NASK Wprowadzenie do zagadnień związanych z firewallingiem Seminarium Zaawansowane systemy firewall
Dla przypomnienia Firewall Bariera mająca na celu powstrzymanie wszelkich działań skierowanych przeciwko chronionemu przez nią komputerowi lub całej sieci. Jest to program lub urządzenie (albo ich kombinacja) filtrujące najmniejsze partie informacji, tzw. pakiety, wymieniane między sieciami o róŝnym stopniu zaufania (najczęściej pomiędzy Internetem i siecią lokalną). JeŜeli odbierany lub wysyłany pakiet spełnia określone przez uŝytkownika kryteria, zostaje przepuszczony - w przeciwnym przypadku odrzucony. Ciekawostka: Firewall -,,ściana ogniowa'' jest terminem wziętym z konstrukcji samochodu. W samochodach firewalle fizycznie oddzielają silnik od pasaŝerów. To znaczy, Ŝe chronią one pasaŝerów w wypadku gdy silnik zapali się.
Kategorie firewalli technologie inspekcji 1. Filtr pakietów: -wzorce oraz akcje, mówiące co zrobić z pakietem pasującym do danej reguły - w skład wzorca mogą wchodzić cechy charakterystyczne dla protokołu IP, takie jak adres źródłowy i docelowy pakietu, numery portów protokołów TCP i UDP, rozmaite flagi, typ komunikatu ICMP i inne - reguły są całkowicie lub w większości statyczne, raz skonfigurowane przez administratora działają bez zmian aŝ do kolejnej jego ingerencji -inspekcja jedynie nagłówków pakietów -brak moŝliwości analizy warstwy 7 modelu OSI Zaleta: -Wydajność -Cena -Niski poziom bezpieczeństwa -Pracochłonna administracja
Kategorie firewalli technologie inspekcji 2. Stateful Packet Inspection: -utrzymywanie w pamięci atrybutów poszczególnych połączeń TCP i UDP -atrybuty z reguły zawierają adresy IP (źródłowy i docelowy), numery portów oraz sekwencje pakietów składających się na sesje -działanie firewalla SPI sprowadza się do akceptacji pakietów, które zostały wcześniej odnotowane w pamięci jako znane połączenie -odporność na spoofing Zaleta: -Wydajność -Cena -akceptowalny poziom bezpieczeństwa -Brak moŝliwości szczegółowej analizy poszczególnych protokołów -Pracochłonna administracja
Kategorie firewalli technologie inspekcji 3. Application Proxy: -brak bezpośredniego połączenia pomiędzy siecią LAN i siecią niezaufaną - dostępne proxy umoŝliwiające szczegółową analizę poszczególnych protokołów (najczęściej http, ftp, smtp, pop3, imap) - analiza warstwy aplikacyjnej modelu OSI dla wybranych protokołów -moŝliwość cache owania ruchu (najczęściej http) -odporność na spoofing Zaleta: -Wysoki poziom bezpieczeństwa -Brak moŝliwości szczegółowej analizy nieznanych protokołów -Cena -Wydajność
Kategorie firewalli technologie inspekcji 4. Hybrydowe: -Application Proxy + SPI -SPI + wbudowany system IPS (baza sygnatur) Zaleta: -Wysoki poziom bezpieczeństwa -Wydajność -Cena
Kategorie firewalli posadowienie 1. Software: - Oprogramowanie firewall posadowione na maszynie PC lub platformie serwerowej Zalety: - ZaleŜnie od zastosowanej maszyny moŝe okazać się tańszym rozwiązaniem w stosunku do Appliance - MoŜliwość dostosowania parametrów maszyny do funkcji jakie będzie spełniał firewall w infrastrukturze IT - MoŜliwości rozbudowy maszyny - Konieczność dostosowywania konfiguracji systemu operacyjnego do wymagań systemu firewall - Konieczność uaktualnia systemu operacyjnego w celu niwelowania jego podatności - Dostosowanie wymagań sprzętowych do potrzeb systemu firewall 2. Hardware (Appliance): - System firewall posadowiony na dedykowanej maszynie dostarczonej przez producenta Zalety: - Optymalnie dopasowana platforma sprzętowa do wymagań posadowionego systemu firewall - Brak konieczności dopasowywania konfiguracji systemu operacyjnego dla potrzeb systemu firewall - Z reguły lepsza wydajność w stosunku do wersji posadowionej na maszynie PC - dzięki optymalizacji platformy sprzętowej - Większe koszty wymiany Appliance na nowszy model w porównaniu do maszyny PC, którą moŝemy wykorzystać do innych celów
Czym się kierować przy wyborze odpowiedniego FW? 1. Zawsze warto skorzystać z pomocy firm specjalizujących się w rozwiązaniach firewall 2. NaleŜy zawsze uwzględniać specyfikę ruchu sieciowego który ma być chroniony przez system firewall 3. Uwzględnienie waŝnych parametrów takich jak: gwarantowana przepustowość, przepustowość mierzona na uśrednionym ruchu, liczba jednoczesnych sesji, ewentualnie dostępne proxy aplikacyjne, zarządzanie, moŝliwość zestawiania tuneli IPSec 4. Czy dane rozwiązanie posiada dodatkowe funkcjonalności w postaci: system IPS (wielkość bazy sygnatur, wykrywanie anomalii), system AV (silnik, częstotliwość update u,), system antyspam, system web content filtering, tunele VPN. 5. Oszacowanie spadku wydajności przy uruchomionych dodatkowych funkcjonalnościach. 6. Korzystanie z oferty uznanych markowych dostawców zapewnia profesjonalną pomoc techniczną, aktualizacje oraz bezpieczeństwo biznesowe
Dziękuję za uwagę