W jaki sposób dobrać firewall następnej generacji dla Twojej firmy ?

Czym jest firewall?

Next Generation Firewall to dedykowane i wydajne rozwiązanie − podstawowa cegiełka bezpieczeństwa − które służy do ochrony sieci, użytkownika oraz chmury. Za takim firewallem może znajdować kilkudziesięciu, kilkuset lub nawet tysiące użytkowników, którzy są chronieni z centralnego punktu – mówi Karol Kujawa, Solution Architect, Data Center & Cloud – IP w VECTOR TECH SOLUTIONS

Jak działa firewall?

Jeśli w Twojej organizacji jest już wdrożony firewall (a prawdopodobnie masz już u siebie tego typu rozwiązanie), działanie zapory może wydawać się oczywiste. Zachęcamy jednak do zapoznania się z poniższym wprowadzeniem, ponieważ lepiej ilustruje ono, czym tradycyjne rozumienie pojęcia „zapora sieciowa” różni się od obecnie stosowanych firewalli następnej generacji.

Określenie firewall (w jęz. polskim „zapora sieciowa”) zaczerpnięte zostało z terminologii strażackiej − odnosi się do ściany, która chroni przed rozprzestrzenianiem się ognia wewnątrz budynku. Jednocześnie działa niczym kontroler ruchu.

Zadaniem zapory jest zatem monitorowanie przychodzącego ruchu sieciowego oraz weryfikacja otrzymywanych zapytań w taki sposób, aby zablokować wszelkie złośliwe treści, w tym szkodliwe oprogramowanie oraz próby ataków hakerskich. Ocena zagrożeń musi zostać przeprowadzona błyskawicznie i automatycznie (dlatego stosuje się do tego celu zbiór ustalonych wcześniej reguł), a wszelkiego rodzaju ataki należy zablokować jak najszybciej, aby nie zdołały objąć większego obszaru sieci. Przy skutecznie funkcjonującej barierze chroniona jest zarówno sama sieć, jak i wszystkie przesyłane w niej informacje.

Co daje deje dobrze wdrożony firewall?

Ochrona dostarczana przez zaporę sieciową jest wszechstronna, a poszczególne jej zadania wzajemnie się uzupełniają. Do najważniejszych zadań firewalla należą:

• Blokowanie ataków kierowanych na sieć organizacji.
• Rozpoznanie i wyeliminowanie nieuprawnionych użytkowników.
• Wykrycie oraz zablokowanie niepowołanego dostępu do wrażliwych danych.
• Monitorowanie/skanowanie sieci oraz znajdujących się w niej urządzeń (komputerów).
• Kontrolowanie bezpieczeństwa podczas korzystania z Internetu.
• Blokowanie nieodpowiednich/szkodliwych treści.
• Generowanie alarmów w razie wykrycia zagrożenia.

W przypadku Next Generation Firewall możliwe jest działanie w znacznie szerszym zakresie:

• Firewall jest dobrym koncentratorem połączeń szyfrowanych do Twojej firmy czyli tzw. VPN−ów (użytkowanych przez osoby pracujące zdalnie).
• Współpracując z infrastrukturą sieciową, firewall jest w stanie identyfikować Twoich użytkowników, a następnie przyznawać im dostęp tylko do określonych zasobów sieciowych.
• Firewall jest zdolny skutecznie chronić aplikacje – zarówno wewnętrzne, należące do Twojej organizacji, jak i webowe, oferowane za pośrednictwem stron WWW.
• Współczesne zapory wykazują bardzo wysoką skuteczność w ochronie organizacji przed atakami sieciowymi np. na protokół DNS.

Do 3 najważniejszych rodzajów ryzyka związanych z brakiem zapory sieciowej lub jej niewłaściwą konfiguracją należą:

Otwarty dostęp

Bez zapory akceptowane byłoby każde połączenie z Twoją siecią, od każdego użytkownika z zewnątrz. Twoja organizacja nie miałaby żadnego sposobu na to, aby wykryć pojawiające się zagrożenia i przeciwdziałać złośliwym lub wręcz przestępczym atakom.

Utracone lub naruszone dane

Niedostateczny poziom ochrony umożliwia niepowołanym osobom przejęcie kontroli nad Twoim komputerem lub siecią. Cyberprzestępcy mogą usunąć dane, bądź skopiować je i ujawnić. W skrajnych przypadkach pozyskane informacje używane są do oszustw związanych kradzieżą tożsamości oraz do przestępstw finansowych.

Awarie sieci

Ponowne uruchomienie sieci, która uległa awarii i działania związane z odzyskaniem utraconych danych są czasochłonne i kosztowne. Nie masz również gwarancji, że informacje uda się odzyskać, a nawet jeśli − nie jesteś w stanie przeciwdziałać temu, w jaki sposób zostaną one wykorzystane.

Jak wybrać zaporę sieciową?

Ochrona sieci to nieustanny wyścig z czasem − przestępcom zależy na tym, aby coraz skuteczniej omijać bariery zabezpieczające. Uniemożliwienie ataków wymaga prawidłowego skonfigurowania zapory sieciowej. W VECTOR TECH SOLUTIONS przy doborze bierzemy pod uwagę takie czynniki, jak typ i rodzaj działalności organizacji, liczbę objętych ochroną aplikacji, użytkowników, a także biur na teranie kraju lub na terenie świata. Istotny jest również sposób użytkowania sieci:

• Jakie są parametry ruchu sieciowego w pojedynczym biurze?
• Jakie są parametry ruchu sieciowego w serwerowni?
• Jakie usługi są udostępniane za pośrednictwem serwerowni i ile ich jest (WWW, poczta, inne)?
• Ilu pracowników obecnych jest na miejscu, a ilu pracuje zdalnie przez VPN?
• Czy Twoja organizacja ma domenę Active Directory (AD − domena systemu Windows 10)?
• Jakie wartości przyjmuje ruch sieciowy (in out) w szczycie?

Dopiero taka analiza pozwala określić, jaka technologia będzie odpowiednia do uzyskania wysokiego poziomu ochrony.

Rodzaje zapór sieciowych

Zapory programowe i fizyczne

Z punktu widzenia pojedynczego użytkownika firewall to element aplikacji, np. popularnych pakietów antywirusowych. W rzeczywistości jednak istnieją dwa typy zapór − programowe lub sprzętowe − optymalnie jest zastosować oba te rozwiązania jednocześnie. Zapora programowa to program zainstalowany na każdym komputerze i regulujący ruch przez numery portów i aplikacje. Natomiast zapora fizyczna to element wyposażenia zainstalowany między siecią a bramą.

Zapory filtrujące pakiety − stanowe i bezstanowe

To najpopularniejszy rodzaj firewalli, dlatego warto przedstawić je dokładniej. Ich zadaniem jest badanie pakietów danych i blokowanie tych, które nie są zgodne z ustalonym zestawem reguł bezpieczeństwa, czyli informacjami, jakie źródłowe i docelowe adresy IP pakietu są dozwolone. Jeśli pakiet pasuje do tej reguły, traktuje się go jako zaufany.

Zapory filtrujące pakiety dzielą się na dwie kategorie: stanowe i bezstanowe. Zapory bezstanowe badają pakiety niezależnie od siebie, nie uwzględniając ich kontekstu − to sprawia, że stają się łatwym celem dla hakerów. Zapory stanowe natomiast mają zdolność do uczenia się − zapamiętując informacje o wcześniej przekazanych pakietach, znacznie skuteczniej wykrywają zagrożenia.

Wady zapór filtrujących pakiety

Chociaż zapory filtrujące pakiety mogą być skuteczne, ostatecznie zapewniają bardzo podstawową ochronę, a ich działanie jest ograniczone − nie są w stanie określić np. czy zawartość wysyłanego żądania wpłynie negatywnie na aplikację, do której dociera. Jeśli złośliwe żądanie, dozwolone wcześniej z zaufanego adresu źródłowego, spowodowałoby usunięcie bazy danych, zapora utraciłaby zbiór reguł, do których odwołuje się podczas oceny ryzyka i stałaby się bezużyteczna.

Zapory nowej generacji − lepiej przystosowane do wykrywania zagrożeń

Zapory nowej generacji (Next Generation Firewall − NGFW) łączą tradycyjną technologię zapory z dodatkowymi funkcjami, takimi jak inspekcja zaszyfrowanego ruchu, systemy zapobiegania włamaniom, oprogramowanie antywirusowe i inne. Przede wszystkim obejmują one głęboką inspekcję pakietów (DPI). Podczas gdy podstawowe zapory „patrzą” tylko na nagłówki pakietów, głęboka inspekcja pakietów bada dane w samym pakiecie, umożliwiając użytkownikom skuteczniejszą identyfikację, kategoryzowanie lub zatrzymywanie pakietów ze złośliwymi danymi.

Zapory sieciowe z translacją adresów sieciowych (NAT) umożliwiają wielu urządzeniom z niezależnymi adresami sieciowymi łączenie się z Internetem przy użyciu wspólnego adresu IP, ukrywając ich własne adresy IP. W rezultacie hakerzy skanujący sieć w poszukiwaniu adresów IP nie mogą przechwycić określonych szczegółów, a tym samym uskutecznić ataku na konkretne urządzenia.

Firewall następnej generacji oferuje bezpieczeństwo zarówno na poziomie pakietów jak i na poziomie aplikacji. Poprzez wielu zastosowanie mechanizmów − takich jak antywirus, IPS, czy sand boxing − jest w stanie rozpakowywać i weryfikować treści, jakie przeglądają użytkownicy w Internecie, zanim dotrą one do samych użytkowników – mówi Maciej Cichy, Solutions Management Director w VECTOR TECH SOLUTIONS.

Firewall nowej generacji − co warto o nim wiedzieć?

Next Generation Firewall wdraża się jako urządzenie „in path”, a więc tak blisko użytkownika końcowego, jak to możliwe. W praktyce NGFW stanowi bramę sieciową dla chronionych sieci (network gateway) − takie rozwiązanie daje pewność, że nic nie ominie firewalla w komunikacji danej podsieci z otoczeniem.

Nowoczesne zapory stosowane są wraz z kilkoma taktycznymi rozwiązaniami, które zwiększają ich skuteczność:

Taktyka pierwsza − mikrosegmentacja

Aby podnieść skuteczność ochrony, dąży się do ograniczania wielkości zabezpieczanych podsieci, dzieląc je na mniejsze. Takie rozwiązanie nosi nazwę mikrosegmentacji i jest ono jedną z podstawowych dobrych praktyk przy wdrażaniu rozwiązań security. Mikrosegmentacja zwiększa kontrolę nad komunikacją wewnątrz sieci, a także − w razie potencjalnego incydentu bezpieczeństwa − minimalizuje ryzyko rozprzestrzeniania się zagrożenia.

Taktyka druga − polityka zero−trust

Kolejną z dobrych praktyk minimalizujących skutki potencjalnego incydentu oraz ograniczającą wektory ataku jest tzw. polityka zero−trust. To konstrukt bezpieczeństwa zakładający, że pozwalamy wyłącznie na pożądaną komunikację, której jesteśmy świadomi. Cała reszta ruchu sieciowego zostaje zablokowana.

Taktyka trzecia − adresy przypisane użytkownikom (User−ID)

Zapanowanie nad ruchem sieciowym staje się łatwiejsze, dzięki kontroli nad adresami. Niegdyś dostępy nadawało się adresom IP. Natomiast obecnie, zgodnie z dobrymi zasadami, należy nadawać dostępy per użytkownik, niezależnie od tego, z jakiego adresu IP on korzysta. Dzięki temu wszelkie działania użytkownika mogą zostać zidentyfikowane, w gdy taki opuści on siedzibę firmy, jego dostępy zostają od razu zablokowane i nie przechodzą na spadkobiercę adresu IP.

Taktyka czwarta − zastosowanie logcollectora

Opisana powyżej technika User−ID sprawia, że logi stają się bardziej przejrzyste. Należy jednak pamiętać, że nie powinny one znajdować się tylko na urządzeniu, które odpowiada za ich generowanie. Każdy log powinien zostać niezwłocznie przesłany do logcollectora.

Taktyka piąta − redundancja urządzeń

Urządzenia typu NGFW są projektowane z należytą starannością, dlatego wszelkie awarie zdarzają się stosunkowo rzadko. Czasem zachodzi jednak konieczność ich wyłączenia − np. w związku z prowadzonymi pracami konserwacyjnymi lub aktualizacjami. Bezprzerwową pracę w sieci można jednak utrzymać, jeśli działanie firewalla przejmą natychmiast inne urządzenia − ich uwzględnienie w infrastrukturze sieciowej nosi nazwę redundancji (nadmiarowości).

Bezpieczeństwo sieci a jej użytkownicy

Choć zapory sieciowe stanowią pierwszą linię obrony w bezpieczeństwie sieci, to nawet najnowocześniejsze firewalle muszą współdziałać z innymi elementami infrastruktury. Ważne jest, aby upewnić się, że wszystkie urządzenia z dostępem do Internetu − w tym urządzenia mobilne − mają najnowszy system operacyjny, przeglądarki internetowe oraz oprogramowanie zabezpieczające.

Warto pamiętać również o przestrzeganiu kilku dobrych praktyk użytkownika:

• Nie klikaj linków ani załączników pochodzących od niezaufanych nadawców lub budzących jakiekolwiek podejrzenia.
• Loguj się tylko za pośrednictwem zaufanych, znanych stron internetowych.
• Nigdy nie podawaj żadnych danych osobowych, chyba że jest to absolutnie konieczne.
• Nigdy nie udostępniaj nikomu swoich danych dostępowych do kont, aplikacji i systemów, z których korzystasz.
• Do każdego konta internetowego, z którego korzystasz, stosuj silne, unikalne, złożone hasła.
• Pamiętaj o okresowej zmianie haseł dostępowych.

Zapory sieciowe ważnym elementem technologii bezpieczeństwa

W VECTOR TECH SOLUTIONS oferujemy rozwiązania firewalli następnej generacji dostarczane przez kilku różnych liderów rynkowych. To, jakie technologie zaproponujemy Twojej organizacji, zależy bezpośrednio od jej właściwości i parametrów. Przeanalizujemy je i wskażemy, które zabezpieczenia będą najlepiej chronić infrastrukturę IT Twojej firmy oraz zapewnią stabilność Twojej działalności.

Skorzystaj z wiedzy i doświadczenia inżynierów VECTOR TECH SOLUTIONS − skontaktuj się z ekspertami, wypowiadającymi się w tym artykule: