Firewally nabírají na síle

Výkon firewallů se výrazně zvyšuje, jejich správa zjednodušuje a množství jejich funkcí roste. Na trhu se objevuje


Výkon firewallů se výrazně zvyšuje, jejich správa zjednodušuje a množství
jejich funkcí roste. Na trhu se objevuje řada nových produktů a pro zodpovědné
osoby z firemních oddělení IT nebo z oddělení bezpečnosti je často obtížné
zvolit pro vlastní síť optimální výrobek.
Bezpečnostní systémy již dávno patří zcela samozřejmě ke každé firemní síti.
Tématu zajištění firemních dat se i nadále věnuje řada odborných konferencí a
příspěvků v odborných časopisech. Možná i proto se firewally, podobně jako
např. antivirové programy, které rovněž patří ke standardnímu vybavení
infrastruktury IT podniku libovolné velikosti, nadále velmi dobře prodávají.
Výrobci těchto systémů si přesto musejí uvědomit, že trh někdy zřejmě dosáhne
svého bodu nasycení, který přinejmenším zpomalí nárůst prodejů. Reakce na toto
nebezpečí se přímo odráží v dalším technickém vývoji produktů, který jim má
zpřístupnit nové oblasti použití a nové tržní segmenty.

Nové funkce
V průběhu času se mezi firewally prosadily produkty pracující na aplikační
vrstvě (fungují jako tzv. proxy), které zkoumají nejen jednotlivé pakety z
hlediska záhlaví a obsahu, ale rekonstruují např. také zprávy HTTP, které mohou
být dlouhé několik paketů. Tyto systémy umějí například kontrolovat, zda jsou
dodržovány standardy RFC, zda je používán Unicode, souhlasí délky URL nebo zda
je v přenášených datech obsažen povel, který má provést skript na úrovni roota.
Pokud firmy používají firewally, které se zabývají jak filtrováním paketů, tak
i funkcionalitou na aplikační vrstvě, mají k dispozici i dodatečnou ochranu
proti červům.

Výběr firewallu
Zákazníci si zatím museli vybírat mezi základními firewally, jakými jsou
paketové filtry, a firewally pracujícími na aplikační vrstvě, mezi výrobcem
představujícím jedničku na trhu a jeho konkurenty, případně mezi různými
přístupy k nabídce vysoké dostupnosti. Nyní se však v jejich zorném poli
objevují také další výběrová kritéria v podobě zcela nových zajímavých
vlastností:
Řada firewallů je volitelně k dispozici jako softwarový produkt nebo jako
samostatné zařízení, tedy jako zapouzdřený počítač s vlastním operačním
systémem a softwarem, který je řízen většinou přes webové rozhraní a může být
bez dlouhé instalace snadno připojen do sítě. Problém správné instalace
firewallu přesto přetrvává, ale většinu přístrojů mohou pohodlně dálkově
spravovat poskytovatelé služeb nebo centra správy IT. L
Některé produkty obsahují navíc systém identifikace napadení (IDS Intrusion
Detection System), který zná typické postupy zásahů hackerů a vyvolá alarm,
objeví-li v síti podobné jevy.
Jiné firewally nabízejí funkce kontrolující nezávadnost obsahu (content
security) a to postupem ještě důkladnějším než u firewallu pro aplikační vrstvu
totiž až v úrovni souborů. Tímto způsobem je možné například záměrně zachycovat
makra a skriptové instrukce, které neobjevil virový skener.
Ten, kdo se obává zodpovědnosti za volný přístup zaměstnanců k webu ve firmě,
nebo si myslí, že by jeho spolupracovníci mohli zneužít web a e-maily k
soukromým, či dokonce protizákonným účelům, může použít firewally schopné
provést zablokování vybraných webů, textů a obrázků.
A konečně je toto všechno především ve variantách pro malé sítě k dispozici
také v téměř libovolné, několikanásobné kombinaci. Na první pohled se nové
četné funkce jeví jako vítané obohacení pro zákazníky. Pořízení každého z
uvedených kombinovaných produktů může být skutečně smysluplné, ale na druhé
straně je docela dobře možné, že se zároveň může stát nevítanou překážkou při
budování vlastní bezpečnostní koncepce ve firmě.

Rizika
V ideálním případě se uživatel rozhoduje pro určitý systém podle toho, jakou
potřebu má v té které oblasti. Specifická struktura sítě a aplikace používané
ve firmě mohou například požadovat zvlášť výkonný content security systém.
Třeba pokud si často vyměňuje firemní dokumenty a formuláře s externími
spolupracovníky. Současně by však uživatel možná vystačil jen s levnější verzí
firewallu. Rozhodne-li se však pro kombinované řešení, pak patrně zvolí
dokonalejší kompletní řešení. Jinde zase může mít velký význam identifikace
napadení, protože určitá kombinace serverů a aplikací vytváří ze sítě vysněný
cíl pro programy typu zombie, které hackeři dělají s cílem provedení
distribuovaných útoků typu DoS (Denial of Service, odmítnutí služby). A
zajištění content security tu může být zbytečné. Kombinované produkty se mohou
cenově jevit jako velmi lákavé, ale berou skutečně jen málo ohledu na rozdíly v
požadavcích uživatelů. Jsou tu ovšem i další zádrhely. Například při propagaci
filtrů datových obsahů, které mnozí výrobci firewallů pro své systémy
licencují, se nám prodejci snaží podsouvat srovnatelnost výkonu, která reálně
vůbec neexistuje. V přídavných produktech jsou totiž tak rozdílné technologie,
jako je čistě seznamově orientované blokování nebo povolování přístupu k
určitým adresám, zajištění content security proti neznámým makrům a skriptovým
virům, skutečné textové filtry s nasazením analýzy gramatických struktur nebo
dokonce algoritmů, které s určitou jistotou rozpoznávají pornografické obrázky
na základě barevných odstínů a tvarů. Je přitom zcela zjevné, že kvalita
kontroly a také náročnost jednotlivých postupů je výrazně rozdílná.
Každý z nabízených produktů navíc řeší v zásadě jiný, zcela specifický problém,
a při chybné konfiguraci zabraňuje i žádoucí síťové komunikaci. Instalovat
některý z produktů prostě jen z důvodu podezření, že by snad mohla existovat
příslušná bezpečnostní mezera nebo ohrožení ve vlastní síti, nemá s opravdovým
plánováním bezpečnostních opatření nic společného. Pro software identifikace
napadení (IDS) to platí obdobně: Každý, kdo chce takový systém úspěšně
provozovat, se musí intenzivně zabývat tím, aby uměl rozlišit důležité alarmy v
síti od nedůležitých a úroveň varování nastavit tak, aby správně reflektovala
činnosti ve vlastní síti. Kdo chce mít z přídavných funkcí opravdový užitek,
musí tedy postupovat velice kriticky a musí se umět vyznat v mnoha oblastech
bezpečnosti informačních technologií.









Komentáře
K tomuto článku není připojena žádná diskuze, nebo byla zakázána.