Przenikliwy wzrok zapory

NetScreen wprowadzi na rynek systemy zaporowe działające na poziomie aplikacji.

NetScreen wprowadzi na rynek systemy zaporowe działające na poziomie aplikacji.

NetScreen Technologies zapowiada, że wkrótce wszystkie jej systemy zaporowe zostaną wyposażone w funkcje tzw. wnikliwej analizy pakietów (deep packet inspection). Technologia, którą David Flynn, wiceprezes NetScreen, określa jako największy przełom w dziedzinie systemów zaporowych od czasu wprowadzenia rozwiązań typu stateful inspection, to w sumie nic innego jak firewall aplikacyjny oparty na rozwiązaniach firmy OneSecure, którą NetScreen przejął w ub.r.

Upowszechnione w połowie lat 90. filtrowanie pakietów w trybie stateful inspection pozwoliło wyjść poza analizę nagłówków pakietów IP. Umożliwiło przede wszystkim monitorowanie sesji pod kątem zgodności z typowymi sekwencjami komunikatów wymienianych przez klienta i serwer. Firewall aplikacyjny bada nagłówki IP, nagłówki protokołów wyższych warstw, np. HTTP czy SMTP, a nawet przenoszone przez nie dane. Wszystko po to, aby uchronić aplikacje przed atakami skierowanymi w ich słabe punkty. Przykładem takich ataków mogą być ataki typu SQL injection skierowane przeciw aplikacjom Web współpracującym z bazami danych. Równie dobrze mogą to jednak być ataki na usługi pocztowe lub DNS.

NetScreen zapowiada wprowadzenie funkcji wnikliwej analizy pakietów do nowej wersji systemu operacyjnego ScreenOS 5.0, która w listopadzie będzie dostępna dla urządzeń NetScreen-5GT, 5XT, 25, 204 i 208, a w grudniu również dla modeli wyższej klasy: NetScreen-500, 5200 oraz 5400. Obecnym użytkownikom zapór tej firmy, którzy wykupili opcję wsparcia technicznego, NetScreen będzie oferował bezpłatną aktualizację systemu.

NetScreen nie jest pierwszą dużą firmą podejmującą temat zapór aplikacyjnych. Podobne funkcje wprowadziły już Check Point Software Technologies (w maju br.) i Cisco Systems. Check Point oferuje SmartDefense - produkt umożliwiający ochronę aplikacji pracujących za zaporą, w tym serwerów WWW, DNS i serwerów pocztowych. Cisco zaś niedawno wprowadziło moduły CSA (Cisco Security Agent) oparte na technologii detekcji włamań firmy Okena przejętej na początku br.

Choć wnikliwa analiza pakietów może być atrakcyjną funkcją dla wielu firm obawiających się infekcji przez kolejnego internetowego robaka, to niestety wymaga znacznej mocy obliczeniowej, co powoduje istotne zmniejszenie przepustowości zapór firewall. Nowe modele urządzeń NetScreen Deep Inspection Firewall nie mogą prowadzić bieżącej analizy pakietów z wydajnością porównywalną do przepustowości sieci, zwłaszcza sieci gigabitowych. Stawia to pod znakiem zapytania ich przydatność do zastosowań w korporacyjnych centrach danych. Duże firmy planujące zastosowanie zapór aplikacyjnych powinny więc raczej wstrzymać się z decyzjami do czasu, aż NetScreen zaprojektuje nowe wersje specjalizowanych dedykowanych układów ASIC, które będą mogły obsłużyć proces wnikliwej analizy pakietów z odpowiednio wysoką wydajnością.