Firewally nové generace a jejich opomíjené funkce

Síťovou bezpečnost bez firewallů si dnes už téměř nelze představit. Jsou to všudypřítomná zařízení, jejichž historie sahá až do roku 1988, kdy byla publikovaná první studie týkající se paketových filtrů.

Firewally nové generace a jejich opomíjené funkce


Od té doby firewally prošly několika revolučními kroky od klasických jednosměrných access listů přes stavové firewally až po dnešní firewally nové generace.

Jejich funkcí bylo vždy řízení provozu a v důsledku toho i zmenšení plochy pro útok. Server, který má do nedůvěryhodné sítě otevřené všechny své služby, je výrazně zranitelnější než server chráněný firewallem, jenž povoluje přístup pouze k jedné vybrané službě.

 

Zneužívání otevřených portů

Pojem služby byl dlouhá léta synonymem pro otevřený TCP nebo UDP port. Tento zavedený koncept ale mohli jednoduše zneužívat útočníci, kteří standardně otevřené porty využívali k tunelování provozu, pro nějž tyto porty nebyly původně určené.

Obranu proti metodě zneužití otevřených portů přineslo až zavedení inspekce aplikační vrstvy paketu u firewallů nové generace, kdy firewall umožňuje řídit, jestli je přes daný otevřený port opravdu přenášena pouze povolená aplikace. Funkce zmenšení plochy pro útok tak získala zcela nový rozměr.

Tady je příklad: Ze serveru se do internetu publikuje nová webová aplikace. Při použití klasického pravidla se z internetu povolí komunikace na TCP portech 80 a 443 pro protokoly HTTP a HTTPS.

Firewall ale už nekontroluje, zda daná komunikace opravdu obsahuje jen příslušné protokoly. Ta totiž  může klidně obsahovat kód útočící na zranitelnost serveru a vzhledem k tomu, že je port otevřený, kód je doručen a zranitelnost zneužitá.

Při použití pravidla na úrovni aplikační vrstvy je možné zkontrolovat nejen to, jestli  provoz na otevřeném portu obsahuje daný protokol, ale i to, zda obsah protokolu odpovídá publikované aplikaci. Plocha pro útok se tak dramaticky sníží.

O to zvláštnější je, že velké množství společností dosud spoléhá na tradiční pravidla na úrovni portů. Pravděpodobným důvodem tohoto nevhodného přístupu je i iniciativa většiny výrobců firewallů.

Přestože se všechny firewally v dnešní době označují jako firewally nové generace, informace o propustnosti z produktových listů se zaměřují primárně na nejvyšší dosažitelnou hodnotu – a tou je pochopitelně zastaralá filtrace provozu na úrovni IP adres a portů.

Pohled na hodnoty se zapnutými funkcemi NG už zdaleka nepůsobí tak přesvědčivě. Je tak jen na uživateli, aby si uvědomil, jak zásadní je rozdíl mezi tradičním přístupem a přístupem za použití pravidel na úrovni aplikací.

V podstatě všechny moderní firewally jsou dnes připravené pro využití funkcionalit nové generace typu aplikační kontrola, tvorba pravidel na úrovni identit uživatelů a ochrana před známými hrozbami.

Rozdíly jsou pouze v tom, na jaké úrovni jsou dané funkce implementovány a jak jsou uživatelsky přívětivé. Existují však i funkce firewallů, které často zůstávají na první pohled skryty a  mohou mít při zabezpečení společnosti před čím dál tím sofistikovanějšími útoky zásadní vliv.

 

Automatizace i autentizace

Jednou z výrazně opomíjených funkcí je možnost automatizace. Je tomu tak ale neprávem, a právě v této funkci se firewally jednotlivých výrobců mohou výrazně lišit.

Pokud se to s bezpečností myslí vážně, musejí se pravidla tvořit tak, aby byla co možná nejspecifičtější. S tím se ovšem pojí výrazná administrativní zátěž.

Představte si, že pro každý koncový bod v síti je třeba vytvořit ve firewallu objekt, udržovat pro něj přesná pravidla povolující pouze nezbytnou komunikaci a zároveň hlídat, jestli tento objekt v síti stále existuje.

Pokud správce vykonává tuto činnost manuálně, dojde dříve nebo později k chybě, která může mít dalekosáhle důsledky.

Určité typy firewallů ale umožňují automatizovat činnost tak, že si objekty vytvoří na základě aktuálních údajů v konfigurační databázi, na základě příslušnosti ke skupinám pro ně vytvoří pravidla pro komunikaci a po ukončení životního cyklu koncového bodu jej zase automaticky z konfigurace odstraní.

Další funkcí, která se opomíjí, je obrana před nejčastějším vektorem útoku. Společnost Verizon zveřejnila ve své studii Data Breach Investigations Report obsahuje/odhaluje poměrně šokující zjištění. Téměř 81 % úspěšných útoků se v roce 2017 uskutečnilo kvůli ukradeným přihlašovacím údajům nebo slabým heslům.

Pouze 19 % tak připadá na útoky, na něž se primárně zaměřují obránci – tedy na zneužití zranitelností. Spolehlivý firewall by tak měl přinést ochranu proti této bezpečnostní hrozbě.

Ochranou je sada funkcí. Firewall může kontrolovat, zda jméno a heslo použité pro přihlášení k nedůvěryhodné webové aplikaci neodpovídá jménu a heslu, které uživatel používá pro přihlášení do domény. Pokud ano, pak je schopný tuto činnost zastavit, nebo okamžitě upozornit správce systému.

Firewall také může při přístupu ke kritickým aplikacím, které nedokážou nativně pracovat s vícefaktorovou autentizací, požádat uživatele o zadání druhého faktoru, bez něhož se síťové spojení nepovolí.

A v neposlední řadě může firewall také blokovat stránky obsahující phishingové kampaně. Rozhodující je způsob detekce phishingu. Se stále se zvyšující úrovní strojového učení je možné v reálném čase prověřit, jestli se stránka, na kterou se uživatel hlásí, nesnaží imitovat jinou, legitimní stránku – např. Office365, Facebook nebo pošta Google.

 

Problém DNS

Další vlastností, která není ve všech firewallech samozřejmostí, je kontrola DNS provozu. V podstatě všichni výrobci dnes už zcela běžně umožňují kontrolu URL a podle kategorizace (která může být více či méně kvalitní) povolí či zablokují přístup.

To se ovšem týká pouze provozu, který v sobě URL obsahuje. Útočníci tyto principy znají, a proto se snaží vyvarovat užití URL a používají přímo IP adresy nebo využívají tzv. domain generation algorithm (DGA) – tedy vygenerují doménu, která se využívá jen extrémně krátkou dobu, a proto není reálné ji zařadit do škodlivé kategorie.

Aby zabránil těmto druhům útoků, musí FW sledovat DNS provoz a v případě detekce dotazu na škodlivou doménu vykonat akci. Z důvodu využití výše uvedeného DGA ale nestačí porovnávat dotaz proti statické databázi. Naopak opět za použití strojového učení je potřeba udělat dynamickou analýzu v reálném čase, která odhalí, jestli je doména škodlivá, či nikoliv.

DNS provoz se také často využívá k velice těžko odhalitelnému vynášení informací ze společnosti, kdy se nakažený klient dotazuje pomocí DNS na smyšlené subdomény. Každý z těchto v podstatě legitimních dotazů obsahuje část interních citlivých dat, která se na konci sejdou u vlastníka cílového DNS serveru. I proti tomu umí kontrola DNS provozu zakročit.

 

Integrace do IT prostředí

Téměř všichni výrobci dnes deklarují schopnost zařadit firewall do uceleného bezpečnostního prostředí, kdy spolupráce jednotlivých komponent usnadňuje práci správcům a zároveň poskytuje nejvyšší možný stupeň zabezpečení.

Tato integrace s ostatními stupni ochrany je však výrazným diferenciátorem mezi jednotlivými řešeními. V mnoha případech není propojení systémů plně dotažené, nebo nejsou jednotlivé stupně ochrany na odpovídající úrovni.

Typickým příkladem je kombinace velmi kvalitní implementace firewallu s podprůměrnou ochranou koncových stanic apod. Od firewallů dnes už lze očekávat nejen funkci ochrany, ale i funkci síťové sondy sbírající data, která jsou následně použita dalšími prvky bezpečnostního ekosystému.

Firewall tak nahradí a funkcionalitou výrazně předčí sondy sbírající síťové toky, stejně jako sondy určené pro sítě typu ICS/Scada. Sebraná data se mohou následně použít pro další stupeň detekce a prevence útoků.

Využití strojového učení a umělé inteligence už bylo ve výše uvedených příkladech zmíněné několikrát. Důvodem je jejich důležitost. Sofistikovanost útočníků totiž den ode dne roste a práce, se kterou penetrační tester stráví mnoho dní, mohou specializované počítačové systémy vykonat během pár sekund.

Jakmile začnou být tyto systémy zdrojem útoků, pokud tedy už tato doba nenastala, tak obrana pomocích lidských, resp. statických zdrojů nemá šanci na úspěch. Pouze dostatečná výpočetní kapacita a kvalitně vytvořené algoritmy obrany budou moci obstát proti dříve nevídaným schopnostem útočníků.

I na tuto oblast se už někteří výrobci firewallů zaměřují a do svých výrobků implementují možnosti strojového učení, které může výrazně pomoci s odrážením těch nejpokročilejších útoků.

Firewally nové generace jsou i přes postupný přechod k  modelu Zero Trust Security stále klíčovou součástí bezpečnostní infrastruktury. Nabízejí nespočet funkcí, které mnohdy bez složité konfigurace radikálně zvýší bezpečnost organizace.

Je však nesmírně důležité poznat svůj firewall do nejmenších detailů a nebát se využívat i pokročilé funkcionality. Ty totiž mohou organizaci zachránit před ztrátou dat i dobrého jména.

Autor pracuje jako security architect ve společnosti H-Square ICT Solutions

*******

Tento příspěvek vyšel v Security Worldu 1/2019. Časopis (starší čísla i předplatné těch nadcházejících) si můžete objednat na adrese našeho vydavatelství.

Úvodní foto: © adimas - Fotolia.com










Komentáře