Kam směrují firewally?

6. 4. 2015

Sdílet

 Autor: © Tommi - Fotolia.com
Firewally byly v posledních desetiletích ochráncem internetu založeným na práci s porty. Dodavatelé ale nyní už vytvářejí tzv. firewally nové generace (NGFW), které zohledňují samotné aplikace, protože dokážou sledovat a řídit přístup na základě používání aplikací.

Kromě zohlednění aplikací se do mnoha firewallů přidává stále více funkcí, které zahrnují systémy IPS (systémy prevence narušení), filtrování webových stránek, VPN, systémy DLP (prevence úniku dat), filtrování malwaru a dokonce systém detekce hrozeb pomocí tzv. karanténního prostoru pro odhalování útoků nultého dne. Pokud jde o samostatný systém IPS, i některé z nich lze už nazývat „IPS nové generace,“ -- z důvodu jeho řízení aplikací.

Dodavatelé  firewallů a systémů IPS se snaží udržet náskok před ostatními při snaze o stále vyšší propustnost, aby se uspokojila potřeba rychlosti, jak virtualizovaná datová centra vyžadují stále větší šířku pásma ochranných prvků.

Výrobci touží po uznání od Gartneru nebo soupeří o vítězství s konkurencí v technických hodnoticích testech, jako jsou například testy laboratoří NSS Labs nebo Neohapsis Labs. Nakonec však jde o získání přízně kupujících. Potvrzuje to Rusty Agee, inženýr zabezpečení informací v americkém městě Charlotte, které využívá širokou řadu firewallů.

„Firewally i IPS systémy se vyvíjejí,“ uvádí Agee, „ ale pokud jde o jejich funkce a rychlost, vždy hledám něco lepšího.“

Virtualizace datového centra, zvýšené používání mobilních zařízení a vyhlídka, že zmíněné město akceptuje trend BYOD (používání vlastních zařízení pro firemní účely), jsou některé z důvodů, proč Agee zůstane otevřený novým možnostem ochrany dat. Zdejší požární a policejní okrsky začaly už ve velké míře používat tablety a smartphony a nyní zvažují možnost přechodu k BYOD, poznamenává Agee.

Zaměstnanci, kteří používají mobilní zařízení, využívají klienta Cisco AnyConnect k navázání připojení pomocí sítě VPN k městskému firewallu Cisco ASA, uvádí Agee. Spolu s dalšími firewally Cisco a samostatným zařízením Cisco IPS město využívá také firewally Check Pointu a samostatné produkty IPS k ochraně přenosů důležitých serverů, datových center, přístupu k internetu a metropolitní bezdrátové sítě.

Tím však seznam firewallů a IPS od více dodavatelů v městské síti nekončí. Město má také firewall nové generace od společnosti Palo Alto Networks pro sledování a kontrolu používání aplikací zaměstnanci.

Navíc se používá aplikační firewall F5 Networks ke sledování útočných přenosů vůči webovým serverům města. Agee uvádí, že mají centralizovanou správu protokolů pro tato bezpečnostní zařízení a využívají pro to produkt SIEM (Security Information and Event Management) od společnosti LogRhythm.

„Naše firewally nasypou do produktu LogRhythmu stovky tisíc logů denně,“ popisuje Agee a dodává, že jejich samospráva také občas dostává data týkající se bezpečnostních upozornění z celostátních bezpečnostních center.

Centralizace výsledných protokolů z firewallů a systémů IPS spolu s protokoly ze serverů tak pomáhá bezpečnostnímu personálu stanovit z jediného místa případný síťový problém, který může představovat útok nebo problém související s webem města, který by lépe zvládlo personální oddělení nebo jejich management.

Použití tak rozsáhlé kombinace firewallů různých dodavatelů v jedné organizaci je ale spíše výjimkou než pravidlem. Greg Young, analytik Gartneru, uvedl na loňské konferenci Gartner Security and Risk Management, že jejich firma registruje u většiny organizací spíše nasazení produktů od jednoho dodavatele.

Pokud jde o novou generaci firewallů, kterou mimochodem Gartner velmi doporučuje implementovat, odhaduje se, že dnes používá NGFW méně než 10 % organizací. Očekává se ale, že toto číslo během pěti let vzroste až nad hranici 30 %.

Young také poznamenal, že je zřejmé, že SSL VPN se úplně přesouvá do firewallu a podoba produktů SSL VPN formou samostatných zařízení zřejmě skončí.

Zdá se tedy, že firewally a IPS mohou existovat téměř kdekoliv. Jedním z příkladů je Fortinet Secure Wireless LAN – v podstatě bezdrátový přístupový bod a přepínač integrovaný do zařízení UTM (jednotná správa hrozeb) s funkcemi firewallu a IPS.

John Maddison, viceprezident marketingu společnosti Fortinet, uvádí, že je oblíbený zejména v obchodních řetězcích, kde je ekonomickou variantou pro získání bezdrátového pokrytí a současně zabezpečení.

Řetězec restaurací Jack-in-the-Box zase nedávno ve stovkách svých provozoven nasadil 650 zařízení FortiWiFi-60CS, která kombinují bezdrátový přístup s firewallem a funkcí IPS.

Jim Antoshak, jejich ředitel IT, prohlašuje, že starší bezdrátové body v restauracích mohou už bez obav vyřadit a že zařízení Fortinet jim dává přínosnou kompaktní kombinaci technologií bezdrátových sítí a zabezpečení.

 

Argument?

Jedna z diskuzí se ale točí kolem dvou hlavních otázek: Je víceúčelové zařízení kombinující firewall a IPS stejně účinné jako samostatná řešení? A co modul zabezpečení v přepínači nebo směrovači?

Společnost HP, podobně jako Cisco nebo Juniper, nabízí bezpečnostní moduly s funkcí firewallu a IPS, které mohou pracovat v jejích přepínačích a směrovačích.

Rob Greer, viceprezident a generální ředitel produktů podnikového zabezpečení v divizi HP TippingPoint, však tvrdí, že pokud jde o systémy IPS, vidí HP hlavní nasazení v podobě vyhrazených, samostatných zařízení.

Poznamenává, že pro příští generaci systémů IPS, zohledňujících aplikace, to HP obecně považuje z hlediska výkonu a podrobného nastavení za nejlepší přístup.

Mike Nielsen, hlavní ředitel pro zabezpečení sítě a marketing produktů ve společnosti Cisco, zase prohlašuje, že drtivá většina jejich produktů z oblasti firewallů a IPS jsou „vyhrazená bezpečnostní zařízení“.

Například produkt ASA 5585-X Series v její řadě produktů Adaptive Security Appliance má propustnost firewallu o hodnotě 40 Gb/s. Nielsen uvádí, že v režimu IPS tato hodnota činí až 80 Gb/s při současném využívání funkce zohledňující řízení aplikací.

To je podle něj hlavní prvek, který umožňuje používat pro takový produkt název „firewall příští generace“ podle definice Gartneru.

Jason Brvenik, viceprezident strategie zabezpečení ve skupině technologického výzkumu společnosti Sourcefire, kterou nedávno koupilo Cisco, tvrdí, že „specializovaná zařízení přinášejí svobodu, abyste mohli reagovat na nejnovější vývoj hrozeb“.

Fred Kost, ředitel produktového marketingu společnosti Check Point, zase uvádí, že zákazníci vyžadující vysokou propustnost a nízkou latenci obvykle volí vyhrazená provedení. Poukazuje však na to, že zákazníkům z malých až středně velkých firem často stačí víceúčelové brány firewall a zařízení UTM (jednotná správa hrozeb).

bitcoin_skoleni

 

Kompletní článek zahrnující spoustu dalších poznatků, trendů a zajímavostí jste si mohli přečíst v Security Worldu 1/2014.