Firewalle są ważnym zabezpieczeniem zarówno przed zagrożeniami zewnętrznymi, jak i wewnętrznymi. Przede wszystkim umożliwiają separację sieci lokalnej od Internetu. Filtrują pakiety, ograniczają dostęp do sieci wewnętrznej i zapobiegają takim zagrożeniom, jak ataki DDoS. Bez efektywnie działającego firewalla sieć staje się łatwym celem włamań i innych zagrożeń, które mogą się okazać bardzo kosztowne dla organizacji, a także jej klientów. Dlatego należy sumiennie podejść do wyboru nowej zapory sieciowej. Istotne jest zweryfikowanie kilku elementów.

Ochrona przed atakami DDoS

Ataki tego typu zdarzają się zaskakująco często, a ich ofiarami padają organizacje ze wszystkich branży. Celem byli już dostawcy usług DNS. Takie zdarzenie miało miejsce w październiku 2016 r. W efekcie wiele najpopularniejszych stron internetowych było niedostępnych. Co więcej, atakujący zwiększają liczbę szkodliwego oprogramowania rozpowszechnianego z wykorzystaniem botnetów, przez co skutki ataków są groźniejsze. Atak DDoS z reguły rozpoczyna się bez ostrzeżenia, przez co firmowy dział IT może go wykryć, gdy będzie już za późno – wyczerpie się dostępna przepustowość łączy i spadnie wydajność. Wtedy można już tylko naprawiać szkody.

Zobacz również:

• Wyjaśniamy czym jest SD-WAN i jakie są zalety tego rozwiązania
• Firewall as a Service - nowy trend w cyberbezpieczeństwie

Na szczęście zapory sieciowe mogą pomóc w zidentyfikowaniu ataku i w jego zatrzymaniu. Co więcej, jeśli zintegruje się firewalla z innymi zabezpieczeniami, np. systemem IDS, otrzyma się bardziej zaawansowane rozwiązanie do wykrywania potencjalnie groźnego ruchu sieciowego. Mając to na uwadze, należy wybierać zapory sieciowe, które mają wbudowane funkcje ochrony przed atakami DDoS.

Powiadomienia o atakach

O ile zapora sieciowa może blokować ataki, to równie ważne jest, żeby jak najszybciej informowała administratorów o podejrzanych zdarzeniach. Dlatego należy szukać firewalli, które wysyłają powiadomienia o wybranych kategoriach zdarzeń. Takie alerty to dobre narzędzie, przypominające o konieczności przejrzenia logów i sprawdzenia, jakie metody zostały wykorzystane do ataku. Mając taką wiedzą i odpowiednią zaporę sieciową, można szybko podjąć działania zaradcze, zanim dojdzie do poważniejszych szkód, np. przestoju systemów produkcyjnych.

Alternatywne porty dla najważniejszych systemów

Włamywacze wykorzystują w swoich działaniach otwarte porty TCP i UDP, co jest problemem, jeśli weźmie się pod uwagę fakt, że większość najważniejszych usług używa standardowych portów. Jeśli są jakieś usługi, które wymagają szczególnej ochrony, warto używać alternatywnego portu. Taka technika jest zwana maskaradą.

Aby ją omówić, posłużmy się przykładem protokołu RDP (Remote Desktop Protocol), który standardowo pracuje na porcie 3389. Jest to jeden z ulubionych celów hakerów. Aby zapobiec użyciu tej drogi do włamania, można zmienić w zaporze sieciowej numer portu używanego przez protokół RDP. Ten alternatywny port będzie dostępny dla użytkowników. Natomiast zapora będzie tłumaczyć ten numer portu na standardowy numer używany przez RDP. Ten proces nazywa się przekazywaniem portów.

Zdalny dostęp

Coraz więcej osób pracuje zdalnie. Jest to szczególnie popularne wśród specjalistów z sektora IT.

Jednakże umożliwienie pracownikom zdalnego dostępu do firmowej sieci to realne ryzyko. Dlatego należy korzystać z narzędzi, które umożliwiają tworzenie bezpiecznych połączeń VPN Virtual Private Network). Firewall może realizować szereg zadań związanych z VPN, np. uwierzytelniać użytkowników. Można kupić oddzielne rozwiązanie do korzystania z połączeń VPN, ale lepszym wyborem jest zakup firewalla, który ma zintegrowane funkcje wirtualnej sieci prywatnej.

Programowy lub sprzętowy firewall

Na rynku są firewalle sprzętowe i programowe. Te pierwsze z reguły są łatwiejsze do wdrożenia. Wystarczy podłączyć kabel sieciowy i przeprowadzić podstawową konfigurację, żeby urządzenia zaczęło chronić firmową sieć. Z kolei zapory programowe są trudniejsze w instalacji i konfiguracji. Często też oferują mniej funkcji, niż zapory sprzętowe. Są natomiast wyraźnie tańsze.

Lokalizacja firewalla

Istotnym czynnikiem decyzyjnym jest lokalizacja firewall w sieci – czy będzie pracować na styku z Internetem czy raczej będzie służył do segmentacji sieci lokalnej, aby oddzielić od siebie ważne podsieci LAN. Jak dużo ruchu będzie przez niego przechodzić i ile jest potrzebnych interfejsów sieciowych, aby osiągnąć pożądaną segmentację? Zrozumienie wymagań wydajnościowych jest bardzo istotne, żeby nie przepłacić za zbyt wydajne urządzenie lub nie kupić takiego, które stanie się wąskim gardłem.

Powody wdrożenia

Powody wydają się oczywiste – aby zapewnić bezpieczeństwo. Sprawa nie jest jednak taka prosta i warto bliżej przyjrzeć się, do czego dana zapora sieciowa ma służyć. Ustalenie potrzeb będzie istotne przy wyborze firewalla. Chodzi o to, żeby nie kupić urządzenia, które będzie oferować nadmiar niepotrzebnych funkcji, a przez będzie droższe i dodatkowo trudne w zarządzania.

Zakres wsparcia technicznego

Istotnym elementem zapory sieciowej jest wsparcie techniczne świadczone przez producenta. Niewłaściwa konfiguracja może prowadzić do poważnych problemów. Jeśli użytkownik ma pytania lub nie jest pewien jakichś kwestii związanych z firewallem, potrzebuje łatwiej drogi kontaktu z producentem. Solidne wsparcie technicznego oznacza większe bezpieczeństwo firmowych sieci użytkowników.