Orice organizatie, indiferent de dimensiune, numar de angajati sau tip de activitate, are nevoie de securitate. Iar una dintre primele masuri de securitate care se poate lua pentru protejarea angajatilor, a dispozitivelor si a informatiei este implementarea unui firewall.
Un firewall este un echipament de retea a carui functie fundamentala este aceea de a bloca initierea sesiunilor din exteriorul organizatiei catre resursele din interiorul acesteia. Permitand conexiunile initiate doar din interiorul companiei, firewall ofera protectie impotriva actorilor malitiosi care pot lansa atacuri din Internet sau din alte retele care nu se afla in administrarea organizatiei. De-a lungul timpului, firewall-ul a primit numeroase functionalitati pornind de la unele relativ simple, precum TCP randomization, pana la unele foarte avansate precum inspectia traficului SSL sau IPS (Intrusion Prevention System) prin care se face detectia si blocarea payload-urilor malitioase si a atacurilor cibernetice avansate.
Cele mai multe firewall-uri puse la dispozitie de vendorii de specialitate sunt astazi de tipul NGFW – Next Generation Firewall. S-a plecat de la ideea de baza de inspectie de tip stateful care filtreaza traficul folosind o tabela de sesiuni. O astfel de protectie nu mai este suficienta pentru ca atacurile hackerilor au evoluat atat in volum, cat si in complexitate. Malware-ul a devenit atat de avansat, incat poate bypass-a cu usurinta un firewall traditional. De aici si nevoia de o noua generatie de firewall care sa ofere protectii si servicii suplimentare precum IPS, URL filtering si AMP (Advanced Malware Protection) fara ca throughput-ul sa fie afectat in mod considerabil, ceea ce ajuta la mentinerea performantelor echipamentului.
Criterii pentru alegerea unui nou firewall
Cateva criterii de care ar trebui sa se tina cont atunci cand se doreste implementarea unui nou firewall sunt:
- forma: fizic sau virtual. Cei mai multi vendori ofera firewall fizice, potrivite pentru o infrastructura on premises, dar si firewall-uri virtuale potrivite pentru o infrastructura hostata intr-un provider de cloud
- management: local, centralizat sau in cloud. Unele firewall-uri pot fi administrate local printr-o interfata grafica sau folosind API-uri, insa functionalitatile complete si complexe sunt disponibile atunci cand se foloseste un management centralizat printr-o platforma dedicata on-premises sau in cloud-ul vendorului
- capabilitati de clustering, high-availability (active/standby sau active/active) si virtualizare (prin crearea de Instante suplimentare)
- throughput. De multe ori, acesta este factorul decisiv in alegere firewall-ului si totodata calcaiul lui Ahile. Functionarea corecta a echipamentului depinde foarte multe de dimensionarea acestuia in functie de volumul de trafic pe care trebuie sa il prelucreze si functiile pe care trebuie sa le aplice acelui trafic (criptare, decriptare, inspectie AVC, inspectie IPS). Evident ca se va merge pe principiul “mai bine sa ramana, decat sa mai fie necesar”. Astfel, inainte de a alege, ar trebui monitorizat si cuantificat volumul de trafic care va traversa echipamentul si nivelul de securitate dorit.
- numar si tipuri de porturi: firewall trebuie sa dispuna de suficiente interfete pentru interconectarea cu restul infrastructurii. Trebuie avuta in vedere partea de redundanta (link-uri duble intr-un grup de agregare pentru uplink-ul intr-un switch), viteza porturilor (1 sau 10 Gbps) precum si conectica disponibila: cupru, fibra, cabluri twinax.
- numarul de tunele VPN. Tunelele VPN care pot fi terminate pe NGFW pot fi de tipul remote access (pentru utilizatorii remote) si de tipul site to site, pentru interconectarea mai multor site-uri. Limitarea este data de consumul de resurse necesar pentru criptarea traficului SSL si a traficului IPsec.
- licentiere: functiile elementare ale firewall-ului nu necesita o licenta speciala, insa serviciile care fac un firewall sa fie de tip Next Generation sunt bazate pe licente care vin de obicei sub forma de subscriptie. Astfel de servicii sunt protectia oferita de modulul de IPS (semnaturile trebuie sa fie download-ate din clodul vendorului si mentinute la zi pe echipamente), modulul de URL filtering (categoriile de URL-uri si URL-urile malitioase trebuie sa fie mentinute la zi) si modulul de AMP (blocarea fisierelor folosind sistemul de rankare al vendorului).
Oricat de avansat ar fi un firewall, acesta are o mare slabiciune. Nu poate detecta amenintarile decat din traficul care il traverseaza. Cu alte cuvinte, un firewall nu inspecteaza in mod obisnuit traficul facut in interiorul organizatiei (trafic est <-> vest), ci doar traficul care intra si iese din organizatie (nord <-> sud). Din punct de vedere design acest lucru inseamna ca firewall-ul se va plasa intr-o zona de perimetru (WAN, data center sau Internet). O alta limitare poate fi ca firewall-ul sa primeasca traficul de la un echipament care face NAT sau din partea unui load balancer, acest lucru facand imposibila identificarea sursei reale a traficului. Aceste considerente trebuie luate in calcul in faza de design si trebuie adresate ca nu se transforme in probleme atunci cand firewall va fi deja in productie.
Mihai Dumitrascu, Sr Systems Engineer
