Artykuł Dlaczego kontrola aplikacji to za mało? pochodzi z serwisu CRN.
]]>Tak właśnie wygląda zasada działania niektórych systemów Next Generation Firewall w ich domyślnej konfiguracji, nazywanych też firewallami aplikacyjnymi (nie mylić z rozwiązaniami typu Web Application Firewall, które z założenia stosowane są do ochrony aplikacji). Urządzenie takie koreluje określone parametry sesji z konkretną aplikacją i na tej podstawie zapamiętuje sesję jako bezpieczną bądź nie. Każde kolejne połączenie pasujące do wzorca zostaje zaklasyfikowane zgodnie z zapisaną wcześniej informacją dotyczącą bezpieczeństwa, bez przeprowadzania ponownej analizy pakietów. Mechanizm ten, choć szybki, stanowi poważną lukę w zabezpieczeniach. Wiedzą o tym grupy cyberprzestępców, którzy dokonują zorganizowanych ataków celowanych.
Ochrona każdego połączenia
Rozwiązania wykorzystujące metodę stateful inspection analizują komunikację w odniesieniu do każdego realizowanego właśnie połączenia. Sprawdzają, czy jest ono poprawne, monitorując jego stan oraz gromadząc informacje o nim w tablicy stanu sesji. Weryfikowane są nie tylko informacje z nagłówka pakietu, ale również jego zawartość (do warstwy aplikacyjnej włącznie) w celu zdefiniowania kontekstu dla połączenia. Stanowi on następnie podstawę analizy całej komunikacji w ramach sesji.
Załóżmy, że przez urządzenie realizowana jest sesja, w ramach której zestawiane są różne kanały komunikacyjne. System analizuje nawiązywane połączenie, weryfikuje negocjowane parametry oraz automatycznie otwiera wymagane porty dla komunikacji w jednym i drugim kierunku. Nie jest wymagane definiowanie reguł przepuszczania pakietów w obu kierunkach.
Wyniki analizy stosowanych obecnie technik zabezpieczeń wykazują, że metoda stateful inspection nadal stanowi podstawę rozwiązań wielofunkcyjnych, w których jako główny element wykorzystywany jest moduł firewall. Na wstępie dokonywana jest analiza stanu sesji oraz rozpoznanie wszystkich nowych połączeń. Dopiero po takiej analizie system bada, co jest przedmiotem komunikacji sieciowej. Przykładowo, rozpoznaje aplikacje sieciowe, sprawdza, czy w realizowanej komunikacji jest obecny złośliwy kod, i przeprowadza inne analizy.
Interfejs to nie wszystko
Analizując ofertę systemów zabezpieczeń, warto sprawdzić, jakie mechanizmy leżą u podstawy ich działania. Czy potrafią rozpoznawać wszystkie nowe połączenia i za każdym razem przeprowadzać ich niezależną weryfikację? Jeżeli analiza stateful inspection nie jest domyślnym trybem pracy urządzenia, warto się dowiedzieć, jak jej włączenie wpływa na wydajność systemu. Ta informacja jest często pomijana w marketingowych opracowaniach dostawców rozwiązań.
Dodatkowe informacje:
Agnieszka Szarek,
CHANNEL MANAGER, FORTINET,
Artykuł powstał we współpracy z firmami Fortinet i Veracomp.
Artykuł Dlaczego kontrola aplikacji to za mało? pochodzi z serwisu CRN.
]]>