Τα νέας γενιάς Firewalls που ουσιαστικά επικεντρώνουν τη λειτουργικότητά τους στον έλεγχο των εφαρμογών, προσφέρουν μια σειρά επιπρόσθετων πλεονεκτημάτων σε σχέση με τα παραδοσιακά, με βασικότερα όλων τη δυνατότητα λεπτομερέστερης διάκρισης των ρίσκων στο περιεχόμενο μιας ιστοσελίδας.
Τα Firewalls αποτελούν το κυριότερο μέσο προστασίας του εσωτερικού δικτύου κάθε εταιρείας από τις εξωτερικές επιθέσεις. Παρατηρώντας την εξελικτική τους πορεία φαίνεται ότι τα τελευταία 25 χρόνια παρέμειναν κάπως αμετάβλητα στη βασική τους δομή, μιας και η τεχνολογία σε γενικά επίπεδα δεν παρουσίαζε σημαντικές αλλαγές.
Στις μέρες μας όμως – και κυρίως μετά την υιοθέτηση του Web 2.0 – εγείρονται θέματα ουσιαστικής προστασίας, χωρίς ολοκληρωτική αποκοπή του intranet από το εξωτερικό δίκτυο. Κι αυτό, γιατί τα παραδοσιακά Firewalls δεν ασκούν επαρκή, αξιόπιστο και ευέλικτο έλεγχο στις νέες εφαρμογές ή το περιεχόμενο των ιστοσελίδων. Γεννήθηκε λοιπόν η ανάγκη δημιουργίας νέων Firewalls που θα πραγματεύονται σε βάθος τα θέματα των εφαρμογών και τις απειλές που σχετίζονται με αυτές.
Κατανοώντας τη χρηστικότητα των νέων Firewalls
Η τεχνολογία δεν εξελίσσεται μόνο προς όφελος του τελικού χρήστη αλλά και προς όφελος των διαφόρων επίδοξων επιτιθέμενων στα δίκτυα. Οι εισβολείς άλλαξαν τους στόχους τους και πλέον δεν επιτίθενται μόνο στα λειτουργικά συστήματα αλλά και στις εφαρμογές που διενεργούν σε αυτά, χρησιμοποιώντας πρωτόκολλα όπως το HTTP και XML, ώστε να εισάγουν κακόβουλο λογισμικό στα εσωτερικά δίκτυα των εταιρειών.
Τα παραδοσιακά Firewalls λειτουργούν με τη λογική αποδοχή /απόρριψη, κατά την οποία σαρώνουν τα πακέτα που φτάνουν σε αυτά και ανάλογα αν συμφωνούν με τους κανόνες που θέτει η πολιτική ασφάλειας, επιτρέπουν ή όχι τη λήψη ή αποστολή του πακέτου. Όμως ένα παραδοσιακό Firewall μπορεί να θεωρήσει μη επιτρεπόμενο ένα πακέτο που ουσιαστικά φέρει ένα ενεργό περιεχόμενο από μια ιστοσελίδα που υποστηρίζεται από την τεχνολογία Web 2.0 ή από την άλλη μεριά να επιτρέψει την είσοδο πακέτου που έχει ενσωματωθεί σε μια εφαρμογή και είναι κακόβουλο, αλλά ουσιαστικά δεν μπορεί να ανιχνεύσει.
Μέχρι στιγμής πολλοί Οργανισμοί ασκούν καταλυτικό έλεγχο στις δραστηριότητες των υπαλλήλων τους, απαγορεύοντας κάθε είδους δραστηριότητα που δεν μπορούν να ελέγξουν επαρκώς, όπως οι δικτυακές εφαρμογές. Με αυτόν τον τρόπο όμως, υπολείπονται σε λειτουργίες, μιας και δεν εκμεταλλεύονται τα πλεονεκτήματα του λεγόμενου software as a Service, του cloud και τις χρήσεις των φορητών συσκευών. Και αυτό γιατί τα παραδοσιακά Firewalls που διαθέτουν δεν είναι ικανά να ορίσουν πλαίσια στο περιεχόμενο που λαμβάνουν και να ασκήσουν επιτυχή έλεγχο στη δικτυακή ροή.
Με τα νέας γενιάς Firewalls, οι διαχειριστές επιτυγχάνουν την ικανοποιητική διαμόρφωση των κανόνων ροής της πληροφορίας από και προς το δίκτυα. Τα κύρια χαρακτηριστικά τους είναι:
- Επίβλεψη πραγματικού χρόνου: Θεωρείται ότι τα νέας γενιάς Firewalls έχουν τη δυνατότητα να δημιουργούν αποτελεσματικούς κανόνες επίβλεψης της ροής. Η αποτελεσματικότητά τους δεν εξαρτάται μόνο από το βάθος άσκησης ελέγχου, αλλά και από την ικανότητα να ελέγχουν σε πραγματικό χρόνο τη ροή, να συλλέγουν πληροφορίες και να αποφασίζουν σύμφωνα με τους δοθέντες κανόνες, αν η χρήση του εύρους από συγκεκριμένες εφαρμογές είναι η επιτρεπόμενη ή αν η επισκεψιμότητα των χρηστών σε συγκεκριμένους ιστότοπους είναι λογική. Οι κανόνες μεταλλάσσονται ανάλογα, σύμφωνα με την πολιτική ασφάλειας και τη δραστηριότητα του δικτύου, αυξάνοντας έτσι την παραγωγικότητα, εντείνοντας την ασφάλεια και παρουσιάζοντας στο διαχειριστή μια γενική και αξιόπιστη εικόνα για τη χρηστικότητα των πόρων του.
- Αποσπασματικός έλεγχος σε μεγαλύτερο βάθος: Η ασφάλεια πλέον δεν στηρίζεται σε γενικευμένα πρωτόκολλα αλλά ασκείται τμηματικά και εξειδικευμένα για κάθε εφαρμογή του συστήματος. Έτσι εξασφαλίζεται για κρίσιμες εφαρμογές όπως το Microsoft SharePoint, το απαραίτητο εύρος για την ομαλή λειτουργία του, ενώ παράλληλα ο διαχειριστής ενημερώνεται μέσω γραφημάτων απόδοσης για τη ροή και τον αντίκτυπο που επέφεραν οι αλλαγές σε ορισμένους κανόνες ασφαλείας.
- Εφαρμογή περίπλοκων κανόνων: Στα νέας γενιάς Firewalls δεν συναντώνται απόλυτοι κανόνες αποδοχής ή απόρριψης, αλλά υιοθετείται ένα πιο ευέλικτο μοντέλο, που για παράδειγμα επιτρέπει την πρόσβαση στο Facebook, αλλά απαγορεύει τη χρήση του FarmVille. Επίσης ορίζονται όρια χρήσης με τα οποία επιτρέπεται στο Facebook να καταλαμβάνει το 10% του διατιθέμενου εύρους τις ώρες αιχμής της λειτουργίας της εταιρείας, όρια που αλλάζουν όσο ο φόρτος εργασίας μεταβάλλεται. Βέβαια, όπου αυτό κρίνεται απαραίτητο απαγορεύεται ολοκληρωτικά η πρόσβαση σε συγκεκριμένες εφαρμογές, γκρουπ ή χρήστες.
- Αυτόματη αναβάθμιση υπογραφών: Υπάρχουν εφαρμογές που αλλάζουν δυναμικά με στόχο να επιτίθενται στο Firewall και να επιτυγχάνουν πρόσβαση, όπως οι εφαρμογές P2P. Για αυτές τις περιπτώσεις τα νέας γενιάς Firewalls έχουν τη δυνατότητα να αναβαθμίζουν αυτόματα τις πληροφορίες για τις υπογραφές που φέρουν οι εφαρμογές και τις μπλοκάρουν, ανεξαρτήτως της θύρας ή του πρωτοκόλλου που χρησιμοποιούν.
- Έλεγχος της μεταφοράς δεδομένων: Όλα τα δεδομένα που διακινούνται στο δίκτυο βρίσκονται υπό έλεγχο και αν κάποιος χρήστης επιχειρήσει να αποστείλει ευαίσθητα δεδομένα της εταιρείας, αναρτάται προειδοποιητικό μήνυμα στην οθόνη του, που τον ενημερώνει για την πράξη του και την απαγόρευσή της.
Βάσει των προαναφερομένων, γίνεται αντιληπτό ότι με τα νέας γενιάς Firewalls η ρύθμιση των κανόνων ασφαλείας γίνεται ευκολότερη, λόγω της επίβλεψης πραγματικού χρόνου, γεγονός που συμβάλλει επίσης και στη βαθύτερη κατανόηση της ροής του εταιρικού δικτύου και του τρόπου χρήσης του. Επίσης είναι ευκολότερος ο εντοπισμός λαθών στη διαμόρφωση των κανόνων και στη θέσπιση νέων για ζητήματα που δεν γίνονται αμέσως αντιληπτά.
Απαιτήσεις λειτουργίας
Τα νέας γενιάς Firewalls, που ουσιαστικά επικεντρώνουν τη λειτουργικότητά τους στον έλεγχο των εφαρμογών, είθισται μέσα σε ένα εταιρικό δίκτυο να συνυπάρχουν με τα τυπικά antivirus, antispyware, καθώς και με τα παραδοσιακά Firewalls ή με UTM συσκευές, για την αποτροπή εισβολέων. Για τη συνύπαρξη όλων αυτών απαιτούνται συστήματα με υψηλή επεξεργαστική ισχύ, ώστε να αξιολογείται ο φόρτος της ροής των δεδομένων, καθώς και να ελέγχονται τα πακέτα που εισέρχονται και εξέρχονται. Αν και αυτά τα νέας γενιάς Firewalls εγκαθίστανται συνήθως σε συστήματα με πολυπύρηνους επεξεργαστές, προτού υιοθετηθούν οφείλεται να μελετηθεί αν όντως θα είναι διαχειρίσιμος ο τρέχων όγκος πληροφοριών αλλά και ο μελλοντικός.
Έτσι, για τα δίκτυα υψηλής ροής αποδίδει η εγκατάσταση διαφορετικών Firewalls, όπου το καθένα θα αναλαμβάνει διαφορετικό επίπεδο ελέγχου. Τα δικτυακά Firewalls θα διαχειρίζονται τη ροή πληροφοριών, τις σαρώσεις θύρας, Dos και τις επιθέσεις χαμηλού επιπέδου, επιτρέποντας στα Firewalls εφαρμογών να καθορίζουν την επιτρεπόμενη χρήση των σημερινών πολύπλοκων εφαρμογών. Με αυτόν τον τρόπο εξασφαλίζεται ισορροπία μεταξύ της απόδοσης και της ανάλυσης εις βάθος, μέσω μιας δομής Firewalls ενός Οργανισμού.
Μια επιτακτική αναγκαιότητα
Στην αγορά, η διάθεση Firewall νέας γενιάς δεν υπάρχει σε πληθώρα, μιας και οι ίδιοι οι πάροχοι δεν είναι ακόμα επαρκώς έτοιμοι να τα υποστηρίξουν και να εκπαιδεύσουν τους τελικούς χρήστες. Παρόλα αυτά, η ζήτηση είναι αυξημένη γιατί υπάρχουν εξεζητημένες ανάγκες σε ασφάλεια από τις εταιρείες που αντιμετωπίζουν σοβαρά προβλήματα στην καθημερινότητά τους. Αυτό που πρέπει να γίνει κατανοητό είναι ότι ίσως ένα τέτοιο προϊόν δεν είναι αναγκαίο για εταιρείες μικρότερου βεληνεκούς. Ενώ στις μεγάλες επιχειρήσεις οι ΙΤ managers έχουν συνειδητοποιήσει ότι τα Firewall εφαρμογών είναι αναγκαία για να διαμορφώσουν και να εφαρμόσουν ουσιαστικές και ευέλικτες πολιτικές ασφάλειας, στις μικρότερες επιχειρήσεις, λόγω συνήθως ενός σχετικού βαθμού άγνοιας, τα πράγματα ίσως είναι απλούστερα. Έτσι, αντί να απαιτείται επένδυση σε μια νέα τεχνολογία, ίσως το μόνο που χρειάζονται είναι ένα παραδοσιακό Firewall συνδυασμένο με ένα εσωτερικό/εξωτερικό IPS. Από την άλλη μεριά, στους μεγάλους Οργανισμούς όπου η ύπαρξη ενός Firewall εφαρμογών θεωρείται επιτακτική, είτε θα πρέπει να εντοπίσουν τον έμπορο εκείνο που το παρέχει και το υποστηρίζει ταυτόχρονα ή να υιοθετήσουν ένα προϊόν και να αφιερώσουν χρόνο στην εκμάθησή του.
Κατανόηση των εφαρμογών σε βάθος
Σαφώς και οι υπάρχουσες λύσεις μπορεί να είναι ικανοποιητικές ακόμα για κάποιες επιχειρήσεις, αλλά πάντα υπάρχει η ανησυχία για τις μελλοντικές απαιτήσεις ασφάλειας και αν θα ήταν λογικό η επένδυση σε ένα τέτοιο προϊόν να γίνει όσο το δυνατό νωρίτερα. Όμως, προτού κάποιος αγοράσει ένα Firewall εφαρμογών, επιθυμεί να κατανοήσει το βάθος και το εύρος προστασίας που προσφέρει, καθώς και τα οφέλη που θα αποκομίσει.
Αρχικά, ένα Firewall επόμενης γενιάς θα πρέπει να διαθέτει μηχανισμό αποτροπής των εισβολέων στο δίκτυο. Τα παλαιότερα Firewall λειτουργούσαν ως IPS, αλλά πλέον αποδεικνύονται αναποτελεσματικά, ειδικά σε ό,τι αφορά στις εξελιγμένες επιθέσεις που λαμβάνουν χώρα μέσω των ιστοσελίδων κοινωνικής δικτύωσης και της τεχνολογίας Web 2.0. Έτσι, πρέπει να προσφέρεται εκτενές φιλτράρισμα των κωδικοποιημένων πακέτων, ανίχνευση προς αποφυγή των proxy, μπλοκάρισμα των P2P εφαρμογών και επίβλεψη σε παντός είδους ενεργό περιεχόμενο.
Το πρόβλημα που εγείρεται λόγω της εκτενούς χρήσης των εφαρμογών είναι ότι οι επιτιθέμενοι πλέον δεν τελούν μία κατά μέτωπο επίθεση σε κάθε εταιρικό δίκτυο που στοχεύουν. Προτιμούν να επιτεθούν στις εφαρμογές και τις ιστοσελίδες που τις φιλοξενούν. Έτσι, ενώ ο χρήστης έχει την ψευδαίσθηση ότι εφόσον ανταλλάσσει κωδικοποιημένα πακέτα με έναν ιστότοπο είναι ασφαλής, οι εισβολείς έχουν καταλάβει τη σελίδα και εισάγουν το κακόβουλο λογισμικό εντός του κωδικοποιημένου πακέτου, επιτυγχάνοντας εισβολή στο intranet. Τα Firewall νέας γενιάς στόχο έχουν την επίλυση τέτοιου είδους προβλημάτων, αν και σαφώς προς τον αντίστροφο στόχο κατευθύνονται και οι επιτιθέμενοι.
Εκπαίδευση
Τα προαναφερόμενα δεν τελούνται εύκολα και δεν παράγονται ακούραστα. Οι πάροχοι και δημιουργοί των Firewall νέας γενιάς έχουν να αντιμετωπίσουν ένα πολύπλοκο πρόβλημα και πρέπει να δημιουργήσουν μια τεχνολογία που θα απαντά σε όλες τις ανάγκες του τελικού χρήστη. Επιπρόσθετα, η δημιουργία ενός αξιόπιστου Firewall δεν αρκεί πλέον ως παρεχόμενη υπηρεσία. Η εξέλιξη των απειλών, οι αυστηρότεροι αλλά και πιο ευέλικτοι κανονισμοί ασφαλείας και ο επαναπροσδιορισμός των πολιτικών ασφαλείας, δημιουργούν την ανάγκη εκτενούς διαμόρφωσης και παραμετροποίησης των Firewall, ώστε να απαντά στις απαιτήσεις κάθε επιχείρησης. Γι’ αυτόν το λόγο οι πάροχοι πρέπει τόσο να βοηθήσουν όσο και εκπαιδεύσουν τους πελάτες, με παραδείγματα για την αποτροπή των εισβολών και την αναγνώριση των εφαρμογών στα διάφορα μέρη του Firewall. Συνιστάται η επιστράτευση σύμβουλου που θα είναι εξοικειωμένος με το δίκτυο της εταιρείας, ώστε να βοηθήσει στην αποτελεσματική διαμόρφωση του προϊόντος. Τέλος, η ύπαρξη κειμένων περιγραφής της λειτουργίας και των χαρακτηριστικών του προϊόντος καθώς και βίντεο με τα βήματα διαμόρφωσης, θα βοηθούσαν στην ταχύτερη εξοικείωση με το προϊόν και την αποδοτικότερη χρήση.
Από την άλλη μεριά και οι πωλητές αυτών των προϊόντων οφείλουν να εκπαιδευτούν, ώστε να συμβουλεύουν και να καθοδηγούν ορθολογικά τους πιθανούς αγοραστές, κάτι που δεν είναι εύκολο και απαιτεί κόστος και χρόνο από μέρους των εταιρειών παραγωγής τους. Παρόλα αυτά, θεωρείται το επόμενο βήμα στην αγορά να προωθούνται τα προϊόντα από εξειδικευμένο προσωπικό που ξεφεύγει από τη λογική της αυστηρής πώλησης και αποκτά ενδιαφέρον για τις ανάγκες του πελάτη και μπορεί ακολούθως να τις χειριστεί επαρκώς και αξιόπιστα.
Μελλοντική τάση
Αναμένεται ότι καθώς η εξέλιξη στις εφαρμογές θα γίνει πιο κατανοητή και ευρέως χρησιμοποιουμένη, ο όρος Firewall επόμενης γενιάς θα ακούγεται παρωχημένος. Ουσιαστικά, δεν θα υπάρχει Firewall που δεν θα είναι επόμενης γενιάς και θα συμβάλλει στην αντικατάσταση παλαιότερων και πιο τμηματικών προϊόντων, τακτοποιώντας έτσι τη σποραδικότητα των λύσεων ασφαλείας εντός των εταιρικών δικτύων. Θεωρείται ότι η εδραίωση αυτών των νέων Firewalls θα συμβάλλει στην εξοικονόμηση χρόνου και κόστους, μιας και ένας και μόνο εξοπλισμός θα μπορεί να εκτελεί τις λειτουργίες για τις οποίες πριν απαιτούνταν τρία ή τέσσερα διαφορετικά προϊόντα και όλα αυτά με μια πιο ευέλικτη πλατφόρμα διαχείρισης.
Της Παναγιώτας Τσώνη