28 września 2016

Jak sprawdzić UTM podczas testów – uwagi praktyka

Czy testy są konieczne?

UTM jest jednym z krytycznych punktów sieci komputowej. Często zapewnia nie tylko gwarancję bazowego bezpieczeństwa, ale i podstawowe usługi sieciowe (routing, serwer DHCP, priorytet ruchu QoS). Złe dobranie UTMa, może nie tylko nie zwiększyć bezpieczeństwa, ale przede wszystkim może wpłynąć na stabilność sieci. Dlatego podstawową zasadą jest: PRZETESTUJ PRZED ZAKUPEM. Wyjątkiem od tej zasady jest tylko sytuacja gdy dobrze znasz technologię i wymieniasz urządzenie na znacznie większe.

Jak przygotować się do testów?

Wcześniejsze przygotowanie pomoże Ci sprawnie przeprowadzić test, uniknąć nerwowych pomyłek oraz pracy w pośpiechu. Umów testy na okres, w którym realnie znajdziesz czas nie tylko na uruchomienie, ale również na kilkukrotne zalogowanie się do urządzania, przeklinanie go i przejrzenie raportów. Jeśli jeszcze tego nie zrobiłeś, to przed przyjazdem sprzętu spisz swoje wymagania i zweryfikuj, czy na test na pewno otrzymasz urządzenie, które je spełnia, a nie „inne, ale podobne”.

Zbierz całą wiedzę potrzebną do instalacji: przygotuj aktualny schemat swojej sieci z adresacją podsieci i kluczowymi usługami, przygotuj hasła do swojego dotychczasowego routera/firewalla oraz znajdź i opisz fizyczne kable, które będziecie przepinać.

Ostatnie, ale niemniej ważne – zarezerwuj sobie czas na instalację UTMa. Poinformuj współpracowników i znajdź potencjalne zastępstwo na czas testów, żeby niczym nie zaprzątać sobie głowy.

Jak przeprowadzane są testy?

Świadomie pomijam w odpowiedzi na to pytanie przypadek największych organizacji, z bardzo rygorystycznie ustaloną polityka dostępności, które zazwyczaj dysponują zbudowanymi już środowiskami testowymi oraz własnymi procedurami testowania i wdrażania zmian w sieci.

W polskich warunkach najczęściej testujemy urządzenie w środowisku produkcyjnym wg uproszczonej procedury. W skrócie: najpierw konfigurujemy urządzenia z podstawowymi usługami sieciowymi (routing/dhcp/firewall) przy wyłączonych wszystkich modułach ochronnych, następnie zmieniamy dotychczasowy router na nowe urządzenie. Potem włączamy kolejne moduły i dpoiero po tym przechodzimy do właściwych testów kompatybilności, funkcjonalności i wydajności.

Procedura instalacji jest dość prosta i w typowych sieciach, przy asyście inżyniera produktu może trwać od kwadransa do godziny. Profesjonalne testy zawsze zawierają asystę w instalacji, przeprowadzoną osobiście lub zdalnie. Wbrew pozorom zdalna asysta doświadczonego inżyniera, może wypaść znacznie lepiej, niż lokalna mniej doświadczonego. Dobry specjalista szybko analizuje problemy i znajduje rozwiązania. Wdrożenie poza uruchomieniem i konfiguracją, powinno zawierać też podstawowe przeszkolenie. Testy wydajności lepiej przeprowadzić samemu już po konfiguracji i sprawdzeniu kompatybilności.

Wydajność

Podstawowym i niestety najtrudniejszym parametrem testowym jest wydajność urządzenia. Uruchamiamy urządzenie w konfiguracji „docelowej” obserwując load urządzenia i zachowanie końcówek przy typowych zadaniach. Jeżeli nie pojawiają się opóźnienia, a load jest na poziomie poniżej FIXME, dociążamy urządzenie symulowanym ruchem wygenerowanym np. z użyciem narzędzia GNS-3 lub większej ilości maszyn wirtualnych.

Jeśli w jakimkolwiek momencie pojawiają się problemy z wydajnością, konsultujemy to z inżynierem dostawcy i weryfikujemy tak długo, aż nie ustąpią. Jeśli nie, to ustalamy politykę – większe urządzenie lub mniejsza ochrona. Osobiście zalecam postawę bezkompromisową – lepiej by problemy pojawiły się teraz, niż już po zakupie.

Kompatybilność

Celem jest sprawdzenie kompatybilności rozwiązania z oprogramowaniem i urządzeniami Twojej sieci. Najczęściej dotyczy systemów autoryzacji użytkowników (ActiveDirectory, FIXME) oraz współpracy z urządzeniami w innych lokalizacjach oraz użytkownikami zdalnymi (VPN). Te dość proste testy są jednak konieczne, gdyż istnieje prawdopodobieństwo wystąpienia problemów,  szczególnie w przypadku mniejszych producentów.

Funkcjonalność

Konieczne jest przetestowanie działania firewalla oraz modułów ochronnych: antywirusowego, IPS, antyspamowego oraz filtra www.

Przydatne linki:

Następnie spójrzmy na naszą listę wymagań i ją zweryfikujmy. Jeżeli np. wymagamy blokowania Facebooka w godzinach 8.00-10.00 skonfigurujmy to i dokładnie zweryfikujmy czy wyżej wymienione rozwiązanie działa. Zastanówmy się co jeszcze może się zdarzyć lub jak użytkownicy będą chcieli obejść zabezpieczenia i zweryfikujemy również to (np. Facebooka w wersji mobile i www-proxy).

Komfort pracy

Instalację urządzenia lepiej przeprowadzić samemu przy asyście inżyniera, niż zostawić ją wdrożeniowcowi. Szkolenie stanowiskowe na prawdziwym urządzeniu, w prawdziwej sieci pozwoli Ci ocenić czy urządzenie jest intuicyjne w obsłudze i czy rozumiesz specyfikę jego konfiguracji. Zwróć uwagę szczególnie czy w którymś momencie inżynier nie używa trybu tekstowego. To może oznaczać że nawet zmiana prostych parametrów wymaga przyswojenia sporej ilości wiedzy.

Śledź to co się dzieje, gdyż często spotykaną przez nieprofesjonalnych dostawców praktyką jest konfigurowanie tylko podstawowych parametrów i uruchamianie modułów na niskich poziomach ochrony, aby nie ryzykować problemów wydajnościowych.

Na koniec najważniejsze. Pytaj, pytaj i jeszcze raz pytaj. To twoje prawo, a czas testów jest dla Ciebie i to Ty powinieneś być całościowo przekonany do rozwiązania które wybierasz.

Co powinienem wiedzieć po testach?

Po dobrze przeprowadzonych testach powinieneś móc odpowiedzieć sobie na pytania:

  •       Czy urządzenie ma odpowiednią wydajność dla Twojej sieci?
  •       Czy jest kompatybilne z oprogramowaniem i urządzeniami Twojej sieci?
  •       Czy spełnianie Twoje kluczowe wymagania?
  •       Czy dobrze Ci się pracuje (interfejs)?
  •       Czy dostawca zapewnia Ci wymagane wsparcie techniczne?


Jeśli 5 razy odpowiedziałeś sobie tak, właśnie znalazłeś odpowiedniego dla siebie UTMa i godnego zaufania dostawcę. Gratuluję.

Zobacz także: IKARIA Arkusz doboru UTM

Łukasz Michalak

Łukasz Michalak
Inżynier systemowy
E-mail: l.michalak@ikaria.pl