Firewally mění své staré kabátky za novější

Nová role firewallů v ochraně sítí Firewall je dodnes ve většině podniků centrální zábranou proti neoprávněnému ...


Nová role firewallů v ochraně sítí
Firewall je dodnes ve většině podniků centrální zábranou proti neoprávněnému
vniknutí zvenčí. Avšak komunikace přes intranety, Internet a rostoucí obliba
elektronické komerce si vyžadují nové přístupy k ochraně obchodních dat a
systémů před nepovolaným přístupem ze všech stran.
Egon Bohländer, vedoucí úseku telekomunikací v poradenské firmě Gora, Hecken &
Partner, zaměřené na řízení a technologie, považuje za jisté jedno: "Firewally
budou odsunuty na druhé místo jinými bezpečnostními mechanismy, jakými jsou
silná autentizace, šifrování dat a Virtual Private Networks (VPN). Jen tak si
mohou podniky podle požadavků jednotlivých systémů zajistit přiměřenou
bezpečnost." Má tím na mysli komplexní bezpečnostní architekturu, jejímž
středem bude adresářový pool uživatelských a skupinových profilů.
Při této koncepci mohou být pravidla v nich zakotvená podle potřeby zaváděna
sestupně do aktuálních bezpečnostních systémů na druhé úrovni. Existuje však
ještě řada dalších závažných důvodů, pro které se podniky patrně v budoucnu bez
centrálního poolu profilů neobejdou.
Tato centralizace uživatelských profilů vytvoří současně základ pro hospodárná
zahájení jednotlivých transakcí (SSO Single Sign-on). Tato technika umožňuje
ovládat prostřednictvím jediného prvotního hesla (Primary Password), které
uživatel zadá na úvodní obrazovce, přístupy ke všem službám a aplikacím.
Sekundární heslo (Secondary Password) pro vstup do cílových systémů bude
uživateli přiděleno automaticky v pozadí PC "poslepu", aniž by ho uživatel
viděl. "Při této spolehlivé metodě bude firewall i se svým spektrem úkolů
vytlačen do druhé linie," tvrdí Bohländer. "V této moderní bezpečnostní
architektuře připadne firewallu jen úkol zajišťovat ověřování v případě, že
autentizace není dostatečná nebo že SSO nesedí, například v důsledku
chybějících adresářových struktur a uživatelských profilů." Takovými službami,
kde firewallům zůstane jistě opodstatnění, jsou podle Bohländera FTP, TELNET a
SMTP.
Centralizací profilů a zavedením SSO vytvoří podnik v obvykle heterogenním
systémovém prostředí správnou základnu pro bezpečnou infrastrukturu veřejných
klíčů (PKI). Certifikáty pak budou moci později převzít úlohu primárního a
skrytého sekundárního hesla. Bohländer předpokládá, že v důsledku funkčního
podřízení a omezeného rozsahu úkolů firewally v blízké budoucnosti přestanou
být centrální hradbou a uplatní se již jen jako osobní ochrana, distribuovaná v
síti na klienty.
Průnik s praxí
Někteří výrobci již zareagovali a změněné podmínky zapracovali do své
strategie, jiní zůstávají dále věrni starému konceptu. Na dobré cestě ke
komplexní bezpečnostní architektuře a k novému pochopení úlohy firewallu je mj.
firma Checkpoint Software. Profily z adresářů systémů jako NetWare, Windows NT
nebo Windows 2000, Notes a Linux je možno již ukládat via LDAP 3 v
proprietárním adresáři na centrálním řídicím serveru. Z něho se mohou
specifická uživatelská a skupinová pravidla zavádět sestupně do jednotlivých
systémů vedle "Checkpoint One" firewallu pro správu šířky pásma a internetových
VPN.
Také protokoly ve formátu X.509 se dají v této konstelaci použít pro
spolehlivou kontrolu přístupu. Pro integraci v jediné architektuře PKI jsou
podporována všechna důležitá řešení, která jsou na trhu, jako např. od Entrust,
Baltimore, iD2 a Verisign. Naopak chybí vážně pojatý model SSO. Určitý druh SSO
je možný jen vůči NetWaru, přičemž v tomto případě je dotaz směrován pouze na
Novell Directory Services.
Vědoma si toho, že nabízí jen jeden segment celé palety bezpečnostních systémů,
podílí se firma Checkpoint Software na sdružení "Open Plattform for Security",
k němuž patří 230 výrobců z oborů bezpečnost, infrastruktura, operační systémy,
aplikace a správa systémů. "Přes společně definovaná rozhraní se mohou
bezpečnostní pravidla již nyní exportovat do několika nadřazených adresářů,
např. od firem Tivoli Enterprise, CA Unicenter, TNG a BMC Control-SA nebo
obráceně mohou být zahrnuta do vlastního adresáře řídicího serveru," konstatuje
Thomas Winter, regionální technický manažer Checkpoint Software. Tento výrobce
se ofenzivně soustřeďuje na osobní firewally. "Naším prvním krokem bude
definovat pravidla osobní bezpečnosti pro klienty SMTP, POP3 a HTTP." Potom se
budou klientům postupně předávat všechny potřebné funkce firewallu.
Firma Bullsoft je již od začátku zaměřena na komplexní správu bezpečnosti.
Divize Bull nabízí nejen firewally, ale komplexně všechny systémy pro vytvoření
bezpečnostní strategie: silnou autentizaci, autorizaci, šifrování dat i PC až
po rozhraní, na která pak mohou být přivedeny všechny důležité architektury
PKI, které jsou na trhu. Pro soustředění uživatelských profilů na řídicím
serveru se nabízejí agenti pro NetWare, Windows NT, Windows 2000, AIX, Solaris,
HP-UX, OS/2 a OS/ /390. Také PKI je možná ve spojení se všemi těmito operačními
systémy.
"Firewall získá potřebná pravidla z centrálního adresářového poolu se stejným
oprávněním jako ostatní bezpečnostní systémy," popisuje status quo firewallu v
produktu "Access Master" Norbert Drecker, konzultant firmy Bullsoft. Tím
dostane architektura správné perspektivní zaměření. K tomu, zda bude centrální
koncept v budoucnu postupně nahrazen osobními firewally na klientech, se
Drecker nechtěl vyjádřit. Z toho lze vyvodit, že výrobce v tomto směru v
nejbližší době žádné kroky neplánuje.
Zůstane při starém?
Žádnou aktivitu ve směru ke komplexní bezpečnostní architektuře nelze pozorovat
u firmy Utimaco. Tato firma nedávno převzala specialistu na firewally v
Cáchách, firmu Kryptokom. Norbert Pohlmann, bývalý jednatel Kryptokomu a nyní
předseda představenstva Utimacu, odpovědný za marketing a poradenství, přikládá
firewallu nadále úlohu centrální zábrany. Přesto se firma hodlá angažovat i v
oblasti osobních firewallů, které však podle Pohlmanna mají smysl jen u
přenosných počítačů.
Firewally tedy zůstávají nadále hlavní náplní činnosti firmy Utimaco, a to i
pokud jde o řešení pro autentizaci. Vlastní produkty pro PKI firma podle
Pohlmanna již vyvinula, a to včetně čipkarty, RA a CA. Tento výrobce vidí svoji
budoucnost v tom, že se se svým řešením, jehož osou je firewall, prosadí mezi
architekturami založenými na PKI, jako jsou produkty firem Entrust, Baltimore,
iD2 a Verisign. Pohlmann nevidí naproti tomu žádný důvod, aby napodoboval
bezpečnostní architektury dodavatelů jako Tivoli, Computer Associates a
Bullsoft.
Pohled na aktuální techniku ukazuje jasně, že chybí možnost centralizovat
uživatelské a skupinové profily. Tím také chybí možnost napojení na komplexní
bezpečnostní architekturu. Produkty firmy Utimaco umožňují pouze správu řešení
na bázi firewallu a v součinnosti s ním pak správu internetových VPN. Přesto se
mají do konce roku objevit další dílčí mechanismy, jako jsou bezpečná správa
systémových zdrojů, šifrování PC, souborů a e-mailu. Utimaco jistě přijde potom
na trh také s řídicím serverem pro ukládání uživatelských a skupinových profilů
do paměti, aby, byť se zpožděním, vyhovělo architektonickým požadavkům trhu a
možná i přehodnotí svůj postoj k dodavatelům komplexních bezpečnostních
architektur.

0 1411 / pen
Slovník zkratek
CA Certification Authority (certifikační autorita)
FTP File Transfer Protocol (protokol přenosu souborů)
PKI Public Key Infrastructure (infrastruktura veřejných klíčů)
LDAP Light Weight Directory Access Protocol
POP Point of Presence (přístupový bod poskytovatele služeb)
RA Registration Authority (registrační autorita)
SMTP Simple Mail Transfer Protocol (protokol pro přenos pošty)
SSO Single-Sign-on (jedno společné přihlášení pro více služeb)
VPN Virtual Private Network (virtuální privátní síť)

Očekává se boom bezp. softwaru
Analýza amerického trhu, provedená nedávno agenturou Frost & Sullivan, ukázala,
že se dodavatelé firewallových systémů soustřeďují na nový segment trhu
bezpečnostních produktů. Jestliže firewally byly dosud spíše záležitostí
velkých podniků, nyní začínají i střední a malé firmy zjišťovat nutnost
používání bezpečnostní zábrany, a to přes velké cenové zatížení, které tak
vznikne. Dodavatelé podle analýzy Frost & Sullivan vycházejí podnikům vstříc
přiměřeně zeštíhlenými produkty.
Tržní analytici předpovídají bezpečnostnímu softwaru boom. Předpokládají, že
evropský obrat, který v roce 1998 činil 1,3 miliardy dolarů, bude doslova
explodovat na více než 24 miliardy dolarů v roce 2005. Jako podstatné hnací
síly tohoto vysokého růstového potenciálu vidí Frost & Sullivan integrovaná
bezpečnostní řešení, internetové VPN a PKI. U firewallového a antivirového
softwaru počítá tato analytická firma naopak s paralelním poklesem obratu.









Komentáře
K tomuto článku není připojena žádná diskuze, nebo byla zakázána.