Data publikacji: 26.03.2013
Każde przedsiębiorstwo wykorzystujące na co dzień dobrodziejstwa globalnej sieci Internet powinno poświęcić szczególną uwagę bezpieczeństwu na styku sieci lokalnej i globalnej. Spektrum zagrożeń, jakie czyhają na potencjalnego użytkownika sieci jest olbrzymie. Kontrola nad przepływem informacji w obu kierunkach musi być dobrze zdefiniowana, zaplanowana, a następnie wdrożona i ciągle optymalizowana.
POTRZEBY STALE ROSNĄ
Wygląda na to, że tradycyjne podejście do filtrowania ruchu sieciowego w postaci standardowej zapory ogniowej przechodzi właśnie do historii. Klasyfikacja ruchu na podstawie źródłowego, czy docelowego adresu IP, czy portu TCP/UDP charakterystycznego dla danej usługi sieciowej to w dzisiejszych czasach zbyt mało.
W sukurs administratorom przychodzą producenci urządzeń bezpieczeństwa, zajmujący się tą tematyką od lat, choć nie należy zapominać o producentach, którzy pojawili się na rynku security stosunkowo niedawno. Wszystko za sprawą ewolucji zabezpieczeń.
ŚWIAT IP SIĘ ZMIENIA
Tak jak wspomniałem wcześniej, pierwsze modele zapór sieciowych potrafiły operować na danych wchodzących do lub wychodzących z sieci w sposób bardzo ograniczony z dzisiejszego punktu widzenia. Klasyfikacja ruchu opierała się na definiowaniu ruchu wejściowego i wyjściowego z dokładnością do adresów IP, interfejsów wejściowych/wyjściowych oraz portów TCP/UDP. Firewalle z kontrolą stanu połączenia (stateful firewall) pozwalały ponadto na identyfikację połączeń, monitorując połączenie od momentu zainicjowania z hosta źródłowego, aż do jego zamknięcia, zezwalając na ruch tego typu, o ile został on wcześniej ujęty w polityce dostępu (stany established czy realted).
TRADYCYJNE FILTROWANIE RUCHU JUŻ NIE WYSTARCZA
Z upływem czasu okazało się, że taki sposób filtrowania ruchu jest niewystarczający, chociażby ze względu na fakt, iż wiele aplikacji potrafi działać z wykorzystaniem portów zarezerwowanych dotychczas na zasadzie umowy dla pewnej, zdefiniowanej grupy aplikacji, którym zazwyczaj zezwalamy na wymianę informacji. Dobrym przykładem może być port 80 TCP odpowiadający ruchowi http, będący często wykorzystywany na przykład w sieciach P2P, jako jedna z metod obejścia zabezpieczeń.
Kolejną słabością tradycyjnych firewalli było definiowanie reguł na podstawie adresów IP, co może nie być problemem dla małej ilości użytkowników (w miarę łatwa identyfikacja i korelacja IP użytkownik), aczkolwiek w przypadku większych środowisk przestaje być łatwe w administracji. Ze względu chociażby na wymienione powody, tego typu mechanizmy stosuje się głównie jako filtry wstępne, na urządzeniach będących najbliżej styku z operatorem, w celu ograniczenia ruchu w najogólniejszym tego słowa znaczeniu.
KOLEJNY KROK EWOLUCJI ZABEZPIECZEŃ SIECIOWYCH
Kolejnym krokiem na drodze ewolucji zabezpieczeń sieciowych było pojawienie się na rynku urządzeń klasy UTM (Unified Threat Management). UTMy są odpowiedzią na niektóre bolączki trapiące standardowe firewalle.
Tego typu urządzenia potrafią się integrować z usługami katalogowymi, wykorzystywanymi w przedsiębiorstwie lub innymi bazami danych użytkowników, pozwalając na definiowanie polityk i reguł firewalla w oparciu o użytkownika, czy grupę użytkowników. W ten sposób administrator nie musi już ręcznie definiować zależności pomiędzy użytkownikiem a jego adresem IP, czy adresem MAC karty sieciowej. Łatwo w ten sposób zawiadować uprawnieniami do zasobów sieciowych z podziałem na jednostki administracyjne.
UTMy pozwalają także generować graficzne raporty i statystyki ruchowe z dokładnością do nazwanego użytkownika, co często przydaje się w codziennej administracji. Również same mechanizmy klasyfikacji treści zostały podniesione poziom wyżej. Za pomocą UTMa możliwe jest zaimplementowanie filtracji URL, również z uwzględnieniem podziału na wcześniej zdefiniowane grupy użytkowników.
Ponadto urządzenia tego typu integrują w sobie dodatkowe mechanizmy, typu IPS (Intrusion Prevention System), AntiSPAM, AntiPhishing, czy Antivirus, dzięki czemu możliwa jest kontrola na poziomie wyższych warstw modeli ISO OSI, z warstwą 7 – aplikacyjną włącznie. W dobie usług chmurowych często wykorzystuje się ten model również w zakresie zabezpieczeń sieciowych, przekierowując część ruchu (np. ustawiając rekordy MX na urządzenia usługodawcy) do zewnętrznych filtrów security-providera.
MARKETING CZY TECHNIKA
Ostatnią grupa zabezpieczeń sieciowych są tak zwane Next-Generation Firewalls, czyli zapory ogniowe kolejnej generacji. Niektóre firmy analityczne z rynku IT określają ten typ zapór jako czysto marketingową zagrywkę ze strony producentów, czy też bardziej lotną nazwę dla omawianych już UTMów. Trudno oprzeć się wrażeniu, że rzeczywiście coś w tym jest, jednakże producenci odpierają zarzuty, twierdząc, że ich NGFW to całkowicie nowa jakość na rynku zabezpieczeń sieciowych.
Idea działania NGFW polega na klasyfikowaniu ruchu ze szczególnym naciskiem na warstwę aplikacji. Firewalle nowej generacji potrafią z wykorzystaniem głębokiej inspekcji pakietów, wzorców, czy sygnatur wychwycić ruch należący do konkretnego rodzaju aplikacji sieciowej, typu Skype, http, gg, rdp, czy sip, bez względu na porty TCP/UDP, które jeszcze kilka lat temu były jedynym kryterium identyfikacji. W ten sposób łatwo zidentyfikować użytkowników, wykorzystujących zakazane aplikacje w czasie pracy – można na przykład zezwolić na korzystanie z Facebooka (np. do celów marketingowych), ale równolegle zabronić korzystania z wbudowanego IM czy gier.
W praktyce trudno jest odróżnić dobrego UTMa od szumnie reklamowanego NGFW. W większości przypadków funkcjonalność jest na tyle zbliżona, że ciężko poprawnie zdefiniować z jakiego typu urządzeniem ma się do czynienia, szczególnie jeśli administrujemy firewallem producenta, który dotychczas specjalizował się w produkcji świetnych UTMów, a na fali marketingu wprowadził nowe modele sprzętu, nazywając je szumnie NGFW. Nieco inaczej wygląda sytuacja ze stosunkowo nowymi vendorami, którzy od początku projektowali swoje urządzenia podporządkowując zarządzanie i całą koncepcję warstwie aplikacyjnej.
PODSUMOWANIE
Reasumując – lokalna sieć komputerowa powinna być jak najlepiej zabezpieczona przed zagrożeniami napływającymi z Internetu (nie należy tu także zapominać o odwrotnym kierunku wypływu danych i technologii DLP, ale to temat na oddzielną publikację) bez względu na rodzaj użytych zabezpieczeń. Nigdy nie jesteśmy w stanie zabezpieczyć się w 100%, jednakże warto dopilnować, aby nasze zabezpieczenia były na tyle solidne, na ile tylko możemy sobie pozwolić - czy to z wykorzystaniem standardowej zapory ogniowej, UTMa, NGFW i IPSa, czy też wykorzystując każdą z tych technologii z osobna.
CHCESZ WIEDZIEĆ WIĘCEJ ?
Przeczytaj powiązane artykuły i skontaktuj się z nami albo zostaw wiadomość a to my się odezwiemy.
Tak, chcę zabezpieczyć sieć firmową