Nové možnosti definice pravidel na firewallech

Je až s podivem, jak málo toho tradiční firewally umožňovaly. Máme např. krátkodobého externího spolupracovníka, který přistupuje přes VPN, tak proč mu zakládat účet ve firemním Active Directory? Možnost definovat dvojí možnost autentizace by bylo jistě výhodou.


Potřebu identifikace konkrétního uživatele při monitoringu sítě a při analýze žurnálů není potřeba dvakrát zdůrazňovat, stejně jako není třeba obhajovat vhodnost definice pravidel na síťových prvcích tak, aby vycházela z potřeb konkrétních uživatelů nebo jejich skupin. Je až s podivem, jak málo doposud tradiční firewally toto umožňovaly.

 

Přitom zejména v menších organizacích (obvykle bez jasně daných bezpečnostních pravidel) by striktní uplatnění politiky, jen dle identity uživatele a možnost doplnění žurnálů taktéž o identitu uživatelů, ušetřilo administrátorovi spoustu času. Ruku na srdce -- ve firmách do 50 uživatelů je situace často taková, že administrátor nemá na pravidelné režijní činnosti ani 20 minut denně.

 

Způsoby ověřování

Je několik způsobů jak je možné ověřit identitu uživatele, například oproti MS Active Directory (AD) serveru, případně přes protokoly LDAP/RADIUS a v neposlední řadě pak proti interní databázi firewallu.

Nabízí se otázka: mám krátkodobého externího spolupracovníka, který přistupuje přes VPN, tak proč bych mu měl zakládat účet ve firemním Active Directory? V tomto případě možnost definovat dvojí možnost autentizace by bylo jistě výhodou. Pak by interní uživatelé mohli být ověřováni proti AD a externí pracovník by měl statický účet přímo na zařízení.

Stejně tak by molo být možné definovat tzv. clientless uživatele, tj. účty pro zařízení, která se identifikovat nemohou, ale i pro ně bychom rádi definovali pravidla per identita (Internet Access Policy, Bandwidth Policy). Typicky se jedná o servery, síťové tiskárny atp., a to s vazbou na IP adresu, na rozsah adres, případně pak na MAC adresu.

Jak rostou rychlosti připojení k internetu, rostou zároveň i nároky uživatelů. Co si budeme nalhávat, ne vždy obsah stahovaný z internetu odpovídá pracovní náplni. Ale jak tomu zabránit?

 

URL filtrace

Jednou z možností je použití URL filtrace, která daným uživatelům zpřístupní jen weby spojené s jejich pracovní pozicí, případně dovolí chvíli oddechu o pauze na oběd. Na druhou stranu je třeba zohledňovat odlišnost potřeb různých uživatelů -- čili identitu daného uživatele.

Rychlost připojení k internetu mohou dále výrazně ovlivnit aplikace. Různé P2P softwary mohou mít zásadní vliv na propustnost, nehledě na možnost úniku dat. S rozvojem komunikace přes internet se navíc staly populárními nejrůznější on-line „kecátka“, která ve většině případů také umožňují zasílání souborů. Zde by přišlo vhod mít možnost tento přenos zakázat, případně povolit na určené kontakty. Jak již bylo zmíněno výše, některým uživatelům bychom do provozu zasahovat neměli, z čehož opět plyne nutnost definic pravidel na uživatele/skupinu.

 

Možnosti správy

Jednou z věcí, s kterou se setkal asi každý administrátor, je hlášení typu „nejde nám internet“! V tomto okamžiku by nám nejvíce pomohl nástroj, který by nám přehledně ukázal, co který uživatel dělá, respektive jaké služby využívá a jak se projevují na celkovém provozu.

Poté, co zjistíme, který uživatel otevírá velká množství spojení, případně stahuje velký objem dat, můžeme účinně zakročit. Případně tím odhalíme nekalý software v jeho počítači, který tento provoz mohl generovat bez uživatelova vědomí.

Jednou z dalších možností, jak uživatele regulovat v přístupu na internet, je řízení šířky přiděleného pásma.

Poměrně častým požadavkem na správce bývá také přehled toho, co se v síti za určité časové období událo. Řekněme, že máme menší firmu v lokalitě, kde jedinou možností je ADSL připojení.

Vedení firmy se rozhodlo ušetřit, a proto je jejich připojení omezeno objemem přenesených dat. A najednou po dvou týdnech je na přípojku uplatněno pravidlo FUP a vedoucí chtějí vědět, proč.

Nejsnazším prostředkem, jak zjistit, kdo se na tomto stavu podílel, je reportovací nástroj. Zvolíme si dané časové období - a viník je hned vidět. Potom už je mnohem jednodušší sjednat nápravu. Jistě potěší přehledové grafy, ze kterých se zjistí, kdo a jakým způsobem využívá připojení do internetu.

 

Závěrem

Identita uživatel, ačkoliv v minulosti v pravidlech na firewallu často opomíjená, ve spojení s dostatečně modulárním nastavením přináší široké možnosti využití. Jednak při definování pravidel a přístupů, ale i následně při sledování živého provozu, případně při zpětném vyhledávání.

 

Autor pracuje jako Country Head ve společnosti Cyberoam.

Tento článek vyšel v tištěném SecurityWorldu 3/2010.












Komentáře