Vlákno názorů k článku Použijte správný firewall pro ochranu své sítě od Aleš Kotmel - předem se omlouvám za následující větu, ale nemohu...
-
Aleš Kotmel (neregistrovaný)předem se omlouvám za následující větu, ale nemohu jinak: Pouze naprostý ignorant nedokáže nainstalovat Astaro Virtual Appliance pomocí Open Virtualization Format (OVF) souboru!
Promiňte, ale muselo vám dát asi hodně práce naprosto ignorovat návod na instalaci do všech všeobecně používaných VMware prostředí která je krok za krokem kompletně popsaná v PDF souboru ASG_V7_Virtual_Appliance_readme.pdf na FTP serveru firmy Astaro -ftp://ftp.astaro.de/pub/ASG/v7/virtual_appliance/
Ano, souhlasím s vámi že je daleko snažší napsat do recenze že instalace nefunguje, místo aby jste podle pravdy napsal že ani nejste schopen si najít a následně přečíst podrobný návod k instalci v PDF formátu, který je ještě navíc připojen k naprosto každé instalaci Astaro Virtual Appliance.
Pro vaši informaci pro již zmíněnou instalaci pomocí OVF souboru musíte patnáctkrát kliknout myší aby jste kompletně nainstaloval Astaro Virtual Appliance.
Jsem kdykoli připraven vám osobně demonstrovat jak je instalace Astaro Virtual Appliance jednoduchá a rychlá!
A nyní k v diskusi velmi zmiňovanému filtrování HTTPS provozu. Opět jste se absolutně nenamáhal zjistit si relevantní informace, nebo čtenářům vysvětlit jak vlastní filtrování HTTPS provozu funguje. Prosím jděte na http://www.astaro.com/kb/ a do pole pro vyhledávání pouze vložte "HTTPS Filtering Feature Brief". Výsledkem vyhledávání bude soubor s již uvedeným jménem souboru ve kterém i vy sám naleznete odpovědi na veškeré otázky nebo nepřesnosti které byly následně zmíněny v diskusi.
A nyní k vámi zmíněným nedostatkům na závěr vaší recenze Astaro řešení. Opět jste se absolutně nenamáhal zjistit si relevantní informace. Prosím podívejte se na http://feature.astaro.com a zajisté sám ke své velké nelibosti zjistíte že IPv6 bude plně implementována ve verzi 8, přičemž předpokládaný termín uvolnění verze 8 je v září tohoto roku.
Jako jeden z hlavních vývojových cílů při vývoji nové verze 8 byl stanoven požadavek získání certifikace úrovně EAL4+. Jak tento vývojový cíl koresponduje s vaším závěrem recenze "Segment: malé a střední sítě s běžnými službami a se střední úrovní zabezpečení" když dlouhá léta je firma Astaro AG držitelem certifikátu od ICSA Labs?!
Vážený pane Pecho, od samého počátku vašich článků o firewallech si stále dokola kladu otázku nakolik jsou vaše objektivně špatné články o firewallech pouze důsledkem vašich nevědových (nebo vědomých) neznalostí o firewallech nebo se jedná o záměrné poškozování konkurence z oboru bezpečnostních řešení?
Prosím můžete se zde věřejně přihlásit k vaší příslušnosti k firmě Trusted Network Solutions, a.s., firmě která vyvíjí produkt KERNUN UTM?!
Protože pokud se zde veřejně přihlásíte k příslušnosti k firmě Trusted Network Solutions není rozhodně možné považovat vaše články a recenze za nezávislý názor autora nebo recenzenta, ale pouze a jedině o nekalou obchodní soutěž.
Ing. Aleš Kotmel
jednatel společnosti Annex NET, s.r.o.
distributor firmy Astaro AG pro Českou a Slovenskou republiku
P.S. Všem slušným lidem se moc omlouvám za mé vulgární výrazy v úvodu mého příspěvku. Panu Pechovi se omluvit bohužel nedokážu. -
Peter Pecho (neregistrovaný)Vážený p. Kotmel,
Váš názor ukazuje, že nemáte tak problém s článkom, ako skôr so mnou osobne. Mojím cieľom bolo poskytnúť PREHĽAD firewallových riešení, ktoré som mal možnost testovať, a NIE poskytnúť podrobnú recenziu po DLHODOBOM používaní. Vzhľadom k časovým možnostiam to ani nie je možné. Taktiež nemám pocit, že by daný článok bol zaujatý mojím zamestnaním, na rozdieľ od Vášho príspevku! Nepíšem(e) tu marketingové materiály a nielen môj príspevok chce trochu nadhľadu ;-)
Problémy, ktoré som s inštaláciou virtuálnej appliance mal, nemusia súvisieť priamo s Astarom a to je aj napísané v článku. Prečítajte si ho ešte raz:
"..., a proto se nemusí nutně jednat o chybu Astara."
Taktiež nebolo mojím cieľom písať o tom, čo BUDE MAŤ dané riešenie v novej verzii (= nemá v súčasnej verzii). K tomu slúžia webové stránky výrobcov. To, čo bude v novej verzii obsiahnuté sa taktiež nedá užívateľsky otestovať.
Namietate tiež voči nespomenutiu ICSA certifikácie. Túto certifikáciu má v súčasnosti už väčšina firewallových riešení. Táto certifikácia (rovnako ako EAL) je navyše vydávaná za dopredu definovaných podmienok nasadenia. Je otázke, či je dané podmienky (vrátane presnej konfigurácie) možné v praxi skutočne dosiahnuť u zákazníka. Netreba tiež zabúdať, že certifikácia je vydávaná na zariadenie a jeho nasadenie v praxi ešte nemusí byť nutne bezpečné. Zariadenie, ktoré danú certifikáciu nemá, nemusí byť taktiež nutne menej bezpečné. Nenamietam však, že certifikácia je dobrým ťahom (a na tom sa asi zhodneme).
Pokiaľ máte pocit, že som nebol dostatočne objektívny, obráťte sa priamo na lupu, alebo ešte lepšie - ponúknite im VLASTNÝ OBJEKTÍVNY ČLÁNOK! Rád si ho prečítam ;-) -
Aleš Kotmel (neregistrovaný)nemám problém s vámi ale s vašimi velice malými znalostmi bezpečnostních řešení a vaší absolutní neobjektivitou co se týká posuzování konkurenčních bezpečnostních řešení.
Pokud nedokážete napsat objektivní článek bude myslím lepší nepsat vůbec žádný. Takový článek prospěje možná vám (uspokojíte své ego) a firmě TNS (bude používat váš "objektivní" článek k přesvědčování potenciálních zákazníků), protože neobjektivně posoudíte funkce a vlastnosti konkurence a následně vyzdvihnete KERNUN, který firma ve které pracujete vyvíjí.
Co je na takovém článku objektivního? Kromě uspokojení vašeho ega?!
Aleš Kotmel
P.S. Aby jste byl dopředu informován o připravovaných novinkách ve verzi 8 a mohl je opět předem "objektivně" posoudit:
- Clientless SSL VPN přístup přes User-Portal (RDP, Citrix, SSH, Telnet, VNC)
- Reverzní HTTP Proxy server
- Detailní logování VPN přístupu/aktivity uživatele
- Dvou faktorová autorizace pro SSL VPN vzdálený přístup
- Export konfigurace v čitelné formě pro potřeby bezpečnostního auditu
- Detailní logování administrativních a konfiguračních změn
- Víceúrovňová přístupová práva pro administrátory
- Podpora paravirtualizace pro VMware a XEN
- Podpora IPV6
- 64-bitový systém
- Certifikace EAL4+ pro Astaro Security Gateway -
davro (neregistrovaný)nechtěl byste prodávat radši něco jiného? Třeba bychom se od vás dozvěděli, že váš budoucí automobil bude umět létat.
Vaše proklamace ohledně nové verze je úplně mimo, protože si ho dnes nikdo pořídit nemůže.
PS: když už se vyjadřujete poměrně oficiálně jako zástupce firmy, tak si nechejte zkotrolovat pravopis, ať nevypadáte jako nevzdělanec. -
Dan1220 (neregistrovaný)Vážený pane Astaro,
nevím, proč se tady v diskuzi navážíte do člověka (myslím tím pana Pecha), který si dal tu práci a nás, co se v tomto oboru pohybují pouze okrajově, posunul článkem kousek dál.
Osobně mi tento článek pomohl v tom, že až budu opět řešit otázku zabezpečení, tak vím, na co si dát pozor.
Vaše příspěvky v diskuzi jsou docela mimo mísu a pouze se snažíte ukazovat "kdo ho má většího". Zkuste se přenést přes to, že zastupujete nějakou firmu a napište taky něco, co nám - uživatelům pomůže.
A myslím to vážně. Budeme bezpečnost řešit a nevím, jestli bych se chtěl setkat právě s Vámi... -
Aleš Kotmel (neregistrovaný)Dobrý den,
bohužel pan Pecho vás rozhodně v oblasti bezpečnostních řešení neposunul dál, on vás zcela záměrně posunul zpět.
Pan Pecho například zapoměl napsat že:
- pokud jste domácí uživatel a potřebujete pro svojí byť malou síť (maximálně 50 vnitřních IP adres) odpovídající úroveň zabezpečení ( SMB a enterprice level), můžete na portálu firmy Astaro získat zcela zdarma licenci pro domácí použití. Jedinou podmínkou je potvrzení prohlášení že licence pro domácí použití bude sloužit pouze k nekomerčním účelům. Automaticky pak získáte plný firewall, NAT, DNAT/SNAT, IPS/IDS, VPN site-to-site a remote access protokoly IPsec, SSL VPN, L2TP, Cisco IPsec, IPhone atd. Dále záskáte bezplatně ochranu proti virům (SMTP, PO3, HTTP, HTTPS), trojským koňům, malware, spyware, URL filtering, možnost plně blokovat skype (i v HTTPS), řídit pásmo pro P2P/IM protokoly nebo tyto protokoly zcela zablokovat plně dle vašeho uvážení.
- další funkcí, která je například velice důležitá pro firemní nasazení je High Availability řešení, tedy zajistění vysoké dostupnosti přístupu k Internetu. Funkci High Availability aktivujete v Astaro řešení pouze na čtyři kliknutí. Potřebujete rozložit zátěž přístupu do Internetu na více linek, nebo potřebujte failover funkci pro zálohování konektivity do Internetu? Není problém, Astaro podporuje až osm různých linek do Internetu pro rozkládání pásma nebo failover link.
Tyto výše uvedené bezpečnostní funkce a vlastnosti (a mnoho dalších) pro domácí nebo firemní nasazení vám pan Pecho úspěšně zatajil.
Můj příspěvek nebyl o tom "kdo ho má většího", ale o tom že pan Pecho vystupuje na Lupě jako nezávislý autor, ale přitom je zaměstnán ve firmě TNS která vyvíjí bezpečnostní řešení KERNUN, což je konkurenční produkt k Astaro řešení a z toho důvodu prostě nemůže být nezávislým autorem, protože vědomě zamlčuje čtenářům na Lupě vyšší technickou úroveň Astaro řešení.
Nevím, zda jste zaregistroval, že jsem se ani jednou v mých příspěvcích "neotřel" o funkce a vlastnosti KERNUN řešení. Nevyjádřil, protože to nepovažuji na profesionální přístup, ale jsem si velice dobře vědom nedostatků v implementaci bezpečnostních funkcí v KERNUN řešení. Ještě stále mám ve svém mobilním telefonu uložené poznámky z prezentace, kterou měl šéf vývoje KERNUNU na LinuxExpo minulý rok a buďte ubezpečen, že do dnešního dne nejsou tyto bezpečnostní funkce implementované.
Je mi skutečně líto že jste si na základě článku pana Pecha udělal názor že Astaro řešení není pro vás to pravé. To byl totiž hlavní cíl článku pana Pecha, vytvořit dojem že není nic lepšího než je KERNUN. Pokud se dokážete jenom trochu povznést nad článek pana Pecha a mojí reakci na dle mého názoru špatný článek pana Pecha neváhejte mi napsat nebo zavolat a já se vám pokusím vysvětlit, kde já vidím přednosti Astaro řešení oproti konkurenci.
Pokud by jste měl dvě minuty volného času prosím podívejte se na následující link, doufám, že budete příjemně překvapen:
http://www.astaro.com/landingpages/2min-explainer-red
Aleš Kotmel
Annex NET, s.r.o. -
bman (neregistrovaný)No, částečně bych se tady pana Kotmela zastal. Znám jako uživatel třetí popisované řešení a uváděné informace nejsou vždy zrovna přesné, některé jsou úplně mimo. Nevím jestli to byl záměr nebo málo času k testování, ale je otázkou, jestli zástupce společnosti jednoho z testovaných produktů může být objektivní v tomto směru.
-
Dan1220 (neregistrovaný)Osobně jsem rád, když někdo z oboru něco dokáže srovnat vedle sebe a dát tomu formu uchopitelnou i běžnému uživateli. Je mi jedno, že je to z firmy, která se tím zabývá (kdo jiný by o tom měl vědět víc?). Více mi vadí, že pán v diskuzi si dělá nepokrytě reklamu a na druhé straně autor článku to psal docela nestranně (vždyť uvedl výhody a nedostatky u všech zařízení). Docela bych uvítal podobný článek i od pana diskutujícího a těším se, že mě taky něčím posune dopředu. Reklama do diskuze nepatří a bez milosti bych ji mazal.
-
Aleš Kotmel (neregistrovaný)Dobrý den,
chápu vás že jste rád pokud někdo napíše článek ze kterého se poučíte. Ale opět musím zopakovat že články pana Pecha jsou tendenční a zavádějící. To mé vyjádření rozhodně není útokem na pana Pechu (jak se mi snažil ve své reakci podsunout) ale jedině a pouze mým osobním názorem na kvalitu jeho článků.
Ve vašich očích je pan Pecho odborník který dokáže napsat pro vás srozumitelný článek a recenzovat bezpečnostní řešení, ale v mých očích je pan Pecho pouze schopný manipulátor který se tváří jako nezávislý autor. To že není nezávislý snadno zjistíte pokud kliknete na link s jeho jménem na začátku každého článku - peter (tečka) pecho (zavináč) tns (tečka) cz. Zkuste zadat do adresové řádky v prohlížeči www.tns.cz - jaké překvapení, dostal jste se na stránky projektu KERNUN!
Jak můžete očekávat od zaměstnance firmy která vyvíjí konkurenční produkt objektivní a nezávislou recenzi konkurenčních produktů?!
Zmínil jste se, že by jste uvítal článek i ode mne. Ano mohu takový článek napsat, to rozhodně není problém a mohu vám i takové články které jsem psal nebo překládal z anglických originálů poslat e-mailem a troufám si tvrdit že mají vyší úroveň něž články pana Pecha. Ale opět jak chcete ode mne jako zaujatého člověka nezávislý článek/recenzi o konkurečních produktech? Rozhodně nechci klesnout na úroveň článků pana Pecha.
Co vám rozhodně mohu nabídnout je diskuse ať osobní nebo e-mailovou o firewallech, IPS/IDS, VPN, vzdáleném přístupu, filtrování obsahu, blokování virů, spamu, malware, spyware, tedy o řešeních třídy UTM/XTM jako takových.
Aleš Kotmel
Annex NET, s.r.o. -
Aleš Kotmel (neregistrovaný)Dobrý den,
články které jsem napsal a publikoval:
Profesional Computing Softwarové firewally pro SOHO a SME, 2005
Zabezpečte svůj e-shop, 2006
Článek který jsem přeložil z anglického originálu a který jsem si dovolil z redakčních důvodů zkrátit a aktualizovat některé informace. Autorem článku je pan Udo Kerst z firmy Astaro AG:
Security World Vzdálený přístup bez kompromisů, SSL VPN v porovnání s tradičním VPN řešením, 2008
Aleš Kotmel
Annex NET, s.r.o. -
Peter Pecho (neregistrovaný)Z vašej odpovede vyplýva, že ste napísal dva články, posledný bol publikovaný pred 4 rokmi. Oba už nie sú dohľadatelné a aktuálne. Časopis Professional computing som mal možnosť čítať a nepovažujem ho ani náhodou za "objektívne" médium ... ;-)
Preložené články nie je možné považovať za relevantné - to dokáže každý schopnejší "angličtinár" ;-) Preložené články taktiež nie je možné považovať za vlastnú tvorbu ;-)
S vašou tvorbou ste sa nakoniec zameral iba na "výkriky" v diskusiách ... -
100% Lenin (neregistrovaný)Ale, ale.
To už nám to sklouzlo do pěkné manipulace typu:
A ukažte co jste udělal vy!
Ale to je již od dětství rituál poměřování pér.
Osobně se klaním k tomu, aby autor jakékoliv publikace nepsal o těch věcech, se kterými je spojen komerčně.
Příklad:
Mám li příjem z výroby bot. Nemohu psát recenze na nové kolekce bot. Protože to prostě smrdí neobjektivním výsledkem.
Mám li firmu na tvorbu www stránek. Nebudu recenzovat webové stránky jiných tvůrců. Protože to nebude objektivní.
A toto nemusí být chyba Petera, ale přístupu společnosti k této problematice. On napsal to co napsal. Jako profesionál to měl odmítnout.
Profesionální Lupa to, když už to napsal, měla odmítnout - protože je přeci profesionální a poskytuje nám jen objektivní a vyvážené informace.
Lupa je Lupy. A Lupa má povinnost nám poskytnout informaci o tom, že autor je "zaujatý". Když už to neumí on.
Lupa je tak obrazem pokleslých profesionálních mravů v oblasti publikace odborných informací.
A lupa, opovrhujíce objektivitou, vytváří tlak na absenci profesionálního přístupu autorů k publikaci "čehokoliv".
Takový přístup nám garantuje jedno jediné = BULVÁR
Zdar.
p.s.
Dneska se v Ruské Federaci ruší 5 časových pásem.
Vydal MS patch? -
Narazil jsem náhodou po čase na tento článek a nedá mi to, abych k tomu něco nenapsal.
Nevím, jestli byla nutná ze strany pana Kotmela tak bouřlivá reakce, resp. zdali zvolil zcela vhodnou formu, ale faktem je, že pokud píšete recenzi a píšete o produktu Vaší firmy, připadá mi to opravdu neetické nezmínit to explicitně ve Vašem článku jak v úvodu, tak i přímo u recenze produktu Vaší firmy. Vyvolává to dosti značnou řadu otázek.
Pokud se týká věcné stránky článku, mohu k tomu jakožto dlouholetý uživatel produktu Astaro (momentálně jich máme v provozu cca 6 včetně HA-clusteru) cosi napsat snad s vyšší znalostí věci.
Určitě mi přijde velmi zavádějící že jste všeobecně nezmínil možnost použití vcelku plné verze Astaro pro domácí použití. Další zajímavostí je možnost použití "Essential Edition" (bez proxy a VPN funkčností) i komerčně zadarmo.
Pokud se týká nepřesností ve Vašem článku, větu "Za nevýhodu také považuji nemožnost definice portů, na kterých požaduji proxy využívat" mne opravu překvapila, protože to možné je a dokonce vcelku komfortně - např. pro HTTP/S proxy stačí dokliknout na záložku "Advanced" kde je možno nastavovat jak port na kterém proxy poslouchá při netransparentním módu, tak i služby (porty) které mají být proxy monitorovány (např. v transparentním módu - o této možnosti, která mi připadá být z uživatelského hlediska dosti příjemná jste se také možná mohl zmínit).
Osobně dále opravdu nemohu souhlasit s hodnocením, že není možno firewall použít i pro správu větších sítí... Co je třeba myslím v tomto ohledu např. zmínit, je velmi výhodné použití (pokud vím zdarma) produktu Astaro Command Center, což je speciální služba, která vám umožňuje agregovat výstupy a základní ovládání více Gatewayí pod jednou střechou.
Naopak mne osobně mrzí, že se nedá webové rozhraní ovládat klávesnicí, ale v době web2.0 už se to asi nedá nikde. Vzhledem k tomu, že je Gateway doslova přecpána funkčností, po upgradech jsme mívali na starších kusech ASG nejnižších řad ASG110 a ASG120 problémy s výkonem pokud jsme chtěli aktivovat veškerou funkčnost (v článku je zmíněn opravdu jen velmi malý výřez funkčnosti Astara - ale to pravděpodobně u všech produktů). Musím ale říci, že postupnými patchi na dnešní verze 7.50x se situace stabilizovala a i mnohem bohatší funkčnost dnes zvládá docela starý HW. Sice bych možná v rámci maintenance uvítal vstřícnější politiku Astaro AG ohledně výměny staršího HW za nový, ale cesta optimalizace je vlastně taky relativně dostačující :-).
Pěkná mi u Kernunu připadá možnost editace konfiguračního souboru ručně a to ne kvůli možnosti definice extravagantních služeb, které mohu u Astara pár kliknutími bez problémů definovat v uživatelském rozhraní, ale kvůli hromadným změnám v konfiguraci - např. pokud přejmenujete nějakou zónu nebo přesouváte IP adresy k jinému providerovi, dost si poklikáte, na to by to bylo pěkné... Zvláště pokud to musíte provádět na více strojích. Slyšel jsem ale, že ale v nových verzích ACC by mělo být možno definovat entity systému (např. definice sítí a služeb) napříč více firewally, což by pak nesmírně ulehčilo povinnou "klikačku" na každém firewallu při přidání nějaké enterprise-wide významné adresy nebo jiného elementu konfigurace... No, uvidíme.
Dále mne k Vašemu článku ještě napadlo, že pokud se týká obecné části o clusteringu v úvodu, připadá mi, že věta "Zde je však potřebné upozornit na skutečnost, že ne všechny funkce kráčí ruku v ruce s bezpečností. Pro vysvětlení uvádím režim active-active s vysokou dostupností (tj. souběžnou činnost obou firewallů). V takovém případě již nemá vysoká bezpečnost funkci vysoké bezpečnosti, ale naopak v případě výpadku jednoho zařízení to vede k výpadku části spojení, které aktivní zařízení již nestihnou obsloužit." možná nemusí být díky povaze netypického aktivního clusteringu Astaro (kaskáda se specifickou funkčností) úplně pravdivá, nevím.
Neznám produkt Kernun, ale z mého hlediska mi za celkem zásadní při použití u středních sítí připadá absence load balancingu, jejíž alternativní přidané řešení nejenom zvyšuje komplexnost síťové topologie, ale znamená i nutnost nákupu dalšího zařízení, což může znamenat nezanedbatelné náklady navíc - zvlášť pokud chcete docílit high-availability. Myslím si, že to naopak produkt poněkud u použití pro střední a menší firmy diskvalifikuje.
Pokud se týká protokolu IPv6, pokud píšete, že je dnes u produktu Kernun k dispozici v experimentální formě, je to jako bych řekl, že mohu vyzkoušet beta verzi Astaro v8, která podporu v sobě má... Je ovšem možné že v době vzniku článku ještě betaverze nebyla dostupná, nevím - že ale IPv6 v další verzi bude je již známo delší dobu, stačilo trochu zapátrat na webu (obecně budoucí plány výrobců by u recenze asi chybět neměly a s výjimkou Fortinetu chybí). Čekal bych tedy nicméně, že v negativech Kernum firewallu by pouhá "experimentálnost" použití IPv6 mohla být zmíněna, pokud jde o tak důležitý bod, že ho bylo třeba u Astara zmínit, zvláště v zavádějící formulaci "Nevýhodou do budoucnosti může být také absence podpory IPv6" - když lze snadno zjistit že v budoucnu IPv6 podporováno bude.
Pokud pak dále píšete, že Kernun firewall pracuje pouze s aplikačními proxy a nepoužívá stavové paketové filtry u běžných protokolů, velice by mne pak zajímala odolnost vzhledem k DoS útokům který někdo spustí na servery v DMZ chráněné tímto firewallem, které tedy odstiňuje jak jsem pochopil pouze aplikační proxy, tedy řádově komplexnější zpracování požadavků. Ale možná jsem to špatně pochopil, nevím, produkt Kernum vůbec neznám.
Celkově se mi osobně opravdu zdá tendenčnost vašeho článku sice jemná, ale docela zřejmá.
ČLÁNKY DO MAILU