Hlavní navigace

Klasifikace dnešních firewallů

 Autor: 29
Peter Pecho

Všechny firewally poskytují funkci stavového filtru, nebo proxy firewally pro rozhodování, zda komunikaci povolit, nebo zakázat. Jak již bylo v předcházejícím článku zmíněno, první firewally poskytovaly pouze jednu z těchto metod pro rozhodování. Současné firewally s „hybridní“ architekturou již poskytují obě techniky pro zabezpečení síťové komunikace.

Současné firewally můžeme rozdělit do sedmi kategorií:

  1. Osobní firewally
  2. Vestavěné firewally
  3. SOHO softwarové firewally
  4. SOHO hardwarové firewally
  5. Enterprise softwarové firewally
  6. Enterprise hardwarové firewally
  7. Speciální firewally

Mezi nejvíce rozšířené firewally patří jistě tzv. osobní firewally (angl. personal firewall). Jde o aplikace určeny převážně pro rodinu operačních systémů Windows sloužící k ochraně uživatelských stanic. Tyto firewally jsou logicky umístěné mezi operační systém a uživatelské aplikace. Dokážou proto omezovat komunikaci nejen na základě služeb, portů a IP adres, ale také odlišují konkrétní aplikace. Příkladem osobního firewallu je Kerio Personal Firewall. V současnosti se tento druh firewallů integruje také s antiviry, antispamy a dalšími nástroji a označuje se jako „Internet security“ nebo „smart security“.

Jednodušší paketové filtry také nezanikly a je možné je najít zejména ve vestavěných firewallech. Tyto jsou často implementovány do směrovačů, přepínačů, nebo také WiFi přístupových bodů. Vestavěné řešení může být standardní součástí firewallů, stejně tak je možné k některým zařízením dokoupit rozšiřující modul zabezpečující tuto funkčnost. Oproti pokročilejším řešením však vestavěné firewally poskytují pouze omezenou funkčnost, zejména kvůli omezeným výpočetním prostředkům.

Softwarové firewally jsou softwarové balíčky určené pro serverové operační systémy. Toto řešení zabezpečení je vhodné, pokud požadujete, aby na daném serveru běžely mimo služeb firewallu také další služby. Nejedná se ovšem o tzv. osobní firewally, ale o specializovaný software s netriviálním nastavením a tedy není vhodný pro laického uživatele. Příkladem tohoto řešení jsou Kerio WinRoute Firewall, Astaro Security Gateway a Oracle SunScreen.

Běžnější řešení zabezpečení velkých sítí je založeno na hardwarových firewallech. Tyto můžou být založeny na vlastní architektuře s ASIC (tj. aplikačně specifickými integrovanými) obvody, nebo také na standardní PC architektuře. Občas se můžeme setkat také s firewally vyvinutými nad jinými architekturami – Sparc, Sun, atd. ASIC obvody jsou v hardwarových firewallech využívány pro akceleraci náročných výpočtů, zejména kryptografických, a můžou proto zabezpečit hardwarovým firewallům vyšší propustnost. Pokud jsou hardwarové firewally založeny na PC architektuře, označují se převážně jako „appliance“. Důvodem, proč se výrobci rozhodli poskytovat „black box“ řešení raději než samostatný software, je lepší optimalizace softwaru na cílový hardware a také možnost garance propustnosti.

Hardwarové firewally mohou ve svém okolí šířit pocit záhadnosti. Skutečnost je však mnohem jednodušší. Mnohé z řešení jsou založeny na standardním unixovém operačním systému, nebo využívají tyto systémy po vlastních úpravách. Jako příklad je možné uvést McAfee Sidewinder postavený na modifikovaném FreeBSD (marketingovo označený jako SecureOS), Kernun UTM a Fortinet Fortigate stejně tak vyvinuté nad FreeBSD, Gauntlet vyvinutý nad Solarisem, nebo Secure SnapGear vyvinutý nad embedded verzí Linuxu.

Pokud byste se rozhodovali mezi softwarovým nebo hardwarovým řešením, oba přístupy se odlišují méně, než se může zdát. Hardwarová akcelerace se vztahuje pouze na základní funkčnost, filtrování paketů na třetí a čtvrté OSI vrstvě. Antivir, antispam, antimalware, IDS/IPS a další rozšiřující funkcionalita je implementována v procesoru a samotný výkon závisí pouze na množině spuštěných ochran a počtu hledaných vzorů. Z toho důvodu ani nejvýkonnější hardwarové firewally s propustností desítek Gbit/s neposkytují tyto pokročilé bezpečnostní funkce.

Některé ze současných firewallů se označují jako firewally s hloubkovou inspekcí. Tyto firewally jsou ve skutečnosti stavové firewally částečně doplněny o funkčnost IDS/IPS. Cílem hloubkové inspekce detekce útoků na aplikační vrstvě pomocí porovnávání přenášených paketů s databází signatur, stejně jako to dělá antivir, nebo antispam. Samotný firewall tedy sémantice komunikace nerozumí a může proto kontrolovat komunikaci na nižších síťových vrstvách.

Softwarové i hardwarové firewally se vyskytují ve verzích SOHO a Enterprise. Největším rozdílem je zejména propustnost, přičemž část výrobců toto omezení raději nahrazuje počtem současných spojení, nebo počtem uživatelů.

Samostatnou skupinu firewallů tvoří speciální firewally zaměřené na konkrétní aplikaci. Jde zejména o firewally pro ochranu webových aplikací, databázových serverů, e-mailových serverů, filtrování webového obsahu, nebo zamezení úniku informací přes úzkou množinu služeb. Omezená funkčnost je nahrazena možností pokročilé konfigurace pravidel pro kontrolu a filtrování přesně definovaných služeb, což je možné právě díky jejich úzkému zaměření. Aplikační firewally můžou nahrazovat a doplňovat ochranu vestavěnou přímo v aplikacích a zjednodušit tak vývoj a nasazení bezpečných aplikací.

Jak vybrat správný firewall

Označení firewall se již používá pouze pro označení „jednoduchého“ paket filtru nebo proxy pro několik protokolů. V následujícím textu se proto zaměříme raději na UTM řešení, které integruje různé bezpečnostní funkce do jednoho řešení.

Firewally jsou někdy považovány za „spotřební zboží“ a rozdíly mezi jednotlivými řešeními jsou považovány za nepodstatné. Pokud však chceme přistupovat k ochraně sítě zodpovědně a vybrat řešení, které je vhodnou kombinací hodnoty, bezpečnosti, škálovatelnosti a technické podporu, musíme si při výběru firewallu zodpovědět následující otázky.

Proč potřebujeme firewall?

Tato otázka může vyznít jednoduše, avšak její zodpovězení včetně přesné technické formulace cílů může být poměrně složité. Firewally jsou typicky nasazovány pro technické vynucení bezpečnostní politiky, kterou jsme si stanovili. Součástí bezpečnostní politiky je také popis povolených služeb poskytovaných lokálním a vzdáleným uživatelům, definici monitorovaného provozu, požadavky na filtrování provozu, případně také požadovanou autentizaci uživatelů. Dokáže dané požadavky splnit paketový filtr, nebo potřebujeme proxy pro analýzu dat na aplikační úrovni?

Současné firewally poskytují také funkce, která nesouvisí přímo se zabezpečením vnitřní sítě. Příkladem je VPN přístup do sítě pro vzdálené připojení uživatelů, nebo podpora tunelování pro propojení více sítí. Podpora těchto technologií se mezi jednotlivými řešeními může značně lišit.

Měli bychom se také zamyslet, jakým způsobem by lokální uživatelé mohli ohrozit bezpečnost sítě. Pravidla by měla ošetřovat vědomý, ale také nevědomý únik citlivých informací (např. hromadným emailem). V neposledním řadě musí být zajištěna fyzická bezpečnost firewallů. Jak „velký“ firewall potřebujeme?

Abychom si správně zodpověděli tuto otázku, musíme si definovat požadavky. V závislosti na poskytovaných používaných a poskytovaných službách může jít o maximální propustnost, bezpečnost, zajištění robustnosti, nebo kvality služeb (QoS).

Pojem „velikost firewallu“ bývá interpretován více způsoby. Část výrobců udává propustnost firewallu, jiný výrobci zase počet chráněných zařízení (neboli IP adres) a jiní zase maximální počet spojení. Každá z těchto hodnot je vhodná pro jiné nasazení a čísla uvedená v technických specifikacích třeba brát s nadhledem. Výkon firewallů nezávisí pouze na hardwarové platformě, ale také na počtu pravidel a konkrétním nasazení. Vhodné řešení musí také poskytovat vhodný typ a dostatečný počet rozhraní pro propojení jednotlivých segmentů sítě.

Dostupnost, logování a kvalita služeb

Mezi důležité vlastnosti firewallů patří také podpora vysoké dostupnosti, označované též jako HA (High Availability). Typicky se jedná o zapojení dvou a více firewallů do clusteru, které se navzájem monitorují a v případě výpadku dokážou převzít funkci nedostupného firewallu včetně obsluhy již navázaných spojení. Firewally v clusteru mohou být využívány také souběžně pro zvýšení propustnosti, tato konfigurace bývá označována jako active-active. Ačkoliv může toto řešení vypadat atraktivně, na problém můžeme narazit hned při výpadku jednoho z firewallů. Pokud bude celková zátěž firewallů zapojených v clustery větší než zvládnou zpracovat zbývající firewally, při výpadku by nemuseli být převzaty všechny navázané spojení a funkce vysoké dostupnosti by proto nebyla zajištěna.

Schopnost logování událostí patří mezi nejdůležitější funkce firewallů. V tomto místě je nutné zmínit, že úroveň logování se mezi jednotlivými řešeními významně odlišuje. Vždy vyžadujte firewall schopný logovat pokud možno největší množstvo událostí. Prohlížení a vyhledávaní v záznamech vám umožní vidět události v logických souvislostech. Komerční firewally jsou běžně založeny na proprietárních formátech záznamů, kdy není možné využít nástroje třetích stran. Část řešení ovšem poskytuje standardní rozhraní syslog pro uchovávání záznamů na jiným počítači v síti.

Mezi další důležitou funkci firewallů patří tzv. traffic shaping. Jde o prostředky pro kontrolu síťového provozu pro optimalizaci výkonnosti služeb a zajištění jejich dostupnosti. Na základě definovaných pravidel můžou firewally přidělovat předdefinovanou šířku pásma důležitým službám. Jedno pásmo může být případně sdíleno více službami.

Technická podpora a záruka na opravu softwaru

Mezi opomíjenou vlastnost všech řešení patří technická podpora. V případě klíčových služeb, jako firewally poskytují, jde přitom o jeden z nejdůležitějších parametrů. Oceníte ji zejména v krizových situacích jako je výpadek firewallu, nebo bezpečnostní incidenty, kdy ušetříte cenný čas. Pokud se o firewall nechcete starat sami, je také možné využít služeb vzdálené správy poskytované přímo dodavatelem. Pokud požadujete maximální kvalitu, rozhodujte se pro výrobce, kteří poskytuje také záruku na opravu softwaru do určitého počtu dní. Chyby se stávají a pro pocit bezpečí je vhodné vědět, že vás v případě objevení chyby v softwaru nenechá dodavatel řešení na holičkách. Pokud jsou tyto navíc zdarma, jste ochráněni od dalších nákladů. Z pochopitelných důvodů se do této garance nikomu nechce.

Budoucnost firewallů

Integrace

V tomto směru již budoucnost firewallů v posledních letech začala. Všichni větší výrobci nabízejí řešení označované jako UTM. Část výrobců již začala pro své produkty používat označení jako XTM (eXtended threat management, nebo také extensible threat management). V tomto případě jde opět pouze o marketingové označení.

Časem je možné očekávat další funkční rozšíření zaměřené na nové, převážně webové služby. Rozšiřovat se začínají také různé služby pro sdílení dat, které bude časem stále větší a větší problém detekovat a omezovat.

Výhodou integrovaných řešení je eliminace duplicitní bezpečnostní funkce a s nimi spojené nároky na administraci.

Specializace

V porovnaní s výše uvedenou integrací všech funkcionalit do jednoho zařízení, část firewallů se bude ubírat opačným směrem. Rozmach webových služeb bude vyžadovat specifické nástroje pro kontrolu jednotlivých aplikací. Současné aplikační servery se budou více specializovat na jednotlivé aplikace (B2B, e-bankovnictví, aukční domy, sociální sítě, poskytování multimediálních dat), nebo kontrolu platnosti přenášených dat (např. XML, internetová televize, internetová rádia).

Virtualizace

Využití technologie vizualizace se rozšíří z prostředí služeb také na kontrolu řízení dat. Emulace běhu aplikací ve virtuálním prostředí umožní jednodušší využití dostupných technických prostředků. Podle vlastních potřeb můžou malé organizace bezpečně sdílet firewall spolu s dalšími službami na jednom fyzickém serveru. S pokrokem virtualizace bude také možné sdílet jeden firewall přes několik fyzických serverů a tím jednoduše řešit redundanci pro zajištění vysoké dostupnosti.

Bezpečnost jako služba

Pokročilé zabezpečení doposud dostupné pouze velkým společnostem se rozšíří také mezi jednotlivce a domácnosti. Služba bude poskytována přímo poskytovateli internetového připojení a její součástí bude také profesionální technická podpora. Již v současnosti poskytují virtuální UTM řešení velcí internetoví poskytovatelé. Výhodou je zejména ponechání technických záležitostí jako umístění zařízení, vyřešení napájení při výpadku, klimatizaci, fyzické zabezpečení, nebo také instalaci aktualizací na straně poskytovatele.

Monitorování uživatelů

Již v současnosti je viditelný trend nárůstu zájmu o bezpečnost na úkor anonymity. Tento trend bude jistě pokračovat v monitorování a archivování veškerého provozu na internetu, ale také jiných telekomunikačních sítích. Již v současnosti jsou k těmto změnám vedeni poskytovatelé internetu a telekomunikačních služeb prostřednictvím legislativních opatření.

Na druhé straně je možné očekávat rozšíření technologií pro podporu anonymity (např.mix sítě a „onion“ routing) se softwarových řešení také do hardwarových síťových prvků. Tato tendence bude tím silnější, čím větší snahy o monitorování uživatelů se objeví.

Mobilní Internet

Přesun Internetu do široké množiny mobilních zařízení a rozšiřování jejich funkčnosti bude vést k potřebě jejich ochrany. „Katalyzátorem“ bude také hromadné nasazení IPv6, které vyústí v připojení všech mobilních zařízení přes veřejnou IP adresu a tedy jejich neustálé ohrožení. Již v současnosti se můžeme setkat s antiviry pro mobilní telefony. Stejný postup očekáváme proto i v případě firewallů.

IPv6

Na závěr nesmíme zapomenout na rozšíření kompletní podpory firewallů o protokol IPv6. Ten je v současnosti podporován firewally pouze částečně. Část funkcí firewallů je navíc v logickém rozporu s novou verzí internetového protokolu. Příkladem je podpora překladu adres (tzv. NAT), se kterým IPv6 původně nepočítal a jež byl historicky navržen pro vyřešení problému nedostatku veřejných IPv4. V konečném důsledku však toto řešení založeno na skrývání vnitřní struktury sítě pomohlo k vylepšení bezpečnosti koncových stanic.

Našli jste v článku chybu?

19. 2. 2010 18:25

Aleš Kotmel (neregistrovaný)
Ne, nikoliv.
Ve svém názoru na článek jsem uvedl několik dle mého názorů zásadních chyb kterých se pan Pecho při psaní článku dopustil a myslím že jsem mu dal několik velice dobrých námětů na následující článek (případně články) kterým může odčinit své doufejme dočasné zaváhání.


AK
P.S. Už vzhledem k firmě ve které pan Pecho pracuje by to bylo myslím víc než vhodné ...




19. 2. 2010 11:24

Aleš Kotmel (neregistrovaný)
Tak to je skvělé, doufám se odčiníte váš hřích.
Podnikatel.cz: Změny v daních z příjmů pro podnikatele

Změny v daních z příjmů pro podnikatele

Podnikatel.cz: Zařízení pro EET zbytečně, vrátí vám peníze

Zařízení pro EET zbytečně, vrátí vám peníze

DigiZone.cz: Zdeněk Gerlický: nový ředitel nangu.tv

Zdeněk Gerlický: nový ředitel nangu.tv

DigiZone.cz: Sat novinky: Je tu Sky Sport News HD

Sat novinky: Je tu Sky Sport News HD

Měšec.cz: Jak levně odeslat balík přímo z domu?

Jak levně odeslat balík přímo z domu?

Měšec.cz: Zdravotní a sociální pojištění 2017: Připlatíte

Zdravotní a sociální pojištění 2017: Připlatíte

DigiZone.cz: Mňam TV splnila slib a odešla z DVB-T

Mňam TV splnila slib a odešla z DVB-T

Vitalia.cz: Mondelez stahuje rizikovou čokoládu Milka

Mondelez stahuje rizikovou čokoládu Milka

120na80.cz: Rovnátka, která nejsou vidět

Rovnátka, která nejsou vidět

Vitalia.cz: Když přijdete o oko, přijdete na rok o řidičák

Když přijdete o oko, přijdete na rok o řidičák

Podnikatel.cz: 3, 2, 1..EET startuje. Na co nezapomenout?

3, 2, 1..EET startuje. Na co nezapomenout?

Podnikatel.cz: Alza.cz má StreetShop. Mall.cz více výdejních míst

Alza.cz má StreetShop. Mall.cz více výdejních míst

Vitalia.cz: Analýza letáků: Na co lákají do prodejen?

Analýza letáků: Na co lákají do prodejen?

Podnikatel.cz: Chaos u EET pokračuje. Jsou tu další návrhy

Chaos u EET pokračuje. Jsou tu další návrhy

Měšec.cz: Kdy vám stát dá na stěhování 50 000 Kč?

Kdy vám stát dá na stěhování 50 000 Kč?

Vitalia.cz: Spor o mortadelu: podle Lidlu falšovaná nebyla

Spor o mortadelu: podle Lidlu falšovaná nebyla

120na80.cz: Pánové, pečujte o svoje přirození a prostatu

Pánové, pečujte o svoje přirození a prostatu

Root.cz: Kamery Sony se dají ovládnout na dálku

Kamery Sony se dají ovládnout na dálku

120na80.cz: Stoná vaše dítě často? Upravte mu jídelníček

Stoná vaše dítě často? Upravte mu jídelníček

Podnikatel.cz: Snížení DPH na 15 % se netýká všech

Snížení DPH na 15 % se netýká všech