Menu

Polska

GRANDMETRIC Sp. z o.o.
ul. Metalowa 5, 60-118 Poznań, Poland
NIP 7792433527
+48 61 271 04 43
info@grandmetric.com

Szwecja

Drottninggatan 86
111 36 Sztokholm
+46 762 041 514
info@grandmetric.com

UK

Grandmetric LTD
Office 584b
182-184 High Street North
London
E6 2JA
+44 20 3321 5276
info@grandmetric.com

US Region

Grandmetric LLC
Lewes DE 19958
16192 Coastal Hwy USA
EIN: 98-1615498
+1 302 691 94 10
info@grandmetric.com

  • en
  • pl
  • se
  • Bezpieczeństwo na brzegu sieci

    czyli dlaczego dobry Firewall nie wystarczy?

    Firewall. Wektory ataku na styku z Internetem.

    Date: 15.03.2022

    Autor:


    Dlaczego ważne jest kompleksowe spojrzenie na zabezpieczenie miejsc styku z Internetem, a nie koncentrowanie się na jednym obszarze? 

    W tym materiale postaramy się odpowiedzieć na to pytanie,  pokazując potencjalne miejsca styku z Internetem, które mogą być krytyczne w przypadku ataku. Dowiesz się również, jakie są najpopularniejsze firewalle oraz jakich ataków możesz się spodziewać, gdy do tematu bezpieczeństwa podejdziesz wybiórczo.

    Wpis powstał na podstawie cyklu Próba Połączenia, podcastu, w którym inżynierowie rozmawiają z inżynierami na tematy związane z sieciami, bezpieczeństwem i DevOps.

    Czy dobry firewall wystarczy?

    Współpracując z naszymi klientami, relatywnie często słyszymy, że posiadają dobry i wydajny firewall, więc są bezpieczni. W żaden sposób nie ignorując roli zabezpieczenia styku z Internetem, trzeba powiedzieć, że  jest to tylko jedno z wielu miejsc w sieci, które wymaga uwagi. Powinniśmy pamiętać, że w dzisiejszych realiach sposoby i tak zwane wektory ataków oraz rozprzestrzeniających się zagrożeń są wyjątkowo zróżnicowane, żeby nie powiedzieć finezyjne. Warto też dodać, że w dobie dynamicznego rozwoju środowisk aplikacyjnych, centrów danych i środowisk chmurowych mamy do czynienia z coraz większą liczbą możliwych interfejsów, protokołów i styków z poszczególnymi częściami środowiska IT. Dlatego właśnie skupianie się na pojedynczym styku z Internetem w dzisiejszych czasach jest niewystarczające. Pod uwagę należy wziąć wszystkie miejsca styku z Internetem, gdzie może dojść do potencjalnego ataku.


    Rys. 1 Potencjalne wektory ataku na infrastrukturę IT

    Patrząc na sieć i aplikacje, miejsc tych może być sporo, np:

    • dostęp do sieci, zarówno przewodowy jak i bezprzewodowy
    • segmenty aplikacyjne 
    • bazy danych 
    • frontend oraz backend
    • strefy DMZ 
    • lokalizacje zdalne połączone siecią rozległą 
    • hostingi i środowiska chmurowe  
    • poczta elektroniczna
    • urządzenia użytkowników końcowych, czyli laptopy, pecety oraz urządzenia mobilne

    Firewall – ściana nie do przejścia

    Firewall jest jednym z istotnych elementów całego systemu zabezpieczeń. W przypadku tego rozwiązania mamy do dyspozycji różne warianty, m.in:

    • Firewall stanowy (stateful firewall)
    • Firewall aplikacyjny 
    • UTM – Unified Threat Management
    • Next generation firewall 
    • WAF  –  Web Application firewall

    Od czego zacząć przygodę z firewallem?

    W pierwszej kolejności powinniśmy wiedzieć co i gdzie chcemy chronić?

    Czy chcemy chronić styk z internetem, zasoby w data center, a może potrzebujemy ochrony na styku z siecią ekstranet i wydajnej translacji adresów?

    Kolejne ważne pytanie, na które powinniśmy sobie odpowiedzieć to jak chronić? 

    Czy będą to nasi użytkownicy wewnętrzni korzystający z Internetu, czy też zasoby dostępne z sieci publicznej przechowywane w naszej infrastrukturze wewnętrznej?

    Nie można również zapomnieć o rodzaju ruchu, z jakim mamy do czynienia. Tu warto sobie odpowiedzieć na pytanie czy jest to ruch pocztowy lub z segmentu e-commerce (aplikacji webowych), czy raczej agregacja dużego wolumenu danych np. z urządzeń IoT.  Każdy z tych przypadków wymaga analizy i  odpowiedniego podejścia.

    Rys. 2 Sposoby ochrony firewallem poszczególnych elementów środowiska IT

    Zweryfikowanie tych kwestii to dopiero początek, a jak widać – jest co robić.  Już na tym etapie jest sporo rzeczy, o których należy pomyśleć, dobierając właściwe rozwiązanie na styku sieci lub różnych segmentów. Dlatego zawsze niezbędny jest dobry projekt, a kolejną istotną kwestią jest właściwa jego implementacja. I to właśnie w tym momencie stosunkowo często dochodzi do przeoczeń lub błędnej konfiguracji, co niejednokrotnie prowadzi do otwarcia furtki na zagrożenia. 

    Na co postawić, czyli najpopularniejsze firewalle

    Wspomniany wcześniej UTM czy next generation firewall to aktualnie najczęściej spotykane i wybierane rozwiązania zabezpieczające styk z Internetem. Funkcjonalności, które charakteryzują te rozwiązania to m.in:

    • filtrowanie ruchu na bazie znajomości aplikacji 
    • filtrowanie kategorii stron web lub tzw. filtrowanie adresów URL 
    • ochrona przed działaniami typu intrusion, czyli np. skanowanie sieci, source spoofing, inne przejawy rekonesansu czy denial of service, czyli DoS. 

    Rys.3 Czym powinien się charakteryzowac firewall

    Pomimo znacznego postępu technologicznego, powyższe rozwiązania wciąż zachowują dobrze znaną logikę firewalli typu stateful. Polega ona na możliwości generowania ruchu ze strefy zaufanej do niezaufanej, blokując ruch inicjowany w kierunku przeciwnym. 

    Mechanizmy i reguły,  jakich możemy użyć, wymagają od nas wcześniejszego zaplanowania, czyli precyzyjnej konfiguracji. Błędy lub niedopatrzenia, które powstają w wyniku implementacji mogą prowadzić do powstania poważnych luk w poszczególnych kategoriach. Takim przykładem może być np. brak widoczności działań podejrzanych typu intrusion, możliwość zaalokowania zasobów firewalla przy ataku typu DoS, czy po prostu zezwolenie na połączenia, które powinny zostać zablokowane.

    Niewłaściwe zabezpieczenie firewall –  ataki TCP Syn Flood i Command and Control

    Jednym z przykładów niedostatecznego zabezpieczenia samego urządzenia firewall i jego logiki jest zaalokowanie zasobów jego procesora i pamięci RAM. Taki efekt możemy uzyskać poprzez atak typu TCP SYN FLOOD.  

    Rys.4 Atak TCP Syn Flood

    Atak TCP Syn Flood polega na tym, że atakujący prowadzi wiele równoległych nawiązań sesji TCP, których nie kończy tzw. prawidłowym TCP Handshake. Urządzenie, którego nie zabezpieczymy przed tą sytuacją będzie interpretowało takie połączenia jako legalne. W efekcie zaalokuje maksymalną ilość dostępnych zasobów, co uniemożliwi prawidłowy ruch użytkowników i systemów.

    Rys.5 Zestawienie sesji zwrotnej command and control

    Innym wyzwaniem jest samo zabezpieczenie urządzenia firewall, a także utrzymanie jego firmware’u lub systemu operacyjnego w linii, która jest najmniej podatna na zagrożenia opisane w bazie podatności. Przykładem takiego ataku jest np. PATH TRAVERSAL. W tym przypadku atakujący jest w stanie dostać się do urządzenia, np. podmieniając plik konfiguracyjny lub element systemu plików urządzenia. W takiej sytuacji atakujący wejdzie na urządzenie w sposób nieautoryzowany, a następnie zaatakuje sieć wewnętrzną, używając firewalla jako stacji przesiadkowej.

    Podsumowanie

    Jak widać, w obszarze samych urządzeń firewall pracujących na styku z siecią internetową, istnieje wiele elementów, które należy wziąć pod uwagę, projektując ten segment. Szczegółowa analiza źródeł ruchu pozwoli na podjęcie decyzji, które segmenty sieci chronić najsilniej. Ta decyzja z kolei będzie miała znaczący wpływ na projekt zabezpieczenia styku z Internetem.

    Zastanawiasz się, który firewall sprzętowy będzie najlepiej dopasowany do potrzeb Twojej organizacji? Nasi inżynierowie sieci i bezpieczeństwa przedstawią zalety i wady rozwiązań dostępnych na rynku. Wystarczy, że zapiszesz sie na bezpłatną konsultację techniczną.

    Autor

    Marcin Bialy

    Architekt systemów sieciowych i bezpieczeństwa IT. Prowadził duże projekty transformacyjne u klientów z branży bankowości, sektora enterprise, produkcji oraz instytucji państwowych. Spędził setki godzin przy konfiguracji, diagnostyce i projektowaniu sieci IP. Jest autorem kursów, workbook’ów do szkoleń autorskich Grandmetric i organizatorem inicjatyw takich jak Network & Wireless meetup zrzeszających społeczność specjalistów sieciowych. Jego specjalizacje obejmują obszar Network Security, Routing & Switching. Marcin posiada certyfikaty Cisco CCSI#35269, CCNP, CCNA. Był także był jednym z pierwszych inżynierów w Polsce uzyskując certyfikat FCNSP#7207 (dzisiejsza ścieżka NSE).

    Dodaj komentarz

    Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *


    Grandmetric: Network & Security