|
|||||||||||||
|
|
||||||||
Mladen Mijatović | |||
Nova generacija firewall-a |
|||
Odnos sistem-administratora i IT security timova sa jedne i korisnika korporativnih mreža sa druge strane oduvek je bio igra policajaca i lopova, u kojoj ovi prvi već duže vreme ozbiljno posrću. Palo Alto Networks firewall je moćno novo oružje u rukama mrežne policije. |
Ova priča je zapravo univerzalna: sa jedne strane su široke mase koje ne trpe da im iko stoji nad glavom i koje zahtevaju opštu „slobodu“, pri čemu obavezno propuštaju da primete da sistem u kome je sve dopušteno prerasta u anarhiju i srlja u rasulo; sa druge strane su snage zadužene za sprovođenje zakona i pravila, kojima je zadatak da spreče raspad sistema, zbog čega su po pravilu izuzetno neomiljene. I dok se u političkim sistemima može naveliko raspravljati o građanskim slobodama i (prekomernim) ovlašćenjima snaga reda, u korporativnom okruženju mesta za to nema – pravila su takva kakva su, doneo ih je neko čiji je zadatak da donosi pravila (dobra ili loša, pokazaće poslovanje firme), a na radnicima je da ta pravila poštuju. Svaka veća firma ima strogo definisana pravila koja određuju šta je dozvoljeno, a šta ne u računarskom sistemu i korporativnoj mreži, a za sprovođenje propisa zaduženi su sistem‑administratori i IT security odeljenja. Međutim, korisnici su sve bolje potkovani tehničkim znanjem i više nego ikad motivisani da krše ova pravila, pa posao „mrežnih policajaca“ postaje sve teži i teži. Vatreni zid?Tradicionalni mrežni uređaj za kontrolu pristupa je firewall, koji se obično postavlja na granici između korporativne mreže i spoljnog sveta. Njegova uloga je da propušta sav poželjan saobraćaj, istovremeno blokirajući rizičan saobraćaj i sve ono što je zabranjeno korporativnom politikom. Interesantno je da naziv nema veze ni sa kakvim „vatrenim zidom“, već ovaj uređaj duguje svoje ime jednom konceptu iz oblasti građevinarstva: dok se pregradni zidovi u zgradama obično izrađuju od nekog laganog materijala, na ključnim mestima postavljaju se masivni zidovi, čiji je zadatak da spreče širenje eventualnih požara. Istovremeno se u ovim protivpožarnim zidovima ostavljaju otvori kroz koji se provlače električne i druge instalacije, što podseća na princip rada firewall‑a, koji štiti mrežu od hazarda javnog interneta, dok na kontrolisan način propušta samo poželjan saobraćaj. U praksi se, međutim, javlja niz problema, koji bi se mogli sažeti u sledeću konstataciju: za današnja merila firewall je postao isuviše grub uređaj. Igra mačke i mišaIT administratori mogu, recimo, na firewall‑u da zabrane pristup određenim sajtovima na internetu, ali time često rizikuju fleksibilnost i ugrožavaju normalan posao. Jedan primer iz prakse svedoči o velikoj firmi u kojoj se jedno odeljenje bavilo razvojem aplikacija koje se integrišu sa Facebook‑om, ali, pošto je korporativna politika zabranjivala pristup ovoj društvenoj mreži, zaposlenima su ruke bile vezane. Posle dosta muke, Facebook je propušten samo ka računarima sa određenim IP adresama, čime opet nije uspostavljena egzaktna korespondencija između određenih radnika i njihovih radnih zadataka; izostala je fleksibilnost, ali su otvorene mogućnosti za zloupotrebe. U pokušaju da se spreči rad neželjenih aplikacija, na firewall‑u se često blokira saobraćaj po određenim TCP i UDP portovima, ali ni to nije garancija uspeha. Popularni Skype je u korporativnoj mreži obično nepoželjan – troši mrežni saobraćaj, negativno utiče na produktivnost zaposlenih i omogućuje razmenu fajlova mimo uobičajenih kontrolnih mehanizama kojima su zaštićeni elektronska pošta ili FTP. Pa opet, Skype najčešće prolazi kroz firewall, jer ova aplikacija dinamički menja port po kome radi, nalazeći „rupu“ kroz koju može da se provuče – na radost zaposlenih i užas IT security odeljenja. S druge strane, mnoge firme se oslanjaju upravo na Skype da bi umanjile svoje telefonske račune, posebno pri razgovorima sa inostranstvom, i u njima treba razdvojiti one koji ćaskaju od onih koji rade. Mnoge aplikacije, kao što je VNC TeamViewer, koji služi za daljinsko upravljanje računarima, danas se svesno prave tako da na ovaj ili onaj način prolaze kroz firewall i time se proizvođači otvoreno hvale. Neke aplikacije pakuju svoj saobraćaj unutar well-known portova, „maskirajući se“ u HTTP ili neki drugi uobičajeni protokol koji firewall uvek propušta. Sve ovo stvara iskrivljenu sliku u kojoj se firewall vidi kao bespotrebna smetnja, koju samo treba nekako zaobići. Nažalost, ni najnapredniji korisnici ne mogu da budu sigurni da rupa koju su otvorili zarad osećaja lične slobode ili puke zabave neće poslužiti kao ulaz za neki opasan napad sa interneta. Sedi i izmisli ga ponovo!Kako pomiriti stalnu potrebu za bezbednošću sa sve većim zahtevima za (kontrolisanim) korišćenjem modernih Web aplikacija? Praksa pokazuje da klasičan firewall jednostavno nije dorastao ovom zadatku. Palo Alto Networks je kompanija koju je osnovao Nir Zuk, jedan od vodećih ljudi u svetu mrežne bezbednosti i izumitelj statefull inspection tehnologije. Zuk i njegov tim su podvukli crtu, pobrojali sve ono što bi firewall trebalo da bude i napravili seriju uređaja koja iz temelja menja koncept firewall‑a. Kod PAN firewall‑a nove generacije potpuno je napušten koncept po kome se pravila o propuštanju ili blokiranju IP paketa donose na osnovu brojeva njihovih TCP/UDP portova, jer to danas više nije relevantan pokazatelj. Umesto toga, PAN firewall otkriva koja tačno aplikacija generiše saobraćaj, bez obzira na broj porta, protokol, eventualnu SSL enkripciju saobraćaja ili taktiku izbegavanja koju dotična aplikacija primenjuje da bi zavarala klasičan firewall. Ovo je upravo ono što svaki administrator želi – da uvek ima uvid u to koje aplikacije mu rade u mreži, pa je identitet aplikacije osnova za donošenje svih bezbednosnih pravila na mreži. Klasičan firewall može nešto da dozvoli ili zabrani nekoj IP adresi, ali nema načina da zna ko se tačno krije iza te adrese. PAN firewall se integriše sa korporativnim direktorijumima (Active Directory, eDirectory, LDAP, Citrix), na osnovu čega identifikuje pojedinačne korisnike ili grupe korisnika, koji tako postaju „vidljivi“ na mreži, pa se u svakom trenutku poimence zna ko šta radi. Kod firewall‑a je veoma važna brzina rada, posebno zbog rastućeg broja multimedijalnih i govornih servisa koji ne trpe kašnjenje. PAN firewall je zasnovan na namenskoj hardverskoj platformi optimizovanoj za specifične zadatke i oslanja se na poseban striming endžin, koji skeniranje obavlja u jednom prolazu i u realnom vremenu. Podaci prolaze brzinom do 10 Gbit/s, a kontrolna ravan je fizički odvojena od ravni podataka, pa nema opasnosti da veliko saobraćajno opterećenje dovede do blokiranja komandnog interfejsa. Nepodnošljiva lakoća upravljanjaJedna od bitnih odlika PAN firewall‑a je i pojednostavljen i pregledan korisnički interfejs. Za upravljanje PAN firewall‑om na raspolaganju je GUI Web browser‑a, ali i tekstualni interfejs komandne linije (CLI), kao i specijalizovana aplikacija za centralizovani nadzor i upravljanje većim brojem uređaja istovremeno. Intuitivni grafički prikaz pruža trenutnu vidljivost za sve što se dešava na mreži, a na raspolaganju su i posebni programski alati koji omogućuju pisanje proizvoljnih bezbednosnih pravila za aplikacije, korisnike i sadržaje. Sve ovo omogućuje mnogo preciznije upravljanje, koje daleko prevazilazi crno‑beli pristup „dozvoli/zabrani“. Mnogobrojne nijanse sive omogućuju definisanje pravila kojima se aplikacije ili vrsta saobraćaja dozvoljavaju u zavisnosti od rasporeda i vremena, pojedinačnih korisnika ili grupa korisnika, kojima se dozvoljavaju samo neke od funkcija pojedinačne aplikacije, primenjuje dešifrovanje i ispitivanje kriptovanog saobraćaja, primena QoS pravila itd. Osim nametanja korporativne politike korisnicima, PAN firewall brani mrežu i od mnogobrojnih pretnji koje vrebaju sa interneta: sistem za sprečavanje upada štiti od DOS napada, skeniranja portova, prepunjavanja memorijskih bafera i drugih srodnih pretnji, dok mrežni antivirus blokira zlonamerne programe, skenirajući saobraćaj u realnom vremenu. Kada je reč o implementaciji u mrežno okruženje, PAN firewall je vrlo fleksibilan: podržava L2 i L3 funkcije rutera i sviča, a može se konfigurisati i u vidu potpuno transparentne veze između dva Ethernet porta (Virtual Wire). Interesantno je da se unutar jednog fizičkog uređaja može formirati više logičkih firewall‑ova, pa se za svaki ponaosob definišu konfiguracija i bezbednosna politika. PAN firewall familiju čini šest profesionalnih mrežnih uređaja različitih performansi, prilagođenih različitim potrebama korisnika. Kompanija Palo Alto Networks je ovim novim konceptom izvesno privukla pažnju, uzdrmala tržište i ispisala neka nova pravila kada je firewall u pitanju. Ostaje da se vidi kakve će biti dugoročne posledice. Korisne adrese:
iTipo
|
|