Zapory aplikacyjne - systemy dedykowane do analizy protokołów warstw wyższych - urastają do jednej z najskuteczniejszych metod ochrony strategicznych zasobów informatycznych przed atakami

Atak wirusa W32 Blaster z sierpnia ub.r. oprócz miliardowych strat przyniósł coś jeszcze. Uświadomił specjalistom ds. bezpieczeństwa, że stosowane dotychczas metody obrony przed wirusami, robakami i atakami hakerów są zawodne. Po raz kolejny okazało się, że zabezpieczanie sieci i aplikacji, zwłaszcza tych, które są wystawiane na zewnątrz, wymaga głębokiego wglądu w ściągane i przesyłane treści, a także kompleksowej analizy operacji dokonywanych w sieci.

Wirus wykorzystujący lukę w interfejsie architektury komponentowej systemu Windows (DCOM - Distributed Component Object Model), umożliwiającą przepełnienie buforów w sieciach zarządzanych systemami z serii Windows, sprawił, że wielu specjalistów życzliwszym niż dotychczas okiem spojrzało na specjalizowane zabezpieczenia - firewalle aplikacyjne.

Ochrona bardziej wnikliwa

Rozwiązania dedykowane do ochrony konkretnych aplikacji mają wiele zalet. Umożliwiają analizę protokołów wyższych warstw (takich jak HTTP czy SMTP) oraz przenoszonych przez nie danych. Oprogramowanie takie działa jak typowy system zaporowy, ulokowany jednak pomiędzy warstwą sieciową serwera a warstwą aplikacyjną. Dzięki temu przechwytuje żądania płynące do aplikacji w ostatniej fazie ich przetwarzania i jest w stanie blokować groźne operacje, które na poziomie sieci nie budzą najmniejszych podejrzeń.

Ponieważ zapora aplikacyjna otrzymuje strumień danych po wstępnej obróbce przez serwer, oprogramowanie to ma dostęp zarówno do nagłówków protokołów sesyjnych, transportowych i aplikacyjnych, jak i przenoszonych przez nie danych. Nie musi dbać o deszyfrowanie komunikacji, ponieważ widzi dane "podane" otwartym tekstem. To właśnie dzięki temu jest w stanie wykryć ataki polegające na kodowaniu potencjalnie groźnych poleceń systemowych.

Analiza ruchu i transakcji nie ogranicza się do pojedynczych pakietów. Dzięki możliwości śledzenia całych strumieni zleceń realizowanych w trakcie sesji firewalle aplikacyjne doskonale nadają się do wyłapywania operacji odbiegających od normy, które mogą świadczyć nie tyle o ataku, ile o przygotowaniach do jego przeprowadzenia.

To czyni z zapór aplikacyjnych bardzo uniwersalne narzędzie zabezpieczające przed atakami typu SQL injection lub innymi atakami na serwery aplikacyjne, np. zdalne wywoływanie funkcji systemowych przez RPC lub nadpisanie bufora. Chronią one także przed manipulowaniem nagłówkami HTTP albo próbami "wyjścia" poza domyślny katalog aplikacji/użytkownika (tzw. directory traversal) w celu uzyskania szerszych uprawnień.

Więcej niż firewall

Poprawnie wdrożone zapory aplikacyjne są bardziej szczelne nawet niż tradycyjne zapory IP i współpracujące z nimi systemy wykrywania włamań. Te pierwsze filtrują jedynie zawartość nagłówków TCP i IP oraz stanu sesji. Pozostają jednak całkowicie obojętne wobec wysokopoziomowych ataków na aplikacje internetowe odbywających się przez domyślnie otwarte porty 80 (HTTP) oraz 443 (HTTPs).

Kontrolując jedynie nagłówki TCP/IP, tradycyjne zapory przepuszczają ruch generowany przez robaki internetowe, które coraz częściej przesyłają kluczowy dla ich działania właśnie w pakietach HTTP. Protokół ten jest także coraz częściej wykorzystywany przez komunikatory internetowe czy aplikacje do wymiany plików, będące w coraz większym stopniu odpowiedzialne za włamania do firmowych sieci.

Zapory aplikacyjne wydają się rozsądniejszym zabezpieczeniem sieci niż klasyczne systemy wykrywania włamań, choć już niekoniecznie lepszym niż systemy IPS. Ich zadaniem, oprócz wykrywania prób włamań, jest bowiem aktywna współpraca z zaporami w celu odcięcia podejrzanego ruchu. Firewalle aplikacyjne działają analogicznie do systemów IPS, jednak badają całe spektrum protokołów.

Wydajność nie najważniejsza

Wiele niewątpliwych zalet jest równoważonych przez jedną zasadniczą wadę - spadek wydajności. "Kontrola wszystkich procesów aplikacji przy dużej liczbie odwołań istotnie obniża wydajność zabezpieczanych systemów. Dla każdego odwołania konieczne jest otwarcie nowego procesu, co powoduje gwałtowny spadek szybkości" - mówi Mariusz Stawowski z firmy Clico.

Niestety, tak się składa, że wydajność jest jednym z najważniejszych kryteriów branych pod uwagę przy wyborze systemów zabezpieczeń. "Co chwila trafiają do nas klienci, którzy pytają przede wszystkim o to, czy takie zabezpieczenie jest w stanie zapewnić przepustowość na poziomie 1 Gb/s?" - twierdzi Krzysztof Tyl z firmy Ascomp z Krakowa.

Oczywiście, przy odpowiedniej platformie sprzętowej i konfiguracji jest to możliwe, tyle, że nie najtańsze. W tej sytuacji firewalle aplikacyjne są wykorzystywane przede wszystkim do ochrony dedykowanych zasobów, wszędzie tam gdzie bezpieczeństwo jest bardziej istotne niż wydajność. W zamian za to firewalle oferują możliwość zróżnicowania poziomów zabezpieczeń.

Blokują podejrzany ruch już na wejściu do sieci, pozwalając na selektywne odcinanie adresów IP, z których pochodzą podejrzane przesyłki bądź polecenia. Dzięki analizie zawartości pozwalają na blokowanie treści wysyłanych za pośrednictwem najpopularniejszych protokołów. Ta cecha sprawia, że bywają także wykorzystywane jako narzędzie do zarządzania zawartością.

Uniwersalna kontrola

Właśnie w taki sposób korzysta z firewalla aplikacyjnego Gdańska Stocznia "Remontowa", wykorzystująca Grond - autorskie rozwiązanie zaprojektowane przez lokalną firmę IT Form. System ten działa jako serwer proxy drugiego stopnia, niezależnie od usługi proxy uruchamianej na tradycyjnej zaporze firewall. Grond chroni firmowy serwer WWW oraz serwer pocztowy. "Główną zaletą tego rozwiązania jest możliwość «rozkładania» protokołów HTTP i SMTP na czynniki pierwsze i selektywnego blokowania treści" - wyjaśnia Jerzy Orłowski, specjalista ds. bezpieczeństwa w Gdańskiej Stoczni "Remontowa".

Dzięki tej właściwości aplikacja służy nie tylko do ochrony przed atakami i wirusami, ale także jako system kontrolujący dostęp do Internetu przez pracowników. Pilnuje np. by w sieci nie przesyłano plików przekraczających założoną objętość. "Projektując naszego firewalla, przywiązywaliśmy dużą wagę do elastyczności rozwiązania. Nasz produkt pozwala na tworzenie złożonych struktur domenowych oraz delegację części uprawnień nadzorczych i administracyjnych, przy stałym zapewnieniu silnych mechanizmów kontroli w trybie online i offline" - deklaruje Maciej Afanasjew, dyrektor IT Form.

Hybryda na zaporze

Mimo ograniczeń wydajności związanych z pracą zapór aplikacyjnych, technologia ta rozwija się dynamicznie i wielotorowo. Producenci tradycyjnych zapór dodają do nich moduły umożliwiające analizę protokołów wyższych warstw. Zwykle są one wykrywane przez tradycyjny moduł firewall i przekazywane do analizy do odpowiedniego modułu.

Część producentów nadal rozwija odrębne filtry proxy. Obie kategorie oferują podobne możliwości filtrowania i nadają się do ochrony różnych typów serwisów (HTTP, FTP, SMTP czy nawet LDAP). "Uniwersalność jest w tym przypadku zarówno zaletą, jak i wadą, gdyż wymaga to tworzenia odpowiednich modułów filtrujących dla każdego protokołu wyższej warstwy" - mówi Wojciech Dworakowski z firmy SecuRing. Do ochrony aplikacji posługujących się protokołem HTTP można wykorzystać mod_security - dostępny na zasadach open source moduł do serwera Apache, umożliwiający tworzenie kompleksowych reguł filtrowania i zasad dotyczących zachowań aplikacji.

Prawdopodobnie z czasem zapory dedykowane do ochrony aplikacji staną się częścią kompleksowych rozwiązań typu IPS (Intrusion Prevention Systems). Już dziś część systemów IPS stwarza podobne możliwości ochronne. Jedyna różnica wynika z tego, że w systemach IPS wykrywanie intruzów odbywa się na podstawie sygnatur, a nie wg konfigurowanej reguły. Przyszłość należy zapewne do rozwiązań hybrydowych. "Najlepsze efekty przynosi zastosowanie obu tych technologii, gdyż firewalle dają ochronę restryktywną, zaś systemy IDS ochronę permisywną" - twierdzi Wojciech Dworakowski.

W tym kierunku będą zmierzać zarówno rynek zabezpieczeń, jak i potencjalni użytkownicy.