Firewall to za mało

Zapory ogniowe są podstawowym elementem systemów bezpieczeństwa przedsiębiorstw, ale do ochrony przed bardziej wymyślnymi atakami niezbędne są systemy wykrywania i zapobiegania włamaniom (IDS/IPS).

Zapory ogniowe są podstawowym elementem systemów bezpieczeństwa przedsiębiorstw, ale do ochrony przed bardziej wymyślnymi atakami niezbędne są systemy wykrywania i zapobiegania włamaniom (IDS/IPS).

Dzisiaj praktycznie każda organizacja ma zainstalowaną co najmniej podstawową zaporę ogniową pomiędzy jej ą wewnętrzną a internetem. Wiele z nich, zwłaszcza te, które muszą ochraniać wrażliwe informacje finansowe lub systemy mission-critical, korzysta z bardziej zaawansowanych firewalli, które podejmują ochronę na poziomie aplikacyjnym, przeglądając ruch sieciowy w celu wyszukania w nim podejrzanych wzorców zachowań.

Chociaż te nowsze technologie zapewniają daleko silniejszą ochronę niż proste zapory kilka lat temu, to jednak nie istnieje jedna, skuteczna strategia bezpieczeństwa. Organizacje, które chcą skutecznie chronić wrażliwe informacje, muszą więc używać także systemów wykrywania wtargnięć (IDS) i systemów zapobiegania wtargnięciom (IPS), które wyszukują lub zatrzymują ataki zanim poczynią one szkody w ich systemach. IT musi zawsze oceniać zalety i wady każdej formy ochrony, bilansując potrzebę legalnego dostępu, wydajności i nadmiaru zarządzania z koniecznością zapewnienia bezpieczeństwa.

Podstawy zapór ogniowych

Zapory ogniowe tworzą barierę pomiędzy zaufaną siecią wewnętrzną organizacji a siecią zewnętrzną, jak np. internet. Sprawdzają każdy pakiet, który próbuje przedostać się z jednej sieci do drugiej, określając, w oparciu o zestaw reguł, czy można przekazać go do miejsca przeznaczenia.

Zapora ogniowa może składać się z oprogramowania pracującego na serwerze lub desktopie bądź może być dedykowanym urządzeniem, umieszczanym na granicy pomiędzy segmentami sieci.

Zapory ogniowe mogą różnić się znacznie sposobem i zakresem konfigurowania oraz zakresem kontroli ruchu sieciowego.

Proste zapory ogniowe, wykonujące inspekcję pakietów, przeglądają nagłówki pakietów danych i mogą być konfigurowane, tak aby dopuszczały lub blokowały ruch w zależności od adresu źródła lub przeznaczenia, jak również protokółów używanych przez sesję komunikacyjną. Mogą np. dopuszczać ruch HTTP, ale blokować transmisję plików (ruch FTP). Filtry pakietów używają zazwyczaj metody czarnych list lub "domyślnej akceptacji", gdzie każdy ruch, który nie jest uznany za szkodliwy, jest dopuszczany.

Zapory ogniowe są powszechnie stosowane na obwodzie (perymetrze) sieci, ale stają się coraz bardziej wszechobecne także w maszynach użytkowników. Według firmy badawczej Forrester Research, liczba małych i średnich organizacji wdrażających osobiste zapory ogniowe na wszystkich systemach swoich pracowników wzrosła z 23% w roku 2005 do 32% w roku 2006.

Proste działanie zapory ogniowej

Proste działanie zapory ogniowej

Kolejny typ zapory ogniowej wykorzystuje technikę proxy, pracując na wydzielonej maszynie, która przechwytuje wszystkie pakiety wchodzące lub opuszczające sieć organizacji. Wspomaga ona ochronę zaufanych systemów przed atakami wewnątrz sieci. Proxy funkcjonuje jako element działający w imieniu stacji wewnętrznej, pozwalając na inspekcję pakietów przed przetransmitowaniem ich w jakimkolwiek kierunku. używają generalnie modelu białych list lub zasady "domyślnie zabroniony", gdzie każdy ruch, który nie jest z góry uznany za bezpieczny, jest odrzucany.

Systemy oparte na proxy są mniej popularne niż systemy filtracji pakietów, ponieważ wymagają znacznie większego zakresu konfigurowania. Klienty w takiej sieci muszą być skonfigurowane do wysyłania pakietów w stronę proxy zamiast do serwera aplikacyjnego wprost. Zapory ogniowe proxy mogą także obniżać wydajność komunikacji, ponieważ każda sesja komunikacyjna musi być przetwarzana przez dwa systemy.

Zapory aplikacyjne to trzecia kategoria zapór ogniowych. Wychodząc poza sprawdzanie adresów źródła czy protokołów, dokładnie sprawdzają dane w pakiecie i mogą wyszukiwać ataki ukryte. Jednak ich zdolność czytania wrażliwych danych wymaga silnego zabezpieczenia takich systemów, w celu ochrony przed nieautoryzowanym dostępem do zapory i danych, które przez nią przechodzą.

System wykrywania wtargnięć (IDS) na poziomie aplikacyjnym

System wykrywania wtargnięć (IDS) na poziomie aplikacyjnym

Inna metoda klasyfikacji zapór ogniowych zależy od sposobu wykonywania kontroli pakietów. Wiele zapór ogniowych wykonuję inspekcję "bezstanową", sprawdzając każdy pakiet bez odniesienia do innych pakietów, które są częścią tej samej sesji. Tak więc nie mogą one wynajdywać ataków przenoszonych przez ruch przychodzący z legalnych domen lub adresów IP. Zapory ogniowe wykonujące kontrolę kontekstową (stateful inspection) przechowują i sprawdzają wszystkie pakiety sesji sieciowej w celu określenia, czy analizowane razem tworzą podejrzany wzorzec ataku. I tak np. wiele zapór aplikacyjnych może wykrywać takie zagrożenia jak atak "SQL injection", który zamieszcza złośliwy kod lub uzyskuje nieautoryzowany dostęp do bazy danych bez naruszania protokołu HTTP.

Zapory ogniowe różnią się także miejscem ich zlokalizowania. Zapory sieciowe umieszczane są na perymetrze sieci i chronią sieci zaufane przed sieciami niezaufanymi, takimi jak internet.

Wielu dostawców łączy mechanizmy różnych typów zapór ogniowych w jednym produkcie. Niektóre zapory sieciowe np. łączą inspekcje pakietów z funkcjami VPN, które szyfrują dane przesyłane pomiędzy punktami: nadawczym i odbiorczym. Inni łączą zaporę ogniową, VPN i system zapobiegania włamaniom, jak również funkcje antywirusowe w formę znaną jako UTM - Unified Threat Management (określenie wylansowane przez IDC).

Ochrona uzupełniona: IDS czy IPS?

Zapora ogniowa z definicji umieszczana jest na froncie chronionej sieci lub systemu. Jej zadaniem jest blokowanie złośliwego ruchu. Jednak niektóre zagrożenia nie pochodzą z zewnątrz sieci i nie mogą być w tak łatwy sposób blokowane. Na przykład rozczarowani lub sfrustrowani pracownicy z legalnymi uprawnieniami dostępu mogą z łatwością podejmować próby kradzieży danych. Nawet pozbawiony złych intencji użytkownik firmowej sieci, wróciwszy z podróży służbowej z zainfekowanym laptopem, może nieświadomie wpuścić do sieci robaka. Oczywiste jest też, że nawet najlepszy firewall nie może chronić serwerów, pamięci czy klienckich pecetów wewnątrz sieci przed każdym zewnętrznym zagrożeniem.

Wzrost sprzedaży urządzeń bezpieczeństwa (w mln USD)

Wzrost sprzedaży urządzeń bezpieczeństwa (w mln USD)

Jest to zasadniczy powód, dla którego systemy IDS (Intrusion Detection Systems) i IPS (Intrusion Prevention Systems) są istotnym uzupełnieniem zapór ogniowych. Chociaż istotnie się różnią, to oba działają poza zaporą ogniową, monitorując ruch i konfigurację systemu we wnętrzu sieci. Zapewniają przez to pełniejszą ochronę niż kontrola zagrożeń tylko na brzegu sieci. IDS generuje powiadomienia o podejrzanych zachowaniach. IPS może blokować dostęp podczas ataku.