Postanowiliśmy sprawdzić, co mogłoby nam pomóc w zapanowaniu nad firewallami, jakie mechanizmy warto wykorzystać i wreszcie, co do zaoferowania ma rynek? Skupimy się na zaporach ogniowych, choć nasze spostrzeżenia można śmiało stosować także wobec innych urządzeń sieciowych.

Typowe problemy

Zarządzanie urządzeniami sieciowymi i ich konfiguracją rodzi wiele problemów zarówno technicznych, jak i organizacyjnych, wzajemnie się przeplatających. Najczęstsze i trudne do uniknięcia są błędy. Bardzo ciekawe opracowanie na ten temat opublikował pod koniec 2009 r. Avishai Wool z Uniwersytetu Cornell ("Firewall Configuration Errors Revisited"). Autor przebadał 84 zestawy reguł (z urządzeń CheckPoint i Cisco PIX), a wyniki wskazują na to, że liczba dość poważnych błędów w konstruowaniu reguł jest znaczna. Uczciwie trzeba powiedzieć, że opracowanie powstało na bazie dość starych danych, ale patrząc na dzisiejsze zapory, trudno przypuścić, że problem zniknął.

Polecamy: Testy penetracyjne - kilka ciekawych narzędzi

Ale błędy to jedno. Są znacznie bardziej prozaiczne problemy, jak chociażby utrzymanie porządku na zaporze. Doświadczenie uczy, że względny porządek w "inwentarzu sieci" panuje, jeżeli zaporą/zaporami zarządza jedna osoba i nie jest obłożona pracą "na 110%". W przeciwnym razie ogólny ład utrzymuje się tylko po wdrożeniu, i to przez krótki czas. Z czasem rośnie też liczba zapór, ciągle zgłaszane są potrzeby zmian, które muszą być wprowadzone "na wczoraj". Powstają dziesiątki reguł i obiektów tymczasowych (np. testy innych rozwiązań), pozostających potem na stałe. Nowe reguły dodawane są gdziekolwiek, byle działały. Ze 100 robi się ich nagle 250, a z 500 obiektów - 1000. Potem jest tylko gorzej. Możliwości zapory się wyczerpują, dostęp do zasobów mają ci, którzy nie powinni itd. Sprawa dodatkowo komplikuje się, jeżeli mamy kilka lub kilkanaście zapór, chroniących wiele segmentów sieci. Wówczas wprowadzenie jednej niewielkiej zmiany na jednej z nich może mieć poważny wpływ na bezpieczeństwo całego środowiska.

Polecamy: Analizatory protokołów: jak ich używać?

Inny problem to związana z powyższym kontrola procesu wprowadzanych zmian oraz ich monitorowanie. W rozbudowanym środowisku, zarządzanym przez kilku- czy kilkunastoosobowe zespoły, trudno zauważyć pojawianie się nowych reguł czy obiektów, o wprowadzeniu modyfikacji w już istniejących nie wspominając. Do tego dochodzi jeszcze kwestia audytu pod kątem zgodności konfiguracji z wewnętrznymi lub zewnętrznymi regulacjami.