COMPUTERWORLD
Specializovan² t²denφk o v²poΦetnφ technice
o Internetu
(CW 41/96)

Internet za ochrannou zdφ

CheckPoint Firewall-1 2.0 od firmy CheckPoint Software Technologies Inc.

CyberGuard Firewall 2.1.2 od firmy Harris Computer Systems Corp.

Gauntlet Internet Firewall 3.1 od firmy Trusted Information Systems Inc.

AUTO╪I

Mark Pace

Brooks Talley

Michelle Murdockovß

Odbornφci na zabezpeΦenφ a sprßvci informaΦnφch systΘm∙ se shodujφ: Ochrannß ze∩, neboli tzv. firewall, je nejlepÜφm zp∙sobem, jak zabezpeΦit vaÜi internφ sφ¥. Ka₧d² prodejce vÜak implementuje jinou technologii -- kterß z nich je nejbezpeΦn∞jÜφ?

MnohΘ z toho, co se d∞je na Internetu -- d°φve ob²vanΘm p°evß₧n∞ profesionßlnφmi akademiky a Φerstv²mi vysokoÜkolßky -- se stßvß nepostradateln²m nßstrojem pro obchodovßnφ. S p°φstupem k Internetu m∙₧ete pou₧φvat World Wide Web k vyhledßvßnφ ·daj∙ o v²robcφch a dalÜφch informacφ, kterΘ vßm pomohou plßnovat rozhodnutφ o nßkupu. TelekonferenΦnφ systΘmy Usenet na Internetu umo₧≥ujφ zprost°edkovßnφ  diskuse o d∙le₧it²ch technologiφch se vzdßlen²mi kolegy a p°es virtußlnφ privßtnφ sφt∞ LAN lze posφlat elektronickou poÜtu do vzdßlen²ch kancelß°φ a strategick²m partner∙m.

S p°ipojenφm k Internetu m∙₧ete uvßd∞t ve znßmost zbo₧φ svΘ spoleΦnosti a dokonce p°ebφrat objednßvky v²robk∙ p°es p°φm² interaktivnφ kanßl. Ale stejn∞ jako za vÜechno dobrΘ, musφte za p°φstup k Internetu zaplatit urΦitou cenu. Jako₧to celosv∞tovß sφ¥, navr₧enß ve svΘm jßdru jako otev°enß, vyz²vß Internet k ·toku na zabezpeΦenφ. Bez °ßdnΘho plßnu a bez technologie a lidskΘ sφly k jeho podpo°e byste mohli ne·mysln∞ p°edat klφΦe k prost°edk∙m svΘho podniku pr∙nikß°∙m (hacker∙m), kte°φ majφ v ·myslu horÜφ v∞ci, ne₧ jen posφlat zprßvy podepsanΘ vaÜφm jmΘnem na r∙znΘ obskurnφ adresy.

Logickou odpov∞dφ na ohro₧enφ bezpeΦnosti, kterΘ vyvolßvajφ bezohlednφ obyvatelΘ Internetu, je ochrannß ze∩.

Srovnßvali jsme v²robky od t°φ p°ednφch prodejc∙ ochrann²ch zdφ: CheckPoint Firewall-1 2.0 od firmy CheckPoint Software Technologies, CyberGuard Firewall 2.1.2 od firmy Harris Computer Systems a Gauntlet Internet Firewall 3.1 od firmy Trusted Information Systems. Bohu₧el jsme nem∞li Φas ani prost°edky, podφvat se na vφce ne₧ t°i v²robky, tak₧e jsme vynechali BorderWare Firewall Server firmy Secure Computing a Eagle Firewall od spoleΦnosti Raptor Systems. Na NT verzi Eagle jsme se vÜak v rychlosti podφvali. Zvolili jsme ji proto, ₧e Raptor je jedin²m p°ednφm v²robcem ochrann²ch zdφ s komerΦn∞ dostupn²m v²robkem pro Windows NT.

Volßnφ a odezva

AΦkoliv termφn ochrannß ze∩, stejn∞ jako v∞tÜina ₧argonu z oblasti zabezpeΦenφ, odrß₧φ drama romßnu Roberta Ludluma, jednß se v zßsad∞ o jednoduch² koncept: nepustit ΦernΘ ovce k vaÜim privßtnφm internφm sφtφm. Ochrannß ze∩ nenφ preciznφ implementacφ specifickΘ technologie -- prßv∞ naopak. Je to zast°eÜovacφ termφn, zahrnujφcφ mno₧stvφ zabezpeΦovacφch technik, navr₧en²ch k tomu, aby vn∞jÜφ sv∞t nemohl proniknout k vaÜφ sφti p°ipojenΘ k Internetu a zpustoÜit ji.

NicmΘn∞ v∞tÜina ochrann²ch zdφ, a¥ ji₧ zakoupen²ch nebo vytvo°en²ch doma, izoluje vaÜi internφ sφ¥ jednφm nebo dv∞ma zp∙soby. Prvnφ mo₧nostφ je odep°enφ pou₧itφ specifikovan²ch, nep°φliÜ bezpeΦn²ch slu₧eb na vaÜem serveru pro styk s Internetem. Tento server je znßm jako brßna aplikacφ neboli proxy server. Druhou metodou je filtrovßnφ paket∙, kterΘ nedovolφ, aby provoz sm∞°oval na vaÜi sφ¥ odjinud ne₧ z p°edem definovan²ch, d∙v∞ryhodn²ch mφst.

Dobr² plot d∞lß dobrΘ sousedy

Filtrovßnφ paket∙, co₧ je zvlßÜtnφ druh sm∞rovßnφ, je historicky pova₧ovßno za nejzßkladn∞jÜφ zabezpeΦenφ. Standardnφ sm∞rovaΦe pou₧φvajφ vlastnφ inteligenci k rozhodovßnφ, kam by m∞ly b²t jednotlivΘ pakety posφlßny, ale filtry paket∙, zalo₧enΘ na zabezpeΦovacφch pravidlech definovan²ch koncov²m u₧ivatelem, tuto inteligenci rozÜi°ujφ, aby v prvΘ °ad∞ urΦily, jestli mß b²t paket poslßn na vaÜi sφ¥. Typick² filtr paket∙ dokß₧e ov∞°ovat adresu IP a slu₧ebnφ informace -- tj. urΦuje, jestli provoz p°ichßzφ z ov∞°enΘho mφsta a jestli se ₧ßdß o povolenΘ slu₧by. Dφky systΘmovΘ nezaujatosti t∞chto filtr∙, jejich ÜirokΘmu pou₧itφ a skuteΦnosti, ₧e lidΘ zab²vajφcφ se Internetem majφ rozsßhlou znalost jejich zadnφch vrßtek, je mnoho slu₧eb, vΦetn∞ Telnetu a FTP, virtußln∞ nep°φliÜ bezpeΦn²ch ji₧ ze svΘ definice. Filtr paket∙ vßm umo₧nφ stanovit pravidla, kterß takovΘto slu₧by blokujφ.

Na rozdφl od n∞kter²ch dalÜφch zabezpeΦovacφch mechanism∙ je filtrovßnφ paket∙ pro u₧ivatele krßsn∞ transparentnφ. Slou₧φ mu takΘ ke cti, ₧e nenßkladnΘ sm∞rovaΦe, filtrujφcφ pakety, mohou vyhovujφcφm zp∙sobem poskytovat jedin² bod vstupu a v²stupu na a z vaÜφ sφt∞ a mohou efektivn∞ zablokovat slu₧by, je₧ byly nep°edlo₧en∞ zp°φstupn∞ny na jednom nebo vφce strojφch vaÜφ sφt∞. Schopnosti filtrovßnφ paket∙ jsou navφc Üiroce dostupnΘ jak v komerΦnφch v²robcφch pro sm∞rovßnφ tak i jako freeware.

Kv∙li znaΦnΘmu poΦtu paket∙, kterΘ jsou legitimn∞ p°edßvßny z a na Internet, je snadnΘ zapomenout n∞kterΘ pakety odmφtnout -- dokonce i ty trivißlnφ. Filtrovßnφ paket∙, kterΘ povoluje p°φm² kontakt mezi Internetem a vaÜφ sφtφ, nenφ tudφ₧ pova₧ovßno za dostateΦn∞ bezpeΦnΘ.

Proxy server bude izolovat vßÜ systΘm dokonaleji tφm, ₧e vytvo°φ fyzickou bariΘru mezi vnit°kem a vn∞jÜkem (bez u₧ivatelskΘ transparence, vytvß°ejφcφ kompromisy). V proxy konfiguraci komunikujφ klienti u₧ivatel∙ p°φmo s proxy serverem pro specifickou sadu protokol∙, nap°. FTP, HTTP a Telnet. Proxy server, kter² b∞₧φ na hostiteli s dußlnφm umφst∞nφm (hostitel s dv∞ma p°ipojenφmi k sφti), rozhoduje, zda majφ b²t po₧adavky klient∙ p°edßny dßle nebo ignorovßny. Pro platnΘ ₧ßdosti potom slou₧φ jako prost°ednφk mezi klientem a hostitelem.

Ale zßstupci (proxies) nejsou dokonalφ. Nap°φklad aplikaΦnφ zßstupci neadresujφ vÜechny potencißlnφ slabiny zabezpeΦenφ vÜech mo₧n²ch protokol∙ (nap°. vysoce rozÜi°itelnΘho HTTP) a vy₧adujφ, abyste m∞li zßstupce pro ka₧d² protokol, kter² budete chtφt podporovat. Gauntlet, vφt∞z naÜeho srovnßvßnφ, je ochrannou zdφ tvo°enou brßnou aplikacφ.

CheckPoint, kter² se umφstil na druhΘm mφst∞, nenφ ani tradiΦnφm filtrem paket∙, ani brßnou aplikacφ. Firma CheckPoint Software naz²vß technologii, kterou pou₧φvß, Stateful Multilayer Inspection. Aby spl≥oval standardnφ funkce ochrannΘ zdi v ukr²vßnφ internφch adres IP, provßdφ CheckPoint jedineΦnou formu p°ekladu adres. Jin²mi slovy, jeho skriptovacφ jazyk sleduje a prozkoumßvß pakety skrz aplikaΦnφ vrstvu a extrahuje pouze ta data, kterß se t²kajφ zabezpeΦenφ. To odstra≥uje pot°ebu mφt pro ka₧dou slu₧bu spuÜt∞nu odd∞lenou proxy aplikaci.

V∞Φnß ostra₧itost

Navzdory veÜkerΘmu tlaku, kter² ochrannΘ zdi snßÜφ, pamatujte: Jestli₧e je vaÜe organizace p°ipojena k Internetu, ·dr₧ba bezpeΦnosti internφch sφtφ a ochrana integrity dat spoleΦnosti nezaΦφnß a nekonΦφ instalacφ, jedinΘho balφku softwaru nebo hardwaru. ZaΦφnß plßnovßnφm racionßlnφch a efektivnφch zabezpeΦovacφch strategiφ a procedur, jak lidsk²ch, tak elektronick²ch. Na tato pravidla °φzenφ se budete koneckonc∙ odvolßvat p°i programovßnφ svΘ ochrannΘ zdi.

Dokonce i potΘ, co je nainstalovßna ochrannß ze∩, vaÜe zodpov∞dnost za bezpeΦnost nikdy nekonΦφ. OchrannΘ zdi slibujφ mnohΘ, s v²jimkou minimßlnφ pΘΦe a p°φsunu materißlu; majφ daleko k technologii "nastav-a-zapome≥".

VaÜe ochrannß ze∩ pouze neblokuje potencißln∞ nebezpeΦn² provoz p°ichßzejφcφ z velkΘho sφtovΘho mraku, jak²m je Internet, ale takΘ trasuje vn∞jÜφ a vnit°nφ dotazy. AvÜak ₧ßdnß Φernß sk°φ≥ka na sv∞t∞ vßs nem∙₧e ochrßnit p°ed neuplat≥ovanou politikou nebo nedostateΦnou ·dr₧bou systΘmu.

SystΘm provoznφho denφku jakΘkoliv ochrannΘ zdi budete muset b∞hem Φasu pravideln∞ kontrolovat a spravovat, inteligentn∞ reagovat na varovßnφ a vypßtrat anomßlnφ vzorky provozu; posledn∞ jmenovanß v∞c je nßroΦn²m ·kolem dokonce i pro odbornφky.

D∙vodem, proΦ ochrannΘ zdi existujφ, je samoz°ejm∞ bezpeΦnost, proto jsme ji m∞li p°i nßvrhu naÜich test∙ v mysli na prvnφm mφst∞. Nap°φklad jsme se mΘn∞ zajφmali o nabl²skanΘ u₧ivatelskΘ rozhranφ a vφce o to, jak ·Φinn∞ nßm umo₧≥ujφ nßstroje sprßvy urΦitΘho v²robku implementovat bezpeΦnΘ prost°edφ, zalo₧enΘ na naÜφ zabezpeΦovacφ politice. NaÜφm cφlem bylo zajφt a₧ na hranice zabezpeΦenφ jednotliv²ch v²robk∙.

P°ehled produkt∙

CheckPoint Firewall-1 2.0

Technologie, kterou pou₧φvß CheckPoint Firewall-1 2.0 firmy CheckPoint Software Technologies, se naz²vß Stateful Multilayer Inspection; v podstat∞ funguje jako ochrannß ze∩ s filtrovßnφm paket∙, i kdy₧ slo₧itß a v²konnß. Na rozdφl od CyberGuardu a Gauntletu CheckPoint neimplementuje zßstupce v tradiΦnφm smyslu p°φsunu paket∙ do zßstupce. Namφsto toho jeho skriptovacφ jazyk sleduje a zkoumß pakety a₧ do aplikaΦnφ vrstvy a extrahuje pouze data definovanß jako vztahujφcφ se k zabezpeΦenφ. To odstra≥uje pot°ebu spouÜt∞t pro ka₧dou slu₧bu odd∞lenou proxy aplikaci.

CheckPoint pracuje jako server nebo brßna b∞₧φcφ na pracovnφ stanici Intel x86 nebo Sparc firmy Sun Microsystems Computer, pou₧φvajφcφ SunOS 4.1.3 nebo Solaris 2.3 a 2.4. Vy₧aduje 10 MB mφsta na disku a 16 MB RAM.

Podle IDC je CheckPoint jasnou jedniΦkou na trhu ochrann²ch zdφ pro Internet, s 4 000 komerΦnφch ochrann²ch zdφ dodan²ch v roce 1995 a se 40 procenty celkovΘho trhu. Jeho vlajkovß lo∩, CheckPoint Firewall-1, byl uvoln∞n v polovin∞ roku 1994; v porovnßnφ s CyberGuardem, kter² je hardwarov²m a softwarov²m systΘmem, je to v²robek zalo₧en² pouze na softwaru. DalÜφm v²robkem CheckPointu je SecuRemote. Umo₧≥uje mobilnφm a vzdßlen²m u₧ivatel∙m Windows 95 p°ipojit se ke sv²m zßkladnφm sφtφm p°es vytßΦenß p°ipojenφ k Internetu.

CyberGuard Firewall 2.1.2

SystΘm firmy Harris Computer Systems m∙₧e fungovat jako brßna aplikacφ nebo filtr paket∙. M∙₧ete takΘ implementovat kombinaci t∞chto dvou funkcφ: M∙₧ete nap°. nastavit filtr paket∙ tak, aby pouÜt∞l vaÜe u₧ivatele ven a proxy server, aby °φdil, kdo vchßzφ.

Server m∙₧e zastupovat nßsledujφcφ slu₧by: FTP (protokol p°enosu soubor∙), Telnet, rlogin, HTTP, SMTP, Gopher, Network News Transfer Protocol a Real Audio.

CyberGuard je softwarov²m a hardwarov²m systΘmem. Mß grafickΘ u₧ivatelskΘ rozhranφ (GUI) pro nastavenφ, konfiguraci, monitorovßnφ a tvorbu hlßÜenφ. Hardware se sklßdß z klßvesnice, monitoru a ohromnΘ krabice, kterß obsahuje 32 MB lokßlnφ pam∞ti, 1GB pevn² disk a mikroprocesor RISC.

SpoleΦnost Harris byla zalo₧ena v roce 1967 a je rozd∞lena do dvou skupin: Trusted Systems Division a Real-Time Systems Division (RSD). V kv∞tnu Harris oznßmil prodej RSD firm∞ Concurrent Computer. Po provedenφ prodeje se oΦekßvß, ₧e firma Harris zm∞nφ sv∙j nßzev na CyberGuard a zam∞°φ se v²hradn∞ na v²voj a marketing CyberGuardu a dalÜφch v²robk∙ pro zabezpeΦenφ sφtφ.

Gauntlet Internet Firewall 3.1

Gauntlet Internet Firewall 3.1 od firmy Trusted Information Systems (TIS) je komerΦnφm v²robkem, kter² byl vytvo°en pomocφ produktu Firewall Toolkit firmy TIS. Firewall Toolkit je sada program∙ a konfiguraΦnφch postup∙, navr₧en²ch pro pomoc p°i vytvß°enφ sφ¥ovΘ ochrannΘ zdi; je zdarma dostupn² na Internetu a byl pou₧it k vytvo°enφ mnoha dalÜφch komerΦn∞ dostupn²ch ochrann²ch zdφ pro Internet.

Gauntlet je ochrannß ze∩ brßny aplikacφ. Ne nesmyslnß architektura Gauntletu odrß₧φ skuteΦnost, ₧e byla navr₧ena odbornφky na zabezpeΦenφ. Software tΘto aplikace byl vytvo°en tak, aby byl tak mal², jak je jen mo₧nΘ, proto₧e Φφm je mΘn∞ k≤du, tφm je v∞tÜφ Üance, ₧e bude software bez chyb. P°i pou₧itφ produktu Crystal Box m∙₧e kter²koliv zßkaznφk TISu prozkoumat zdrojov² k≤d a algoritmy, kterΘ tvo°φ ochrannou ze∩ Gauntlet. Proto₧e jsou fakticky vÜechna poruÜenφ bezpeΦnosti zp∙sobena n∞k²m, kdo kompromituje u₧ivatelsk² ·Φet, mß Gauntlet pouze jeden ·Φet (je pro sprßvce ochrannΘ zdi).

Gauntlet m∙₧e zastupovat nßsledujφcφ slu₧by: Telnet, rlogin, FTP, SMTP, Gopher, POP3, HTTP a X Windows System.

Kdy₧ jsme p°ed tΘm∞° Φty°mi m∞sφci obdr₧eli Gauntlet, dodßval se s bezplatn²m dnem konzultaΦnφch slu₧eb; tato slu₧ba m∞la b²t specificky pro instalaci a konfiguraci systΘmu. Celkovß cena byla 15 000 dolar∙. Od tΘ doby snφ₧il TIS cenu systΘmu na 11 500 dolar∙ a z konzultaΦnφch slu₧eb ud∞lal volitelnou mo₧nost za 2 500 dolar∙. Hodnotili jsme instalaci a ·vodnφ konfiguraci a cenovΘ kategorie zalo₧enΘ na originßlnφm balenφ firmy TIS, nebo¥ to byl balφk, kter² jsme obdr₧eli.

TIS je jednou z mßla spoleΦnostφ zab²vajφcφch se ochrann²mi zdmi, kterß byla v zabezpeΦovacφ bran₧i p°ed uvedenφm v²robku, slou₧φcφho jako ochrannß ze∩. Tato spoleΦnost byla zalo₧ena v roce 1983 p°edevÜφm pro provßd∞nφ zabezpeΦovacφch pracφ pro vlßdu Spojen²ch stßt∙.

Instalace a poΦßteΦnφ konfigurace

CheckPoint Firewall-1 2.0

USPOKOJIV▌

Stejn∞ jako u CyberGuardu, v²chozφ konfigurace CheckPointu nic nep°idßvß ani neubφrß. PoΦßteΦnφ konfigurace rozhranφ pro Ethernet je obtφ₧n∞jÜφ ne₧ u ostatnφch v²robk∙, kterΘ jsme testovali.

CheckPoint je tajemn∞jÜφ ne₧ CyberGuard nebo Gauntlet. Abyste jej nakonfigurovali pro svou sφ¥, musφte mφt bu∩to p°edchozφ zkuÜenosti s konfiguracφ pracovnφ stanice Sun s dv∞ma sφ¥ov²mi kartami, nebo pot°ebujete unixovΘho nadÜence se spoustou volnΘho Φasu. PotΘ co nastavφte adresy IP v hostitelsk²ch souborech a nakonfigurujete v²chozφ sm∞rovßnφ, jste p°ipraveni k op∞tovnΘmu zavedenφ operaΦnφho systΘmu (reboot) a k nastavenφ systΘmu tak, aby d∞lal to, k Φemu je navr₧en: pouÜt∞t provoz ven a dovnit° spolehliv∞ a bezpeΦn∞.

Na v²chozφ instalaci jsme pustili Internet Scanner firmy Internet Security Systems a nebyla ohlßÜena ₧ßdnß znßmß zranitelnß mφsta v zabezpeΦenφ.

CyberGuard Firewall 2.1.2

USPOKOJIV▌

Instalace CyberGuardu je p°φmoΦarß. Na rozdφl od Gauntletu vÜak nenφ jeho v²chozφ konfigurace p°izp∙sobena pro urΦitΘ prost°edφ.

Z t∞chto t°φ ochrann²ch zdφ mß CyberGuard nejlepÜφ fyzickou prezentaci. Balφk se dodßvß s  X-terminßlem Tektronix a 17" monitorem pro pou₧itφ jako stanice pro sprßvu. Samotnß jednotka ochrannΘ zdi je postavena jako tank (s v²jimkou plastickΘho krytu p°ednφch dve°φ), mß dobrß koleΦka pro snadnΘ pojφ₧d∞nφ a vaÜi ÜΘfovΘ budou mφt zaruΦen∞ radost, ₧e jste koupili n∞co tak velkΘho.

Proces instalace a konfigurace je pro CyberGuard a CheckPoint velmi podobn² (hlavnφ rozdφl je v tom, jak snadno se u CyberGuardu konfigurujφ rozhranφ pro Ethernet). JednoduÜe zapnete systΘm a Φekßte. X-terminßl vßs nakonec vyzve, abyste se p°ihlßsili a zadali heslo. Kdy₧ je zadßte, po₧ßdß vßs o vaÜi internφ a externφ adresu IP a potom znovu zavede systΘm (reboot). Kdy₧ dokonΦil op∞tovnΘ zavedenφ systΘmu, spustili jsme na n∞m Internet Scanner a nebyly ohlßÜeny ₧ßdnΘ dφry v zabezpeΦenφ.

Gauntlet Internet Firewall 3.1

DOBR▌

Gauntlet vyΦnφval nad ostatnφmi systΘmy, proto₧e byl dodßn se dnem konzultaΦnφch slu₧eb; konzultantka tuto ochrannou ze∩ nainstalovala a nakonfigurovala ji pro naÜi sφ¥. InstalaΦnφ proces byl tak dob°e navr₧en, ₧e nßm dokonce poskytl zp∙sob, jak zßlohovat systΘm p°edtφm, ne₧ jsme jej zaΦali pou₧φvat.

OperaΦnφ systΘm Gauntletu je opravenou verzφ BSDI Unixu. OpravnΘ vsuvky a kompilace jßdra prob∞hly b∞hem instalace, kterou provedla konzultantka. PotΘ co odeÜla, zanechala nßm systΘm, kter² byl p°ipraven k pou₧itφ na naÜφ sφti. Nakonfigurovali jsme sv∙j proxy server prohlφ₧eΦe a port a byli jsme schopni odsurfovat.

Na v²chozφ konfiguraci jsme pustili Internet Scanner. Ohlßsil, ₧e Gauntlet nemß ₧ßdnΘ znßmΘ dφry v zabezpeΦenφ. B∞hem tohoto prozkoumßvßnφ Gauntlet ohlßsil mo₧nΘ problΘmy se zabezpeΦenφm; byla to jedinß ochrannß ze∩, kterß odhalila Internet Scanner bez nutnosti dalÜφ konfigurace.

Sprßva

CheckPoint Firewall-1 2.0

VELMI DOBR▌

AΦkoliv nebylo rozhranφ CheckPointu tak snadno pou₧itelnΘ jako u CyberGuardu, byl to zdaleka nejmocn∞jÜφ (a neju₧iteΦn∞jÜφ) nßstroj pro sprßvu z v²robk∙ v tomto srovnßnφ. Nabφzφ mo₧nosti konfigurace pro pokroΦilΘ u₧ivatele, sφ¥ a v²stra₧n² systΘm, kterΘ ostatnφ systΘmy nenabφzejφ.

Z t∞chto t°φ systΘm∙ mß CheckPoint nejschopn∞jÜφ a nej·Φinn∞jÜφ rozhranφ a nejvφce usnad≥uje ₧ivot sprßvce, kter² se pokouÜφ zabezpeΦit sφ¥. I kdy₧ nenφ rozhranφ CheckPointu tak snadno pou₧itelnΘ jako u CyberGuardu, je stabiln∞jÜφ.

CheckPoint se konfiguruje a spravuje hlavn∞ z programu s grafick²m u₧ivatelsk²m rozhranφm. Odsud takΘ m∙₧ete konfigurovat pravidla filtrovßnφ, u₧ivatele a chrßn∞nΘ systΘmy. P°es grafickΘ rozhranφ vÜak nem∙₧ete konfigurovat velmi Φast² p°eklad adres, musφte pou₧φt program s textovou nabφdkou. Doufßme, ₧e v p°φÜtφ verzi z n∞j CheckPoint ud∞lß grafickΘ rozhranφ, nebo¥ program s nabφdkou je ji₧ dob°e uspo°ßdan².

SystΘm CheckPointu mß nejvysp∞lejÜφ mo₧nosti konfigurace. Mohli jsme v r∙zn²ch chvφlφch uznat nebo zamφtnout u₧ivatele, stejn∞ jako provoz do a ze systΘm∙. P°es hlavnφ rozhranφ je snadnΘ p°idat nebo odstranit pravidla pro filtrovßnφ paket∙. SystΘmy ohlßÜenφ, zßznamu udßlostφ a varovßnφ byly z t∞chto t°φ v²robk∙ nejobsßhlejÜφ; umo₧≥ovaly nßm rozevφrat okna s v²strahami, posφlat pasti (traps) SNMP nebo zprßvy elektronickΘ poÜty a spouÜt∞t skript pro spuÜt∞nφ programu, kter² by nap°. n∞koho vyvolal. Jako kdyby tohle vÜechno nestaΦilo, byly informace o konfiguraci na rozdφl od CyberGuardu ulo₧eny v databßzφch, dφky Φemu₧ bylo editovßnφ textovΘho souboru minimßlnφ.

CyberGuard Firewall 2.1.2

DOBR▌

U₧ivatelskΘ rozhranφ CyberGuardu je z t∞chto t°φ v²robk∙ nejintuitivn∞jÜφ a nejsnadn∞ji pou₧itelnΘ; bohu₧el, konfigurace n∞kter²ch slu₧eb (nap°. Sendmail) vy₧aduje editovßnφ textovΘho souboru. NicmΘn∞, jeho intuitivnφ u₧ivatelskΘ rozhranφ mu vyneslo v∞tÜφ sk≤re ne₧ Gauntletu.

VÜechny t°i z nßmi testovan²ch ochrann²ch zdφ m∞ly urΦit² druh grafickΘ konfiguraΦnφ utility, ale ₧ßdnß nemohla b²t kompletn∞ nakonfigurovßna s pou₧itφm svΘho elegantnφho rozhranφ. Nedostatek ·plnΘho grafickΘho u₧ivatelskΘho rozhranφ v Gauntletu a CheckPointu nßm opravdu nevadil, proto₧e oba jasn∞ podrobn∞ udßvaly, kterΘ p°φkazy jsou dostupnΘ p°es grafickΘ u₧ivatelskΘ rozhranφ (GUI) a kterΘ ne. Na druhΘ stran∞, u CyberGuardu je zcela nejasnΘ, co by se m∞lo pou₧φt a kdy.

V d∞lenΘm okn∞ slu₧eb se jmΘny jsme naÜli chybu, kterß p°idßvß p°ed IP adresu privilegovanΘho hostitele dv∞ mezery. Tato chyba se objevuje p°i ka₧dΘm op∞tovnΘm zavedenφ systΘmu a zabra≥uje slu₧bßm se jmΘny v b∞hu. Abyste tomuto problΘmu zabrßnili, jednoduÜe tyto dv∞ mezery sma₧te a °ekn∞te systΘmu, aby pou₧il novou konfiguraci. AΦkoli se nezdßlo, ₧e by vytvß°ely problΘmy v zabezpeΦenφ, tento a dalÜφ vtφpky nßs nechßvaly v obavßch o stabilitu systΘmu.

Gauntlet Internet Firewall 3.1

USPOKOJIV▌

Gauntlet vßbφ grafick²m u₧ivatelsk²m rozhranφm, zalo₧en²m na Webu. Bohu₧el, v∞tÜinu strßnek nelze pou₧φt. Kv∙li naÜφ frustraci z grafickΘho u₧ivatelskΘho rozhranφ, spojenΘ se skuteΦnostφ, ₧e stanovenφ pravidel omezujφcφch koncovΘ u₧ivatele vy₧aduje spoustu editovßnφ textovΘho souboru, neobdr₧el Gauntlet tak vysokΘ sk≤re jako CheckPoint a CyberGuard.

Gauntlet pou₧φvß k tomu, aby vßm umo₧nil konfigurovat klφΦovΘ komponenty ochrannΘ zdi, kombinaci textovΘho a grafickΘho rozhranφ. P°ijdete vÜak na to, ₧e budete muset editovat tabulky a dalÜφ d∙le₧itΘ soubory, jestli₧e chcete, aby byla pravidla p°φsn∞jÜφ ne₧ ta, kterß jsou nainstalovßna v systΘmu na poΦßtku (nap°. nepovolit u₧ivatel∙m prohlφ₧et si urΦitou strßnku na Webu).

To, co zaΦalo u grafickΘho u₧ivatelskΘho rozhranφ Gauntletu zalo₧enΘho na Webu jako vzruÜenφ, skonΦilo rozΦarovßnφm, kdy₧ jsme si uv∞domili, ₧e v∞tÜina u₧iteΦn²ch strßnek byla "ve v²stavb∞". TextovΘ soubory, kterΘ grafickΘ a textovΘ rozhranφ edituje, byly naÜt∞stφ jasn∞ oznaΦeny, aby nßs informovaly, ₧e tyto soubory byly kompilovßny databßzφ Gauntletu a ₧e bychom je nem∞li upravovat.

Soubory, kterΘ rozhranφ upravujφ, jsou standardnφmi unixov²mi konfiguraΦnφmi soubory. PotΘ, co zm∞nφte konfiguraci systΘmu, konfiguraΦnφ databßze Gauntletu znovu sestavφ p°φsluÜnΘ soubory a vyvolß hup, aby se zm∞ny aktivovaly. Vytvo°enφ textov²ch soubor∙ z databßze je mnohem lepÜφ, ne₧ prostß p°φmß editace textovΘho souboru. Jestli₧e je konfiguraΦnφ soubor necht∞n∞ upraven, m∙₧ete tφmto zp∙sobem jednoduÜe aktualizovat soubory databßzφ a soubor bude znovu sprßvn∞ nakonfigurovßn.

Jestli₧e pohodln∞ zvlßdßte sprßvu Unixu, nebude vßm konfigurace Gauntletu a proces sprßvy Φinit ₧ßdnΘ potφ₧e, proto₧e jsou velmi p°φmoΦarΘ.

ZabezpeΦenφ

CheckPoint Firewall-1 2.0

USPOKOJIV▌

CheckPoint nßs p°ekvapil tφm, ₧e m∞l n∞kterΘ zßkladnφ problΘmy v nßvrhu. B∞hem zavßd∞nφ systΘmu jsme byli schopni proniknout do systΘmu, kter² byl na n∞kolik vte°in ponechßn naprosto nezabezpeΦen. AΦkoli to nem∞lo vliv na bezpeΦnost systΘmu kdy₧ ji₧ b∞₧el, byli jsme Üokovßni, ₧e takov² problΘm CheckPoint Software p°ehlΘdl. Celkov∞ je vÜak teorie v pozadφ zßkladnφho nßvrhu CheckPointu oproti ostatnφm v²robk∙m ÜpiΦkovß.

CheckPoint je ze vÜech t°φ testovan²ch ochrann²ch zdφ nejneobvyklejÜφ. K monitorovßnφ provozu pou₧φvß jak²si druh hybridnφ technologie filtrovßnφ paket∙. CheckPoint poskytuje jedineΦnou formu p°ekladu adres jak k skrytφ internφch IP adres, tak k pou₧itφ neregistrovan²ch adres. Tento systΘm nabφzφ vÜechny v²hody tradiΦnφho filtrovßnφ paket∙. Mß podrobn∞ rozpracovanΘ vedenφ provoznφho denφku a varovßnφ, co₧ vßm umo₧≥uje vysledovat dokonce i ty ·pln∞ nejbezpeΦn∞jÜφ Φinnosti.

P°i testovßnφ softwaru na Sun Solaris jsme se dozv∞d∞li vφce o tom, jak na sebe CheckPoint vzßjemn∞ p∙sobφ s operaΦnφm systΘmem ni₧Üφ ·rovn∞. B∞hem zavßd∞nφ systΘmu a p°edtφm, ne₧ se CheckPoint ujme °φzenφ, je aktivnφ sm∞rovßnφ jßdra Solarisu. V tomto bod∞ je systΘm zcela otev°en² a ponechßvß tak Üirok² tunel pro ·tok.

NedostateΦnΘ vyzkouÜenφ a porozum∞nφ procedurßm zavßd∞nφ systΘmu je p°ekvapujφcφ; CheckPoint Software jasn∞ pot°ebuje zv²Üit testovßnφ kvality svΘho softwaru. Vy°eÜenφ tohoto problΘmu nenφ v∞cφ zm∞ny nßvrhu, ale jednoduÜe trochy editovßnφ textov²ch soubor∙. Nenφ t°eba °φkat, ₧e jsme byli zklamßni, kdy₧ jsme naÜli tento problΘm a ₧e jsme p°φsluÜn∞ snφ₧ili bodovΘ hodnocenφ bezpeΦnosti tohoto v²robku. D∙razn∞ doporuΦujeme, aby u₧ivatelΘ CheckPointu tento problΘm prozkoumali a nalezli jeho °eÜenφ, kterΘ funguje v jejich prost°edφ.

CyberGuard Firewall 2.1.2

DOBR▌

Nastavit hlßÜenφ monitorovßnφ a varovßnφ CyberGuardu vy₧aduje dosti programovßnφ, co₧ jsou v∞ci, kterΘ lze jak v Gauntletu tak u CheckPointu ud∞lat snadno. Na rozdφl od CheckPointu tento systΘm nikdy neponechal naÜi sφ¥ bezbrannou p°ed ·tokem. Jeho silnΘ zabezpeΦenφ a podrobnΘ funkce provoznφho denφku mu takΘ slou₧φ ke cti.

Z t∞chto t°φ ochrann²ch zdφ je CyberGuard nejvφce konvenΦnφ, a to jak filtr paket∙, tak server brßny aplikacφ. Tento systΘm takΘ zajiÜ¥uje p°eklad sφ¥ov²ch adres. Tato slu₧ba pro p°eklad nap°. m∙₧e vzφt FTP seanci a zm∞nit zdrojovou adresu na adresu externφho rozhranφ na jednotce CyberGuard. S tφm m∙₧ete skr²t adresy internφ sφt∞ a tak zabrßnit pokusu pr∙nikß°e (hackera) p°esn∞ stanovit, kde za·toΦit.

Tento systΘm nabφzφ podrobn² provoznφ denφk: vlastn∞ tak podrobn², ₧e se pravd∞podobn∞ p°istihnete, ₧e pou₧φvßte pouze ni₧Üφ ·rove≥ podpory zßznamu udßlostφ, abyste nemuseli trßvit p°φliÜnΘ mno₧stvφ Φasu prokopßvßnφm se skrz provoznφ denφky.

Na druhou stranu, b∞hem ·toku na systΘm vßm m∙₧e tento druh podrobnΘho zßznamu udßlostφ poskytnout n∞kterΘ velmi cennΘ informace.

V²stra₧n² systΘm CyberGuardu je p°edevÜφm navr₧en podle myÜlenky, ₧e vy, jako₧to odbornφci na Unix, budete schopni z°φdit skriptovacφ ·lohy, kterΘ by monitorovaly bezpeΦnostnφ provoznφ denφky a v p°φpad∞ ·toku vßs upozornily. GrafickΘ rozhranφ poskytuje jakousi schopnost monitorovat varovßnφ, ale ₧ßdn² sprßvce nebude sed∞t p°ed konzolφ 24 hodin denn∞. Byli jsme zklamßni nedostatkem v²stra₧n²ch mechanism∙, vestav∞n²ch do systΘmu.

CyberGuard takΘ su₧uje n∞kolik podivn²ch man²r p°i konfiguraci filtr∙ paket∙ p°es grafickΘ rozhranφ. Kdy₧ nastavφte filtr paket∙, aby povolil, aby mohlo od ka₧dΘho cokoli odchßzet nebo p°ichßzet (relativn∞ neu₧iteΦnΘ nastavenφ s v²jimkou testovßnφ), a potom jej p°epnete zpßtky, aby odmφtal cokoli od kohokoli, nechß pakety stßle prochßzet. VÜe, co jsme museli ud∞lat, abychom tuto situaci napravili, bylo znovuzavedenφ systΘmu (reboot), ale polekalo nßs to prßv∞ kv∙li tomu, ₧e bychom oΦekßvali, ₧e se systΘm aktualizuje bez op∞tovnΘho zavedenφ.

Gauntlet Internet Firewall 3.1

VELMI DOBR▌

P°i nebezpeΦnΘm chovßnφ CheckPointu a nep°edvφdatelnΘm chovßnφ CyberGuardu byl Gauntlet nejbezpeΦn∞jÜφm systΘmem, kter² jsme testovali.

Na rozdφl od ostatnφch ochrann²ch zdφ nepovoluje Gauntlet ₧ßdn² p°φm² p°φstup k vaÜφ zabezpeΦenΘ sφti. O veÜkerΘm p°φstupu rozhodujφ aplikaΦnφ zßstupci Gauntletu. To se tradiΦn∞ poklßdß za nejbezpeΦn∞jÜφ p°φstup k ochrann²m zdem, proto₧e systΘmem ve skuteΦnosti neprochßzejφ ₧ßdnΘ pakety. ZabezpeΦenφ klienti vy₧adujφ informace od proxy serveru na jeho internφ stran∞. Proxy server slou₧φ na externφ stran∞ jako klient a ₧ßdß o informace, kterΘ vracφ do proxy serveru. Proxy server potom zm∞nφ svou roli z klienta zp∞t na server a vracφ informace zabezpeΦenΘmu klientu. Tento druh zastoupenφ se m∙₧e takΘ vyskytovat z externφ sφt∞, aby umo₧nil p°φstup k internφm slu₧bßm.

Gauntlet nabφzφ svazek postup∙ k ov∞°ovßnφ pravosti znßmek (token∙), vΦetn∞ S/Key, SecureID, SNK a Fortezza. Secure ID a SNK nabφzejφ klφΦovanΘ systΘmy, kde u₧ivatelΘ nosφ karty, kterΘ Üifrujφ jejich hesla pro jednorßzovΘ pou₧itφ v systΘmu. S/Key nabφzφ zabezpeΦenφ tφm, ₧e poskytne u₧ivateli poΦßteΦnφ klφΦ. U₧ivatel potom vlo₧φ tento klφΦ se sv²m heslem; vygeneruje se seznam slov, kterß majφ b²t pou₧ita jako p°ihlaÜovacφ hesla.

Tyto typy postup∙ umo₧≥ujφ poskytnout vzdßlen²m nebo cestujφcφm u₧ivatel∙m p°φstup k  zabezpeΦenΘ internφ sφti z externφ sφt∞. VÜechny umo₧≥ujφ mφt heslo na jedno pou₧itφ, kterΘ lze bezpeΦn∞ vyslat p°es libovolnou sφ¥.

Slu₧by

CheckPoint Firewall-1 2.0

V▌TE╚N▌

CheckPoint je v tΘto kategorii jasn²m vφt∞zem, nebo¥ jeho vysp∞l² nßvrh mu umo₧≥uje podporovat vÜechny slu₧by, dokonce i na neregistrovanΘ sφti. Tato schopnost Φinφ z CheckPointu skv∞lou volbu pro jakoukoliv sφ¥, kterß pot°ebuje p°φstup k nejposledn∞jÜφm a nejskv∞lejÜφm slu₧bßm Internetu, nap°. k telefonu po Internetu.

Pro ·sp∞Ünou ochrannou ze∩ je nezbytnΘ, aby byla pro u₧ivatele transparentnφ. ╚φm vφce procedurßm je u₧ivatel vystaven, tφm pravd∞podobn∞ji ud∞lß n∞co, co bude ·stupkem na ·kor zabezpeΦenφ. Pro ochrannou ze∩ je takΘ d∙le₧itΘ, aby poskytovala p°φstup k tolika slu₧bßm na Internetu, jak je jen mo₧nΘ.

╚ekßnφ na to, a₧ bude vyvinut proxy server pro novou aplikaci, m∙₧e trvat dlouho a v souΦasnosti neexistujφ ₧ßdnΘ osv∞dΦenΘ standardy pro zastupovßnφ v protokolovΘ vrstv∞ namφsto v aplikaΦnφ vrstv∞. CheckPoint zaujφmß jedineΦn² p°φstup k poskytovßnφ p°φstupu ke vÜem slu₧bßm na Internetu.

Normßln∞ by vßm skuteΦnost, ₧e CheckPoint je p°edevÜφm sm∞rovaΦ s filtrovßnφm paket∙ a ne aplikaΦnφ brßna, brßnila v tom, abyste byli schopni pou₧φvat cokoli jinΘho ne₧ Φφslo sφt∞ registrovanΘ na Internetu. Technologie CheckPointu umo₧≥uje p°φstup na Internet dokonce i z neregistrovan²ch Φφsel sφtφ.

Nßstroj sleduje pakety, jak prochßzejφ sm∞rovacφm systΘmem. Tento mechanismus vybere vÜechny pakety, na kter²ch chce provΘst tento druh prozkoumßnφ. Nap°. paket UDP (User Diagram Protokol) p°ijde na vnit°nφ zabezpeΦenou sφ¥ a sm∞rovacφ mechanismus paket zachytφ a poÜle jej ven na externφ sφ¥. Kdy₧ se vrßtφ paket odezvy, systΘm tento paket zkontroluje oproti svΘ tabulce UDP, aby se ujistil, ₧e je skuteΦn∞ odpov∞dφ a potom jej p°edß zp∞t na internφ sφ¥. Tohle umo₧≥uje systΘmu provßd∞t ekvivalent zastupovßnφ libovolnΘ slu₧by. Äßdnß z ostatnφch ochrann²ch zdφ tuto ·rove≥ podpory protokolu nenabφzφ.

CyberGuard Firewall 2.1.2

USPOKOJIV▌

CyberGuard se v tΘto kategorii p°edvedl slab∞, proto₧e jedna z klφΦov²ch slu₧eb nßm n∞kolikrßt p°estala fungovat. TakΘ neposkytuje n∞kterΘ klφΦovΘ slu₧by, kterΘ bude v∞tÜina mφst vy₧adovat.

CyberGuard nabφzφ zßstupce aplikacφ pro zßkladnφ slu₧by, nap°. elektronickou poÜtu, Domain Name System (DNS), HTTP, Network News Transfer Protocol (NNTP), FTP, Telnet a rlogin. Ale z t∞chto t°φ server∙ mß CyberGuard nejmenÜφ podporu pro p°φstup k Internetu z neregistrovanΘ nebo skrytΘ domΘny.

AΦkoli tento systΘm skuteΦn∞ obstarßvß p°eklad adres, upozor≥uje vßs, ₧e p°es server se zapnut²m p°ekladem nebude fungovat ani HTTP. CyberGuard neposkytuje ₧ßdnΘ p°ipojitelnΘ proxy servery, aby umo₧nil slu₧by, jako jsou Whois a Finger. TakΘ nepodporuje zastupovßnφ X.

Z pozitivnφ strßnky vÜak CyberGuard poskytuje proxy server Socks 4.2. To vßm umo₧nφ pou₧φvat aplikace jako je Real Audio. M∙₧eme takΘ p°edpoklßdat, ₧e s uvoln∞nφm Socks5 CyberGuard vylepÜφ svΘ slu₧by, aby podporovaly zastupovßnφ vÜeho.

P°i pou₧φvßnφ vÜech slu₧eb jsme m∞li nep°φjemn² pocit, stejn², jako jsme m∞li p°i konfiguraci. Slu₧by DNS nßm n∞kolikrßt ukonΦily svou Φinnost a vy₧adovaly, abychom je znovu spustili.

Toto ukonΦenφ Φinnosti by mohlo b²t nejhorÜφ noΦnφ m∙rou sprßvkyn∞ poΦφtaΦovΘ sφt∞, kdy₧ ji celß firma volß, aby jφ °ekla, ₧e Internet nefunguje.

Na konci jsme m∞li pocit, ₧e CyberGuard se nejlΘpe pou₧φval jako filtr paket∙.

Gauntlet Internet Firewall 3.1

DOBR▌

Gauntlet pou₧φvß zßstupce jako svou metodu hovoru s vn∞jÜφm sv∞tem. Slu₧by Gauntletu jsou stabilnφ, efektivnφ a rychlΘ; Gauntlet vÜak nepodporuje proxy server Socks, co₧ mu zabrßnilo v tom, aby zφskal vyÜÜφ bodovΘ ohodnocenφ.

Gauntlet pou₧φvß k zajiÜt∞nφ vn∞jÜφho p°φstupu Firewall Toolkit od TIS. Tyto slu₧by se ji₧ lΘta osv∞dΦujφ na serverech Internetu. Stejn∞ jako Socks jsou poklßdßny za standard mezi zastupujφcφmi aplikacemi pro Internet.

Firewall Toolkit mß zßstupce pro HTTP, Gopher, FTP, Telnet, R-slu₧by BSD a X Windows. Mß takΘ zasouvatelnΘho zßstupce, kterΘho lze pou₧φt k zastoupenφ tΘm∞° ka₧dΘho protokolu TCP. Tato funkce umo₧≥uje zastupovßnφ SMTP, NNTP, Whois a Finger.

B∞hem naÜeho testovßnφ bylo snadnΘ rozpoznat, ₧e tyto slu₧by byly pou₧φvßny na Internetu mnoho let. Tyto brßny jsou rychlΘ a umo₧≥ujφ vÜeobecn∞ transparentnφ p°φstup k vn∞jÜφmu sv∞tu. Stßhli jsme soubory z n∞kolika stroj∙ a byli jsme zcela spokojeni s tφm, jak dob°e systΘm zvlßdal vφcenßsobnΘ ₧ßdosti a jak rychle zastupoval video, kterΘ jsme stahovali.

Byli jsme zklamßni zjiÜt∞nφm, ₧e nebyl podporovßn zßstupce Socks. Bez n∞j nem∙₧ete pou₧φvat nejnov∞jÜφ aplikace, nap°. telefon po Internetu.

Jak jsme testovali

Bez zabezpeΦenφ nem∞lo absolutn∞ ₧ßdn² smysl toto srovnßnφ provßd∞t. P°i psanφ plßnu naÜeho testu jsme m∞li toto na pam∞ti. Samoz°ejm∞, Φφm snadn∞ji se ochrannß ze∩ nastavuje a spravuje a Φφm vφce slu₧eb podporuje, tφm lΘpe. VÜechny tyto Φinitele jsme brali v ·vahu, ale naÜe testy byly p°edevÜφm jednoznaΦn∞ zam∞°eny na to, jak dob°e dan² v²robek zachoval bezpeΦnost naÜφ sφt∞, kdy₧ p°itom stßle poskytoval u₧ivatel∙m p°φstup k Internetu. Jako obvykle jsme se takΘ podφvali na dokumentaci, technickou podporu, politiku podpory a cenu.

V▌KON

Instalace a poΦßteΦnφ konfigurace

V tΘto kategorii jsme oΦekßvali, ₧e v²chozφ nastavenφ zabezpeΦenφ jednotliv²ch v²robk∙ bude stoprocentn∞ bezpeΦnΘ. Abychom se ujistili, ₧e tomu tak je, pustili jsme na v²chozφ konfiguraci Internet Scanner firmy Internet Security Systems. V²robek musel b²t p°inejmenÜφm po instalaci naprosto bezpeΦn².

V²robky, kterΘ Ülo snadno instalovat, obdr₧ely body navφc. Jestli₧e v²robek poskytnut² prodejcem zahrnoval instalaci a konfiguraci na mφst∞, dali jsme mu body navφc. Pokud bylo v²sledkem dokonΦenΘ instalace nezabezpeΦenΘ prost°edφ, v²robek obdr₧el hodnocenφ jako nep°ijateln².

Sprßva

Nastavenφ a sprßva ochrannΘ zdi by se nem∞lo brßt na lehkou vßhu: Je to n∞co, co by se m∞lo ponechat odbornφkovi, kter² rozumφ otßzkßm bezpeΦnosti a bezpeΦnostnφ politice vaÜφ firmy.

P°i realizaci ochrannΘ zdi nenφ snadnost pou₧itφ nejd∙le₧it∞jÜφm faktorem, jasnost a ·Φinnost ano. BodovΘ hodnocenφ v²robku jsme proto nesni₧ovali, pokud postrßdal grafickΘ u₧ivatelskΘ rozhranφ nebo kdy₧ pou₧φval jak textovou nabφdku, tak grafickΘ u₧ivatelskΘ rozhranφ. AvÜak jestli₧e m∞l obojφ, oΦekßvali jsme od n∞j, ₧e bude jasn∞ definovat, kterΘ funkce zastßvß grafickΘ u₧ivatelskΘ rozhranφ a kterΘ zastßvajφ nabφdky.

TakΘ jsme oΦekßvali, ₧e v²robek bude dodßn s u₧iteΦn²mi nßstroji pro sprßvu. BodovΘ hodnocenφ v²robku jsme zv²Üili, kdy₧ bylo jeho u₧ivatelskΘ rozhranφ obzvlßÜt∞ u₧iteΦnΘ, nebo kdy₧ m∞lo v²jimeΦnΘ schopnosti vedenφ provoznφho denφku. BodovΘ hodnocenφ v²robku jsme snφ₧ili, jestli₧e jej bylo t∞₧kΘ nakonfigurovat, nebo kdy₧ m∞l problematickß hlßÜenφ a zßpis udßlostφ.

BezpeΦnost

OΦekßvali jsme, ₧e v²robek bude poskytovat naÜφ sφti maximßlnφ bezpeΦnost a souΦasn∞ umo₧nφ naÜim u₧ivatel∙m p°istupovat k Internetu. Jestli₧e byl v²robek b∞hem naÜich test∙ v jakoukoliv chvφli nezabezpeΦen, t°eba i jen na n∞kolik vte°in, neobdr₧el vyÜÜφ hodnocenφ ne₧ uspokojiv². Proto₧e pr∙nikß°i (hacke°i) neustßle vynalΘzajφ novΘ zp∙soby, jak proniknout do zabezpeΦen²ch sφtφ, nem∙₧e b²t komerΦnφ v²robek nikdy stoprocentn∞ bezpeΦn²: Hodnocenφ v²teΦn² proto nebylo v tΘto kategorii mo₧nΘ. Pokud v²robek nedokßzal ohlßsit neÜkodnΘ ·toky, nebo ·toky nep°esn∞ zaznamenal, snφ₧ili jsme jeho hodnocenφ. Samoz°ejm∞, kdy₧ nedokßzal ohlßsit vß₧nΘ ·toky, nebo kdy₧ n∞jak²m zp∙sobem vy₧adoval kompromis na ·kor dlouhodobΘ bezpeΦnosti sφt∞, obdr₧el hodnocenφ nep°ijateln².

Slu₧by

Na Internetu je nep°ebernΘ mno₧stvφ dostupn²ch slu₧eb a vÜechny bohu₧el nejsou bezpeΦnΘ. OchrannΘ zdi tedy poskytujφ zßstupce, aby zabrßnili p°φmΘmu fyzickΘmu kontaktu mezi stranou vy₧adujφcφ slu₧bu a vaÜφ sφtφ. Pro tuto ·lohu jsme se nedφvali pouze na poΦet a typ slu₧eb, kterΘ jednotlivΘ v²robky podporovaly, ale takΘ na to, jak bezpeΦn∞ byly tyto slu₧by implementovßny. ╚φm snadn∞jÜφ bylo nakonfigurovat, monitorovat a sledovat zßstupce t∞chto slu₧eb, tφm vyÜÜφ bylo bodovΘ hodnocenφ v²robku. Pokud v²robek dokßzal bezpeΦn∞ podporovat neomezenΘ mno₧stvφ slu₧eb, dostalo se mu ohodnocenφ vynikajφcφ. Kdy₧ v²robek nepodporoval hlavnφ slu₧by, jako je FTP, HTTP, Telnet a SMTP, jeho hodnocenφ jsme snφ₧ili.

PODPORA A CENA

Dokumentace

OΦekßvali jsme, ₧e dokumentace bude dßvat explicitnφ pokyny k tomu, jak v²robek nejlΘpe nainstalovat a nakonfigurovat. Ud∞lovali jsme body navφc za pr∙vodce pro rychl² zaΦßtek, p°φmΘ a psanΘ v²ukovΘ programy, kartu pro rychlou referenci, d∙kladnou p°φmou nßpov∞du a dalÜφ u₧iteΦnΘ materißly. Slabß organizace, chyb∞jφcφ informace nebo ne·pln² rejst°φk hodnocenφ sni₧ovaly.

Technickß podpora

Hodnocenφ technickΘ podpory jsme zalo₧ili na kvalit∞ slu₧eb, kter²ch se nßm dostalo b∞hem n∞kolika anonymnφch telefonßt∙ prodejci. Body navφc jsme ud∞lili za zvlßÜtnφ ochotu pomoci nebo u₧iteΦnΘ tipy a zßpornΘ body za neop∞tovanΘ telefonßty a dlouhß Φekßnφ na drßt∞.

Politika podpory

Aby obdr₧el hodnocenφ uspokojiv², musel v²robek poskytovat urΦitΘ obdobφ bezplatnΘ podpory a alespo≥ jednu alternativu k telefonu, nap°. podporu p°es CompuServe, Internet nebo privßtnφ BBS. Body navφc jsme dßvali za zßruku p°φpadnΘho vrßcenφ pen∞z, rozÜφ°enΘ hodiny podpory, telefonnφ linku bez poplatk∙ a plßny zßkaznickΘ podpory.

Cena

BodovΘ hodnocenφ ceny odrß₧φ cenu balφku, p°iΦem₧ je vzata v ·vahu konkurence a zam²Ülen² trh. Hodnocenφ neodrß₧φ celkovou hodnotu v²robku, takΘ nebereme v ·vahu v²kon ani dalÜφ p°idanΘ funkce.

JEDEN PROTI JEDNOMU -- CHRIS W. KLAUS A MARCUS J.RANUM

Znamenß vyhledßvßnφ zraniteln²ch mφst, ₧e je vaÜe ochrannß ze∩ bezpeΦnß?

Skener je za°φzenφ, kterΘ hledß na sφti specifickΘ dφry v zabezpeΦenφ a hlßsφ sprßvci vÜechny internφ nebo externφ problΘmy se zabezpeΦenφm sφt∞. Od p°edstavenφ skeneru loni v lΘt∞ se hodn∞ debatovalo, jestli je pou₧itφ skener∙ (nap°. Internet Scanner od firmy Internet Security Systems [ISS] nebo Security Administrator Tool for Analyzing Networks [Satan]) vhodn²m zp∙sobem, jak testovat ochrannΘ zdi, zda nemajφ zranitelnß mφsta v zabezpeΦenφ.

Po₧ßdali jsem dva odbornφky na bezpeΦnost -- Marcuse J. Ranuma a Chrise W. Klause -- aby se s nßmi pod∞lili o sv∙j nßzor na tuto zßle₧itost. Ranum je autorem n∞kolika ochrann²ch zdφ; v podstat∞ v∞°φ, ₧e pou₧φvßnφ skeneru je neefektivnφm zp∙sobem, jak testovat zranitelnß mφsta v zabezpeΦenφ. Klaus na druhou stranu vyvinul Internet Scanner; je z°ejmΘ, ₧e v∞°φ, ₧e skenery jsou efektivnφm zp∙sobem, jak testovat dφry v zabezpeΦenφ. Zde je to, co museli °φci.

MJR: Testovßnφ ochrann²ch zdφ je obtφ₧n²m problΘmem, proto₧e sluΦuje n∞co, co vy₧aduje intenzivnφ expert²zu s n∞Φφm, co je vysoce konfigurovatelnΘ. K nastavenφ ochrannΘ zdi pot°ebujete rozum∞t politice, kterou zkouÜφte implementovat a tomu, jak ji reflektovat v ochrannΘ zdi p°i instalaci. To mi °φkß dv∞ v∞ci: Jedna -- laboratornφ testy ochrann²ch zdφ nejsou velmi u₧iteΦnΘ; druhß -- jakΘkoli testy ochrann²ch zdφ budou obnßÜet rozumnou kontrolu politiky ochrannΘ zdi stejn∞ jako jejφ implementace.

Laboratornφ testy nejsou u₧iteΦnΘ kv∙li naprosto vymyÜlenΘmu prost°edφ, kterΘ vytvß°ejφ. V minulosti jsem se podφval na velkΘ mno₧stvφ ochrann²ch zdφ na sφtφch r∙zn²ch lidφ a vid∞l jsem spoustu perfektn∞ dobr²ch ochrann²ch zdφ, kterΘ byly nakonfigurovßny, aby d∞laly n∞co hloupΘho, kdy₧ jsou nabuzeny. Laboratornφ test tohle neodhalφ. Abych pou₧il chatrnou analogii, laboratornφ test je jako test auta v nßrazu do p°edvφdatelnΘho objektu p°i p°edvφdatelnΘ rychlosti. V reßlnΘm sv∞t∞ n∞kte°φ sprßvci ochrann²ch zdφ jedou p°es ·tesy rychlostφ 150 km/h, zatφmco ostatnφ se plou₧φ podΘl dßlniΦnφ krajnice rychlostφ 9 km/h.

Ka₧dou komerΦnφ ze∩, kterou jsem vid∞l, lze nakonfigurovat tak, aby bu∩to povolovala prochßzet n∞Φemu hloupΘmu ve svΘm nezabezpeΦenΘm re₧imu, nebo aby nepovolila projφt niΦemu v absolutn∞ bezpeΦnΘm re₧imu. Na ochrannΘ zdi je jejφ implementace mΘn∞ d∙le₧itß ne₧ to, jak je buzena. Testovacφ nßstroje a laboratornφ testy, kterΘ testujφ implementaci, nejsou zajφmavΘ -- co pot°ebujeme, jsou nßstroje, kterΘ °eknou sprßvc∙m sφtφ, ₧e ud∞lali n∞co hloupΘho. Vid∞l jsem daleko mΘn∞ problΘm∙ s ochrann²mi zdmi, kterΘ jsou v²sledkem chyb v programu nebo omyl∙ ne₧ problΘm∙, kterΘ jsou v²sledkem zßm∞rn²ch rozhodnutφ nechat n∞co nebezpeΦnΘho p°ihodit se.

CWK: Balφk pro ohodnocenφ bezpeΦnosti m∙₧e pomoci sprßvci sφt∞ rozhodnout t°i v∞ci, t²kajφcφ se ochrann²ch zdφ: Za prvΘ -- byla bezpeΦnostnφ politika firmy °ßdn∞ implementovßna v ochrannΘ zdi? Za druhΘ -- bude tato implementovanß politika chrßnit proti hrozbßm z vn∞jÜku? A za t°etφ -- je bezpeΦn² vlastnφ systΘm ochrannΘ zdi?

Nßstroj pro ohodnocenφ m∙₧e pomoci rozhodnout, jakΘ slu₧by a nechrßn∞nß vystavenφ jsou skrze ochrannou ze∩ povolena nebo odep°ena. Krßtce, m∙₧ete rychle ukßzat na poruÜenφ politiky a implementace. Mnohokrßt p°ijdeme na to, ₧e pφsemnß politika zabra≥uje lidem z venku v p°ipojenφ k internφ sφti, kdy₧ ochrannß ze∩ ve skuteΦnosti umo₧≥uje komukoliv p°ipojit se ke stroj∙m uvnit° a tak ponechßvß celou sφ¥ otev°enu k ·toku. Je to proto, ₧e ochrannß ze∩ byla Üpatn∞ nakonfigurovßna, co₧ zp∙sobuje, ₧e spoleΦnost je t∞₧ce zranitelnß. Tento problΘm je dosti Φast² a lze jej snadno opravit, kdy₧ je identifikovßn nßstrojem pro ohodnocenφ bezpeΦnosti.

Nßstroj pro ohodnocenφ bezpeΦnosti m∙₧e pomoci otestovat systΘm ochrannΘ zdi, kdy₧ je v laborato°i, abychom dostali zßkladnφ Φßru -- "je toto bezpeΦn² systΘm ochrannΘ zdi?" Ale kdy₧ je ochrannß ze∩ nabuzena a pou₧φvß se v reßlnΘm sv∞t∞, je nejd∙le₧it∞jÜφ pou₧φt nßstroj pro ohodnocenφ bezpeΦnosti k d∙kladnΘmu prov∞°enφ ochrannΘ zdi a jejφ implementace, jestli nemß p°φpadnΘ dφry v zabezpeΦenφ.

DalÜφ nezbytnostφ pro zabezpeΦen∞jÜφ internφ sφ¥ je pou₧itφ nßstroje pro ohodnocenφ bezpeΦnosti na celou internφ sφ¥. Ochrannß ze∩ Φasto obstarßvß faleÜnou p°edstavu bezpeΦnosti, proto₧e p°φliÜ mnoho lidφ se spolΘhß pouze na ochrannou ze∩ a internφ sφ¥ je Üiroce otev°ena ·toku. Vet°elci mohou p°ekonat ochrannou ze∩, kdy₧ mß n∞kdo v organizaci otev°en² modem, kter² umo₧≥uje vzdßlen² p°φstup. Pomocφ nßstroje pro ohodnocenφ bezpeΦnosti m∙₧ete rychle identifikovat vÜechny stroje ve vaÜφ sφti a mo₧nß rizika a podniknout aktivnφ opravnΘ kroky v uzavφrßnφ t∞chto zraniteln²ch mφst p°edtφm, ne₧ se vet°elec pokusφ dostat dovnit°.

Tyto nßstroje pro ohodnocenφ bezpeΦnosti °φkajφ sprßvc∙m sφtφ, ₧e ud∞lali "n∞co hloupΘho".

MJR: Rßd bych drobn∞ poopravil jeden z Chrisov²ch komentß°∙: Automatizovan² testovacφ nßstroj nem∙₧e ukßzat, ₧e je n∞co bezpeΦnΘho, m∙₧e pouze ukßzat, ₧e n∞co nemß zjevnou dφru. Nßstroje, kterΘ provßd∞jφ automatizovanΘ testovßnφ jsou cennΘ pouze tehdy, kdy₧ jsou dob°e udr₧ovanΘ a majφ ΦerstvΘ informace o zranitelnosti. Myslφm si, ₧e v²robky jako je Internet Scanner, vykonßvajφ v tΘto oblasti cennou slu₧bu, nebo¥ slou₧φ jako clearingovß banka pro data pro testovßnφ zranitelnosti. Byly zde pokusy financovanΘ vlßdou o provedenφ stejnΘ v∞ci, byla to ale nßpadnß selhßnφ. Tak₧e stoprocentn∞ souhlasφm, ₧e automatizovanΘ testovacφ nßstroje jsou cennΘ, pokud jsou vhodn∞ pou₧φvßny.

Existujφ vÜak n∞kterß pou₧itφ t∞chto nßstroj∙, kterß nejsou vhodnß. Nap°φklad z testovßnφ ochrann²ch zdφ s automatick²mi kontrolnφmi seznamy mßm strach. Kdy₧ si kupuji ochrannou ze∩, nechci ji od n∞koho, kter² tak mßlo rozumφ zabezpeΦenφ, ₧e nevφ, jak se vyhnout vÜem "normßln∞" znßm²m zranitelnostem. Vlastn∞ nevφm o jedinΘ komerΦnφ ochrannΘ zdi, kterß by neodolßvala vÜem zranitelnostem, kterΘ identifikuje Satan, ISS nebo Pingware [od firmy Bell Communications Research ] atd.

CWK: Shodneme se, ₧e nej·pln∞jÜφ soubor test∙ pom∙₧e u₧ivatel∙m zφskat nejlepÜφ pochopenφ toho, jak jsou chrßn∞ni. Jestli₧e pou₧ijete bezplatn² nßstroj (public domain), kter² nebyl rok aktualizovßn a kontroluje pouze 10 zranitelnostφ, m∙₧ete lehce dostat hlßÜenφ o zabezpeΦenφ sφt∞, kterΘ prohlaÜuje, ₧e jste bezpeΦni. Ale pou₧itφ ·pln∞jÜφho nßstroje m∙₧e ukßzat, ₧e vaÜe celkovß sφ¥ je zcela Üiroce otev°ena ·toku. To je hlavnφm d∙vodem, proΦ organizace, kterΘ berou bezpeΦnost vß₧n∞, pot°ebujφ nßstroj, kter² je stßle aktualizovßn.

Provßd∞nφ ohodnocenφ bezpeΦnosti ochrannΘ zdi v laborato°i m∙₧e odhalit n∞kterß zranitelnß mφsta, kterß by m∞la b²t opravena p°edtφm, ne₧ p∙jde do pole. Tohle vÜak nenahrazuje provedenφ testu v poli. Je d∙le₧itΘ znovu ohodnotit ochrannou ze∩, kdy₧ pracuje v poli, kv∙li ov∞°enφ, ₧e byla sprßvn∞ nakonfigurovßna a vÜechna znßmß zranitelnß mφsta jsou p°ed ·tokem zav°ena. V tuto chvφli se stßvß cenn²m ov∞°enφ, ₧e ochrannß ze∩ ned∞lß nic, co p°ehlΘdla osoba, kterß ji kontrolovala. Nßstroj pro ohodnocenφ bezpeΦnosti by nem∞l b²t nßhra₧kou za lidi, kte°φ ochrannou ze∩ nastavujφ, ale pouze nßstrojem k ov∞°enφ, ₧e ochrannß ze∩ nenφ zranitelnß urΦitou sadou test∙.

MJR: Myslφm, ₧e jsme se shodli, ₧e tyto nßstroje jsou cennΘ, pokud jsou °ßdn∞ pou₧φvßny. Co mne znepokojuje, je to, ₧e nynφ, kdy je bezpeΦnost Internetu ₧hav²m tΘmatem, je ·rove≥ nev∞domosti mezi zßkaznφky stßle velmi vysokß. VÜichni v∞dφ, ₧e pot°ebujφ n∞jakΘ zabezpeΦenφ, jestli₧e jsou p°ipojeni k Internetu, ale mßlo si jich uv∞domuje, ₧e zabezpeΦenφ je souΦßstφ urΦitΘho procesu a ₧e to nenφ v²robek. Kdy₧ jsem prodßval ochrannΘ zdi a objevil se Satan, m∞li jsme urΦit∞ 2 000 zßkaznφk∙, kte°φ se ptali: "Nachßzφ Satan na vaÜφ ochrannΘ zdi n∞jakß zranitelnß mφsta?" Samoz°ejm∞, ₧e ne, proto₧e by to byla opravdu neuspokojivß ochrannß ze∩, kdyby m∞la takovΘ k°iklavΘ dφry, to je ale ·rove≥ nejistoty, kterou naÜi zßkaznφci cφtφ.

V∞°φm, ₧e existuje, nebo u₧ brzy bude, spousta marketingu okolo automatizovan²ch kontrolnφch nßstroj∙, jako jsou "testy ochrann²ch zdφ", aby byli zßkaznφci klidn∞jÜφ. Ale dodßvßnφ klidu zßkaznφk∙m v jejich nev∞domosti takΘ nenφ zabezpeΦenφm. Co chci vid∞t a co vyz²vßm v²vojß°e kontrolnφch nßstroj∙ aby dodßvali, jsou nßstroje, kterΘ rozÜi°ujφ zßkaznφkovo pochopenφ, ₧e zabezpeΦenφ je nep°etr₧it²m procesem. Podporujte je v tom a dostanete m∙j hlas. Myslφm si, ₧e je selhßnφm °φci "SpouÜt∞jte m∙j nßstroj ka₧d² m∞sφc a uvidφte, jakß je vaÜe sφ¥". Nßstroj by se m∞l sßm spouÜt∞t ka₧d² m∞sφc nebo t²den nebo kdy a °φci zßkaznφkovi nejen jak² je problΘm, ale jeho v²znam a jak jej odstranit. Myslφm, ₧e sm∞°ujeme tφmto sm∞rem, a je dob°e, ₧e se to nem∙₧e stßt dostateΦn∞ rychle. Co nechci vid∞t, jsou prodejci ohlaÜujφcφ "Satanem testovanΘ" ochrannΘ zdi, jako₧to trik, aby se zßkaznφci cφtili zmaten∞ a bezpeΦn∞.

CWK: TakΘ souhlasφme, ₧e bezpeΦnost je procesem neustßlΘho vylepÜovßnφ. NovΘ stroje, novΘ aplikace, novΘ verze operaΦnφch systΘm∙, novΘ konfigurace ochrann²ch zdφ a nov∞ objevenß zranitelnß mφsta tvo°φ stßle se m∞nφcφ profil zabezpeΦenφ. To diktuje, ₧e koncovφ u₧ivatelΘ a prodejci nßstroj∙ k ov∞°ovßnφ bezpeΦnosti musφ pracovat v nep°etr₧itΘm re₧imu. Na naÜφ stran∞ soustavn∞ zvyÜujeme poΦet zraniteln²ch mφst, kterß testujeme, stejn∞ jako pou₧itelnost naÜeho v²robku. Koncovφ u₧ivatelΘ musφ spolehliv²m zp∙sobem soustavn∞ prov∞°ovat svΘ bezpeΦnostnφ postupy.

Marcus J. Ranum je vedoucφm v∞deck²m pracovnφkem u V-OneCorp. Je hlavnφm autorem n∞kolika ochrann²ch zdφ pro Internet, vΦetn∞ zdi Gauntlet od firmy Trusted Information Systems a produktu Internet Firewall Toolkit.

Chris W. Klaus vytvo°il v roce 1994 firmu Internet Security Systems; vyvinul Internet Scanner. Krom∞ sv²ch v²vojß°sk²ch aktivit Klaus poskytl konzultace o zabezpeΦenφ mnoha organizacφm, vΦetn∞ NASA.

Orel se vznesl, aby lovil na trhu Windows NT

Brooks Talley

OchrannΘ zdi se b∞hem pouh²ch n∞kolika let pon∞kud zm∞nily: Prodejci pravideln∞ p°idßvajφ novΘ funkce a usnad≥ujφ sprßvu a p°itom navrhujφ novΘ zp∙soby, jak implementovat zabezpeΦenφ. Jedna v∞c vÜak z∙stala nem∞nnß: OchrannΘ zdi b∞hajφ na Unixu. Firma Raptor Systems je prvnφm v²znamn²m prodejcem ochrann²ch zdφ, kter² uvedl na trh verzi svΘ ochrannΘ zdi pro Windows NT. Naz²vß se Eagle NT (eagle = orel, pozn. red.).

Eagle jsme instalovali na stroji Dell Dimension XP90 s 32 MB RAM. Vlastnφ instalaΦnφ program byl velmi p°φmoΦar². Kdy₧ byl Eagle nainstalovßn, jeho v²kon se podobal v²konu nßmi testovan²ch proxy server∙ zalo₧en²ch na Unixu -- p°i p°φstupu p°es zßstupce byla v²konnost sφt∞ pouze zanedbateln∞ pomalejÜφ.

Eagle je v podstat∞ brßna aplikacφ. Podporuje vÜechny b∞₧nΘ slu₧by, jako jsou HTTP, FTP a SMTP. Krom∞ jeho vestav∞n²ch zßstupc∙ lze nakonfigurovat Generic Service Passer, aby pojal p°φchozφ provoz, jako je Network News Transfer Protocol. Pro obousm∞rn² TCP provoz lze Proxyd Daemon, co₧ je proxy-to-proxy server pou₧it² pro p°φstup zpravodajsk²ch slu₧eb Usenetu, nakonfigurovat tak, aby povoloval pr∙chod p°eddefinovanΘ slu₧b∞ nebo Φφslu portu. Eagle rozumn∞ varuje p°ed pou₧itφm Proxydu, nebo¥ by mohl b²t nakonfigurovßn, aby povoloval pr∙chod ve svΘ podstat∞ nezabezpeΦen²m protokol∙m.

Eagle bohu₧el nepodporuje zastupovßnφ User Datagram Protocolu, co₧ znamenß, ₧e slu₧by Internetu, jako je Real Audio, nebudou u₧ivatel∙m uvnit° ochrannΘ zdi Eagle p°φstupnΘ.

Na Eagle je nejvφce matoucφ vzhled jeho u₧ivatelskΘho rozhranφ. Z°ejm∞ v ·silφ o zp°φjemn∞nφ v²robku sprßvc∙m Unixu, se Eagle vzdal standardnφho u₧ivatelskΘho rozhranφ Windows NT. Mφsto toho jsou dialogovß okna jasn∞ ve stylu X Windows. AΦkoli toto nenφ problΘm, chovßnφ rozhranφ bude trochu vyvßd∞t z mφry pracoviÜt∞ s Windows NT, kterß nem∞la nikdy co do Φin∞nφ s Unixem.

Navzdory tomu, ₧e vypadß a vzbuzuje pocit Unixu, bylo rozhranφ pro sprßvu v Eagle velmi snadno pou₧itelnΘ, i kdy₧ nepracuje s u₧ivateli a skupinami Windows NT. Pomocφ vlastnφch nßstroj∙ Eagle jsme vytvo°ili n∞kolik u₧ivatel∙ a skupin a nakonfigurovali jsme pro n∞ r∙znß pravidla. Eagle podporuje jak postup s pou₧itφm hesla, tak postup s ov∞°enφm pravosti S/Key znßmek (token∙) a Üirok² rozsah pravidel pro p°φstup.

Raptor se zab²vß jednφm z primßrnφch zßjm∙, kterΘ majφ profesionßlovΘ zab²vajφcφ se informaΦnφmi systΘmy ohledn∞ ochrann²ch zdφ na NT: zabezpeΦenφm. Eagle se instaluje na pracovnφ stanici nebo serveru Windows NT a zablokuje NetBIOS, NetBEUI, Dynamic Host Configuration Protocol, Windows Internet Naming Service a Remote Access Service. Nespokojen se zabezpeΦenφm systΘmu p°i instalaci, Eagle instaluje p°φhodn∞ pojmenovanou slu₧bu Vulture (sup), kterß p°i b∞hu ochrannΘ zdi ka₧d²ch 60 vte°in kontroluje, jestli neprobφhajφ nesystΘmovΘ procesy a ukonΦuje je.

Pokud bude doruΦovßnφ IP nebo zdrojovΘ k≤dovßnφ nßhodn∞ (nebo potm∞Üile) odblokovßno, Vulture je takΘ zablokuje.

Eagle se takΘ honosφ robustnφm ohlaÜovacφm strojem, nazvan²m SAM (Suspicious Activity Monitor -- Monitor podez°el²ch Φinnostφ), kter² lze nakonfigurovat, aby upozor≥oval administrßtora zvukov∞, elektronickou poÜtou, pagerem nebo dokonce faxem. SAM nikdy nespφ a bude k°iΦet o pomoc, kdykoli provoz p°esßhne prßh, kter² administrßtor nastavφ. Nap°. jsme nakonfigurovali SAM, aby nßs upozornil, kdyby byly otev°eny vφce ne₧ dv∞ seance Telnet z ov∞°enΘho hostitele vn∞ ochrannΘ zdi. Celkov∞ vzato, Eagle je ₧ivotaschopn²m systΘmem pro pracoviÜt∞ s Windows NT.

Raptor prodßvß celou sadu v²robk∙ pro zabezpeΦenφ sφtφ, vΦetn∞ ochrannΘ zdi Eagle, kterß je k dispozici pro n∞kolik druh∙ Unixu. Jeho °ada v²robk∙ takΘ zahrnuje EagleNomad, kter² je navr₧en pro mobilnφ u₧ivatele, vy₧adujφcφ vzdßlen² p°φstup ke sv²m internφm sφtφm p°es Internet.

Socks5: LepÜφ zp∙sob cestovßnφ

Mark Pace

Proxy server∙m mnoho let velmi p°ekß₧ela skuteΦnost, ₧e nedokß₧ou zastupovat slu₧by UDP (User Datagram Protocol). UDP, na rozdφl od TCP (Transmission Control Protocol), vysφlß informace nep°eruÜenΘ, dφky Φemu₧ je mnohem rychlejÜφ a pro urΦitΘ slu₧by vhodn∞jÜφ. Kontinußlnφ audio je dobr²m p°φkladem toho, kdy je UDP vhodn∞jÜφ ne₧ TCP. TCP poÜle paket a potom Φekß na odezvu, kterß °φkß: "Ano, dostal jsem to." Na druhΘ stran∞ UDP poÜle paket na cestu a potom poÜle dalÜφ bez toho, ₧e byl Φekal nebo se staral o to, jestli se prvnφ paket dostal na mφsto urΦenφ. Je lepÜφ utrousit malink² kousek zvuku a stßle slyÜet tok zvuku, ne₧ zastavit p°ehrßvßnφ celΘho toku p°i Φekßnφ na TCP, aby opravil jakoukoliv nastalou chybu.

Socks5 byl vyvinut, aby zachrßnil situaci pro zastupovßnφ (proxying). Protokol Sock5, takΘ znßm² jako prov∞°en² pr∙chod ochrannou zdφ, je otev°en²m internetovsk²m standardem pro provßd∞nφ sφ¥ov²ch zastupovßnφ v p°enosovΘ vrstv∞. Byl publikovßn ve standardech Internet Engineering Task Force a spadß pod standard RFC 1928.

P°edchozφ verze Socks vy₧adovala jednoduch² zßpis do k≤du programu klienta, kter² po₧aduje zastupovßnφ. V∞tÜina dnes pou₧φvanΘho softwaru se bohu₧el dodßvß pouze v binßrnφm formßtu a je proto nemo₧nΘ je upravovat. Aby tento problΘm vy°eÜil a p°idal podporu pro UDP, Socks5 upravuje namφsto aplikace klienta socket vrstvu. To umo₧≥uje, ₧e si aplikace klienta v∙bec nemusφ b²t v∞domy zastupovßnφ pomocφ Socks5, kterΘ se odehrßvß. Tento druh zastupovßnφ umo₧≥uje libovolnΘmu klientovi za ochrannou zdφ nebo neregistrovanΘmu Φφslu sφt∞ Internet IP, aby zφskaly p°φstup ke vÜem slu₧bßm, kterΘ Internet nabφzφ.

Socks5 takΘ adresuje po₧adavek ·ΦinnΘho ov∞°enφ pravosti p°ed povolenφm zastupovßnφ. Tento druh ov∞°enφ pravosti by mohl umo₧nit bezpeΦn² proxy p°φstup k podnikovΘ zabezpeΦenΘ sφti. Socks5 dßle nabφzφ p°φstup k Generic Security Service API. Toto API umo₧≥uje integritu zprßv a jejich d∙v∞rnost a spadß pod standard RFC 1961.

Networking Systems Laboratory spoleΦnosti NEC v souΦasnΘ dob∞ vede ve v²voji Socks. Mß servery pokr²vajφcφ nejoblφben∞jÜφ platformy Unixu stejn∞ jako server pro Windows NT. U v∞tÜiny jejφch v²robk∙ stßle jeÜt∞ probφhajφ zßv∞reΦnΘ testy, lze si je ale stßhnout ze server∙ NEC.

Socks5 °eÜφ problΘmy svΘho p°edch∙dce a p°idßvß novou, u₧iteΦnou funkci. Vypadß jako po₧ehnßnφ pro trh se zßstupci. Vφce informacφ o protokolu Socks5 najdete na strßnce Web firmy NEC na adrese http://www.socks.nec.com.

SlovnφΦek pojm∙

P°eklad adres: Funkce n∞kter²ch internetovsk²ch ochrann²ch zdφ, kterß skr²vß p°ed vn∞jÜφm sv∞tem internφ IP adresy.

Ov∞°enφ pravosti: Proces, kter²m ochrannß ze∩ prochßzφ, aby urΦila identitu u₧ivatele, kter² se pokouÜφ o p°φstup k sv∞°enΘmu systΘmu.

Hostitel baÜty: SystΘm, instalovan² na sφti, kter² je zesφlen, aby odolal ·toku. Obvykle se jednß o souΦßst ochrannΘ zdi, hostitel baÜty provozuje n∞kterou formu operaΦnφho systΘmu pro obecnΘ pou₧itφ namφsto operaΦnφho systΘmu, kter² je v ROM nebo jako firmware.

DNS (Domain Name System): Protokol infrastruktury, kter² p°eklßdß nßzvy stroj∙ a mφst ze zßpisu ΦitelnΘho pro Φlov∞ka, nap°. netpart.com, na ΦφselnΘ adresy, aby mohly sφ¥ovΘ programy na tyto stroje a mφsta posφlat zprßvy. Je takΘ zapojen do sm∞rovßnφ elektronickΘ poÜty.

Hostitel s dußlnφm umφst∞nφm: PoΦφtaΦov² systΘm k obecnΘmu pou₧itφ, kter² mß alespo≥ dv∞ sφ¥ovß rozhranφ, z nich₧ je ka₧dΘ p°ipojeno k jinΘ sφti. V konfiguracφch ochrann²ch zdφ se brßna s dußlnφm umφst∞nφm typicky pokouÜφ zablokovat nebo filtrovat Φßst nebo cel² provoz, kter² se pokouÜφ projφt mezi zabezpeΦenou a nezabezpeΦenou sφtφ.

Internet Scanner: Sφ¥ov² skener od firmy Internet Security Systems, pou₧φvan² sprßvci zabezpeΦenφ a sφtφ ke kontrole sφt∞, jestli neobsahuje dφry v zabezpeΦenφ.

Zßznam udßlostφ: Proces uklßdßnφ informacφ o udßlostech, kterΘ se odehrßly v ochrannΘ zdi nebo sφti.

Zdr₧enφ zßznamu udßlostφ: Mno₧stvφ Φasu, po kter² jsou kontrolnφ denφky pozdr₧eny a udr₧ovßny.

Zpracovßnφ zßznamu udßlostφ: Jak kontrolnφ provoznφ denφky zpracovßvajφ nebo sumarizujφ data nebo hledajφ klφΦovΘ udßlosti.

Politika: Sada pravidel definovan²ch vaÜφ organizacφ, kterß ovlßdß p°ijatelnß pou₧itφ poΦφtaΦov²ch prost°edk∙, zabezpeΦovacφ metody a operaΦnφ procedury.

Filtrovßnφ paket∙: Akce, kterou za°φzenφ podnikß, aby selektivn∞ °φdilo tok dat do a ze sφt∞. K dosa₧enφ filtrovßnφ paket∙ definujete sadu pravidel, kterß specifikujφ, jak²m typ∙m paket∙ mß b²t povoleno dostat se dovnit° a jakΘ typy majφ b²t zablokovßny. Filtrovßnφ paket∙ se m∙₧e odehrßvat ve sm∞rovaΦi, v mostu (bridge) nebo na individußlnφm hostiteli. N∞kdy je znßmΘ jako podrobnß prohlφdka (screening).

Proxy server: TypiΦtφ zßstupci p°ijmou p°ipojenφ od u₧ivatele, rozhodnou, jestli mß u₧ivatel nebo IP adresa klienta povoleno pou₧φvat zßstupce, potom jmΘnem u₧ivatele dokonΦφ p°ipojenφ ke vzdßlenΘmu cφli. V∞tÜina ochrann²ch zdφ mß zßstupce pro sadu protokol∙, jako je FTP (File Transfer Protocol), HTTP a Telnet.

Satan (Security Administrator Tool for Analyzing Networks - Nßstroj sprßvce zabezpeΦenφ k anal²ze sφti): Prvnφ ze sφ¥ov²ch skener∙. Je to nßstroj, kter² prov∞°uje vaÜi sφ¥, jestli nemß dφry v zabezpeΦenφ. Kritici tohoto za°φzenφ °φkajφ, ₧e Satan m∙₧e b²t snadno pou₧it pr∙nikß°i (hackery) k ozkouÜenφ slab²ch mφst urΦitΘho cφle, kter² cht∞jφ napadnout.

SMTP (Simple Mail Transfer Protocol): Standardnφ protokol komunikace po Internetu, pou₧φvan² k p°enosu elektronickΘ poÜty. V∞tÜina internetovsk²ch ochrann²ch zdφ obsahuje zßstupce, kter² ho podporuje.

TCP (Transmission Control Protocol): ╚ßst zßkladnφho protokolu Internetu TCP/IP. TCP je protokol p°enosovΘ vrstvy bez mezifßzφ orientovanΘ na p°ipojenφ. Obstarßvß spolehlivΘ, posloupnΘ a neduplikovatelnΘ doruΦenφ byt∙ vzdßlenΘmu nebo lokßlnφmu u₧ivateli. TCP poskytuje spolehlivou komunikaci p°es tok byt∙ mezi pßry proces∙ v hostitelφch, kte°φ jsou p°ipojeni k vzßjemn∞ propojen²m sφtφm.

Rychl² pohled na v²sledky

BodovΘ hodnocenφ

Gauntlet Internet Firewall 3.1, 6.5

CheckPoint Firewall-1 2.0, 6.3

CyberGuard Firewall 2.1.2, 4.6

Äßdnß ochrannß ze∩ nenφ absolutn∞ neproniknutelnß. Po sv∞t∞ b∞hß p°φliÜ mnoho hacker∙, kte°φ nemajφ na prßci nic lepÜφho, ne₧ hledat zp∙sob, jak se dostat do vaÜφ sφt∞. Ochrannß ze∩ je vÜak stßle nejlepÜφm zp∙sobem, jak si dr₧et potencißlnφ naruÜitele od t∞la. Z produkt∙, kterΘ jsme testovali, se jako nejlepÜφ ukßzal Gauntlet od firmy Trusted Information Systems. K  vytvo°enφ ochrann²ch zdφ se pou₧φvajφ dv∞ zßkladnφ technologie: brßny aplikacφ (takΘ znßmΘ jako proxy servery) a filtry paket∙. Brßny aplikacφ jsou poklßdßny za bezpeΦn∞jÜφ, proto₧e izolujφ sφ¥ kompletn∞ji. S brßnami aplikacφ jsou vÜak n∞kterΘ problΘmy. Specificky, musφte mφt zßstupce pro ka₧d² protokol (nap°. HTTP a FTP [File Transfer Protocol]), kter² chcete podporovat. NßÜ vφt∞z pou₧φvß paradigma brßny aplikacφ.

Ne nesmysln² nßvrh Gauntlet Internet Firewall 3.1 odrß₧φ jeho ko°eny: Byl vytvo°en odbornφky na zabezpeΦenφ, kte°φ kv∙li barevnΘmu grafickΘmu u₧ivatelskΘmu rozhranφ ned∞lali ·stupky na ·kor bezpeΦnosti. Gauntlet je nejen bezpeΦn², ale p°ichßzφ s p∙sobivou politikou podpory, mß profesionßlnφ zam∞stnance technickΘ podpory a -- jako kdyby tohle vÜechno nestaΦilo -- je to nejmΘn∞ nßkladn² v²robek, jak² jsme testovali. Bu∩te si jisti, ₧e Gauntlet nenφ bez chyb. Holedbß se grafick²m u₧ivatelsk²m rozhranφm na bßzi Webu, kdy₧ jsme se ho ale pokusili pou₧φt, byla v∞tÜina u₧iteΦn²ch strßnek "ve v²stavb∞". Dßle, nastavenφ restriktivnφch pravidel (nap°. nepovolit u₧ivatel∙m, aby se podφvali na urΦitou strßnku na Webu) vy₧aduje celkem hodn∞ ·prav textovΘho souboru. Gauntlet takΘ trp∞l v kategorii slu₧eb, proto₧e p°ekvapiv∞ nepodporuje proxy server Socks. Tyto stφ₧nosti vÜak nejsou podstatnΘ.

CheckPoint Firewall-1 2.0 od firmy CheckPoint Software Technologies skonΦil jako druh², nebo¥ jsme v jeho brn∞nφ naÜli malou, ale d∙le₧itou dφru. B∞hem zavßd∞nφ systΘmu je ·pln∞ otev°en ·toku -- i kdy₧ pouze na n∞kolik vte°in. Velk² dojem na nßs vÜak ud∞lalo jeho mocnΘ grafickΘ u₧ivatelskΘ rozhranφ -- nejlepÜφ nßstroj pro sprßvu, kter² jsme v tomto srovnßnφ pou₧φvali. Inovativnφ nßvrh CheckPointu, kter² je modelovßn podle filtrovßnφ paket∙, po vßs nevy₧aduje, abyste Φekali a₧ bude vyvinut proxy server, p°edtφm ne₧ m∙₧ete tuto slu₧bu poskytnout sv²m u₧ivatel∙m. Pro u₧ivatele je transparentnφ a mß podrobnΘ zaznamenßvßnφ udßlostφ a varovßnφ, co₧ vßm umo₧≥uje vysledovat dokonce i ty nejbezpeΦn∞jÜφ Φinnosti. KoneΦn∞, dodßvß se s °ßdnou dokumentacφ a vynikajφcφ politikou podpory a stojφ pouze o 3 900 dolar∙ vφce ne₧ Gauntlet, kter² je na prvnφm mφst∞.

CyberGuard Firewall 2.1.2 firmy Harris Computer Systems nßs zklamal. Pr∙m∞rnß hodnocenφ v n∞kolika kategoriφch zp∙sobila, ₧e jeho koneΦnΘ hodnocenφ je o tΘm∞° celΘ dva body za vφt∞zem. CyberGuard je jak filtr paket∙, tak brßna aplikacφ; bohu₧el, ani jedno nenφ velmi dob°e implementovßno. NejlepÜφ v∞c, kterou o n∞m m∙₧eme °φct je, ₧e grafickΘ u₧ivatelskΘ rozhranφ je snadno pou₧itelnΘ.

Je ironiφ, ₧e prßv∞ grafickΘ u₧ivatelskΘ rozhranφ tohoto produktu nßm zp∙sobilo tolik problΘm∙. Rozhranφ se tak Φasto chovalo podivn∞, ₧e jsme m∞li nep°φjemn² pocit ze stability celΘho systΘmu. TakΘ nßs nenadchlo mno₧stvφ slu₧eb, kterΘ CyberGuard podporuje. Z t∞chto t°φ v²robk∙ m∞l CyberGuard nejmenÜφ podporu p°φstupu k Internetu z neregistrovanΘ nebo skrytΘ domΘny. Jako kdyby to nestaΦilo, stojφ dvakrßt tolik co Gauntlet.

Vn∞jÜφ/nezabezpeΦenß sφ¥

klient Windows 95

X-server

Web server

klient Unix

Internet Scanner

ochrannß ze∩/proxy server

Vnit°nφ/zabezpeΦenß sφ¥

DNS/SMTP/Telnet/FTP server

Web server

X-klient

klient Windows 95

klient Windows 95

klient Unix

InternetovΘ ochrannΘ zdi

Vßha CheckPoint Firewall-1 2.0 CyberGuard Firewall 2.1.1 Gauntlet Internet Firewall 3.1
CheckPoint Software Technologies Harris Computer Systems Trusted Information Systems
V²kon

Instalace a poΦßteΦnφ konfigurace 10 % Uspokojiv², 0,4, CheckPoint je nepochybn∞ nejobtφ₧n∞ji instalovateln² ze vÜech t°φ produkt∙. Pro ·sp∞ÜnΘ nainstalovßnφ pot°ebujete p°edchozφ zkuÜenosti s Unixem. Uspokojiv², 0,4, CyberGuard je lehkΘ nainstalovat a nakonfigurovat. Fyzickß prezentace systΘmu je velkolepß: 17" monitor, X-terminßl a dalÜφ kusy hardwaru jsou souΦßstφ balφku. Dobr², 0,6, Gauntlet je dodßvßn s jednodennφ konzultaΦnφ slu₧bou, kterß je urΦena specißln∞ pro instalaci a konfiguraci. Nenφ t°eba zd∙raz≥ovat, ₧e instalace byla hraΦkou.
Sprßva 15 % Velmi dobr², 1,2, GrafickΘ u₧ivatelskΘ rozhranφ CheckPointu bylo nejlepÜφ z testovan²ch. Mß ÜirokΘ mo₧nosti konfigurace, co₧ administraci velmi usnad≥uje. Dobr², 0,9, AΦkoli nenastaly ₧ßdnΘ bezpeΦnostnφ problΘmy, n∞kolik mal²ch chyb v u₧ivatelskΘm rozhranφ nßs znejist∞lo. Fakt, ₧e rozhranφ tohoto produktu bylo nejsnadn∞ji pou₧itelnΘ ze vÜech t°φ testovan²ch, vÜak uchrßnil CyberGuard od horÜφho hodnocenφ. Uspokojiv², 0,6, Gauntlet mß jak textovß menu, tak webovskΘ rozhranφ. Mnoho u₧iteΦn²ch webovsk²ch strßnek je vÜak naneÜt∞stφ ve v²stavb∞ a nejsou pou₧itelnΘ. Dφky tomu se Gauntlet umφstil v tΘto kategorii na poslednφm mφst∞.
BezpeΦnost 30 % Uspokojiv², 1,2, AΦ je to p°ekvapivΘ, CheckPoint je po n∞kolik sekund b∞hem zavßd∞nφ systΘmu zcela otev°en ·toku. Ironiφ p°itom je, ₧e bezpeΦnostnφ nßvrh tohoto produktu ve sv²ch zßkladech p°evyÜuje ostatnφ konkurenty. Dobr², 1,8, SprßvnΘ nastavenφ monitorovacφch a poplaÜn²ch funkcφ CyberGuardu vy₧aduje na rozdφl od konkurenΦnφch produkt∙ velkΘ mno₧stvφ programovßnφ. V jeho prosp∞ch hovo°φ vysokß bezpeΦnost a skv∞lΘ mo₧nosti pro p°ilogovßnφ. Velmi dobr², 2.4, Beze vÜech pochybnostφ je Gauntlet nejbezpeΦn∞jÜφ ze vÜech t°φ systΘm∙. Na rozdφl od ostatnφch nedovoluje p°φm² p°φstup do zabezpeΦenΘ sφt∞ a podporuje °adu autentizaΦnφch schΘmat.
Slu₧by 15 % V²born², 1,5, CheckPoint je jedin² produkt, kter² vyu₧φvß technologii Stateful Multilayer Inspection. Tento modernφ nßvrh umo₧≥uje podporu vÜech slu₧eb, jako jsou HTTP a FTP, dokonce na neregistrovanΘ sφti. Uspokojiv², 0,6, CyberGuard podporuje zßkladnφ slu₧by, jako je e-mail, Telnet a rlogin, ze vÜech t°φ systΘm∙ mß vÜak nejhorÜφ podporu pro p°φstup k Internetu z neregistrovanΘ domΘny. Na rozdφl od Gauntletu je podporovßn Socks 4.2 proxy server. Dobr², 0,9, Gauntlet vyu₧φvß zßstupce pro komunikaci s okolnφm sv∞tem. Jeho slu₧by jsou stabilnφ, efektivnφ a rychlΘ. Nepodporuje vÜak Socks proxy server, co₧ zap°φΦinilo, ₧e nedostal vφce bod∙.
Podpora a cena

Dokumentace 10 % Velmi dobr², 0,8, Dokumentace CheckPointu byla nejkompletn∞jÜφ z testovan²ch produkt∙. Nabφzφ mno₧stvφ jasn²ch p°φklad∙, jak provΘst nastavenφ systΘmu pro r∙znΘ konfigurace. Slab², 0,2, Dokumentace CyberGuardu vßs sice m∙₧e navΘst sprßvn²m sm∞rem, ale nikdy vßs nedovede a₧ k cφli. V n∞kolika p°φpadech nepokr²vala problematiku, se kterou jsme pot°ebovali poradit (nap°φklad konfigurace HTTP proxy serveru), jinak, ne₧ v nejobvyklejÜφch p°φpadech. Uspokojiv², 0,4, Dokumentace Gauntletu p°ipomφnß unixov² manußl. To je skv∞lΘ pro lidi, kte°φ rßdi Φtou manußly pro zßbavu, zklame to vÜak u₧ivatele hledajφcφho jednoduchou radu.
Technickß podpora 10 % Uspokojiv², 0,4, Technickou podporu jsme volali t°ikrßt, ve vÜech p°φpadech trvalo nejmΘn∞ dv∞ hodiny, ne₧ se nßm n∞kdo ozval zp∞t. Jakmile jsme vÜak m∞li mo₧nost s n∞k²m mluvit, vÜechny naÜe otßzky byly zodpov∞zeny sprßvn∞ a profesionßln∞. Uspokojiv², 0,4, Dva z naÜich telefonick²ch dotaz∙ byly zodpov∞zeny ihned, ve t°etφm p°φpad∞ jsme museli Φekat, a₧ se nßm n∞kdo ozve zp∞t. K tomu doÜlo po 45 minutßch. VÜechny naÜe otßzky byly zodpov∞zeny korektn∞, cφtili jsme vÜak frustraci na stran∞ technik∙ z n∞kter²ch jednoduch²ch otßzek. Velmi dobr², 0,8, UskuteΦnili jsme t°i hovory, ve vÜech p°φpadech jsme zφskali okam₧itou odpov∞∩ a vÜechny naÜe otßzky byly zodpov∞zeny sprßvn∞ a profesionßln∞.
Politika podpory 5 % V²born², 0,5, LepÜφ podporu nem∙₧ete ₧ßdat. ZßruΦnφ doba je 90 dnφ, do 30 dn∙ lze dostat zp∞t svΘ penφze. K dispozici je bezplatnß telefonnφ linka, podpora prost°ednictvφm BBS, Internetu a faxu. Uspokojiv², 0,2, Proto₧e CyberGuard je prodßvßn prost°ednictvφm distributor∙ a OEM partner∙, velmi zßle₧φ na tom, kde nakupujete. V minimßlnφm p°φpad∞ je poskytovßna 90dennφ zßruka a podpora p°es Internet, BBS a fax. Velmi dobr², 0,4, Firma TIS nabφzφ bezplatnou 30dennφ podporu a 30dennφ zßruku vrßcenφ pen∞z. K dispozici je bezplatnß telefonnφ linka, podpora p°es Internet, BBS a fax.
Cena 5 % Dobr², 0,3, Podnikovß verze vΦetn∞ podpory pro neomezen² poΦet uzl∙ stojφ 18 900 dolar∙. Slab², 0,1, Testovali jsme vysoce v²konnou verzi vybavenou mikroprocesorem 88110 RISC. Katalogovß cena tΘto verze je 31 995 dolar∙. Velmi dobr², 0,4, Produkt stojφ 15 000 dolar∙ a v cen∞ je jednodennφ konzultace.
V²slednΘ hodnocenφ 6,3 4,66,5

Vysv∞tlivky

Posuzujeme pouze ostrΘ verze produkt∙, nikdy ne beta-verze. Produkty nebo °eÜenφ dostßvajφ v r∙zn²ch kategoriφch znßmku od nep°ijateln² a₧ po v²born².

Body se odvodφ vynßsobenφm vßhy ka₧dΘho kritΘria jeho znßmkou.

V²born² = 10 -- Vynikajφcφ ve vÜech oblastech.

Velmi dobr² = 8 -- Spl≥uje vÜechna zßkladnφ kritΘria a nabφzφ v²znamnΘ v²hody.

Dobr² = 6 -- Spl≥uje zßkladnφ kritΘria a mß n∞kolik dalÜφch schopnostφ.

Uspokojiv² = 4 -- Spl≥uje zßkladnφ kritΘria.

Slab² = 2 Selhßvß v zßkladnφch oblastech.

Nep°ijateln² = 0 Nespl≥uje minimßlnφ kritΘria.

Body se sΦφtajφ a dajφ celkovΘ koneΦnΘ hodnocenφ do 10. Produkty s bodovou tolerancφ 0,2 se liÜφ mßlo. Vßhy udßvajφ pr∙m∞rnou relativnφ d∙le₧itost pro Φtenß°e, kte°φ kupujφ a pou₧φvajφ tuto kategorii produkt∙. Celkovou zprßvu si ka₧d² m∙₧e upravit podle pot°eb svΘ spoleΦnosti pou₧itφm vlastnφch vah a p°epoΦφtßnφm koneΦn²ch bod∙.

| <<< | CW o Internetu | COMPUTERWORLD | IDG CZ homepage |