Tio år efter att ipv6 standardiserades, och ett år efter att ipv4-adresserna tog slut, är det på tiden att brandväggarna också klarar det nya protokollet. Men när vi drog igång testerna för den här artikeln visar det sig att ”stöd för ipv6” fortfarande är ett ganska flexibelt begrepp för tillverkarna. Eller vad sägs om att ett par av dem inte fungerade som brandväggar för ipv6-trafik? Det är visserligen frågan om brister som kan fixas till genom att uppdatera mjukvaran, men lite förvånade blir vi ändå.

För ett litet företag utan egen it-avdelning är det inte heller så lätt att välja brandvägg och installera den korrekt. Ska man satsa på de stora tillverkarnas proffsprodukter, eller duger de brandväggar som ligger snäppet över konsumentsegmentet?

Oavsett vilket är det viktigt att tänka på att det inte räcker med att bara köpa och koppla in en manick. Nätverkssäkerhet är komplicerat, och ett litet kryss i fel ruta kan öppna för attacker mot dina system. Det här är ett av de där tillfällena då det är extra smart att hyra in en konsult med lämpliga kunskaper.





l Cisco 892F-K9
Först ut i vårt test är Cisco. Inte bara för att deras företagsnamn kommer först i alfabetet, utan även för att det är den största och viktigaste leverantören på nätverksmarknaden.

På baksidan av routern hittar vi åtta stycken interna portar och två wan-anslutningar, varav den ena pratar i gigabithastighet. Någonstans där inne finns en fläkt, men den är mycket tyst. Burken kan skruvas upp på en vägg, men eftersom den här modellen inte har trådlöst nätverk kan den lika gärna ställas in i nätverksskrubben på kontoret. Helhetsintrycket av hårdvaran är mycket bra.

Men tyvärr har Cisco krånglat till grundkonfigurationen otroligt mycket. I stället för en inbyggd webbkonfiguration finns en applikation kallad Configuration Professional, CP. Den här Javabaserade mjukvaran kan bara installeras på Windows. Varför, Cisco, varför?


Tvärnit i konfigurerandet
Nåväl, hjälptexter finns att läsa nästan överallt i CP, och vi hittar intrångsskydd (ips) med cirka 20 fördefinierade profiler. Men så försöker vi grundkonfigurera routern för ipv6 i CP. Det går inte alls. Som tur är finns kommandoraden, och där kan vi konfigurera ipv6-adresser, brandväggsregler, dhcpv6-server – ja allt. Kommandoraden i Cisco IOS är enormt kraftfull och användbar, förutsatt att man hittar rätt manual. Men det är fortfarande bara en kommandorad, något som den stackars datoransvariga personen på vårt scenarioföretag kanske inte ens visste fanns. Snälla Cisco, bygg in bättre ipv6-stöd i CP!

Det finns en uppsjö tilläggslicenser som man kan köpa till. Visst är det bra att man inte behöver betala för funktioner som man inte använder, men samtidigt är det lätt att råka beställa onödigt många licenser ”för säkerhets skull”.







Cisco har ett underbart verktyg som heter Security Audit, en inbyggd funktion för att analysera konfigurationen och hitta potentiella säkerhetsproblem.


Scenario

Ett litet företag med 20 anställda behöver en ny brandvägg. Företaget har ingen egen it-avdelning utan tar hjälp av en lokal konsult vid behov. Nu behöver de säkra upp sitt interna nätverk och ett dmz-nät med ett par servrar.

Personalen vill kunna koppla upp sig med vpn ibland, och eftersom företaget gör många affärer i Asien blir det allt viktigare att kunna använda ipv6. Säkerhetsfunktioner för e-post- och webb-trafik är också ett plus.