apius-logo
upper-burgerbottom-burger
Bezpieczeństwo
sieci i komunikacji
Bezpieczeństwo systemów informatycznych w sieci, to podstawowa kwestia dla sprawnego funkcjonowania każdego przedsiębiorstwa.
01.
Informacje ogólne

Większość użytkowników bezgranicznie ufa swoim systemom powątpiewając, że ich dane mogą kiedykolwiek zostać wykradzione i dostać się w niepowołane ręce, gdyż nie są świadomi czyhających zagrożeń.

Systemy ochrony firewall towarzyszą rozwojowi sieci od późnych lat osiemdziesiątych ubiegłego wieku. Od prostych filtrów pakietowych przeszły ewolucję przez firewalle pełnostanowe (statefull), aż do obecnych Next Generation Firewall oraz zintegrowanych systemów UTM (Unified Threat Management).

Przełomem na rynku systemów firewall, który nastąpił w ubiegłych latach, jest skokowy wzrost ich wydajności powodujący, że przestały być systemami instalowanymi wyłącznie na styku z siecią Internet lub w segmentach o małych przepływach danych. Wprowadzenie na rynek firewalli o wydajnościach kilkudziesięciu lub kilkuset gigabitów (Gbps) powoduje, że mogą być one instalowane w rdzeniach wielu sieci – tworząc kolejną warstwę ochrony zasobów informatycznych. Jest to jednocześnie duże uproszczenie zarządzania bezpieczeństwem. W miejsce wielu rozproszonych punktów ochrony instalowanych dotychczas w warstwie dostępowej (co spowodowane było ich małą wydajnością) możliwe jest skoncentrowanie inspekcji na poziomie klastra w rdzeniu sieci.

„Do 2020 roku 60 proc. przedsiębiorstw świadczących usługi w sieci dotkliwie ucierpi ze względu na brak rozwiązań i umiejętności zespołów IT przeciwdziałania tym zagrożeniom.”

Gartner

NGFW

Dzisiejsze firewalle przestały być jednocześnie samotnymi wyspami, a stały się elementem spójnej infrastruktury zabezpieczenia sieci oraz zarządzania użytkownikami. W miejsce standardowych urządzeń, w których możliwe było sterowanie ruchem na poziomie otwartego/zamkniętego portu TCP/UDP wdrażane są firewalle typu Next Generation, które poprzez integrację z usługami katalogowymi (LDAP, Active Directory, itd.) pozwalają na sterowanie ruchem na poziomie danego użytkownika lub grupy. W ten sposób znika problem znany wielu administratorom, w którym np. otworzenie portu TCP 80 zezwalało nie tylko na ruch http, ale także umożliwiało tunelowanie wielu szkodliwych biznesowo aplikacji (np. komunikatory, ruch peer-to-peer). Obecnie można wybrać jakie aplikacje mogą działać wykorzystując port 80 oraz uzyskuje się kontrolę kto i kiedy z danych aplikacji może korzystać (w oparciu o dane użytkowników pozyskiwane z usług katalogowych).

Firewalle są również coraz częściej integrowane z systemami tylu NAC (Network Access Control), SSL VPN oraz IPS – pełniąc rolę jednostek wymuszających politykę bezpieczeństwa (enforcer).

UTM

W przypadku ograniczonego budżetu na system ochrony stosowane są coraz częściej systemy UTM (Unified Threat Management). Są to urządzenia, które poza funkcją firewall oferują również:

  • SSL VPN,
  • ochronę antywirusową i antyspamową,
  • kontrolę dostępu do WWW (web filtering),
  • Intrusion Prevention System (IPS),
  • liczbę segmentów chronionych,
  • rzeczywistą wydajność sprzętu przy politykach chroniących ruch istotny w danej sieci oraz liczbę sesji w chronionych sieciach,
  • zabezpieczenia przed awarią,
  • dostrojenie systemu IPS – aby zminimalizować liczbę alarmów typu False Positive (IPS sygnalizuje atak, który nie miał miejsca) przy jednoczesnym niedopuszczeniu do sytuacji False Negative (atak miał miejsce, system IPS nie zareagował),
  • skuteczność i liczbę metod detekcji – dobry system IPS powinien implementować co najmniej kilka metod detekcji. Poza podstawową detekcją opartą o sygnatury wymagane są algorytmy heurystyczne będące w stanie zablokować tzw. ataki „zero day” (dla których nie są jeszcze stworzone sygnatury),
  • ochrona ruchu wyjściowego - systemy IPS na styku z siecią Internet koncentrują się zazwyczaj na zagrożeniach w ruchu przychodzącym. Ważna jest jednak ich możliwość sprawdzania ruchu pod kątem ataków pochodzących z wnętrza sieci (np. wychwytywanie ruchu z keyloggerów, blokowanie ruchu z sieci typu BOT pochodzącego z zainfekowanych komputerów wewnętrznych),
  • IPSec VPN – rozwiązanie wbudowane w prawie wszystkie rozwiązania klasy Firewall dostępne na rynku. Wymogiem jest posiadanie skonfigurowanego klienta VPN na stacji uzyskującej dostęp,
  • SSL VPN – zdobywająca coraz większą popularność technologia dostępu oparta o protokół SSL/TLS, dla której podstawowym klientem połączenia jest przeglądarka internetowa
  • definiowanie szczegółowych reguł dostępu do zasobów sieci,
  • kontrola konfiguracji stacji roboczej,
  • kompresję danych,
  • obsługę różnych metod uwierzytelniania w zależności od rodzaju dostępu.

Systemy UTM są często stosowane w przypadku firm wielooddziałowych z rozproszonym dostępem do Internetu. Mankamentem systemów UTM jest często ich niedeterministyczna wydajność – szczególnie przy uruchomieniu zaawansowanego skanowania antywirusowego oraz IPS.

Systemy IPS

Systemy Intrusion Prevention System (IPS) są nieodzownym elementem uzupełniającym firewall w ochronie kluczowych segmentów sieciowych. Są najczęściej bardziej skomplikowane w konfiguracji i mniej deterministyczne w zakresie obsługiwanej przepustowości.

Proces doboru i konfiguracji systemu IPS powinien uwzględniać m.in: dobrze dobrany i zaimplementowany system IPS to nie tylko urządzenie zabezpieczające, ale także system pomagający w inwentaryzacji sieci i tworzeniu tzw. baseline’ów dla poprawnie działającej sieci. W późniejszym czasie odstępstwa od charakterystyki baseline pozwalają na stwierdzenie niepokojących trendów i zdarzeń zachodzących w sieci.

Zdalny dostęp do zasobów firmowych (SSL VPN)

Możliwość zapewnienia pracownikom i partnerom dostępu do danych i aplikacji o każdej porze i w każdej sytuacji jest dla wielu firm podstawowym wymogiem skutecznego funkcjonowania. Dostęp takie wymaga z jednej strony udostępnienia szerokiego zakresu funkcjonalności jak również zapewnienia pełnej kontroli przekazywanych danych oraz jak najlepszej kontroli środowiska wykorzystanego do uzyskania połączenia.

Istnieją dwie podstawowe technologie zapewnienia takiego dostępu:

  • IPSec VPN – rozwiązanie wbudowane w prawie wszystkie rozwiązania klasy Firewall dostępne na rynku. Wymogiem jest posiadanie skonfigurowanego klienta VPN na stacji uzyskującej dostęp,
  • SSL VPN – zdobywająca coraz większą popularność technologia dostępu oparta o protokół SSL/TLS, dla której podstawowym klientem połączenia jest przeglądarka internetowa.

Wiodące rozwiązania VPN zapewniają oprócz utworzenia szyfrowanego i uwierzytelnianego tunelu, szereg funkcjonalności zwiększających użyteczność i bezpieczeństwo zdalnego dostępu:

  • definiowanie szczegółowych reguł dostępu do zasobów sieci,
  • kontrola konfiguracji stacji roboczej,
  • kompresję danych,
  • obsługę różnych metod uwierzytelniania w zależności od rodzaju dostępu.
02.
Korzyści

Zastosowanie opisanych rozwiązań daje:

  • ochronę przed znanymi i nieznanymi zagrożeniami,
  • redukcję powierzchni potencjalnych nadużyć,
  • pełną przejrzystość ruchu sieciowego,
  • wymuszanie polityk bezpieczeństwa dla użytkowników lokalnych i mobilnych.
03.
Nasi partnerzy w zakresie bezpieczeństwa sieci i komunikacji
04.
Zobacz także