Pełna ochrona wewnątrz sieci Internal Network Firewall () WHITE PAPER
WHITE PAPER: PEŁNA OCHRONA SIECI INTERNAL NETWORK FIREWALL () WHITE PAPER: PEŁNA OCHRONA SIECI INTERNAL NETWORK FIREWALL () Pełna ochrona wewnątrz sieci Internal Network Firewall () Spis treści Wprowadzenie 3 Zaawansowane zagrożenia wykorzystują niedoskonałości sieci o płaskiej strukturze 4 Odpowiedź: nowy rodzaj Firewalla Internal Network Firewall () 5 Wymogi techniczne 6 Podsumowanie 8 Wprowadzenie Przez ostatnich 10 lat firmy starały się chronić swoje sieci poprzez stawianie zabezpieczeń na ich peryferiach. Działania te obejmowały zabezpieczenie styku z Internetem, ochronę punktów końcowych i centrów przetwarzania danych (w tym DMZ). Metoda ta, którą można nazwać zabezpieczaniem sieci od zewnątrz, opierała się na założeniu, iż kontrola ściśle określonych punktów dostępu do sieci wystarczy aby ochronić cenne dane. Strategia była następująca: zabezpieczyć brzeg sieci w najwyższym możliwym stopniu i wierzyć, że nic nie przedostanie się przez zaporę. Obecnie, w miarę jak firmy rozwijają się i zaczynają korzystać z najnowszych trendów w IT, takich jak mobilność czy cloud computing, coraz trudniejsza staje się kontrola i ochrona tradycyjnych granic sieci. Można się teraz do niej dostać na wiele sposobów. Główne wymagania PEŁNA OCHRONA Ciągła ochrona przed zaawansowanymi zagrożeniami wewnątrz sieci przy pomocy jednego systemu bezpieczeństwa ŁATWE WDROŻENIE Domyślny tryb transparentny pozwala uniknąć przebudowy sieci; umożliwia centralną konfigurację i zarządzanie WYSOKA WYDAJNOŚĆ wydajność pozwala zachować ruch w sieci z szybkością łączy Jeszcze nie tak dawno dostawcy firewalli oznaczali porty swoich urządzeń jako Zewnętrzne (Niezaufane) i Wewnętrzne (Zaufane). Twórcy zaawansowanych zagrożeń wykorzystują to przeciwko nim: po przedostaniu się do sieci jest ona bowiem całkowicie otwarta i dostępna. Sieć wewnętrzna z reguły składa się z niezabezpieczonych urządzeń takich jak switche, routery czy nawet mosty. Zatem jeśli haker, kontrahent czy nawet niesubordynowany pracownik przedostanie się do środka, ma pełen dostęp do całej sieci firmowej i do wszystkich cennych aktywów. Rozwiązaniem jest firewall nowej klasy: Internal Network Firewall (wewnętrzny firewall sieciowy ), który kontroluje strategiczne punkty sieci lokalnej. Może on chronić konkretny serwer zawierający cenną własność intelektualną, grupę urządzeń użytkowników lub aplikację webową zlokalizowaną w chmurze. 2 www.fortinet.com 3
WHITE PAPER: PEŁNA OCHRONA SIECI INTERNAL NETWORK FIREWALL () WHITE PAPER: PEŁNA OCHRONA SIECI INTERNAL NETWORK FIREWALL () Po instalacji wewnętrzny firewall ma zapewnić stałą widoczność ruchu płynącego przez konkretne urządzenie sieciowe. Co ważne, powinno to nastąpić natychmiast, bez potrzeby wielomiesięcznego planowania i wdrażania. Oczywiście oprócz zapewnienia widoczności Internal Firewall musi realizować także ochronę sieci, ponieważ wykrywanie zagrożeń to tylko jedna z funkcji tego rozwiązania. Analiza logów i alertów zajmuje tygodnie, a nawet miesiące, tymczasem wewnętrzny firewall ma zapewnić ochronę w czasie rzeczywistym opierając się na najnowszych aktualizacjach. Ponadto firewall musi być na tyle elastyczny, by można go było zainstalować w każdym punkcie sieci lokalnej i zintegrować z innymi elementami infrastruktury zarządzając centralnie całym systemem bezpieczeństwa. Dodatkową widoczność i ochronę sieci mogą wzmocnić pozostałe rozwiązania bezpieczeństwa IT, takie jak brama poczty elektronicznej, brama dostępu do Internetu, firewalle brzegowe, firewalle w chmurze oraz rozwiązania ochrony punktów końcowych. Prócz tego Internal Network Firewall musi skalować się od niskich do dużych przepustowości, aby można było zastosować go w każdym punkcie sieci. RYS 1. CYKL ŻYCIA ZAGROŻEŃ ZAAWANSOWANYCH Tworzenie zagrożeń i rozpoznanie Sprzedaż Na zewnątrz Poszukiwanie podatności Tworzenie e-maili wyłudzających informacje Personalizacja złośliwego oprogramowania Zaawansowane zagrożenia wykorzystują niedoskonałości sieci lokalnych o płaskiej strukturze Cyberprzestępcy stosują zaawansowane ataki ukierunkowane (ang. Advanced Persistent Threats, APT), których celem jest ominięcie tradycyjnych zabezpieczeń, a po przedostaniu się do sieci, uniknięcie wykrycia oraz umożliwienie wycieku cennych danych. Niewiele systemów jest w stanie wykrywać takie ataki i skutecznie przed nimi chronić. Jak widać na rysunku 1 przedstawiającym cykl życia zagrożeń, po przełamaniu zabezpieczeń styku sieci z Internetem większość działań hakerów odbywa się w obrębie sieci lokalnej. Obejmują one dezaktywowanie oprogramowania antywirusowego opartego na agentach, pobranie instrukcji z serwera command and control botnetu, dalsze infekowanie systemów i wciąganie ich w sieć botnetu oraz wreszcie kradzież danych będących celem ataku. 1 zagrożenia Infekcja 2 4 Przemycenie Wyciek danych Etap pakowania i szyfrowania APP URL Komunikacja Wewnątrz Inżynieria społeczna Exploity typu Zero Day Złośliwe URLe Złośliwe aplikacje i inne 3 Ukrywanie się i rozprzestrzenianie Rozbrojenie, uzyskanie dostępu Kontakt z serwerem command & control Aktualizacja Odpowiedź: nowy rodzaj firewalla Internal Network Firewall () Rozwój zapór sieciowych w ostatniej dekadzie był skupiony głównie na obrzeżach sieci i jej styku z Internetem, zabezpieczeniu hosta, punktów końcowych, centrów przetwarzania danych (DMZ) lub chmury. Wszystko zaczęło się od urządzenia typu Stateful Firewall i ewoluowało do koncepcji systemów zintegrowanego zarządzania zagrożeniami (Unifed Threat Management, UTM) dla sieci rozproszonych, obejmujących nie tylko firewall, ale również moduł wykrywania włamań (IPS) oraz system antywirusowy. Kolejnym etapem był Next Generation Firewall (NGFW), który dodatkowo uzupełniono o system ochrony przed włamaniami (IDS) oraz kontrolę aplikacji na styku z Internetem. Obecnie, głównie z powodu zwiększenia prędkości przepływu danych, pojawiły się firewalle dedykowane do ochrony centów danych (Data Center Firewall DCFW), które zapewniają przepustowość powyżej 100Gb/s. Wszystkie te firewalle mają jedną wspólną cechę: kontrolują ruch płynący do sieci z zewnątrz. By zapewnić szybkie wdrożenie wewnątrz sieci oraz natychmiastową ochronę powstał firewall nowej klasy Internal Network Firewall (). Posiada on nieco inne właściwości niż firewall brzegowy. Różnice przedstawione są na rys. 2. RYS. 2 RÓŻNICE POMIĘDZY POSZCZEGÓLNYMI TYPAMI FIREWALLI Rolą jest zapewnienie kompleksowej ochrony Podstawowym filarem ochrony sieci jest jej dobra widoczność. Zależy ona od poziomu wiedzy o pakietach danych przesyłanych w obrębie sieci. Jak wygląda strumień pakietów z konkretnej aplikacji, skąd pochodzi, dokąd jest przesyłany, a także jakie działania są podejmowane przez użytkowników (ściąganie danych, wysyłanie na serwer)?. Równie ważnym elementem jest ochrona. Czy aplikacja, jej zawartość lub działanie są szkodliwe? Choć trudno to ustalić w odniesieniu do różnych rodzajów zawartości i typów aplikacji, stanowi to istotę działania wewnętrznego firewalla. Zdolność do wykrywania złośliwych plików, aplikacji czy czynności daje przedsiębiorstwu czas na reakcję i powstrzymanie ataku. Te elementy ochrony, by były skuteczne, muszą być realizowane przez jedno urządzenie. Zarówno widoczność, jak i ochrona są mocno zależne od centralnego systemu wykrywania zagrożeń w czasie rzeczywistym. Należy zawsze zadać sobie pytanie: jak dobra jest widoczność i jak skuteczna ochrona? Czy system bezpieczeństwa radzi sobie z najnowszymi zagrożeniami? Dlatego wszystkie usługi w zakresie bezpieczeństwa powinny być stale testowane i oceniane przez niezależne organizacje certyfikujące. Tryb rozmieszczania NGFW DCFW UTM CCFW Cel dla segmentów wewnętrznych przed zagrożeniami z zewnątrz oraz działaniami w Internecie Wysoka wydajność, ochrona sieci o niskiej latencji przed zagrożeniami z zewnątrz oraz działaniami użytkownika Bezpieczeństwo sieci dla dostawców usług Lokalizacja Warstwa dostępowa Brama internetowa Warstwa centralna/brama Brama internetowa Różne DC Tryb działania sieci Tryb Transparent Tryb NAT/Route Tryb NAT/Route Tryb NAT/Route Tryb NAT/Route Wymagania sprzętowe Elementy zabezpieczające Inne cechy Wyższa gęstość portów ochrona większej liczby danych Firewall, IPS, ATP, Kontrola aplikacji Szybkie rozmieszczenie, praktycznie bez konfiguracji Porty GbE i 10GbE (oparte na użytkowniku) Firewall, VPN, IPS, Kontrola aplikacji Integracja z Advanced ThreatProtection(ochroną przed zaawansowanymi zagrożeniami) (Sandbox) Duża prędkość (GbE/10 GbE/40 GbE/100) i wysoka gęstość portu, przyspieszanie sprzętowe Firewall, ochrona DDoS Wysoka dostępność Wysoka gęstość portugbe, zintegrowane połączenie bezprzewodowe oraz POE Kompleksowa, z możliwością rozszerzania; integracja klientów i urządzeń Różne opcje połączeń WAN, np. 3G4G Duża prędkość (GbE/10 GbE/40 GbE) i wysoka gęstość portu, przyspieszanie sprzętowe Firewall, CGN, LTE i ochrona urządzeń mobilnych Wysoka dostępność 4 www.fortinet.com 5
WHITE PAPER: PEŁNA OCHRONA SIECI INTERNAL NETWORK FIREWALL () Ponadto Internal Firewall musi być w stanie integrować się z innymi elementami systemu bezpieczeństwa w przedsiębiorstwie, które zapewniają dodatkową widoczność i ochronę. Może to być brama poczty elektronicznej, brama dostępu do Internetu, firewall brzegowy, firewall w chmurze czy też system ochrony punktów końcowych. Powinna istnieć możliwość centralnego zarządzania całością. Dzięki temu polityka bezpieczeństwa będzie spójna na brzegu i wewnątrz sieci, a nawet na zewnątrz w chmurze. Tradycyjne firewalle na ogół wdraża się w trybie routingu. Ich porty są skojarzone z adresami IP. Planowanie i wdrażanie zajmuje często całe miesiące. To cenny czas w dzisiejszym świecie błyskawicznych ataków cybernetycznych. Firewall wewnętrzny powinno dać się wdrożyć szybko i przy minimalnych przerwach w pracy. Proces ten musi być równie prosty jak włączenie urządzenia i połączenie go z siecią. Nie powinien zakłócać pracy sieci i działających w niej aplikacji. musi działać z prędkością łącza Ponieważ wewnętrzne firewalle sieciowe wdraża się liniowo celem segmentacji sieci, muszą one wykazywać wysoką wydajność, by sprostać wymaganiom przepływu wewnętrznego i nie stać się wąskim gardłem w kluczowych punktach sieci. W przeciwieństwie do połączeń w sieci WAN lub Internecie o prędkości niższej niż 1 gigabit na sekundę, wewnętrzne sieci działają o wiele szybciej, z prędkością wielu gigabitów. muszą więc działać z równie dużą prędkością, realizując przy tym głęboką inspekcję pakietów (Deep Packet Inspection DPI) oraz połączeń bez spowalniania pracy sieci. CHMURA Campus Elastyczność trybów pracy Niemal wszystkie tryby wdrożenia firewalla wymagają przydzielenia adresów IP i rekonfiguracji sieci. Pierwszy z nich, tak zwany Network Routing Mode, zapewnia widoczność przepływu danych oraz możliwość wykrywania i zapobiegania zagrożeniom. Tryb pasywnego nasłuchu (sniffer), łatwiejszy do konfiguracji, zapewnia widoczność, ale nie daje ochrony. Tryb transparentny łączy zalety trybu routingu oraz trybu pasywnego nasłuchu zapewnia łatwe wdrożenie i widoczność, a co ważniejsze, także ochronę. Różnice przedstawione są na rys. 3. RYS. 4 WDROŻENIE INTERNAL NETWORK FIREWALL () Aplikacje Wirtualny NGFW Firewall Brzegowy (NGFW) Data Center Firewall (DCFW) Unified Threat Management (UTM) RYS. 3 RÓŻNICE POMIĘDZY POSZCZEGÓLNYMI TYPAMI FIREWALLA Tryb wdrożenia Trudność Funkcje wdrożenia sieciowe Routingu Wysoka Transparentny Niska Sniffer Niska Wysoka dostępność Widoczność ruchu Ochrona przed zagrożeniami Router L3 Most L2 Segmentacja sieci zintegrowane przełączanie z dużą prędkością Jednym z aspektów trybu transparentnego, który wciąż ewoluuje, jest zdolność do fizycznego rozdzielania podsieci i serwerów za pomocą funkcji switcha. Na rynku pojawiają się firewalle z w pełni funkcjonalnymi, wbudowanymi w urządzenie przełącznikami. Nowe firewalle, z licznymi interfejsami 10GbE, stały się idealnym rozwiązaniem w centrach przetwarzania danych, dzięki którym serwery są fizycznie i wirtualnie zabezpieczone. Ponadto podobne firewalle z wbudowanymi switchami wyposażone w dużą ilość interfejsów 1GbE są idealne do rozdzielania podsegmentów sieci LAN. Firewalle wewnętrzne powinny być w stanie pełnić obie te role, a zatem idealnie byłoby, gdyby posiadały w pełni funkcjonalne, zintegrowane możliwości przełączania. Skalowalna architektura sprzętowa Ponieważ sieci wewnętrzne działają z dużo większą prędkością niż połączenia w Internecie, wewnętrzny firewall musi kontrolować ruch z wielogigabitową przepustowością. Mimo iż architektury oparte wyłącznie na procesorze głównym (CPU) są elastyczne, stają się wąskim gardłem gdy niezbędna jest duża przepustowość. Nadrzędna architektura sprzętowa firewalli wciąż korzysta z procesorów CPU ze względu na ich elastyczność, ale łączy to z pracą dedykowanych procesorów ASIC przyspieszających przepływ danych w sieci oraz inspekcję zawartości. oznaczać konkretną grupę punktów końcowych, dla których aktualizacja zabezpieczeń jest kłopotliwa lub serwerów, na których przechowywana jest własność intelektualna. Przykład rozmieszczenia segmentowego firewalli Firewall wewnętrzny z reguły umieszcza się w warstwie dostępowej; jego zadaniem jest ochrona konkretnego zbioru aktywów. Początkowo wdraża się go w trybie transparentnym pomiędzy przełącznikami warstwy dystrybucyjnej i dostępowej. W dłuższym horyzoncie czasowym zintegrowane przełączanie może zastąpić oba rodzaje przełączników, a także zapewnić dodatkową fizyczną ochronę. RYS. 5 WDROŻENIE INTERNAL NETWORK FIREWALL () Ochrona w czasie rzeczywistym Wewnętrzne firewalle sieciowe muszą być w stanie zapewnić pełen zakres zaawansowanych usług bezpieczeństwa, w tym IPS, widoczność aplikacji, moduł antywirusowy, filtr antyspamowy oraz integrację z sandboxem opartym na chmurze, pozwalając na egzekwowanie polityk uzupełniających wobec standardowych firewalli brzegowych. w czasie rzeczywistym jest kwestią kluczową dla ograniczania rozprzestrzeniania się złośliwego oprogramowania w obrębie sieci. Ponieważ wdraża się w pobliżu danych i urządzeń, może zajść konieczność pracy w trudnych warunkach. Dostępność bardziej odpornego na wpływ otoczenia modelu jest zatem wskazana w przypadku tego rozwiązania. WARSTWA DYSTRYBUCYJNA RDZENIA Przykład rozmieszczenia firewalli w całej sieci Większość firm chroni peryferia sieci przy pomocy tradycyjnych firewalli, firewalli nowej generacji oraz rozwiązań UTM. Stanowi to wciąż kluczowy element ochrony sieci. By jednak wzmocnić ochronę, można wewnętrznie rozmieścić firewalle w miejscach strategicznych. Może to www.fortinet.com punkt styku z Internetem przełącznik rdzeniowy / dystrybucyjny FortiGate wpięty w łącze za pomoca transparentnej pary portów Porty o dużej szybkośc IPS, ATP i kontrola aplikacji Przełącznik dostępowy / VLAN SERWERY LOKALNE 6 INTERNET Oddział musi także być w stanie chronić różne rodzaje aktywów wewnętrznych znajdujących się w różnych częściach sieci. Może to być zbiór serwerów zawierających cenne dane klientów lub grupa urządzeń końcowych, na których nie zainstalowano najnowszych rozwiązań ochrony. Wymagania techniczne Centrum Przetwarzania Danych Wdrożenie i zarządzanie firewalla wewnętrznego powinno być łatwe. W IT oznacza to możliwość instalacji przy minimalnej konfiguracji oraz bez konieczności przebudowania istniejącej sieci. Punkty końcowe ma za zadanie zapewnić łatwe wdrożenie WHITE PAPER: PEŁNA OCHRONA SIECI INTERNAL NETWORK FIREWALL () URZĄDZENIA UŻYTKOWNIKÓW WARSTWA DOSTĘPOWA 7
WHITE PAPER: PEŁNA OCHRONA SIECI INTERNAL NETWORK FIREWALL () Zwiększanie ochrony przed zaawansowanymi zagrożeniami dzięki widoczności wewnątrz sieci Właściwe podejście do neutralizowania zaawansowanych zagrożeń powinno obejmować nieprzerwany cykl Zapobiegania, Wykrywania i Neutralizacji. Zasadniczo firewall nowej generacji stanowić będzie podstawę etapu Zapobiegania: realizuje funkcje firewalla warstw 2 i 3, zapobieganie włamaniom (IPS), kontrolę aplikacji i inne funkcje blokujące znane zagrożenia, a jednocześnie przekazywać będzie nieznane, podejrzane elementy do sandboxa na potrzeby etapu Wykrywania. Jeśli jednak NGFW zostanie tradycyjnie umieszczony na granicy sieci, zapewni to jedynie częściowy wgląd w cykl życia ataku, głównie poprzez obserwację działań wchodzących i wychodzących. RYS. 5 ETAPY OCHRONY PRZED ZAAWANSOWANYMI ZAGROŻENIAMI (ATP) Wynik: przekazanie podejrzanych elementów Wprowadzenie firewalla może zapewnić większy wgląd w działalność hakerów wewnątrz sieci. W ruchu poziomym mogą ukrywać się podejrzane działania, gdyż hakerzy będą próbowali zidentyfikować cenne aktywa i pobrać dane. Dlatego też pełen wgląd w działania wewnętrzne oraz działania na peryferiach sieci zwiększa zasięg ochrony przed wszystkimi fazami ataków ATP. Ponieważ ruch w sieci wewnętrznej często jest kilkakrotnie intensywniejszy niż na styku z Internetem, ma więcej okazji do ograniczenia rozprzestrzeniania się zagrożenia niż standardowe techniki; umożliwia też przekazanie większej liczby podejrzanych elementów do sandboxa celem dokładniejszej analizy. Podsumowanie Zaawansowane zagrożenia wykorzystują niedoskonałości sieci lokalnej. Po przedostaniu się przez zabezpieczenia na styku z Internetem niewiele można zrobić, by powstrzymać rozprzestrzenianie się zagrożenia, które ostatecznie prowadzi do wycieku cennych danych. Ponieważ tradycyjne firewalle zostały zaprojektowane na potrzeby niższych prędkości, trudno jest rozmieścić te urządzenia zabezpieczające wewnątrz sieci. Ponadto konfiguracja sieciowa firewalla (przypisanie adresow IP) trwa bardzo długo. Wewnętrzne firewalle sieciowe to nowa klasa zapór, które można wdrożyć szybko, przy minimalnych przerwach w pracy, dotrzymując kroku wielogigabitowym prędkościom sieci wewnętrznych. Natychmiastowa widoczność i ochrona może być stosowana dla konkretnych fragmentów sieci lokalnej. Wynik: zapewnienie stałej ochrony i aktualizacji Wynik: raporty i statystyki GLOBAL HEADQUARTERS Fortinet Inc. 899 Kifer Road Sunnyvale, CA 94086 United States Tel: +1.408.235.7700 www.fortinet.com/sales EMEA SALES OFFICE 120 rue Albert Caquot 06560, Sophia Antipolis, France Tel: +33.4.8987.0510 APAC SALES OFFICE 300 Beach Road 20-01 The Concourse Singapore 199555 Tel: +65.6513.3730 LATIN AMERICA SALES OFFICE Prol. Paseo de la Reforma 115 Int. 702 Col. Lomas de Santa Fe, C.P. 01219 Del. Alvaro Obregón México D.F. Tel: 011-52-(55) 5524-8480 Copyright 2015 Fortinet, Inc. All rights reserved. Fortinet, FortiGate, FortiCare and FortiGuard, and certain other marks are registered trademarks of Fortinet, Inc., and other Fortinet names herein may also be registered and/or common law trademarks of Fortinet. All other product or company names may be trademarks of their respective owners. Performance and other metrics contained herein were attained in internal lab tests under ideal conditions, and actual performance and other resultsmay vary. Network variables, different network environments and other conditions may affect performance results. Nothing herein represents any binding commitment by Fortinet, and Fortinet disclaims all warranties, whether express or implied, except to the extent Fortinet enters a binding written contract, signed by Fortinet s General Counsel, with a purchaser that expressly warrants that the identified product will perform according to certain expressly-identified performance metrics and, in such event, only the specific performance metrics expressly identified in such binding written contract shall be binding on Fortinet. For absolute clarity, any such warranty will be limited to performance in the same ideal conditions as in Fortinet s internal lab tests. Fortinet disclaims in full any covenants, representations,and guarantees pursuant hereto, whether express or implied. Fortinet reserves the right to change, modify, transfer, or otherwise revise this publication without notice, and the most current version of the publication shall be applicable. April 16, 2015