Zapora w sercu routera
Popyt na sprzętowe zapory ogniowe jest w Polsce niewielki. Nie oznacza to, że sieci przedsiębiorstw są całkowicie pozbawione ochrony. Firmy chętniej kupują routery z wbudowanymi funkcjami zapór.
Tak wynika z badań FBI (Federal Bureau of Investigation i Computer Security Institute), zapora ogniowa jest drugim po antywirusach najczęściej stosowanym zabezpieczeniem w amerykańskich firmach. Ich używanie zadeklarowało 98 proc. przedsiębiorców. W Polsce jest jednak inaczej, zapory kupuje się niechętnie. Ceny sprzętu utrzymują się na dość wysokim, jak na możliwości przeciętnej polskiej małej firmy, poziomie. W związku z tym klienci wybierają tańsze od zapór ogniowych routery, wyposażone w funkcje firewalla. Jednak tylko większe przedsiębiorstwa mają bardziej rozbudowane systemy. Mniejszym wystarcza namiastka zapory ogniowej w postaci NAT.
Translacja adresów jest najpopularniejszym sposobem zabezpieczania sieci małych firm. Najpopularniejszym, nie oznacza wcale najlepszym. Niektórzy dystrybutorzy są nawet zdania, że skutecznym tylko w przypadku najprostszych ataków…
Zabezpieczenie prawie symboliczne
Producenci zapór, dystrybutorzy oraz resellerzy mówią, że sprzedaż zapory ogniowej właścicielowi kilkuosobowej firmy graniczy z cudem. Drobni przedsiębiorcy nie mają pieniędzy na urządzenia, które kosztują kilka tysięcy złotych. Nie oznacza to, że całkowicie zaniedbują kwestie bezpieczeństwa. Okazuje się, że dużo chętniej kupują routery wyposażone w funkcje zapory.
– Przedsiębiorcy nie mają pieniędzy na zakup dodatkowego sprzętu. Za to routery i modemy z funkcjami firewalli cieszą się wielkim powodzeniem, sprzedajemy ich nawet kilkaset miesięcznie – mówi Paweł Walczak, Business Development Director Action 2. – Do września 2003 r. rozprowadzaliśmy jeszcze więcej, ale promocja Neostrady (i modemów Sagem) spowodowała zarówno pogorszenie naszych wyników, jak i spadek marż.
Według dystrybutorów największe wzięcie mają urządzenia producentów azjatyckich: Asmaksa, D-Linka, Planeta, trochę mniejsze Allied Telesyna i 3Coma. Są tanie i zapewniają pewien poziom bezpieczeństwa. Bardzo często do routera DSL dołączony jest modem, jako łącze zapasowe.
– Prosty router kosztuje od 250 do 500 zł – mówi Marek Jaszczuk, Product Manager z Tech Daty. – Za sprzęt z obsługą VPN, wyposażony w modem, bezprzewodowy punkt dostępu, firewall SPI, czasem także print serwer, trzeba zapłacić około 1000 zł. Za stosunkowo niedużą sumę reseller może więc zaproponować urządzenia, które zapewniają elementarne funkcje zabezpieczające.
Firewall w zdecydowanej większości sprzedawanych routerów i modemów DSL ma zaporę zredukowaną do funkcji translacji adresów, czyli NAT. Dzięki niej można ukryć adresy sieciowe w taki sposób, aby haker nie rozpoznał struktury adresowania przedsiębiorstwa. Funkcja NAT chroni przed atakami dokonanymi najprostszymi metodami. Niektórzy twierdzą jednak, że NAT nie jest zaporą ogniową. Dodają również, że może okazać się niewystarczająca, jeśli haker zastosuje bardziej skomplikowane sposoby ataku.
– Dla firmy nie ma nic gorszego niż zapora ogniowa ze zubożonymi funkcjami – przekonuje Dariusz Pecio, Product Manager z AB. – Bardzo często spotykam się z sytuacją, kiedy przedsiębiorca decyduje się na zainstalowanie routera z translacją adresów, która daje fałszywe poczcie bezpieczeństwa. To jest gorsze, niż gdyby translacji wcale nie było.
Niektórzy producenci są zdania, że w małych firmach, które nie przechowują ważnych danych, lepsza ochrona nie jest konieczna. Argumentują, że użytkownicy potrzebują przede wszystkim urządzenia, którego konfigurowanie i użytkowanie jest łatwe.
– Obsługa routera DSL wyposażonego w prostą zaporę ogniową jest nieskomplikowana, a przecież właśnie tego potrzebują w mniejszych firmach – mówi Paweł Latała, Product Manager z D-Linka. – Takie urządzenia mają zubożone funkcje bezpieczeństwa, ale lepsze nie są potrzebne. Dlatego cieszą się większym zainteresowaniem niż wolno stojące zapory ogniowe.
Tego samego zdania są resellerzy, którzy dodają, że niewielki popyt na zapory jest też spowodowany w równym stopniu słabą kondycją finansową małych oraz średnich polskich firm i nieznajomością zagrożeń, jakie niesie korzystanie z Internetu.
– Większość naszych klientów nie wie o niebezpieczeństwach związanych z siecią, nie mówiąc już o systemach zabezpieczających przed nimi – mówi Karol Kasprzyk, wdrożeniowiec z Vatim Computers. – Nie ułatwia to prowadzenia biznesu.
Z tego względu integratorzy przeważnie oferują tańszy sprzęt bez zabezpieczeń i droższy z zabezpieczeniami. Wielu klientów udaje się przekonać do rezygnacji z gorzej wyposażonego rozwiązania.
– W negocjacjach z naszymi klientami zawsze proponujemy różne routery, w tym zawierające zaporę ogniową – twierdzi Roman Grula, współwłaściciel Comsonica. – Zazwyczaj decydują się na kupno droższego o kilkadziesiąt złotych sprzętu, który wyposażony jest w niektóre funkcje zabezpieczające.
Do małych firm, których sieci funkcjonują w Windows, często kupuje się prostsze rozwiązania. Wzmianka o systemie operacyjnym jest jak najbardziej na miejscu. Wykorzystujący Linuks bardzo niechętnie kupują jakiekolwiek urządzenia. Dlaczego? Dlatego, że według licznej rzeszy zwolenników system ten ma pierwszorzędne mechanizmy zabezpieczające.
Skuteczność… ograniczona
Na bezpieczeństwo Linuksa szybko zwrócili uwagę ci, których nie stać ani na drogie zapory sprzętowe, ani na routery dostępowe. Jak mówi Piotr Zięcik, administrator w Net-Bisie, zapora linuksowa jest modułowa i dzięki temu bardzo bezpieczna. Poza tym każdy może dopisać do niej własne aktualizacje. Niektórym jednak się to nie podoba.
– Linuksowa zapora ogniowa jest rzeczywiście skuteczna – mówi Piotr Szołkowski, Product Manager z 3Coma. – Nie można jednak zapominać, że kody źródłowe wszystkich systemów open source są ogólnie dostępne, także dla hakerów.
Mimo zastrzeżeń producenci sprzętu zdają sobie sprawę, że Linuks znalazł już sobie miejsce w firmach. Dostrzegają to również dystrybutorzy, którzy twierdzą, że choć rzekomo darmowy, daje integratorom możliwości zarobku.
– W małych firmach sieć składa się kilku komputerów, a zwykły pecet spełnia rolę serwera linuksowego – mówi Mirosław Chełmecki, Product Manager w Veracompie. – Administrator zjawia się wtedy, kiedy coś przestaje działać. Tu jest miejsce dla resellera, który może zaproponować konfigurację, instalowanie opcji bezpieczeństwa oraz serwis.
Oczywiście Linux nie przeszkadza w zainstalowaniu routera z zaporą ogniową czy nawet samej zapory. Takie rozwiązanie byłoby nawet korzystne, bo w przypadku awarii firma dysponowałaby dodatkowym zabezpieczonym łączem do Internetu. Jednak rozmowy z resellerami nie pozostawiają złudzeń. Linuksowcy w małych firmach niezbyt często inwestują w sprzęt zabezpieczający. Pozostaje on dla nich kosztownym gadżetem. Co innego średnie przedsiębiorstwa, które chętniej kupują różnego rodzaju systemy bezpieczeństwa, bez względu na to, z jakiego serwerowego systemu operacyjnego korzystają.
Ochrona wagi średniej
Na rynku systemów bezpieczeństwa dla średnich firm dominują producenci znani z przełączników i routerów. Próbuje dotrzymać im kroku kilku wytwórców aplikacyjnych zapór ogniowych, którzy dołączyli (lub wkrótce dołączą) do oferty rozwiązania sprzętowe. Trzon pierwszej grupy stanowią: Cisco Systems, 3Com, D-Link, Allied Telesyn. Tuż za nimi plasują się Nokia, Lucent Technologies, Micronet i Juniper Networks. Do drugiej grupy można zaliczyć przede wszystkim Symanteca i Kaspersky Lab, który pod koniec roku udostępni swoją zaporę. Kilka urządzeń ma także McAfee, choć są one zbliżone bardziej do IDS.
Integratorzy, którzy obsługują średnie firmy, mówią, że wdrożenie systemu bezpieczeństwa jest często działaniem dodatkowym przy realizacji kontraktów. Przykładowo, w firmie chcą wprowadzić system ERP, do którego ma dostęp kilku mobilnych pracowników. Wtedy każde łącze musi być chronione kanałem VPN-owym.
– Na takich wdrożeniach uzyskujemy marże od 10 do 20 proc. – twierdzi Marek Kotzian, wdrożeniowiec z Rekordu. – Niestety nie mamy tego rodzaju zleceń zbyt wiele, najwyżej jedno miesięcznie. Nasi klienci chcą routerów wyposażonych w zaawansowane funkcje bezpieczeństwa, tzn. zapory i bramki VPN.
Dlaczego nie sprzętowego firewalla? Resellerzy mają na ten temat swoją teorię. Twierdzą, że klienta, który nie chce zainstalować rozbudowanego systemu zabezpieczeń, wykorzystującego zaporę, trudno przekonać do zmiany koncepcji. Według nich kluczowe znaczenie ma to, że firmowi informatycy przeważnie nie decydują o kupnie systemu bezpieczeństwa.
– W przedsiębiorstwach, z którymi współpracujemy, administratorzy nie mają wielkiego wpływu na inwestycje, nawet wtedy, kiedy dotyczą ich działu – mówi Mariusz Kowalski, inżynier sprzedaży z Ventusa. – Decydenci życzą sobie najtańszego rozwiązania, co zmusza informatyka do kupna routera ethernetowego z zaporą ogniową.
Wielu integratorów uważa, że dopóki inwestycje w zakresie informatyki będą podejmowane przez zarządy bez porozumienia z działami informatyki, dopóty zyski integratorów pozostaną niewielkie. Twierdzą, że na razie nie widać zmian. Szanse na kontrakty mają tylko większe i średnie firmy integratorskie, które specjalizują się we wdrażaniu systemów bezpieczeństwa. I to tylko te, które zdobędą klienta na dłużej, czyli zaoferują serwis i szkolenia.
– Po wdrożeniu zarabiamy na usługach – audytach, symulacjach ataków i testach penetracyjnych – przekonuje Michał Maziuk, Product Manager z Orion Instruments. – Prowadzimy także płatne szkolenia klientów.
Wbrew pozorom audyty nie są wyciąganiem pieniędzy z kieszeni klienta. Mają duże znaczenie, okazuje się bowiem, że nie wszyscy integratorzy radzą sobie z licznymi niuansami wdrożenia systemu bezpieczeństwa.
– W co drugiej firmie, w której przeprowadziliśmy testy, znajduje się źle wdrożony IDS lub firewall – mówi Aleksander Czarnowski, współwłaściciel Avetu.
Nieprawidłowo skonfigurowane urządzenia to nie jedyny problem polskich firm.
Zdaniem integratorów średnie, a tym bardziej małe przedsiębiorstwa rzadko tworzą politykę bezpieczeństwa. Oprócz ochrony dostępu do Internetu składa się na nią jeszcze oprogramowanie antywirusowe i czasem szyfrowanie informacji. Co innego największe przedsiębiorstwa, w których nie czeka się na atak. Nie tylko opracowuje się tam politykę bezpieczeństwa, ale dysponuje odpowiednimi budżetami, aby ją zrealizować.
Duży może najwięcej
Firmy duże (zatrudniające ponad 100 pracowników) nie wprowadzają pojedynczych urządzeń, ale raczej platformy, na który działa kilka aplikacji zapewniających bezpieczeństwo. Jedną z nich może być sprzętowa zapora ogniowa, inną IDS, IPS, a także koncentrator VPN z serwerem RADIUS. Sprzęt z takimi opcjami oferuje kilka firm, najsilniejszą pozycję zdobyły Cisco Systems (PIX) i Check Point. Ciekawe, że swoje urządzenia sprzedaje także polski jedynak na rynku zapór – Avet.
– Mamy niszowy sprzęt dla firm, w których potrzebne są najwyższej klasy zabezpieczenia – twierdzi Aleksander Czarnowski. – Wbrew pozorom nie jest to rynek mały. Oceniamy go na 40 mln złotych rocznie.
To dla najbogatszych korporacji, dla których bezpieczeństwo jest celem samym w sobie. Dla nieco mniej zasobnych są routery i przełączniki z IDS-em i VPN.
– W pierwszym półroczu 2004 roku sfinalizowaliśmy dwa wdrożenia – mówi Arkadiusz Wójcik, Product Manager z Bonaira. – W ramach jednego z nich łączyliśmy za pośrednictwem routera Cisco, wyposażonego w funkcje bramy VPN, urządzenia kilkudziesięciu mobilnych użytkowników.
Integratorzy twierdzą, że nie mają zbyt wielu okazji do zarobku. Bramy VPN nie cieszą się popularnością wśród klientów. Kupują je czasem duże firmy, choć i te nierzadko preferują lepszej klasy routery z funkcjami VPN. Oszczędzają także najwięksi. Resellerzy narzekają na jednocyfrowe marże. Szansę na uzyskanie dochodu stanowi tylko serwis systemu i jego dalsze utrzymywanie.
– Mieliśmy w tym roku dwie proste instalacje, w obu zastosowaliśmy urządzenia 3Coma – mówi Piotr Natkaniec, Product Manager z Ponetu. – Zarabiamy na konfigurowaniu systemu, ale jest to jednorazowy zysk. Możliwość dodatkowego zarobku pojawia się, gdy firmie przybędzie nowy oddział lub nowy pracownik w terenie. Wtedy aktualizacja oprogramowania w centrali lub na sprzęcie użytkownika daje nam niewielkie przychody.
Szara teraźniejszość i… świetlana przyszłość
Codziennością polskiego resellera, zajmującego się systemami bezpieczeństwa, są wdrożenia routerów wyposażonych w zapory ogniowe różnego rodzaju i jakości. Tymczasem pojawiają się nowe koncepcje zabezpieczenia sieci. Na przykład niektórzy sądzą, że w ciągu kilku lat w zapory ogniowe zostanie wyposażona większość komputerów osobistych. NVidia udostępniła niedawno zestaw chipsetów nForce2 Ultra 400Gb, wyposażony w sprzętowy firewall.
– Być może już niedługo na płytach głównych naszych komputerów będziemy mieli sprzętową ochronę przeciw hakerom – mówi Paweł Walczak.
Czy wyeliminuje to centralnie zarządzane zapory ogniowe? Producenci twierdzą zdecydowanie, że nie. Dowodzą, że chipsety będą przeznaczone głównie do ochrony desktopów i notebooków użytkowników indywidualnych lub niewielkich sieci domowych. Tam ich zastosowanie będzie tak samo uzasadnione, jak zapór aplikacyjnych. Według wytwórców przedsiębiorstwo wymaga innego rodzaju zabezpieczeń.
– Zapora ogniowa na płycie głównej nie zabezpieczy przełącznika sieciowego przed atakiem Denial of Services – przekonuje Mirosław Szymczak, inżynier systemowy z Cisco Systems. – Co z tego, że pecety będą zabezpieczone, skoro infrastruktura sieciowa przestanie funkcjonować? Takie rozwiązanie może być stosowane wyłącznie jako uzupełnienie korporacyjnego systemu bezpieczeństwa.
W podobnej roli mogą występować również karty sieciowe, wyposażone w zaporę. W tym przypadku firewall składa się z dodatkowego procesora umieszczonego na karcie i oprogramowania zainstalowanego na stacji końcowej.
– Mamy w Polsce dwie takie instalacje – przyznaje Piotr Szołkowski. – Karty z zaporą służą do blokowania ataków zarówno z zewnątrz, jak i z wnętrza sieci, które bywają równie destruktywne.
Wspomniane rozwiązanie może być stosowane przez mniejsze firmy. Zalety tej nie mają produkty typu SSL VPN (Check Point Connectra czy urządzenia Juniper Secure Access/Remote Access), które dopiero zaczynają pojawiać się w Polsce. W porównaniu z tradycyjnymi rozwiązaniami zgodnymi z protokołem IPSec nie wymagają instalowania oraz utrzymania systemów klienckich. Jak mówi Piotr Kluczwajd, dyrektor ds. rozwoju z Clico, znacznie upraszczają proces administracji systemu. Jednak są to urządzenia drogie, kosztujące od kilku do ponad 10 tys. dol., dostępne więc tylko dla bogatych.
Niektórzy producenci są zdania, że w niedalekiej przyszłości pojawi się system, który umożliwi bardziej efektywną walkę z różnego rodzaju sieciowymi atakami. Jego istotą będzie reakcja na taki rodzaj ataku, z którym klasyczne systemy obronne nie potrafią sobie poradzić. Tradycyjne rozwiązania działają w oparciu o tzw. sygnatury (wzorce) ataków. Nowy produkt (urządzenie plus oprogramowanie) ma być skuteczny nawet w sytuacji, gdy sygnatura opisująca dany atak, nie została jeszcze napisana. Nad jego stworzeniem pracują producenci routerów i firmy zajmujące się pisaniem aplikacji antywirusowych. Oczywiście zapora ogniowa będzie jego ważnym ogniwem.
Podobne artykuły
Mongo DB: zarządzanie bazą danych w chmurze
Tradycyjne podejście do przetwarzania danych w przypadku systemów zarządzania relacyjną bazą danych nie we wszystkich przypadkach jest najbardziej optymalne. Konieczność przechowywania coraz bardziej rozbudowanych i skomplikowanych danych, oraz próba ich opisania w postaci tabel i relacji może prowadzić do wolnych wielotabelowych zapytań i rozrośniętych indeksów. W niektórych przypadkach, zamiast korzystać z narzędzia uniwersalnego, warto sięgnąć po system specjalistyczny. Jednym z takich systemów oferowanych w CloudPortal jest nierelacyjny system zarządzania bazą danych MongoDB.
Mechanizmy wysokiej dostępności relacyjnych baz danych w CoudPortal.pl
Wszystkie aplikacje udostępnianie w CloudPortal ze względu na elastyczną architekturę platformy w dużym stopniu wykorzystują dodatkowe usługi. Rozproszone systemy plików, bazy SQL i NOSQL, usługi kolejkowania, pamięci podręczne sesji i wiele innych mają zagwarantować szeroką gamę możliwości dla tworzonych i udostępnianych przez platformę rozwiązań.
Aplikacje Ruby na platformie CloudPortal
CloudPortal jest elastyczną platformą PaaS, która umożliwia tworzenie i utrzymywanie w jednym środowisku aplikacji przygotowanych w najpopularniejszych językach programowania i korzystających z szerokiej gamy usług. Jednym ze wspieranych środowisk uruchomieniowych jest konfiguracja wspierająca aplikacje Ruby, Rack, Rails i Sinatra.