Check Point stop aplikačním rizikům

Firewally na aplikační (sedmé) vrstvě obvykle využívají několik aplikačních proxy, které sídlí mezi servery a kon...


Firewally na aplikační (sedmé) vrstvě obvykle využívají několik aplikačních
proxy, které sídlí mezi servery a koncovými body. Každá z proxy je typicky
dedikovaná pro určité protokoly, specifické aplikace nebo určité útoky, což
dovoluje firewallům na sedmé vrstvě kontrolovat pakety využívající komplexní
protokoly, jako je SIP (Session Initiation Protocol), H.323 a SOAP. Proxy
rozhodují o tom, zda provoz vypadá podezřele; v takovém případě jsou příslušné
pakety zahozeny.
Jelikož firewally na sedmé vrstvě fungují zcela jinak než tradiční stavové
firewally, většina z nich je navržena jako doplněk stávajících instalací
firewallů. Avšak řešení Check Point dovoluje implementovat ochranu aplikační
vrstvy na stejném počítači, který se stará o zabezpečení druhé a třetí vrstvy.

SmartDefense
Aplikační proxy jsou součástí firewallového softwaru firmy Check Point od verze
4.0. Nejnovější NGAI (Next Generation with Application Intelligence) verze
kombinuje Firewall-1/VPN-1 s nástrojem SmartDefense. Výsledkem je vysoce
efektivní ochrana vůči většině útoků nejen na síťové, ale i na aplikační
vrstvě. Firmy využívající web pro kritické aplikace by však měly zvážit další
bezpečnostní opatření, například plné aplikační proxy od dodavatelů jako KaVado
či Sanctum.
Společnost Check Point nám dodala k otestování předinstalovaný hardware, který
jsme vyzkoušeli v Advanced Networking Computing Laboratory na University of
Hawaii. Box sestával ze SuperMicro šasi montovatelného do racků spolu s
Firewall-1/VPN-1 běžícími na "ořezané" linuxové platformě. K prověření
schopností SmartDefense na sedmé vrstvě jsme využili Spirent WebAvalanche 220,
konkrétně k simulaci řady variant DoS útoků. SmartDefense nejenže překazila
známé i neznámé útoky, ale udržela i vysokou úroveň výkonu dokonce i během
útoků. Zdá se tedy, že firmě Check Point se zdařilo překonat úzká místa, která
byla problémem aplikačních proxy od jejich samého počátku.

Stavíme zeď
K základnímu nastavení stačilo nabootovat z dodaného CD a projít řadu dotazů
týkajících se konfigurace. Obzvláště se nám líbil způsob, jímž Firewall-1
vytváří interní certifikační autoritu (CA), která dovoluje nastavit SSL
připojení, aniž by bylo nutno zakoupit certifikáty třetích stran, jako je např.
VeriSign.
Po dokončení základní konfigurace nám zbývá pouze jedno doporučení: prostudujte
si manuál. Snažit se nastavit Firewall-1 tak, jak jste tomu byli možná zvyklí u
jiných firewallů, by bylo chybou. Můžeme to s jistotou říci, neboť jsme si tím
sami prošli a dočasně jsme proměnili firewall na "těžítko".
Pod slupkou instalační rutiny zjistíte, že Check Point zahrnul mnoho
pokročilých funkcí, jako například přítomnost více shellů pro přihlášení
sloužící k provádění každodenních administračních úkolů, stejně jako "expertní"
režim, jenž zpřístupňuje základní linuxové funkce. Současně to ale pro
uživatele znamená, že má k dispozici více způsobů, jak se dostat do problémů.
Expertní režim nám přesto umožnil zahájit proces vyhledávání a odstraňování
problémů, který nám pomohl Firewall-1 znovu oživit a učinit z něj produktivní
zařízení.
Zde bychom chtěli upozornit na další rozdíl mezi Firewall-1 a konkurenčními
produkty: Koncept DMZ (demiliterizovaná zóna) není ve světě produktů Check
Pointu příliš využitelný; každý hostitelský počítač je buď interní, nebo
externí. Check Point umožňuje manuálně definovat počítače za libovolným
rozhraním a nastavit či zakázat pro ně NAT (překlad adres), přičemž je navíc
možno využít u každého rozhraní různé NAT podsítě. Ačkoliv lze nastavit
Firewall-1 tak, aby kontroloval provoz na různých virtuálních sítích (VLAN),
výrobce doporučuje zůstat u kontroly trunkovaného provozu a pro jeho rozdělení
na jednotlivé VLAN využít přepínač umístěný za firewallem.

Bezpečnost pod kontrolou
Jakmile zvládnete výukovou křivku, budete příjemně překvapeni schopnostmi
řešení Check Point Enterprise v oblasti správy. Například SmartView Tracker
nabízí takovou úroveň výstupních pohledů, že se vám může zdát množství
informací až zdrcující, dokud se ovšem nesoustředíte na to, jakým způsobem jsou
data organizována. V první větvi stromu zpráv vidíte seznam veškerých paketů,
které prošly systémem; postupně stále detailnější záložky umožňují pohled pouze
na VPN provoz, VoIP (voice over IP), webový provoz nebo na libovolný jiný
provoz zablokovaný filtrem na sedmé vrstvě.
Celkově se naše testování obešlo bez problémů, což nás mimořádně překvapilo.
Jak jsme očekávali, po zahájení testu pomocí útoků typu DoS se určitý provoz
přes firewall dostal. Ale spolu s tím, jak technologie SmartDefense rozpoznala
v sekvenci paketů útoky Denial of Service, začala s jejich blokováním. Přestože
nastavená pravidla povolovala libovolný příchozí i odchozí provoz, software
Check Pointu rozpoznal generované útoky a zablokoval je.
A navíc výkon zůstal na vynikající úrovni, ať se stroj nacházel pod útokem nebo
ne. Přitom zařízení WebAvalanche, který jsme využívali k testování, bylo
schopno generovat právě tolik provozu, aby bylo saturováno fastethernetové
připojení. Jelikož taková šířka pásma vysoce přesahuje kapacitu linky, jíž je
většina organizací spojena s vnějším světem, zdá se to dostatečné. Avšak
dokonce i při nejsložitějších sekvencích DoS útoků nikdy nedošlo k výpadku
Firewall-1. Schopnosti Firewall-1/VPN-1 a SmartDefense na nás skutečně udělaly
dojem. Tato kombinace je schopna s přehledem zvládnout standardní úrovně
provozu dosahované ve firmách. Přestože jsme v minulosti kritizovali složitost
softwaru firmy Check Point, musíme připustit, že od té doby došlo k ohromnému
pokroku. Pokud jste ochotni vynaložit určité úsilí, vůbec nebudete potřebovat
pomoc technika výrobce k nastavení a správě tohoto zařízení.

Check Point Enterprise
+efektivní a snadno spravovatelné řešení i na sedmé vrstvě
-vyšší cena
Prodejce: DNS, www.dns.cz
Cena (bez DPH): 21 000 dolarů pro neomezený počet uzlů (zahrnuje také nástroje
pro management, správu šířky pásma a VPN klienty);
recenzovaný nástroj SmartDefense je možné získat již v produktu Check Point
Express s cenou od 3 500 dolarů pro 1 lokalitu/50 uživatelů

Komentáře
K tomuto článku není připojena žádná diskuze, nebo byla zakázána.