Критерии выбора межсетевого экрана обычно делятся на три основные области:
В отношении производительности все просто: способен ли межсетевой экран выполнить возложенные на него функции, обеспечив нужную для предприятия пропускную способность?
Несмотря на то, что каждая организация будет выдвигать свои требования и приоритеты среди трех критериев выбора, можно четко сформулировать 10 обязательных функций межсетевого экрана нового поколения:
- функции безопасности,
- удобство управления,
- производительность.
В отношении производительности все просто: способен ли межсетевой экран выполнить возложенные на него функции, обеспечив нужную для предприятия пропускную способность?
Несмотря на то, что каждая организация будет выдвигать свои требования и приоритеты среди трех критериев выбора, можно четко сформулировать 10 обязательных функций межсетевого экрана нового поколения:
- Идентификация и контроль приложений по любому порту
- Идентификация и контроль попыток обхода защиты
- Расшифрование исходящего SSL и управляющего SSH трафика
- Контроль функций приложений и их подприложений
- Управление неизвестным трафиком
- Сканирование с целью выявления вирусов и вредоносных программ во всех приложениях, по всем портам
- Обеспечение одинакового уровня визуализации и контроля приложений для всех пользователей и устройств
- Упрощение, а не усложнение системы безопасности сети благодаря добавлению функции контроля приложений
- Обеспечение той же пропускной способности и производительности при полностью включенной системе безопасности приложений
- Поддержка абсолютно одинаковых функций межсетевого экрана как в аппаратном, так и виртуальном форм-факторе
1. Ваш новый межсетевой экран должен обеспечивать постоянную идентификацию и управление приложениями на всех портах.
Реальный
пример. Разработчики приложений больше не следуют методологии разработки
приложений, основанных на использовании стандартных портов и протоколов. Все
большее число приложений может работать через нестандартные порты или переключаться
между портами (например, приложения мгновенного обмена сообщениями, пирингового
обмена файлами или VoIP: Skype, Bittorent, H.248, Lync, Aim и т.д.). Кроме того,все большее число пользователей умеет направлять работу приложений через
нестандартные порты (например, RDP, SSH). Чтобы внедрить
политики межсетевого экрана для конкретных приложений, которые все чаще
работают без привязки к портам, ваш новый межсетевой экран должен быть готов к
тому, что каждое приложение может работать с любым портом. Концепция поддержки
любого приложения, работающего на любом порте, является одним из
фундаментальных изменений в работе приложений, которое заставляет переходить от
межсетевых экранов, контролирующих трафик через определенные порты, к
межсетевым экранам нового поколения. Принцип поддержки любого приложения,
работающего по любому порту, еще раз показывает, что негативная модель
управления (разрешение по умолчанию) не позволяет решить проблему. Если
приложение может переключаться на любой порт, то в случае использования
продукта, основанного на негативном управлении, он должен либо заблаговременно
получить необходимую информацию, либо постоянно отслеживать все сигнатуры по
всем портам. Иначе он пропускает и не видит атаки, поскольку по умолчанию
пропускает все, что не знает. Позитивная модель (блокирование по умолчанию)
подразумевают классификацию всего трафика, тогда как негативная модель (разрешение
по умолчанию) подразумевают классификацию только определенного трафика и
пропуск неизвестного.
Требования. Требование простое —
необходимо исходить из того, что каждое приложение может работать по любому
порту, поэтому ваш новый межсетевой экран по умолчанию должен постоянно
классифицировать трафик по приложению по всем портам. Это требование нужно
предъявлять ко всем современным средствам защиты. Проблема классификации
трафика по всем портам будет снова возникать при обсуждении всех оставшихся
требований. В противном случае мы по-прежнему будем наблюдать обход средств контроля
на основе портов с помощью все тех же приемов, которые существуют много лет:
хакер перемещает приложение на другой порт и сетевое средство защиты перестает
его видеть. С этим пора разобраться в вашей сети.
Управлением приложениями на одном IP и порту. C появлением облачных технологий, все больше приложений стало работать на одном и том же сервере, то есть трафик разных совершенно приложений направляется на один и тот же IP адрес и 80 или 443 порт и с него. На одном сервере находится сотня разных приложений, они принимают и отправляют файлы и сотрудникам ИБ нужно управлять этими файлами и приложениями. Что делать? Ведь простой межсетевой экран не может отличить эти приложения друг от друга, у него нет такого критерия в правиле: приложение? На помощь приходят межсетевые экраны нового поколения, которые уже имеют такой критерий, поскольку отличают приложения по передаваемому контенту или по заголовкам HTTP запросов и могут внутри сессии видеть файлы и управлять ими: блокировать различные типы файлов опять же по его содержимому, например проверять там вирусы, эксплойты, утечки конфиденциальных данных.
Проверка механизма управления приложениями. Если вы хотите проверить умеет ли ваш межсетевой экран работать с приложениями, пройдите простой тест: настройте два правила для управления двумя приложениями на этом портале: http://basic.ngfw-test.com/ В трафике первого приложения нужно заблокировать только передачу PDF файлов, во втором только передачу вирусов, то есть две разных операции два двух приложений на одном и том же сервере, но никак не одновременно.
Пример приложений в сети
Комментарий из жизни: в реальных продуктах идентификация и управление приложениями - это три разных операции: определять приложения, блокировать приложения и безопасно разрешать приложения. Бывает, что производитель может верно определять конкретное приложение, но может не уметь его блокировать. Современные приложения настроены работать, для того, чтобы обходить блокировки, то есть если вы его заблокировали одним способом, то приложение начинает пользоваться вторым, третьим и так далее, пока вообще есть хоть один вариант - современные приложения очень инвазивны. Это говорит о том, что блокировка приложений должна тщательно проверяться при тестировании. Определение приложения - это всего лишь начало пути. Если вы разрешили приложение, но не проверили его контент, то это опять же небезопасно, поэтому для безопасного разрешения нужно еще проверить контент, например, сигнатурами IPS, антивируса, ant-spyware, DLP и другими. Также трафик браузеров часто сверяют с категориями URL, по которым ходят сотрудники и автоматизированные приложения.
Управлением приложениями на одном IP и порту. C появлением облачных технологий, все больше приложений стало работать на одном и том же сервере, то есть трафик разных совершенно приложений направляется на один и тот же IP адрес и 80 или 443 порт и с него. На одном сервере находится сотня разных приложений, они принимают и отправляют файлы и сотрудникам ИБ нужно управлять этими файлами и приложениями. Что делать? Ведь простой межсетевой экран не может отличить эти приложения друг от друга, у него нет такого критерия в правиле: приложение? На помощь приходят межсетевые экраны нового поколения, которые уже имеют такой критерий, поскольку отличают приложения по передаваемому контенту или по заголовкам HTTP запросов и могут внутри сессии видеть файлы и управлять ими: блокировать различные типы файлов опять же по его содержимому, например проверять там вирусы, эксплойты, утечки конфиденциальных данных.
Проверка механизма управления приложениями. Если вы хотите проверить умеет ли ваш межсетевой экран работать с приложениями, пройдите простой тест: настройте два правила для управления двумя приложениями на этом портале: http://basic.ngfw-test.com/ В трафике первого приложения нужно заблокировать только передачу PDF файлов, во втором только передачу вирусов, то есть две разных операции два двух приложений на одном и том же сервере, но никак не одновременно.
Пример приложений в сети