Auterem odborného článku je Jan Zemek, product manager PROFIcomms s.r.o.

Na téma bezpečnosti sítí a souvisejícího hardwaru bylo napsáno již mnoho článků. Správci a uživatelé by  mohli mít pocit, že nasazením kvalitního firewallu je vše vyřešeno, vše je ochráněno a slunce vyjde každý den na stejném místě.

V dnešním článku se Vám pokusím ukázat, že ne vše je tak růžové (či jiné RGB barvě) a že je tu jeden faktor, na který se zapomíná.

Funkce moderních firewallů

V tomto článku bude řeč především o moderních hardwarových firewallech, které dnes už nemají za úkol pouze filtrovat provoz z jedné sítě do druhé, ale postupným přibíráním dalších a dalších funkcí se z nich stávají čím dál sofistikovanější zařízení. Takové firewally jsou označovány jako firewally příští generace (Next Generation Firewalls) a jsou schopné kromě základních funkcí také zasahovat do hlaviček paketů, rozpoznat typ provozu na osmé síťové vrstvě a následně jej prověřit všemi bezpečnostními funkcemi.

Firewally s označením Next Generation sdružují následující funkce:

Síťový aplikační firewall

• IPS/IDS - prevence a detekce neznámých hrozeb uvnitř a vně sítě. Jednotka na tyto hrozby dokáže inteligentně reagovat.
• Instant messaging filtr - funkce, která dokáže například u Skype provozu rozlišit posílání zprávy, přenos souboru či videohovoru a podle nastavených pravidel reagovat.
• Traffic shaping - řízení rychlosti sítě a jejich segmentů
• VPN IPSec/SSL server - umožňuje vytvářet spojení s jednotlivými klienty či celými sítěmi.
• Antivirus - skenuje veškerý síťový provoz. Firewall před testováním antivirem detekuje typ síťového provozu, takže antivirus již ví, že se jedná o email či podvodný script přicházející přes HTTPS.
• Antispam filtr s pravidelně aktualizovanou databází
• Web filtr - umožňuje třídit webové stránky podle obsahu a následně je buď povolovat, monitorovat nebo se zachovat dle nastaveného pravidla.

Velmi zajímavou funkcí je také ověření uživatele a práce s jeho právy dle Microsoft Active Directory, LDAP či RADIUS serveru. Z výše jmenovaných jsou funkce Antivirus, Antispam a Web filtr součástí UTM - unifikovaného balíku bezpečnostních služeb. UTM funkce jsou pravidelně aktualizované a tím pádem zaručují maximální funkčnost jednotky navzdory dynamickému vývoji bezpečnostních rizik.

Lidský faktor

Možností nabízejí firewally příští generace opravdu mnoho, ale účelem tohoto článku není je všechny vyjmenovat. Pojďme se raději zaměřit na výrobci hardwaru často opomíjenou záležitost - lidský faktor. Bez nadsázky řečeno - největší hrozbou Vámi spravované sítě jste Vy sám (sama)! Dle průzkumu společnosti gateProtect souvisí 98% bezpečnostních incidentů s chybou administrátora a pouhá 2% jsou zapříčiněna hardwarem nebo softwarem a jeho selháním. Jak je možné že číslo hovořící v neprospěch lidského selhání je tak vysoké? Většina výrobců firewallů již sice přešla na grafické rozhraní nebo webovou konfiguraci. Víceméně se ale navzdory „modernímu“ trendu dodávaná konfigurační rozhraní stále podobají příkazovému řádku a orientace v nich je nepřehledná až stresující. Představte si střední počítačovou síť, kde běžná konfigurace zabírá cca 200-400 pravidel. Při správě sítě takového rozsahu je velmi snadné udělat chybu v nastavení, něco opomenout, nevynechat žádnou skupinu atd. Vůbec ani nehovořím o tom, když se má v těchto pravidlech zorientovat někdo jiný než autor konfigurace - například v nouzové situaci, při předání kompetencí, atd.

Revoluční systém konfigurace - eGUI

Na základě těchto poznatků vyvinula německá společnost gateProtect revoluční systém konfigurace eGUI, který je přehledný, rychlý a minimalizuje lidské chyby. eGUI je samostatná grafická aplikace, která není součástí firewallu. Aplikace umožňuje vzdálenou správu v rámci sítě nebo ji lze spustit jako virtuální operační systém. Protože názorný příklad vydá za tisíc slov, přesvědčte se sami na následujícím obrázku, který zachycuje konfiguraci sítě pro 500 uživatelů a to včetně VPN serveru.

Vše je jednoduché a přehledné dokonce i pro laika. Pro člověka, který nezná konkrétní síť je otázkou cca 30 sekund se zorientovat a začít přidávat či opravovat nějaká pravidla. Jak sami uznáte, rozdíl oproti běžným aplikacím pro konfiguraci firewallů je výrazný. Vše si můžete vyzkoušet sami stažením demoverze (instalace do MS Windows).

http://proficomms.cz/index.php?module=shop_manufacturers&action=list&category_id=256

Systém eGUI nejenže snižuje náklady na školení a čas konfigurace, ale co je zásadní - výrazně snižuje možnost chyby administrátora! Připočtěme si velmi přehledný analytický nástroj pro reporty, statistiky, monitoring a máme k dispozici základ revolučního firewallu.

V případě velkých sítí a potřeby konfigurovat více než 5 zařízení připravila společnost gateProtect profesionální nástroj Command Center, který je založen právě na rozhraní eGUI. Firewally gateProtect jsou k dispozici v provedení od ekonomických jednotek určených pro malé firmy (cca 5 uživatelů) až po velmi výkonné jednotky s 10Gbit porty pro zatížení 10000 uživateli. gateProtect si jako německý výrobce velmi zakládá na pečlivosti při výrobě nejen hardwaru, konfiguračního rozhraní, ale také na přípravě manuálu a poskytované technické podpoře. Důkazem kvality je také ocenění analytických firem Gartner a Frost & Sullivan a reference významných firem jako jsou TÜV Thüringen, E.ON Energy, Mercedes Benz, Galileo Satellite Systems, Deutsche Bahn a Constantin Film.

U firewallů gateProtect je názorně vidět, že i zavedené a zdánlivě úspěšné věci lze dělat jinak a inovativně. A konkrétně právě zabezpečení Vaší sítě lze posunout na vyšší úroveň zcela jednoduše jiným přístupem. Podrobné srovnání jednotlivých verzí firewallů gateProtect a přehled funkcí ZDE.

Pozn. pro zatvrzelé zastánce příkazového řádku: také gateProtect eGUI má příkazový řádek k dispozici.



Více informací na stránkách autorizovaného distributora pro ČR a SR - PROFIcomms s.r.o.: http://www.proficomms.cz/