Zapory nowej generacji

Określenie Next Generation Firewall jest często używane przez dostawców technologii, by zaakcentować funkcjonalność wykraczającą poza możliwości starszych zapór. Co takie urządzenia naprawdę potrafią?

Zapory nowej generacji

Nadal to jest rzadkość

Niestety, nowoczesne zapory nowej generacji są jeszcze rzadko wykorzystywane. Według ostrożnych szacunków Gartnera, mniej niż 1% bezpiecznych połączeń firmowych (na przykład wewnątrzfirmowych) odbywa się przez takie firewalle. Stan ten powinien się zmienić. Szacuje się, że nastąpi wzrost do około 35% do roku 2014.

Dotychczasowe zapory sieciowe operowały głównie portami TCP/IP, obecnie znacznie większego znaczenia nabiera rozpoznawanie protokołów oraz aplikacji. Jednocześnie zwiększa się przy tym możliwości obrony sieci firmowej, integrując systemy IPS, koncentratory IPS oraz centralne uwierzytelnienie. Dzisiejsze zapory, działające w kontekście aplikacji oraz osób i grup, różnią się znacznie od starszych urządzeń, które kontrolowały ruch, bazując głównie na konfiguracji portów źródłowego i docelowego. Obecnie aplikacje mogą pracować na każdym porcie, przy czym spora część ruchu jest szyfrowana za pomocą SSL i większość ruchu związanego ze złośliwym oprogramowaniem jest inicjowana od wewnątrz sieci, zatem zapora rozróżniająca jedynie porty nie zapewni żadnej ochrony.

Czego stara zapora nie widzi

Dzisiejsze złośliwe oprogramowanie wykorzystuje bezlitośnie słabości starych zapór sieciowych. Typowa konfiguracja zakładała przepuszczanie lub blokowanie ruchu na podstawie portu. Tak działa większość tanich routerów SOHO, wykorzystywanych także w małych firmach. Ponieważ zazwyczaj otwarty jest tam port 80 (HTTP) oraz 443 (HTTPS) bez żadnej kontroli, połączenie wykorzystujące dowolny protokół może działać na tych portach w sposób, który nie budzi wątpliwości. Niektóre robaki sieciowe potrafią komunikować się na porcie 53, gdzie zazwyczaj pracuje usługa DNS. Ponieważ starsze zapory nie potrafią rozróżnić zapytań DNS na podstawie ruchu, takie połączenia są otwierane, a to błąd. Tymczasem nowoczesny firewall rozróżni ruch nie tyle na podstawie portu, ile zawartości, umożliwiając kontrolę pracy firmowych aplikacji.

Większość dostawców twierdzi, że ich urządzenia mogą kontrolować ruch związany z wieloma aplikacjami, niekiedy na liście jest ich ponad 1000. W połączeniu z usługami katalogowymi administratorzy mogą wcielić politykę, która zakłada na zezwolenie pracy konkretnych aplikacji w firmie, blokując te niepożądane, takie jak sieci peer to peer lub niektóre portale społecznościowe. Jest to skuteczne narzędzie, które pomaga w kontroli niepożądanego ruchu, ale nie sprawia jednocześnie, że aplikacja taka zostanie zdeinstalowana ze stacji roboczych. Zatem zapora sieciowa stanowi jedynie uzupełnienie dobrze dopracowanej polityki bezpieczeństwa, ściśle kontrolującej oprogramowanie na stacjach roboczych.


TOP 200