Grzegorz Blinowski
Adiunkt w Instytucie Informatyki Politechniki Warszawskiej
Firewall jest kluczowym elementem infrastruktury sieciowej cyberbezpieczeństwa. Gdybyśmy musieli wymienić tylko jeden, najbardziej krytyczny jej składnik, to z całą pewnością byłby to firewall. Firewall jest bramą pomiędzy „światem zewnętrznym”, a wewnętrzną infrastrukturą naszej organizacji. Jego kluczowym zadaniem jest zatrzymanie i odseparowanie zagrożeń zewnętrznych, czyli tzw. „mallware”. O zagrożeniach tych słyszymy w codziennych wiadomościach: wirusy, robaki, konie trojańskie, ransomware, ukierunkowane ataki hakerskie – ich ofiarą padają firmy oraz organizacje rządowe, a skala zniszczeń, zarówno w sensie finansowym, jak i reputacyjnym bywa kolosalna. Lekarstwem na zagrożenie jest właśnie system firewall – dużo łatwiej filtrować i monitorować ruch sieciowy centralnie niż na poziomie każdego komputera PC i każdego serwera.
Jakie inne funkcje może pełnić firewall?
Wspólczesne systemy firewall, będące pomostem między Internetem a siecią prywatną, pozwalają na realizację funkcji VPN. Wirtualna sieć prywatna (Virtual Private Network) to technologia pozwalająca na łączenie użytkowników oraz oddziałów z centralą w jedną logiczną sieć – za pośrednictwem Internetu może się to odbywać bezpiecznie – gdyż cały transfer danych jest szyfrowany.
Deszyfracja ruchu
Obecnie już ponad połowa ruchu sieciowego WWW jest szyfrowana, dotyczy to np. serwisów takich jak: google-drive, Dropbox, Facebook – standardowy firewall nie może poddać ich jakiekolwiek filtracji, nie jest np. w stanie wykryć wirusa w pobieranym pliku. Dzięki funkcji deszyfracji przesyłane dane są rozszyfrowywane (tylko wewnątrz firewalla), analizowane i ponownie szyfrowane.
Czym kierować się wybierając system firewall?
Przystępując do wyboru rozwiązania firewall musimy zdawać sobie sprawę z głównych czynników różnicujących dostępne na rynku rozwiązania. Producenci zarzucają nas tabelkami zawierającymi dziesiątki parametrów oraz sloganami reklamowymi – na co należy zwrócić uwagę?
Na rynku dostepne są obecnie rozwiązania klasy UTM oraz NGFW:
UTM – „Unified Threat Management” – wprowadzone na początku lat 2000. dołączyły do typowego systemu firewall funkcje pełnione poprzednio poprzez autonomiczne systemy wykrywania i zapobiegania włamaniom (IDS/IDP), skanery antywirusowe, skanery poczty e-mail, itd.
NGFW – „Next Generation Firewall” – pojawiły się w ostatniej dekadzie. NGFW realizuje w zasadzie te same funkcje co UTM, jednak w inny sposób: UTM jest systemem modularnym, zaś w NGFW cały przechodzący przez firewall ruch sieciowy poddawany jest kompleksowej analizie pod kątem wszystkich zagrożeń na raz. NGFW są w stanie efektywnie analizować i filtrować dane aplikacji WWW. Obecnie, w dobie aplikacji internetowych rutynowo korzystamy z technologii WWW: poczta Gmail, Facebook, różnego rodzaju komunikatory, i wiele innych – wszystko są to aplikacje, z których korzystamy za pomocą przeglądarki internetowej, lecz służące diametralnie różnym celom. NGFW jest w stanie klasyfikować dane tych aplikacji i odrębnie je filtrować.
Jaki system wybrać?
Kupując system firewall stajemy przed dość trudnym wyborem: na polskim rynku obecnych jest ponad dwudziestu producentów oferujących tego typu rozwiązania, w tym około 5-6 będących faktycznymi światowymi liderami branży. Decydujący wpływ na cenę ma przepustowość systemu mierzona w Gigabajtach lub Megabajtach na sekundę (odpowiednio Gbps i Mbps). Jednak podawane przez producentów dane mogą łatwo wprowadzać w błąd. Przyjrzyjmy się danym jednego z producentów dla systemu przeznaczonego dla małych firm:
1: Przepustowość maksymalna – 1.3 Gbps
2: Przepustowość VPN – 200 Mbps
3: Przepustowość przy filtrowaniu SSL – 210 Mbps
4: Przepustowość przy filtrowaniu zagrożeń – 190 Mbps
Z pozoru maksymalna przepustowość podana w poz. 1 powinna zaspokoić potrzeby nawet wymagających użytkowników. Jednak już przepustowość usług VPN (2), przepustowość przy włączonej deszyfracji (3) oraz przy pełnej filtracji (4) jest znacząco niższa i może nie przekroczyć 200 Mbps. Każdy z w.w. parametrów wydajnościowych mierzony jest oddzielnie w wyidealizowanych warunkach. Nie wiemy np. jaka będzie przepustowość tego systemu przy włączonych wszystkich funkcjach na raz! Możemy się spodziewać, że będzie dużo niższa, zapewne na poziomie 30-50 Mbps. Tak więc, do specyfikacji producentów należy podchodzić krytycznie i bazować także na ocenach niezależnych firm specjalizujących się w ocenie rozwiązań IT (np. Gartner, czy NSSA Labs).
Na zakończenie – należy pamiętać, że firewall jest najważniejszym, ale nie jedynym elementem „układanki”, jaką stanowią systemy cyber-bezpieczeństwa. Musimy pamiętać też o innych elelementach systemu zabezpieczeń: ochronie komputerów PC i indywidualnych serwerów, szyfrowaniu danych, dodatkowej autoryzacji użytkowników, ochronie Wi-Fi oraz ochronie i monitorowaniu dostępu zdalnego.