Názory k článku Použijte správný firewall pro ochranu své sítě

Narazil jsem náhodou po čase na tento článek a nedá mi to, abych k tomu něco nenapsal.
Nevím, jestli byla nutná ze strany pana Kotmela tak bouřlivá reakce, resp. zdali zvolil zcela vhodnou formu, ale faktem je, že pokud píšete recenzi a píšete o produktu Vaší firmy, připadá mi to opravdu neetické nezmínit to explicitně ve Vašem článku jak v úvodu, tak i přímo u recenze produktu Vaší firmy. Vyvolává to dosti značnou řadu otázek.

Pokud se týká věcné stránky článku, mohu k tomu jakožto dlouholetý uživatel produktu Astaro (momentálně jich máme v provozu cca 6 včetně HA-clusteru) cosi napsat snad s vyšší znalostí věci.

Určitě mi přijde velmi zavádějící že jste všeobecně nezmínil možnost použití vcelku plné verze Astaro pro domácí použití. Další zajímavostí je možnost použití "Essential Edition" (bez proxy a VPN funkčností) i komerčně zadarmo.

Pokud se týká nepřesností ve Vašem článku, větu "Za nevýhodu také považuji nemožnost definice portů, na kterých požaduji proxy využívat" mne opravu překvapila, protože to možné je a dokonce vcelku komfortně - např. pro HTTP/S proxy stačí dokliknout na záložku "Advanced" kde je možno nastavovat jak port na kterém proxy poslouchá při netransparentním módu, tak i služby (porty) které mají být proxy monitorovány (např. v transparentním módu - o této možnosti, která mi připadá být z uživatelského hlediska dosti příjemná jste se také možná mohl zmínit).

Osobně dále opravdu nemohu souhlasit s hodnocením, že není možno firewall použít i pro správu větších sítí... Co je třeba myslím v tomto ohledu např. zmínit, je velmi výhodné použití (pokud vím zdarma) produktu Astaro Command Center, což je speciální služba, která vám umožňuje agregovat výstupy a základní ovládání více Gatewayí pod jednou střechou.

Naopak mne osobně mrzí, že se nedá webové rozhraní ovládat klávesnicí, ale v době web2.0 už se to asi nedá nikde. Vzhledem k tomu, že je Gateway doslova přecpána funkčností, po upgradech jsme mívali na starších kusech ASG nejnižších řad ASG110 a ASG120 problémy s výkonem pokud jsme chtěli aktivovat veškerou funkčnost (v článku je zmíněn opravdu jen velmi malý výřez funkčnosti Astara - ale to pravděpodobně u všech produktů). Musím ale říci, že postupnými patchi na dnešní verze 7.50x se situace stabilizovala a i mnohem bohatší funkčnost dnes zvládá docela starý HW. Sice bych možná v rámci maintenance uvítal vstřícnější politiku Astaro AG ohledně výměny staršího HW za nový, ale cesta optimalizace je vlastně taky relativně dostačující :-).
Pěkná mi u Kernunu připadá možnost editace konfiguračního souboru ručně a to ne kvůli možnosti definice extravagantních služeb, které mohu u Astara pár kliknutími bez problémů definovat v uživatelském rozhraní, ale kvůli hromadným změnám v konfiguraci - např. pokud přejmenujete nějakou zónu nebo přesouváte IP adresy k jinému providerovi, dost si poklikáte, na to by to bylo pěkné... Zvláště pokud to musíte provádět na více strojích. Slyšel jsem ale, že ale v nových verzích ACC by mělo být možno definovat entity systému (např. definice sítí a služeb) napříč více firewally, což by pak nesmírně ulehčilo povinnou "klikačku" na každém firewallu při přidání nějaké enterprise-wide významné adresy nebo jiného elementu konfigurace... No, uvidíme.

Dále mne k Vašemu článku ještě napadlo, že pokud se týká obecné části o clusteringu v úvodu, připadá mi, že věta "Zde je však potřebné upozornit na skutečnost, že ne všechny funkce kráčí ruku v ruce s bezpečností. Pro vysvětlení uvádím režim active-active s vysokou dostupností (tj. souběžnou činnost obou firewallů). V takovém případě již nemá vysoká bezpečnost funkci vysoké bezpečnosti, ale naopak v případě výpadku jednoho zařízení to vede k výpadku části spojení, které aktivní zařízení již nestihnou obsloužit." možná nemusí být díky povaze netypického aktivního clusteringu Astaro (kaskáda se specifickou funkčností) úplně pravdivá, nevím.

Neznám produkt Kernun, ale z mého hlediska mi za celkem zásadní při použití u středních sítí připadá absence load balancingu, jejíž alternativní přidané řešení nejenom zvyšuje komplexnost síťové topologie, ale znamená i nutnost nákupu dalšího zařízení, což může znamenat nezanedbatelné náklady navíc - zvlášť pokud chcete docílit high-availability. Myslím si, že to naopak produkt poněkud u použití pro střední a menší firmy diskvalifikuje.
Pokud se týká protokolu IPv6, pokud píšete, že je dnes u produktu Kernun k dispozici v experimentální formě, je to jako bych řekl, že mohu vyzkoušet beta verzi Astaro v8, která podporu v sobě má... Je ovšem možné že v době vzniku článku ještě betaverze nebyla dostupná, nevím - že ale IPv6 v další verzi bude je již známo delší dobu, stačilo trochu zapátrat na webu (obecně budoucí plány výrobců by u recenze asi chybět neměly a s výjimkou Fortinetu chybí). Čekal bych tedy nicméně, že v negativech Kernum firewallu by pouhá "experimentálnost" použití IPv6 mohla být zmíněna, pokud jde o tak důležitý bod, že ho bylo třeba u Astara zmínit, zvláště v zavádějící formulaci "Nevýhodou do budoucnosti může být také absence podpory IPv6" - když lze snadno zjistit že v budoucnu IPv6 podporováno bude.

Pokud pak dále píšete, že Kernun firewall pracuje pouze s aplikačními proxy a nepoužívá stavové paketové filtry u běžných protokolů, velice by mne pak zajímala odolnost vzhledem k DoS útokům který někdo spustí na servery v DMZ chráněné tímto firewallem, které tedy odstiňuje jak jsem pochopil pouze aplikační proxy, tedy řádově komplexnější zpracování požadavků. Ale možná jsem to špatně pochopil, nevím, produkt Kernum vůbec neznám.

Celkově se mi osobně opravdu zdá tendenčnost vašeho článku sice jemná, ale docela zřejmá.