Firewalle aplikacyjne

0

Od 25 lat firewalle stanowią główną formę zabezpieczeń sieci podłączonych do Internetu. Jednak w tym czasie cyberwłamywacze przenieśli swoje ataki na wyższe warstwy stosu protokołów, omijając tym sposobem system operacyjny i protokoły TCP/IP, a wgryzając się w protokoły HTML, XHTML czy XML, wykorzystywane do tworzenia nowoczesnych aplikacji webowych. Dlatego obecnie tak istotne jest inteligentne połączenie firewalli aplikacyjnych z firewallami działającymi w niższych warstwach.

Czym dokładnie jest aplikacja, czy mówiąc inaczej, co należy chronić? Jest coraz więcej aplikacji uruchamianych w przeglądarkach internetowych, które korzystają z popularnych portów TCP 80 i 443. W efekcie tradycyjne firewalle przepuszczają generowany przez nie ruch, ponieważ analizują ruchu sieciowego na poziomie aplikacji. Ten fakt często wykorzystują hakerzy.

Nie jest to też kwestia ochrony adresów URL, ponieważ na jednej stronie może być ich bardzo dużo. Platformy takie, jak Facebook czy Google zawierają dziesiątki czy nawet setki tzw. aplikacji, włączając w to wideo, pocztę elektroniczną, grę, chaty, ankiety, przesyłanie plików, itd. Dlatego zapora sieciowa wyposażona mechanizmy ochrony aplikacji musi być w stanie rozpoznać różne funkcje i właściwości w ramach jednej platformy internetowej i stosować odpowiednie reguły. Jeśli właściwości aplikacji pociągają za sobą inne implikacje związane z bezpieczeństwem, np. inny profil ryzyka, taka aplikacja musi być odpowiednio traktowana przez zaporę sieciową.

Ruch, który jest najbardziej złożony i ulega szybkim zmianom, to sesje internetowe inicjowane przez użytkowników, w których mogą pojawiać się nowe typy aplikacji i zagrożeń. Jednocześnie ten rodzaj ruchu staje się coraz popularniejszy i przyciąga coraz to nowe zagrożenia. Aplikacje uruchamiane w przeglądarkach internetowych są poza kontrolą działów IT. Jednocześnie są one wylęgarnią innowacji. Drobne, pozornie nieistotne zmiany na stronie internetowej mogą zamienić ją w pożywkę dla nowych typów ataków. Przykładowo, popularna strona z aktualnościami może stać się groźna z powodu dodania chatu dla czytelników, co wprowadza na stronę potencjalnie niebezpieczną zawartość tworzoną przez użytkowników.

Poza tym firmy mają do czynienia z aplikacjami korporacyjnymi, które są dostarczane za pośrednictwem sieci, czasami także publicznej, ponieważ są to aplikacje zintegrowane z partnerami, dostawcami czy klientami. W tym przypadku bazujące na XML protokoły SOAP czy REST są wykorzystywane do łączenia aplikacji ERP, SCM (Supply Chain Management), rozliczeniowych czy finansowych na różnych poziom, np. bankowym, produkcyjnym, dostarczania energii, czy transportu. Bazujące na XML protokoły mogą reprezentować niemal nieskończoną ilość warstw złożoności i być bezpośrednio połączone z procesami biznesowymi, stwarzając unikalne zagrożenia dla bezpieczeństwa.

Jeden firewall nie wystarczy
Jeśli firma potrzebuje zabezpieczeń przed atakami na niższych warstwach oraz przed atakami na aplikacje internetowe, nie wystarczy jej wdrożenie jednego firewalla, który zabezpieczy przed wszystkimi wymienionymi atakami. Dlaczego wszystkie potrzebne funkcje zabezpieczeń nie mogą być wbudowane w jedno urządzenie? Prosta odpowiedź brzmi: ponieważ analiza ruchu wymaga dużej mocy obliczeniowej w celu otwarcia pakietów, ich inspekcji oraz identyfikowania każdego strumienia ruchu sieciowego, który wchodzi lub wychodzi z korporacyjnej sieci. Wykorzystanie mechanizmów ochronnych działających na poziomie aplikacji zawsze wiąże się z kompromisem w stosunku do wydajności. Zbyt głęboka analiza ruchu sieciowego i firewall zaczyna wprowadzać opóźnienia do komunikacji sieciowej i nie jest w stanie wystarczająco szybko przetwarzać przechodzące przez niego dane. Z drugiej strony zbyt płytka analiza może spowodować, że niektóre zagrożenia nie zostaną wykryte.

Połączenie firewalla aplikacyjnego z tradycyjnym firewallem
Żeby osiągnąć równowagę, firmy instalują firewalle, które są dedykowane do analizy ruchu na poszczególnych warstwach. Firewall niższych warstw może filtrować szerokie spectrum ruchu, wychwytując próby skanowania portów, ataki DoS i inne ataki na niższych warstwach. Ruch generowany przez użytkowników można przepuścić przez firewall aplikacyjny w celu kontrolowania wykorzystania aplikacji na podstawie złożonych reguł uwzględniających złożoność dzisiejszych aplikacji internetowych. Bramka aplikacyjna czy firewall XML mogą przechwytywać ruchu przychodzący od partnerów firmy, analizować schematy i zawartość XML, sygnatury, a także odszyfrowywać i szyfrować dane.

Z każdym typem ruchu wiążą się różne zagrożenia i różne charakterystyki wydajności. Specjaliści od bezpieczeństwa muszą iść na kompromis między wydajnością a głębnością analizowania ruchu sieciowego, oddzielnie analizując każdy przypadek. Firewalle w serwerowni kontrolują wewnętrzną segmentację sieci na interfejsach 10 GE, co znacznie różni się od działania firewalla na łączy internetowym, który analizuje ruchu użytkowników czy od firewall służącego do kontrolowania protokołów XML i szyfrowania.

Po prawie 25 latach firewall nadal jest na pierwszej linii frontu. Ale to tylko dlatego, że słowo „firewall” oznacza obecnie wiele różnych rodzajów urządzeń zabezpieczających, odpowiednich do różnych celów. Najważniejszą sprawą bezpieczeństwa jest dobranie odpowiedniego typu firewalla do odpowiedniego rodzaju ruchu.

Nowa generacja firewalli
Firewalle aplikacyjne już zdobyły duże uznanie inżynierów i analityków, ale technologia ta wciąż się rozwija. Z tego względu część firm wciąż używa również firewalli starego typu i sytuacja taka będzie trwać jeszcze co najmniej przez kilka najbliższych lat. Oba typy firewalli spełniają różne zadania i mogą działać po różnych stronach strefy DMZ. Takie warstwowe podejście do firewalli jest częścią strategii, która pozwala rozdzielić odpowiedzialność. Można wyznaczyć jednego administratora do zarządzania firewallem na zewnątrz strefy DMZ i drugiego do firewalli działających w strefie DMZ.

Firewalle stanowe a rozwój sieci
Firewalle stanowe od 15 lat są głównym zabezpieczeniem sieci. Śledzą porty i protokoły, a następnie decydują o przepuszczeniu lub zablokowaniu ruchu. Jednak zmieniająca się natura Internetu sprawia, że ta stara architektura firewalli przestała wystarczać. Słabości tradycyjnych firewalli wymusiły wprowadzenie do sieci dodatkowych zabezpieczeń sprzętowych i programowych, jak systemy IDS/IPS, rozwiązania antywirusowe czy filtry zawartości stron internetowych.

Niemal każdy producent zapór sieciowych, z wyjątkiem Cisco, ma w ofercie firewalle aplikacyjne. Jednak trzeba podkreślić, że firewalle poszczególnych producentów różnią się pod względem możliwości analizowania aplikacji. Niektóre potrafią ustalić, np. że dany ruch pochodzi z Facebooka, podczas gdy inne dokonują głębszej analizy i rozróżniają więcej szczegółów, np. odróżniają transmisję wideo z Facebooka od chatu na Facebooku.

Różnice wynikają ze stopnia zaawansowania prac rozwojowych danego producenta. Przykładowo, firma Palo Alto Networks tworzy firewalle aplikacyjne od chwili swojego powstania. Konkurenci, jak Sonicwall czy Fortinet, wbudowali technologię IDS/IPS w swoje rozwiązania firewallowe, co umożliwiło im rozpoznawanie aplikacji. Mike Rothman, analityk z firmy badawczej Securosis zauważa, że takie podejście jest dopiero pierwszym etapem w kierunku rozwoju firewalli aplikacyjnych. Producenci decydujący się na integrację mechanizmów IDS/IPS z firewallami w końcu i tak będą musieli od podstaw przeprogramować działanie swoich produktów. Częściowo wynika to z faktu, że systemy IDS/IPS przepuszczają całych ruch, a blokują tylko zagrożenia rozpoznane na podstawie sygnatur, podczas gdy firewall aplikacyjny przepuszcza jedynie ruch od zaaprobowanych aplikacji i stron internetowych, zatrzymując wszystko inne.

Jednak zdaniem analityków firmy wciąż będą stosować warstwowe podejście do firewalli, ponieważ firewalle aplikacyjne wymagają bardzo dużej wydajności. W efekcie nie sprawdzą się one na szybkich interfejsach 10 GE, łączach MPSL czy w środowisku zwirtualizowanych serwerów. Firewalle aplikacyjne na razie nie są też dobrym rozwiązaniem w przypadku łączenia z centralą wielu oddziałów, wewnętrznej segmentacji sieci czy złożonych stref DMZ. Natomiast są dobrą platformą, jeśli chodzi o analizę ruchu generowanego przez użytkowników, z którym tradycyjne firewalle nie radzą sobie dobrze.

Warto dodać, że niektóre firewalle aplikacyjne umożliwiają filtrowanie na podstawie różnych zestawów reguł. Przykładowo, firewall można zintegrować z Active Direktory, co pozwala stworzyć różne reguły filtrowania dla poszczególnych grup użytkowników.

Ponieważ wielu producentów sprzedaje firewalle stanowe z funkcjami IDS/IPS jako firewalle aplikacyjne, należy z dużą starannością przeanalizować rynek przed dokonaniem wyboru. Wprawdzie z biegiem czasu wszyscy producenci będą rozwijać swoje produkty, ale pozostaje pytanie, kiedy faktycznie zaczną je oferować.

BRAK KOMENTARZY

ZOSTAW ODPOWIEDŹ