Co požadovat od firewallu

Především je třeba se vyvarovat situací, kdy se bezpečnost řeší až na konec, a zabudovat bezpečnost do projektu včas! Vytváření bezpečnostní infrastruktury až poté, co byla technologie zavedena, je často velice obtížné, rozhodně nekoncepční a také potenciálně nebezpečné.

Co požadovat od firewallu


Příkladem muže být situace, kdy vedení společnosti se rozhodne zavést VoIP služby, které jsou bezesporu výhodné a praktické, ovšem jen v případě, že budou zabezpečené, jak se na součást­ kritické podnikové infrastruktury patří - zavádění nových technologii jde ruku v ruce s jejich zabezpečením.

Kriteria pro výběr firewallu mohou být různá, ale rozhodně je třeba se vyvarovat takových klišé, že firewall se stavovou paketovou filtrací zajistí společnosti tolik potřebnou propustnost a že naopak aplikační proxy firewall má nedostatečnou propustnost. Tato argumentace již dávno neplatí, dnešní aplikační proxy firewally s hybridní technologii poskytnout uživateli srovnatelnou propustnost jako firewally se stavovou paketovou filtrací a navíc přinesou daleko větší bezpečnost.

Při zamyšlení nad otázkou, ze kterých kritérií vycházet při výběru firewallu, by se také mělo čerpat z jednoduché definice Stevna M. Bellovina, jednoho z průkopníků v oblasti firewallu, který definoval firewall jako zařízení schopné oddělit „nás" od „nich" (označení „nich" pokrývá vše nedůvěryhodné). Samozřejmě k zajištění této funkcionality dochází díky definici politik, tedy pravidel, která je třeba vynutit, aby byla zaručena bezpečnost. Tuto funkcionalitu dnes splňuje více či méně každý firewall. Rozdíl však naleznete ve schopnosti účinně a efektivně vymoci dodržení tohoto pravidla. Pro lepší pochopení si představme, že firewall je celník, jehož cílem je splnit jasně definované pravidlo, které určuje, co smí a co nesmí propustit. Otázkou je, do jaké míry bude účinný? Do jaké míry dokáže odhalit narušitele bez toho, aby příliš omezoval legitimní provoz?

V dnešním světě, kdy nelze takřka ničemu věřit, se tato funkcionalita ukazuje jako nejdůležitější. Jelikož dnes se běžně škodlivý provoz vydává za žádoucí provoz a z toho důvodu je třeba vše do hloubky ověřit. Vraťme se k našemu příkladu celníka. Náš celník dnes nemůže věřit tomu, co na první pohled­ vidí, ale zároveň nesmí ani příliš omezovat. Představme si situaci, kdy se rozloží celý provoz, zkontroluje se a znovu složí do původního stavu, a to s dodržením pravidla minimálního zdržení provozu a minimální odchylky. Není snad takový postup v dnešní době nezbytný? Při sestavování kritérií je třeba považovat propustnost za samozřejmost, ale bezpečnost za nutnost!

Hlavní rozdíl mezi dnes nabízeními firewally je právě v jejich schopnosti rozlišit provoz povolený od nepovoleného s minimální odchylkou. Tato funkcionalita se ukázala jako kritická. Například již v roce 1991, kdy Marcus J. Ranum předvedl světu, jak je snadné zneužít otevření SMTP portu k poslání TELNET provozu a oklamat tehdy běžně používané firewally.

V případě, že vycházíme z výše uvedeného požadavku a z definice pana Bellovina, je třeba, aby firewall plnil funkci jakéhosi prostředníka mezi dvěma sítěmi. A je třeba, aby tuto funkcionalitu byl schopen plnit za všech okolností. Dnes ji plní zcela určitě aplikační proxy firewally s hybridní technologii, které přinášejí ochrany na principu proxy, jejichž cílem je zajistit maximální bezpečnost za jakýchkoli okolností právě oním rozkladem provozu a jeho důkladnou kontrolou.

Moderní řešení nabízejí desítky proxy bran, včetně dnes tolik vyžadované VoIP brány, a zároveň mají možnost tvorby generických proxy bran pro proprietární služby. Další výhodou může být například zabezpečený operační systém, díky kterému je firewall téměř nezranitelný, či integrace serverových služeb pro DNS a poštu (smtp) na firewallu. Takové firewally mohou být použity v jakékoli síti a dokáží zaručit uživateli maximálně možnou bezpečnost, kterou zcela určitě zvyšuje i integrace IDS, IPS, antispywaru a antivirové ochrany přímo na bráně.





Komentáře