Úkolem původních zařízení strážících hranice firemních LAN bylo především zajistit připojení do Internetu – směrování, jednoduchá přístupová pravidla a podobně. A jakési zabezpečení bylo spíše volitelnou funkcí, která obsahovalo nanejvýš překlad adres. Bezpečnostní mechanismy v těchto bezstavových firewallech obsahovala jenom základní popis co a kam bez možnosti podrobnějších nastavení.
Řešení pro síťovou ochranu společností z řady NSA SonicWall
Zároveň při nastavování těchto přístupových pravidel obstojně pily krev správcům nutností nastavovat oba směry komunikace, pokud možno každý směr na jiném místě, a postaraly se tak o dostatek bezesných nocí a rozzuřených telefonátů časně ráno. Tento druh firewallu byl „oblíbený“ především u správců FTP serverů. Postupným vývojem směřujícím ke stále větší závislosti firem na Internetu musely tyto brány reagovat a protože stály na vstupu do sítě, ukázalo se výhodné integrovat do nich další bezpečnostní prvky.
Stavový firewall první pokročilejší metodou
První ze sofistikovanějších metod kontroly provozu se stal stavový (statefull) firewall, který prohlíží hlavičky paketů a podle kombinace zdroje, cíle a portu určuje zda paket zpracuje, odmítne nebo zahodí. Pravidla se nastavují pouze ve směru z kterého očekáváme první paket, firewall si sám udržuje tabulku aktivních spojení a relevantní provoz si již sám odvodí, což trochu usnadnilo těžký život síťového admina. Nepsaným pravidlem se stala výchozí politika zahazující všechny pakety neodpovídající definovaným pravidlům a zpracovávání paketů určené pořadím pravidel (tzv. first match). Objevily se sice pokusy o jiné politiky (např. „best match“ nějakou dobu používané bránami společnosti Symantec), ale byly v praxi dostatečně těžko použitelné na to, aby zakrátko zmizely v propadlišti dějin.
Stavový firewall řeší přesně to, co se od něj očekává, tedy pouze rozhoduje který provoz do sítě propustí a který nikoli. Předpokládá ovšem (nebo alespoň jeho administrátor), že tento provoz je v pořádku a na cílových serverech nezpůsobí problémy. Ale s tím jak Internet a internetové služby vtrhly do doposud poklidného světa LAN se tento předpoklad ukázal jako lichý. Protože při obraně proti hrozbám z Internetu je rychlost záplatování známých děr prvním předpokladem přežití, je třeba dostatečně rychle záplatovat firemní servery. To zase může být vzhledem k „rozmazlenosti“ vnitropodnikových aplikací problematické (např. téměř každá větší záplata Microsoftu obsahuje alespoň jednu chybu komplikující přímé nasazení ve firemním prostředí), a proto internetové brány dostaly další úkol.
Tím se stala kontrola vstupujícího provozu na známé hrozby. To ale znamená kontrolu nejenom hlavičky, ale celého paketu a tedy vyžaduje několikanásobný výpočetní výkon. Dosavadní brány ale takovým výkonem nedisponují. Co s tím? Prvním řešením bylo za internetovou bránu vložit do cesty IDS (Intrusion detection system), který kontroloval provoz podle známých kritérií. Jeho nevýhodou bylo velké množství falešných poplachů a také to, že problémy pouze detekoval, ale neřešil. Admin měl tedy ráno nebo dopoledne po příchodu do práce dokonalý přehled odkud přišel nejnovější exploit, pak se radostně pustil do dezinfekce postižených strojů.
Stálé použití bran s antivirovým enginem
Po nějaké době se v provozu objevily brány s vyšším výkonem, které dokázaly alespoň některé hrozby samy řešit – dodnes se používají brány s vestavěným antivirovým enginem které stejně jako jejich softwaroví bratříčci na PC porovnávají svou databázi virů s právě zkoumaným provozem. Objevené incidenty pak řeší po svém – obvykle přerušením komunikace s dotyčným strojem. Odtud už byl jenom krok ke zkoumání celého provozu, nejenom na přítomnost známých virů, ale i na přítomnost dalších bezpečnostních hrozeb – červů, rootkitů, trojských koní apod.
To samozřejmě vyžaduje odpovídající výkon, takže současné brány mají (kromě různě vyspělých metod zkoumání paketů) i výkon, který si ničím nezadá se špičkou současných PC. Pro ilustraci např. současné internetové brány SonicWall mají CPU obsahující až 16 jader na frekvenci 600 MHz a teoretickou datovou propustnost až 10GBit na jádro.
S tímto výkonem už si můžeme dovolit přidat i další funkce, jako například řídit rychlost podle jednotlivých pravidel (například administrátor může mít k terminálovému serveru vyhrazenou vyšší rychlost než běžný uživatel), podporovat virtuální sítě, IP telefonii včetně priorizace provozu a další a další funkce – v neposlední řadě i omezování uživatelů v přístupu na jejich oblíbené stránky.
Otázka přístupu ke spamu
Spornou otázkou při řešení hrozeb je obvykle přístup ke spamu jako specifickému druhu nevyžádaného provozu. Někteří výrobci se chlubí antispamovou funkcionalitou právě na bránách, obvykle ale nejde o nic jiného než o různé implementace blacklistu. Mail je na základě různých kriterií posouzen (obvykle IP adresa odesilatele, někdy se pro větší jistotu používá i hash celého mailu) a porovnán s on-line databázemi obsahujícími známé hříšníky. Vzhledem k „aktuálnosti“ obsahu těchto databází a způsobu jejich plnění lze blacklisting považovat za překonanou technologii.
Antispam by tedy z principu internetová brána neměla řešit, pokud nedisponuje vestavěným mailserverem, dostatečným datovým úložištěm a dalšími – sofistikovanějšími technologiemi k odhalování spamu (Bayesiánskými filtry, ověřováním odesílatele, graylistingem apod.).
Další funkcí vyžadovanou na internetových branách je z logiky jejich umístění v topologii sítě terminace VPN tunelů. Tato technologie která stále více nahrazuje drahé Frame relay okruhy spojující pobočky firem vítězí díky své flexibilitě i dostatečné bezpečnosti. Požadavek na silné šifrování provozu samozřejmě dále zvyšuje požadavky na výkon celé brány, výrobci tedy (např. zmiňovaný SonicWall) používají specializované koprocesory starající se výhradně o cryptování provozu určeného do VPN tunelů. Zároveň lze při využití této technologie řešit i připojování vzdálených uživatelů (RoadWarriors) a řídit jejich přístupová práva.
Se vzrůstajícím množstvím komunikace vedené po datových linkách se pro firmy (i závislé jednotlivce) stává dostupnost datového připojení kritickým faktorem jejich podnikání. I toto dokáží internetové brány řešit: můžete si pořídit více připojení od různých poskytovatelů a brána pohlídá aby se vaše data dostala k cíli i při výpadku jednoho z ISP. Lze také zvýšit rychlost připojení rozkládáním zátěže na jednotlivé linky podle různých kritérií. V neposlední řadě by vás brána měla ochránit i při výpadku sama sebe, ať už duplikováním kritických součástí (typicky napájecí zdroje) nebo rovnou propojením dvou bran do clusteru. Při výpadku jedné z nich pak druhá přebírá kompletně její funkci včetně již navázaných spojení. Při svázání dvou gatewayí do clusteru navíc kromě vysoké dostupnosti získáme i téměř dvojnásobný výkon pro všechny výše zmiňované síťové operace.
Internetové brány tak od konce minulého století prošly vývojem od jednoduchých převaděčů Ethernet-sériová linka k sofistikovaným strážcům internetového pohraničí spolehlivě střežící klid domácí LAN.
Autor článku působí jako technologický konzultant pro SonicWALL ve společnosti Tech Data Distribution.
