Firewall je mrtev, ať žije NG firewall

Jan Bufka | 24.01.2012 | Internet a služby, Podniková infrastruktura | Žádné komentáře

Firewally chrání naše datové sítě již řadu let. Za tu dobu se ale ve světě IT mnohé změnilo. Objevila se celá řada nových aplikací, které dokáží tradiční firewall velmi snadno obelstít. Položme si tedy oprávněnou otázku, jsou klasické firewally pořád ještě dostatečnou ochranou?

Abychom mohli zodpovědně odpovědět na úvodní otázku, budeme se nejdříve muset trochu zamyslet nad způsobem fungování klasického firewallu a moderních aplikací, využívajících technologií Web 2.0. Klasický firewall se soustředí na 3. a 4. vrstvu tzv. OSI modelu. To ve své podstatě znamená, že kontroluje procházející provoz na základě IP adres a TCP/UDP portů. K tomu kontroluje například také to, jestli procházející provoz odpovídá standardům podle RFC (správná velikost paketu, pořadí jednotlivých částí paketu, atd.). Některé firewally, tzv. UTM (Unified Threat Management), navíc integrují další součásti ochrany sítě. Tyto součásti jsou zpravidla softwarové moduly jako antivir, anti spam, web filtering, nebo IPS (Intrusion Prevention System). Klasický firewall je tedy schopen zakázat či povolit provoz podle L4 protokolu, nejčastěji na základě TCP/UDP portu (HTTP – 80, HTTPS – 443, SMTP – 25, DNS – 53, atd.) a na základě zdrojové/cílové IP adresy.

Naproti tomu moderní aplikace, které jsou dostupné přes internet, velmi často využívají maskování do protokolu HTTP, či HTTPS. Velmi oblíbené je maskování právě do protokolu HTTPS, jelikož se jedná o šifrovanou formu komunikace pomocí SSL, nebo TLS a není tudíž možné nahlížet do obsahu paketu. Příkladem takových aplikací mohou být Skype, YouTube, Facebook, Twitter, free maily, sdílení obsahu, různé herní portály jako Second Life atd.

Jak tedy vypadá současná situace řízení provozu a bezpečnosti? Administrátor na firewallu povolí HTTP i HTTPS protokol pro interní IP adresy uživatelů, aby mohli ke své práci využívat internetový obsah. Ti však mohou libovolně využívat i všechny zmiňované aplikace, jelikož firewall vše „vidí“, jako HTTP a HTTPS provoz, který je povolen.

Další nevýhodou je to, že administrátor nemá přehled o chování konkrétních uživatelů. K dispozici má pouze IP adresy koncových stanic. Ke stanici se ale může přihlásit téměř kdokoliv, kdo má účet v doméně.

Z výše uvedeného poměrně jednoznačně vyplývá, že současné klasické firewally již neodpovídají potřebám řízení provozu a firemní bezpečnosti.

Co mohou nabídnout tzv. NG firewally (NG – Next Generation)?

Hlavní myšlenkou NG firewallů je zcela odlišný systém řízení provozu. Veškerý provoz je řízen na úrovni aplikací a nikoliv na úrovni TCP/UDP protokolu. Firewall disponuje rozsáhlou databází aplikací, která je pravidelně aktualizována, podobně jako databáze antiviru, nebo IPS/IDS. Databáze aplikací je alfou a omegou NG firewallů. Každý výrobce jde se svou databází různě hluboko. Na některých NG firewallech je proto možné nastavit pravidlo pro aplikaci Facebook jako celek, na jiných můžete regulovat jeho jednotlivé moduly (chat, sdílení fotografií, zeď, atd.). Obdobná situace může nastat například u aplikace Skype. Někde budete moci nastavit pouze Skype jako celek, jinde bude možno regulovat například chat, volání a přenos souborů jednotlivě. Databáze bývají rozděleny do kategorií, což zjednodušuje úvodní konfiguraci.

Na předešlém příkladu je patrné, jak NG firewall přistupuje k provozu. Administrátor již nenastavuje politiky na úrovni protokolů jako HTTP, HTTPS, FTP, POP3, atd., ale samotné aplikace na úrovni L7 (ICQ, Skype, Facebook, YouTube,  BitTorrent, World of Warcraft, SAP, Gmail, atd.). K dispozici jsou časové plány politik. Je-li tedy například ve firmě zakázána aplikace Facebook v pracovní době, může jí na NG firewallu jednoduše zakázat v pracovních hodinách a mimo ně Facebook povolit. Naprosto stejně lze nakládat se všemi aplikacemi bez ohledu na to, jakým protokolem se maskují.

Odpadá také problém s personifikací provozu. NG firewall dokáže autorizovat jednotlivé uživatele např. proti Active Directory, nebo LDAP serveru a dokonce lze využívat uživatelských skupin. Díky tomu může mít uživatel z oddělení marketingu přístupné sociální sítě, zatímco účetní nikoliv.

Součástí NG firewallu bývá také modul IDS/IPS, který chrání interní síť proti síťovým bezpečnostním hrozbám v reálném čase. Nezodpovědné návštěvníky rizikových webových stránek může administrátor jednoduše limitovat s pomocí funkce webového filtru. Někteří výrobci (např. Barracuda Networks) přidávají modul antispamu. Díky tomu lze zbavit firemní poštu nevyžádaných zpráv. Zmiňme ještě modul antiviru, podporu clusteringu, NAC, vysoké dostupnosti WAN rozhraní, Wi-Fi, QoS a celou řadu dalších funkcí.

Stačí to k ochraně firemní sítě?

NG firewall je bezpochyby mocným nástrojem pro řešení firemní bezpečnosti. Systém fungování je revoluční a integruje řadu bezpečnostních modulů, které dohromady tvoří komplexní systém, jež velmi dobře pokryje současné potřeby bezpečnosti firem všech velikostí.

Přechod od klasického firewallu na NG firewall není vždy jednoduchou záležitostí a je potřeba jej dobře naplánovat. Některé implementace využívají postupný přechod tak, aby co nejméně ovlivnily provoz. Nebojte se proto požádat o radu odborníky z řad integrátorských firem.

Autor pracuje jako bezpečnostní expert ve společnosti Shiftcom.

Zanechte komentář

Vaše emailová adresa nebude zveřejněna. Vyžadované informace jsou označeny *


devět − = dva

Můžete používat následující HTML značky a atributy: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>

Copyright © ICT manažer | ISSN 1805-5486 | SEO optimalizace a přizpůsobení SEO-care.cz