Cum alegem un firewall?
Dintre toate tehnologiile de securitate a informaţiei, firewall-ul este categoric una dintre cele mai cunoscute. Istoric vorbind, firewall-ul a fost printre primele elemente de siguranţă introduse în lumea reţelelor de calculatoare. Mai apoi, a fost una dintre primele tehnologii folosite şi la nivel de host (staţie de lucru), alături de antivirus. Ce să mai vorbim… Toată lumea a auzit de firewall şi antivirus, home-user sau enterprise organization…
În momentul în care se pune problema alegerii unui firewall, trebuie să ştim că există o serie de criterii care stau la baza alegerii în sine. Desigur, aceste criterii diferă, în funcţie de tipul de firewall dorit. Scopul acestui articol este să explice, oarecum pe scurt, criteriile principale care ar trebui să stea la baza alegerii unui firewall destinat mediului “corporatist” (unde “mediu corporatist” înseamnă de fapt firewall pentru companii, nu pentru utilizatorul de acasă).
În primul rând, decizia implementării unui firewall ar trebui să plece de la un checklist sumar, de forma:
✔ Care sunt atacurile pe care vreau să le blochez?
✔ Pot evita implementarea?
✔ Care este bugetul pe care vreau să-l aloc acestei achiziţii?
✔ Cum pot justifica return on investment pentru această achiziţie?
Să începem prin a răspunde la întrebările de mai sus.
Întrebarea 1: Care sunt atacurile pe care vreau să le blochez?
Spectrul atacurilor informatice este extrem de larg, şi aceaşi situaţie este valabilă şi în cazul soluţiilor de securitate informatică. E foarte important să înţelegem la ce tipuri de atacuri informatice poate răspunde un firewall. Punctual, principalele asemenea atacuri ar fi:
● atacuri asupra stivei TCP/IP a sistemului de operare
● atacuri de tip IP spoofing
● atacuri de tip DoS (denial of service)
Desigur, rolul iniţial al firewall-urilor (acela de packet filters) rămâne la fel de util şi în zilele noastre. E important să controlăm ce tip de comunicaţii acceptăm dinspre şi înspre reţeaua noastră.
Întrebarea numărul 2: pot evita implementarea?
Dacă reţeaua noastră este complet izolată, şi va rămâne aşa pe un termen nedefinit, probabil că nu avem nevoie de vreun firewall (deşi chiar şi aşa, există situaţii în care aş avea nevoie să limitez accesul la una din zonele reţelei). În orice alt caz, un firewall este dacă nu strict necesar, măcar extraordinar de util.
Întrebarea numărul 3: care este bugetul pe care vreau să-l aloc?
Există soluţii şi soluţii de firewalling. Unele complet open-source, unele parţial gratuite, altele comerciale şi altele extrem de scumpe. Alegerea pe care o facem trebuie aliniată în mod necesar bugetului nostru, şi-atunci cea mai bună modalitate de a înainta în acest sens este să ne definim bugetul, iar apoi să identificăm cea mai bună soluţie încadrabilă în acest buget.
Întrebarea numărul 4: cum pot justifica ROI?
O întrebare extrem de importantă. De obicei, nu cumpărăm lucruri de dragul de a le cumpără, ci pentru a acoperi o nevoie punctuală. În acest caz, trebuie să fim capabili să explicăm managementului în ce mod această cheltuială poate fi percepută ca o investiţie, şi în cât timp această investiţie poate fi recuperată. În cazul particular al firewall-ului, putem transpune în bani economisiţi eforturile/timpul/celelalte resurse care ar fi trebuit alocate în cazul unui atac reuşit.
OK, odată ce am răspuns întrebărilor preliminare, să trecem la analiza criteriilor tehnice majore care ar trebui să stea la baza alegerii unei soluţii de firewalling. Şi aici, pentru a păstra lucrurile simple, o să ne exprimăm punctual.
Criteriul 1: capacitatea de procesare
Capacitatea de procesare a firewall-ului are cel puţin trei dimensiuni importante: throughput, conexiuni pe secundă şi pachete pe secundă. E foarte util să monitorizaţi o perioadă traficul din reţeaua voastră, astfel încât să ştiţi la ce anume trebuie să vă aşteptaţi.
Un alt aspect important, legat de capacitate, sunt valorile celor trei dimensiuni de mai sus în momentul în care toate modulele de inspecţie ale firewall-ului sunt active. De multe ori, valorile listate pe site-urile vendorilor sunt valori “nominale”, măsurate fără nici un fel de modul de inspecţie activat. E preferabil să testaţi personal aceste valori, planificând un proiect pilot în organizaţia voastră.
Criteriul 2: abilităţile de inspecţie
Mai toate firewall-urile moderne fac mult mai mult decât o simplă filtrare de pachete. Marea lor majoritate sunt firewall-uri de tip stateful inspection, ceea ce înseamnă că în afara elementelor tradiţionale (IP sursă, IP destinaţie, port sursă, port destinaţie) se calculează şi informaţiile legate de starea conexiunilor (NEW, RELATED, ESTABLISHED, INVALID). În acest fel, un atacator poate fi împiedicat să iniţieze conexiuni stateless.
Ce se vede din ce în ce mai des în ultimul timp este abilitatea firewall-urilor de a inspecta mai sus de layer 4 (modelul OSI – vezi aici o explicaţie a acestui model în Wikipedia). Juniper şi Fortinet, spre exemplu, au un modul de “deep packet inspection”, Check Point are “Smart Defense”, Cisco are un modul de intrusion detection. Toate astea pentru că atacatorii se concentrează din ce în ce mai mult asupra layere-lor 6 şi 7 din modelul OSI.
Acum, este foarte bine că firewall-urile moderne pot adresa şi o parte din aceste atacuri. Sunt însă două lucruri la care trebuie să fiţi atenţi în momentul în care luaţi o decizie în favoarea unui sistem de firewalling:
1. Cât de eficiente sunt aceste abilităţi suplimentare de inspecţie
2. Care este impactul lor asupra performanţei firewall-ului (vezi criteriul 1)
Criteriul 3: instrumentele de administrare, jurnalizare şi raportare
Elementele acestea sunt foarte des trecute cu vederea, deşi sunt elemente critice, vitale, ale unei soluţii de firewalling. Ori de câte ori sunteţi puşi în situaţia de a selecta o asemenea soluţie, verificaţi existenţa şi performanţa nivelului de management al ei.
Nu sunt în mod necesar adeptul interfeţelor grafice de configurare care funcţionează pe principiul “click-a-click && next-next”, dar în cazul particular al unui firewall e de dorit ca întreaga atenţie a administratorului să fie focalizată pe corectitudinea politicii de securitate în sine, şi nu a sintaxei acesteia.
De asemenea, motorul de jurnalizare şi raportare e un element strict necesar. Vrem să vedem ce se întamplă cu traficul nostru, vrem să înţelegem ce fel de atacuri sunt îndreptate împotriva noastră, vrem să ştim când, cum, de unde şi de ce a apărut o anormalitate în traficul companiei. Vrem să putem genera rapoarte analitice sau sintetice pe baza acestor informaţii, astfel încât fie (1) să justificăm existenţa soluţiei fie (2) să completăm strategia de apărare cu tehnologii complementare fie (3) să păstrăm un “audit-trail” al activităţilor din reţeaua noastră.
Criteriul 4: capabilităţile de integrare ale soluţiei
De foarte multe ori se întâmplă ca firewall-ul să nu fie chiar prima tehnologie de securitate introdusă în arhitectura de reţea a organizaţiei. În acest caz, există posibilitatea de a fi necesar ca tehnologia de firewalling să se integreze fie cu sisteme de raportare/alertare existente, fie cu sisteme de monitorizare, fie cu sisteme de tip service-desk, fie cu arhitecturi de tip ESM/SIEM. Analizaţi toate cerinţele de integrare potenţială şi încercaţi ca în momentul alegerii unui firewall să luaţi în calcul şi aceste necesităţi.
Acum, sigur, există situaţii în care integrarea cu tehnologii deja existente pur şi simplu nu este posibilă. Nu faceţi în mod necesar din criteriul 4 un criteriu de discriminare. Consideraţi-l ca aducând plus-valoare.
Criteriul 5: stabilitatea soluţiei
Criteriul acesta se auto-explică, şi nu o să insist foarte mult asupra lui. L-am introdus în articolul de faţă doar pentru că din experienţa mea am constatat că e deseori ignorat în momentul cântăririi unei soluţii.
Oricâte facilităţi de securitate ar oferi un firewall, dacă el în sine ca tehnologie e instabil nu face decât să mărească riscurile de securitate, nici pe departe să le diminueze.
Criteriul 6: scalabilitatea şi flexibilitatea soluţiei
“Starting small, going big”. Da, se mai întâmplă. Chiar des, aş putea spune. În momentul în care trebuie să calculaţi capacitatea firewall-ului, încercaţi să prognozaţi pe de o parte ritmul de creştere al organizaţiei (în consecinţă, a traficului, a riscurilor, a expunerii) şi pe de cealaltă parte ritmul de creştere al serviciilor oferite (către clienţii interni şi/sau externi).
Lucruri concrete pe care aţi vrea să le găsiţi disponibile în soluţia de firewall ar fi capacităţile de clustering – fie load balancing, fie high availability, fie amândouă. Un alt lucru interesant (nice to have) ar fi abilitatea de a distribui componente ale soluţiei de firewalling pe maşini fizice diferite (de exemplu, firewall engine standalone, şi management+log pe o maşină separată).
Criteriul 7: suportul tehnic şi instruirea
Da, ştiu, de obicei e primul lucru care cade de pe listă la bugetare. Şi totuşi, e unul dintre cele mai importante lucruri atunci când vorbim de soluţii în sensul propriu al cuvântului.
Ca un minim, încercaţi să obţineţi pentru soluţia de firewalling asigurarea faptului că puteţi dispune, la nevoie, de servicii de suport de tip troubleshooting/incident response. Un alt lucru important e transferul de know-how de la vendor către voi, astfel încât să puteţi opera soluţia la 100 % din capacitatea ei.
Cam astea sunt criteriile principale de selecţie atunci când vorbim despre alegerea unei soluţii de firewalling. Sigur, lista nu e exhaustivă. Criterii pot fi adăugate, modificate, sau înlăturate. Nu există două companii identice, şi nu există două topologii de reţea/securitate identice. Dar lista de mai sus e un bun punct de plecare.
« Cisco IOS: o noua vulnerabilitate | Home | Wireless: securizarea unei retele flexibile »
Blog & Podcast Feeds
Autori
-
Discuţii recente
- Radu - Eosif Mihailescu on IT Café – episodul 1
- Radu - Eosif Mihailescu on IT Café – Episodul 2
- Dan Mica on IT Café – Episodul 3
- Dan Mica on IT Café – Episodul 2
Arhive
Leave a Comment
You must be logged in to post a comment.