Etätyön turvaajat
PERTTI HÄMÄLÄINEN • MITTAUKSET: TERO MÄKIKANGAS • KUVAT: TIMO SIMPANEN
Etätyön turvaajat
Etäkäytön yhdyskäytävätekniikat integroituvat tietoturvan yhdistelmälaitteisiin. Moniturvalaitteella etätyöhön voidaan aina valita sopivin tekniikka.
Mukana vertailussa:
• Check Point UTM-1 Total Security 1050
• Cisco ASA 5520
• Fortinet Fortigate 60B
• Zyxel Zywall USG 300
Mitä yritysverkon pääkäyttäjän pitää ottaa huomioon, kun vastaan tulee vaatimus järjestää etäyhteydet verkon palveluihin?
Ensimmäiseksi on syytä selvittää toimeksiannon laajuus. Jos vaatimus tulee yleisellä tasolla ylimmältä johdolta, on kaivettava selville, keitä ovat käyttäjät ja mitä heidän pitäisi voida etätyönä tehdä. Jos taas vaatimus tulee konkreettisena jonkin tietyn sovelluksen käyttäjiltä, kysymystä kannattaa pohtia laajemminkin. Kerran käyttöön otettu etätyö leviää helposti muillekin työntekijäryhmille.
Usein etäkäyttö onkin jo järjestetty rajattuihin tarkoituksiin, kuten pääkäyttäjän tai sovellusvastaavien omaan käyttöön palvelinten valvontaan ja etähallintaan. Tällaisten erityisjärjestelyiden korvaaminen yrityksen kattavalla etätyöratkaisulla tuottaa usein selviä kustannussäästöjä.
Viisi käyttäjätyyppiä
Etäkäyttäjät poikkeavat toisistaan paitsi toimenkuvansa ja käyttämiensä sovellusten myös etäkäytön motiivin ja etätyön järjestämistavan suhteen. Jos työasema on yrityksen hallinnassa, yritys voi asentaa siihen tarvittavat ohjelmat, jos se on työntekijän oma, asennus onnistuu työntekijän avustuksella. Vierastyöasemilla etätyön pitää olla mahdollista pelkän selaimen turvin.
Vakituiset etätyöntekijät ovat yrityksen palkkalistoilla mutta tarvitsevat työnsä puolesta jatkuvaa yhteyttä verkkoon. Tyypillisiä esimerkkejä ovat yhden hengen etätoimipisteet tai asiakasprojekteissa työskentelevät henkilöt, jotka tarvitsevat pääsyä yrityksen operatiivisiin järjestelmiin. Työasema on yleensä yrityksen omistuksessa ja hallinnassa.
Osa-aikaiset tai tilapäiset etätyöntekijät tarvitsevat usein työssään vain muutamaa sovellusta, mutta pääsytarve on jatkuvasti toistuva. Työasema voi olla yrityksen tai työntekijän oma.
Matkustavat työntekijät tarvitsevat etäyhteyttä yleensä kannettavalta työasemaltaan, joka on yrityksen hallinnassa. Sovellusvalikoima on työnkuvan sanelema ja etukäteen hyvin tiedossa. Toissijaisena käyttötapana ovat hotellien, lentoasemien tai internet-kahviloiden julkiset työasemat, joihin kesken loman hätiin hälytetyt työntekijät turvautuvat.
Työajan järjestelijät tarvitsevat pääsyä virka-aikana tai sen ulkopuolella kotikoneeltaan tai matkamikroltaan. Ryhmään kuuluu tyypillisimmin asiantuntijoita ja keskijohdon edustajia, ja sovellusten kirjo riippuu toimenkuvasta. Työasemaan voidaan asentaa tarvittavia ohjelmia.
Kumppanien edustajat tarvitsevat pääsyä valikoituihin sovelluksiin omilta työpaikoiltaan. Työasemat eivät ole yrityksen hallinnassa, ja pääsyä sovelluksiin on syytä rajoittaa tiukasti.
Viisi uhkaa
Etätyöntekijä ei ole samalla tavalla yrityksen kontrollissa kuin sen toimitiloissa virka-aikana työskennellessään. Etätyö lisääkin aina yritykseen ja sen verkkoon kohdistuvia uhkia. Niitä voidaan torjua sekä yleisin käytännöin että etätyövälineiden valinnalla.
Työnohjauksen ja kontrollin löystyminen on aina vaarana etätyössä työntekijän ja esimiehen välittömän vuorovaikutuksen puutteessa.
Tekniset välineet tarjoavat mahdollisuuksia rajoittaa pääsyä palveluihin ja valvoa työntekijän tekemisiä, mutta sovellettavista kontrolleista on syytä sopia työntekijän kanssa ja pitää tämä tietoisena niiden syistä. Vuorovaikutteiset välineet kuten pikaviestintä ja videoneuvottelu ovat etätyöntekijälle tärkeämpiä kuin konttorirotalle.
Työtehon lasku huonon palvelutason takia vaanii, jos etätyötä yritetään tehdä hitaiden yhteyksien, tehottomien yhdyskäytävien tai liiallisten pääsynrajoitusten vallitessa. Käyttämättömän yhteyden aikakatkaisu voi olla tarpeen tietoturvasyistä, mutta aikavakioiden pitää sallia normaalit työkatkot, kuten puhelimeen vastaaminen.
Haittakoodin pääsy verkkoon etätyöasemalta on sitä suurempi vaara, mitä heikommassa kontrollissa etätyöasema on. Matka- ja kotimikrojen palomuurit ja virustutkat voidaan ottaa yrityksen keskitettyyn hallintaan, mutta hallitsemattomilta vierastyöasemilta on hyvä sallia pääsy vain rajattuihin palveluihin web-portaalin kautta.
Tietojen tahaton vuotaminen etätyöasemasta on aina mahdollista. Matkamikro voidaan varastaa, kotimikroa rassaavat naapurin lapset, ja internet-kahvilan mikrolle jääviä tietoja voi kuka tahansa tutkia. Salasanoja ei pidä koskaan tallentaa paikallisesti, ja vierastyöasemilta pitää pyyhkiä pois kaikki istuntoon liittyvät tiedot.
Tietojen tahallinen väärinkäyttö on ääritapaus, jota on vaikea ennakolta täysin estää. Keinoja ovat pääsynrajoitukset ja sovelluskohtaiset estot esimerkiksi tietojen tallentamiselle työasemaan. Viime kädessä istuntojen tiukka lokittaminen auttaa väärinkäytösten selvittämisessä.
Moniturva palomuurin kylkeen
Vpn-yhdyskäytävänä toimii tavallisimmin palomuuri, joka hoitaa myös osoitemuunnokset julkisen internetin ja yritysverkon välillä. Ipsec vpn on kuulunut palomuurien perustoimintoihin jo vuosia.
Palomuuri ei ole enää muutamaan vuoteen riittänyt yksin vartioimaan yritysverkkoa, vaan kehitys on vienyt kohti tietoturvan yhdistelmälaitteita. Ne tarjoavat virustorjunnan, roskapostisuodatuksen, tunkeiluntorjunnan ja sisällönsuodatuksen yhdessä kohtuuhintaisessa palomuurilaitteessa. Turvan pysyminen uhkien kehityksen tasalla taataan ylläpitomaksuin rahoitettavilla ohjelmistojen ja haittatunnistekantojen päivityksillä.
Nyt moniturvalaitteisiin on yhdistetty myös ssl vpn, eikä tähän tarkoitukseen enää tarvita omaa laitetta. Valitsimme testiin neljä moniturvalaitetta kahdesta tuotekategoriasta. Vertailun otos antaa kuvan toisaalta aivan pienille, toisaalta keskisuurille yrityksille soveltuvasta tuotetarjonnasta. Tuotteiden hintaerot kuvastavat lähinnä laitteiden kapasiteettia, mutta myös toiminnallisuudessa on eroja.
Fortinetin ja Zyxelin ratkaisut edustavat pk-yrityksille tai muuten kevyehköihin tarpeisiin suunnattua sarjaa. Asiakas saa keskitetyn vpn-yhdyskäytävän pienellä investoinnilla, mutta suorituskyky jää vaatimattomaksi. Check Pointilta ja Ciscolta valitsimme hiukan raskaampaan kuormitukseen soveltuvat mallit. Järeimmät suuryritysratkaisut jäivät tämän vertailun ulkopuolelle.
Itsestäänselvyytenä moniturvalaitteissa ovat kehittyneet reititys- ja palomuuritoiminnot, joten niitä voi soveltaa julkisen ja yksityisen verkon rajalla mitä erilaisimpiin käyttötarkoituksiin. Laitteiden ethernet-portteja voidaan käyttää tarpeen mukaan eri tarkoituksiin, kuten sisäverkon segmenttien, demilitarisoidun vyöhykkeen tai internetin liittämiseksi, ja myös hallintaa varten on järjestään lukuisia liityntätapoja.
Kaikki laitteet voidaan kahdentaa vikasietoisuuden parantamiseksi, ja Zyxeliä lukuun ottamatta kahdennusta voi hyödyntää myös kuormaa tasaamalla. Laitteet voi toisaalta kytkeä kahden eri internet-palveluntarjoajan verkkoihin ja hyödyntää sääntöpohjaista reititystä vaikkapa nettisurffailun erottamiseksi varsinaisesta tuotantoliikenteestä.
Yrityksen verkkoon ei voi päästää ketä tahansa, ja laitteet tarjoavatkin lukuisia eri vaihtoehtoja etäkäyttäjien tunnistamiseen. Ciscon valikoima on selvästi laajin ja Zyxelin rajoittunein.
Testeissä todennus tehtiin Windowsin ad-kantaa vasten, mikä onnistui kaikilla tuotteilla joko suoraan tai ldap-liitännän kautta. Tällaisen hiukan harvemmin määriteltävän toiminnon kohdalla pk-yrityksen pääkäyttäjä kaipaisi selkeämpiä soveltamisesimerkkejä kuin ohjeistoissa on keskimäärin tarjolla.
Menetelmää valitsemassa
Etätyön tekninen ratkaisu on tavallisimmin internet ja vpn-tekniikka. Virtuaalinen yksityisverkko luo salatun yhteyden työasemalta verkkoon, jolloin tietoturva säilyy julkisen verkonkin yli liikennöitäessä. Tarjolla on kaksi standardoitua päätekniikkaa: ipsec (ip secure) ja ssl (secure socket layer).
Perinteiset ipsec-yhdyskäytävät luovat salatun tunnelin etäkäyttäjän koneelta yritysverkkoon. Yhteys luodaan verkkokerroksella, jolloin etätyöasema toimii samoin oikeuksin ja samoin rajoituksin kuin verkkoon paikallisestikin kytketyt työasemat.
Viime vuosina ovat yleistyneet ssl-yhdyskäytävät, jotka toimivat sovelluskerroksella ja joiden käyttöliittymänä toimii www-selain. Ssl vpn on nopeasti kehittynyt lähes yhtä monipuoliseksi kuin ipsec vpn, mutta pääsyä on helppo rajata kattamaan vain halutut sovellukset.
Ipsec vai ssl vpn?
Ipsec-yhteydellä kaikki verkkokerroksen palvelut ovat käytettävissä, jolloin etäkäyttäjille ei tarvitse erikseen rakentaa tukea eri sovelluksiin. Toisaalta etäkäyttäjien toimivaltuuksia verkossa halutaan usein tietoturvasyistä rajoittaa tiukemmiksi kuin paikallisten käyttäjien. Tämä teettää ylimääräistä työtä. Haasteena on myös työasemaohjelmistojen asennukset ja oikeiden asetusten säätäminen käyttäjien koneisiin.
Vanhoilla ipsec vpn -yhdyskäytävillä on monissa yrityksissä vielä vuosia käyttöikää jäljellä, eikä toimivia työasemaohjelmia tietenkään kannata purkaa pois tyytyväisten käyttäjien koneista. Lisääkin käyttäjiä näihin voi tarpeen vaatiessa ja kapasiteetin salliessa vielä tuoda. Uusia laitehankintoja tehtäessä kannattaa tilanne kuitenkin arvioida tämän hetken tuotetarjonnan pohjalta.
Ssl vpn:n alkuperäiset argumentit olivat selaimen riittävyys etätyöasemalle sekä tekniikan tarjoama mahdollisuus parantaa tietoturvaa rajaamalla etäkäyttäjien pääsyä yrityksen verkkoon sovellustasolla.
Satunnainen yhteistyökumppani ei ehkä tarvitse pääsyä kuin yhteiseen tiedostohakemistoon, jonka julkaiseminen webissä on ssl vpn:n perustoiminto. Suosittu käyttötapa on laatia etäkäyttäjille oma portaalinsa, jossa voidaan julkaista yhteisiä tiedostohakemistoja tai keskeisten sovellusten web-versioita.
Sovellusten ja niiden jatkuvasti muuttuvien versioiden tukeminen on valmistajille työlästä ja tähän saatiin tietyssä mielessä lopullinen ratkaisu, kun ssl vpn opetettiin avaamaan täysi verkkoyhteys yrityksen verkkoon ipsec vpn:n tavoin.
Etäkäyttäjän käyttökokemus on tällöin sama kuin millä tahansa yrityksen verkkoon liitetyllä työasemalla. Pääkäyttäjän kannalta ratkaisu on ipsec vpn:ää helpompi, kun etäverkon nat-määritysten kanssa ei tarvitse vaivata päätään.
Haaste á la Vista
Windows Vista on ollut kehittäjien käytettävissä vuosien mittaan lukuisina esiversioina ja yrityskäyttäjien ostettavissakin jo toista vuotta. Siitä huolimatta arkkitehtuurin muuttuminen aiemmista versioista näyttää edelleen tuottavan ongelmia ohjelmistotaloille.
Tämä pätee erityisesti vpn-ohjelmien kaltaisten, syvälle käyttöjärjestelmän palveluihin pureutuvien ohjelmistojen kohdalla. Testissä törmättiinkin Vista-ongelmiin useampien tuotteiden kohdalla. Osa selvisi neuvoa kysymällä ja säätämällä, osa jäi ohjelmien puutteiksi.
Vanhat kunnon ipsec-asiakasohjelmat vaativat usein perusteellisia arkkitehtuurimuutoksia toimiakseen moitteettomasti Vistan kanssa. Näin on esimerkiksi, jos vpn-tunneli avataan jo ennen kirjautumista Windowsiin tai kirjautuminen vpn-palveluun on toteutettu erityisin hienouksin kuten älykortin avulla tai Windowsin omaan toimialuekirjautumiseen integroituna.
Monet vpn-tuotteet tarjoavat työasemalle henkilökohtaisen palomuurin ja hakevat sille säännöt vpn-yhdyskäytävän palomuurilta. Tämäkin toiminto pitää erikseen sovittaa toimimaan Vistan integroidun palomuurin kanssa.
Rinnakkaisten ipsec- ja ssl vpn-ohjelmien ylläpitäminen näissä oloissa on melkoinen haaste. Sekä Check Point että Cisco ovatkin vihjanneet tuovansa jatkossa markkinoille integroituja työasemaohjelmia, jotka hallitsevat molemmat käytännöt.
Työtä putken läpi
Laitteiden suorituskyvyn rajat haettiin avaamalla niiden läpi ipsec- ja ssl vpn -tunneleita useilta työasemilta rinnakkain. Sisäverkon puolella vastassa oli palvelin, ja kaikki laitteet oli kytketty gigabitin verkkoon.
Testipenkki oli reaalimaailmaa ajatellen epärealistinen. Ovathan esimerkiksi kotikäyttäjien työasemat useimmiten korkeintaan parin megabitin internet-liittymien takana, ja pk-yritysten liittymät ovat harvoin edes sadan megabitin luokkaa.
Suorituskyvyn suhteen Cisco ASA 5520 oli ipsec-testeissä päätään pitempi muita. Ratkaisun läpäisykyvyksi mitattiin maksimissaan yhdeksällä työasemalla liki 340 megabittiä sekunnissa, kun suoralla gigabitin verkkoyhteydelläkään palvelin ei kyennyt siirtämään kuin 380 megabittiä sekunnissa. Parempaa suorituskykyä harvan yrityksen internet-liittymät pystyvät enää käyttämään.
Ssl vpn:n suorituskykyä mitattiin vain yhdellä työasemalla, koska kaikkiin laitteisiin ei ollut riittävästi lisenssejä niiden kuormittamiseksi äärirajoille. Testit ajettiin rc4-salauksella, joka oli ainoa kaikista tuotteista löytynyt salaus.
Läpäisykykyä testattaessa laitteiden tietoturva-asetukset oli säädetty minimiinsä. Kun mukaan kytkettiin sisällönsuodatusta ja haittaohjelmien tai tunkeilijoiden torjuntaa, läpäisykyky heikkeni Ciscolla ja Check Pointilla hieman, Zyxelillä huomattavasti.
Nämä testit eivät ole keskenään vertailukelpoisia, koska suodatusten laajuus ja toteutustapa vaihtelee tuotteittain. Fortinetin tuotteella tätä testiä ei ajettu lainkaan turva-asetusten tavattoman hienojakoisuuden takia.
Työkalut etätyön tekijälle
Moniturvalaitteita arvioitaessa kiinnitettiin tällä kertaa erityisesti huomiota etäkäyttötoimintoihin. Etätyöasemina käytettiin Windows XP-, Vista- ja Linux-koneita.
Hallintaa ja käyttöönottoa arvioitiin ennen kaikkea etäkäytön näkökulmasta. Pisteitä vähensi esimerkiksi se, jos ssl vpn -yhteyksiin liittyvät määrittelyt oli siroteltu pitkin laajaa ja hajanaista hallintaohjelmaa pääkäyttäjän tehtäväkokonaisuuksista piittaamatta.
Tietoturvaa arvioitiin erityisesti etätyöaseman kannalta. Liikenteen salausalgoritmit ja käyttäjän tunnistusmenetelmät ovat tietoturvan perusta, etätyöaseman tietoturvatoiminnot, kuten tietoturva-asetusten ja -ohjelmien tason tarkistukset tai työtiedostojen salaustoiminnot toivat lisäpisteitä.
Suorituskyvyssä Cisco oli ylivoimainen. Fortinetin rajat tulivat esiin jo yhdellä työasemalla. Toisaalta senkin teho riittää yritykselle, jossa muutama kotikäyttäjä puurtaa kotoaan megabitin nettiliittymän takaa.
Etäkäyttäjän kokemusta arvioitaessa kiinnitettiin huomiota käyttäjälle näkyvien palveluiden, kuten kirjautumisen ja ssl-portaalien käytettävyyteen. Aivan liian harva valmistaja on kiinnittänyt huomiota käytön kannalta tärkeisiin yksityiskohtiin, kuten esimerkiksi yhteyden toipumiseen matkamikron käytyä virransäästötilassa.
Laitteiden virrankulutus mitattiin testipenkkiin kytkettynä sekä läpäisykykymittauksissa saavutetulla maksimikuormituksella että ilman liikennettä.
Ennakko-odotuksen mukaisesti virrankulutus oli tehokkaammilla laitteilla selvästi korkeampi kuin kevyemmillä. Etäkäyttäjää kohti laskettuna virrankulutus kääntyy tosielämässä todennäköisesti päinvastaiseksi.
Tuotteet olivat siksi erilaisia, että toimituksen valintaa ei joukosta tehty.
Check Point UTM-1 Total Security 1050
Arvosana 7,7
+ Monipuolisuus, toimivuus
– Hallinnan sekavuus, hinta/suorituskykysuhde
Check Pointin moniturvalaite UTM-1 sisältää palomuurin ohella niin virustutkan, tunkeilun torjunnan, roskapostinsuodatuksen kuin sisällönsuodatuksenkin ohjelmistot. Kehikkoasennettavasta laitteesta on tarjolla kolme mallia, joista testissä kävi enintään 500 käyttäjälle suositeltu, keskitehoinen 1050.
Itse laitetta hallitaan selaimella, mutta asetukset palomuurisääntöjen määrittelystä käyttäjien hallintaan tehdään erillisellä ohjelmalla. Palomuurin ja ipsec-yhdyskäytävän käyttöliittymät ovat tuttuja jo yhtiön Firewall-1- ja Vpn-1-tuotteista. Hallintaohjelmaa rasittavat vuosien mittaan kertyneiden vanhojen tuotteiden ja ohjelmaversioiden tuen vaatimat lisämääritykset.
Toimintojen monipuolisuus kattaa eksoottisetkin käyttöskenaariot, mutta kyvykkyys kostautuu hallintaohjelman hajanaisuutena. Asetusvelhoja peruskokonaisuuksien määrittelyyn ei ole tarjolla; on vain tiedettävä ja muistettava, mitä asetuksia missäkin näytöissä on tehtävä esimerkiksi ssl vpn -käyttäjien määrittelemiseksi.
Laitteen lisensointi ei rajaa vpn-yhteyksien määrää, ja perinteistä ipsec-asiakasohjelma Securemotea saa kopioida vapaasti. Kehittyneempi ipsec-ohjelma Secure Client ja ssl vpn:llä täyden verkkoyhteyden tarjoava Network Extender ovat maksullisia.
Secure Client on saatavissa vain Windows-versiona. Se sisältää erinomaisen henkilökohtaisen palomuurin, jonka asetukset saadaan UTM-1:ltä.
Network Extender toimii yhtä lailla activex- tai Java-komponenttien varassa, joten ssl vpn on Linux- ja Mac-käyttäjien valinta. Ainoana vertailun tuotteista UTM-1 ei tarjoa minkäänlaista portaalia.
Network Extender toimii parhaiten täyden yhteyden tarjoavassa verkkomoodissa, jolloin sen asennus työasemaan vaatii pääkäyttäjäoikeudet. Vieraskoneilla sitä voi käyttää sovellusmoodissa, jossa sen taataan tukevan liki kolmeakymmentä opsec-sertifioitua sovellusta Microsoftin Telnetistä Lotus Notesiin.
Check Point UTM-1 Total Security 1050
Hinta: 14 940 €
Valmistaja: Check Point Software Technologies, www.checkpoint.com
Lisätietoja: Check Point Software Technologies Finland, puh. (09) 5657670, www.checkpoint.com
Lyhyesti: Täysitoiminen moniturvaratkaisu, josta jää kaipaamaan vain ssl vpn -portaalia.
Arvosana: 9,2
+ Suoritusteho, hallinnan selkeys
– Lyhyt takuu, ipsec-ohjelman Vista-ongelmat
Ciscon Adaptive Security Appliance eli ASA 5500 -tuotesarjaan kuuluu seitsemän laitemallia, jotka poikkeavat toisistaan läpäisykyvyn ja etäkäyttäjien maksimimäärän suhteen. Testattu 5520 kuuluu näistä keskiluokkaan, mutta vertailun laitteista selvästi tehokkain. Suorituskyvyn suhteen laite onkin epäilemättä hintansa arvoinen.
Modulaarista laitetta voi tilata erilaisina kokoonpanoina erilaisiin käyttötarkoituksiin. Perusrungon voi lisensoida joko pelkäksi palomuuriksi tai vpn-yhdyskäytäväksi halutulle käyttäjämäärälle.
Vaihtoehtoisin laajennusmoduulein laite soveltuu lisäksi joko tunkeilijoiden torjuntaan tai virusten ja roskapostin estoon ja sisällönsuodatukseen. Testissä käynyt malli sisälsi jälkimmäiseen tarkoitukseen myytävän ja oman hallintaportin sisältävän Csc-moduulin, jonka turvatoiminnot ovat Trend Micron käsialaa.
Itse laitteen hallintaohjelma Adsm kuuluu Ciscon tuotteiden parhaimmistoon. Keskeisten toimintojen asetusvelhot ja selkeä valikko- ja välilehtirakenne auttavat pääkäyttäjää selviytymään tehtävistään, jos hän ymmärtää tavattoman laajan toimintojen joukon. Ohjeistojen selkeydessä on silti vielä paikoin kehittämisen varaa.
Ipsec-tuki ei maksa ASA-tuotteissa erikseen, vaan sisältyy laitteen ylläpitohintaan, ja ipsec-asiakasohjelmaa saa kopioida veloituksetta. Ssl vpn -lisenssit on sen sijaan ostettava erikseen. Maksimissaan laite tukee 750 rinnakkaista vpn-käyttäjää tekniikasta riippumatta.
Ipsec -työasemaohjelma noudattelee perinteitä, ja sen diagnostiikka on erinomainen. Ohjelma tarjoaa palomuurin, muttei muita tietoturvatoimintoja työasemalle. Windows XP:ssä toiminta oli ongelmatonta, mutta Vista-versiossa on joukko rajoituksia. Se ei tue käyttöjärjestelmään integroitua palomuuria, ja ongelmiin törmättiin myös jaetun tunnelin kanssa.
Ssl vpn:lle Cisco tarjoaa vertailun parhaat portaalinmuokkaustoiminnot. Ajanmukaisen Vista-, Linux- ja Mac-tuen sisältävä Anyconnect-työasemakomponentti tarjoaa täyden verkkoyhteyden. Se vaatii asentuakseen pääkäyttäjäoikeudet.
Cisco ASA 5520
Hinta: 8 784 €
Valmistaja: Cisco Systems, www.cisco.com
Lisätietoja: Cisco Systems, puh. 0204 7061, www.cisco.com/fi
Lyhyesti: Monipuolinen ja tehokas kokonaisuus, jossa vpn-tekniikat on tuotu tasaveroisina tarjolle.
Arvosana: 7,5
+ Monipuolisuus, kattava ipsec-työasemaohjelmisto
– Alimitoitettu laitteisto, täysi ssl-verkkoyhteys vain Windows-koneille
Fortinetin Fortigate-sarja kattaa laajan skaalan moniturvalaitteita, joilla virustutka, roskapostin suodatus, tunkeilijoiden torjunta ja sisällönsuodatus ovat kautta linjan samat. Laitteen hallinta antaa mahdollisuudet tavattoman yksityiskohtaisille säädöille, ja asennusta helpottavia velhoja jää kaipaamaan.
Tarkasteltu 60B-malli on sarjan kevyimmästä päästä ja tarkoitettu korkeintaan kymmenen hengen yrityksille tai etätoimistoille.
Tuulettimettoman rakenteensa ansiosta laite on miellyttävän hiljainen käytössä.
Ipsec-tunneleiden määrä on lisenssillä rajattu viiteenkymmeneen, mutta laitteen suorituskyvyn rajat tulevat vastaan jo paljon pienemmillä määrillä.
Ipsec-työasemaohjelmana testattiin Windowsia tukevaa Forticlient PC Security -sovellusta, joka on vertailun monipuolisin. Se sisältää täydellisen työaseman tietoturvapaketin kilpaillen tunnetumpien tietoturvaohjelmien kanssa; päivitykset ja säännöt saadaan Fortigaten kautta. Ohjelma toipui huomionarvoisesti matkamikron vaipumisesta virransäästötilaan säilyttäen istunnon.
Laitteen mukana tullut Forticlient ei toiminut Windows Vistassa, mutta valmistajan sivustolta ajanmukainen versio jo löytyi.
Ssl vpn toimii oletuksena portissa 10443, koska tavanomainen 443-portti on varattu ylläpitotarkoituksiin. Epästandardi menettely lisää tukikustannuksia.
Ssl vpn:llä on kaksi toimintomoodia, portaali- ja tunnelimoodit. Portaalimoodissa käyttö onnistuu miltä selaimelta tahansa, kunhan se tukee Javaa. Rajoittunutta, mutta sinänsä toimivaa portaalia ei juurikaan pysty muokkaamaan.
Täyden verkkoyhteyden tarjoavassa tunnelimoodissa käyttöön vaaditaan activex:ää tai Javaa tukeva selain. Lisäksi ensimmäisellä käyttökerralla tarvitaan pääkäyttäjäoikeudet.
Fortinet Fortigate 60B
Hinta: 1 141 €
Valmistaja: Fortinet, www.fortinet.com
Lisätietoja: Internet Smartsec, puh. (09) 5713 4940, www.smartsec.fi
Lyhyesti: Pystyvä moniturvaratkaisu alimitoitetussa laitteistossa.
Arvosana: 7,1
+ Selkeä hallinta, toimiva ipsec-työasemaohjelma
– Ei tietoturvatoimintoja työasemalle, ssl vpn aivan puutteellinen
Zyxelin kevyt moniturvalaite on niin reititys- kuin tietoturvaominaisuuksiltaan vertailun muita tuotteita rajoittuneempi. Virustutka, tunkeiluntorjunta ja sisällönsuodatus ovat tarjolla erikseen hinnoiteltuina, roskapostin suodatusta laitteeseen ei vielä saa.
Laitteen käyttöönotto on helppoa, kun asennusvelhot pätevät yleisimpiin tilanteisiin. Toimintojen suhteellisen niukkuuden takia hallinta on muutenkin suoraviivaista, varsinkin Zyxelin tuotteita ennestään tuntevalle.
Ainoastaan Windows-koneille saatavissa oleva ipsec-asiakasohjelma on kelvollinen ja toimiva, mutta vailla mitään tietoturvaominaisuuksia – edes palomuuria ei siitä löydy. Ohjelmaa ollaan ilmeisen kiivaasti pitämässä ajan tasalla, koska siihen on aivan viime aikoina tullut runsaasti Vista-spesifejä korjauksia.
Ssl vpn:n osalta tilanne on keskeneräisemmän tuntuinen, ja ratkaisussa on runsaasti puutteita.
Jos laitteen sisäänkirjautumissivulta unohtaa ruksin kohdasta Log into ssl vpn, ei ilman pääkäyttäjätunnusta päädy mihinkään. Salausalgoritmeista tarjolla on vain rc4.
Pelkästään Javaa käyttävä ratkaisu tarjoaa toimintoinaan vain tiedostojen jaon sekä täyden verkkoyhteyden. "Portaalisivua" ei voi muokata muuten kuin tuomalla siihen oman logon, ja tiedostojaon toteutus oli vertailun vaatimattomin.
Täysi verkkoyhteys toimii vain Windows 2000- ja XP-koneilla. Niilläkin käyttö onnistuu vain työaseman pääkäyttäjätunnuksella.
Kokonaisuutena Zywall USG 300 oli vertailun heikoimmin toimiva tuote. Useita ongelmatilanteita jouduttiin ratkomaan valmistajan tuella. Tiedostojako saatiin toimimaan vasta firmware-päivityksen jälkeen ja Windows 2003 -serveriltä jouduttiin kytkemään ntlm-tuki pois päältä.
Zyxel Zywall USG 300
Hinta: 1 800 €
Valmistaja: Zyxel Communications, www.zyxel.com
Lisätietoja: Zyxel Communications, puh. (09) 4780 8400, www.zyxel.fi
Lyhyesti: Helppokäyttöinen, mutta rajoittunut moniturvalaite Windows-ympäristöihin. Ssl vpn -tuki pahasti keskeneräinen.
