Menu

Region US

Grandmetric LLC
Brookfield Place Office
200 Vesey Street
New York, NY 10281
EIN: 98-1615498
Phone: +1 302 691 9410
info@grandmetric.com

Region EMEA

GRANDMETRIC Sp. z o.o.
ul. Metalowa 5, 60-118 Poznań, Poland
NIP 7792433527
+48 61 271 04 43
info@grandmetric.com

Co potrafi firewall nowej generacji?

Co potrafi firewall nowej generacji?

Autor:


30.11.2022

Przed erą firewalli typu UTM (Unified Threat Management lub firewall nowej generacji) mieliśmy do czynienia najczęściej z urządzeniami typu stateful, czyli stanowymi. Zasada działania firewalla stanowego to przede wszystkim operowanie na nagłówkach warstwy trzeciej sieciowej (L3) i czwartej transportowej (L4) modelu OSI.  

Dzięki rozumieniu nagłówków oraz komunikatów w warstwie sieciowej i transportowej np. procesu ustanowienia połączenia TCP – three-way hand shake, firewall był w stanie „przypilnować”, aby jedynym możliwym kierunkiem inicjacji sesji była wcześniej zdefiniowana relacja stref bezpieczeństwa lub interfejsów np. zaufanego do niezaufanego. 

Jak działa firewall stanowy?

Firewall stanowy operując na adresach w warstwie sieciowej oraz flagach w warstwie transportowej, był w stanie rozpoznać początek sesji dwukierunkowej (czyli sesję zainicjowaną z konkretnej strony) oraz koniec sesji, otwierając automatycznie możliwość ruchu powracającego w ramach danej sesji. W takim scenariuszu, ruch, czy precyzyjniej pakiety, które nie należą do żadnej otwartej sesji, są nie tylko niedozwolone, ale również blokowane.  

case study konfiguracja utm nowej generacji

Firewall Nowej Generacji – Zaawansowana Zapora Sieciowa 

Dzisiejsze rozwiązania Next-Generation Firewall (NGFW lub UTM) wciąż bazują w podstawowej konfiguracji na scenariuszu stateful, jednak mają możliwość rozszerzenia działania o zaawansowane filtrowanie. W praktyce oznacza to, że kupując firewall nowej generacji z rodziny Firepower 1150 czy Fortigate 200, masz do dyspozycji takie mechanizmy jak Web Filtering, Application Control, IPS, czy Anti-Malware, które działają nie tylko na warstwach L3-L4, ale analizują ruch sieciowy aż do warstwy siódmej (L7). A to pozwala na większą kontrolę ruchu w dobie bardziej wyszukanych zagrożeń w sieci.  

Warto wspomnieć przy tej okazji o ogólnym trendzie zwanym Deep Packet Inspection (DPI) pozwalającym na wniknięcie pakietu do warstwy aplikacyjnej i analizę zawartości pakietu (payload) w tej warstwie. Ale na tym nie koniec. Współczesne zapory sieciowe potrafią skutecznie korzystać takich mechanizmów jak load balancing oraz load sharing

Mechanizm inspekcji pakietów w firewall

Przyjrzyjmy się bliżej funkcjom, których nie może zabraknąć w zaawansowanych rozwiązaniach Firewall.  

URL Filtering i Web Filtering w firewallach nowej generacji

Jedną z charakterystycznych funkcjonalności firewalli typu UTM lub Next-Generation Firewall jest URL Filtering. Jest to jeden z mechanizmów niedostępnych w rozwiązaniach firewall starszej generacji, czyli firewall’ach stanowych. URL Filtering pozwala na kontrolowanie zapytań o adresy URL (najczęściej blokowanie lub dozwalanie) lub ich części, na które użytkownicy próbują się łączyć w ramach połączeń http. URL Filtering wykorzystuje analizę znaków w ramach zapytania http np. wykorzystując tzw. wyrażenia regularne tzw. REGEX.  

Rozwinięciem technologicznym tej funkcjonalności jest tzw. Web Filtering zwany też Web Content Filtering, który wykorzystuje bardziej zaawansowane mechanizmy. Poza analizą poszczególnych znaków w ramach adresu URL filtruje treści posługując się kategoriami stron www skatalogowanymi w bazach danego producenta. Przykładem kategorii może być np. Banking, E-commerce, News, Social Media, Gaming itd.  

Jak działa Web Filtering / Content Filtering

Dzięki kategoryzacji administratorzy urządzeń firewall nowej generacji filtrują treści na bazie kategorii zawierających setki tysięcy różnych stron Internetowych. Funkcjonalności typu URL i Web Content Filtering najczęściej wykorzystywane są, by zablokować użytkownikom dostęp z sieci firmowej do niepożądanych stron, na przykład do wybranych mediów społecznościowych lub innych portali niezgodnych z polityką firmy. 

Application Filtering czyli kontrola aplikacji

Funkcjonalność Application Filtering (Application Control) bazuje na dwóch czynnikach: znajomości sygnatur (wzorców) aplikacji oraz na szablonach ruchu charakterystycznych dla danych aplikacji przenoszonych w ramach sieci. 

Umiejętność rozpoznania sygnatur aplikacji wiąże się najczęściej z analizą zawartości pakietu (and. Packet payload), a następnie określeniem przez firewall, z jaką aplikacją ma do czynienia w ramach danej sesji (nawet jeśli aplikacja wykorzystuje podczas komunikacji ruch szyfrowany). Taki mechanizm korzysta z szeregu technik nie będących standardową analizą np. portu TCP / UDP, ale wykorzystujących wiele innych wzorców w ramach zawartości pakietu, jego nagłówka lub też komunikatów charakterystycznych dla danych aplikacji.  

Application Filtering lub Application Control, podobnie jak Web Filtering, wykorzystuje kategorie skatalogowane przez producenta lub stworzone przez administratora systemów, umożliwiając wykorzystanie różnych filtrów np. Risks, Business Relevance, Types, Categories czy Tags.  

Przykładem takich aplikacji może być Facebook Messenger, Gmail, Google Hangouts, Office 365 i tysiące innych aplikacji.  Application Control umożliwia w związku z tym określenie, które z aplikacji firewall ma priorytetyzować, na które zezwalać, a które blokować, zgodnie z polityką firmy.  

Application Control

Intrusion Prevention (IPS) i Anti-Malware Protection (AMP+) 

Intrusion Prevention System wykorzystywany jest w ramach mechanizmu firewalla do wykrywania działań powszechnie uznawanych jako podejrzane np. związane z atakami na samo urządzenie firewall lub atakami przechodzącymi przez firewall nowej generacji, a obliczonymi na destabilizację usług za urządzeniem brzegowym.  

IPS jest mechanizmem najczęściej bazującym na sygnaturach ataków, czyli szablonach ruchu i funkcjach skrótu, dzięki którym możemy wykryć wiele niepożądanych zachować

Jakich konkretnie? 

  • skanowanie,  
  • próby ataków typu DoS (Denial of Service), DDos (Distributed Denial of Service), 
  • spoofing, 
  • próby przesłania niebezpiecznych komend w ramach komunikacji do urządzeń i przez urządzenie.  

Pewnego rodzaju rozwinięciem mechanizmów IPS są funkcjonalności zwane Anti-Malware Protection (np. AMP), czyli mechanizm odpowiedzialny za wykrywanie śladów i aktywności złośliwego oprogramowania typu malware, do którego zalicza się np. ransomware. Charakterystyczne dla oprogramowania malware jest powielanie i samoistne rozprzestrzenianie się w ramach danej sieci, a nawet polimorfizm. Tego rodzaju zagrożenia są niewątpliwie trudniejsze do wykrycia.  

Mechanizny AMP wspomagane przez uczenie maszynowe (ML) potrafią z większą skutecznością wykryć obecność złośliwego oprogramowania w naszej sieci. Wykorzystują w tym celu nie tylko z góry zdefiniowane sygnatury, ale również korzystając z bezpiecznego środowiska sandbox badają przez określony czas anomalie w zachowaniu oprogramowania lub tagując zachowanie programu jako niepożądane.  

Uczenie maszynowe wykorzystuje się również, by zapobiegać ryzykom nowych, nieznanych jeszcze ataków. Takie działania nazywamy 0day attack prevention.  

Jak istotna jest ochrona przed malware, przekonało się w ostatnich latach wiele globalnych firm ulegając np. zaszyfrowaniu dysków na komputerach użytkowników, a nawet kluczowych serwerach.  

Anti DDoS 

Mechanizm Anti-DDoS, jak nazwa wskazuje, posiada umiejętność mitygacji taku Denial of Service lub Distributed Denial of Service.  

Trudno jest zapewnić ochronę przed tego typu atakami wykorzystując jedynie firewall na styku sieci z operatorem (ISP), ponieważ charakterystyczną cechą ataku DDoS jest wykorzystanie całego łączą do ISP. Nawet jeśli firewall będzie mógł przetworzyć cały ruch i skutecznie blokować pakiety, łącze od strony operatora będzie wypełnione. W efekcie pożądany ruch nie będzie stanie dotrzeć do naszej sieci. 

Dlatego mechanizmy Anti DDoS lub systemy Anti-DDoS często realizowane są z wykorzystaniem tak zwanego Scrubbing Center lub w porozumieniu z operatorem sieci. Wykorzystuje się wówczas mechanizmy automatyzacji, które pozwalają dynamicznie sterować ruchem i które z chwilą wykrycia ataku kierują ruch przez chmurę posiadająca większą przepustowośś i zdolną do odfiltrowania niepożądanego ruchu. Następnie przesyła na nasze łącze „czysty” ruch.  

Jak widzisz, współczesne firewalle wykorzystują zaawansowane mechanizmy do ochrony na brzegu sieci. Dzięki temu lepiej reagują na pojawiające się zagrożenia i coraz wymyślniejsze metody ataku.   

Zastanawiasz się, który firewall spełni wymagania Twojej sieci? Wypełnij formularz kontaktowy – pomożemy Ci wybrać odpowiednie rozwiązanie.  

    Porozmawiaj z ekspertem Grandmetric

     

    Author

    Marcin Bialy

    Architekt systemów sieciowych i bezpieczeństwa IT. Prowadził duże projekty transformacyjne u klientów z branży bankowości, sektora enterprise, produkcji oraz instytucji państwowych. Spędził setki godzin przy konfiguracji, diagnostyce i projektowaniu sieci IP. Jest autorem kursów, workbook’ów do szkoleń autorskich Grandmetric i organizatorem inicjatyw takich jak Network & Wireless meetup zrzeszających społeczność specjalistów sieciowych. Jego specjalizacje obejmują obszar Network Security, Routing & Switching. Marcin posiada certyfikaty Cisco CCSI#35269, CCNP, CCNA. Był także był jednym z pierwszych inżynierów w Polsce uzyskując certyfikat FCNSP#7207 (dzisiejsza ścieżka NSE).

    Dodaj komentarz

    Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *

    Sign up to our newsletter!


    Grandmetric