De flesta har väl hört talas om VPN – Virtual private Network som för 10 år sedan var ett dyrt sätt att skapa anslutningar mellan kontoren över internet. Idag är det snarare regel än undantag att man får åtkomst till företagets resurser via VPN. Att komma åt nätverket betyder oftast att man behöver en s.k. VPN klient som ser till att kommunicera med brandväggen och krypterar trafiken enligt företagets krav, t.ex. Cisco VPN Client.

Med SSL VPN slipper man klientdelen och kan via en proxy funktion göra hela eller delar av företagets resurser tillgänglig via ett  webgränssnitt som är anpassningsbar. Säkerheten ligger på flera nivåer och inovlverar uppläggning av resurser som skall vara tillgängliga via SSL VPN, skapning av användare och certifikat då man vill ha krypterad åtkomst via https://.

Filåtkomsten, även kallad reverse proxy fungerar i stort sett med alla läsare och operativsystem som kan hantera JAVA som är ett funktionskrav. Vill du använda VPN funktionen istället får du hålla dig till Windows XP då den helt saknar Vista-stöd.

Efter att ha deltagit i en Workshop där Halons SX  och SPG serien visades var jag eld och lågor då jag fick chansen att testa en Halon SX-101 i 30 dagar.

Snabb
SX 101:an är utrustad för att kunna hantera stora datamängder och de mätningar jag gjort visar att den orkar. Mensystemet är kategorierindelad och känns aningen rörig i början med man vande sig relativt snabbt. Logfunktioner och hälsorapporter skulle dock behöva konsolideras något. Tilläggas skall att den loggfunktion som görs via konsolen är desto rikare dock behöver du telnet eller putty för det (och troligen en USB till RS232-kabel), väl ansluten till konsolen var den mycket enkel att komma igång med.

Brandväggen kan konfigureras i 2 lägen…Basic och Advanced, i det förstnämda läget skapas det mesta automatisk och användaren slipper en hel del avancerade inställningar.

Många funktioner
En väldig nyttig funktion för dom som rör på sig mycket är den inbyggda PPTP server även kallad VPN. Med ett par klick och uppläggning av användarkonton gör du ditt nätverk tillgänglig  från det mobila kontoret, den lilla brandväggen (SX50) klarar 10 anslutningar och den större (SX101) upp till 25. (rekommenderade anslutningar).
Lilla SX50 ståtar även med trådlös funktion (54MBIT) som är helt integrerad i enheten. Det enda jag saknar är 3G stöd som enkelt görs till backup lina ifall den vanliga linann skulle gå ner. (finns dock med på ”ta med” listan))

Förutom sedvanlig paketinspektion, Nat och allmännt skydd av det lokla nätverket har man möjlighet att aktivera extra kontroller för spam, hacker och antivirus via 12-36 månaders abonnemang.

Bra support
Halons support är snabb och professional och under min testperiod fick jag  hjälp med ett antal viktiga inställningar/konfigurationer som jag vet att kunder kommer att vilja ha, det finns en hel del färdigt online också dock kräver dessa guider en hel del förkunskaper för att riktigt komma till nytta.

Smakar det så….
Mellanmodellen SX101 kostar strax över 11000:- (minstingen SX50 ca 8600:-). Firmware uppgraderingar och aktivering av utökade säkerhetsfunktioner (s.k. UTM) till modellen kostar extra och tecknas som ett abonnemang (s.k. Service Level Agreemant) som kostar runt 5500:-/år (minstingen SX50 ca 4000:-/år), då ingår allt inkl. support.

Jag har tyvärr ej hunnit testa SX101:an utökade säkerhetsfunktioner dock är jag i full gång att testa deras Spam Gateway som nyttjar deras egenutvecklade Global View som samlar in skräppostdata i realtid och därför kan ståta med att kunna rensa över 99% av skräpposten.

Halon SX50 och SX 101 ligger bra till i pris , levererar bra prestanda, har många funktioner och en support som brinner för sin produkt (det gillar jag verkligen) och utvecklar den i snabb takt. Har man väl blivit vän med gränssnittet är den en barnlek att ratta trots några skavanker. CLi´n är desto vassare och supporten hjälper gärna till så du kommer igång snabbt.

Produktlänk: http://www.halonsecurity.se/products/products_01_gateways_sx101.shtml

Mojligt alternativ till Halon SX101 är Zywall USG100

Har du en äldre brandvägg som ligger i något hörn eller som du kanske funderar på att byta ut rentav, vänta med det…kolla istället om just din router kan uppgraderas med funktioner som du inte trodde att den kunde klara av.

DD-WRT heter den alternativa mjukvaran som gör om din Netgear 834Bv2 (kostar runt 600:-) till en brandvägg med funktioner som endast kan hittas i dyrare varianter. Grundversionen  som enheten levereras med är funktionslös och begränsande (även om den gör sitt jobb såklart) eller vad sägs om att få Gäst Hotspots- och Open VPN- stöd (pptp-stöd). Uppgraderingen har stöd för teman och är helt översatt till svenska menyer (Netgears orginalmjukvara finns endast på engelska)

Brandväggen/Routern uppgraderas med en specialmjukvara för just din enhet, helt 100%är installationen inte så det varnas en hel del för att din enhet kan ”brickas” (förstöras). I mitt fall fastnade enheten i ett s.k. TFTP-läge som det var lite svettigt att ta sig ur tills man hade läst på lite :-). Efter första installationen är det dock superenkelt att uppgradera enheten med nya versioner.

Produktlänk: http://www.dd-wrt.com
Alternativ till ovan:  http://www.myopenrouter.com/download/list eller http://openwrt.org/

Testa din brandvägg på grc.com

Har du bredband? Då borde du ha en brandvägg också!
Nya operativsystem har idag en aktiv brandvägg dock är den mjukvarobaserad och klart sämre än den enklaste hårdvarubrandväggen med SPI som kontrollerar datapaketen som går igenom brandväggen.

Dagens ”hårda” brandväggar är oftast utrustade med både switch, bridge och routerfunktioner. Priset avgör antalet finesser och hur nogrann trafiken kontrolleras samt hur många som samtidigt kan surfa via en och samma anslutning.

Nedan följer några enkla utväredringar av testade brandäggar!

Netgear WNR854T – kostar runt 1000-lappen
Målgrupp – hemanvändare
Routern fungerar som den ska och bjuder på Gigabit anslutningar och switchfunktion med 4 extraportar. Anpassningar kan göras av den trådlösa funktionen från 11-300MBIT, standard på de flesta datorer är dock fortfarande 54MBIT. Brandväggen klarar att skydda mot enklare försök till intrång och har stöd för ”static routes” och publicering av exempelvis ftp- eller webserver. Stöd för dyndns finns. Den uppnådda maxhastigheten var 48MBit.

Zywall 5 vid 50+ MBit belastning

Zyxel Zywall 5 – kostar runt 5000:-
Målgrupp – lilla företaget eller den avancerade användaren
5:an är en fullvärdig brandvägg som klarar krypterade tunnlar (site to site) mellan kontoren/hemmen,har inbyggd antivirus- och antispamfunktioner.Portarna kan ställas i olika funktionslägen för att göra delar av insidan tillgängliga för behöra utan att behöva kompromissa bort säkerhet. Zywall 5 är även utrustad med en PCMCA port för att att skapa en backupanslutning med valfritt 3G abonnemang, när ordinarie anslutning går ner används 3G bedbandet tills den är igång igen. Bra att ha om man inte kan kosta på sig att vara utan internet. Bra att ha i sommarstugan också ;-) Stöd för dyndns finns. Den uppnådda maxhastigheten var 37MBit.

Zywall USG200 vid 50+ MBit belastning

 
 Zyxel Zywall USG200 – kostar runt 10000:-
Målgrupp – som ovan och om man har 50+ bredband
USG 200 är som Zywall 5:an gånger 4 :-)Prestandan är grym och, brandväggen går för det mesta på halvfart. Stöd för dubbla internetleverantörer och 3G backup via PCMCA eller USB (typ 3G dongle) Den uppnådda maxhastigheten var 52MBit.  Den maxade min internetanslutning utan problem. Stöd för dyndns finns.

När du köper brandvägg är det viktig att ta reda på vilken ”troughput” (genomflöde) den har, Zywall USG 200 har 150Mbit i troughput av data som antingen genereras av 1 person eller kanske flera, om du sedan delar värdet med 2 får du ett ungefärligt värde på vad brandväggen maximalt orkar släppa in. Värdt sjunker allt eftersom du aktiverar olika tjänster så som VPN, loggning, antispam m.m.