Jak ochránit společnosti proti hrozbám přicházejícím z Internetu

Michael Pick, 07. červenec 2008 08:56 2 komentářů
Rubriky: Internet, Byznys

Internet
Úkolem původních zařízení strážících hranice firemních LAN bylo především zajistit připojení do Internetu - směrování, jednoduchá přístupová pravidla a podobně. A jakési zabezpečení bylo spíše volitelnou funkcí, která obsahovalo nanejvýš překlad adres. Bezpečnostní mechanismy v těchto bezstavových firewallech obsahovala jenom základní popis co a kam bez možnosti podrobnějších nastavení.

Stack-hero
Řešení pro síťovou ochranu společností z řady NSA SonicWall

Zároveň při nastavování těchto přístupových pravidel obstojně pily krev správcům nutností nastavovat oba směry komunikace, pokud možno každý směr na jiném místě, a postaraly se tak o dostatek bezesných nocí a rozzuřených telefonátů časně ráno. Tento druh firewallu byl „oblíbený“ především u správců FTP serverů. Postupným vývojem směřujícím ke stále větší závislosti firem na Internetu musely tyto brány reagovat a protože stály na vstupu do sítě, ukázalo se výhodné integrovat do nich další bezpečnostní prvky.

Stavový firewall první pokročilejší metodou

První ze sofistikovanějších metod kontroly provozu se stal stavový (statefull) firewall, který prohlíží hlavičky paketů a podle kombinace zdroje, cíle a portu určuje zda paket zpracuje, odmítne nebo zahodí. Pravidla se nastavují pouze ve směru z kterého očekáváme první paket, firewall si sám udržuje tabulku aktivních spojení a relevantní provoz si již sám odvodí, což trochu usnadnilo těžký život síťového admina. Nepsaným pravidlem se stala výchozí politika zahazující všechny pakety neodpovídající definovaným pravidlům a zpracovávání paketů určené pořadím pravidel (tzv. first match). Objevily se sice pokusy o jiné politiky (např. "best match" nějakou dobu používané bránami společnosti Symantec), ale byly v praxi dostatečně těžko použitelné na to, aby zakrátko zmizely v propadlišti dějin.

Stavový firewall řeší přesně to, co se od něj očekává, tedy pouze rozhoduje který provoz do sítě propustí a který nikoli. Předpokládá ovšem (nebo alespoň jeho administrátor), že tento provoz je v pořádku a na cílových serverech nezpůsobí problémy. Ale s tím jak Internet a internetové služby vtrhly do doposud poklidného světa LAN se tento předpoklad ukázal jako lichý. Protože při obraně proti hrozbám z Internetu je rychlost záplatování známých děr prvním předpokladem přežití, je třeba dostatečně rychle záplatovat firemní servery. To zase může být vzhledem k „rozmazlenosti“ vnitropodnikových aplikací problematické (např. téměř každá větší záplata Microsoftu obsahuje alespoň jednu chybu komplikující přímé nasazení ve firemním prostředí), a proto internetové brány dostaly další úkol.

Tím se stala kontrola vstupujícího provozu na známé hrozby. To ale znamená kontrolu nejenom hlavičky, ale celého paketu a tedy vyžaduje několikanásobný výpočetní výkon. Dosavadní brány ale takovým výkonem nedisponují. Co s tím? Prvním řešením bylo za internetovou bránu vložit do cesty IDS (Intrusion detection system), který kontroloval provoz podle známých kritérií. Jeho nevýhodou bylo velké množství falešných poplachů a také to, že problémy pouze detekoval, ale neřešil. Admin měl tedy ráno nebo dopoledne po příchodu do práce dokonalý přehled odkud přišel nejnovější exploit, pak se radostně pustil do dezinfekce postižených strojů.

Stálé použití bran s antivirovým enginem

Po nějaké době se v provozu objevily brány s vyšším výkonem, které dokázaly alespoň některé hrozby samy řešit – dodnes se používají brány s vestavěným antivirovým enginem které stejně jako jejich softwaroví bratříčci na PC porovnávají svou databázi virů s právě zkoumaným provozem. Objevené incidenty pak řeší po svém – obvykle přerušením komunikace s dotyčným strojem. Odtud už byl jenom krok ke zkoumání celého provozu, nejenom na přítomnost známých virů, ale i na přítomnost dalších bezpečnostních hrozeb – červů, rootkitů, trojských koní apod.

To samozřejmě vyžaduje odpovídající výkon, takže současné brány mají (kromě různě vyspělých metod zkoumání paketů) i výkon, který si ničím nezadá se špičkou současných PC. Pro ilustraci např. současné internetové brány SonicWall mají CPU obsahující až 16 jader na frekvenci 600 MHz a teoretickou datovou propustnost až 10GBit na jádro.

S tímto výkonem už si můžeme dovolit přidat i další funkce, jako například řídit rychlost podle jednotlivých pravidel (například administrátor může mít k terminálovému serveru vyhrazenou vyšší rychlost než běžný uživatel), podporovat virtuální sítě, IP telefonii včetně priorizace provozu a další a další funkce – v neposlední řadě i omezování uživatelů v přístupu na jejich oblíbené stránky.

Otázka přístupu ke spamu

Spornou otázkou při řešení hrozeb je obvykle přístup ke spamu jako specifickému druhu nevyžádaného provozu. Někteří výrobci se chlubí antispamovou funkcionalitou právě na bránách, obvykle ale nejde o nic jiného než o různé implementace blacklistu. Mail je na základě různých kriterií posouzen (obvykle IP adresa odesilatele, někdy se pro větší jistotu používá i hash celého mailu) a porovnán s on-line databázemi obsahujícími známé hříšníky. Vzhledem k „aktuálnosti“ obsahu těchto databází a způsobu jejich plnění lze blacklisting považovat za překonanou technologii.

Antispam by tedy z principu internetová brána neměla řešit, pokud nedisponuje vestavěným mailserverem, dostatečným datovým úložištěm a dalšími - sofistikovanějšími technologiemi k odhalování spamu (Bayesiánskými filtry, ověřováním odesílatele, graylistingem apod.).

Další funkcí vyžadovanou na internetových branách je z logiky jejich umístění v topologii sítě terminace VPN tunelů. Tato technologie která stále více nahrazuje drahé Frame relay okruhy spojující pobočky firem vítězí díky své flexibilitě i dostatečné bezpečnosti. Požadavek na silné šifrování provozu samozřejmě dále zvyšuje požadavky na výkon celé brány, výrobci tedy (např. zmiňovaný SonicWall) používají specializované koprocesory starající se výhradně o cryptování provozu určeného do VPN tunelů. Zároveň lze při využití této technologie řešit i připojování vzdálených uživatelů (RoadWarriors) a řídit jejich přístupová práva.

Se vzrůstajícím množstvím komunikace vedené po datových linkách se pro firmy (i závislé jednotlivce) stává dostupnost datového připojení kritickým faktorem jejich podnikání. I toto dokáží internetové brány řešit: můžete si pořídit více připojení od různých poskytovatelů a brána pohlídá aby se vaše data dostala k cíli i při výpadku jednoho z ISP. Lze také zvýšit rychlost připojení rozkládáním zátěže na jednotlivé linky podle různých kritérií. V neposlední řadě by vás brána měla ochránit i při výpadku sama sebe, ať už duplikováním kritických součástí (typicky napájecí zdroje) nebo rovnou propojením dvou bran do clusteru. Při výpadku jedné z nich pak druhá přebírá kompletně její funkci včetně již navázaných spojení. Při svázání dvou gatewayí do clusteru navíc kromě vysoké dostupnosti získáme i téměř dvojnásobný výkon pro všechny výše zmiňované síťové operace.

Internetové brány tak od konce minulého století prošly vývojem od jednoduchých převaděčů Ethernet-sériová linka k sofistikovaným strážcům internetového pohraničí spolehlivě střežící klid domácí LAN.

Autor článku působí jako technologický konzultant pro SonicWALL ve společnosti Tech Data Distribution.


Komentáře

Bystroushaak #1
Bystroushaak 07. červenec 2008 14:19

Perfektní článek, díky!

Tomáš #2
Tomáš 09. červenec 2008 08:56

mám dotaz na linux SW a to firewally.
s iptables si docela rozumím.

jedna se o hranicni pc net - LAN (jak jinak, pravda skutecnost je jina ale to zvladnu)
jedna se mi o názory. Nesledoval jsem novinky posl. x dobu.

jsou FW jenom SW nadstavbou iptables, net... takze bude lepsi a snazsi kdyz to ovladam pouzit iptables ??

co byste doporucili pokud FW-SW pro linux neni jen stroha nadstavba iptables ??

IPCop ?
ISPconfig ?
co si o tech dotyčných výtvorech myslíte pro můj případ je lepší IPCop (nejaky vychytavky v jadre proti preteceni DDoS nebo neco)

jako tech. konz. mi snad dáte lepší informace než pár anonymních příspěvků na <a href="http://www.root.cz/diskuse/3093/" target="_blank">root-u</a> a zodpovíte mé dotazy objektivněji
pls, autore článku ?


RSS 

Komentujeme

Chatbot mluví za mrtvého – od nápadu k realizaci

Pavel Houser , 30. listopad 2016 13:00
Pavel Houser

Na webu The Verge popsala Casey Newton příběh dvou přátel (Eugenia Kuyda a Roman Mazurenko). Peripet...

Více





Kalendář

20. 03.

24. 03.
CeBIT 2017
RSS 

Zprávičky

Nový zákon o výzkumu chystá "blacklist" příjemců i ministerstvo

ČTK , 09. prosinec 2016 16:31

Velké změny ve fungování Grantové a Technologické agentury, novou vědeckou radu ČR i takzvaný "black...

Více 0 komentářů

Fitbit koupil průkopníka chytrých hodinek Pebble

ČTK , 09. prosinec 2016 15:00

Americký výrobce chytrých náramků a hodinek Fitbit koupil software, patenty a další aktiva duševního...

Více 0 komentářů

Američané možná umožní v letadlech telefonování přes wi-fi

ČTK , 09. prosinec 2016 13:00

Aerolinky ve Spojených státech by v budoucnu mohly umožňovat telefonování v letadle s použitím wi-fi...

Více 2 komentářů

Starší zprávičky

Česká pošta od ledna zdraží posílání do zahraničí o pět až 20 Kč

ČTK , 09. prosinec 2016 11:39

Česká pošta od ledna zvýší ceny za posílání listovních zásilek do zahraničí o pět korun, balíky podr...

Více 0 komentářů

Za vzněcováním smartphonu iPhone 6 jsou vnější vlivy, tvrdí Apple

ČTK , 08. prosinec 2016 11:30

Firma Apple odmítla podezření čínských uživatelů svého chytrého telefonu iPhone 6, že za problémy s ...

Více 0 komentářů

Verizon prodá firmě Equinix datová centra za 3,6 miliardy USD

ČTK , 08. prosinec 2016 10:00

Největší americký mobilní operátor Verizon Communications prodá specializované společnosti Equinix 2...

Více 0 komentářů

Tchajwanský Foxconn jedná o rozšíření svých aktivit v USA

ČTK , 07. prosinec 2016 15:00

Tchajwanská společnost Foxconn jedná o rozšíření svých aktivit ve Spojených státech. Oznámila to dne...

Více 0 komentářů