Zarządzanie zaporami

Obsługa zapór firewall w systemach heterogenicznych jest zadaniem pracochłonnym i podatnym na błędy. Warto więc zwrócić uwagę na możliwość wykorzystania specjalizowanego oprogramowania do analizy i zarządzania.

Obsługa zapór firewall w systemach heterogenicznych jest zadaniem pracochłonnym i podatnym na błędy. Warto więc zwrócić uwagę na możliwość wykorzystania specjalizowanego oprogramowania do analizy i zarządzania.

Każda zapora firewall ma interfejs służący do zarządzania jej funkcjami. Z reguły, w wypadku sprzętu jednego producenta, jest on zunifikowany i zarządzanie nawet wieloma zaporami nie sprawia problemów. Jeśli w systemie zainstalowano sprzęt różnych firm, ale jest go niezbyt wiele, to najczęściej administrator też sobie poradzi. W znacznie gorszej sytuacji są jednak pracownicy działu IT w większych firmach, które wykorzystują dużą liczbę zapór pochodzących od różnych producentów. Zarządzanie takim heterogenicznym systemem może być szczególnie uciążliwe i pracochłonne, a jednocześnie nietrudno o błędy, które mogą istotnie obniżyć poziom bezpieczeństwa. W takiej sytuacji trzeba się zastanowić, czy warto opierać się tylko na narzędziach dostarczanych przez producentów zapór, a może opłacalna jest dodatkowa inwestycja w zakup oprogramowania niezależnych firm, umożliwiającego efektywne zarządzanie systemami heterogenicznymi. Wśród dostępnej na rynku oferty tego typu narzędzi można wymienić pakiety oferowane przez takich względnie mało znanych producentów, jak AlgoSec, Tufin lub Secure Passage.

Użytkownicy zazwyczaj zdają sobie sprawę z problemów z zarządzaniem systemami heterogenicznymi i dlatego często decydują się na zakup sprzętu i oprogramowania od jednego producenta, by ich utrzymanie było prostsze i tańsze. Ale z drugiej strony, nie ulega wątpliwości, że w wielu wypadkach korzystniej jest zastosować zapory sieciowe różnych producentów po to, by zapewnić lepsze bezpieczeństwo, np. szczególnie ważnych lub wrażliwych segmentów sieci.

Czasami pomaga arkusz kalkulacyjny

W korporacjach lub dużych firmach wybór najczęściej ogranicza się do sprzętu trzech producentów uznawanych za zapewniających największą pewność inwestycji, czyli Check Point, Cisco i Juniper. Każdy firewall tych firm zawiera własne narzędzia do zarządzania, które są dobrze znane administratorom i optymalnie przystosowane do obsługi sprzętu. Niestety, z reguły potrafią one sprawnie zarządzać wyłącznie zaporami, dla których są dedykowane. Jeśli w tym samym segmencie sieci używa się więcej niż jednej zapory, pojawia się poważne utrudnienie, wymagające dodatkowych działań. W takich sytuacjach administratorzy często stosują proste technicznie metody, np. używają arkusza w Excelu, w którym zapisują obecnie działające reguły i ich funkcję. Metoda ta jest prosta, ale tylko w założeniu, bo wymaga ciągłej dbałości o zawartość dokumentu, aktualizacji jego wpisów i żelaznej konsekwencji w ich realizacji. Jeśli wiele różnych zapór z różnych segmentów sieci ma realizować spójne zasady polityki bezpieczeństwa i restrykcji sieciowych, zapanowanie nad spójnością zapisów nie jest łatwe, zwłaszcza gdy wymaga dobrej współpracy wielu ludzi. Oprócz tego doświadczeni administratorzy wielu z tych reguł nie zapisują, a po prostu pamiętają i nie kwapią się do opisywania z detalami wszystkich ustawień.

Przy sporządzaniu audytu konfiguracji zapór ręczne kojarzenie reguł z potrzebnymi zapisami kryteriów audytu jest bardzo pracochłonne. A dotyczy to zwłaszcza systemów wyposażonych w wiele zapór zainstalowanych w różnych segmentach sieci, gdyż dodatkowo wymaga analizowania ich współpracy. W tak skomplikowanej infrastrukturze łatwo też coś przeoczyć.

Ale nawet w obrębie jednego producenta zapór zarządzanie może sprawiać problemy. Bo w miarę wzrostu ich liczby szybko rośnie również ogólna liczba reguł. Ponieważ reguły bywają bardzo podobne do siebie, nie można bez zastrzeżeń polegać tylko na pamięci administratorów. Arkusz Excela z zapiskami jest pomocny, ale nadal wszelkie zmiany należy wprowadzać w dwóch miejscach: w konfiguracji zapory i w arkuszu.

Narzędzia wszystkich liczących się producentów zapewniają audyt obejmujący nie tylko stan zapory i funkcjonowania reguł, ale także historię ich zmian. Niestety, nie daje on od razu pełnego obrazu historii modyfikacji wszystkich zapór, zatem sporządzenie audytu w danym dniu jest poważnie utrudnione. A jeśli wykorzystuje się arkusz, należy zapisywać w nim również wprowadzane zmiany. Gdy nie ma takich informacji, sporządzenie wartościowego audytu historii reguł zapory nie jest możliwe.

Automatyzacja w systemie heterogenicznym

W niektórych przedsiębiorstwach (np. w polskich oddziałach globalnych koncernów albo instytucjach finansowych) wymagana jest zgodność z niektórymi międzynarodowymi lub np. amerykańskimi regulacjami prawnymi. Wtedy audyt musi być przeprowadzany bardzo szczegółowo. Narzędzia przeznaczone do audytu zazwyczaj działają dobrze, ale objęcie nimi większej liczby zapór różnych producentów sprawia problemy. Wtedy przydać się może dodatkowe oprogramowanie firm niezależnych, które jest przystosowane do wspomagania tego typu audytów.

Firmy posiadające wyjątkowo skomplikowany system zapór sieciowych docenią dodatkową funkcjonalność takiego oprogramowania - możliwości symulacji zmian, jeszcze przed ich wprowadzeniem do systemu. Można dzięki temu praktycznie sprawdzić wpływ zmian w regułach zapory na jej pracę, zgodność z planowanymi ograniczeniami ruchu sieciowego oraz wydajność. Doświadczeni administratorzy posiadają intuicję, która pomaga im przy optymalizacji reguł, ale nadal jest przy tym sporo pracy. Gdy jest ponad kilkanaście zapór i gdy są one od siebie zależne, przejmując część ruchu (a są takie instalacje, szczególnie u operatorów telekomunikacyjnych), zastosowanie narzędzi do optymalizacji bardzo ułatwia pracę administratorów.

Oprogramowanie firm, takich jak AlgoSec, Tufin czy Secure Passage, należy do elitarnej grupy narzędzi, które potrafią symulować i analizować pracę zapór różnych producentów. Ponieważ docelowym rynkiem tego typu programów są operatorzy telekomunikacyjni albo duże korporacje, aplikacje najczęściej współpracują tylko z zaporami producentów, którzy mają największy udział sprzedaży w tym segmencie rynku, a więc przede wszystkim z Check Point, Cisco i Juniper.

Dzięki korelacji informacji z różnych zapór, oprogramowanie to umożliwia sprawdzenie pokrywania się reguł oraz miejsc, w których są one sprzeczne i powodują kłopoty. Jest to nieocenione przy kontroli skomplikowanego przepływu danych przez wiele zapór. Ręcznie wykonywana optymalizacja reguł trwa wiele godzin i wymaga przeglądania dużej liczby zapisów z logów oraz korelacji ich z regułami działającymi na zaporze. Eliminacja sprzecznych lub nieużywanych reguł wymaga dużej, ręcznej pracy, a jednocześnie bardzo dobrze nadaje się do automatyzacji. To samo dotyczy nawet najprostszej optymalizacji wydajności.

Systemy do zarządzania zaporami firewall

Tufin SecureTrack potrafi dokonać analizy w czasie liczonym w minutach i współpracuje z zaporami firm Check Point oraz Cisco. Funkcje oprogramowania obejmują m.in. historię zmian i zarządzanie nimi, analizę i optymalizację zasad zabezpieczeń, monitoring systemu operacyjnego oraz analizę ryzyka wraz z raportem o zgodności z takimi regulacjami, jak PCI-DSS, SOX, HIPAA, ISO 17799 i Basel II.

AlgoSec Firewall Analyzer jest bardziej rozbudowanym narzędziem i umożliwia analizę Cisco PIX, FWSM audit, CheckPoint Firewall-1, Check Point Provider-1, Juniper NetScreen oraz Cisco IOS Access List (ACL). Dane z zapór są pobierane online, ale analiza odbywa się offline w środowisku wykonującego ją serwera. Audyt zgodności z regulacjami prawnymi obejmuje SOX, J-SOX (Japan's Financial Instruments and Exchange Law), Ba-sel II, HIPAA, BS 7799/ISO 17799, FISMA, AIAVA, PCI DSS, Cyber Security Standards (CIP) i inne. Ważną zaletą aplikacji jest dostępność gotowego modułu przeznaczonego do poprawy bezpieczeństwa systemu w razie ataku o znanych parametrach. System potrafi analizować reguły zapór, podając sugestię, jakie ograniczenia powinny zostać wdrożone, by zablokować dany atak.

FireMon firmy Secure Passage jest przeznaczony do obsługi wielu różnych urządzeń, nie tylko zapór sieciowych. Potrafi zarządzać zaporami CheckPoint AI-NGX, Juniper NetScreen i Cisco PIX, platformami, na których one pracują - CheckPoint SPLAT, Nokia IPSO - a także routerami, przełącznikami i bramami VPN firmy Cisco. Istotną cechą oprogramowania jest możliwość połączenia danych z wielu urządzeń różnych kategorii. Dzięki temu można śledzić zmiany dokonywane nie tylko w konfiguracji zapór, ale skorelować je również z modyfikacjami reguł bram VPN oraz przełączników. Optymalizacja reguł obejmuje obecnie tylko urządzenia firm CheckPoint oraz Juniper. FireMon pracuje w środowiskach Linux (RedHat, CentOS) oraz Windows.


TOP 200