Dnešní firewally nabízejí víc než jen blokování provozu

Jaká je současná situace na poli síťové bezpečnosti a jak mohou ke zlepšení ochrany firemní infrastruktury přispět technologie a řešení firmy Zyxel, nám objasňuje její senior sales engineer Petr Koudelka.

Dnešní firewally nabízejí víc než jen blokování provozu


(Partnerský příspěvek)

 

Jak kvalitně se české firmy v současnosti chrání před kybernetickými síťovými hrozbami?

Slovo ransomware se díky velké mediální kampani stalo známým natolik, že v oblasti osvěty bezpečnosti zásadně pomohlo. Dnes se již najde málo firem, jejichž zaměstnanci IT oddělení netuší, co tento pojem znamená, a to hlavně díky tomu, že se již nelze schovat za otřepanou frázi „nás se to netýká“.

Jako obvykle je patrné rozdílné chování u někoho, kdo o problematice slyšel, anebo kdo se problematiky reálně účastnil. Zde je z mojí zkušenosti opravdu patrný rozdíl a také ochota udělat co nejvíc kroků, aby se již podobná situace neopakovala.

 

Petr Koudelka, senior sales engineer, Zyxel

 

Zyxel si lidé často spojují spíše s komunikačními než bezpečnostními řešeními. Jak velkou roli hrají v portfoliu vaší firmy prvky na ochranu dat?

Naše společnost má dvě oddělení. Oddělení SP, které se věnuje operátorům, kde je síla několika modelů xDSL routerů a jejich kvantita. Oddělení Channel prodává do distribuce celou řadu síťových technologií, kde najdeme síťové prvky pro domácnosti, ale také hlavní část prodeje, a to jsou firemní síťové prvky.

Ty se dělí na tři stěžejní kategorie – switche, bezdrátové sítě a bezpečnost – a pokrývají většinu potřeb síťových instalací ve firemním prostředí.

Pokud se zaměříme na bezpečnost dat, máme v portfoliu aktuálně 26 různých modelů podnikových firewallů, které se dělí svým výkonem pro jednotky uživatelů až po lokality s požadavkem na obsluhu několika stovek uživatelů.

Firewally se také liší svými vlastnostmi, od nejmenších modelů s SPI firewallem přes modely vybavené UTM filtracemi, firewally řízené z cloudu až po modely Zywall ATP vybavené pokročilými službami včetně sandboxingu.

Nesmíme zde také zapomenout na doplňkové softwarové nástroje, jako jsou monitoring, analýza přenášených dat a údržba.

 

Jaká je vůbec budoucnost firewallů? Mají stále pevné místo v infrastruktuře firmy?

Zde je nutné ujasnit si, co se má chránit primárně a jaké prostředky lze v dané situaci pro případný útok použít. Největší koncentrace firemních uživatelů bude vždy v lokální síti firmy, kde by měli být adekvátně chránění firewallem.

Firewall by měl chránit i firemní servery, úložiště, ale i jednotlivě připojené zaměstnance v lokální síti mezi sebou – a na to se často zapomíná. Problém ale nastává s ochranou mobilních zařízení, která se dostanou z bezpečného prostředí do přímého kontaktu s internetem bez propracované ochrany.

Pokud chceme ochránit mobilní zařízení, můžeme požadovat připojení na internet přes šifrovaný VPN tunel do firmy, kde právě toto připojení může být ochráněné při přístupu na veřejný internet všemi mechanismy firemního firewallu.

Někdo si může myslet, že je to velice obtížné, ale je tomu naopak. Třeba nativní L2TP over IPSec tunel, který je na absolutní většině zařízení k dispozici defaultně, směruje veškerý provoz přes VPN tunel na centrálu a pak filtrovaně na internet.

 

Funkce firewallů už tedy zdaleka není jen blokování nějakého provozu, co tedy ty moderní mohou uživatelům nabídnout?

Logika bezpečnosti říká „vždy blokovat to, co není pro provoz nutné“. Moderní firewally mohou právě provoz povolovat jen vybraným uživatelům automaticky. Na notebooku může být rozpoznán přihlášený uživatel a automaticky podle přihlášení do domény se mohou povolit síťové komunikace na základě jeho identity.

Další mechanismy se dají nabídnout správci sítě, což je detailní statistika chování, provozu atd., kterou lze anonymizovat podle požadavků GDPR.

 

Firewallů existuje celá řada – od těch klasických přes třeba aplikační, webové, databázové až po cloudové. Je v silách současných firem, aby se v nich vyznaly a dokázaly je správně implementovat a spravovat? 

Celkově se problematika bezpečnosti stává v mnoha ohledech samostatným IT odvětvím, a proto se právě někteří dodavatelé na toto odvětví více specializují. Naším cílem, jako výrobce bezpečnostních řešení, je docílit perfektních znalostí právě těch, kteří naše bezpečnostní řešení navrhují a instalují.

Toto zajišťujeme technickými certifikačními školeními, technickou podporou a také předprodejními konzultacemi, kdy se snažíme pomoci vybrat tu nejlepší variantu a kombinaci celku.

 

Častou slabinou firewallů bývá jejich špatné nastavení a také využívání jen relativně omezeného množství jejich dostupných funkcí…

To je kámen úrazu všech, kteří prvky buď nastavovat detailně neumějí, nebo jim není adekvátně za bezpečnostní řešení zaplacené. Ty, jež prvky nastavovat neumějí, se snažíme proškolovat a za pomoci technické podpory jim pomáhat, ale větší problém je ten druhý zmíněný případ.

Firma chce zakoupit zabezpečení a poptá dodavatele. Zde je rozpor mezi cenou hardwaru či softwaru a cenou implementace řešení. Právě ona implementace totiž může začít rozbalením z krabice, zapojením prvku a základní konfigurací. Tímto u mnoha řešení implementace i končí, jelikož kupující nebyl ochoten zaplatit mnohem náročnější konfigurace.

Pokud zvážíte komplexnost bezpečnostních bran, jejich opravdu plná implementace do firemní struktury, nastavení přesných a správných bezpečnostních politik a odzkoušení všech pravidel se může šplhat běžně k desítkám hodin precizní práce.

A zde vzniká problém vznikající zakoupením dobrého bezpečnostního řešení a jeho nedostatečného využití. Abychom alespoň pomohli ke zrychlení konfigurací pro méně znalé, implementujeme do zařízení Wizardy, které provedou rychle základním nastavením prvku, vybudováním šifrovaných VPN tunelů a podobně.

Dále v mnoha sekcích vkládáme on-line video návody, jak postupovat a v neposlední řadě u cloudově spravovaných sítí umožňujeme vytvářet nové lokace s použitím již předkonfigurovaných vzorů z předchozích konfigurací.

Pokud si ale vyberete profesionální certifikovanou firmu, s jejímž doporučením jako výrobce můžeme pomoci, budete mít implementaci hotovou rychle a spolehlivě, protože stále platí „cvičení dělá mistra“.

 

Když už jsme u té správy, řada firem by jistě uvítala, kdyby problematiku síťového zabezpečení za ni mohly řešit externí firmy, třeba dodavatelé jejich firewallů nebo poskytovatelé bezpečnostních služeb.

Ano, menší a střední firmy nemají dedikované IT oddělení nebo jejich IT oddělení bývá zastoupené jedním zaměstnancem, jenž nemá znalosti ani kapacity. Toto je právě možnost správy, kterou nabízejí naši proškolení partneři, kteří se na bezpečnost specializují.

Možností, jak takovouto správu a údržbu uskutečnit, je mnoho, ale pokusím se zmínit dva hlavní postupy. Firma Zyxel nabízí SNMP monitorovací hardware CNA100, který je schopen zajistit monitoring více lokalit, jejich vzdálenou správu, periodickou zálohu konfigurací a údržbu.

CNA100 dohleduje všechna zařízení (včetně těch od jiných výrobců), která podporují protokol SNMP. Druhou možností je se posunout do cloudu a jednoduše spravovat síť kýmkoli oprávněným z internetu pomocí našeho řešení Nebula.

V cloudovém managementu Nebula je bezpečnost na prvním místě, využívá např. dvoufázové ověřování uživatelů podle požadavků GDPR. Nebula management je cíleně tak jednoduchý, aby jeho správu bylo možné použít rychle a jednoduše kýmkoli, kdo IT jen trochu rozumí.

 

Jaké systémy je dobré k firewallům doplnit, aby ochrana sítě byla skutečně důkladná.

Primárně je vhodné udržovat ve firewallech aktivní a platné licence na všechny služby, které firewall umí. Pokud si firma nechá naimplementovat bezpečnostní řešení a nestará se následně o údržbu, kdy je potřeba obnovit licence po jejich vypršení platnosti.

Často se stane, že databáze hrozeb je zastaralá a díky tomu se její  užitná hodnota podle doby bez aktualizací adekvátně sníží. Vhodné je také použít monitorování sítě, které může jednoduše odhalit případné anomálie od běžného stavu.

Implementace sandboxingu bude stále větší nutností a firewally řady Zywall ATP postupně nahradí ostatní firewallové kategorie.

 

V současné době se hovoří o tom, že by firmy měly více využívat tzv. softwarově-definované technologie, mikroslužby, segmentaci sítě apod. Jakou roli mají firewally v právě takovém prostředí?

Ano, to jsou všechno moderní trendy, kam se může budoucnost ubírat. Ale je to z velké části jen opakování a jiné pojmenovávání základních klíčových jevů, které by se měly dodržovat.

Pokud budeme řešit jen síťovou oblast, máme zde segmentaci sítě na ohraničené celky již v normě 802.1q, filtrace MAC adres a jejich svázání s IP adresací, filtrace IP adres, finálně aplikační vrstva UTM filtrací a úroveň ověření uživatele.

Dodržujeme všechna tato hlediska a máme takovouto segmentaci použitou? Pokud ne, tak stále nedodržujeme to, co je principem síťového ISO/OSI modelu.

 

Umělá inteligence je fenoménem posledních měsíců. Zasáhla už i oblasti síťové bezpečnosti, konkrétně firewallů?

Umělá inteligence v tomto pojetí je spíše automatizovaný proces a automatická analýza chování.

Zde je nutné podotknout, že pokud máme nástroje opravdu analyzující události globálně, můžeme podle uloženého vzorového chování odhalit vícenásobné aktivity těchto hrozeb a dále začít hrozbu studovat a následně ji rychleji zapracovat do všech firewallů celosvětově.

Zyxel takovéto metody používá již roky, kdy jsou na internetu vystavené různé pasti, které vyhodnocují útoky. Na základě těchto poznatků se samozřejmě doplňují ochrany. Sandboxing řady ATP je jen další vývojový stupeň.

 

Zmínil jste už podruhé sandboxing. Na jakém principu v tomto případě pracuje a jak účinný je v eliminaci hrozeb?

Sandboxing je určitá forma „umělé inteligence“, kdy se soubory hodnotí porovnáváním otisku souboru tzv. hash s databází, což se dá označit jako vylepšená on-line databáze UTM.

Pokud přenášený soubor podle otisku v databázi není, následuje jeho odeslání na ověření chování souboru, kdy se analyzuje chování souboru v simulaci operačních systémů automatickými procesy.

Pokud se soubor chová jakkoli podezřele nad rámec definovaného standardu, je podroben přezkoumání bezpečnostními experty. Výsledkem pak může být odhalení nového útočného kódu, který byl doposud neznámý.

Jakmile k takovémuto odhalení dojde, celý cluster všech ATP firewallů na světě používající sandboxing se updatuje právě o otisk této hrozby. Celosvětový update firewallů ohledně takto nalezené nové hrozby se může vykonat  v horizontu pouhých minut.

Se stoupajícím množstvím různorodých hrozeb každý den se stane sandboxing nedílnou součástí všech bezpečnostních mechanismů nejbližší budoucnosti. Zyxel se snaží ve filtracích využívat služeb těch nejlepších na trhu – funkcionalitu sandboxingu implementovanou do řady firewall ATP využíváme od společnosti Lastline, kterou Gartner hodnotí velmi vysokou známkou 4,8.

Právě tuto společnost využívají také nejlepší bezpečnostní hráči na trhu, čímž se celková databáze hrozeb rychle aktualizuje a upřesňuje celosvětově.

Děkuji za rozhovor a přeji hodně úspěchů.

 

Tento příspěvek vyšel v Security Worldu 1/2019. Časopis (starší čísla i předplatné těch nadcházejících) si můžete objednat na adrese našeho vydavatelství.

Úvodní foto: © Andrea Danti - Fotolia.com










Komentáře