Jak sprawdzić UTM podczas testów - uwagi praktyka
Czy testy są niezbędne?
UTM jest jednym z krytycznych punktów sieci komputowej. Zazwyczaj zapewnia nie tylko gwarancję bazowego bezpieczeństwa, ale i podstawowe usługi sieciowe (serwer DHCP, routing, priorytet ruchu QoS). Źle dobrany UTM, może nie tylko nie podwyższyć poziomu bezpieczeństwa, ale może znacząco odbić się na stabilność sieci. Dlatego bardzo ważne jest przetestowanie urządzenia przed zakupem. Wyjątkiem od tej reguły jest tylko przypadek, gdy bardzo dobrze znasz technologię lub zamieniasz UTM na znacznie większy.
Przygotowania do testów
Wcześniejsze przygotowanie do testu pomoże w uniknięciu nerwów, pomyłek i pracy w pośpiechu. Testy najlepiej umówić w okresie, kiedy będziesz miał czas nie tylko na uruchomienie urządzenia, ale też kilkukrotne zalogowanie się, przeklikanie go i przejrzenie raportów. Jeśli jeszcze tego nie zrobiłeś, to przed dostarczeniem UTMa spisz swoje wymagania i zweryfikuj, czy na test na pewno otrzymasz urządzenie, które je spełnia, a nie „inne, ale podobne”. Skompletuj wiedzę potrzebną do instalacji: przygotuj aktualny schemat swojej sieci z adresacją podsieci i kluczowymi usługami, przygotuj hasła do swojego dotychczasowego routera/firewalla oraz znajdź i opisz fizyczne kable, które będziecie przepinać. Ostatnie, ale równie ważne - zarezerwuj sobie czas na instalację UTMa. Poinformuj współpracowników i znajdź potencjalne zastępstwo na czas testów, żeby niczym nie zaprzątać sobie głowy.
Poprawnie przeprowadzony test
Świadomie pomijam przypadek największych organizacji, w której panuje bardzo rygorystycznie ustalona polityka dostępności. Największe firmy najczęściej dysponują zbudowanymi już środowiskami testowymi oraz własnymi procedurami testowania i wdrażania zmian w sieci. W polskich realiach zazwyczaj testujemy urządzenie w środowisku produkcyjnym według uproszczonej procedury. W skrócie: najpierw konfigurujemy urządzenia z podstawowymi usługami sieciowymi (routing/dhcp/firewall) przy wyłączonych wszystkich modułach ochronnych, następnie zmieniamy dotychczasowy router na nowe urządzenie. Potem włączamy kolejne moduły i dopiero po tym przechodzimy do właściwych testów kompatybilności, funkcjonalności i wydajności. Sama instalacja jest dość prosta i w typowych sieciach, przy asyście inżyniera produktu może trwać od 15 minut do godziny. Profesjonalne testy zawsze zawierają asystę w instalacji, przeprowadzoną osobiście lub zdalnie. Wbrew pozorom zdalna asysta doświadczonego inżyniera, może wypaść znacznie lepiej, niż lokalna mniej doświadczonego. Dobry specjalista szybko analizuje problemy i znajduje rozwiązania. Najlepiej jeśli wdrożenie poza uruchomieniem i konfiguracją, zawiera też podstawowe przeszkolenie. Testy wydajności lepiej przeprowadzić samemu już po konfiguracji i sprawdzeniu kompatybilności.
Wydajność
Podstawowym i zarazem najtrudniejszym parametrem testowym jest wydajność urządzenia. Uruchamiając UTM w konfiguracji „docelowej” obserwujemy load urządzenia i zachowanie końcówek przy typowych zadaniach. Jeżeli nie pojawiają się opóźnienia, a load jest na poziomie poniżej FIXME, dociążamy urządzenie symulowanym ruchem wygenerowanym np. z użyciem narzędzia GNS-3 lub większej ilości maszyn wirtualnych. Jeśli w którymś momencie wystąpią problemy z wydajnością, konsultujemy to z inżynierem dostawcy i weryfikujemy tak długo, aż nie ustąpią. Jeśli nie, to ustalamy politykę - większe urządzenie lub mniejsza ochrona. Osobiście zalecam postawę bezkompromisową - lepiej by problemy pojawiły się teraz, niż już po zakupie.
Kompatybilność
Celem jest sprawdzenie kompatybilności rozwiązania z oprogramowaniem i urządzeniami Twojej sieci. Najczęściej dotyczy systemów autoryzacji użytkowników (ActiveDirectory) oraz współpracy z urządzeniami w innych lokalizacjach oraz użytkownikami zdalnymi (VPN). Te dość proste testy są bardzo ważne, ponieważ istnieje prawdopodobieństwo wystąpienia problemów, szczególnie w przypadku mniejszych producentów.
Funkcjonalność
Konieczne jest przetestowanie działania firewalla oraz modułów ochronnych: IPS, antywirusowego, antyspamowego oraz filtra www.
Przydatne linki:
- Skaner hostów: https://nmap.org
- Sample wirusów: WICAR:http://www.wicar.org
- Testy IPS: http://pytbull.sourceforge.net
- Testy kategoryzacji stron www: https://sitereview.bluecoat.com/testcategories.jsp
Następnie należy przyjrzeć się naszej liście wymagań i ją zweryfikować. Jeżeli np. wymagamy blokowania Facebooka w godzinach 8.00-12.00 skonfigurujmy to i dokładnie sprawdźmy czy wyżej wymienione rozwiązanie działa. Zastanówmy się co jeszcze może się zdarzyć lub jak użytkownicy będą chcieli obejść zabezpieczenia i zweryfikujemy również to (np. Facebooka w wersji mobile i www-proxy).
Komfort pracy
Instalację urządzenia lepiej przeprowadzić samemu przy asyście inżyniera, niż zostawić ją wdrożeniowcowi. Szkolenie stanowiskowe na prawdziwym urządzeniu, w prawdziwej sieci, pozwoli Ci ocenić czy urządzenie jest intuicyjne w obsłudze i czy rozumiesz specyfikę jego konfiguracji. Zwróć uwagę zwłaszcza na to, czy w którymś momencie inżynier nie używa trybu tekstowego. To może znaczyć, że nawet zmiana prostych parametrów wymaga przyswojenia sporej ilości wiedzy. Śledź to co się dzieje, gdyż często spotykaną przez nieprofesjonalnych dostawców praktyką jest konfigurowanie tylko podstawowych parametrów i uruchamianie modułów na niskich poziomach ochrony, aby nie ryzykować problemów wydajnościowych. Na koniec najważniejsze. Zadawaj pytania - to Twoje prawo, a czas testów jest dla Ciebie i to Ty powinieneś być całkowicie przekonany do rozwiązania które wybierasz.
Co powinieneś wiedzieć po testach?
Po dobrze przeprowadzonych testach powinieneś potrafić odpowiedzieć na pytania:
- Czy urządzenie ma odpowiednią wydajność dla Twojej sieci?
- Czy spełnianie Twoje kluczowe wymagania?
- Czy jest kompatybilne z oprogramowaniem i urządzeniami Twojej sieci?
- Czy dobrze Ci się pracuje (interfejs)?
- Czy dostawca zapewnia Ci wymagane wsparcie techniczne?
Jeśli 5 razy odpowiedziałeś TAK, właśnie znalazłeś odpowiedniego dla siebie UTMa i godnego zaufania dostawcę. Gratuluję.
Zobacz także: Analiza Inżyniera
Ekspert Bezpieczeństwa Sieciowego