Hlavní navigace

Astaro Security Linux 4.0

Miroslav Petříček 8. 1. 2004

V dnešní recenzi se podíváme na zajímavý produkt, který patří do specifické oblasti bezpečnostních řešení založených na Linuxu. Větší firmy se zatím Linuxu coby firewallu nebo VPN gatewayi spíše bránily a dávaly přednost etablovaným hardwarovým řešením, případně komerčním produktům známých firem. Dnešní článek se zabývá vyspělou linuxovovou distribucí Astaro Security Linux, která je schopná poměry změnit.

Astaro Security Linux ke svému běhu, alespoň podle dokumentace, potřebuje počítač s procesorem alespoň Pentium II, 128 MB RAM, 8 GB HD a s dvěma kompatibilními síťovými kartami. Osobně mi tyto požadavky připadají poněkud předimenzované s ohledem na skutečnost, že stále ještě jsou k vidění firewally fungující na hardwaru o řád slabším, než je uvedená konfigurace. Nicméně pro účely recenze se mi podařilo Astaro Linux nainstalovat i na počítač s 64 MB RAM a 4 GB diskem, takže se dá předpokládat, že zmíněná konfigurace je myšlena spíše jako doporučené než jako faktické minimum.

Instalace je mírně řečeno spartánská. Spouští se bootováním s jediného instalačního CD a probíhá kompletně ve znakovém režimu. Jedinými zásahy uživatele jsou vedle výběru lokální časové zóny a odsouhlasení licenční smlouvy výběr IP adresy a pak už jen souhlas se smazáním a přerozdělením pevného disku.

Vlastní konfigurace probíhá prostřednictvím WWW rozhraní, připojením s https adresu některého z rozhraní. V prvním kroku musíme podruhé(!) odsouhlasit licenční ujednání (které je mimochodem delší než všechny podobné smlouvy, které jsem kdy četl) a zkonfigurovat hesla používaná pro správu firewallu.

Konfigurační nástroj je v podstatě Webmin, jehož vzhled i funkce jsou ovšem notně upraveny k nepoznání. Konfigurace je přímočará a přehledná, nechybí žádná zásadní funkce. Konfigurace všech služeb je úplná a není nutné, ba ani žádoucí, používat ssh konzoli, veškeré změny nastavení i provozní služby (restart, zálohování, čtení logů) lze provádět přes WWW rozhraní. V něm je k dispozici je užitečná online nápověda, která nahrazuje referenční příručku.

Bezpečnostní aktualizace probíhají pomocí nástroje Up2Date přes internet. Celý proces je samozřejmě zabezpečen pomocí pgp, všechny updaty jsou digitálně podepsané. Aktualizace je možné naplánovat na periodické provádění.

Co vlastně Astaro Linux nabízí?

Tak především jsou to funkce spojené s firewallem. Astaro je distribuce založená na kernelu 2.4, a používá tedy netfilter, resp. iptables. Díky tomu je konfigurace mocná a přitom jednoduchá. Samozřejmostí jsou funkce související – např. překlad adres (NAT), routování, účtování provozu aj. Astaro Security Linux dokáže také zkonfigurovat traffic shaper a QoS pomocí služeb HTB.

Druhým z velkých lákadel Astaro Security Linuxu jsou funkce související s provozem VPN. Ani tady nedochází k překvapení a Astaro používá populární implementaci protokolu IPsec FreeSWAN, uživatelé systémů Windows však možná sáhnou spíše po jednodušším PPTP, které Astaro umí také.

Velmi atraktivní je funkce, která umožňuje blokaci WWW stránek včetně funkce filtrování obsahu a řízení přístupu k vybraným WWW stránkám. Můžeme tak snadno zakázat provádění JavaScriptu, skriptů ActiveX, Javy, ukládání cookies nebo sledování uživatelů přes neviditelné obrázky. Je to možné díky proxy serveru s interním filtrem obsahu. Jednotlivé uživatele je možné mít nastavené do profilových skupin a každé takovéhle skupině lze nastavovat individuální práva k prohlížení těch kterých WWW stránek. Možnosti filtrování jsou velice propracované.


Kromě WWW (resp. http) nabízí Astaro i aplikační brány k dalším internetovým službám, např. SMTP, POP3 nebo DNS.

Zajímavou možností je automatická tvorba záloh konfigurace instalovaného software, která umožňuje velmi snadno vytvořit kopii nastavení systému a odeslat ji (samozřejmě v zašifrované podobě) emailem. Postavit tak náhradní router z uložených nastavení je otázkou okamžiku. Kromě toho nejvyšší verze Astaro Security Linuxu dokáží pracovat v HA (High Availability) režimu, kdy náhradní router může automaticky nahradit havarovaný primární, případně mu poskytnout funkce load balancingu.

Media kit Astaro Security Linuxu se dodává s tištěnou dokumentací, která je ovšem k dispozici i na dokumentačních stránkách Astaro Linuxu. Její kopie je uložená i ve formátu pdf na instalačním CD. Manuál je k dispozici v angličtině nebo v němčině a na 244 stranách čtenáře zasvětí do problematiky síťové bezpečnosti a podrobě popíše řešení, která nabízí distribuce Astaro Linux. Kromě toho nalezneme na CD i další dokumenty, které by uživatele Astaro Linuxu mohly zajímat. Za zmínku stojí například vybrané dokumenty z LDP, datasheety, licenční dokumenty aj.

Další drahý Linux

Astaro Security Linux je komerční produkt, který obsahuje jak open source programy, tak i komerční software. Dodává se ve třech variantách, které se liší zejména v objemu možného nasazení. Základní verze, označovaná jako Office Edition, dokáže obsloužit tři síťová rozhraní, 10 VPN tunelů a 5 SMTP domén. O něco vyspělejší je Proffesional Edition, která nabízí už 7 rozhraní (včetně gigabitových), 200 VPN kanálů, 25 SMTP domén a dokáže využít load balancing. Vrcholem nabídky je Enterprise Edition, která není nijak omezena funkčně ani co do vybavení. Ceny začínají na 12600 Kč a rostou podle doby garantované podpory (1 – 3 roky). Další částky je třeba zaplatit, pokud potřebujeme funkci HA, licence za antivir nebo WWW filtr. Aktuální ceník naleznete na stránkách společnosti AnnexNet, která je tuzemským distributorem Astaro Security Linuxu.

Ceny se mohou zdát značné, zejména v porovnání s cenou některé z obecných distribucí, kterou můžeme snadno „znásilnit“ ke stejnému účelu. Nicméně ceny za produkty v oblasti bezpečnostních řešení jsou obecně velmi vysoké a Astaro Security Linux za nimi nijak nezaostává ani co do rozsahu funkcí, ani co do jejich kvality, spolehlivosti a (bohužel) ani co do své ceny.

Hodnocení:

+ koncentrace funkcí
+ snadná instalace a správa
+ kvalitní dokumentace
 – vyšší cena

Našli jste v článku chybu?

23. 8. 2004 0:07

pat (neregistrovaný)

jsem opravdu nevidel... Jestli jejich "distro" vypada stejne, tak to se mate na co testi.

12. 1. 2004 13:17

bob (neregistrovaný)

Prijde mi ponekud zvlastni nazyvat vyuziti GNU produktu v souladu s licenci za parazitovani... jsem parazit protoze pouzivam Linux a neplatim za to? Jsem parazit, kdyz napisu malou aplikaci, pouziju na to cast jineho kodu a pak to cele i s kodem prodam?

Lupa.cz: Teletext je „internetem hipsterů“

Teletext je „internetem hipsterů“

Podnikatel.cz: Přehledná titulka, průvodci, responzivita

Přehledná titulka, průvodci, responzivita

120na80.cz: Stoná vaše dítě často? Upravte mu jídelníček

Stoná vaše dítě často? Upravte mu jídelníček

Podnikatel.cz: EET: Totálně nezvládli metodologii projektu

EET: Totálně nezvládli metodologii projektu

Lupa.cz: Co se dá měřit přes Internet věcí

Co se dá měřit přes Internet věcí

DigiZone.cz: ČT má dalšího zástupce v EBU

ČT má dalšího zástupce v EBU

120na80.cz: Horní cesty dýchací. Zkuste fytofarmaka

Horní cesty dýchací. Zkuste fytofarmaka

Vitalia.cz: 4 pravidla pro návštěvu čerta

4 pravidla pro návštěvu čerta

DigiZone.cz: Flix TV má set-top box s HEVC

Flix TV má set-top box s HEVC

Měšec.cz: Kdy vám stát dá na stěhování 50 000 Kč?

Kdy vám stát dá na stěhování 50 000 Kč?

Podnikatel.cz: K EET. Štamgast už peníze na stole nenechá

K EET. Štamgast už peníze na stole nenechá

Vitalia.cz: Říká amoleta - a myslí palačinka

Říká amoleta - a myslí palačinka

Měšec.cz: Jak vymáhat výživné zadarmo?

Jak vymáhat výživné zadarmo?

Vitalia.cz: Spor o mortadelu: podle Lidlu falšovaná nebyla

Spor o mortadelu: podle Lidlu falšovaná nebyla

Vitalia.cz: 9 největších mýtů o mase

9 největších mýtů o mase

DigiZone.cz: NG natáčí v Praze seriál o Einsteinovi

NG natáčí v Praze seriál o Einsteinovi

Vitalia.cz: Jmenuje se Janina a žije bez cukru

Jmenuje se Janina a žije bez cukru

Měšec.cz: U levneELEKTRO.cz už reklamaci nevyřídíte

U levneELEKTRO.cz už reklamaci nevyřídíte

Vitalia.cz: Paštiky plné masa ho zatím neuživí

Paštiky plné masa ho zatím neuživí

Podnikatel.cz: 1. den EET? Problémy s pokladnami

1. den EET? Problémy s pokladnami