Krabičky zajištující spojení ušly pořádný kus cesty

8. 7. 2008

Sdílet

Spornou otázkou při řešení hrozeb je přístup ke spamu jako specifickému druhu nevyžádaného provozu. Někteří výrobci se chlubí antispamovou funkcionalitou na bránách, obvykle ale nejde o nic jiného než o různé implementace blacklistu.

Od konce minulého století do současnosti ušly krabičky zajištující spojení se světem pořádný kus cesty. Úkolem původních zařízení strážících hranice firemních LAN bylo především zajistit připojení do internetu - směrování, přístupová pravidla apod. a jakési zabezpečení bylo spíše volitelnou funkcí, které obsahovalo nanejvýš překlad adres. Bezpečnostní mechanizmy v těchto bezstavových firewallech obsahovala jen základní popis co a kam bez možnosti podrobnějších nastavení. Tento druh firewallu byl „oblíbený“ především u správců FTP serverů.

První z metod kontroly provozu se stal stavový firewall, který prohlíží hlavičky paketů a podle kombinace zdroje, cíle a portu určuje zda paket zpracuje, odmítne nebo zahodí. Pravidla se nastavují pouze ve směru, z kterého očekáváme první paket, firewall si sám udržuje tabulku aktivních spojení a relevantní provoz si již odvodí, což usnadnilo život síťového admina. Nepsaným pravidlem se stala politika zahazující všechny pakety neodpovídající pravidlům a zpracovávání paketů určené pořadím pravidel.

Stavový firewall řeší přesně to, co se od něj očekává, tedy pouze rozhoduje, který provoz do sítě propustí a který nikoli. Ale s tím, jak internet a internetové služby vtrhly do doposud poklidného světa LAN, se tento předpoklad ukázal jako lichý. Protože při obraně proti hrozbám z internetu je rychlost záplatování známých děr prvním předpokladem přežití, je třeba dostatečně rychle záplatovat firemní servery. To zase může být vzhledem k „rozmazlenosti“ vnitropodnikových aplikací problematické, a proto internetové brány dostaly úkol. Tím se stala kontrola vstupujícího provozu na známé hrozby. To ale znamená kontrolu nejenom hlavičky, ale celého paketu a tedy vyžaduje několikanásobný výpočetní výkon.

Po nějaké době se v provozu objevily brány s vyšším výkonem, které dokázaly alespoň některé hrozby samy řešit – dodnes se používají brány s vestavěným antivirovým enginem, které stejně jako jejich softwaroví bratříčci na PC porovnávají svou databázi virů s právě zkoumaným provozem. Objevené incidenty pak řeší po svém – obvykle přerušením komunikace s dotyčným strojem. Odtud už byl jenom krok ke zkoumání celého provozu, nejenom na přítomnost známých virů.

Spornou otázkou při řešení hrozeb je přístup ke spamu jako specifickému druhu nevyžádaného provozu. Někteří výrobci se chlubí antispamovou funkcionalitou na bránách, obvykle ale nejde o nic jiného než o různé implementace blacklistu. Vzhledem k „aktuálnosti“ obsahu databází a způsobu jejich plnění lze blacklisting považovat za překonanou technologii. Antispam by tedy internetová brána neměla řešit, pokud nedisponuje mailserverem, dostatečným datovým úložištěm a dalšími technologiemi k odhalování spamu.

Další funkcí vyžadovanou na internetových branách je terminace VPN tunelů. Tato technologie, která stále více nahrazuje drahé Frame relay okruhy spojující pobočky firem, vítězí díky své flexibilitě i dostatečné bezpečnosti. Požadavek na silné šifrování provozu dále zvyšuje požadavky na výkon celé brány, výrobci tedy (např. zmiňovaný SonicWall) používají specializované koprocesory starající se o cryptování provozu určeného do VPN tunelů. Zároveň lze při využití této technologie řešit i připojování vzdálených uživatelů a řídit jejich přístupová práva.

Se vzrůstajícím množstvím komunikace vedené po datových linkách se pro firmy stává dostupnost připojení kritickým faktorem podnikání. I toto dokáží internetové brány řešit: můžete si pořídit více připojení od různých poskytovatelů a brána pohlídá, aby se vaše data dostala k cíli i při výpadku jednoho z ISP. Lze také zvýšit rychlost připojení rozkládáním zátěže na jednotlivé linky podle různých kritérií. V neposlední řadě by vás brána měla ochránit i při výpadku sama sebe, ať už duplikováním kritických součástí nebo rovnou propojením dvou bran do clusteru.

Internetové brány tak od konce minulého století prošly vývojem od převaděčů Ethernet-sériová linka k sofistikovaným strážcům internetového pohraničí spolehlivě střežící klid domácí LAN.

Autor působí jako technologický konzultant pro SonicWALL ve společnosti Tech Data Distribution

Autor článku