Požarni zidovi nove generacije : diplomsko delo univerzitetnega študija Varstvoslovje

62 

Loading....

Loading....

Loading....

Loading....

Loading....

Texto completo

(1)DIPLOMSKO DELO UNIVERZITETNEGA ŠTUDIJA Požarni zidovi nove generacije. Oktober, 2014. Nejc Kotnik.

(2)

(3) DIPLOMSKO DELO UNIVERZITETNEGA ŠTUDIJA Varstvoslovje Požarni zidovi nove generacije. Oktober, 2014. Nejc Kotnik Mentor: doc. dr. Igor Bernik.

(4) ZAHVALA. Zahvalil bi se mentorju prof. dr. Igorju Berniku za pomoč in usmeritve pri izdelavi diplomske naloge. Zahvala prav tako gre staršem in punci, ki so mi med študijem stali ob strani in me spodbujali.. 2.

(5) Kazalo vsebine dela. 1. 2. Uvod............................................................................................ 8 1.1. Namen in cilji .......................................................................... 10. 1.2. Hipoteze in predpostavke ............................................................ 10. 1.3. Metode dela ............................................................................ 10. Požarni zidovi ................................................................................ 12 2.1. Vrste požarnih zidov .................................................................. 14. 2.1.1. Strojni požarni zid ............................................................... 14. 2.1.2. Programski požarni zid .......................................................... 15. 2.2. Princip delovanja standardnega požarnega zidu ................................. 17. 2.2.1. Referenčni OSI model in TCP/IP ............................................... 18. 2.2.2. Prva generacija – paketno filtriranje ......................................... 20. 2.2.3. Druga generacija – stanovitna kontrola ...................................... 21. 2.2.4. Tretja generacija – požarni zid na aplikacijskem sloju ................... 21. 3. Zaščita s požarnimi zidovi in aplikacije WEB 2......................................... 23. 4. Požarni zid nove četrte generacije ...................................................... 26 4.1. Osnovne funkcije požarnega zidu nove generacije .............................. 29. 4.1.1. Prevajanje omrežnega naslova (NAT – Network Address Translation) .. 29. 4.1.2. URL-filtriranje .................................................................... 29. 4.1.3. Navidezno zasebno omrežje (VPN – Virtual Private Network)............ 30. 4.2. Napredne funkcije požarnih zidov nove generacije ............................. 31. 4.2.1. Sistem za preprečevanje vdorov (IPS – Intrusion Prevention System) .. 31. 4.2.2. SSL- in SSH-preverjanje ......................................................... 32. 4.2.3. Zaznava in nadzor aplikacij (Application awareness/control) ............ 32. 4.2.4. Preprečevanje izgube podatkov (DLP – Data Loss Preventon)............ 33. 4.3. Unified threat manegement – alternativa NGFW? ............................... 34. 4.4. Plasti delovanja požarnega zidu nove generacije ................................ 35. 3.

(6) 5. 4.4.1. Nadzor nad aplikacijami ........................................................ 35. 4.4.2. Nadzor nad uporabnikom ....................................................... 36. 4.4.3. Nadzor nad vsebino .............................................................. 37. 4.4.4. Varnostna politika ............................................................... 38. Požarni zidovi nove generacija – primerjalna analiza ................................ 40 5.1. Pregled kriterijev za primerjavo .................................................... 41. 5.2. Primerjava .............................................................................. 42. 5.2.1. Varnost ............................................................................ 42. 5.2.2. Zmogljivost ....................................................................... 45. 5.2.3. Upravljanje ....................................................................... 46. 5.2.4. Skupni stroški delovanja ........................................................ 50. 5.2.5. Stopnja zaščite glede na ceno ................................................. 52. 6. DISKUSIJA ..................................................................................... 54. 7. ZAKLJUČEK ................................................................................... 57. 8. Uporabljeni viri.............................................................................. 58. Kazalo grafov in tabel. Graf 1: Pretok podatkov ......................................................................... 46 Graf 2: Pričakovano letno število ur vzdrževanja ........................................... 49 Graf 3: Stopnja zaščite glede na ceno lastništva ........................................... 52. Tabela 1: Učinkovitost zaščite ................................................................. 44 Tabela 2: Možnosti upravljanja ................................................................ 48 Tabela 3: TCO za zaščiten megabit na sekundo ............................................. 50 Tabela 4: Obtežena varnostna učinkovitost .................................................. 51. 4.

(7) POVZETEK. Požarni zid je naprava, ki stoji na ključnem mestu v omrežnem sistemu in ločuje zunanje nezavarovano in notranje zavarovano omrežje. Standardni požarni zidovi so bili več kot dva desetletja sposobni opravljati nalogo varuhov nadzora dohodnega in izhodnega prometa. S prihodom novih spletnih aplikacij in njihovih alternativnih načinov povezovanja, pa je nadzor postal čedalje bolj zahteven. Požarni zid se ravna po predpripravljenih pravilih, ki jih vnese administrator. Zato morajo požarni zidovi prepoznati, katere aplikacije se povezujejo v svetovni splet in kdo z njimi upravlja. Ker tradicionalne požarne pregrade te naloge ne izpolnjujejo več, je potrebno transparentnost toka omrežnih podatkov zagotoviti z dodatnimi sistemi odkrivanja. Požarni zidovi naslednje generacije zagotavljajo boljšo stopnjo zaščite kot njihovi predhodniki. So enako stabilni in zanesljivi ter omogočajo velik pretok podatkov. Poleg tega imajo integriranih še vrsto drugih sistemov zaščite in možnosti nadzora, kar administratorjem omogoča bolj celovito kontrolo nad uporabniki omrežja. Ker je požarni zid zmožen zaznati vse aplikacije v prometu, prav tako pa tudi njihovega uporabnika, organizacijam omogoča ustvarjanje uporabniških skupin, ki imajo različne varnostne politike. Požarni zidovi nove generacije so se začeli razvijati šele v začetku tega desetletja, zato tovrstni sistemi še niso dobro standardizirani. Ponudniki zagovarjajo svoje produkte in različno poimenujejo sisteme, ki opravljajo isto nalogo, zato smo v diplomskem delu naredili primerjavo različnih kriterijev med vodilnimi ponudniki požarnih zidov nove generacije. Rezultate testov smo primerjali in jih združili v pregledno tabelo. Pred odločitvijo o nakupu novega varnostnega sistema je nujno analizirati svoje potrebe, pričakovanja in finančne zmožnosti ter se na podlagi nabora funkcij posameznega sistema odločiti o optimalni izbiri za svoje podjetje.. Ključne besede: požarni zid naslednje generacije, delovanje, funkcije, primerjava produktov. 5.

(8) SUMMARY – Next generation firewall. Firewall is a hardware device, located at a critical point in the network system. It separates unprotected outer network and secured inside or home network. Traditional firewalls were capable of guarding and controlling inbound and outbound traffic for more than two decades. With the arrival of new web based applications and their advanced connection capabilities, controlling traffic has become more demanding. Firewall relies on pre-prepared rules, which are inputted by administrator. Therefore, firewall must recognize all the applications, which want to connect to the network and also who is controlling them. Because traditional firewalls are no longer capable of doing the job, the transparency of data flow had to be ensured using additional system of detection. Next generation firewalls provide better level of protection as their predecessors. They are equally stable and reliable and they offer high data throughput. Additionally they have many other systems of protection integrated, which allows administrators better control over the users of the secured network. Because of Next Generation Firewall (NGFW) capabilities to identify applications and users, it is possible to create user groups, with different security policies. NGFW have appeared only in the beginning of the decade, which is why these systems are not yet standardized. Vendors advocate their products and call systems with the same function with different name, therefore we have compared tested results from different criteria and joined it all together in a transparent table. Before purchase of the new security system it is vital, that a thorough analysis of company needs, expectations and financial capabilities is done. Based on that experts analyse NGFW functions and recommend the most appropriate product for specific company.. Key words: next-generation firewall, operation, functions, product comparison.. 6.

(9) Uporabljeni simboli in kratice. DPI – Deep packet inspection DLP – Data loss prevention NGFW – Next Generation Firewall IDS – Intrusion detection system IPS – Intrusion prevention system IP – Internet protocol LAN – Local area network NAT – Network address translation OSI – Open system interconnection PORT – vrata Port Hopping – preskakovanje vrat Router – usmerjevalnik SSL – Secure socket layer TCP – Transmission control protocol Tunneling – tuneliranje URL – Uniform resource locator UTM – Unified threat management VPN – Virtual private network. 7.

(10) 1 Uvod Učinkovito varovanje informacij v modernem okolju predstavlja osnovo pri zagotavljanju poslovne varnosti in nam omogoča, da naše ideje, poslovne skrivnosti in druge zaupne informacije ne odtekajo izven domačega omrežja. V preteklosti, ko je bilo informacijsko okolje še v povojih, so bili tradicionalni požarni zidovi zelo učinkovito orodje za preprečevanje nepooblaščenih vstopov v naše omrežje. Organizacije pa se v sedanjosti soočajo s povsem novimi generacijami aplikacij, ki so izredno prilagodljive in jih običajni požarni zidovi ne zmorejo nadzorovati. Te so se dobro integrirale v naše vsakdanje življenje in posameznik brez njih težko deluje. Težava nastane, ko se začne prepletati osebna in poslovna uporaba teh aplikacij.. Ko so bili požarni zidovi še v prvi fazi razvoja, so predstavljali osnovo zaščite, ki je varovala notranje omrežje pred vdori iz interneta. Obstajala je le ena internetna povezava, ki jo je ščitil požarni zdi. Takšen varnostni model je prevladoval skoraj tri desetletja. Vse to se je zaradi globalizacije, bolj dostopnih možnosti povezovanja, mobilnosti, virtualizacije in računalništva v oblaku, spremenilo. Standardni varnostni model postaja zastarel, požarni zidovi pa novemu trendu ne sledijo. Požarni zidovi se razvijajo in prevzemajo nove naloge ter delujejo v sklopu novega, »razpršenega varnostnega modela«, ki deluje kot prometni direktor, ločuje zavarovane sisteme od javnih, varuje varovane informacije in podpira virtualne ter mobilne sisteme. Ker so bili požarni zidovi v prejšnjem obdobju razviti za tedanje potrebe, jih v novem obdobju nadomeščajo požarni zidovi nove generacije (Antonopoulos, 2010). Pojem NGFW je star šele nekaj let, zato ne obstajajo določeni standardi, katere mora produkt izpolnjevati. Veliko ponudnikov tako vsak nov produkt označijo s pojmom NGFW.. Hitra evolucija aplikacij in groženj, skupaj z relativno stagnacijo tradicionalnih varnostnih tehnologij, sta prinesli upad preglednosti in nadzora v organizacijah, ki so si prizadevale ohranjati dobro varovano omrežno okolje. Brez pravega inovativnega pristopa so začele uvajati namenske varnostne dodatke k požarnim zidovom. Rezultat je bil kompleksen in drag varnostni sistem, ki ni zagotavljal celovite zaščite. Prav tako je to pomenilo upad preglednosti in veliko zmanjšanje v hitrosti procesiranja podatkov. V sodobnem svetu, ko morajo organizacije narediti več z manj, tako z 8.

(11) osebjem kot s financami, sta besedi kompleksno in drago nesprejemljivi. Potreben je bil popolnoma nov in inovativen pristop k zagotavljanju varnosti. Na novo je bilo potrebno izumiti požarni zid (Miller, 2011). Požarni zidovi nove generacije so do neke mere ustvarjeni za potrebe oz. varnostne grožnje, ki že obstajajo in so nam dobro poznane. Glavna sposobnost je, da bodo, čeprav so ustvarjeni danes, sposobni preprečevati grožnje, ki se bodo pojavile šele v prihodnosti. Morajo se prilagajati varnostnemu okolju in neprestano ohranjati najvišjo možno stopnjo zaščite.. 9.

(12) 1.1 Namen in cilji. Namen diplomskega dela je ugotoviti obstoječe stanje v svetu požarnih zidov, kako se razvijajo in kako dobro so tradicionalni požarni zidovi še sposobni ščititi zaupne podatke. Prvi cilj je narediti pregled standardnih in novih požarnih zidov ter predstaviti ključne prednosti novih produktov, na podlagi katerih se lahko podjetja odločijo za uvedbo požarnih zidov nove generacije. Drugi cilj pa je razjasniti posamezne funkcije požarnih zidov nove generacije in predstaviti primerjalno analizo trenutnega stanja na trgu požarnih zidov nove generacije. Primerjava bo narejena po vnaprej določenih kriterijih, med katerimi bodo glavni stopnja varnost, zmogljivost, možnosti upravljanja, skupni stroški delovanja in stopnja zaščite glede na ceno.. 1.2 Hipoteze in predpostavke. V začetku smo postavili naslednje hipoteze: H1: Standardni požarni zidovi so še vedno sposobni učinkovito preprečevati grožnje. H2: Požarni zidovi nove generacije zagotavljajo stoodstotno zaščito. H3: Vsi vodilni proizvajalci požarnih zidov ponujajo produkte, ki nudijo celovito in enako dobro zaščito pred napadi.. Požarni zidovi nove generacije so se začeli razvijati šele v zadnjih nekaj letih, zato predvidevamo, da sistemi še niso dobro standardizirani.. 1.3 Metode dela. V začetku pisanja diplomske naloge smo zbrali domačo in tujo literaturo na izbrano temo. Sledil je pregled literature in izdelava dispozicije. Pri izdelavi diplomske naloge smo uporabili deskriptivno metodo analize člankov, knjig in internetnih virov. S pomočjo komparativne metode smo primerjali različne produkte vodilnih proizvajalcev ter ugotavljal razlike in podobnosti. Metoda sinteze nam je bila. v. pomoč pri združevanju in analizi spoznanj iz več različnih virov. Zaradi hitrega 10.

(13) razvoja tega področja je zelo pomembno, da literatura ni datumsko zastarela. Literatura, ki je dostopna na spletu, se lažje in hitreje posodablja.. Predstavili bomo razvoj požarnih zidov skozi zgodovino in načine, s katerimi so požarni zidovi varovali omrežje. Zaradi razvoja novih aplikacij in s tem novih načinov povezovanja, je bila potreba po razvoju novih požarnih zidov velika. Spoznali bomo, kaj so požarni zidovi nove generacije, kaj so sposobni in primerjali produkte vodilnih ponudnikov na trgu zagotavljanja omrežne varnosti.. 11.

(14) 2 Požarni zidovi Požarni zidovi (angl. firewalls) so bili nedolgo nazaj za laičnega uporabnika računalnika, ki se je tu in tam z modemom povezal v širše omrežje, le zanimivost. Tudi v podjetjih in organizacijah, ki dnevno operirajo z zaupnimi podatki, so bili požarni zidovi med manj pomembnimi, saj so med seboj komunicirali po lastnih, izoliranih omrežjih, ki so imela posebne varnostne mehanizme. A internet je spremenil vse. Nenadoma je postalo za delovanje teh sistemov ključno, da so odprti in povezani v internet. Tudi v domačih omrežjih so se stvari začele naglo spreminjati, ko so postale dostopne hitre, širokopasovne povezave. Danes je požarni zid bolj pomemben del računalniške opreme od protivirusnega programa. V kolikor smo v svetovni splet povezani s stalno povezavo, je požarni zid nujna sestavina varnostnega modela. Organizacije z razprostranjenim krajevnim omrežjem, ki ga želijo delno ali v celoti povezati v internet, prav tako ne morejo shajati brez učinkovitega požarnega zidu (Mesojedec, 2005). Izraz požarni zid je bil najprej uporabljen v povsem druge namene. Predstavljal je fizično oviro, ki je ločevala predele hiš in preprečevala, da bi se ogenj razširil po celotnem prostoru. Kasneje je izraz dobil svoj pomen tudi pri avto industriji, saj je požarni zid ločeval predel motornega prostora od predela potnikov. Moderni pomen je dobil šele leta 1987, ko naj bi se prvič uporabil za požarni zid v omrežju. Predhodniki požarnega zidu so bili usmerjevalniki (angl. router), ki so ločevali eno omrežje od drugega. Tako so bile vse grožnje, ki so se dogajale v enem omrežju, ločene od drugega omrežja. Enak princip so prevzeli standardni požarni zidovi, katerih glavni namen je, da preprečujejo ali upočasnjujejo širjenje nevarnih dogodkov v omrežju.. Požarni zid je torej programska ali strojna rešitev, ki upravlja z internetno komunikacijo računalnika. Deluje kot ključavnica v vratih stanovanja, le da preprečuje vhod in izhod podatkov (Bratuša, 2007). Požarni zid si lahko predstavljamo tudi kot vratarja. Želimo vratarja, ki je inteligenten, se prilagaja okolju, se odloča v korist podjetja in je hkrati močan in hiter.. Ingham in Forrest (2002) sta požarni zid definirala kot napravo ali skupek več naprav med dvema omrežjema, ki zajemajo naslednje kriterije: . Požarni zid je meja med dvema omrežjema. 12.

(15) . Celoten promet med dvema omrežjema poteka skozi požarni zid.. . Požarni zid ima mehanizem, ki dovoljuje določenemu prometu prehod, medtem ko drugemu prehod blokira. Pravila, ki opisujejo, kakšen promet je dovoljen, sestavljajo varnostno politiko požarnega zidu.. Za analiziranje omrežnega prometa je požarni zid najbolj učinkovita rešitev. Ker celoten promet poteka skozenj, lahko z dobrim delovanjem le-tega zagotovimo dobro varnost omrežja. Varnost se zagotavlja z različnimi tehnikami odkrivanja groženj. Najprej je potrebno promet analizirati, ga prepoznati, nato pa primerjati s setom pravil, ki so zapisana v požarnem zidu. Glede na pravila se promet blokira, ali se pretok podatkov dovoli.. 13.

(16) 2.1 Vrste požarnih zidov. Požarne zidove ločimo na strojne in programske požarne zidove. Požarni zidovi nove generacije se uvrščajo med strojne naprave, ki pa ne delujejo enako dobro v vseh okoljih. Mnogo uporabnikov ima v domačem omrežju nameščeni obe vrsti požarnih zidov, pa se tega sploh ne zaveda. Usmerjevalnik deluje kot strojni požarni zid, saj je na njem možno ustvarjanje varnostnih pravil, filtriranje MAC-naslovov in ustvarjanje drugih vrst zaščite. Poleg strojnega požarnega zidu pa imamo lahko na računalniku nameščen še programski požarni zid, ki deluje hkrati s strojnim požarnim zidom. Zakaj bi potrebovali oba? Ker je trend tehnologije v čim bolj prenosnih napravah, ki jih lahko nosimo s seboj, nismo vedno povezani v splet prek domačega omrežja. Javna omrežja so lahko nezaščitena in tako brez ustreznega programskega požarnega zidu omogočimo grožnjam neposreden vstop v naš sistem. Pri večjih organizacijah, kjer se v splet povezujejo predvsem stacionarni računalniki, pa se zaradi spodaj naštetih prednosti uporabljajo izključno zmogljive strojne naprave za zagotavljanje varnosti.. 2.1.1 Strojni požarni zid. Strojni požarni zid je fizična komponenta, ki je postavljena med zunanjim internetnim priključkom in lokalnim omrežjem. Strojni požarni zidovi delujejo tudi kot usmerjevalniki, s katerimi je mogoče na internetno omrežje priključiti več računalnikov. Strojni požarni zidovi so dražji in zahtevnejši za uporabo, vendar zagotavljajo boljšo zaščito. Njihova namestitev za osebno rabo v večini primerov ne zahteva posebnega znanja, ker so pripravljeni za t. i. plug and play uporabo. V kolikor požarni zid ščiti več kot le domače računalnike, potrebuje več konfiguracije za optimalno delovanje. V primerjavi s programskim požarnim zidom ima strojni veliko večji pretok podatkov in procesno moč, seveda pa je vse odvisno tudi od kvalitete in zmogljivosti strojne opreme požarnega zidu (Householder and McDowell, 2009). Strojni požarni zidovi so primerni za večje organizacije, saj lahko namestimo tudi več deset naprav v isto omrežje. Tako povečamo hitrost obdelave podatkov, pretok in tako zaščitimo več različnih strežnikov. Ločimo lahko različne oddelke v podjetju in ustvarjamo drugačna pravila za vsakega od njih. Glavna prednost je torej hitrost, večja pa je tudi varnost. Ker imajo sistemi svoj operacijski sistem, so manj. 14.

(17) dovzetni za napade. Imajo veliko več naprednih varnostnih funkcij in različnih možnosti konfiguracije. Če imamo varnostni sistem z dobrim centraliziranim upravljanjem in kvalificirano osebo za vzdrževanje, je varnost v primerjavi s programskim zidom neprimerno večja. Glavna slabost pa ostajajo visoki stroški nakupa in dobre konfiguracije. V primeru, da se takšen sistem pokvari, v trenutku ostane brez zaščite ogromna količina podatkov.. 2.1.2 Programski požarni zid. Programski požarni zidovi se namestijo neposredno v operacijski sistem računalnika. Ker delujejo kot programi, so vsakdanjim uporabnikom bolj domači in zato preprostejši za uporabo. Uporabnik omrežje nadzira prek uporabniškega vmesnika, ki ne zahteva naprednega znanja o delovanju vrat in varnostnih pravil, večina funkcij pa je kar se da avtomatiziranih. Obstaja veliko kvalitetnih brezplačnih programskih požarnih zidov, ki so za povprečnega uporabnika interneta zadovoljiva zaščita pred napadi. Za zahtevnejše uporabnike obstajajo plačljive različice programov, ki nudijo več funkcij, zagotavljajo hitre varnostne posodobitve in podporo. Enako pomembna, kot sama izbira programskega požarnega zidu, je začetna konfiguracija in upravljanje varnostnih pravil.. Delujejo tako, da nadzirajo odprta in zaprta vrata na napravi in analizirajo promet, ki poteka skozi njih. Za vsaka vrata je točno določeno, kateri program se lahko preko njih povezuje, zato je programski požarni zid konfiguriran tako, da ima vgrajeno listo aplikacij in njihovih vrat, na podlagi katerih se odloča o blokiranju. Program takoj obvesti uporabnika, če pride do kršitve varnostne politike (Panchal, 2005). Samo delovanje je v principu enako pri obeh vrstah požarnih zidov, glavna razlika pa je v tem, da ima strojni požarni zid lasten operacijski sistem, programski pa je nameščen na operacijski sistem, ki je nameščen na napravi.. Programski požarni zidovi so pomembni tudi na prenosnih računalnikih, tablicah in na pametnih telefonih, saj se te naprave v splet povezujejo iz nešteto različnih javnih omrežij. V teh primerih si uporabnik deli omrežje s široko paleto drugih gostov, zato so tu strojni požarni zidovi neučinkoviti. Programski požarni zid je tako edina rešitev.. 15.

(18) Glavna slabost programskih požarnih zidov je predvsem v hitrosti pretoka podatkov, zato se večja podjetja praviloma raje odločajo za uporabo strojnih požarnih naprav.. 16.

(19) 2.2 Princip delovanja standardnega požarnega zidu. Če hočemo razumeti delovanje požarnih zidov naslednje generacije, moramo najprej osvetliti delovanje običajnih požarnih zidov. Osnovna enota internetne komunikacije se imenuje paket. Vsaka spletna stran, sporočilo ali datoteka se pred prevzemom najprej razdeli na majhne pakete, izmed katerih se vsak v računalnik dostavi samostojno. Računalnik nato prejete pakete znova sestavi v celoto. Načini, na katere se internetni paketi izdelujejo, nastavljajo in usmerjajo po internetu, se imenujejo protokoli (Bratuša, 2007). Ko požarni zid paket prepozna, ga primerja s setom pravil, ki jih uporabnik določi. Paketu lahko prehod dovoli ali pa ga zavrne. Požarni zid nadzira vsa vrata in celoten promet prek omrežja. Največ prometa potuje skozi vrata številka 80, zato so ta najbolj obremenjena. Požarni zidovi morajo za učinkovito prepoznavo prometa vrtati vse globlje v pakete, zato morajo imeti vedno večjo moč procesiranja in dodatne sisteme za pregled paketov.. Osnovni namen požarnega zidu je nadzorovanje pretoka podatkov med notranjim omrežjem (LAN1) in javnim omrežjem. Deluje na principu odpiranja in zapiranja vrat (angl. port). Če si požarni zid predstavljamo kot velik fizični zid z veliko manjšimi luknjami, slednje predstavljajo vrata. Vsaka aplikacija, ki se povezuje v svetovni splet, ima vnaprej določena vrata, skozi katera požarni zid dovoljuje njeno povezovanje v splet. Standardni požarni zidovi so slabovidni. Analizirajo le prvih nekaj paketov in na ta način odprejo vrata, ki jih aplikacija uporablja. S tem pospešujejo procesiranje oz. prevodnost, a zagotavljajo manjšo varnost. Privzeta nastavitev teh zidov je, da dovoljujejo pretok skozi vsa vrata, razen skozi tista, ki so izrecno zaprta. Preprostost in velik pretok informacij sta samo dva izmed razlogov, zakaj je njihova popularnost še vedno na visokem nivoju. A zaradi razvoja aplikacij prve in druge generacije takšni požarni zidovi, zaradi novih načinov povezovanja, nadzoru niso kos (Miller, 2011). Med vsemi stopnjami razvoja je glavni cilj ostal nespremenjen — ustvarjati zaščitni zid med dvema omrežjema, hkrati pa zagotavljati podatkom varen, nemoten prehod iz ene na drugo stran. Če želimo podatke poslati iz enega računalnika v drugega, potrebujemo protokole. To so vnaprej predpisana pravila, kako si računalniki med seboj izmenjujejo podatke. Tako kot moramo ljudje. 1. Local area network – omrežje na manjši površini, v hišah, šolah, podjetjih. Obstajajo omrežja, ki so popolnoma zaprta ali pa lokalna omrežja, povezana v svetovni splet. Tako lahko do svojega domačega omrežja dostopamo tudi iz oddaljenih računalnikov.. 17.

(20) govoriti isti jezik, če se želimo razumeti, morajo tudi naprave med seboj komunicirati po istih pravilih. Za usklajeno delovanje različnih delov strojne opreme oz. njihove komunikacije je bilo potrebno določiti pravila za nemoteno komunikacijo.. 2.2.1 Referenčni OSI model in TCP/IP. Razvoj požarnega zidu lahko razdelimo na več generacij. Vsaka deluje na drugi plasti OSI referenčnega modela. Če želimo razumeti, kje se NGFW bistveno razlikujejo od tradicionalnih požarni zidov, moramo poznati oba modela, še posebej aplikacijski sloj. Omrežje povezujeta dva ali več računalnikov, ki si izmenjujejo informacije. Ker je proizvajalcev strojne in programske veliko, morajo vsi komunicirati na podlagi istega standarda oz. protokola.. OSI referenčni model določa, kako poteka prenos informacije med enim in drugim računalnikom, povezanim v omrežje. Hkrati lahko poteka več opravil, na različnih plasteh, saj so le-te med seboj neodvisne. Kot navaja Blachunas (2012), je sestavljen iz sedmih plasti, vsaka plast pa ima posamezne omrežne funkcije: Plast 7 – aplikacijski sloj: predstavlja vmesnik med uporabnikom in komunikacijskim omrežjem. Na tej plasti sta komunikacijska partnerja identificirana. Kvaliteta storitve,. varnostno. preverjanje. uporabnika. in. zasebnost. sta. zagotovljena.. Komunikacija je sinhronizirana. Ta sloj predstavljajo protokoli HTTP in FTP in SMTP. Plast 6 – predstavitveni sloj: je del operacijskega sistema, ki pretvarja dohodni in odhodni promet med enim predstavitvenim formatom in drugim. Tako omogoča, da so poslani podatki razumljivi za stran, ki podatke sprejema. Lahko jo imenujemo tudi plast sintakse. Primeri formatov na tem sloju so MP3, AVI in JPG. Plast 5 – sejni sloj: ustvari, koordinira in zapira pogovore, izmenjave in dialoge med aplikacijami na vsaki strani. Ukvarja se s koordinacijo sej in povezav. Plast 4 – transportni sloj: predstavlja stopnjo, kjer se računalnika med seboj predstavita. Ta plast odkriva in odpravlja morebitne napake. Zagotavlja popoln prenos podatkov. Sprejema podatke iz zgornjih slojev in jih razgradi v manjše. Plast 3 – omrežni sloj: ureja usmerjanje podatkov od vira do cilja (pošiljanje podatkov v pravo smer, na pravo destinacijo). Naloge, ki jih opravlja, zajemajo 18.

(21) naslavljanje, preklapljanje in izbiro najbolj optimalne poti. Najbolj znan protokol je Internet Protokol ali IP. Plast 2 – povezovalni sloj: je za razliko od omrežnega sloja, ki prenaša podatke med omrežji, odgovoren za prenos podatkov znotraj omrežja. Skrbi tudi za način ugotavljanja napak in njihovo odpravljanje. Plast 1 –fizični sloj: kontrolira prenos bitov na fizični medij.. V računalniku A začne podatek potovati od aplikacijskega proti fizičnemu sloju, tam se pošlje v računalnik B, kjer potuje v obratni smeri od fizičnega proti aplikacijskem sloju. Temu pravimo vertikalna komunikacija. Poleg OSI-modela, ki je teoretičen in v realnosti praktično ni zaživel, se v sedanjosti uporablja predvsem štiriplasten model TCP/IP. Ta model je glavni protokol za sporazumevanje v internetu. Vsak računalnik ga mora poznati, če se želi povezati z drugim računalnikom. TCP/IP je serija protokolov, na podlagi protokola TCP in IP. Ima štiri plasti: Plast 4 – aplikacijski sloj: na tem sloju imajo aplikacije omogočen dostop do svetovnega spleta prek protokolov HTTP, SMTP, FTP. Plast 3 – transportni sloj: TCP- in UDP-protokola sta zadolžena za nemoten pretok podatkov prek omrežja. TCP-protokol uporabljajo aplikacije, ki pošiljajo večjo količini podatkov naenkrat, pri protokolu UDP pa je število podatkov ponavadi manjše, zato aplikacija sama skrbi za zanesljivo pošiljanje podatkov. Plast 2 – internetni sloj: zagotavlja pravilno naslavljanje paketov in njihovo prepoznavanje. Uporablja protokol IP. Plast 1 – povezovalni sloj: podrobno definira, kako se podatki fizično pošiljajo prek omrežja, torej kako se biti električno oz. optično prenašajo preko kablov.. TCP-protokol imenujemo tudi protokol za nadzor prenosa podatkov. Njegov glavni namen je določanje vsebine podatkovnih paketov. Podatke sestavlja v pakete, večje pakete razbije na manjše, na ciljnem naslovu pa se podatke znova sestavijo v celoto. Skrbi za čim bolj celovito pošiljanje informacij, da se paketi ne izgubijo kje na poti. Če se, jih protokol poišče in jih poizkuša obnoviti. IP-protokol določa, kako se podatki pretakajo prek strojne opreme in kakšno obliko naj informacija zavzame. Analizira vsak paket posebej. Paketi so označeni z IP-naslovi, zato da protokol ve, kam naj paket pošlje. 19.

(22) Najbolj očitna razlika, ki jo opazimo na prvi pogled, je ta, da imata različno število slojev. Poleg tega je OSI-model teoretičen in je uporabljen kot opora, kako naj se komunikacije izvede, TCP/IP-model pa je standard, okoli katerega se je razvil internet. Model TCP/IP združuje storitve predstavitvenega in sejnega sloja na aplikacijskem nivoju. V preteklosti so različne generacije požarnih zidov delovale na različnih plasteh modela OSI, zato so imele tudi drugačne zmožnosti odkrivanja groženj. V literaturi lahko prebiramo o več različnih generacijah, nekateri avtorji navajajo tudi več kot tri. Mi smo generacije smiselno povzeli po različni funkcionalnosti samih naprav.. 2.2.2 Prva generacija – paketno filtriranje. Paketno filtriranje je bila prva metoda, po kateri so požarni zidovi pregledovali prihajajoč in odhajajoč promet. Deluje na omrežnem sloju. Je izredno preprosta in cenovno ugodna oblika zaščite s požarnim zidom. Pri tej zaščiti je pregledan vsak prihajajoč in odhajajoč paket informacije. Požarni zid lahko dovoli prehod paketu, ali pa ga zavrne, glede na vnaprej pripravljena pravila, ki jih določi uporabnik. Takšen način preverjanja lahko primerjamo z delovanjem bančnega avtomata. Če uporabnik vpiše pravilno varnostno geslo, avtomat dovoli dvig gotovine, v nasprotnem primeru pa dostop zavrne. Požarni zid pregleduje vsak paket na podlagi naslednjih kriterijev: . izvorni IP-naslov,. . ciljni IP-naslov,. . TCP-/UDP-izvorna vrata,. . TCP-/UDP-ciljna vrata.. Takšen preprost sistem ima pomanjkljivosti. Filtriranje paketov je dovzetno za številne napade, med drugim za ponarejanje IP-naslovov, kjer napadalec poskuša pridobiti neavtoriziran dostop do računalnika s pošiljanjem sporočil računalniku z IPnaslovom, ki prikazuje, da sporočilo prihaja od zaupanja vrednega gostitelja. Strokovnjaki verjamejo, da je tak način najbolj ranljiv, saj omogoča neposredno povezavo med dvema računalnikoma. Tako omogoča odprto možnost zlorabe (Smith, 2002). Požarni zidovi s paketnim filtriranjem podatkov ne postavljajo v kontekst, analizirajo vsakega posebej in so zato precej počasni, prav tako pa ne zagotavljajo 20.

(23) visoke stopnje varnosti. So zelo dovzetni za napade s ponarejanjem IP-naslovov. Predvidevajo, da spletni promet (http) poteka prek vrat številka 80 in promet e-pošte (SMTP) poteka prek vrat 25. Naslednja generacija požarnih zidov je že omogočala, da se paketi niso zgolj filtrirali glede na izvor, ampak tudi glede na vsebino.. 2.2.3 Druga generacija – stanovitna kontrola. V to generacijo požarnih zidov prištevamo požarne zidove s stanovitno kontrolo (angl. Stateful packet inspection), imenovano tudi dinamično paketno filtriranje. Le-ti delujejo na omrežnem sloju in stalno nadzirajo stanje omrežja, kar omogoča, da se ne odločajo le na podlagi pravil, ki jih določi uporabnik, ampak tudi na podlagi konteksta paketa, ki se je določil pri uspešnem prehodu prejšnjih paketov. Ta pristop omogoča pregled vsebine paketov in ne samo njihove filtracije. Ne odloča se le glede na naslov pošiljatelja in cilj paketa, ampak tudi glede na samo vsebino. Takšen sistem lahko primerjamo z varnostnim pregledom na letališču, kjer ne preverijo le, od kod ste in kam ste namenjeni, ampak tudi vašo prtljago (Smith, 2002). Ena izmed glavnih prednosti stanovitne kontrole je sposobnost dinamičnega filtriranja, kar omogoča sistemu hitrejše procesiranje podatkov in možnost sledenja paketom od začetka do konca omrežne seje. Takšni požarni zid vseeno omogoča neposredno povezavo med dvema točkama v omrežju, hkrati pa je njegovo konfiguriranje in ustvarjanje dobrih varnostnih politik zahtevno.. 2.2.4 Tretja generacija – požarni zid na aplikacijskem sloju. Aplikacijski požarni zid lahko zazna zlonamerni promet, ki ga filtriranje paketov ne zmore. To zmore zaradi podrobnega pregledovanja paketov (angl. DPI). Bolj podrobno razumevanje toka podatkov nam omogoča boljši nadzor in kontrolo nad aplikacijami, boljšo optimizacijo prometa in večjo varnost. Da to dosežemo, moramo pogledati v paket bolj globoko kot samo do plasti 4. Paketi se pregledajo v določeni točki, od nivoja 2 vse do nivoja 7. Na osnovi pregleda se paket klasificira, tako da lahko požarni zid ustrezno uveljavi določeno varnostno politiko (Lipovšek, 2008). Takšne naprave ponujajo široko paleto funkcij. Poleg tradicionalne analize morajo prepoznati aplikacije brez zanašanja na osnovne kriterije (Ruck, 2010). Ne filtrirajo povezav zgolj na podlagi uporabljenih vrat, temveč to naredijo tudi glede na 21.

(24) procese, prek katerih se aplikacija želi povezati v splet. Zagotavljajo veliko večjo varnost kot svoji predhodniki, posledično pa so tudi bolj kompleksni in za njihovo upravljanje potrebujemo več kot osnovno znanje o požarnem zidu. Niso pa sposobni ustvarjati naprednih varnostnih pravil, klasifikacije prometa glede na aplikacijo, vsebino ali uporabnika, zato se je razvila nova generacija požarnih zidov.. 22.

(25) 3 Zaščita s požarnimi zidovi in aplikacije WEB 2 Spletna varnost je bila včasih relativno preprosta. Vse je bilo črno na belem — ali izrecno slabo ali pa dobro. Požarni zidovi so dovoljevali promet znanim dobrim aplikacijam, medtem ko je bilo vse drugo blokirano, saj je veljalo za škodljivo. V zadnjem desetletju pa se je področje aplikacij razvilo v povsem novo smer. Aplikacijam, ki jih podjetja uporabljajo za pomoč pri poslovanju, so se pridružile tudi osebne aplikacije zaposlenih. Ta trend je podjetje Gartner (2005) definiralo kot konsumerizacija (angl. consumerization). Definicija se glasi (Gartner, 2005): »Konsumerizacija. je specifičen vpliv uporabniško orientiranih tehnologij na. organizacije. Prikazuje, kako bodo nove tehnologije in modeli, ki temeljijo na razvijanju uporabnikov samih in ne na IT-sektorjih, vplivale na organizacije in kakšne prednosti bodo prinesle. Konsumerizacija ni strategija ali nekaj kar bi lahko bilo posvojeno. Konsumerizacija je lahko sprejeta in z njo se je potrebno soočiti, ne more pa biti zaustavljena.« Požarni zidovi nove generacije se v primerjavi s predhodniki razlikujejo po sposobnostih zaznave aplikacij nove generacije. Če želijo zagotoviti večjo varnost, morajo imeti sposobnost odkrivanja novih načinov povezovanja teh aplikacij. Za razumevanje delovanja tehnik odkrivanja moramo spoznati, kaj Web 2.0 aplikacije so in kakšne nove načine povezovanja so prinesle. Izraz Web 2.0 je leta 2003 zasnoval Dale Dougherty, podpredsednik podjetja O'Rilley Media (O'Reilly, 2005). V generaciji Web 1.0 je veljalo, da uporabniki brskajo po želenih spletnih straneh in odkrivajo nove informacije, z njimi pa nimajo nobene interakcije. S pojavom novih spletnih strani, ki so ponujale veliko možnosti interakcije, prav tako pa tudi odziva samega uporabnika, je nastal pojem Web 2.0.. Aplikacije so postale vse bolj »sive«, kar pomeni, da je črto med dobrimi in slabimi aplikacijami zelo težko določiti. Razvoj »Enterprise 2.0 in Web 2.0« aplikacij narekujejo uporabniki, ne podjetja. Takšne aplikacije so preproste za namestitev, prijazne uporabnikom, funkcionalne in se sproti posodabljajo glede na povratne informacije uporabnikov. Organizacije, ki niso bile pripravljene na prihod novih aplikacij, so večinoma reagirale na dva načina — ali so preprosto ignorirale njihovo uporabo na delovnem mestu ali pa so jih dokončno prepovedali. Noben pristop ni učinkovit, saj se lahko z uporabo teh aplikacij pospeši reševanje problemov in poveča učinkovitost podjetja. Zaposleni so primorani skrivati uporabo, nadzor je nemogoč,. 23.

(26) proces usposabljanja zaposlenih pa ne obstaja, zato so tveganja za vdor in krajo informacij visoka (Miller, 2011).. Na primer, v preteklosti so organizacije, ki so želele prepovedati uporabo Windows Messengerja, zaprle vrata, ki jih ta aplikacija uporablja. Organizacije tako težje določijo, kaj je dovoljeno in kaj ni. Uporaba Facebooka lahko podjetju prinese ogromno poslovno prednost, zato je potrebno v organizaciji določiti, kdo lahko aplikacijo uporablja, določiti enotno politiko in nadzirati uporabo ter s tem zagotavljati dosledno izvajanje te politike. Obstaja nešteto podobnih aplikacij: Skype, Google Docs, Teamviewer, Gmail, katerih popolna prepoved uporabe na delovnem mestu bi bila za podjetje prej škodljiva kot koristna. Pravilna kategorizacija prometa ni tako lahka, kot se zdi na prvi pogled. Ker želijo biti aplikacije čim bolj dostopne in uporabniku prijazne, so mnoge narejene tako, da obidejo tradicionalne požarne zidove z dinamičnim načinom povezovanja. Za končnega uporabnika to pomeni, da so dostopne kjerkoli in kadarkoli.. Če želimo razumeti tehnike prepoznave aplikacij, ki so opisane v nadaljevanju, moramo našteti nove načine povezovanja aplikacij. Takšne taktike omogočajo uporabniku nemoteno uporabo aplikacij, tudi v primeru, da so te aplikacije v požarnem zidu blokirane. Če požarni zid prometa ne zazna, ga ne more filtrirati in nas ustrezno varovati. Najpogostejše taktike, ki jih uporabljajo aplikacije, so (NNS Labs, 2013): . Tuneliranje (angl. Tunneling): programi, ki imajo prepovedan prehod, tečejo preko standardnih vrat, na primer http (80), in se tako zakrijejo.. . Preskakovanje vrat (angl. Port Hopping): vrata in protokoli na transportnem sloju se naključno spreminjajo med sejo.. . SSL-kodiranje: kodiranje lahko skrije promet aplikacije in se skrije v SSL tunele, ki tečejo preko TCP-vrat 443 (HTTPS).. Sama kategorizacija aplikacije pa še ni končni korak. V sklopu prometa Facebooka obstajajo še drugi protokoli, ki dovoljujejo igranje spletnih iger, video klica ali pisanja sporočil. Te aplikacije so uporabnikom postale del vsakdana in tehnologija omogoča posameznikom, z njihovo uporabo, izboljšati osebno učinkovitost,. 24.

(27) upravljanje njihovih neslužbenih dolžnosti ali svojih spletnih osebnosti. Prav zato je nadzor nad takšnimi aplikacijami bolj učinkovit kot popolna prepoved (NSS Labs, 2013). Požarni zidovi nove generacije zato ne delujejo na principu blokiraj ali dovoli, temveč ponujajo administratorjem veliko možnosti kategorizacije, tako po vsebini prometa kot tudi po uporabniških skupinah.. V zadnjih letih pa se pojavlja tudi nov trend shranjevanja podatkov v oblaku, ki požarnim zidovom še dodatno otežuje delo. Kot navajta Bernik in Markelj (2012) je pri vpeljavi računalništva v oblaku v organizacijo pametno že na začetku, torej pri načrtovanju, upoštevati priporočila stroke za informacijsko varnost, in v pocesu implemetacije sistema pritegniti k sodelovanju vse zaposlene, ki bodo ključni uporabniki novo uvedene tehnologije. Vsakič, ko implementiramo novo tehnologijo, kar računalništvo v oblaku zagotovo je, zastavimo temelje informacijske varnosti že v fazi načrtovanja sistema(Bernik in Markelj, 2012). Uporaba računalništva v oblaku poenostavlja dostopanje do podatkov in njihovo deljenje, a hkrati omogoča dodatno informacijsko varnosno tveganje za nepooblaščen dostop, kar se je potrebno zavedati in narediti vse v naši moči, da to preprečimo.. 25.

(28) 4 Požarni zid nove četrte generacije Ker lokacija požarnega zidu ostaja nespremenjena, torej je na ključni točki med omrežjem in računalnikom, je poglavitna naloga nove generacije zidov, da ostanejo enako stabilni, zanesljivi, hitri in prilagodljivi, kot so bili njihovi predhodniki. Dodatno morajo zagotavljati nadzor nad aplikacijami, ne le nad vrati. Enako pomembna je tudi identifikacija uporabnika in uporabniških skupin ter uveljavljanje varnostnih politik, ki temeljijo na uporabniku. Sistemi identifikacije in preprečitve udora (IDS/IPS) so postali že standardne varnostne naprave v vseh organizacijah. Zato mora biti takšen sistem že vgrajen in mora delovati enako dobro, kot samostojen sistem, ki ga zamenjuje (NNS Labs, 2013).. Podjetje Gartner je leta 2009 (Pescatore, J. in Young, G.) opravilo raziskavo, v kateri so ugotovili: . Analiza stanja (angl. stateful inspection) in omejeno zaznavanje aplikacij, ki jih ponujajo požarni zidovi prve generacije, niso dovolj učinkoviti v preprečevanju novih sodobnih groženj.. . Uporaba ločenega požarnega sistema in sistema za preprečitev vdora ni priporočljiva, saj je to draga rešitev, ki pa ne poveča stopnje zaščite v primerjavi z optimizirano skupno platformo.. . Pojavljajo se požarni zidovi nove generacije, ki lahko zaznajo specifični aplikacijski napad in lahko uveljavljajo aplikacijsko specifična varnostna pravila, tako za dohodni kot izhodni promet.. . Požarni zidovi nove generacije bodo najbolj učinkoviti, če bodo delovali skupaj z drugimi nivoji varnostne kontrole.. Iz ugotovitev vidimo, da je dodatni nakup IPS, k že obstoječemu požarnemu zidu prve generacije, neučinkovita poteza, saj izgubimo hiter in celovit pregled nad varnostjo omrežja. Ena izmed pomembnejših funkcij NGFW je zato možnost centraliziranega upravljanja, kar pomeni, da lahko celoten sistem, ne glede na število naprav, upravljamo iz enega programa. Takšni programi naj bi bili pregledni, smiselno urejeni in na voljo na več operacijskih sistemih in napravah.. 26.

(29) Prav tako je isto podjetje (Gartner, 2009) prvo zapisalo definicijo požarnega zidu nove generacije: »To je enotna naprava z vgrajenim IPS z globokim skeniranjem paketov, ima standardne sposobnosti prve generacije požarnih zidov in sposobnost identifikacije ter nadzora nad aplikacijami, ki se izvajajo v omrežju.« Sam izraz NGFW pa nakazuje na potrebno evolucijo požarnega zidu, da se bo sposoben soočati s spremembami, tako v pogledu, kako organizacijski procesi uporabljajo IT kot tudi v tem, kako napadi poskušajo ogroziti organizacijske varnostne sisteme (Pescatore in Young, 2009). Požarni zid nove generacije mora zagotavljati veliko procesne moči in hkrati široko paleto varnostnih funkcij. Te funkcije se ponavadi izvajajo na višjih nivojih, primarno na aplikacijskem nivoju (Weller in Lowe, 2011). Prav sposobnosti, da požarni zid prepozna promet na aplikacijskem sloju, hkrati pa ima tudi druge funkcije, kot so IPS, uveljavljanje različnih politik glede na promet in uporabnika, omogočajo v primerjavi s požarnim zidom prve generacije veliko večjo zaščito. Z vzpostavitvijo. boljšega. sistema. za. varovanje. omrežja. zmanjšamo. možnost. kibernetskega napada in s tem zagotovimo večjo varnost podatkov. Sama implementacija požarnega zidu nove generacije v podjetje ni enostaven proces. Na ta korak se je potrebno temeljito pripraviti in ga načrtovati že vnaprej. Uvrstitev v finančni plan je naslednji korak, saj je lahko za večja podjetja, kjer je potrebnih za celovit sistem tudi do sto naprav, strošek nakupa in vzpostavitve precejšen zalogaj.. Delovanje NGFW temelji na tem, da je sposoben prepoznati aplikacijo in se šele nato odloči, kaj bo z njo naredil. Zaradi že omenjenih naprednih tehnik povezovanja aplikacij identifikacija ni enostavna. Za prepoznavo uporabljajo tehnike dekodiranja protokolov, prepoznavanje podpisa aplikacije in hevristiko. Sama sposobnost prepoznave pa je brez pomena, če o aplikaciji nič ne vemo, nimamo varnostnih pravil, po katerih bi se požarni zid ravnal. Zato imajo požarni zidovi sposobnost prepoznave uporabnika in prepoznave vsebine. To dejansko pomeni, da vemo, kdo se želi z določeno aplikacijo povezati v splet in kaj bo z njo delal. S prepoznavo vsebine imajo IT-oddelki sposobnost preprečevanja groženj, zmanjšajo možnost neprimerne rabe interneta in pomagajo preprečevati odtekanje podatkov. Vse to brez potrebe po dodatnih protivirusnih produktih (Miller, 2011). Ključne prednosti NGFW pred tradicionalnimi požarnimi zidovi so večja transparentnost toka podatkov, več možnosti nadzora, poenostavitev sistema z možnostjo centralnega upravljanja in večja stopnja zaščite pred kibernetskimi napadi. Druge dimenzije varnosti, fizična varnost, so prav tako izjemno pomembne, saj nam tudi najboljši požarni zid ne. 27.

(30) zagotavlja, da nam nepridipravi vlomijo v podatkovni center in odnesejo strežnike s podatki.. Namesto, da bi poskušali definirati parametre nabornih funkcij požarnega zida in jih med seboj primerjati, je bolj smiselno, da se funkcije, ki jih požarni zid ima, primerjajo s potrebami posamezne organizacije. Gotovo je, da bodo potrebe funkcij požarnega zidu nove generacije od podjetja do podjetja različne. Obstaja pa nepisano pravilo, ki se glasi: bolj je temeljit pregled in večje število pravil, ki jih mora požarni zid procesirati, večja je potreba po močnejši strojni opremi in virih za upravljanje (Kelley, 2012). Požarni zidovi nove generacije so se začeli razvijati po letu 2009, ko je podjetje Gartner prvič definiralo pojem. V tem času so mnogi ponudniki pričeli razvijati sisteme, ki naj bi delovali kot NGFW. Ponudniki, katerih cilj je bil že pred tem narediti sistem za manjša in srednje velika podjetja, so razvijali NGW v tej smeri. To se še vedno kaže v produktih, kot bomo kasneje videli v primerjalni analizi. Nekatera večja podjetja pa so se posebej osredotočila na požarne zidove za velike organizacije in jih takšnemu okolju posebej prilagodila.. Pri definiranju oz. izbiri kvalitetnega in učinkovitega požarnega zidu se moramo najprej prepričati, da ima vse sposobnosti tradicionalnih požarnih zidov: paketno filtriranje, večplastno stanovitno kontrolo, NAT, VPN, je stabilen in ima visoko hitrost procesiranja (NSS Labs, 2011). Vodilno podjetje v začetku razvoja je bilo nedvomno PaloAlto Networks in šef na čelu Nir Zuk. Njihov prvi NGFW-produkt je bil smernica za vse kasnejše posnemovalce. Poleg osnovnih funkcij požarnega zidu je dodal še funkcije, po katerih danes merimo kvaliteto požarnega zidu nove generacije. Takšne naloge naj bi NGFW brez težav opravljal, saj so morebitne grožnje že dolgo poznane. Funkcije nam omogočajo boljši in hitrejši nadzor nad prometom in uporabniki. V nadaljevanju bomo predstavili osnovo vsakega novega požarnega zidu.. 28.

(31) 4.1 Osnovne funkcije požarnega zidu nove generacije. Požarni zid mora ne glede na vse napredne funkcije ohranjati osnovno nalogo, torej ščititi tudi pred nezahtevnimi, že dolgo znanimi napadi. Osnovne funkcije morajo nalogo opravljati brezhibno, saj obstajajo že dalj časa in so zato dobro razvite.. 4.1.1 Prevajanje omrežnega naslova (NAT – Network Address Translation). Je metoda povezovanja več računalnikov na internet z uporabo samo enega IPnaslova. Internetni ponudnik zagotavlja le en IP-naslov. Če imamo v domačem omrežju na internet priključenih več računalnikov, potem potrebujemo tudi več IPnaslovov, da se lahko vsi povežejo na internet. To zagotavlja NAT. Privatni IP-naslovi so izolirani in se ne prikazujejo na internetu. NAT stoji na točki med lokalnim omrežjem in internetom. Prevaja privatne IP-naslove v lokalnem omrežju v naslove, ki se uporabljajo v globalnem omrežju. Iz varnostnega vidika to pomeni, da je IPnaslov našega računalnika za zunanji svet neznan, saj nam ga usmerjevalnik spremeni v globalnega. Usmerjevalniki sledijo toku podatkov. Ko mi zahtevamo spletno stran, usmerjevalnik naš IP-naslov spremeni, pošlje podatke do zahtevane spletne strani, ko se podatki vrnejo, pa si usmerjevalnik zapomni, kateri računalnik znotraj lokalnega omrežja je te podatke zahteval in jih posreduje nam.. 4.1.2 URL-filtriranje. URL-filtriranje omogoča prepoznavo strani in vsebinski pregled ter se odloči, ali jo bo uporabniku prikazal ali ne. Filter preveri izvor spletnih strani in vsebin ter jih primerja s setom pravil, ki jih določi administrator sistema. To omogoča, da podjetje onemogoči možnost dostopa uporabnikom do strani, na katerih bi se lahko računalniki okužili, kjer je možen ogled pornografije in drugih strani, katerih uporabniki naj ne bi uporabljali med uporabo zaščitenega omrežja. Napredni filtri omogočajo tudi shranjevanje podatkov, tako da lahko administrator pregleda, katere strani so bile filtrirane in kdo je zahteval dostop do njih. URL-filtriranje nam omogoča še dodatno plast zaščite, saj lahko ustvarimo bazo spletnih strani, za katere že vemo, da. 29.

(32) vsebujejo škodljivo vsebino in tako zaposlenim kot gostom v omrežju onemogočamo dostop.. 4.1.3 Navidezno zasebno omrežje (VPN – Virtual Private Network). Virtualno privatno omrežje je tip omrežja, ki se vzpostavi med dvema ali več računalniki, ki med seboj niso fizično povezani. Ustvari se virtualna povezava prek interneta. Do omrežja lahko dostopamo kjerkoli in kadarkoli, tudi če smo na javnem računalniku. Omrežje je šifrirano, kar omogoča, da lahko do njega dostopajo samo osebe, ki poznajo ključ do omrežja. Organizacije, ki niso centralizirane in zaposleni veliko časa preživijo na terenu, to izkoriščajo za povezovanje do strežnikov, torej do podatkov, ki jih oseba potrebuje. Uporaba VPN kodira vse poslane podatke, na vseh protokolih, torej HTTP, FTP, SMPT in drugih.. Ne glede na količino procesiranih podatkov, količino napadov, zunanjih motenj, kot so izpad električne energije, okvare na strojni opremi, morajo sodobni požarni zidovi kar se da nemoteno delovati ter čim manj posegati v vsakdanjik zaposlenih v podjetju.. 30.

(33) 4.2 Napredne funkcije požarnih zidov nove generacije. Poleg naštetih tradicionalnih funkcij pa mora požarni zid imeti nekaj ključnih sposobnosti, ki mu zagotavljajo boljšo stopnjo zaščite od predhodnikov. Različni ponudniki dodajajo različne sisteme. Ne glede na ime posamezne funkcije pa je glavno, da požarni zid ustvari celovito zaščito pred vsemi možnimi vdori in zlorabami, tako pred vdori kot pred razno škodljivo kodo. Ščiti tako promet iz zunanjega omrežja v notranje (vdori) kot tudi obratno (URL-filtriranje, nadzor uporabnikov).. 4.2.1 Sistem za preprečevanje vdorov (IPS – Intrusion Prevention System). Sistem preprečevanja vdorov je poskus pristopa k zagotavljanju omrežne varnosti, ki se uporablja za identifikacijo potencialnih groženj in reagiranju na njih, kar se da hitro. Tako kot sistem za odkrivanje vdorov (angl. IDS), ki je bolj predhodnik IPS, tudi sistem za preprečevanje vdorov nadzira omrežni promet. Ker pa lahko napadalec ogrozi sistem takoj po vdoru, ima IPS-sposobnost, da ukrepa takoj, ravna pa se po pravilih, ki jih je določil administrator omrežja. IPS lahko ustavi paket, če določi, da je zlonameren in blokira ves nadaljnji promet iz istega IP-naslova in vrat. Ostali promet lahko nemoteno teče brez motenj ali zakasnitev (Rouse, 2007). IPS je lahko samostojen sistem ali pa integriran del požarnega zidu. IPS kot samostojen sistem deluje dobro, ne zagotavlja pa celovite zaščite pred drugimi vrstami napadov. IPS kot sestavni del NGFW je bolj učinkovit, saj deluje sinhronizirano z drugimi sistemi. IPSsistemi imajo svoje podatkovne baze, v katerih zbirajo podpise aplikacij in znane grožnje, zato je pomembno, da so takšne baze redno posodobljene. V baze se dnevno vnesejo novo zaznane grožnje ter načini za njihovo preprečitev. Grožnje se ocenjujejo glede na rezultat zaupanja, ki ga sestavljajo mnogi podatki, od IPnaslovov, spletnih naslovov, števila nezaželene pošte, skratka vse aktivnosti, ki imajo isti izvor. To zmanjšuje možnost napačne identifikacije, torej označitve nekega prometa kot nevarnega, čeprav to ni.. 31.

(34) 4.2.2 SSL- in SSH-preverjanje. Komunikacija med računalnikom in strežnikom poteka po zavarovanem standardu, imenovanem sloj varnih vtičnic (SSL – Secure Socket Layer). Požarni zidovi lahko podatke dešifrirajo, se prepričajo, da je aplikacija v skladu s pravili in z varnostno politiko, nato pa jo šifrirajo v prvotno obliko in pošljejo naprej. To zagotavlja dodatno zaščito pred škodljivimi aplikacijami in aktivnostmi, ki jih nekatere skušajo zakriti pred požarnim zidom z uporabo šifriranja (Geier, 2011). Brez možnosti dekodiranja podatkov požarni zidovi ne bi bili sposobni analiziranja in uveljavljanja varnostnih pravil, saj prometa sploh ne bi prepoznali. Pomembno je, da ga požarni zid po pregledu šifrira v prvotno obliko, zato da se komunikacijska vez med računalniki ohrani.. 4.2.3 Zaznava in nadzor aplikacij (Application awareness/control). To je sposobnost sistema, da ohranja informacije o povezanih aplikacijah ter tako optimizira njihovo delovanje in delovanje vseh podsistemov, ki jih aplikacija poganja ali nadzira. Takšno omrežje uporablja posodobljene informacije o aplikacijah, ki so na omrežje povezane, med drugim stanje aplikacije in zahteve po resursih. Ta sposobnost je ključna za programsko-definirano omrežje in tako omogoča, da lahko omrežje preusmeri resurse najbolj aktivnim operacijam. Sistemi, ki shranjujejo podatke o aplikacijah, se zanašajo na vgrajene podatke o relevantnih aplikacijah in njihovih vzorcih delovanja. Ko sistem spozna aplikacijo in načine, na katere deluje, lahko optimizira podajanje podatkov, predvideva obnašanje in kvaliteto storitve (Rouse, 2013). Funkcija shranjevanja omogoča hitrejše delovanje celotnega sistema, saj se v bazi ustvarijo znani tokovi podatkov, s katerimi lahko NGFW primerja analizirane podatke in jih klasificira kot dobre ali slabe. Dobra zaznava in prepoznava aplikacij sta temelj za uveljavljanje pravil in za dobro delovanje ostalih varnostnih funkcij.. 32.

(35) 4.2.4 Preprečevanje izgube podatkov (DLP – Data Loss Preventon). DLP je strategija, ki zagotavlja, da končni uporabniki ne pošiljajo občutljivih informacij izven notranjega omrežja organizacije. DPL uporablja predpripravljena pravila, pregleda vsebino datoteke in označi zaupne informacije, da jo uporabniki ne morejo razkriti. To lahko učinkovito uporabimo pri identifikaciji in označevanju strogo zaupnih informacij (npr. številke kreditnih kartic, številke zdravstvenega zavarovanja). Manj učinkovito pa sistem zagotavlja zaščito drugih občutljivih podatkov, kot je intelektualna lastnina. Za dobro delovanje DLP je ključna dobra priprava oznak, ki jih DLP blokira. Ko sistem deluje in uporabnik nenamenoma ali namenoma poskuša razkriti informacije, ki so bile označene kot zaupne, mu sistem zavrne dostop (Rouse, 2012). Zaščite podatkov, ki jih pošiljamo, najsibo to e-pošta, obrazci na spletu, spletna komunikacija ali prenosi datotek, mora biti strogo nadzorovana, če želimo, da datoteke prispejo na cilj in da na poti niso ogrožene. Slaba zaščite izhodnega prometa je lahko za podjetje izjemno škodljiva, saj lahko konkurenca prebira pošto, v kateri so zapisane vrste občutljivih podatkov.. 33.

(36) 4.3 Unified threat manegement – alternativa NGFW?. UTM-rešitve so bile rojene, ko so ponudniki požarnih zidov pričeli z dodajanjem sistemov za preprečitev vdora in protivirusnih programov k standardnim požarnim zidovom. Cilj je bil zmanjšati stroške vzpostavitve sistema celovite zaščite. Produkti UTM ne izvajajo funkcij nič bolje, kot bi jih posamezne naprave, nudijo pa večjo prijaznost do uporabnika, saj so vse naprave združene skupaj. Na žalost so UTM dobili ugled, da jih je težko nadzorovati, so nenatančne in imajo slabe zmogljivosti. Tako so bolj primerne za okolja, kjer so stroški zaščite podrejeni funkcionalnosti, lažjemu upravljanju in zmogljivostim (Reed, 2012). Na trgu vlada zmešnjava med pojmoma UTM in NGFW, predvsem, zato ker so ponudniki požarnih zidov nove generacije v svoje produkte pričeli vgrajevati dodatne sisteme zaščite, ki so bili predhodno smatrani kot sistemi zaščite zgolj v sklopu UTM. Proizvajalci UTM so se v preteklosti bolj osredotočali na trg majhnih in srednje velikih podjetij, kar se na produktih kaže še danes. Tako niso optimalna izbira velikih podjetij. Po še bolj temeljitem prebiranju literature nismo našli trdnih dokazov, da so UTM- in NGFW-naprave ali enake ali različne. Nekateri blogi in forumi poskušajo dokazati, da je beseda NGFW produkt podjetja Gartner, s katerem so poskušali bolje tržiti produkte Palo Alto Networks, ki naj bi bili vodilno podjetje pri izdelavi novih naprav. Drugi prikazujejo razlike med obema pojmoma, ki naj bi dokazovale, da sta napravi povsem drugačni. Ne glede na ime naprave, je bolj pomembno, da pred nakupom dobro preverimo vse funkcije naprave in jih primerjamo s potrebami podjetja.. 34.

(37) 4.4 Plasti delovanja požarnega zidu nove generacije. Miller (2010) poudarja, da so najpomembnejše funkcijske zahteve za učinkovito delovanje požarnega zidu nove generacije naslednje: . Prepoznava aplikacije ne glede na vrata, protokol, izmikajoče se tehnike ali SSL-šifriranje.. . Zagotavljanje pregleda nad aplikacijami in podroben nadzor na podlagi varnostnih politik.. . Natančno identifikacijo uporabnika in uporabnikovih informacij, kot atribut za zagotavljanje varnostne politike.. . Zagotavljati zaščito v realnem času pred širokim naborom groženj, vključno tistih, ki delujejo na aplikacijskem sloju.. . Ne le združiti, tudi integrirati tradicionalne požarne zidove in druge vrste zaščite pred vdori.. . Omogočanje visoke hitrosti obdelave podatkov.. Ključ uspeha požarnega zidu nove generacije je njegova zmožnost, da ima vse funkcije tradicionalnega požarnega zidu, hkrati pa vključuje dodatne tehnike in vse to predstavlja na uporabniku prijazen način v urejenem uporabniškem vmesniku. Ključne naloge lahko razdelimo v štiri podskupine oz. nivoje. Najprej moramo prepoznati, katera aplikacija se želi povezati, kdo se želi povezati in kaj bo počel. Nato lahko zahteve primerjamo s pravili in skladno ukrepamo.. 4.4.1 Nadzor nad aplikacijami. Natančen pregled in razvrstitev prometa sta srce požarnega zidu, rezultat pa je osnova za dobro varnostno politiko. Tradicionalni požarni zid razvrsti promet glede na protokol in vrata, kar je bilo nekoč dovolj dober mehanizem za zagotavljanje varnosti. Danes lahko aplikacije brez težav obidejo takšen sistem s preskakovanjem vrat, uporabo SSL in uporabo neobičajnih vrat. Aplikacije so lahko zavrnjene, dovoljene ali pa varnostno omogočene. Tehnike, ki so uporabljene pri identifikaciji aplikacij, vključujejo:. 35.

(38) . Prepoznavanje in dešifriranje protokolov aplikacij: prepozna protokol aplikacije in v primeru da je v uporabi SSL, le-tega dešifrira, zato da je lahko promet podrobno analiziran. Po končani analizi ga ponovno šifrira.. . Dekodiranje protokolov aplikacij: razpozna, ali je protokol res pravi, ali je le uporabljen kot tunel, v katerem se skriva neka druga aplikacija.. . Podpis aplikacij: pregled unikatnih značilnosti in karakteristik aplikacije. S tem se zagotavlja še večja identifikacija aplikacij, ne glede na to, katera vrata in protokol sta v uporabi.. . Hevristika: se uporabi za promet, ki se izogne identifikaciji z analizo podpisa. Omogoča identifikacijo P2P- ali VoIP-aplikacij (Miller, 2011).. Za učinkovit nadzor nad aplikacijami so potrebni novi mehanizmi pregledovanja pretoka podatkov, ki lahko v trenutku prepoznajo aplikacijo, ki potuje preko omrežja. Ni potrebno, da se ustvarjajo varnostne politike za vsako aplikacijo posebej, saj sistemi nenehno klasificirajo promet z uporabo najprimernejšega prepoznavnega mehanizma, kar zagotavlja učinkovito in točno identifikacijo aplikacij, ne glede na vrata in ne glede na promet. Ko so aplikacije prepoznane, se lahko primerjajo s postavljeno varnostno politiko.. 4.4.2 Nadzor nad uporabnikom. Hkrati požarni zidovi omogočajo identifikacijo uporabnika. To pomeni, da se uporabnik in IP-naslov računalnika povežeta, kar nam omogoča večji nadzor, kdo aplikacije uporablja, lažje zagotavljamo izvrševanje dostopne politike (vsak uporabnik ima določen nivo, do kakšnih aplikacij lahko dostopa) in v primeru kršitev lažje poiščemo odgovorno osebo.. Povezovanje uporabnika in IP-naslova nam omogoča večjo preglednost in nadzor nad aktivnostmi v omrežju. Tako imamo možnosti: . Pridobiti vpogled, kdo je odgovoren za količino prometa aplikacij in v omrežju.. . Uporabljamo lahko identitete posameznikov v varnostni politiki in nekaterim omogočimo večje pravice kot drugim. 36.

(39) . V primeru varnostnih groženj lahko lažje najdemo odgovornega.. S pomočjo tega lahko administratorji lažje nadzirajo uporabo varnostne politike v podjetju, saj lahko tistim, ki določene aplikacije ali spletne strani resnično potrebujejo, omogočijo nemoten dostop, čeprav se ne skladajo z varnostno politiko celotnega podjetja (Miller, 2011). Nadzor nad uporabnikom naj bi bil integriran sistem. v. celotni. organizaciji.. V. sodobnih. organizacijah. imajo. zaposleni. identifikacijsko kartico, s katero jim je dovoljen vstop v določene prostore. Prek kartice bi tudi dostopali do različnih računalnikov in tako bi administratorji vedno vedeli, kdo in kje je dostopal do varovanega omrežja.. 4.4.3 Nadzor nad vsebino. Nadzor nad vsebino omogoča požarnim zidovom sposobnosti, ki jih tradicionalni požarni zidovi niso nikoli zmogli. Vidijo lahko globlje v aplikacijo, katere funkcije uporabnik od aplikacije zahteva. Zaradi razvoja Web 2.0 in Enteprise 2.0 aplikacij lahko imajo le-te mnogo funkcij, uporabljajo se za komunikacijo, prenos datotek in druge dejavnosti. V kolikor nočemo blokirati celotne aplikacije, le njene določene funkcije, mora požarni zid prepoznati vsebino povezane aplikacije.. Kot navaja Miller (2011), ima identifikacija vsebine tri dimenzije: . Pravočasno preprečevanje groženj: ta komponenta zagotavlja zaščito pred virusi, spyware in drugimi grožnjami. –. Dekoder aplikacij.. –. Protivirusna zaščita: deluje takoj, ko prispe prvi paket informacij, s čimer zagotavlja večjo zmogljivost in bolj natančno analizo.. –. Enoten sistem zaznave groženj (angl. Uniform threat signiture format): zagotavlja, da se vse možne nevarnosti analizirajo in odkrijejo v enem prehodu.. –. Zaščita proti napadi (IPS): za razliko od IDS, IPS zazna in blokira napade na pomanjkljivosti v aplikacijah in sistemi. Ena glavnih prednosti je sposobnost dekodiranja protokolov, s čimer lahko natančneje določa podpise aplikacij. Deluje na principu najdi in ubij, a z njim ni mogoče kontrolirati aplikacij.. . Kontrola nad brskanjem uporabnikov (URL-filtriranje). 37.

(40) . Filtriranje podatkov in datotek.. Identifikacija. vsebine omogoča. IT-oddelkom. lažje preprečevanje nevarnosti,. zmanjšajo lahko neprimerno uporabo Interneta in tako zaščitijo odtekanje informacij.. 4.4.4 Varnostna politika. Ko so zbrane informacije iz vseh treh področij, torej katere aplikacije so v uporabi, kdo jih uporablja in zakaj jih uporablja, lahko organizacija na podlagi rezultatov ustvari varnostno politiko. Varnostna politika so pravila, ki so konfigurirana v požarnem zidu, na podlagi katerih se sistem odloča, ali naj podatke sprejme ali zavrne. Politika ne temelji zgolj na dovoli/blokiraj principu, ampak so v požarni zid nove generacije vgrajene še druge možnosti, kot so filtriranje po datumu, uporabniku in skupini. Še vedno pa največja grožnja za odtekanje informacij ostaja v posamezniku. Kot navaja Nir Zuk, ustanovitelj in šef tehnološkega oddelka v podjetju Paloalto Networks, se hekerji v zadnjem času osredotočajo predvsem na napade na uporabnika, saj je dostop direktno do notranjih strežnikov podjetja precej bolj zapleten. Zato je pomembno, da IT-oddelki delujejo kot mentorji in svetovalci. Posamezniki v organizaciji se morajo zavedati tveganj in posledic, ki lahko nastanejo z njihovo malomarnostjo. Vodenje in upravljanje delujeta najbolje, če so varnostne politike razvite v skupni koheziji oddelkov IT, oddelka za razvoj kadra, izvršnega odbora in uporabnikov (Palo Alto Networks, 2012). Bernik in Prislan (2010) menita, da se lahko s primernimi varnostnimi ukrepi učinkovito zavarujemo pred napadi. Navajata, da »skoraj polovica organizacij največ pozornosti namenja izobraževanju in ozaveščanju tako uporabnikov podatkov in sistemov, kot zaposlenih, ki z njimi upravljajo. Preventiva je vsekakor najpomembnejši del dolgoročne odprave varnostne problematike, vendar pa so tudi drugi ukrepi izjemno pomembni za obvarovanje pred varnosntimi grožnjami informacijskih sistemov. Mednje vsekakor spada tudi nenehno spremljanje novosti tako na področju razvijanja groženj, kot posodabljanja obrambnih mehanizmov. Vpeljevanje le-teh v infromacijsko strukturo vsekakor pomeni dvig ravni zaščite in varnosti, za formalno potrditev le-tega pa se lahko odločijo tudi za certificiranje informacijskega sistema s standardom ISO 27001« (Bernik in Prislan, 2010). 38.

(41) 39.

(42) 5 Požarni zidovi nove generacija – primerjalna analiza Podrobna analiza in prebiranje literature, ogled video vsebin ter kontakt z nekaterimi strokovnjaki, ki delujejo v slovenskih podjetjih, so nam razkrili različne poglede na področje varnosti omrežnih sistemov. Večina jih je mnenja, da vlada na trgu požarnih zidov zmešnjava. Vsako podjetje uporablja svoje izraze in tako trži svoje produkte. Toda nas zanimajo resnični podatki, kako se posamezni požarni zid obnaša pri dejanskih napadih. Podjetje NSS Labs, Inc. je podjetje, ki ima vodilno vlogo pri raziskovanju in svetovanju na področju informacijske varnosti. Leta 2013 je naredilo primerjalno analizo dvanajstih najpopularnejših požarnih zidov, ki so na voljo na trgu. Testi so temeljili na testiranjih v različnih kategorijah in obnašanju sistema v realnih razmerah v organizacijskem okolju. Povzeli bomo podatke iz raziskave, prosto dostopne na spletu, in podali svoje mnenje. Podrobnejša raziskava je plačljiva, možen pa je nakup raziskave za vsak produkt posebej. To priporočamo vsem, ki želijo v svoje podjetje implementirati več požarnih zidov, kjer je strošek zelo velik. Tako lahko preprečijo napačno odločitev in s tem še večje stroške zamenjave varnostnega sistema.. Testirani produkti so: Barracuda F800, Check Point 12600, Cyberam CR2500iNG, Dell SonicWALL NSA 4500, Fortinet FortiGate 800c, Juniper SRX550, NETASQ ng1000-A, NETGEAR ProSecure UTM9S, Palo Alto Networks PA-5020, Sophos UTM 425, Stonesoft StoneGate FW-1301 in WatchGard XTM 1050. V raziskavo so bili povabljeni vsi ponudniki, ki oglašujejo svoje požarne zidove kot NGFW. Prav tako so vključeni vsi vodilni proizvajalci strojnih požarnih zidov nove generacije. Produkti so oglaševani kot NGFW, ustrezni za implementacijo v večja, kompleksna omrežja, ki so ponavadi del večjih organizacij. Pri takšnih omrežjih redko zadostuje le ena naprava, potrebno je večje število naprav za dovolj hitro delovanje. Zajeti produkti in testi rezultatov tako ponujajo celovit pregled nad dejanskim stanjem na trgu v preteklem letu. Vsi produkti so bili testirani pod enakimi pogoji, v enakih okoliščinah, kar zagotavlja primerljive rezultate. Testi so bili opravljeni v okviru dejanskih okoliščin, ki vladajo v večjih organizacijah, zato se podatki o specifikacijah od proizvajalcev razlikujejo od dejanskih podatkov, ki so rezultat testov. Rezultati so pokazali večje pomanjkljivosti pri nekaterih napravah, pri drugih pa dokazali, da so sposobne varovati kompleksna omrežja večjih organizacij.. 40.

(43) 5.1 Pregled kriterijev za primerjavo. Vzpostavitev sistema učinkovite omrežne zaščite je kompleksen proces, pri katerem je treba upoštevati veliko faktorjev, ki vplivajo na končno stopnjo zaščite. Pred nakupom je potrebno opraviti temeljito analizo potreb podjetja in se na podlagi rezultatov odločiti za nam najbolj primeren produkt.. Testirane so bile štiri kategorije: 1. varnost, 2. zmogljivost, 3. učinkovitost upravljanja, 4. skupni stroški delovanja.. Glede na rezultate testiranj vseh štirih kategorij smo v zaključku izdelali graf, ki nam prikaže stopnjo zaščite glede na ceno ter vključuje vse potrebne podatke za izbiro.. 41.

(44) 5.2 Primerjava. Primerjava štirih testiranih kriterijev je bila izvedena v letu 2013, vsi produkti pa so bili oglaševani kot NGFW, torej naj bi bili sposobni ustvarjati celovito zaščito omrežij v večjih organizacijah. Pogledali si bomo rezultate testov v posameznih kategorijah in jih analizirali.. 5.2.1 Varnost. Varnostno obzorje se neprestano razvija, napadalci spreminjajo strategije napadov, prav tako pa tudi njihovo pogostost in zahtevnost. Večina podjetij se v sedanjosti sooča z dolgotrajnimi in intenzivnimi kibernetskimi napadi. V preteklosti so bili glavne tarče strežniki. Trenutno pa se je trend napadov osredotočil na namizne računalnike uporabnikov, do katerih se napadalci prebijejo prek popularnih aplikacij. Ker so požarni zidovi v organizacijah glavna zaščita pred napadi, lahko njihovo slabo delovanje povzroči velike negativne učinke.. Varnostna učinkovitost požarnega zidu nove generacije mora biti na visokem nivoju. Za izračun varnostne učinkovitosti moramo upoštevati pet faktorjev. NSS Labs (2013) je razvil enačbo, ki zajema teh pet kriterijev in nam pokaže najbolj celovite rezultate: Varnostna učinkovitost = varnostna politika x stabilnost in zanesljivost x odkrivanje tehnik izogibanja x možnost odtekanja informacij. Uveljavljanje varnostne politike je osnovna funkcija požarnega zidu. Varnostna politika je sklop pravil, ki so konfigurirane v požarnem zidu in dovoljujejo, ali preprečujejo pretok podatkov glede na njihov izvor in destinacijo. Izvedeni so bili različni testi, ki so preskušali uveljavljanje osnovnih, preprostih in zahtevnih pravil, prevajanje statičnih in dinamičnih omrežnih naslovov. Vsi testirani produkti so dosegli popoln rezultat.. 42.

(45) V sklop uveljavljanja varnostne politike štejemo funkcije, ki smo jih omenili kot osnovne, torej prevajanje NAT-naslovov, možnost ustvarjanja VPN- in URL-filtriranja. Testi so preskušali delovanje teh sistemov v večjem organizacijskem okolju, kjer je potrebno procesirati enormno količino podatkov naenkrat.. Pomemben vidik varnosti je stabilnost in zanesljivost sistemov, saj lahko njihov izpad takoj povzroči veliko škode. Ne glede na pogostost in intenzivnost napadov morajo sistemi delovati brezhibno, še naprej analizirati podatke in prepuščati dovoljen promet, hkrati pa administratorjem poročati o napadih. Če sistemi niso prilagojeni za takšna okolja, lahko pride do sesutja sistema in izpada delovanja.. Tehnike za izogibanje zaznavi so metode maskiranja in prilagajanja napadov z namenom, da jih požarni zid težje zazna in blokira. Požarni zid, ki ni zmožen odkriti teh tehnik, je neuporaben, saj uporabniku posreduje zmotno prepričanje o varnosti, medtem ko podatki nemoteno odtekajo iz omrežja. NSS Labs (2013) je pri teh testih uporabil tehnike, ki so že dolgo poznane in naj bi jih zaznal vsak sistem, ki izpolnjuje minimalne varnostne standarde.. Testirane tehnike povezovanja smo omenili v tretjem poglavju o aplikacijah Web 2.0. Sem sodijo testi prepoznave tuneliranja, preskakovanja vrat in SSL-kodiranja prometa. NGFW morajo aplikacije, ki uporabljajo takšne načine povezovanja brez težav prepoznati, tudi v primeru delovanja na skrajni meji, torej takrat, ko je moč procesiranja podatkov na zgornji meji.. 43.

(46) Tabela 1: Učinkovitost zaščite. (Vir: NSS Labs, 2013). Učinkovitost zaščite je najbolj pomemben faktor pri izbiri požarnega zidu nove generacije. Testi so pokazali, da se večina produktov v tej kategoriji odreže odlično in dosega 100 % rezultat, torej lahko dobro uveljavljajo varnostna pravila, odkrivajo grožnje in so stabilne ter zanesljive. TI produkti so priporočljivi, gledano samo iz vidika varnostne učinkovitosti. Tako pri testih stabilnosti in zanesljivosti kot pri testih za prepoznavo tehnik za izogibanje zaznavi so nekateri produkti že kazali manjše pomanjkljivosti, požarni zid NETGEAR ProSecure UTM95 pa je nepriporočljiv, saj ni prestal. testov. stabilnosti. in. zanesljivosti,. prav. tako. pa. nima. možnosti. centraliziranega upravljanja.. Testi niso zajemali pomembnega vidika varnosti, to je zaščita v realnem času. Prav zaščita pred novimi, še ne obstoječimi grožnjami, predstavlja veliko varnostno luknjo. Vedno bo obstajal nekje nekdo, ki bo našel novo varnostno vrzel. Kraja osebnih podatkov in podatkov večjih podjetjih omogoča napadalcem ogromen zaslužek, do katerega lahko pridejo kar iz domačega naslanjača. Z vgrajenim 44.

Figure

Actualización...

Referencias

Actualización...

Related subjects :