Filtrowanie nie zawsze dostępne

Systemy zaporowe odporne na wszelkie awarie istnieją, ale tylko w teorii. W praktyce można jedynie minimalizować skutki potencjalnych awarii, odpowiednio projektując rozwiązanie firewall.

Systemy zaporowe odporne na wszelkie awarie istnieją, ale tylko w teorii. W praktyce można jedynie minimalizować skutki potencjalnych awarii, odpowiednio projektując rozwiązanie firewall.

Rys. 1 zasady funkcjonowania klastrów HASystemy zaporowe (firewall) są dziś podstawowym składnikiem infrastruktury bezpieczeństwa w większości przedsiębiorstw. Używane początkowo jako filtry instalowane na granicy sieci firmowej i świata zewnętrznego, zapory coraz częściej umieszcza się także między segmentami sieci wewnętrznej - w celu ochrony zasobów sieciowych przed atakiem bezpośrednio z firmy. Szeroki i wciąż powiększający się zakres funkcjonalny systemów zaporowych sprawił, że stały się one podstawowym narzędziem do definiowania i realizacji polityki bezpieczeństwa sieciowego, a tym samym krytycznym elementem firmowej infrastruktury sieciowej. Awaria systemu zaporowego może bowiem oznaczać nie tylko brak odporności na działania włamywaczy, ale wręcz sparaliżować działanie firmy, uniemożliwiając dostęp do zasobów uprawnionym użytkownikom. Dobrą praktyką jest posługiwanie się oprogramowaniem renomowanych producentów i markowymi urządzeniami, a także wykupienie usług wsparcia technicznego. To jednak wciąż zbyt mało, zwłaszcza w odniesieniu do systemów firewall działających na obrzeżu sieci.

Sposoby na przetrwanie

W praktyce, aby zasadniczo podnieść niezawodność systemów zaporowych, należy zastosować rozwiązania typu HA (High Availability), w których awaria pojedynczego elementu nie wpłynie na dostępność całości. W typowej konfiguracji HA system zaporowy składa się z dwóch lub więcej urządzeń z oprogramowaniem typu firewall tworzących klaster. Urządzenia kontrolują się wzajemnie i w razie wystąpienia awarii jednego z nich pozostałe przejmują jego zadania. Oto najważniejsze typy rozwiązań wysokiej dostępności:

• Protokoły routingu (HA router), np. VRRP (Virtual Router Redundancy Protocol), pozwalające na tworzenie wirtualnego routera programowego wykorzystującego wiele urządzeń fizycznych. W rozwiązaniu tym jedno urządzenie jest aktywne, pozostałe stanowią zapas mocy. Protokoły wirtualnego routingu funkcjonują niezależnie od zabezpieczeń realizowanych przez oprogramowanie firewall.
  
• Klastry w systemie operacyjnym (np. IP cluster) - mechanizmy zaimplementowane w systemie operacyjnym platformy systemu zaporowego, umożliwiające współdzielenie ruchu sieciowego między wieloma urządzeniami fizycznymi. Również i te mechanizmy funkcjonują niezależnie od zabezpieczeń wykonywanych przez oprogramowanie firewall.
  
• Zewnętrzne względem zapory rozwiązania rozdzielające ruch sieciowy (LB - Load Balancer).
  
• Rozwiązania programowe funkcjonujące na urządzeniach firewall, zaprojektowane pod kątem monitorowania i ochrony przed awariami systemu zaporowego jako całości, a więc sprzętu, systemu operacyjnego i procesów zabezpieczeń (HA firewall). W tej klasie dostępne są także rozwiązania sprzętowo-programowe, złożone z dwóch odpowiednio zintegrowanych urządzeń.

Możliwości poszczególnych typów rozwiązań w zakresie ochrony systemów zaporowych przed awariami zostały przedstawione w tabeli, podobnie jak czynniki decydujące o jakości rozwiązania HA.

Dylematy architekta

Funkcjonowanie rozwiązań zapewniających wysoką dostępność w systemach typu firewall różni się zasadniczo w zależności od tego, czy ruchem sieciowym kieruje urządzenie zewnętrzne w stosunku do zapory, czyli load balancer, czy też sama zapora (rys. 1).

Rys.2 Koncepcja funkcjonowania klastra firewall z programowym rozwiązaniem HAWyniesienie rozdziału obciążenia poza zaporę oznacza większą efektywność w kierowaniu ruchem - load balancery działają na zasadzie przełączników, umożliwiając kierowanie odpowiednich strumieni ruchu bezpośrednio do poszczególnych urządzeń firewall, które zazwyczaj są umieszczone w oddzielnych segmentach sieci. Dla porównania, w rozwiązaniach typu HA firewall ruch sieciowy jest rozsyłany do wszystkich urządzeń jednocześnie, co obniża wydajność.

Równoważnie obciążenia (load balancing) pozwala uzyskać większą przepustowość systemu - po pierwsze, ze względu na lepsze zarządzanie pasmem, a po drugie, ze względu na fakt, że proces rozdziału obciążenia w żadnym stopniu nie obciąża mocy obliczeniowej urządzeń firewall. Za wadę architektury wykorzystującej zewnętrzny rozdział obciążenia uważa się ograniczone możliwości kontroli stanu zapory jako całości (tab. str. 18) oraz fakt, że urządzenia rozdzielające ruch mogą potencjalnie ulec awarii i doprowadzić do niedostępności zapory, a tym samym chronionych przez nią systemów.