2010-07-22
Nyhet

Halon SX-60

Svenska brandväggar är det inte särskilt gott om. Inte alls faktiskt, i synnerhet inte de som utvecklas i Sverige. Clavister är ett företag (en gång i tiden känt som Enternet) och Halon Security är ett annat.

För transparensens skull skall jag direkt nämna att Halon Security är en kund till mitt egna företag. Även om det i mina ögon inte påverkar vad jag skriver i detta test så finns det säkert de som tror eller tänker annorlunda, men det kan vara värt att nämna hur som helst.

Nu till saken. Halon Security tillverkar bland annat brandväggar. Jag sprang på dem för ett par år sedan när jag testade en modell vid namn SX-50 åt tidningen Datormagazin. Jag gillade produkten, även om den hade en och annan egenskap som behövde filas en aning på. Så kom då uppföljaren, SX-60. I vanlig ordning kostar den en del, 4995 kronor plus moms och uppåt beroende på antalet VPN-licenser, men jag köpte en ändå, lite på vinst och förlust. En aning overkill att ha hemma, kanske, i synnerhet när man sitter med en 4/1-ADSL-anslutning som knappast utnyttjar de maximala 100MBit/s som SX-60 klarar av att få igenom sig.

En titt på lådan ger två saker: den är i metall och känns solid, och den har fyra ethernetportar, två USB-portar och en RS-232-port. Vi kommer till dem senare. Har man vant sig vid Apples produktutseende så är inte SX-60 det vackraste man sett, men det spelar egentligen mindre roll av den enkla anledningen att chassit i rejäl plåt gör jobbet och kyler enheten utan problem, vilket i sin tur gör att man inte behöver ha en fläkt däri. Något för Apple att lära sig av, istället för att kapsla in hårddiskar och elektronik i trånga utrymmen med usla fläktar som enda hjälp till nedkylning.

Chassit i kombination med smart mjukvara och smart hårdvara gör att SX-60 inte drar mer ström än 15 watt vid full belastning.

En sak jag direkt fastnade för när jag testade dess föregångare, SX-50, var gränssnittet. Det finns i två varianter, ett enkelt och ett lite mer komplicerat. När jag testade SX-50 körde jag för det mesta brandväggen med det förenklade läget, men när jag sedan installerade en SX-60 hemma fick jag gå över till det mer avancerade läget, vare sig jag ville det eller inte. Och för det mesta fungerar det bra och är hyfsat logiskt att arbeta med.

Fila, polera, etc

Det finns dock saker som behöver ses över i det grafiska gränssnittet, som för övrigt fungerar riktigt bra med Safari. Först kan man gå in på hur H/OS, som operativsystemet heter i SX-60, arbetar med servrar och andra enheter som har varsin IP-adress.

I det enkla konfigurationsläget kan man ange en IP-adress för en server i det interna nätverket direkt i gränssnittet när man skapar exempelvis en regel för inkommande mail, men inte i det avancerade dito. Istället för att det finns en flik som heter exempelvis “Hosts” i gränssnittet, får man gå in under “Address Groups” och skapa en grupp för varje enskild server man har på “insidan” av sin brandvägg.

Fördelen med detta är givetvis att man där kan lägga in inte bara en utan flera IP-adresser till flera maskiner i en och samma grupp som sedan läggs in i en regel, och på så sätt snabbare öppna upp en eller flera portar till flera maskiner snabbare. Portar kan nämligen också grupperas, men det sker under valet “Services” där man kan skapa tjänster för inkommande och utgående trafik:

Nackdelen är givetvis att det blir en hel del “grupper” med kanske bara en eller två adresser i, i synnerhet nu för tiden då allt fler jobbar med virtuella servrar under exempelvis VmWare. Rörigt blir det också om man har en större mängd publika IP-adresser som man vill koppla till en och samma brandvägg (vilket enkelt görs genom att lägga upp aliasadresser på det interface som är anslutet till Internet) och sedan ska koppla en viss brandväggsregel, till en viss intern server, med en eller flera portar öppna. Jag hade önskat att det gick att döpa alla IP-alias i brandväggen till exempelvis vad de är registererade som i en DNS så man enklare kan välja adress när man skapar en ny regel, då fönstret som man väljer extern IP-adress i är ganska litet (hos min tidigare arbetsgivare hade vi 60 publika IP-adresser i en Halon SX-101, den tidigare mellanmodellen, och det gällde att hålla tungan i rätt mun när man skulle sätta upp en ny IP-adress med vissa portar öppna och sedan koppla det till en eller flera interna servrar).

Som synes är detta egentligen rätt enkelt, men med tiden kan det bli en aning oöverskådligt, om man inte redan från början arbetar smart med Address Groups och Services redan från början. Det går dock inte att städa hur långt som helst och det tar heller inte lång tid innan det blir många, många rader av regler om man har fler än en server på insidan av brandväggen, och i vissa fall kanske man vill ha en regel för varje port man öppnar, något som alltså kan göras betydligt enklare för empelvis en mailserver, där man när man ser att allt fungerar istället kan skapa en enda services-grupp för samtliga portar, 25, 587, 443, eller vad man nu vill ha för tjänster öppna utifrån.

Men det kräver disciplin och att man tar sig själv i örat och städar. Jag är som synes inte allt för pigg på det:

Det mesta är som synes rätt enkelt. Det finns klurigare saker, exempelvis om man vill skapa separata nät som ett DMZ och sedan tillåta trafik utåt. I det enkla läget skapas för NAT och dyligt automatiskt men i det avancerade dito måste man skapa dem manuellt och sedan utöver det skapa accessregler i Policies. Det finns också rätt sköna trick man kan göra, som givetvis kunde varit enklare om man strukturerat om det grafiska gränssnittet till att utgå från respektive host istället för som nu, från ett system där allt utgår från brandväggsregler och grupper.

Vill man exempelvis att ens mailserver när den skickar mail ska göra det från samma IP-adress som står som MX-record i DNS-tabellen får man skapa en NAT-regel som ser ut så här:

Alternativet är att den utgående mailen skickas via den IP-adress som det externa interfacet är satt till, vilket inte nödvändigtvis är samma externa IP-adress som mailservern har. Detta är en smart funktion som givetvis kunde varit lite enklare, men när man väl klurat ut det (eller fått hjälp av Halons utmärkta support som tycks sitta vid datorn i princip dygnet runt) så känns det givetvis helt logiskt.

Dokumentationsproblemet

När man arbetat ett tag med SX-60 så är allt detta helt naturligt och man tänker inte ens på att det en gång i tiden varit klurigt, men det finns helt klart en lärokurva här som man bör vara medveten om. Det blir inte bättre av den dokumentation som Halon Security förser oss med. I det grafiska gränssnittet finns det bra hjälptexter för det mesta, men ibland vill man ha reda på mer.

Administrationsmanualen som finns att ladda ner på Halons supportsajt för H/OS Extreme, som är operativsystemet i SX-60, är daterad till den 16:e Februari 2007. Även om grunderna säkerligen är samma som för dagens version, 1.4 och uppåt, så känns det inte bra med en dokumentation som är över tre år gammal. Många nya funktioner har tillkommit och även om de flesta är självförklarande så är det trevligt att ha något att hålla i när man ska börja mecka.

En wiki finns men den täcker endast det andra produktbenet som Halon levererar, spamskydden VSP och SPG. Sanningen att säga så är det väldigt lite information man får utöver detta och även om manualen för att starta upp sin SX-60 för första gången är riktigt bra och pedagogisk så får man förbereda sig på att labba eller kontakta supporten (som gladeligen svarar på de mest korkade frågor, kan jag av egen erfarenhet meddela…).

Portar, portar, portar

Jag nämnde initialt mängden portar i den här brandväggen. Det intressanta är att en SX-60 inte har en viss port som är bestämd för ett visst syfte, utan de fyra portarna kan användas till vad du vill, om du endast vill använda den som router mellan flera interna nätverk, eller ansluta tre externa anslutningar (WAN) till en intern (LAN), och så vidare. Utöver det finns också en möjlighet att konfigurera en failover-port för exempelvis en WAN-anslutning där om din primära internetanslutning dör så växlar brandväggen automatiskt över till den sekundära. Räcker inte det så kan man också ansluta ett 3G-modem i en av USB-portarna som tar över anslutningen om alla andra externa anslutningar går ned. Med andra ord ingenting för de som driver hosting eller har många egna servrar som måste ha åtkomst utifrån (om man inte har flera anslutningar med fasta adresser, det vill säga) men perfekt för det lilla företaget eller hemmakontoret.

RS-232-porten är kanske inte lika spännande, men ändock nyttig: skulle brandväggens konfiguration gå åt skogen eller om du bara inte kommer åt den via nätverket längre är det en smal sak att ansluta sig via just RS-232 och sedan med valfritt terminalprogram logga in i brandväggen och lösa problemet. Det är dock en sanning med viss modifikation; det krävs att du känner dig bekväm och hemma med kommandoradssyntaxen och det tar lite tid innan man gör det och dokumentationen är även här inte helt optimal.

Summering

Detta är en bra brandvägg. Den är så bra så jag köpt den själv och jag är ruggigt nöjd med den. De minus som finns ligger inte i dess funktion utan i första hand i dokumentationen och i andra hand i det grafiska gränssnittet. Det senare är något man lär sig och till 85 procent är det ett gränssnitt som är helt självförklarande, och de klurigare delarna lär man sig vare sig man vill det eller inte.

Den inbyggda VPN-servern fungerar utmärkt med Mac OS X (PPTP-klienten är inbyggd i åtminstone Mac OS X 10.5 och framåt) och vill man hellre använda IPSEC går det utmärkt. Vill man använda sig av tjänster som dynamisk DNS (DynDNS, etcetera), sätta upp VLAN för trafik mellan brandväggens portar och enskilda servrar eller till och med skydda den egna mailservern med det inbyggda UTM-skyddet (tillvalsfunktion) så finns det alla möjligheter till det.

Brandväggar som är utvecklade, designade och som helt supporteras från hemmaplan har vi inte många av i det här landet. När produkten är bra så är det ju extra trevligt, utan tvekan, och utifrån det är det en produkt jag rekommenderar, men inte till alla, vilket är värt att notera lite extra noga, utan endast till de som kan eller vill lära sig hur man konfigurerar och arbetar med en brandvägg långt bortom vad man kan göra med Apples motsvarande funktioner i Time Capsule eller Airport Extreme.

Tillverkare: Halon Security
Pris: 4995 kronor exklusive moms (inklusive två VPN-licenser)
Köp den hos: MacDaddy, med flera.



© 2018 Omsoc Publishing AB