Hlavní navigace

Použijte správný firewall pro ochranu své sítě

23. 3. 2010
Doba čtení: 12 minut

Sdílet

Autor: 29
Třetí pokračování seriálu o firewallech a ochraně vašich sítí. Tentokrát podrobněji popíšeme některé z velkých firewallů.

Úvod

V pokračování seriálu podrobněji popíši některé z velkých firewallů, které se mi dostaly „do rukou“ a měl jsem možnost jejich prozkoumání. Mou snahou není poskytnout podrobné recenze všech firewallů (což není možné ani vzhledem k délce těchto článků), stejně tak se nesnažím o popis všech v současnosti dostupných řešení. Jednotlivá řešení nebudu také hodnotit z hlediska cenové politiky (ani poměru cena/výkon), jelikož cílové segmenty si mohou dovolit i to nejdražší řešení. Raději jsem se zaměřil na osobní zkušenosti s níže zmíněnými firewally a popsání zajímavých vlastností a funkčností. Mezi uvedenými řešeními také nehledejte osobní firewally, jelikož tyto se liší množinou poskytovaných funkčností a také cílovým nasazením.

Shrnutí

Z popisu jednotlivých řešení je zřejmé, že všechny současné (komerční) řešení se navzájem přibližují zejména z hlediska poskytované funkčnosti. Rozdíl je pouze v možnostech nastavení a kvalitě zpracování. V současnosti je však již poměrně obtížné přijít s výhodami, které konkurence nemá. Zde je však potřebné upozornit na skutečnost, že ne všechny funkce kráčí ruku v ruce s bezpečností. Pro vysvětlení uvádím režim active-active s vysokou dostupností (tj. souběžnou činnost obou firewallů). V takovém případě již nemá vysoká bezpečnost funkci vysoké bezpečnosti, ale naopak v případě výpadku jednoho zařízení to vede k výpadku části spojení, které aktivní zařízení již nestihnou obsloužit. S novými funkcemi proto raději opatrně.

Pokud jste mezi výše uvedenými firewally nenašli své oblíbeně řešení, napište nám o něm do diskuze. Pokud byste dané řešení dokázali zpřístupnit na otestování, rád se s ním obeznámím a doplním své zkušenosti do seriálu o firewallech.

Astaro Security Gateway

Dříve též známé jako Astaro Security Linux, je založeno na systému Linux doplněno o vlastní komponenty (zejména konfigurační rozhraní) a komerční software pro poskytování úplného bezpečnostního balíčku. K dispozici je softwarová appliance, virtuální appliance a také hardwarová appliance. Z hlediska funkčnosti je Astaro dodáváno ve třech verzích – Network Security, Web Security a Mail Security. Základní verze, Astaro Network Security, je z hlediska technologie stavový paketový filtr doplněn o IDS/IPS modul (Snort).

Astaro 1

Astaro: Konfigurace paket filtru

Tato kombinace technologií je v současnosti označovaná též jako hloubková inspekce paketů (angl. Deep Packet Inspection). Toto řešení dále obsahuje nástroje pro traffic shaping, load balancing, autentizaci, logování, reportování, možnost zapojení v clusteru a různé způsoby vzdáleného přihlášení. Astaro (dle oficiálních materiálů) již využívá vlastní webové a mailové proxy (tj. filtry na aplikační vrstvě). Proxy pro kontrolu nejvyužívanějších protokolů (HTTP/S, FTP, SMTP, POP3) ovšem nejsou součástí „základního balíku“, což může omezovat nastavení bezpečnostní politiky. Zde musím zmínit také chybějící implementaci IMAP proxy, což může být nevýhodou, pokud požadujete umístění veškeré pošty na serveru a přístup k ní pomocí tohoto protokolu. Na druhé straně vyzdvihuji implementaci HTTPS proxy, která skutečně ukončuje SSL/TLS „trubku“ na firewallu a dokáže ověřovat data přenášená také tímto protokolem. Zmiňovaná proxy by ovšem měla být použita pouze v opodstatněných případech, aby zbytečné neomezovala soukromí uživatelů. Jedním z nežádoucích efektů HTTPS proxy je zamezení IM komunikace pomocí Skype klientů, jelikož tyto odmítnou navazát spojení se servery.

Astaro 2

Astaro: Konfigurace HTTP proxy

Proxy, jež jsou součástí Web/Mail Security appliance, umožňují uživateli filtrovat webový obsah pomocí připravených kategorií, odstraňovat „embedded“ objekty (Flash, ActiveX, Java applety) ze zobrazovaných stránek, antivirovou a antispamovou kontrolu, logování provozu (včetně IM komunikace) a také šifrování/pode­pisování e-mailů na SMTP bráně.

Při testech jsem se zaměřil na virtuální a softwarovou appliance. Virtuální appliance se nepodařilo úspěšně nainstalovat. Vzhledem k omezenému času testování se mi nepodařilo chybu lokalizovat. Tato se ovšem vyskytovala na úrovni síťových rozhraní, příp. jejich virtualizace, a proto se nemusí nutně jednat o chybu Astara. Instalace softwarové appliance již proběhla hladce. Po nainstalování základního systému a nastavení síťové adresy pokračovala instalace interaktivným wizardem spuštěného přes webový prohlížeč. Vyplněním jednoduchých formulářů jsem nadefinoval požadavky na povolení/zakázaní základních služeb (web, mail, terminálové služby, IM, P2P, …), na základě kterých se vytvořilo prvotní nastavení. Následně byla možná podrobná konfigurace pomocí webového rozhraní.

Administrační rozhraní na první pohled působilo „megalomansky“ a nepřehledně. Důvodem byl zejména nadstandardně vysoký počet konfiguračních formulářů (jejichž je víc než 100) a na firewall také nestandardní vyplňování formulářů způsobem „drag-and-drop“. Po zorientování se v rozsáhlé struktuře nastavení se již tento způsob administrace ukázal spíše jako efektivní a rychlý – zejména pro řešení běžné administrace. Alternativní administrace z příkazové řádky není podporována, což může vadit pokročilým uživatelům zvyklých na unixové systémy. Samotné Astaro ovšem umožňuje přihlášení na lokální a vzdálenou konzolu, což se může hodit pro prohlížení logů a hledání příčin problémů.

Následně jsem se zaměřil na možnosti konfigurace pravidel firewallu, jakožto základní funkci UTM řešení. Mým cílem bylo nejen povolit služby běžící na interní sítí, ale také kontrolovat přenášená data. Z analýzy provozu vyplynulo, že Astaro implicitně spouští proxy na portech standardních služeb (HTTP, SMTP, …), ovšem všechny pravidla jsou dle webového rozhraní označována jako pravidla paketového filtru. Za nevýhodu také považuji nemožnost definice portů, na kterých požaduji proxy využívat, stejně jako nemožnost ověření, zda jsou filtrovací pravidla realizovaná pomocí proxy nebo stavového paketového filtru. Výrobce tohoto řešení se pravděpodobně pokoušel o maximální jednoduchost použití, ovšem za cenu uvedených omezení. Astaro proto nepovažuji za ideální řešení pro velké sítě a sítě s komplexní množinou síťových služeb.

Mezi největší klady řešení firmy Astaro patří jednoduchost nasazení, pohodlná administrace a přiměřená úroveň bezpečnosti, ovšem pouze v případě použití Web/Mail Security appliance. Pokud bych měl hodnotit bezpečnost základní appliance (tj. bez aplikační proxy), ta je ekvivalentní s jinými open source řešeními, nad kterými je Astaro Security Gateway postaven. Nevýhodou do budoucnosti může být také absence podpory IPv6.

Segment: malé a střední sítě s běžnými službami a se střední úrovní zabezpečení
Klady: jednoduchá instalace a administrace, integrace všech potřebných funkcí v jednom zařízení včetně logování a reportování
Zápory: chybějící IMAP proxy, chybějící podpora IPv6, problematické použití v prostředí s nestandardním nastavení síťových služeb

Fortinet Fortigate

Fortinet se svým UTM řešením Fortigate patří mezi hardwarové appliance, jelikož je dodáváno pouze na vlastní hardware. Firewall je „poháněn“ upraveným FreeBSD označeným jako FortiOS. Existence tohoto systému je ovšem v zařízení zatajena, jelikož neposkytuje žádné prostředky pro přihlášení na „unixovou konzolu“.

Z hlediska technologie jde o hybridní stavový a aplikační proxy firewall. Fortinet využívá vlastní implementaci klíčových technologií, což přispívá k lepší integraci jednotlivých bezpečnostních prvků a také zaručení vývoje do budoucnosti. Kontrola přenášených paketů je implicitně založena na hloubkové kontrole paketů. V principu tedy jde opět o paketový filtr s prvky IDS/IPS. Bezpečnost na vyšších vrstvách je posílena pomocí proxy – HTTP(S), SMTP, POP3, IMAP, FTP a IM/P2P. Použitelnost uváděné HTTPS proxy (taktéž uváděné v dokumentaci) může být ovšem zavádějící, jelikož se nekontrolují přenášená data (antivir, souborový filtr, filtrování obsahu).

fg-policy

Fortinet: Konfigurace paket filtru

Základní „subscription“ (tj. licence) obsahuje všechny základní bezpečnostní a síťové prostředky jako stavový filtr, IDS/IPS, web filtr, mail filtr, VPN, autentizaci uživatelů, traffic shaping, load balancing, IM/P2P blokování, atd. V porovnaní s konkurencí poskytuje řešení od Fortinetu pokročilé nastavení load balanceru s různými metodami rozhodování (staticky, round robin, různé vážené metody, na základě počtu spojení, …). Výhodou do budoucnosti je také podpora IPv6.

Vestavěná HTTP proxy dokáže stejně jako konkurenční řešení filtrovat aktivní obsah webových stránek. To je vhodné zejména při současným nárůstu útoků přes „Web 2.0“. Výhodou oproti jiným řešením může být také monitorování koncových stanic, které znepřístupní Internet uživatelům, jenž nedodržují stanovenou politiku (aktualizace OS, instalace a aktualizace antiviru/fire­wallu), nebo mají nainstalovaný/spuš­těný zakázaný software. Z filosofie konfigurace a novinek kolem Fortinetu se dá časem očekávat ještě větší zaměření na koncové stanice. (Doufejme, že to nebude na úkor síťové bezpečnosti.) Mezi zajímavé funkce patří také „data leak prevention sensor“, který chrání síť před odesíláním citlivých informací (např. čísla kreditních karet) z interní sítě.

fg-web-filter

Fortinet: Konfigurace ochranných profilů

Administrace firewallu je možná přes webové rozhraní, sériovou konzolu, telnet, nebo SSH (tzv. CLI – Command Line Interface). Poskytované webové rozhraní patří mezi nejjednodušší a zároveň intuitivní, s jakými jsem měl možnost pracovat. V porovnání s řešením od Astara poskytuje Fortinet menší počet přehledněji rozdělených nastavení. Způsob ovládání je ovšem věcí zvyku a po zaškolení je ovládání obou firewallů stejně pohodlné.

Konfigurace síťových pravidel je rozdělena na definici (nejen) bezpečnostních profilů a jejich spárování s pravidly firewallu. V případě méně zkušených uživatelů nebo složitější bezpečnostní politiky může tato elegantní filosofie navozovat falešný pocit bezpečí a vést k nesprávné konfiguraci síťové politiky. Absence nástrojů pro kontrolu vygenerované konfigurace vedla také v mém případě k nesprávné (tj. funkční, ale „nebezpečné“) prvotní konfiguraci, která byla odhalena až na základě sledování provozu před a za firewallem. Kontrola vygenerované konfigurace je vhodná také v případě použití jednoho profilu ve více pravidlech firewallu. Mnohé z nastavených kontrol v rámci bezpečnostního profilu musí být při použití paketového filtru z principu nefunkční a je proto důležité kontrolovat definování proxy na správných portech.

Stejně jako v případě dalších testovaných firewallů jsem se při testování zaměřil na konfiguraci typických „produktivních“ služeb – HTTP/S, SMTP, POP3/IMAP, FTP, IM. Cílem bylo nastavení maximální kontroly (tj. antiviru, antispamu, …) nad přenášenými daty. Fortigate umožňuje v nastavení profilů definovat porty, na kterých mají být jednotlivé proxy zpuštěny. Může být proto použit také v „nestandardním“ prostředí. Implicitní konfigurace proxy by ovšem mohla naslouchat na všech standardních portech. Další kontroly poskytované proxy se shodují s konkurencí. Musím zde ovšem zmínit „schizofrenní“ web filtr, který se skládá z dvou různých konfigurací, které se navzájem částečně prolínají a působí jako produkt dvou různých skupin vývojářů.

Důvěru použitému web filtru nedodává také implementace aktualizace databáze, která běží na portu 53, jež je určen pro resolvování doménových jmen. Jelikož se jedná o „systémovou“ službu, tento port je v sítích implicitně otevřený a běžně také bez jakékoliv kontroly. To může být také jeden z důvodů proč se Fortinet rozhodl právě pro tohle částečně kontroverzní řešení.

Při testování jsem také zjistil neprovázanost konfiguračních formulářů se skutečnou, nebo povolenou funkčností. Pokud byste si v konfiguraci nastavili použití bezpečnostních prvků (např. antivir, web filtr), na které nemáte licenci, ať jste si ji nekoupili, nebo již expirovala, konfigurační formulář vás na to neupozorní. Toto chování může také vést k nežádoucí konfiguraci. Při řešení problémů by Fortigatu slušely také lepší prostředky pro zaznamenávaní a prohlížení logů.

Segment: malé a střední sítě s bezpečnostní politikou zaměřenou na kontrolu koncových stanic
Klady: jednoduchá instalace a administrace, kontrola koncových stanic, kvalitní load balancer, možnost spuštění proxy na nestandardních portech, podpora IPv6
Zápory: absence prohlížení celkové konfigurace, nedostatečné prostředky pro logování, nedostatečná provázanost konfiguračních formulářů s kontrolou licencí, kontroverzní implementace aktualizací

Kernun UTM

Dalším řešením postaveným nad modifikovaným FreeBSD je Kernun UTM. Jde o hardwarový firewall, který je nově dodáván také jako řešení pro virtuální stroje. Kernun je dodáván v několika verzích podle licencovaných komponent – Net Access, VPN Access, Mail Acces a Branch Access. Na rozdíl od jiných řešení Kernun nevyužívá primárně paketové filtry, ale raději je postaveno na technologii aplikačních proxy bran. Pro filtrování ICMP paketů a nestandardních protokolů je možné využívat paketový filtr. Vzhledem k implementaci obecných TCP/UDP proxy nepočítá se s použitím paketového filtru jako primárního filtračního prostředku. Pro kontrolu běžných aplikačních protokolů je k dispozici sada proxy – HTTP(S), SMTP, IMAP, POP3, FTP, DNS, SQL a SIP.

Interpretace protokolů umožňuje vykonávat nad přenášenými daty jejich podrobnou kontrolu. K dispozici je antivir (Dr. Web, ClamAV, nebo NOD32), antispam, odstraňování vestavěných objektů a Java skriptů, filtrování stránek podle kategorií a klíčových slov, autentizace uživatelů, atd. Množina dostupných kontrol se u jednotlivých proxy liší, jelikož některé kontroly nemají význam u všech protokolů. Implementovaný paket filtr je možné použít společně s proxy pro zvýšení efektivity filtrování a zajištění kvality služeb (QoS). Přenášená komunikace může být ověřována pomocí IDS/IPS (Snort), jež může využívat bezplatnou, tak i placenou databázi pravidel. Pro náročné prostředí je k dispozici také možnost vysoké dostupnosti pomocí zapojení více firewallů do clusteru a VPN konektor s podporou OpenVPN a IPsec. Nevýhodou oproti jiným řešením může být absence load balancingu a dalších doplňkových služeb (např. kontrola koncových stanic), které jsou v praxi běžně nahrazovány nezávislými řešeními.

kernun 1

Kernun: Real-time statistika provozu sítě

Firewall Kernun se konfiguruje přes vlastní grafické rozhraní, které je dostupné pro operační systémy MS Windows, Linux a FreeBSD. Stejně tak je možná (ekvivalentní) konfigurace přes SSH terminál. Konfigurace firewallu se vytváří pomocí vlastního meta jazyka (označovaného jako CML), přičemž grafické rozhraní souběžně s editací ověřuje syntax (a částečně i sémantiku) konfigurace. Odlišný přístup k nastavení firewallu se ovšem může vyplatit v případě potřeby velmi specifické konfigurace. Cenou za variabilitu jsou vyšší nároky na znalosti správce zařízení.

Poskytována HTTP proxy poskytuje srovnatelnou funkčnost s konkurencí. Zde je ovšem těžké nabídnout něco nové, jelikož se jedná o nejdůležitější proxy, již mají všichni výrobci již „vymazlenou“. V prostředích vyžadujících vysokou bezpečnost je také možné využít HTTPS proxy, jež umožňuje kontroly shodné s HTTP protokolem (tj. antivir, filtrování obsahu, atd.).

Oproti jiným řešením poskytuje Kernun komplexnější e-mailové proxy (zejména SMTP), která umožňuje nejen striktně kontrolovat, ale také opravovat přenášené emaily, aby splňovali standardy RFC. Stejně tak je možné libovolně blokovat, povolovat a přeposílat (otevřeně, nebo skrytě) kopie e-mailů na základě zdrojové adresy, cílové adresy, počtu adresátů, přenášeného obsahu nebo jiných e-mailových hlaviček. Tyto funkce je možné v praxi využít, pokud byste chtěli archivovat všechny e-maily se specifickými parametry, zabránit uživatelům ve „spamování“ všech lidí z adresáře, odesílání e-mailů ve skrytých kopiích, atd. Vzhledem k odlišnému způsobu konfigurace umožňuje Kernun variabilnější konfigurace než jiná řešení poskytující pouze konfiguraci přes formuláře. To vše je ovšem možné pouze za cenu vyšší složitosti konfigurace.

V testování jsem se zaměřil stejně jak v případě předchozích zařízení na jednoduchost nastavení konfigurace a ověření správnosti nastavení. Jelikož jde o proxy firewall, nenastával zde problém se spouštěním paketových pravidel namísto požadovaných proxy. Složitost těchto nastavení mě ovšem donutila nastudovat manuál, jež nebylo nevyhnutelné při testování předchozích řešení. Zjednodušení administrace by jistě přispěl průvodce pro vygenerování prvotního „běžného“ nastavení, ať už ve formě instalačního skriptu, nebo krátkého popisu. Při řešení problémů jsem uvítal logovací možnosti poskytované konfiguračním nástrojem. Jelikož je možné všechny důležité služby realizovat přes aplikační nebo generické TCP/UDP proxy, úroveň logovaných informací může být na vyšší úrovni, než je tomu u paketových filtrů.

kernun 2

Kernun: Konfigurace SMTP proxy

Pro zpracování logů je k dispozici nástroj Reporter, jež umožňuje jednotné zpracování různých logů (tj. nejen se zařízení Kernun). Reporter je možné použít pro běžnou analýzu provozu, stejně jako při řešení bezpečnostních incidentů. Reporty je možné vytvářet v reálném čase „vyklikáním“ požadovaných parametrů, stejně jako nechat je automaticky generovat ve svoleném čase a posílat na email. V porovnaní s Astarem poskytují logovací a reportovací nástroje Kernun-u více informací, ovšem v méně přehledné formě. Záleží proto na samotném uživateli, která forma mu více vyhovuje.

Křisťálová Lupa 24 hlasovani

Podpora IPv6 je v současné verzi pouze „experimentální“, stabilní verze by měla být dostupná v půlce tohoto roku. Kernun UTM je dodáván včetně zdrojových kódů, které mohou posloužit k vlastním úpravám, stejně tak jako k verifikaci a certifikaci konkrétního nasazení. Otevřené řešení navíc poskytuje možnost doinstalování SW třetích stran.

Segment: střední a velké sítě s vysokými požadavky na zabezpečení
Klady: implicitní použití proxy „teoreticky“ zaručující vyšší bezpečnost, jednoznačnost konfigurace, kvalitní logovací a reportovací prostředky
Zápory: vysoká složitost konfigurace, absence průvodce pro jednoduché prvotní nastavení

Myslíte si, že váš osobní firewall funguje správně?

Upozorníme vás na články, které by vám neměly uniknout (maximálně 2x týdně).