nepoužitelná. Z výše uvedeného lze dovodit, že v případném výběrovém řízení lze z datasheetů teoreticky porovnat hrubý výkon zařízení v UDP propustnosti s velikostí paketu 1 518 bajtů, a to pouze od Dellu (podle výše uvedených dovození), Fortinetu a Check Pointu. Bohužel reálný provoz je uniformní velikosti paketu 1 518 bajtů poměrně vzdálený, takže jde pouze o srovnání hrubého výkonu bez vztahu k potenciálnímu nasazení v reálných podmínkách. Pokud bychom chtěli srovnat výkon vybíraných zařízení s bezpečnostním profi lem, ve kterém jsou zapnuty další funkce, zjistíme, že je to zcela nemožné, protože testovací metodiku u všech uvedených hodnot v datasheetu uvádí pouze Fortinet. Check Point vyjma fi rewallu ještě uvádí metodiku pro měření výkonu IPS.

Tři způsoby výběru
Jak tedy postupovat při výběru? V základu jsou tři cesty, první je procesní a spočívá v přesunutí zodpovědnosti za dodávku zařízení na dodavatele, tato cesta má svá rizika a vyžaduje velmi přesné zpracování zadávací dokumentace a detailní vypracování návazné smlouvy o dílo. Je třeba si také uvědomit, že bezpečnostní zařízení se většino kupuje na tři až pět let a nedostatečný výkon se může projevit až v průběhu této doby. Tato cesta má své odůvodnění například ve státní správě. Druhou cestou, podle názoru autora správnou, je důkladně provedené testování všech zařízení, která splňují funkční předpoklady pro nasazení. Dobré je provést předvýběr tří až pěti výrobců na základě detailního průzkumu trhu, aby fi nální testování bylo časově zvládnutelné. V případě, že není možnost otestovat výkonové parametry testovaných zařízení, doporučuje se zapůjčení testeru od Ixie nebo zadat výrobci testovaného zařízení požadavek na test se specifi ckým aplikačním mixem. Třetí cestou může být srovnání od nezávislých testovacích iniciativ. V současnosti dnes jde o NSS Labs https://www.nsslabs. com/, AV Comparatives www.av -comparatives.org/ a Virus Bulletin https://www.virusbtn.com/. Někteří výrobci se prezentují testy od různých testovacích center, zde je třeba si uvědomit, že pokud je test placený a zadaný výrobcem včetně podmínek a metodiky testování (např. Miercom), jeho nezávislost není zaručena a je třeba ho spíše vnímat jako marketingový nástroj.

Další články

RSS

Naši partneři o nás