( 5 ψήφοι )
Εισαγωγή

FirewallΑποτελεί αδιαμφισβήτητο γεγονός σήμερα ότι τα συστήματα firewall αποτελούν την αναγκαία και κυριότερη λύση προστασίας της ασφάλειας των δικτύων υπολογιστών, καθώς αυτά συνδέονται ολοένα και περισσότερο σε μεγαλύτερα δίκτυα, τα οποία επίσης είναι συνδεμένα στο διαδίκτυο (internet). Από την άλλη πλευρά, η σύνδεση των εταιρικών δικτύων στο διαδίκτυο, σε συνδυασμό με τις εξελίξεις λόγω της ραγδαίας ανάπτυξης των τεχνολογιών τόσο στον τομέα της πληροφορικής όσο και του ίδιου του διαδικτύου, αυξάνει σε πολύ μεγάλο βαθμό τα αμφίδρομα κανάλια επικοινωνίας που εγκαθίστανται, για την υποστήριξη της σύνδεσης των χρηστών των εταιρικών δικτύων με το διαδίκτυο και αντιστρόφως, για την επικοινωνία των χρηστών - πελατών - συνεργατών με αυτά τα εταιρικά δίκτυα. Απόρροια των προαναφερόμενων αυξανόμενων καναλιών επικοινωνίας, της ετερογένειας των διασυνδεδεμένων δικτύων, της έλλειψης συνολικής στρατηγικής ελέγχου πρόσβασης που παρατηρείται (βάσει διεθνών ερευνών) στα εν λόγω εταιρικά δίκτυα και τέλος στις εγγενείς αδυναμίες του πρωτοκόλλου TCP/IP καθώς και των σχετικών υπηρεσιών που υποστηρίζει, αποτελεί η αύξηση της έκθεσης των εταιρικών δικτύων σε ολοένα και περισσότερους κινδύνους1.

 

Υλοποιήσεις & πρακτικές ασφάλειας με συστήματα firewalls

Για την προστασία των εταιρικών δικτύων από τους παραπάνω κινδύνους, απαιτείται η υλοποίηση ενός μηχανισμού προστασίας, ο οποίος αφενός μεν θα πρέπει να διαχωρίζει το εσωτερικό (internal network) των εταιρικών δικτύων από το διαδίκτυο (external network), αφετέρου δε θα πρέπει να ελέγχει (φιλτράρει) όλη την κυκλοφορία δεδομένων από και προς το εταιρικό δίκτυο, επιτρέποντας (permit traffic) ή απαγορεύοντάς την (deny traffic), βάσει της πολιτικής ελέγχου / κανόνων που θα πρέπει να διαθέτει (rules). Αυτός ο μηχανισμός ασφάλειας δεν είναι τίποτα άλλο παρά ένα σύστημα firewall, που χρησιμοποιείται για την προστασία του εσωτερικού των εταιρικών δικτύων. Ένα σύστημα firewall συνήθως υλοποιείται με συνδυασμό των παρακάτω τεχνικών φιλτραρίσματος Α, Β & Γ (των μεταδιδόμενων δεδομένων από και προς ένα εταιρικό δίκτυο):

Α. Φιλτράρισμα πακέτων (packet filtering)2 σε επίπεδο δικτύου (layer 2, 3 & 4).

Αποτελεί τεχνική μέσω της οποίας πραγματοποιείται ο έλεγχος όλων των μεταδιδόμενων πακέτων [βάσει προκαθορισμένων κανόνων ελέγχονται τα πεδία του πακέτου που περιλαμβάνουν δεδομένα ελέγχου (header & trailer και στη συνέχεια η επιλογή των ενεργειών (ουσιαστικά permit ή deny) ανάλογα με τα αποτελέσματα αυτών (βλέπε σχετικά στην εικόνα 1). Οι συσκευές firewalls που χρησιμοποιούν την παραπάνω τεχνική είναι γνωστές, ως "firewalls πρώτης γενιάς". Σήμερα η τεχνική φιλτραρίσματος πακέτων έχει εξελιχθεί και ουσιαστικά περιλαμβάνει δυο κατηγορίες, οι οποίες είναι οι εξής:

Α1. Εξειδικευμένο φιλτράρισμα πακέτων σε επίπεδο δικτύου (stateful inspection3).

Αποτελεί εξειδικευμένη τεχνική φιλτραρίσματος πακέτων (packet filtering), μέσω της οποίας πραγματοποιείται δυναμικός έλεγχος (σε επίπεδο δικτύου πραγματοποιείται έλεγχος της κατάστασης όλων των εισερχόμενων και εξερχόμενων δικτυακών επικοινωνιών / sessions) ενός ή περισσοτέρων πακέτων δεδομένων με ταυτόχρονη χρήση βάσης δεδομένων, η οποία καταγράφει πληροφορίες σχετικά με τις υπάρχουσες επικοινωνίες (πρωτόκολλα, θύρες προορισμού και προέλευσης κ.λπ.), στις οποίες συμμετέχουν τα εν λόγω πακέτα. Ανάλογα με τα αποτελέσματα των ελέγχων (διασταύρωση πληροφοριών βάσης και της πληροφορίας που καταγράφεται κάθε φορά που ελέγχεται ένα πακέτο) και βάσει ειδικών κανόνων επιθεώρησης (inspection rules), αποφασίζεται εάν θα διακοπούν ή θα επιτραπούν οι τρέχουσες επικοινωνίες (TCP connections).

Α2. Εξειδικευμένο φιλτράρισμα πακέτων και μηχανισμοί ανίχνευσης εισβολών και αποτροπής.

Αποτελεί τεχνική4 η οποία συνδυάζει την τεχνική φιλτραρίσματος πακέτων (packet filtering) σε επίπεδο δικτύου (network layer) και υλοποίησης μηχανισμών αποτροπής και ανίχνευσης εισβολών (intrusion detection / prevention system), τόσο σε επίπεδο δικτύου [ανίχνευση σε στρώματα επιπέδου 2 έως 3 του OSI μοντέλου (packet inspection)] όσο και σε επίπεδο εφαρμογής [ανίχνευση σε όλα τα στρώματα επιπέδου 2 έως 7 του OSI μοντέλου (Deep Packet Inspection ή DPI). Η υλοποίησή της τεχνικής αυτής πραγματοποιείται ουσιαστικά με την χρήση ενός hardware firewall στο σημείο διασύνδεσης του εταιρικού δικτύου με το διαδίκτυο (firewall περιμέτρου) για το φιλτράρισμα των πακέτων από και προς το εταιρικό δίκτυο σε επίπεδο δικτύου (layer 2,3 & 4), σε συνδυασμό με την εγκατάσταση ενός ή περισσοτέρων συστημάτων ανίχνευσης ή αποτροπής εισβολών σε διάφορες ζώνες του εσωτερικού εταιρικού δικτύου, για την προστασία συγκεκριμένων πληροφοριακών συστημάτων (βάσεις δεδομένων, εφαρμογές διαδικτύου κ.λπ.).

Β. Φιλτράρισμα σε επίπεδο εφαρμογής (proxy).

Αποτελεί τεχνική που σε αντίθεση με την τεχνική φιλτραρίσματος πακέτων (packet filtering), πραγματοποιεί έλεγχο όλων των μεταδιδομένων πακέτων στα ανώτερα στρώματα της στοίβας πρωτοκόλλου (OSI layers 5-7). Ουσιαστικά πρόκειται για τεχνική η οποία πραγματοποιεί ελέγχους τόσο στα πεδία του πακέτου που περιλαμβάνουν δεδομένα ελέγχου (header & trailer) , όσο και στα πεδία του πακέτου που περιλαμβάνουν δεδομένα εφαρμογών (packet payload). Η τεχνική υλοποιείται ουσιαστικά μέσω της χρήσης ειδικών προγραμμάτων εγκατεστημένων σε εξυπηρετητές (servers) γνωστοί ως "proxy servers" ή εξυπηρετητές διαμεσολάβησης / εξουσιοδότησης, τα οποία για την πραγματοποίηση μιας σύνδεσης (π.χ. από το εσωτερικό του δικτύου προς ένα εξυπηρετητή του διαδικτύου), εξετάζουν το περιεχόμενο των πακέτων, εξάγουν το πρωτόκολλο που χρησιμοποιείται (π.χ. http), πραγματοποιούν ελέγχους και βάσει των αποτελεσμάτων αυτών επιτρέπουν ή μη τη δημιουργία μιας νέας σύνδεσης, από τον proxy server προς τον τελικό προορισμό (δημόσιο εξυπηρετητή) και αντίστροφα. Με αυτόν τον τρόπο ο εξυπηρετητής διαμεσολάβησης (proxy), λειτουργεί ως "πληρεξούσιος" τόσο των εσωτερικών όσο και των εξωτερικών χρηστών ενός εταιρικού δικτύου, εφόσον ως προς τους εσωτερικούς χρήστες του δικτύου εμφανίζεται ως η εξωτερική υπηρεσία (reply service) και ως προς τους εξωτερικούς χρήστες του δικτύου εμφανίζεται ως η εσωτερική υπηρεσία (request service) την οποία χρειάζονται.

Γ. Τεχνική διαχείρισης διευθύνσεων (network address translation / NAT).

Εάν και το NAT αρχικά αναπτύχθηκε για τη διευθέτηση των προβλημάτων, σχετικά με την απόδοση / εκχώρηση μεγάλου αριθμού IP διευθύνσεων σε δίκτυα οργανισμών, επιχειρήσεων κ.λπ. [με αυτόν τον τρόπο ένα ολόκληρο εταιρικό δίκτυο μπορεί να έχει μια μοναδική δημόσια διεύθυνση (public IP address), ανεξάρτητα από τον αριθμό των ιδιωτικών διευθύνσεων (private IP addresses), τις οποίες χρησιμοποιεί στο εσωτερικό του], ουσιαστικά αποτελεί μια τεχνική ασφάλειας, μέσω της οποίας "κρύβεται" ολόκληρο το εσωτερικό εταιρικό δίκτυο από το εξωτερικό δίκτυο (διαδίκτυο), εφόσον όλες οι εσωτερικές διευθύνσεις του εταιρικού δικτύου, μεταφράζονται σε μια και μοναδική IP διεύθυνση, που στην πλειονότητα των περιπτώσεων αποτελεί η διεύθυνση που κατέχει η διεπαφή (interface) του περιμετρικού firewall με το διαδίκτυο. Με αυτόν τον τρόπο το NAT ουσιαστικά λειτουργεί ως εξυπηρετητής διαμεσολάβησης, δηλαδή λειτουργεί ως "πληρεξούσιος", τόσο των εσωτερικών όσο και των εξωτερικών χρηστών ενός εταιρικού δικτύου, αλλά σε επίπεδο δικτύου (network layer) και όχι εφαρμογής (proxy). Πριν προχωρήσουμε στα χαρακτηριστικά (που θα πρέπει να διαθέτουν) τα νέα συστήματα firewalls, ας ρίξουμε πρώτα μια ματιά στις αδυνα­μίες που παρουσιάζουν τα παραδοσιακά συστήματα firewalls πρώτης & δεύτερης γενιάς, είτε ως αυτόνομες συσκευές, είτε σε συνδυασμό με άλλες τεχνικές ασφάλειας.


Αδυναμίες τεχνικών ασφάλειας με συστήματα firewalls

Οι προαναφερόμενες τεχνικές ασφάλειας που χρησιμοποιούνται σήμερα, για την προστασία των εταιρικών δικτύων, παρουσιάζουν αρκετές αδυναμίες. Συγκεκριμένα, η τεχνολογία φιλτραρίσματος πακέτων (τόσο η απλή όσο και η εξειδικευμένη5, με ή χωρίς τη χρήση πρόσθετων μηχανισμών ασφάλειας, π.χ. proxy, IDS/IPS κ.λπ.) που χρησιμοποιούν οι τεχνικές της προηγούμενης ενότητας, παρουσιάζει (χωρίς να περιορίζεται) τους εξής περιορισμούς:

  • Αδυναμία ελέγχου περιεχομένου πακέτων.

Ο έλεγχος των μεταδιδόμενων πακέτων, πραγματοποιείται σε πληροφορίες που αφορούν τη δρομολόγηση του πακέτου (header & trailer) και όχι στο περιεχόμενο αυτών (packet payload). Με αυτό τον τρόπο κακόβουλη πληροφορία που περιλαμβάνεται στα μεταδιδόμενα πακέτα, μεταφέρεται (μη ελεγχόμενη) από τα χαμηλότερα στρώματα (επίπεδο δικτύου) σε υψηλότερα στρώματα (επίπεδο εφαρμογής), με ότι συνέπειες αυτό συνεπάγεται για το εκάστοτε εταιρικό δίκτυο.

Στην περίπτωση των IDS/IPS συστημάτων (με υποστήριξη τεχνολογιών stateful ή deep packet inspection), εάν και τα παραπάνω δεν ισχύουν, θα πρέπει να σημειωθεί ότι τα εν λόγω εξειδικευμένα συστήματα σχεδιάστηκαν να αναπτύσσονται όχι ως αυτόνομα συστήματα, αλλά ως συστήματα που συνδυάζονται με άλλα συστήματα ασφάλειας (π.χ. FW+IPS).

Παράλληλα, για τα εν λόγω συστήματα ισχύουν και τα εξής:

- Σχεδιάστηκαν για τον έλεγχο απειλών που σχετίζονται (πρωτίστως) με εφαρμογές ή με το δίκτυο, αλλά όχι συνολικά για όλο το εταιρικό δίκτυο (στην περίπτωση αυτή απαιτείται η υλοποίηση & εγκατάσταση πολλαπλών IDS/IPS συστημάτων σε διαφορετικά σημεία του δικτύου).

- Η υλοποίηση τους απαιτεί πρόσθετη διαχείριση (βλέπε παρακάτω σχετικά).

- Παράγουν ένα σημαντικό αριθμό εσφαλμένων αναφορών γεγονότων ασφάλειας (false alarms), γνωστά και ως "false positives"6 (ειδικά στις περιπτώσεις signature based συστημάτων και λιγότερο στα heuristic ή behavioural based συστήματα), γεγονός που αυξάνει δραματικά την ανάγκη σωστής αξιοποίησης και αξιολόγησης των εξαγόμενων αποτελεσμάτων, από τη χρήση τους.

  • Αδυναμία διαχείρισης.

Οι συνεχείς αλλαγές που επιβάλλουν οι επιχειρηματικές ανάγκες στο σύνολο των κανόνων (rules) των υφιστάμενων συστημάτων ασφάλειας, ακόμα και σε οργανισμούς και επιχειρήσεις με μικρής κλίμακας υλοποιήσεις συστημάτων firewalls ή συνδυασμό αυτών με πρόσθετες (ενσωματωμένες ή μη) λύσεις (βλέπε IDS, IPS, proxy κ.λπ.), δημιουργεί ένα σύνθετο και πολύπλοκο περιβάλλον διαμόρφωσης και παραμετροποίησης (configuration) ενός μεγάλου αριθμού κανόνων ασφάλειας (και άρα μιας συνολικής πολιτικής ασφάλειας), η διαχείριση της οποίας (policy management) καθίσταται στην πλειονότητα των περιπτώσεων, ένα αρκετά σύνθετο και δύσκολο έργο [ειδικότερα στις περιπτώσεις, όπου η διαχείριση της πολιτικής ασφάλειας υλοποιείται μέσω πολλών διεπαφών διαχείρισης (management interfaces)]. Στις περιπτώσεις δε που η εν λόγω τεχνολογία χρησιμοποιείται με λύσεις τύπου proxy, η διαχείριση όλων των συνδυαζόμενων τεχνικών γίνεται ακόμα δυσκολότερη, εφόσον:

- οι λύσεις proxy υποστηρίζουν ένα πολύ μικρό αριθμό εφαρμογών και κυρίως αυτών που προέρχονται από ελάχιστες κατηγορίες προμηθευτών (vendors).

- η ανανέωση της λίστας των υποστηριζόμενων εφαρμογών είναι σχετικά αργή σε σχέση με τις εξελίξεις.

- η χρήση proxy σε απαιτητικά περιβάλλοντα απαιτεί πολύπλοκες υλοποιήσεις οι οποίες έρχονται παράλληλα αντιμέτωπες τόσο με θέματα επιδόσεων όσο και με θέματα επεκτάσεων.

  • Αδυναμία συσχετίσεων.

Ενώ η τεχνολογία φιλτραρίσματος πακέτων διαθέτει δυνατότητες συσχέτισης των χρησιμοποιούμενων πρωτοκόλλων επικοινωνίας με τις αντίστοιχες εφαρμογές (σε περιορισμένη κλίμακα, εφόσον βασίζεται σε συγκεκριμένες θύρες και πρωτόκολλα), δεν διαθέτει:

- δυνατότητες συσχέτισης των χρησιμοποιούμενων εφαρμογών με τους τελικούς χρήστες αυτών.

- δυνατότητες αναγνώρισης χρηστών7 (user identification).

- δυνατότητες αναγνώρισης άγνωστων εφαρμογών (application identification).

- δυνατότητες αναγνώρισης & ελέγχου περιεχομένου (content identification & inspection).

  • Αδυναμία ελέγχου κρυπτογραφημένων πακέτων.

Οι τεχνολογίες φιλτραρίσματος πακέτων ή ανίχνευσης & αποτροπής εισβολών δεν διαθέτουν εξελιγμένες δυνατότητες κρυπτογράφησης (encryption) και αποκρυπτογράφησης (decryption), για δεδομένα τα οποία είναι κρυπτογραφημένα με τη χρήση γνωστών μεθόδων & πρωτοκόλλων κρυπτογράφησης (π.χ. SSL).

  • Αδυναμίες ενσωματωμένων τεχνολογιών.

Οι τεχνολογίες (IPS/IDS), που ενσωματώνονται στα παραδοσιακά συστήματα firewalls (πρώτης ή δεύτερης γενιάς) δεν έχουν δυνατότητες:

- αναγνώρισης εφαρμογών.

- αναγνώρισης πρόσθετων χαρακτηριστικών [περιορίζονται σε θύρες (ports) και πρωτόκολλα (protocols) επικοινωνίας].

- συσχέτισης με χρήστες καταλόγων (π.χ. AD)

- η συσχέτιση βασίζεται μόνο στις IP διευθύνσεις.

  • Απώλεια επιδόσεων.

Οι αρχιτεκτονικές ασφάλειας με hardware ή software συστήματα firewalls, βασίζονται στη λογική (IP & port based classification) του ελέγχου των διευθύνσεων (IP addresses) και των σχετικών θυρών (ports), με αποτέλεσμα η χρήση (add-on) ή η ενεργοποίηση κάθε πρόσθετης (embedded) εξειδικευμένης λύσης ή υπηρεσίας ασφάλειας (όπως οι προαναφερθείσες IPS, IDS, DPI κ.λπ.), να επιφέρουν απώλειες στις επιδόσεις (performance degradation) των συστημάτων firewalls.

Συστήματ firewalls

 

Χαρακτηριστικά συστημάτων firewalls νέας γενιάς

Τα εξειδικευμένα συστήματα firewalls πρέπει να αποτελούν σημαντικό στόχο του σχεδιασμού μιας ολοκληρωμένης αρχιτεκτονικής ασφάλειας, ώστε να επιτυγχάνεται στο μέγιστο βαθμό, ο έγκαιρος εντοπισμός και η αποτελεσματική καταστολή των οποιωνδήποτε προσπαθειών διακύβευσης της ασφάλειας των κρίσιμων εφαρμογών και βάσεων δεδομένων του εταιρικού δικτύου (διαδικτυακών ή μη), σε όποια υποδομή (internet, extranet, internal network) και εάν αυτά ανήκουν. Στην κατηγορία των παραπάνω συστημάτων, έχουν προστεθεί σήμερα τα λεγόμενα "συνδυαστικά" συστήματα ασφάλειας των εταιρικών δικτύων, τα οποία με την ενσωμάτωση πολλών διαφορετικών τεχνολογιών ασφάλειας (firewall, IDS, IPS κ.λπ.) σε ένα και μόνο προϊόν, κατόρθωσαν σε σημαντικό βαθμό να πετύχουν το στόχο τους, δηλαδή την παροχή ολοκληρωμένης προστασίας των πληροφοριακών συστημάτων & υποδομών ενός εταιρικού δικτύου.

Τη φιλοσοφία αυτή δηλαδή της ενσωμάτωσης πολλών διαφορετικών τεχνολογιών ασφάλειας, φαίνεται ότι πολύ σύντομα θα ακολουθήσουν και πολλοί κατασκευαστές συστημάτων firewalls. Αρκεί όμως μόνο η υιοθέτηση αυτής της φιλοσοφίας για μια πετυχημένη πορεία των νέων συστημάτων firewalls, στον χώρο της ασφάλειας; Καταρχήν, η απάντηση δεν μπορεί να περιοριστεί στα στενά πλαίσια ενός ναι ή όχι. Εκείνο που έχει σημασία είναι ότι, κάθε νέο εξειδικευμένο σύστημα ασφάλειας και συγκεκριμένα ένα νέο σύστημα firewall θα πρέπει, εκτός από την υιοθέτηση της παραπάνω φιλοσοφίας, να παρέχει και ένα σύνολο τεχνολογικών μηχανισμών οι οποίοι να ενισχύουν τον ρόλο της ασφάλειας και ταυτόχρονα να επιλύουν τα προβλήματα που αντιμετωπίζουν τα παραδοσιακά συστήματα firewalls (όπως αυτά που αναφέρθηκαν στην προηγούμενη ενότητα). Ποιες είναι όμως αυτές οι καινοτομίες, οι οποίες θα πρέπει να ενσωματώνονται στους firewalls νέας γενιάς, ώστε να κάνουν πράγματι την ειδοποιό διαφορά και να τους οδηγήσουν σε μια επιτυχημένη πορεία στον χώρο της ασφάλειας των εταιρικών δικτύων (βλέπε σχετικά στην εικόνα 2); Ας δούμε καταρχήν μερικές από αυτές:

  • Ενσωμάτωση τεχνολογίας αναγνώρισης εφαρμογών (application identification).

Με την εν λόγω τεχνολογία, πραγματοποιείται η αναγνώριση όλων των εφαρμογών του εταιρικού δικτύου, το οποίο αποτελεί προϋπόθεση για τον έλεγχο των δεδομένων που διακινούνται στο εταιρικό δίκτυο, τον προσδιορισμό των χρησιμοποιούμενων από τις εφαρμογές πρωτοκόλλων & θυρών και εν τέλει για την ενίσχυση της εφαρμογής μιας συνολικής πολιτικής ελέγχου, σε επίπεδο εφαρμογών και σε όλο το εύρος ενός εταιρικού δικτύου. Κάθε εταιρικό δίκτυο, υποστηρίζει πλήθος εφαρμογών, που προορίζονται για την υποστήριξη ή μη των επιχειρηματικών λειτουργιών. Εάν και αποτελεί πολιτική που εφαρμόζεται κατά κόρον στα απανταχού εταιρικά δίκτυα, δηλαδή η αποφυγή χρήσης εφαρμογών που δεν εξυπηρετούν τις επιχειρηματικές λειτουργίες (π.χ. Gmail, Skype, BitTorrent, YouTube, Meebo, P2P, RSS κ.λπ.), η πρακτική αποδεικνύει ότι αυτό στην πραγματικότητα δεν συμβαίνει. Αυτό οφείλεται είτε στην αδυναμία εφαρμογής της εν λόγω πολιτικής, είτε στην ικανότητα που έχουν πολλές από τις πιο δημοφιλείς εφαρμογές του διαδικτύου, να αποφεύγουν την ανίχνευσή τους (μια από τις βασικές αδυναμίες των παλιότερης γενιάς συστημάτων firewalls). Το τελευταίο είναι ευρέως γνωστό ότι πραγματοποιείται με διάφορες τεχνικές, όπως: μετατροπή της μη επιθυμητής κυκλοφορίας (traffic) σε θεμιτή (masquerade traffic), χρήση τεχνικής μετάθεσης ή επαναχρησιμοποίησης θυρών και πρωτοκόλλων επικοινωνίας (ports & protocols hopping8 & masquerading), χρήση κρυπτογραφικών καναλιών (SSL encryption) ή HTTP tunneling κ.α. (βλέπε σχετικά στην εικόνα 1).

Για την αναγνώριση των εφαρμογών όμως (απαραίτητα βάσει περιεχομένου), η εν λόγω τεχνολογία θα πρέπει να περιλαμβάνει τα κάτωθι:

- Δυνατότητα ανίχνευσης πρωτοκόλλων (protocol detection) και στην περίπτωση πρωτοκόλλων που είναι κρυπτογραφημένα με SLL ή SSH, πρόσθετη δυνατότητα αποκρυπτογράφησης   αυτών (protocol decryption).

- Δυνατότητα προσδιορισμού πρωτοκόλλων (protocol decoding), ώστε να προσδιορίζεται εάν μια εφαρμογή χρησιμοποιεί ένα συγκεκριμένο πρωτόκολλο βάσει των πραγματικών επιχειρηματικών αναγκών (π.χ. χρήση του http πρωτοκόλλου για την υποστήριξη μιας web εφαρμογής) ή η εφαρμογή χρησιμοποιεί το εν λόγω πρωτόκολλο για να κρύψει την πραγματική της ταυτότητα (π.χ. Yahoo Instant Messenger).

- Δυνατότητα χρήσης "application signatures" (ανάλογα με αυτά που συναντούμε και στα γνωστά προγράμματα καταπολέμησης των ιών), για να προσδιορίζονται με ακρίβεια οι εφαρμογές του εταιρικού δικτύου, ανεξάρτητα από τις θύρες ή τα πρωτόκολλα που χρησιμοποιούν.

- Δυνατότητες χρήσης πρόσθετων αναλύσεων (heuristic / behavioral analysis) για την αναγνώριση πρόσθετων εφαρμογών με ιδιαίτερα χαρακτηριστικά [π.χ. P2P ή Voice over IP εφαρμογές που χρησιμοποιούν ιδιόκτητη (proprietary) κρυπτογράφηση] ή ακόμα και εφαρμογών που είναι εντελώς άγνωστες.

  • Ενσωμάτωση τεχνολογίας αναγνώρισης χρηστών (user identification).

Με την εν λόγω τεχνολογία, πραγματοποιείται η αναγνώριση, όλων των χρηστών του εταιρικού δικτύου. Ουσιαστικά ένας εξειδικευμένος μηχανισμός firewall θα πρέπει να διαθέτει:

- Δυνατότητα ενοποίησης (integration) με ένα κατάλογο χρηστών (user repository) π.χ. με μια υποδομή Active Directory.

- Δυνατότητα συσχέτισης χρηστών με διευθύνσεις (IP addresses) για τις περιπτώσεις εκείνες που δεν υποστηρίζεται ή δεν χρησιμοποιείται κατάλογος χρηστών και με εφαρμογές (user's application relation) που εκτελούνται στο εταιρικό δίκτυο, ώστε να ενισχύεται η εφαρμογή μιας πολιτικής ελέγχου σε επίπεδο χρήστη (user-based policy control), δηλαδή η ικανότητα ελέγχου των εφαρμογών βασισμένη σε χρήστες ή ομάδες χρηστών και όχι σε διευθύνσεις (IP addresses).

  • Ενσωμάτωση τεχνολογίας ελέγχου περιεχομένου (content inspection).

Με την εν λόγω τεχνολογία, πραγματοποιείται επιθεώρηση όλου του περιεχομένου (traffic), που μεταδίδεται από το σύνολο των εφαρμογών ενός εταιρικού δικτύου. Η τεχνολογία αυτή θα πρέπει να περιλαμβάνει:

- Μια ενιαία μηχανή αποτροπής απειλών9 σε πραγματικό χρόνο10 (threat prevention engine), την οποία με ανάλογο τρόπο συναντούμε στους παραδοσιακούς μηχανισμούς IDS/IPS ή antivirus, για την ανίχνευση, αποτροπή και καταστολή εισβολών & απειλών, η οποία όμως θα βασίζεται πρόσθετα στην τεχνολογία αναγνώρισης των εφαρμογών (protocol detection, decryption & decoding, heuristic & behavioral analysis κ.λπ.), για:

…την αντιστοίχιση αδυναμιών με τις εν λόγω εφαρμογές και την περαιτέρω αντιμετώπισή τους (χαρακτηριστικά λύσεων IPS).

…τον περιορισμό της μεταφοράς ανεπιθύμητων αρχείων (data leak prevention).

…την αντιμετώπιση κακόβουλου λογισμικού (π.χ. virus, spyware κ.λπ.).

- Μια μηχανή δυναμικού ελέγχου της πρόσβασης των χρηστών στο διαδίκτυο, δηλαδή παρακολούθησης και ελέγχου των χρηστών του εταιρικού δικτύου, κατά τη χρήση του διαδικτύου (web filtering), του περιεχομένου και των εφαρμογών που χρησιμοποιούνται κατά τη χρήση του, ως πρόσθετο μηχανισμό ασφάλειας που συμπληρώνει τις προαναφερθείσες τεχνολογίες.

  • Ενσωμάτωση βασικών λειτουργιών φιλτραρίσματος, σε επίπεδο δικτύου (network level), με χαρακτηριστικά, όπως π.χ.:

- Έλεγχος της κατάστασης (state) όλων των εισερχόμενων και εξερχόμενων TCP δικτυακών επικοινωνιών (stateful inspection).

- Εφαρμογή πολιτικής ελέγχου δικτυακής πρόσβασης σε επίπεδο χρήστη (user-based network access control).

Χαρακτηριστικά συστημάτων firewalls νέας γενιάς

 

Πλεονεκτήματα συστημάτων firewalls νέας γενιάς

Όπως είναι φανερό από τα παραπάνω, το χαρακτηριστικό που προσδίδει ιδιαίτερη αξία στα εν λόγω συστήματα firewalls, είναι η συνδυαστική χρήση των παραπάνω καινοτόμων τεχνολογιών. Ουσιαστικά, με το σύνολο των επιμέρους τεχνολογιών που χρησιμοποιούνται στην αναγνώριση των εφαρμογών [κατηγοριοποίηση / διαβάθμιση (classification) των δεδομένων (traffic)] & χρηστών του εταιρικού δικτύου, δημιουργείται μια δυναμική και περιεκτική εικόνα, των υπό παρατήρηση εφαρμογών του εταιρικού δικτύου (ανεξάρτητα από τα χρησιμοποιηθέντα πρωτόκολλα και θύρες επικοινωνίας) και συγκεκριμένα της κυκλοφορίας (traffic) και της δομής (structure) των δεδομένων, από και προς τις εφαρμογές, σε πραγματικό χρόνο, καθώς και του συνόλου των χρηστών (ανεξάρτητα από τις IP διευθύνσεις) οι οποίοι αλληλεπιδρούν με τις εν λόγω εφαρμογές (συσχέτιση με χρήστες ή ομάδες χρηστών). Αυτό έχει ως άμεση συνέπεια, στη διευκόλυνση της εφαρμογής μιας ενοποιημένης πολιτικής ασφάλειας, σε επίπεδο περιεχομένου εφαρμογών (permit ή deny traffic) ή ελέγχου των εφαρμογών βασισμένη σε χρήστες ή ομάδες χρηστών και όχι σε διευθύνσεις (IP addresses).

Επιπρόσθετα, η χρήση των παραπάνω καινοτόμων τεχνολογιών, θα παρουσιάζει σημαντικά πλεονεκτήματα, έναντι των παραδοσιακών λύσεων firewalls, εάν προσφέρει παράλληλα (με τις παραπάνω αναφερόμενες λειτουργίες) και τα εξής:

- Ικανότητα συσχέτισης (correlation) και ανάλυσης (analysis). Τα εξειδικευμένα συστήματα firewalls, θα πρέπει να διαθέτουν πλήθος καινοτόμων τεχνολογικών χαρακτηριστικών, με σημαντικότερο από αυτά, εκείνο του "συσχετισμού". Ο συσχετισμός είναι η διαδικασία που προσδίδει την πραγματική αξία στα συστήματα αυτά, επιτρέποντάς τους να εστιάζουν τις λειτουργίες τους, μόνο στις σημαντικότερες και πραγματικές απειλές των εφαρμογών του εταιρικού δικτύου. Συγκεκριμένα, το εν λόγω χαρακτηριστικό, δίνει στο σύστημα τη δυνατότητα συσχετισμού των όποιων πληροφοριών λαμβάνει, από όλα τα επίπεδα ασφάλειάς του (ενσωματωμένες τεχνολογίες ασφάλειας όπως αναγνώριση εφαρμογών & χρηστών, ενιαία μηχανή αποτροπής απειλών κ.ο.κ.).

- Δυνατότητες εφαρμογής & κεντρικής διαχείρισης πολιτικών ασφάλειας (central policy management), ώστε ο έλεγχος των εφαρμογών και της αντιμετώπισης απειλών (threat prevention) να υλοποιείται από ένα και μοναδικό σημείο.

- Εξελιγμένες δυνατότητες καταγραφής & αναφοράς των προσβάσεων και ενεργειών των χρηστών του εταιρικού δικτύου, οι οποίες μπορούν να βοηθήσουν αποτελεσματικά στην μετέπειτα διερεύνηση των περιστατικών ασφάλειας (forensic analysis).

- Διαφανής λειτουργία και ασφαλής ανάλυση της δικτυακής κίνησης του εταιρικού δικτύου, χωρίς να εισάγονται καθυστερήσεις ή να επηρεάζεται έστω και στο ελάχιστο η απόδοση των επικοινωνιών.

- Δυνατότητες αποκρυπτογράφησης κρυπτογραφημένων συνδέσεων πάνω από SSL. Στην περίπτωση αυτή το σύστημα θα πρέπει να μπορεί να αποκρυπτογραφεί τις συνδέσεις και να ελέγχει το περιεχόμενο τους (εφόσον το ιδιωτικό κλειδί του σχετικού εξυπηρετητή εγκατασταθεί στο σύστημα ασφάλειας). Εφόσον δεν ανιχνεύσει κάποια πιθανή απειλή ξανακρυπτογραφεί τα πακέτα και τα προωθεί στον τελικό εξυπηρετητή.

- Εύκολη και ταχεία ανάπτυξη, εγκατάσταση & υλοποίηση. Ένα εξειδικευμένο σύστημα firewall, για να είναι αποτελεσματικό θα πρέπει να είναι εύκολο στην εγκατάστασή του και η υλοποίησή του να μην δημιουργεί προβλήματα, στα υπό λειτουργία υφιστάμενα πληροφοριακά συστήματα (π.χ. εξυπηρετητές), του εταιρικού δικτύου. Τα εν λόγω συστήματα θα πρέπει να παρέχουν ολοκληρωμένη προστασία, χωρίς να απαιτούνται μεγάλες αλλαγές στην υπάρχουσα δικτυακή αρχιτεκτονική ή στην εκάστοτε υποδομή που υποστηρίζει τα διάφορα πληροφοριακά εταιρικά συστήματα, όπως αλλαγές στην διευθυνσιοδότηση (IP addresses configuration), αλλαγές στην δικτυακή παραμετροποίηση των συστημάτων και των εφαρμογών, αλλαγές στις ρυθμίσεις των firewalls ή των routers κ.ο.κ. με αποτέλεσμα την ταχεία και εύκολη ανάπτυξη και εγκατάστασή τους, ανεξαρτήτως του είδους της υπάρχουσας δικτυακής αρχιτεκτονικής, όπως:

…σε transparent in-line mode με αποτέλεσμα η ανάπτυξή του να μην απαιτεί αλλαγές στην υπάρχουσα δικτυακή υποδομή (βλέπε εικόνα 3).

…ως αντικαταστάτες συστημάτων firewall παλιότερης γενιάς.

…ως συσκευή παρακολούθησης των εφαρμογών και των χρηστών του εταιρικού δικτύου (συνδεόμενος σε μια θύρα / span port ενός switch).

- Δυνατότητα λειτουργίας σε διάταξη μη "υψηλής διαθεσιμότητας", δηλαδή δυνατότητα λειτουργίας σε fail-open η οποία δεν επηρεάζει τις δικτυακές επικοινωνίες των προστατευμένων δικτυακών ζωνών ακόμα και σε περίπτωση τερματισμού της λειτουργίας τους.

- Εξελιγμένες δυνατότητες για την προστασία των εταιρικών δεδομένων (data leak prevention) οι οποίες επιτυγχάνονται με το συνδυασμό των προαναφερόμενων χαρακτηριστικών, όπως:

…Έλεγχος εφαρμογών (επιτρέποντας ή μη τη χρήση τους στο εταιρικό δίκτυο).

…Έλεγχος περιεχομένου εφαρμογών (ανίχνευση ευαίσθητων ή κρίσιμων εταιρικών δεδομένων, αποκρυπτογράφηση SSL / SSH επικοινωνιών).

…Έλεγχος εφαρμογών & χρηστών.

Υλοιποίηση - Transparent in-line ...χωρίς αλλαγές στη δικτυακή υποδομή

 

Συμπέρασμα

Εάν και πρακτικά η χρήση των συστημάτων firewalls (μέσω των παραδοσιακών πρακτικών και τεχνικών υλοποίησης) προσφέρει υπηρεσίες ελέγχου των δεδομένων που μεταφέρονται ("φιλτράρισμα") και άρα θα περίμενε κανείς να παρέχεται από αυτά η μέγιστη ασφάλεια (στην πρώτη γραμμή άμυνας ενός εταιρικού δικτύου), αυτό ουσιαστικά δε συμβαίνει (στο επιθυμητό επίπεδο). Τα παραπάνω ενισχύονται επίσης από το γεγονός, ότι τα τελευταία χρόνια, η ασφάλεια των εταιρικών δικτύων, απειλείται από νέες εξειδικευμένες μορφές απειλών, οι οποίες εμφανίζονται με πολύ μεγάλη συχνότητα (περισσότερο από ποτέ) και ολοένα και περισσότερο στοχεύουν στις αδυναμίες των εφαρμογών, που χρησιμοποιούνται στα δίκτυα αυτά. Η παραπάνω διαπίστωση (που έχει γίνει status quo τα τελευταία χρόνια) δεν απεικονίζει τίποτα άλλο παρά την πραγματικότητα που έχει εδραιωθεί στο χώρο της ασφάλειας. Οι κακόβουλοι χρήστες (π.χ. hackers) γρήγορα αντιλήφθηκαν ότι η ανάπτυξη των περισσότερων μηχανισμών ασφάλειας, είχαν ως στόχο την προστασία του εταιρικού δικτύου σε επίπεδο δικτύου (network layer protection) και όχι σε επίπεδο εφαρμογών (application level). Όπως ήταν αναμενόμενο από τις εξελίξεις, οι απανταχού επιθέσεις στα εταιρικά δίκτυα αυξήθηκαν εκθετικά τα τελευταία χρόνια και σήμερα το συντριπτικό ποσοστό των κακόβουλων ενεργειών11, προσπαθειών διείσδυσης ή γενικά επιθέσεων κατά ενός εταιρικού δικτύου, έχει ως στόχο τις εφαρμογές και κυρίως τις εφαρμογές διαδικτύου (web applications).

Η μεταστροφή δε αυτή, με την οποία στο επίκεντρο των επιθέσεων τίθενται πρωτίστως οι εταιρικές εφαρμογές (διαδικτυακές ή μη, με τη μερίδα του λέοντος να πέφτει στις πρώτες), οφείλεται στο γεγονός της απρόσκοπτης δραστηριοποίησης των τελευταίων (άμεση απόρροια των επιχειρηματικών αναγκών) στα "σύνορα" των εταιρικών δικτύων (π.χ. διαδίκτυο). Ουσιαστικά για την εξυπηρέτηση των επιχειρηματικών αναγκών (ανάπτυξη ανταγωνιστικών εφαρμογών, ελαχιστοποίηση του κόστους, βελτίωση παρεχόμενων υπηρεσιών και ούτω καθεξής) πλήθος (client - server) εταιρικών εφαρμογών μεταφέρθηκαν και μεταφέρονται συνεχώς στις πρώτες γραμμές του μετώπου (ως εφαρμογές διαδικτύου), ώστε να εκμεταλλευτούν στο έπακρο τις δυνατότητες των νέων διαδικτυακών τεχνολογιών, όσο και των νέων ευκαιριών που παρουσιάζονται από κάθε είδους δραστηριοποιήσεις εκτός εταιρικών συνόρων. Η υιοθέτηση αυτής, της άνευ όρων διείσδυσης εταιρικών εφαρμογών στο διαδίκτυο που ακολουθούν πολλές επιχειρήσεις, με ταυτόχρονη χρήση γνωστών πρωτοκόλλων και υπηρεσιών με εγγενείς αδυναμίες (όσον αφορά την ασφάλεια), όπως είναι φυσικό εγκυμονεί σοβαρούς κινδύνους, οι οποίοι ενισχύονται πρόσθετα από το γεγονός ότι τα σημερινά συστήματα firewalls αναδεικνύουν αδυναμίες, τόσο στην ίδια την τεχνολογία τους, όσο και στην προσαρμογή και την εξέλιξή τους, σε ένα εχθρικό περιβάλλον που ολοένα μεταλλάσσεται. Είναι καιρός τα εξειδικευμένα συστήματα firewalls να αλλάξουν τη φιλοσοφία τους και από συστήματα ασφάλειας χαμηλότερων στρωμάτων δικτύου (OSI layers 2 - 4) να μετασχηματιστούν σε συστήματα ασφάλειας όλων των στρωμάτων του OSI μοντέλου (layers 2-7), δηλαδή να μετασχηματιστούν σε ολοκληρωμένα συστήματα firewalls, νέας γενιάς.

 


Σημειώσεις

1. Μόλυνση από ιούς (virus, worms, trojan horses κλπ), γνωστές επιθέσεις σε εφαρμογές διαδικτύου (web applications) ή σε βάσεις δεδομένων, όπως: SQL injection, cookie poisoning, parameter tampering,directory traversal, identity theft ή σε δίκτυα όπως Denial of Service attacks (DoS), σε εφαρμογές e-mail όπως SMTP session hijacking και ούτω καθεξής.

2. Σύμβαση: Ένα IP πακέτο έχει την μορφή [IP header] [data] [IP trailer]. Κάθε πακέτο αποτελείται από δύο μέρη. Το πρώτο περιλαμβάνει τα δεδομένα ελέγχου του πακέτου (control information / header & trailer) και το δεύτερο τα

δεδομένα του χρήστη (packet payload) τα οποία ουσιαστικά εκπροσωπούν το σύνολο των πληροφοριών των ανωτέρω στρωμάτων της στοίβας πρωτοκόλλου (OSI layers 5-7).

3. Συσκευές firewalls που χρησιμοποιούν αυτή τη τεχνική είναι γνωστές, ως "stateful firewalls" ή ως 'circuit level firewalls" ή "firewalls δεύτερης γενιάς".

4. Συσκευές firewalls που χρησιμοποιούν αυτή τη τεχνική είναι γνωστές, ως "firewalls τρίτης γενιάς".

5. Stateful ή Deep Packet Inspection.

6. Ένα λάθος τύπου "false positive" πραγματοποιείται όταν δεν υπάρχει κανένα γεγονός ασφάλειας (ή άλλος όρος) αλλά τα αποτελέσματα επιστρέφουν ως θετικά (δηλαδή ότι τελικά υπάρχει το γεγονός ασφάλειας).

7. Εξαίρεση στον κανόνα αποτελούν οι proxy υλοποιήσεις (π.χ. ISA server).

8. Ένα χαρακτηριστικό παράδειγμα εφαρμογής, η οποία αλλάζει συνεχώς την πόρτα (port) που χρησιμοποιεί, αποφεύγοντας έτσι σχεδόν όλα τα εταιρικά συστήματα firewalls, αποτελεί το γνωστό πρόγραμμα Skype (για IP τηλεφωνία & video).

9. Ουσιαστικά ένα εξειδικευμένο σύστημα firewall θα πρέπει να διαθέτει μια ενιαία πλατφόρμα αντιμετώπισης των απειλών.

10. Η χρήση τεχνικών παράλληλης επεξεργασίας (parallel processing), θα πρέπει να αποτελεί ένα από τα κύρια χαρακτηριστικά ενός firewall νέας γενιάς.

11. Π.χ. SANS surveys.


 

Δημήτριος Παπακώστας, Senior Strategy Security Consultant & ISO27001 Lead Auditor / ENCODE Α.Ε.

Πτυχιούχος του Τμήματος Φυσικής του Πανεπιστημίου Αθηνών και των ακόλουθων επαγγελματικών πιστοποιήσεων: CCNA της CISCO (Cisco Certified Network Associate) & SND (Securing Cisco Network Devices) της CISCO (Cisco Information Security Specialist)

δημοψήφισμα

Νέα επικαιρότητας: Ποιότητα ή ποσότητα;