czyli dlaczego dobry Firewall nie wystarczy?
Dlaczego ważne jest kompleksowe spojrzenie na zabezpieczenie miejsc styku z Internetem, a nie koncentrowanie się na jednym obszarze?
W tym materiale postaramy się odpowiedzieć na to pytanie, pokazując potencjalne miejsca styku z Internetem, które mogą być krytyczne w przypadku ataku. Dowiesz się również, jakie są najpopularniejsze firewalle oraz jakich ataków możesz się spodziewać, gdy do tematu bezpieczeństwa podejdziesz wybiórczo.
Wpis powstał na podstawie cyklu Próba Połączenia, podcastu, w którym inżynierowie rozmawiają z inżynierami na tematy związane z sieciami, bezpieczeństwem i DevOps.
Współpracując z naszymi klientami, relatywnie często słyszymy, że posiadają dobry i wydajny firewall, więc są bezpieczni. W żaden sposób nie ignorując roli zabezpieczenia styku z Internetem, trzeba powiedzieć, że jest to tylko jedno z wielu miejsc w sieci, które wymaga uwagi. Powinniśmy pamiętać, że w dzisiejszych realiach sposoby i tak zwane wektory ataków oraz rozprzestrzeniających się zagrożeń są wyjątkowo zróżnicowane, żeby nie powiedzieć finezyjne. Warto też dodać, że w dobie dynamicznego rozwoju środowisk aplikacyjnych, centrów danych i środowisk chmurowych mamy do czynienia z coraz większą liczbą możliwych interfejsów, protokołów i styków z poszczególnymi częściami środowiska IT. Dlatego właśnie skupianie się na pojedynczym styku z Internetem w dzisiejszych czasach jest niewystarczające. Pod uwagę należy wziąć wszystkie miejsca styku z Internetem, gdzie może dojść do potencjalnego ataku.
Rys. 1 Potencjalne wektory ataku na infrastrukturę IT
Patrząc na sieć i aplikacje, miejsc tych może być sporo, np:
Firewall jest jednym z istotnych elementów całego systemu zabezpieczeń. W przypadku tego rozwiązania mamy do dyspozycji różne warianty, m.in:
W pierwszej kolejności powinniśmy wiedzieć co i gdzie chcemy chronić?
Czy chcemy chronić styk z internetem, zasoby w data center, a może potrzebujemy ochrony na styku z siecią ekstranet i wydajnej translacji adresów?
Kolejne ważne pytanie, na które powinniśmy sobie odpowiedzieć to jak chronić?
Czy będą to nasi użytkownicy wewnętrzni korzystający z Internetu, czy też zasoby dostępne z sieci publicznej przechowywane w naszej infrastrukturze wewnętrznej?
Nie można również zapomnieć o rodzaju ruchu, z jakim mamy do czynienia. Tu warto sobie odpowiedzieć na pytanie czy jest to ruch pocztowy lub z segmentu e-commerce (aplikacji webowych), czy raczej agregacja dużego wolumenu danych np. z urządzeń IoT. Każdy z tych przypadków wymaga analizy i odpowiedniego podejścia.
Rys. 2 Sposoby ochrony firewallem poszczególnych elementów środowiska IT
Zweryfikowanie tych kwestii to dopiero początek, a jak widać – jest co robić. Już na tym etapie jest sporo rzeczy, o których należy pomyśleć, dobierając właściwe rozwiązanie na styku sieci lub różnych segmentów. Dlatego zawsze niezbędny jest dobry projekt, a kolejną istotną kwestią jest właściwa jego implementacja. I to właśnie w tym momencie stosunkowo często dochodzi do przeoczeń lub błędnej konfiguracji, co niejednokrotnie prowadzi do otwarcia furtki na zagrożenia.
Wspomniany wcześniej UTM czy next generation firewall to aktualnie najczęściej spotykane i wybierane rozwiązania zabezpieczające styk z Internetem. Funkcjonalności, które charakteryzują te rozwiązania to m.in:
Rys.3 Czym powinien się charakteryzowac firewall
Pomimo znacznego postępu technologicznego, powyższe rozwiązania wciąż zachowują dobrze znaną logikę firewalli typu stateful. Polega ona na możliwości generowania ruchu ze strefy zaufanej do niezaufanej, blokując ruch inicjowany w kierunku przeciwnym.
Mechanizmy i reguły, jakich możemy użyć, wymagają od nas wcześniejszego zaplanowania, czyli precyzyjnej konfiguracji. Błędy lub niedopatrzenia, które powstają w wyniku implementacji mogą prowadzić do powstania poważnych luk w poszczególnych kategoriach. Takim przykładem może być np. brak widoczności działań podejrzanych typu intrusion, możliwość zaalokowania zasobów firewalla przy ataku typu DoS, czy po prostu zezwolenie na połączenia, które powinny zostać zablokowane.
Jednym z przykładów niedostatecznego zabezpieczenia samego urządzenia firewall i jego logiki jest zaalokowanie zasobów jego procesora i pamięci RAM. Taki efekt możemy uzyskać poprzez atak typu TCP SYN FLOOD.
Rys.4 Atak TCP Syn Flood
Atak TCP Syn Flood polega na tym, że atakujący prowadzi wiele równoległych nawiązań sesji TCP, których nie kończy tzw. prawidłowym TCP Handshake. Urządzenie, którego nie zabezpieczymy przed tą sytuacją będzie interpretowało takie połączenia jako legalne. W efekcie zaalokuje maksymalną ilość dostępnych zasobów, co uniemożliwi prawidłowy ruch użytkowników i systemów.
Z kolei przykładem na ominięcie logiki stateful jest atak polegający na zmuszeniu systemu wewnątrz sieci lub zmuszeniu użytkownika końcowego do wykonania z pozoru właściwego połączenia z sieci wewnętrznej do segmentu niezaufanego np. Internetu. Jest to nic innego jak kliknięcie w link kierujący do komputera atakującego, w ramach którego dochodzi do zestawienia sesji zwrotnej typu command and control. W konsekwencji atakujący zestawia tunel w ramach sesji, którą firewall interpretuje wciąż jako prawidłową. Tuneluje swój ruch C&C do środka sieci w ramach legalnego połączenia, które jest zabezpieczone np. protokołem SSL. Ilustrację zestawienia sesji command and control przedstawia rysunek poniżej.
Rys.5 Zestawienie sesji zwrotnej command and control
Innym wyzwaniem jest samo zabezpieczenie urządzenia firewall, a także utrzymanie jego firmware’u lub systemu operacyjnego w linii, która jest najmniej podatna na zagrożenia opisane w bazie podatności. Przykładem takiego ataku jest np. PATH TRAVERSAL. W tym przypadku atakujący jest w stanie dostać się do urządzenia, np. podmieniając plik konfiguracyjny lub element systemu plików urządzenia. W takiej sytuacji atakujący wejdzie na urządzenie w sposób nieautoryzowany, a następnie zaatakuje sieć wewnętrzną, używając firewalla jako stacji przesiadkowej.
Jak widać, w obszarze samych urządzeń firewall pracujących na styku z siecią internetową, istnieje wiele elementów, które należy wziąć pod uwagę, projektując ten segment. Szczegółowa analiza źródeł ruchu pozwoli na podjęcie decyzji, które segmenty sieci chronić najsilniej. Ta decyzja z kolei będzie miała znaczący wpływ na projekt zabezpieczenia styku z Internetem.
Zastanawiasz się, który firewall sprzętowy będzie najlepiej dopasowany do potrzeb Twojej organizacji? Nasi inżynierowie sieci i bezpieczeństwa przedstawią zalety i wady rozwiązań dostępnych na rynku. Wystarczy, że zapiszesz sie na bezpłatną konsultację techniczną.
Dodaj komentarz