Kerio ServerFirewall 1.1.1: Osobní ochrana serveru

Společnost Kerio Technologies, jejíž plzeňské "vývojové laboratoře" se mají čile k světu, nabídla zhruba před pů...


Společnost Kerio Technologies, jejíž plzeňské "vývojové laboratoře" se mají
čile k světu, nabídla zhruba před půlrokem zákazníkům nejen první verzi (1.0)
zcela nového produktu, ale zároveň v podstatě úplně novou kategorii
bezpečnostních softwarových řešení. Koncepce personálního firewallu, v
posledních letech stále potřebnější a populárnější, tak dostává další, velmi
zajímavý rozměr.

V poslední době všeobecně přijímaná myšlenka, že klasický model
"demilitarizované zóny" při ochraně vnitřního síťového prostředí je dnes v
podstatě na pokraji svých sil, zdaleka není nijak převratná: vzpomeňme známou
přednášku Steva Rileyho s názvem "Smrt DMZ", poukazující na fakt, že bez
hloubkové ochrany síťového prostředí si již dnes nevystačíte. Řada výrobců tak
v průběhu několika posledních let na koncepční posun reagovalo záplavou
produktů typu "personal firewall", jejichž úkolem bylo detailně chránit koncové
stanice uživatelů, zabránit případnému napadení (především červy či trojskými
koňmi) a následné infekci "zevnitř" firemního prostředí.
Společnost Kerio (sama dobře známa jak svým personálním firewallem, tak
klasickým firewallem a poštovním serverem) však dovedla myšlenku o krok dále a
zařadila do svého portfolia další logickou součást: Kerio ServerFirewall (KSF).
Jedná se v podstatě o personální firewall pro počítače, jež plní funkci serverů
a na nichž běží operační systém Windows v serverové variantě.

Bezpečnostní mechanismy
Jak je z výše uvedených souvislostí i z názvu jasně patrné, oporou aplikace je
samozřejmě klasické filtrování síťové komunikace. Výsledná ochrana vzniká jako
kolekce nastavení ve formě síťových politik ve spojení s posílením ochrany
konkrétních běžících aplikací či služeb operačního systému. Třetím ochranným
prvkem je pak prevence před dobře známými síťovými útoky, založená na včasném
rozpoznání podezřelého chování dle souboru zavedených vzorků.
Koncepce firewallu je jednoznačně spjata s prací jednotlivých běžících procesů:
při sestavování filtrovacích politik pracuje administrátor nejen s tradičními
údaji, jako jsou typy síťových protokolů či využívané porty, ale součástí
každého pravidla je rovněž výslovné vyjmenování aplikací (služeb), jež budou
moci takto definovaný kanál využívat. Tím je minimalizována potenciální hrozba
zneužití otevřených přístupových míst. Při sestavování pravidel lze samozřejmě
využívat i tradiční parametry jako jsou směr komunikace, typ protokolu,
zdrojová a cílová adresa (či jejich sada) a příslušná akce. Pravidlo lze tedy
vytvořit nejen jako propouštěcí, ale též explicitně zamítací ("zahazovací").
Těsně navazujícím krokem, jenž může výrazně koncept síťové ochrany posílit, je
tzv. application hardening (dodatečné "zpevnění"). I v této části je ochrana
postavena na souboru pravidel, které administrátor sestavuje a přiřazuje
existujícím programům a službám. Každému procesu běžícím na serveru lze zakázat
spuštění jakýchkoliv dalších souborů (process spawning), modifikaci jiných
spustitelných komponent (executable files protection) či zásahy do obzvláště
citlivých částí operačního systému (system tampering). Aby restrikce
nepřinášely snížení provozuschopnosti, lze u všech tří typů omezení jmenovitě
definovat výjimky. Tato koncepce dovoluje připravit opravdu těsný ochranný
"krunýř", obzvláště ve spojení s detailně sestavenými firewallovými pravidly.
Třetím, výrazně méně ovlivnitelným modulem je prevence před dříve popsanými,
specifickými typy síťových útoků (intrusion prevention). V tomto případě se
administrátor, možná ku škodě věci, dostává do role "vypínače" některého ze
zhruba tří desítek pravidel, jež jsou v produktu napevno zavedena a nenabízejí
žádnou další konfiguraci. Bezesporu jde o cennou dodatečnou ochranu, ale
alespoň některé z položek by si určité možnosti konfigurace jistě zasloužily.
Například obecné pravidlo "Port scan" působí trošku tajemně a nevyzpytatelně,
na druhou stranu jiná řeší jasně definované hrozby, kde není slitování na
místě. Jedinou volbou je zde tak vedle deaktivace pravidel jako celku zapnutí
či vypnutí jejich "logovací" aktivity. Je namístě zmínit, že kolekce
rozpoznávaných podezřelých aktivit není definitivní, ale dochází k jejímu
rozšiřování při průběžné aktualizaci celého produktu.
Na závěr této části dodejme, že důležitou funkcí, na níž tvůrci nezapomněli, je
ochrana operačního systému v průběhu bootovacího procesu, kdy jsou před
"nastolením" důsledné filtrace síťové služby blokovány.

Administrace
Kerio SeverFirewall je moderním produktem nejen svou koncepcí, ale i ovládáním.
Rozhraní je realizováno jako dynamická webová aplikace, přičemž správa
veškerých nastavení je zpřístupněna až po autentizaci uživatele. Samotný
"ovládací" kanál je zabezpečen tunelem SSL se serverovým certifikátem. KSF
využívá buďto režim ověření administrátora dle platných interních účtů ve
Windows, nebo dovoluje aktivovat vlastní, speciální účet. Samotná koncepce
"webového" rozhraní je podřízena cíli zpřístupnit správu po síti odkudkoliv,
takže lokální administrace není nutná.
Snazší správě napomáhá řada užitečných drobností. Při definování nových
pravidel firewallu či podmínek běhu aplikací si lze vypomoci jednoduchými
průvodci, jež jemně propojují logiku jednotlivých nastavení, a kompletní
konfiguraci lze exportovat i importovat do záložního souboru. Samozřejmostí je
již výše zmíněný aktualizační systém, kontrolující nové možnosti vydané
výrobcem.
Nezbytnou součástí produktu tohoto typu je vytváření podrobných záznamů
činnosti (logů), jež jsou nezávisle generovány pro všechny tři ochranné
subsystémy a dále pro chybové stavy a ladící informace (debugg) samotného
programu. Kromě vyčerpávajícího reportingu provozu je na těchto záznamech velmi
užitečná ještě jejich "interaktivita". Na základě "odchyceného" záznamu lze
totiž díky kontextové nabídce spustit dialog pro definici nového pravidla, což
výrazně usnadňuje práci. Ačkoliv jsme dlouho hledali, tak právě v tomto menu
jsme nalezli možnost přesměrování záznamů na server populární služby Syslog.
V neposlední řadě si dovolíme zdůraznit, že k produktu je k dispozici výborně
zpracovaná dokumentace, zahrnující rovněž kolekci ukázek typických nastavení
pro různé serverové role.

Verze 2.0.0 beta 4
Ačkoliv již samotná koncepce produktu je dostatečně zajímavá, výrobce nespoléhá
na současný stav a pracuje na jeho dalším vývoji. V čase našeho redakčního
zpracování byla k dispozici námi též úspěšně zprovozněná testovací verze 2.0.0
beta 4, v níž byly patrné dvě zásadní změny, respektive rozšíření. První z nich
je implementace centrální správy, jejímž prostřednictvím lze sledovat a ovládat
větší množství chráněných serverů, které také mohou podléhat centrální
politice. Druhé funkční rozšíření spočívá v posílení modulu ISP (intrusion
prevention) o ochranu HIP (host intrusion prevention), jejímž úkolem je bránit
útokům typu přetečení vyrovnávací paměti (buffer overflow) či podstrčení
programového kódu (code injection). Zajímavá budoucnost je tomuto produktu tedy
bezesporu zajištěna.









Komentáře
K tomuto článku není připojena žádná diskuze, nebo byla zakázána.