Jak ochránit společnosti proti hrozbám přicházejícím z Internetu

Michael Pick, 07. červenec 2008 08:56 2 komentářů
Rubriky: Internet, Byznys

Internet
Úkolem původních zařízení strážících hranice firemních LAN bylo především zajistit připojení do Internetu - směrování, jednoduchá přístupová pravidla a podobně. A jakési zabezpečení bylo spíše volitelnou funkcí, která obsahovalo nanejvýš překlad adres. Bezpečnostní mechanismy v těchto bezstavových firewallech obsahovala jenom základní popis co a kam bez možnosti podrobnějších nastavení.

Stack-hero
Řešení pro síťovou ochranu společností z řady NSA SonicWall

Zároveň při nastavování těchto přístupových pravidel obstojně pily krev správcům nutností nastavovat oba směry komunikace, pokud možno každý směr na jiném místě, a postaraly se tak o dostatek bezesných nocí a rozzuřených telefonátů časně ráno. Tento druh firewallu byl „oblíbený“ především u správců FTP serverů. Postupným vývojem směřujícím ke stále větší závislosti firem na Internetu musely tyto brány reagovat a protože stály na vstupu do sítě, ukázalo se výhodné integrovat do nich další bezpečnostní prvky.

Stavový firewall první pokročilejší metodou

První ze sofistikovanějších metod kontroly provozu se stal stavový (statefull) firewall, který prohlíží hlavičky paketů a podle kombinace zdroje, cíle a portu určuje zda paket zpracuje, odmítne nebo zahodí. Pravidla se nastavují pouze ve směru z kterého očekáváme první paket, firewall si sám udržuje tabulku aktivních spojení a relevantní provoz si již sám odvodí, což trochu usnadnilo těžký život síťového admina. Nepsaným pravidlem se stala výchozí politika zahazující všechny pakety neodpovídající definovaným pravidlům a zpracovávání paketů určené pořadím pravidel (tzv. first match). Objevily se sice pokusy o jiné politiky (např. "best match" nějakou dobu používané bránami společnosti Symantec), ale byly v praxi dostatečně těžko použitelné na to, aby zakrátko zmizely v propadlišti dějin.

Stavový firewall řeší přesně to, co se od něj očekává, tedy pouze rozhoduje který provoz do sítě propustí a který nikoli. Předpokládá ovšem (nebo alespoň jeho administrátor), že tento provoz je v pořádku a na cílových serverech nezpůsobí problémy. Ale s tím jak Internet a internetové služby vtrhly do doposud poklidného světa LAN se tento předpoklad ukázal jako lichý. Protože při obraně proti hrozbám z Internetu je rychlost záplatování známých děr prvním předpokladem přežití, je třeba dostatečně rychle záplatovat firemní servery. To zase může být vzhledem k „rozmazlenosti“ vnitropodnikových aplikací problematické (např. téměř každá větší záplata Microsoftu obsahuje alespoň jednu chybu komplikující přímé nasazení ve firemním prostředí), a proto internetové brány dostaly další úkol.

Tím se stala kontrola vstupujícího provozu na známé hrozby. To ale znamená kontrolu nejenom hlavičky, ale celého paketu a tedy vyžaduje několikanásobný výpočetní výkon. Dosavadní brány ale takovým výkonem nedisponují. Co s tím? Prvním řešením bylo za internetovou bránu vložit do cesty IDS (Intrusion detection system), který kontroloval provoz podle známých kritérií. Jeho nevýhodou bylo velké množství falešných poplachů a také to, že problémy pouze detekoval, ale neřešil. Admin měl tedy ráno nebo dopoledne po příchodu do práce dokonalý přehled odkud přišel nejnovější exploit, pak se radostně pustil do dezinfekce postižených strojů.

Stálé použití bran s antivirovým enginem

Po nějaké době se v provozu objevily brány s vyšším výkonem, které dokázaly alespoň některé hrozby samy řešit – dodnes se používají brány s vestavěným antivirovým enginem které stejně jako jejich softwaroví bratříčci na PC porovnávají svou databázi virů s právě zkoumaným provozem. Objevené incidenty pak řeší po svém – obvykle přerušením komunikace s dotyčným strojem. Odtud už byl jenom krok ke zkoumání celého provozu, nejenom na přítomnost známých virů, ale i na přítomnost dalších bezpečnostních hrozeb – červů, rootkitů, trojských koní apod.

To samozřejmě vyžaduje odpovídající výkon, takže současné brány mají (kromě různě vyspělých metod zkoumání paketů) i výkon, který si ničím nezadá se špičkou současných PC. Pro ilustraci např. současné internetové brány SonicWall mají CPU obsahující až 16 jader na frekvenci 600 MHz a teoretickou datovou propustnost až 10GBit na jádro.

S tímto výkonem už si můžeme dovolit přidat i další funkce, jako například řídit rychlost podle jednotlivých pravidel (například administrátor může mít k terminálovému serveru vyhrazenou vyšší rychlost než běžný uživatel), podporovat virtuální sítě, IP telefonii včetně priorizace provozu a další a další funkce – v neposlední řadě i omezování uživatelů v přístupu na jejich oblíbené stránky.

Otázka přístupu ke spamu

Spornou otázkou při řešení hrozeb je obvykle přístup ke spamu jako specifickému druhu nevyžádaného provozu. Někteří výrobci se chlubí antispamovou funkcionalitou právě na bránách, obvykle ale nejde o nic jiného než o různé implementace blacklistu. Mail je na základě různých kriterií posouzen (obvykle IP adresa odesilatele, někdy se pro větší jistotu používá i hash celého mailu) a porovnán s on-line databázemi obsahujícími známé hříšníky. Vzhledem k „aktuálnosti“ obsahu těchto databází a způsobu jejich plnění lze blacklisting považovat za překonanou technologii.

Antispam by tedy z principu internetová brána neměla řešit, pokud nedisponuje vestavěným mailserverem, dostatečným datovým úložištěm a dalšími - sofistikovanějšími technologiemi k odhalování spamu (Bayesiánskými filtry, ověřováním odesílatele, graylistingem apod.).

Další funkcí vyžadovanou na internetových branách je z logiky jejich umístění v topologii sítě terminace VPN tunelů. Tato technologie která stále více nahrazuje drahé Frame relay okruhy spojující pobočky firem vítězí díky své flexibilitě i dostatečné bezpečnosti. Požadavek na silné šifrování provozu samozřejmě dále zvyšuje požadavky na výkon celé brány, výrobci tedy (např. zmiňovaný SonicWall) používají specializované koprocesory starající se výhradně o cryptování provozu určeného do VPN tunelů. Zároveň lze při využití této technologie řešit i připojování vzdálených uživatelů (RoadWarriors) a řídit jejich přístupová práva.

Se vzrůstajícím množstvím komunikace vedené po datových linkách se pro firmy (i závislé jednotlivce) stává dostupnost datového připojení kritickým faktorem jejich podnikání. I toto dokáží internetové brány řešit: můžete si pořídit více připojení od různých poskytovatelů a brána pohlídá aby se vaše data dostala k cíli i při výpadku jednoho z ISP. Lze také zvýšit rychlost připojení rozkládáním zátěže na jednotlivé linky podle různých kritérií. V neposlední řadě by vás brána měla ochránit i při výpadku sama sebe, ať už duplikováním kritických součástí (typicky napájecí zdroje) nebo rovnou propojením dvou bran do clusteru. Při výpadku jedné z nich pak druhá přebírá kompletně její funkci včetně již navázaných spojení. Při svázání dvou gatewayí do clusteru navíc kromě vysoké dostupnosti získáme i téměř dvojnásobný výkon pro všechny výše zmiňované síťové operace.

Internetové brány tak od konce minulého století prošly vývojem od jednoduchých převaděčů Ethernet-sériová linka k sofistikovaným strážcům internetového pohraničí spolehlivě střežící klid domácí LAN.

Autor článku působí jako technologický konzultant pro SonicWALL ve společnosti Tech Data Distribution.


Komentáře

Bystroushaak #1
Bystroushaak 07. červenec 2008 14:19

Perfektní článek, díky!

Tomáš #2
Tomáš 09. červenec 2008 08:56

mám dotaz na linux SW a to firewally.
s iptables si docela rozumím.

jedna se o hranicni pc net - LAN (jak jinak, pravda skutecnost je jina ale to zvladnu)
jedna se mi o názory. Nesledoval jsem novinky posl. x dobu.

jsou FW jenom SW nadstavbou iptables, net... takze bude lepsi a snazsi kdyz to ovladam pouzit iptables ??

co byste doporucili pokud FW-SW pro linux neni jen stroha nadstavba iptables ??

IPCop ?
ISPconfig ?
co si o tech dotyčných výtvorech myslíte pro můj případ je lepší IPCop (nejaky vychytavky v jadre proti preteceni DDoS nebo neco)

jako tech. konz. mi snad dáte lepší informace než pár anonymních příspěvků na <a href="http://www.root.cz/diskuse/3093/" target="_blank">root-u</a> a zodpovíte mé dotazy objektivněji
pls, autore článku ?

RSS 

Komentujeme

Jak srovnávali jablka s hruškami

Pavel Houser , 27. květen 2017 14:30
Pavel Houser

Absurdní patent či ochranná známka, respektive absurdní výsledek sporu? A že je hloupost srovnávat j...

Více





RSS 

Zprávičky

Výdaje na reklamu na webech v dubnu stouply na 652 milionů Kč

ČTK , 27. květen 2017 09:04

Seznam získal 240 milionů, Mafra inkasovala 118 milionů a Economia 76 milionů korun....

Více 0 komentářů

Dell EMC podporuje transformaci IT s novými produkty pro open networking

Pavel Houser , 26. květen 2017 14:46

Přepínače Dell EMC pro Open Networking tvoří spolu se servery PowerEdge čtrnácté generace a špičkový...

Více 0 komentářů

Hodnota bitcoinu stoupla na nový rekord přes 2400 dolarů

ČTK , 26. květen 2017 09:23

K růstu bitcoinu přispívá příliv nového kapitálu a růst poptávky po dalších digitálních měnách....

Více 0 komentářů

Starší zprávičky

Tři zranitelnosti a opravy: Samba, Joomla, videopřehrávače

Pavel Houser , 25. květen 2017 16:30

Vektorem útoku může být i soubor s titulky....

Více 0 komentářů

Lenovo opět v zisku

ČTK , 25. květen 2017 15:32

Lenovo se snaží omezit svou závislost na trhu s PC a rozšiřuje aktivity v oblasti chytrých telefonů ...

Více 0 komentářů

Zákon o elektronické identifikaci Sněmovna asi schválí beze změn

ČTK , 25. květen 2017 09:00

Jedním z cílů nových občanských průkazů je poskytnout držitelům elektronický podpis....

Více 0 komentářů

PayPal rozšiřuje ochranu prodejců v ČR

Pavel Houser , 25. květen 2017 08:00

Tento program se dříve v České republice vztahoval jen na hmotné zboží, nyní se rozšiřuje i o služby...

Více 1 komentářů