Embed Size (px)
Citation preview
WHITE PAPER
Pełna ochrona wewnątrz sieci Internal Network Firewall (INFW)
32 www.fortinet.com
WHITE PAPER: PEŁNA OCHRONA WEWNĄTRZ SIECI – INTERNAL NETWORK FIREWALL (INFW) WHITE PAPER: PEŁNA OCHRONA WEWNĄTRZ SIECI – INTERNAL NETWORK FIREWALL (INFW)
Główne wymagania
n PEŁNA OCHRONA – Ciągła ochrona przed zaawansowanymi zagrożeniami wewnątrz sieci przy pomocy jednego systemu bezpieczeństwa
n ŁATWE WDROŻENIE – Domyślny tryb transparentny pozwala uniknąć przebudowy sieci; umożliwia centralną konfigurację i zarządzanie
n WYSOKA WYDAJNOŚĆ – wydajność pozwala zachować ruch w sieci z szybkością łączy
Pełna ochrona wewnątrz sieci Internal Network Firewall (INFW)
Spis treści
Wprowadzenie 3
Zaawansowane zagrożenia wykorzystują niedoskonałości sieci o płaskiej strukturze 4
Odpowiedź: nowy rodzaj Firewalla – Internal Network Firewall (INFW) 5
Wymogi techniczne INFW 6
Podsumowanie 8
Wprowadzenie
Przez ostatnich 10 lat firmy starały się chronić swoje sieci poprzez stawianie zabezpieczeń na ich peryferiach. Działania te obejmowały zabezpieczenie styku z Internetem, ochronę punktów końcowych i centrów przetwarzania danych (w tym DMZ). Metoda ta, którą można nazwać zabezpieczaniem sieci od zewnątrz, opierała się na założeniu, iż kontrola ściśle określonych punktów dostępu do sieci wystarczy aby ochronić cenne dane. Strategia była następująca: zabezpieczyć brzeg sieci w najwyższym możliwym stopniu i wierzyć, że nic nie przedostanie się przez zaporę.
Obecnie, w miarę jak firmy rozwijają się i zaczynają korzystać z najnowszych trendów w IT, takich jak mobilność czy cloud computing, coraz trudniejsza staje się kontrola i ochrona tradycyjnych granic sieci. Można się teraz do niej dostać na wiele sposobów.
Jeszcze nie tak dawno dostawcy firewalli oznaczali porty swoich urządzeń jako „Zewnętrzne” (Niezaufane) i „Wewnętrzne” (Zaufane). Twórcy zaawansowanych zagrożeń wykorzystują to przeciwko nim: po przedostaniu się do sieci jest ona bowiem całkowicie otwarta i dostępna. Sieć wewnętrzna z reguły składa się z niezabezpieczonych urządzeń takich jak switche, routery czy nawet mosty. Zatem jeśli haker, kontrahent czy nawet niesubordynowany pracownik przedostanie się do środka, ma pełen dostęp do całej sieci firmowej i do wszystkich cennych aktywów.
Rozwiązaniem jest firewall nowej klasy: Internal Network Firewall (wewnętrzny firewall sieciowy – INFW), który kontroluje strategiczne punkty sieci lokalnej. Może on chronić konkretny serwer zawierający cenną własność intelektualną, grupę urządzeń użytkowników lub aplikację webową zlokalizowaną w chmurze.
54 www.fortinet.com
WHITE PAPER: PEŁNA OCHRONA WEWNĄTRZ SIECI – INTERNAL NETWORK FIREWALL (INFW) WHITE PAPER: PEŁNA OCHRONA WEWNĄTRZ SIECI – INTERNAL NETWORK FIREWALL (INFW)
Po instalacji wewnętrzny firewall ma zapewnić stałą widoczność ruchu płynącego przez konkretne urządzenie sieciowe. Co ważne, powinno to nastąpić natychmiast, bez potrzeby wielomiesięcznego planowania i wdrażania. Oczywiście oprócz zapewnienia widoczności Internal Firewall musi realizować także ochronę sieci, ponieważ wykrywanie zagrożeń to tylko jedna z funkcji tego rozwiązania. Analiza logów i alertów zajmuje tygodnie, a nawet miesiące, tymczasem wewnętrzny firewall ma zapewnić ochronę w czasie rzeczywistym opierając się na najnowszych aktualizacjach. Ponadto firewall INFW musi być na tyle elastyczny, by można go było zainstalować w każdym punkcie sieci lokalnej i zintegrować z innymi elementami infrastruktury zarządzając centralnie całym systemem bezpieczeństwa.Dodatkową widoczność i ochronę sieci mogą wzmocnić pozostałe rozwiązania bezpieczeństwa IT, takie jak brama poczty elektronicznej, brama dostępu do Internetu, firewalle brzegowe, firewalle w chmurze oraz rozwiązania ochrony punktów końcowych. Prócz tego Internal Network Firewall musi skalować się od niskich do dużych przepustowości, aby można było zastosować go w każdym punkcie sieci.
RYS 1. “CYKL ŻYCIA” ZAGROŻEŃ ZAAWANSOWANYCH
Zaawansowane zagrożenia wykorzystują niedoskonałości sieci lokalnych o płaskiej strukturze
Cyberprzestępcy stosują zaawansowane ataki ukierunkowane (ang. Advanced Persistent Threats, APT), których celem jest ominięcie tradycyjnych zabezpieczeń, a po przedostaniu się do sieci, uniknięcie wykrycia oraz umożliwienie wycieku cennych danych. Niewiele systemów jest w stanie wykrywać takie ataki i skutecznie przed nimi chronić.
Jak widać na rysunku 1 przedstawiającym cykl życia zagrożeń, po przełamaniu zabezpieczeń styku sieci z Internetem większość działań hakerów odbywa się w obrębie sieci lokalnej. Obejmują one dezaktywowanie oprogramowania antywirusowego opartego na agentach, pobranie instrukcji z serwera command and control botnetu, dalsze infekowanie systemów i wciąganie ich w sieć botnetu oraz wreszcie kradzież danych będących celem ataku.
Odpowiedź: nowy rodzaj firewalla – Internal Network Firewall (INFW) Rozwój zapór sieciowych w ostatniej dekadzie był skupiony głównie na obrzeżach sieci i jej styku z Internetem, zabezpieczeniu hosta, punktów końcowych, centrów przetwarzania danych (DMZ) lub chmury. Wszystko zaczęło się od urządzenia typu Stateful Firewall i ewoluowało do koncepcji systemów zintegrowanego zarządzania zagrożeniami (Unifed Threat Management, UTM) dla sieci rozproszonych, obejmujących nie tylko firewall, ale również moduł wykrywania włamań (IPS) oraz system antywirusowy. Kolejnym etapem był Next Generation Firewall (NGFW), który dodatkowo uzupełniono o system ochrony przed włamaniami (IDS) oraz kontrolę aplikacji na styku z Internetem. Obecnie, głównie z powodu zwiększenia prędkości przepływu danych, pojawiły się firewalle dedykowane do ochrony centów danych (Data Center Firewall – DCFW), które zapewniają przepustowość powyżej 100Gb/s. Wszystkie te firewalle mają jedną wspólną cechę: kontrolują ruch płynący do sieci z zewnątrz.
By zapewnić szybkie wdrożenie wewnątrz sieci oraz natychmiastową ochronę powstał firewall nowej klasy – Internal Network Firewall (INFW). Posiada on nieco inne właściwości niż firewall brzegowy. Różniceprzedstawione są na rys. 2.
RYS. 2 – RÓŻNICE POMIĘDZY POSZCZEGÓLNYMI TYPAMI FIREWALLI
Rolą INFW jest zapewnienie kompleksowej ochronyPodstawowym filarem ochrony sieci jest jej dobra widoczność. Zależy ona od poziomu wiedzy o pakietach danych przesyłanych w obrębie sieci. Jak wygląda strumień pakietów z konkretnej aplikacji, skąd pochodzi, dokąd jest przesyłany, a także jakie działania są podejmowane przez użytkowników (ściąganie danych, wysyłanie na serwer)?.
Równie ważnym elementem jest ochrona. Czy aplikacja, jej zawartość lub działanie są szkodliwe? Choć trudno to ustalić w odniesieniu do różnych rodzajów zawartości i typów aplikacji, stanowi to istotę działania wewnętrznego firewalla. Zdolność do wykrywania złośliwych plików, aplikacji czy czynności daje przedsiębiorstwu czas na reakcję i powstrzymanie ataku. Te elementy ochrony, by były skuteczne, muszą być realizowane przez jedno urządzenie.
Zarówno widoczność, jak i ochrona są mocno zależne od centralnego systemu wykrywania zagrożeń w czasie rzeczywistym. Należy zawsze zadać sobie pytanie: jak dobra jest widoczność i jak skuteczna ochrona? Czy system bezpieczeństwa radzi sobie z najnowszymi zagrożeniami? Dlatego wszystkie usługi w zakresie bezpieczeństwa powinny być stale testowane i oceniane przez niezależne organizacjecertyfikujące.
1 2
34
Sprzedaż
Tworzenie zagrożeńi rozpoznanie
Przemycenie zagrożenia Infekcja
Wyciekdanych Komunikacja
Poszukiwanie podatnościTworzenie e-maili wyłudzających informacjePersonalizacja złośliwego oprogramowania
WewnątrzNa zewnątrzInżynieria społecznaExploity typu Zero DayZłośliwe URLeZłośliwe aplikacje i inne
Ukrywanie się i rozprzestrzenianieRozbrojenie, uzyskanie dostępuKontakt z serwerem command & controlAktualizacja
Etap pakowania i szyfrowania
APP URL
Tryb rozmieszczania INFW NGFW DCFW UTM CCFW
Cel Widoczność i ochro-na dla segmentów wewnętrznych
Widoczność i ochrona przed zagrożeniami z zewnątrz oraz działa-niami w Internecie
Wysoka wydajność, ochrona sieci o niskiej latencji
Widoczność i ochrona przed zagrożeniami z zewnątrz oraz działa-niami użytkownika
Bezpieczeństwo sieci dla dostawców usług
Lokalizacja Warstwa dostępowa Brama internetowa Warstwa centralna/Bra-ma DC
Brama internetowa Różne
Tryb działania sieci Tryb Transparent Tryb NAT/Route Tryb NAT/Route Tryb NAT/Route Tryb NAT/Route
Wymagania sprzętowe Wyższa gęstość portów – ochrona większej liczby danych
Porty GbE i 10GbE Duża prędkość (GbE/10 GbE/40 GbE/100) i wysoka gęstość portu, przyspieszanie sprzę-towe
Wysoka gęstość por-tuGbE, zintegrowane połączenie bezprzewo-dowe oraz POE
Duża prędkość (GbE/10 GbE/40 GbE) i wysoka gę-stość portu, przyspie-szanie sprzętowe
Elementy zabezpiecza-jące
Firewall, IPS, ATP, Kontrola aplikacji
(oparte na użytkowni-ku) Firewall, VPN, IPS, Kontrola aplikacji
Firewall, ochrona DDoS Kompleksowa, z możliwością roz-szerzania; integracja klientów i urządzeń
Firewall, CGN, LTE i ochrona urządzeń mobilnych
Inne cechy Szybkie rozmieszcze-nie, praktycznie bez konfiguracji
Integracja z Advan-ced ThreatProtec-tion(ochroną przed zaawansowanymi zagrożeniami) (San-dbox)
Wysoka dostępność Różne opcje połączeń WAN, np. 3G4G
Wysoka dostępność
76 www.fortinet.com
WHITE PAPER: PEŁNA OCHRONA WEWNĄTRZ SIECI – INTERNAL NETWORK FIREWALL (INFW) WHITE PAPER: PEŁNA OCHRONA WEWNĄTRZ SIECI – INTERNAL NETWORK FIREWALL (INFW)
INFW ma za zadanie zapewnić łatwe wdrożenieWdrożenie i zarządzanie firewalla wewnętrznego powinno być łatwe. W IT oznacza to możliwość instalacji przy minimalnej konfiguracji oraz bez konieczności przebudowania istniejącej sieci.
INFW musi także być w stanie chronić różne rodzaje aktywów wewnętrznych znajdujących się w różnychczęściach sieci. Może to być zbiór serwerów zawierających cenne dane klientów lub grupa urządzeń końcowych, na których nie zainstalowano najnowszych rozwiązań ochrony.
Ponadto Internal Firewall musi być w stanie integrować się z innymi elementami systemu bezpieczeństwa w przedsiębiorstwie, które zapewniają dodatkową widoczność i ochronę. Może to być brama poczty elektronicznej, brama dostępu do Internetu, firewall brzegowy, firewall w chmurze czy też system ochrony punktów końcowych. Powinna istnieć możliwość centralnego zarządzania całością. Dzięki temu polityka bezpieczeństwa będzie spójna na brzegu i wewnątrz sieci, a nawet na zewnątrz – w chmurze.
Tradycyjne firewalle na ogół wdraża się w trybie routingu. Ich porty są skojarzone z adresami IP. Planowanie i wdrażanie zajmuje często całe miesiące. To cenny czas w dzisiejszym świecie błyskawicznych ataków cybernetycznych. Firewall wewnętrzny powinno dać się wdrożyć szybko i przy minimalnych przerwach w pracy. Proces ten musi być równie prosty jak włączenie urządzenia i połączenie go z siecią. Nie powinien zakłócać pracy sieci i działających w niej aplikacji.
INFW musi działać z prędkością łączaPonieważ wewnętrzne firewalle sieciowe wdraża się liniowo celem segmentacji sieci, muszą one wykazywać wysoką wydajność, by sprostać wymaganiom przepływu wewnętrznego i nie stać się wąskim gardłem w kluczowych punktach sieci. W przeciwieństwie do połączeń w sieci WAN lub Internecie o prędkości niższej niż 1 gigabit na sekundę, wewnętrzne sieci działają o wiele szybciej, z prędkością wielu gigabitów. INFW muszą więc działać z równie dużą prędkością, realizując przy tym głęboką inspekcję pakietów (Deep Packet Inspection – DPI) oraz połączeń bez spowalniania pracy sieci.
Wymagania techniczne INFW Elastyczność trybów pracyNiemal wszystkie tryby wdrożenia firewalla wymagają przydzielenia adresów IP i rekonfiguracji sieci. Pierwszy z nich, tak zwany Network Routing Mode, zapewnia widoczność przepływu danych oraz możliwość wykrywania i zapobiegania zagrożeniom. Tryb pasywnego nasłuchu (sniffer), łatwiejszy do konfiguracji, zapewnia widoczność, ale nie daje ochrony.
Tryb transparentny łączy zalety trybu routingu oraz trybu pasywnego nasłuchu – zapewnia łatwe wdrożenie i widoczność, a co ważniejsze, także ochronę. Różnice przedstawione są na rys. 3.
RYS. 3 –RÓŻNICE POMIĘDZY POSZCZEGÓLNYMI TYPAMI FIREWALLA
Skalowalna architektura sprzętowaPonieważ sieci wewnętrzne działają z dużo większą prędkością niż połączenia w Internecie, wewnętrzny firewall musi kontrolować ruch z wielogigabitową przepustowością. Mimo iż architektury oparte wyłącznie na procesorze głównym (CPU) są elastyczne, stają się wąskim gardłem gdy niezbędna jest duża przepustowość. Nadrzędna architektura sprzętowa firewalli INFW wciąż korzysta z procesorów CPU ze względu na ich elastyczność, ale łączy to z pracą dedykowanych procesorów ASIC przyspieszających przepływ danych w sieci oraz inspekcję zawartości.
Ponieważ INFW wdraża się w pobliżu danych i urządzeń, może zajść konieczność pracy w trudnych warunkach. Dostępność bardziej odpornego na wpływ otoczenia modelu jest zatem wskazana w przypadku tego rozwiązania.
Segmentacja sieci – zintegrowane przełączanie z dużą prędkościąJednym z aspektów trybu transparentnego, który wciąż ewoluuje, jest zdolność do fizycznego rozdzielania podsieci i serwerów za pomocą funkcji switcha. Na rynku pojawiają się firewalle z w pełni funkcjonalnymi, wbudowanymi w urządzenie przełącznikami. Nowe firewalle, z licznymi interfejsami 10GbE, stały się idealnym rozwiązaniem w centrach przetwarzania danych, dzięki którym serwery są fizycznie i wirtualnie zabezpieczone. Ponadto podobne firewalle z wbudowanymi switchami wyposażone w dużą ilość interfejsów 1GbE – są idealne do rozdzielania podsegmentów sieci LAN. Firewalle wewnętrzne powinny być w stanie pełnić obie te role, a zatem idealnie byłoby, gdyby posiadały w pełni funkcjonalne, zintegrowane możliwości przełączania.
Ochrona w czasie rzeczywistymWewnętrzne firewalle sieciowe muszą być w stanie zapewnić pełen zakres zaawansowanych usług bezpieczeństwa, w tym IPS, widoczność aplikacji, moduł antywirusowy, filtr antyspamowy oraz integrację z sandboxem opartym na chmurze, pozwalając na egzekwowanie polityk uzupełniających wobec standardowych firewalli brzegowych. Widoczność i ochrona w czasie rzeczywistym jest kwestią kluczową dla ograniczania rozprzestrzeniania się złośliwego oprogramowania w obrębie sieci.
Przykład rozmieszczenia firewalli INFW w całej sieciWiększość firm chroni peryferia sieci przy pomocy tradycyjnych firewalli, firewalli nowej generacji oraz rozwiązań UTM. Stanowi to wciąż kluczowy element ochrony sieci. By jednak wzmocnić ochronę, można wewnętrznie rozmieścić firewalle INFW w miejscach strategicznych. Może to
oznaczać konkretną grupę punktów końcowych, dla których aktualizacja zabezpieczeń jest kłopotliwa lub serwerów, na których przechowywana jest własność intelektualna.
Przykład rozmieszczenia segmentowego firewalli INFWFirewall wewnętrzny z reguły umieszcza się w warstwie dostępowej; jego zadaniem jest ochrona konkretnego zbioru aktywów. Początkowo wdraża się go w trybie transparentnym pomiędzy przełącznikami warstwy dystrybucyjnej i dostępowej. W dłuższym horyzoncie czasowym zintegrowane przełączanie może zastąpić oba rodzaje przełączników, a także zapewnić dodatkową fizyczną ochronę.
RYS. 5 – WDROŻENIE INTERNAL NETWORK FIREWALL (INFW)
WEWNĄTRZ CHMURA
WEWNĄTRZ
Centrum
P
rzetwarzania
Danych
WEWNĄTRZ
Pun
kty
końc
ow
eC
amp
us
INFW
INFW
FirewallBrzegowy(NGFW)
Data CenterFirewall(DCFW)
UnifiedThreatManagement(UTM)
INFW
INFW
Od
dzi
ał
INTERNET
WirtualnyNGFW
Aplikacje
RYS. 4 – WDROŻENIE INTERNAL NETWORK FIREWALL (INFW)
punkt styku z InternetemWARSTWA DYSTRYBUCYJNARDZENIA
WARSTWA DOSTĘPOWA
SERWERY LOKALNE URZĄDZENIA UŻYTKOWNIKÓW
Przełącznik dostępowy /VLAN
przełącznik rdzeniowy /dystrybucyjny
FortiGate wpięty w łącze za pomoca transparentnej pary portów Porty o dużej szybkośc IPS, ATP i kontrola aplikacji
Tryb wdrożenia
Trudność wdrożenia
Funkcje sieciowe
Wysoka dostęp-ność
Widocz-ność ruchu
Ochrona przed zagroże-niami
Routingu Wysoka Router L3 ü ü ü
Transparentny Niska Most L2 ü ü ü
Sniffer Niska û û ü û
WHITE PAPER: PEŁNA OCHRONA WEWNĄTRZ SIECI – INTERNAL NETWORK FIREWALL (INFW)
Zwiększanie ochrony przed zaawansowanymi zagrożeniami dzięki widoczności wewnątrz sieciWłaściwe podejście do neutralizowania zaawansowanych zagrożeń powinno obejmować nieprzerwany cyklZapobiegania, Wykrywania i Neutralizacji. Zasadniczo firewall nowej generacji stanowić będzie podstawę etapu Zapobiegania: realizuje funkcje firewalla warstw 2 i 3, zapobieganie włamaniom (IPS), kontrolę aplikacji i inne funkcje blokujące znane zagrożenia, a jednocześnie przekazywać będzie nieznane, podejrzane elementy do sandboxa na potrzeby etapu Wykrywania. Jeśli jednak NGFW zostanie tradycyjnie umieszczony na granicy sieci, zapewni to jedynie częściowy wgląd w „cykl życia” ataku, głównie poprzez obserwację działań wchodzących i wychodzących.
RYS. 5 – ETAPY OCHRONY PRZED ZAAWANSOWANYMI ZAGROŻENIAMI (ATP)
Wprowadzenie firewalla INFW może zapewnić większy wgląd w działalność hakerów wewnątrz sieci. W ruchu poziomym mogą ukrywać się podejrzane działania, gdyż hakerzy będą próbowali zidentyfikować cenne aktywa i pobrać dane. Dlatego też pełen wgląd w działania wewnętrzne oraz działania na peryferiach sieci zwiększa zasięg ochrony przed wszystkimi fazami ataków ATP. Ponieważ ruch w sieci wewnętrznej często jest kilkakrotnie intensywniejszy niż na styku z Internetem, INFW ma więcej okazji do ograniczenia rozprzestrzeniania się zagrożenia niż standardowe techniki; umożliwia też przekazanie większej liczby podejrzanych elementów do sandboxa celem dokładniejszej analizy.
Podsumowanie Zaawansowane zagrożenia wykorzystują niedoskonałości sieci lokalnej. Po przedostaniu się przez zabezpieczenia na styku z Internetem niewiele można zrobić, by powstrzymać rozprzestrzenianie się zagrożenia, które ostatecznie prowadzi do wycieku cennych danych. Ponieważ tradycyjne firewalle zostały zaprojektowane na potrzeby niższych prędkości, trudno jest rozmieścić te urządzenia zabezpieczające wewnątrz sieci. Ponadto konfiguracja sieciowa firewalla (przypisanie adresow IP) trwa bardzo długo.
Wewnętrzne firewalle sieciowe to nowa klasa zapór, które można wdrożyć szybko, przy minimalnych przerwach w pracy, dotrzymując kroku wielogigabitowym prędkościom sieci wewnętrznych. Natychmiastowa widoczność i ochrona może być stosowana dla konkretnych fragmentów sieci lokalnej.
April 16, 2015
Wynik: przekazanie podejrzanych elementów
Wynik: raporty
i statystyki
Wynik: zapewnienie
stałej ochrony i aktualizacji
Copyright © 2015 Fortinet, Inc. All rights reserved. Fortinet®, FortiGate®, FortiCare® and FortiGuard®, and certain other marks are registered trademarks of Fortinet, Inc., and other Fortinet names herein may also be registered and/or common law trademarks of Fortinet. All other product or company names may be trademarks of their respective owners. Performance and other metrics contained herein were attained in internal lab tests under ideal conditions, and actual performance and other resultsmay vary. Network variables, different network environments and other conditions may affect performance results. Nothing herein represents any binding commitment by Fortinet, and Fortinet disclaims all warranties, whether express or implied, except to the extent Fortinet enters a binding written contract, signed by Fortinet’s General Counsel, with a purchaser that expressly warrants that the identified product will perform according to certain expressly-identified performance metrics and, in such event, only the specific performance metrics expressly identified in such binding written contract shall be binding on Fortinet. For absolute clarity, any such warranty will be limited to performance in the same ideal conditions as in Fortinet’s internal lab tests. Fortinet disclaims in full any covenants, representations,and guarantees pursuant hereto, whether express or implied. Fortinet reserves the right to change, modify, transfer, or otherwise revise this publication without notice, and the most current version of the publication shall be applicable.
GLOBAL HEADQUARTERSFortinet Inc.899 Kifer RoadSunnyvale, CA 94086United StatesTel: +1.408.235.7700www.fortinet.com/sales
EMEA SALES OFFICE120 rue Albert Caquot06560, Sophia Antipolis, FranceTel: +33.4.8987.0510
APAC SALES OFFICE300 Beach Road 20-01The ConcourseSingapore 199555Tel: +65.6513.3730
LATIN AMERICA SALES OFFICEProl. Paseo de la Reforma 115 Int. 702Col. Lomas de Santa Fe,C.P. 01219 Del. Alvaro ObregónMéxico D.F.Tel: 011-52-(55) 5524-8480
