Przed erą firewalli typu UTM (Unified Threat Management lub firewall następnej generacji) mieliśmy do czynienia najczęściej z urządzeniami typu stateful, czyli stanowymi. Zasada działania firewalla stanowego to przede wszystkim operowanie na nagłówkach warstwy trzeciej sieciowej (L3) i czwartej transportowej (L4) modelu OSI.
Dzięki rozumieniu nagłówków oraz komunikatów w warstwie sieciowej i transportowej np. procesu ustanowienia połączenia TCP – three-way hand shake, firewall był w stanie „przypilnować”, aby jedynym możliwym kierunkiem inicjacji sesji była wcześniej zdefiniowana relacja stref bezpieczeństwa lub interfejsów np. zaufanego do niezaufanego.
Firewall stanowy operując na adresach w warstwie sieciowej oraz flagach w warstwie transportowej, był w stanie rozpoznać początek sesji dwukierunkowej (czyli sesję zainicjowaną z konkretnej strony) oraz koniec sesji, otwierając automatycznie możliwość ruchu powracającego w ramach danej sesji. W takim scenariuszu, ruch, czy precyzyjniej pakiety, które nie należą do żadnej otwartej sesji, są nie tylko niedozwolone, ale również blokowane.
Dzisiejsze rozwiązania Next-Generation Firewall (NGFW lub UTM) wciąż bazują w podstawowej konfiguracji na scenariuszu stateful, jednak mają możliwość rozszerzenia działania o zaawansowane filtrowanie. W praktyce oznacza to, że kupując firewall następnej generacji z rodziny Firepower 1000 (np. model Firepower 1150) czy Fortigate 200, masz do dyspozycji takie mechanizmy jak Web Filtering, Application Control, IPS, czy Anti-Malware, które działają nie tylko na warstwach L3-L4, ale analizują ruch sieciowy aż do warstwy siódmej (L7). A to pozwala na większą kontrolę ruchu w dobie bardziej wyszukanych zagrożeń w sieci.
Warto wspomnieć przy tej okazji o ogólnym trendzie zwanym Deep Packet Inspection (DPI) pozwalającym na wniknięcie pakietu do warstwy aplikacyjnej i analizę zawartości pakietu (payload) w tej warstwie. Ale na tym nie koniec. Współczesne zapory sieciowe potrafią skutecznie korzystać takich mechanizmów jak load balancing oraz load sharing.
Przyjrzyjmy się bliżej funkcjom, których nie może zabraknąć w zaawansowanych rozwiązaniach Firewall.
Jedną z charakterystycznych funkcjonalności firewalli typu UTM lub Next-Generation Firewall jest URL Filtering. Jest to jeden z mechanizmów niedostępnych w rozwiązaniach firewall starszej generacji, czyli firewall’ach stanowych. URL Filtering pozwala na kontrolowanie zapytań o adresy URL (najczęściej blokowanie lub dozwalanie) lub ich części, na które użytkownicy próbują się łączyć w ramach połączeń http. URL Filtering wykorzystuje analizę znaków w ramach zapytania http np. wykorzystując tzw. wyrażenia regularne tzw. REGEX.
Rozwinięciem technologicznym tej funkcjonalności jest tzw. Web Filtering zwany też Web Content Filtering, który wykorzystuje bardziej zaawansowane mechanizmy. Poza analizą poszczególnych znaków w ramach adresu URL filtruje treści posługując się kategoriami stron www skatalogowanymi w bazach danego producenta. Przykładem kategorii może być np. Banking, E-commerce, News, Social Media, Gaming itd.
Dzięki kategoryzacji administratorzy urządzeń firewall następnej generacji filtrują treści na bazie kategorii zawierających setki tysięcy różnych stron Internetowych. Funkcjonalności typu URL i Web Content Filtering najczęściej wykorzystywane są, by zablokować użytkownikom dostęp z sieci firmowej do niepożądanych stron, na przykład do wybranych mediów społecznościowych lub innych portali niezgodnych z polityką firmy.
Funkcjonalność Application Filtering (Application Control) bazuje na dwóch czynnikach: znajomości sygnatur (wzorców) aplikacji oraz na szablonach ruchu charakterystycznych dla danych aplikacji przenoszonych w ramach sieci.
Umiejętność rozpoznania sygnatur aplikacji wiąże się najczęściej z analizą zawartości pakietu (and. Packet payload), a następnie określeniem przez firewall, z jaką aplikacją ma do czynienia w ramach danej sesji (nawet jeśli aplikacja wykorzystuje podczas komunikacji ruch szyfrowany). Taki mechanizm korzysta z szeregu technik nie będących standardową analizą np. portu TCP / UDP, ale wykorzystujących wiele innych wzorców w ramach zawartości pakietu, jego nagłówka lub też komunikatów charakterystycznych dla danych aplikacji.
Application Filtering lub Application Control, podobnie jak Web Filtering, wykorzystuje kategorie skatalogowane przez producenta lub stworzone przez administratora systemów, umożliwiając wykorzystanie różnych filtrów np. Risks, Business Relevance, Types, Categories czy Tags.
Przykładem takich aplikacji może być Facebook Messenger, Gmail, Google Hangouts, Office 365 i tysiące innych aplikacji. Application Control umożliwia w związku z tym określenie, które z aplikacji firewall ma priorytetyzować, na które zezwalać, a które blokować, zgodnie z polityką firmy.
Intrusion Prevention System wykorzystywany jest w ramach mechanizmu firewalla do wykrywania działań powszechnie uznawanych jako podejrzane np. związane z atakami na samo urządzenie firewall lub atakami przechodzącymi przez firewall nastepnej generacji, a obliczonymi na destabilizację usług za urządzeniem brzegowym.
IPS jest mechanizmem najczęściej bazującym na sygnaturach ataków, czyli szablonach ruchu i funkcjach skrótu, dzięki którym możemy wykryć wiele niepożądanych zachować.
Jakich konkretnie?
Pewnego rodzaju rozwinięciem mechanizmów IPS są funkcjonalności zwane Anti-Malware Protection (np. AMP), czyli mechanizm odpowiedzialny za wykrywanie śladów i aktywności złośliwego oprogramowania typu malware, do którego zalicza się np. ransomware. Charakterystyczne dla oprogramowania malware jest powielanie i samoistne rozprzestrzenianie się w ramach danej sieci, a nawet polimorfizm. Tego rodzaju zagrożenia są niewątpliwie trudniejsze do wykrycia.
Mechanizny AMP wspomagane przez uczenie maszynowe (ML) potrafią z większą skutecznością wykryć obecność złośliwego oprogramowania w naszej sieci. Wykorzystują w tym celu nie tylko z góry zdefiniowane sygnatury, ale również korzystając z bezpiecznego środowiska sandbox badają przez określony czas anomalie w zachowaniu oprogramowania lub tagując zachowanie programu jako niepożądane.
Uczenie maszynowe wykorzystuje się również, by zapobiegać ryzykom nowych, nieznanych jeszcze ataków. Takie działania nazywamy 0day attack prevention.
Jak istotna jest ochrona przed malware, przekonało się w ostatnich latach wiele globalnych firm ulegając np. zaszyfrowaniu dysków na komputerach użytkowników, a nawet kluczowych serwerach.
Mechanizm Anti-DDoS, jak nazwa wskazuje, posiada umiejętność mitygacji taku Denial of Service lub Distributed Denial of Service.
Trudno jest zapewnić ochronę przed tego typu atakami wykorzystując jedynie firewall na styku sieci z operatorem (ISP), ponieważ charakterystyczną cechą ataku DDoS jest wykorzystanie całego łączą do ISP. Nawet jeśli firewall będzie mógł przetworzyć cały ruch i skutecznie blokować pakiety, łącze od strony operatora będzie wypełnione. W efekcie pożądany ruch nie będzie stanie dotrzeć do naszej sieci.
Dlatego mechanizmy Anti DDoS lub systemy Anti-DDoS często realizowane są z wykorzystaniem tak zwanego Scrubbing Center lub w porozumieniu z operatorem sieci. Wykorzystuje się wówczas mechanizmy automatyzacji, które pozwalają dynamicznie sterować ruchem i które z chwilą wykrycia ataku kierują ruch przez chmurę posiadająca większą przepustowośś i zdolną do odfiltrowania niepożądanego ruchu. Następnie przesyła na nasze łącze „czysty” ruch.
Jak widzisz, współczesne firewalle wykorzystują zaawansowane mechanizmy do ochrony na brzegu sieci. Dzięki temu lepiej reagują na pojawiające się zagrożenia i coraz wymyślniejsze metody ataku.
Dodaj komentarz