Blog

Zašto nam više konvencionalni firewall nije dovoljan?

Uzevši u obzir tematiku i sadržaj sastanaka sa klijentima kojima sam prisustvovao u poslednje vreme, uvek smo imali pitanje iz naslova kao jedan deo razgovora. Naravno, formulacije su uvek drugačije ali suština se nije menjala. “Zašto moj firewall koji sve ove godine radi svoj posao sada više ne predstavlja dovoljno dobru zaštitu ? “. Pa, odgovora ima mnogo i iracionalno bi bilo ovde pisati detaljnu analizu ovde, te ću se potruditi da u nekoj kratkoj i pitkoj formi objasnim zašto je ta (za naše standarde) visoka investicija ipak opravdana.

 

Konvencionalni firewall-i su prosto rečeno vojnici. Dobri, poslušni i odani. Nikada ništa neće uraditi dok im ne date eksplicitno naređenje i bezuslovno će poslušati. Šta ovo znači tačno? Pa, primera radi, ukoliko mu naložite da zabrani pristup nekom resursu on će vas slepo poslušati bez obzira na posledice (pa makar bio i izgubljen pristup samom uređaju). Dakle, pravi primer spartanskog vaspitanja.

 

Firewall nove generacije (NG-Firewall) je sve što i prethodnik, samo sa dodatnim mogućnostima, odnosno taj isti vojnik samo sa radio vezom. Dodatna vrednost koju plaćate je upravo ova radio veza (jednim delom), kojom vojnik dobija informacije o svim poznatim kretnjama neprijatelja. I dalje on neće uraditi ništa na svoju ruku, bez eksplicitnog naređenja, ali će biti dosta spremniji da odgovori na sve vrste napada koji su mu unapred opisani. Isto tako, ovaj naš vojnik je sposoban da prisluškuje i dešifruje komunikaciju koja se odvija na bojnom polju oko njega. Dakle, nerazumljivih informacija za njega praktično ni nema. A u današnje vreme , uzevši u obzir tehnološki nivo savremenog sveta, ovo zvuči prilično impresivno, zar ne?

Ostavimo impresije po strani. Pričajmo objektivno. Da li dobijate potpuno siguran IT sistem? Odgovor u jednoj reči je – NE! Ne postoji takav sistem, barem ne još uvek. Pa čemu onda ovoliko investiranje u nešto što mi ne obezbeđuje miran san? Koliko god paradoksalno zvučalo, odgovor je ušteda. I vremena, i radne snage, i administracije, i aktuelizacije. Licenca kojom NG firewall skuplja podatke o pretnjama omogućava korisniku pristup bazi podataka proizvođača koju drže aktuelnom timovi koji broje stotine ljudi. Dakle, vi po ceni licence dobijate:

  • Tim koji prati bezbednosne trendove na svetskom nivou
  • Tim koji prati i testira veliki deo klijentskih aplikacija i potencijalnih “rupa” u njima
  • Tim koji prati “zdravost” internet sajtova
  • Tim koji prepoznaje viruse
  • Tim koji prepoznaje modele neželjenog ponašanja
  • Tim koji analizira mail saobraćaj
  • Tim koji ume da dešifruje enkriptovane komunikacije
  • Tim koji prati sve tačke koje služe za izbegavanje bezbednosnih mehanizama
  • I još dosta toga…

Kada bi bilo potrebno zaposliti sve ove ljude kako bi se sistem sa običnim firewall-om populisao svim ovim informacijama, trošak bi bio višestruk. A i opet, pitanje je da li bi se sve to moglo odraditi u toku ne jednog radnog dana, već i u toku 24 sata.

Sada, kada znamo šta sve dobijamo i koje su uopšteno mogućnosti, red je da zađemo malo dublje i sa analiziramo trenutno stanje:

Skaliranje uređaja

Prva velika i dobra stvar je da se cena hardware-a u poslednje 2 godine skoro pa dvostruko snizila. Proizvođači su napravili dosta dobar potez izmenom ponude, te sada kod svih vodećih vendora postoje uređaji namenjeni svim segmentima (da, čak i za mikrolokacije od po 5 zaposlenih) po veoma pristupačnim cenama. Ovo ne znači da je kvalitet opao, već jednostavno tehnološki razvoj proizvođača hardware-a je omogućio upravo ovakav pad cena. Komponente su jeftinije iz dana u dan. Proizvođača specijalizovanih čipova (ASIC/SoC) ima sve više, te i konkurencija čini svoje. Sve to ide u prilog krajnjim korisnicima.

Performanse

Nekada je ubacivanje UTM-a (koji je preteča ovih sadašnjih NGFW) u infrastrukturu bila ozbiljna glavobolja svima. Rezultat je najčešće bio takav da više od pola featurea-a na kraju završe u statusu disabled. Performanse su bile znatno niže, te su sve inspekcije koje su se obavljale unosile dosta kašnjenja u prenos podataka. Sada je slika sasvim drugačija. Uređaji su opremljeni monstruoznim procesorima, posvećenim čipovima (kriptografija,  SD-WAN, DPI,itd) višestruko većom količinom memorije (i radne i interne). Proizvođači su značajno unapredili i optimizovali operativne sisteme uređaja, što je takođe doprinelo performantnosti, ali i korisničkom iskustvu administratora.

Stvaranje eko-sistema

Većina vendora je shvatila da korisnik ne želi da administrira svoj sistem sa 50 različitih mesta/konzola/portala. Korisnik želi jednu tačku upravljanja nad celokupnom infrastrukturom. Upravo to je bila osnova inicijative da se „pod jedan krov“ stave bezbednosne korporativne komponente (NGFW,AV,mail protection,DLP,itd) kako bi se što efikasnije zaštitili zaposleni. Zbog ove inicijative sve navedene komponente međusobno razmenjuju informacije o statusu resursa koje štite, i zajednički deluju da u slučaju bilo kakvog incidenta što pre odreaguju i time smanje i rizik od neke veće štete. Jedna konzola za sve ovo. Prilično impresivno, zar ne?

Osim što komponente pričaju međusobno unutar korporativnog IT sistema, imaju još jednu dobru odliku, a to je da informacije o prepoznatim pretnjama razmenjuju preko javno dostupnih centara (threat exchange). Vendori su najzad shvatili da nije prednost ko šta zna, već kako to što zna iskoristi za zaštitu korisnika.

Navedena 2 tipa komunikacije daju najbolje objašnjenje bezbednosnog „eko-sistema“, koji je na kraju krajeva neophodan, uzevši u obzir koliko se broj napada na dnevnom nivou povećava.

Potreba korisnika i IPS

Zakonske regulative, broj napada, enkriptovan saobraćaj, inteligentni virusi (polymorphic npr) su realni pritisci na bezbednost svakog sistema koji projektuju panic-mode na svakog od nas. Svega ovog nije bilo do pre par godina. Zato je i običan firewall imao smisla i svrhu. Sada je situacija potpuno drugačija. Hakovanje više nije primarno usmereno ka institucijama od kojih se može imati finansijska korist. Napadi su sada masovni, ne biraju mete, retko kada se desi profilisani napad (barem na našem području). Sajtovi na deep-webu na kojima možete kupiti razne hakerske usluge obezbeđuju i DDoS napade raznih obima, pa možda dok ovo čitate vaš računar bez vašeg znanja šalje zahteve ka nekom sajtu jer je deo bot mreže? Ili će neko iskoristiti vaš računar da pokuša da hakuje Pentagon? Ovakve slučajeve običan firewall ne ume da prepozna, jer obično zone-based firewall za lokalnu mrežu misli da je „trusted“. Čak i da nema svesne potrebe za ovim iskorakom, dovoljno je da ste pročitali ovaj tekst čisto informativno i shvatili da u divljini interneta postoje razne opasnosti koje vrebaju.  Upravo ove informacije će stvoriti svesnu potrebu da se dodatno obezbedite. Ne čekajte da se desi incident, jer je to najbolniji scenario koji može da vas zadesi.  Da, na kraju krajeva suština staje u jednu rečenicu: potreban mi je IPS.

Enkriptovan saobraćaj

…je posebna priča. Od ideje da se zaštitimo od napada i „prisluškivanja“ na relaciji klijent-server, došli smo do toga da nam to ipak ne daje nikakvu sigurnost, jer su se i hakeri pridružili ovom trendu. Malware plasiraju preko zaraženih servera unutar enkriptovane konekcije, te uređaj koji nije sposoban da zaviri unutar ove konekcije nema nikakvu šansu da ovakav napad ni zaustavi. Neko će reći: pa šta, imam anti-virus na računaru. Kada virus uđe unutar vaše mreže, velika je verovatnoća da će naći i neku stanicu gde će se udomiti, zaspati i kada dobije naređenje krenuti u napad. Ili možda omogućiti pristup u vašu mrežu. Ili možda skinuti neki nelegalan sadržaj sa vaših adresa. Ili možda to već radi?

Web kontrola

Ovim servisom precizno možete ograničiti pristup sadržajima na internetu, i to sve preko unapred definisanih kategorija. Zaposlene možete sprečiti u pristupu neželjenim sajtovima, aplikacijama, protokolima… Takođe, smanjujete mogućnost curenja informacija iz korporacije. Smanjujete mogućnost od problema nastalih „slučajnim klikom“ na reklamu/link/itd… Jednostavno, sa vaše mreže moguće je doći samo do resursa koje vi smatrate adekvatnim.

Siguran pristup resursima preko VPN

Svi NGFW uređaji u sebi imaju integrisanu podršku za udaljeni pristup mreži koju štite. Osim jako pouzdanih i za upotrebu lakih klijenata, omogućiće i detaljna prava pristupa sa mogućnošću logovanja. Dakle, ako već neko mora da radi sa udaljene lokacije, imaćete precizan uvid u to kada, odakle i čemu je pristupano.

Šta NGFW nije?

Nije svemoguć. Neće rešiti sve vaše potencijalne rizike, ali daće vam dobar uvid u to šta se dešava u vašoj mreži i kakvo je ponašanje i kakve su navike vaših zaposlenih. Onemogućiće pristup neželjenim sadržajima. Odradiće anti-virus inspekciju saobraćaja (i plain i enkriptovanog).

Nije ni primarno namenjen za zaštitu javno dostupnih servisa. Činjenica je da neka rešenja mogu da daju neke osnovne funkcije reverznog proxy-ja, ali NGFW je primarno neko ko će vašu unutrašnju mrežu učiniti bezbednijom. Zaštitiće je u skladu sa svojim mogućnostima na granici sa internetom, ali  ukoliko vas zanima ova tema detaljnije, javite nam pa ćemo se potruditi da i to obradimo na sličan način.

Treba Vam ponuda ili pomoć pri izradi rešenja? Tražite partnera za implementaciju?

Kontaktirajte nas!