Firewall - nowe otwarcie

Systemy ochrony firewall towarzyszą rozwojowi sieci od późnych lat osiemdziesiątych ubiegłego wieku. Od prostych filtrów pakietowych przeszły ewolucję przez firewalle pełnostanowe (statefull) aż do obecnych Next Generation Firewall oraz zintegrowanych systemów UTM (Unified Threat Management).  Ważnym przełomem na rynku firewalli, który nastąpił w ubiegłych latach jest skokowy wzrost ich wydajności powodujący, że przestały być systemami instalowanymi wyłącznie na styku z siecią Internet lub w segmentach o małych przepływach danych. Wprowadzenie na rynek firewalli o wydajnościach kilkudziesięciu lub kilkuset gigabitów powoduje, że mogą być one instalowane w rdzeniach wielu sieci – tworząc kolejną warstwę ochrony zasobów informatycznych. Jest to jednocześnie duże uproszczenie zarządzania bezpieczeństwem. W miejsce wielu rozproszonych punktów ochrony instalowanych dotychczas w warstwie dostępowej (co spowodowane było ich małą wydajnością) możliwe jest skoncentrowanie inspekcji na poziomie klastra w rdzeniu sieci.

 

Dzisiejsze firewalle przestały być jednocześnie samotnymi wyspami, a stały się elementem spójnej infrastruktury zabezpieczenia sieci oraz zarządzania użytkownikami. W miejsce standardowych urządzeń, w których możliwe było sterowanie ruchem na poziomie otwartego/zamkniętego portu TCP/UDP wdrażane są Next Generation Firewall’e, które poprzez integrację z usługami katalogowymi (LDAP, Active Directory, itd.) pozwalają na sterowanie ruchem na poziomie danego użytkownika lub grupy. W ten sposób znika problem znany wielu administratorom, w którym np. otworzenie portu TCP 80 zezwalało nie tylko na ruch http, ale także umożliwiało tunelowanie wielu szkodliwych biznesowo aplikacji (np. komunikatory, ruch peer-to-peer). Obecnie można wybrać jakie aplikacje mogą działać wykorzystując port 80 oraz uzyskuje się kontrolę kto i kiedy z danych aplikacji może korzystać (w oparciu o dane użytkowników pozyskiwane z usług katalogowych).

 

Firewalle są również coraz częściej integrowane z systemami tylu NAC (Network Access Control), SSL VPN oraz IPS – pełniąc rolę jednostek wymuszających politykę bezpieczeństwa (enforcer).

 

W przypadku ograniczonego  budżetu na system ochrony stosowane są coraz częściej systemy UTM (Unified Threat Management). Są to urządzenia, które poza funkcją firewall oferują również:
 

  • SSL VPN
  • Ochronę antywirusową
  • Ochronę antyspamową
  • Kontrolę dostępu do WWW (web filtering)
  • Intrusion Prevention System (IPS)
 

Systemy UTM są często stosowane w przypadku firm wielooddziałowych z rozproszonym dostępem do Internetu. Mankamentem systemów UTM jest często ich niedeterministyczna wydajność – szczególnie przy uruchomieniu zaawansowanego skanowania antywirusowego oraz IPS.

 

Nasi partnerzy w zakresie firewall: Juniper, CheckPoint, PaloAlto

Intrusion Prevention System
Systemy Intrusion Prevention System (IPS) są nieodzownym elementem uzupełniającym firewall w ochronie kluczowych segmentów sieciowych. Są najczęściej bardziej skomplikowane w konfiguracji i mniej deterministyczne w zakresie obsługiwanej przepustowości.
 
Proces doboru i konfiguracji systemu IPS powinien uwzględniać m.in:
 
  • Ilość segmentów chronionych
  • Rzeczywistą wydajność sprzętu przy politykach chroniących ruch istotny w danej sieci oraz liczbę sesji w chronionych sieciach
  • Zabezpieczenia przed awarią
  • Dostrojenie systemu IPS – aby zminimalizować liczbę alarmów typu False Positive (IPS sygnalizuje atak, który nie miał miejsca) przy jednoczesnym niedopuszczeniu do sytuacji False Negative (atak miał miejsce, system IPS nie zareagował).
  • Skuteczność i ilość metod detekcji – dobry system IPS powinien implementować co najmniej kilka metod detekcji. Poza podstawową detekcja opartą o sygnatury wymagane  są algorytmy heurystyczne będące w stanie zablokować tzw. ataki „zero day” (dla których nie są jeszcze stworzone sygnatury).
  • Ochrona ruchu wyjściowego -  systemy IPS na styku z siecią Internet koncentrują się zazwyczaj na zagrożeniach w ruchu przychodzącym. Ważna jest jednak ich możliwość sprawdzania ruchu pod kątem ataków pochodzących z wnętrza sieci (np. wychwytywanie ruchu z keyloggerów, blokowanie ruchu z sieci typu BOT pochodzącego z zainfekowanych komputerów wewnętrznych)
 
Dobrze dobrany i zaimplementowany system IPS to nie tylko urządzenie zabezpieczające, ale także system pomagający w inwentaryzacji sieci i tworzeniu tzw. baseline’ów dla poprawnie działającej sieci. W późniejszym czasie odstępstwa od charakterystyki baseline pozwalają na stwierdzenie niepokojących trendów i zdarzeń zachodzących w sieci.
 
Nasi partnerzy w zakresie IPS: Juniper, CheckPoint
Network Access Control

Sieć jest pierwszą linią ochrony informacji przed zagrożeniami. Większość ataków i nadużyć realizowana jest poprzez sieć oraz na poziomie sieci może być wykryta i zatrzymania.

Tymczasem większość sieci umożliwia łatwy dostęp do ważnych serwerów i usług każdemu, kto może podłączyć się do gniazdka sieciowego, niezależnie od jego tożsamości czy stanu stacji roboczej.

Rozwiązaniem jest kontrola dostępu do infrastruktury sieciowej na podstawie uwierzytelnienia użytkownika i zgodności konfiguracji podłączanej stacji roboczej za założoną polityką bezpieczeństwa. Kontrola może odbywać się już na etapie podłączenia komputera do gniazdka sieci przewodowej lub do punktu dostępowego sieci WiFi.

 

Oprócz tożsamości użytkownika NAC może weryfikować m.in.:

  • Czy łącząca się stacja jest pod kontrolą firmy np. laptop firmowy,
  • Czy posiada aktualne oprogramowanie antywirusowe,
  • Czy nie są zainstalowane i działają programy niosące potencjalnie zagrożenie (spyware, adware itp.).

W przypadku braku spełnienie wymagań, komputer może być blokowany lub uzyskiwać mniejsze uprawnienia np. wyłącznie dostęp do sieci dla gości.

 

Nasi partnerzy w zakresie NAC: Juniper

Zdalny dostęp do sieci korporacyjnej

Możliwość zapewnienia pracownikom i partnerom dostępu do danych i aplikacji o każdej porze i w każdej sytuacji jest dla wielu firm podstawowym wymogiem skutecznego funkcjonowania. Dostęp takie wymaga z jednej strony udostępnienia szerokiego zakresu funkcjonalności jak również zapewnienia pełnej kontroli przekazywanych danych oraz jak najlepszej kontroli środowiska wykorzystanego do uzyskania połączenia.

 

Istnieją dwie podstawowe technologie zapewnienia takiego dostępu:

  • IPSec VPN – rozwiązanie wbudowane w prawie wszystkie rozwiązania klasy Firewall dostępne na rynku. Wymogiem jest posiadanie skonfigurowanego klienta VPN na stacji uzyskującej dostęp,
  • SSL VPN – zdobywająca coraz większą popularność technologia dostępu oparta o protokół SSL/TLS, dla której podstawowym klientem połączenia jest przeglądarka internetowa.

 

Wiodące rozwiązania VPN zapewniają oprócz utworzenia szyfrowanego i uwierzytelnianego tunelu, szereg funkcjonalności zwiększających użyteczność i bezpieczeństwo zdalnego dostępu:

  • definiowanie szczegółowych reguł dostępu do zasobów sieci,
  • kontrola konfiguracji stacji roboczej,
  • kompresję danych,
  • obsługę różnych metod uwierzytelniania w zależności od rodzaju dostępu.

Nasi partnerzy w zakresie zdalnego dostępu: Juniper, CheckPoint, PaloAlto

Serdecznie zapraszamy do współpracy!
Jeżeli mają Państwo pytania, prosimy o kontakt na adres: sales@apius.pl
Wszelkie prawa zastrzeżone © APIUS technologies 2011       Projekt i wykonanie: Projekt strony WWW - Artcards / NetSoftware