Sempre gostei, do ponto de vista da tecnologia, dos produtos e das inovações lançadas pela Check Point. Foi o primeiro firewall decente a ser lançado no mercado e por muitos anos foi e ainda é, líder neste segmento. Durante anos, deixou a concorrência para trás com avançados recursos de stateful inspection e deep packet inspection, este último um recurso que analisa os pacotes lá na camada 7. No entanto, tem uma coisa que não me agrada na Check Point: ela hoje foca mais na camada de aplicação – principalmente web – e deixa a desejar nos avanços da camada de rede. Por exemplo, a versão atual do Firewall-1 traz recursos de proteção avançadíssimos contra ataques tipo SQL Injection, Cross-site-Scripting, além de anti-vírus e anti-spam integrados (licenças opcionais), no entanto nenhum suporte nativo no seu sistema operacional a inspeção dentro de protocolos de tunelamento, como o GRE, MPLS, IPIP e L2TPv3. Acho isso um furo, ainda mais com a Cisco suportanto MPLS no seu IPS Series 4200 por exemplo.
Mas agora volto a bater palmas para a Check Point com o lançamento de um produto específico para redes industriais. O VPN-1 UTM Edge Industrial. Ou não? Humm… preciso de uma ajuda aqui para entender isso melhor. Vejam porque aí em baixo.
No começo de 2004, eu tive a oportunidade de ter uma conversa franca com o pessoal da Check Point (claro que dentre outros milhares de clientes deles na época eu não fui o único a falar sobre isso) sobre a visão deles para o mercado de redes industriais. Perguntei se tinham algo no horizonte ou se podíamos esperar por algum suporte mais específico aos protocolos modbus e dnp3, por exemplo, no firewall-1. Para minha surpresa, não havia nada ou nada que eles pudessem revelar (na verdade acho que não havia nada mesmo só aquele papo “se tiver demanda…”). Falei sobre o que estava acontecendo neste mercado pós-911 (o 11 de setembro); as iniciativas que o governo americano estava obrigando as empresas de infra-estrutura tomarem; algumas normas de segurança de dados que estavam pra ser lançadas por organizações do setor, como a API e a ISA. Bom, depois de voltar a este assunto com eles outras vezes, me procuraram no ano passado para conversar sobre o que eu achava, como um cliente/usuário, que um produto de segurança de redes para este ambiente deveria ter. Dei alguns pitacos. Daí, vi o lançamento da caixa abaixo e pensei “será que aproveitaram alguma de minhas sugestões?”. Não que tivesse algo de surpreendente nelas, mas apenas o básico, e é claro que outras pessoas pensaram na mesma coisa, mas eu realmente queria ver aquelas funções ali, num produto disponível no mercado. Fui ler o material disponível no site deles. E pelo que pude ver, trata-se de um firewall-1 tradicional, com o mesmo código de software de outro qualquer, embutido num hardware com suporte a maiores níveis de temperatura, umidade e vibrações. Nada de especial, visto que pela imagem do site, nem mesmo NEMA 3 (a prova de explosão/imersão) o bichinho é. Compare a foto dele com o roteador para o mesmo ambiente da Cisco Systems. Veja como o roteador (branquinho) é mais robusto, tem proteção nas interfaces elétricas, conexões e interfaces padrão NEMA, com isolamento e conectores com encaixes protegidos (vou falar nele em outro post).
Se por um lado fiquei desapontado, por outro me alegrou ter constatado que empresas como a Check Point terem acordado para a área de segurança de redes industriais. Resta torcer para que o UTM Edge Industrial seja apenas o começo de uma leva de produtos (e esperamos que com alguma inovação!) para o setor. A Check Point tem bagagem técnica para aprimorar o seu firewall e embutir novas funcionalidades que realmente agreguem alguma coisa nova.
No geral, se você precisa de um firewall de Internet tradicional, e fácil de gerenciar, para instalar num local empoeirado, quente, umido e com alto nível de ruído e trepidações, como o chão-de-fábrica por exemplo, é uma excelente solução.
