19
נוב
09

הדור הבא של פיירוול

כמה שזה יישמע מצחיק, אחד ממוצרי אבטחת המידע המסורתיים הכי ותיקים, ה – Firewall, נשאר מאחור. הוא כבר לא מספק את הסחורה. ולא משנה מאיזה חברה. הוא אומנם ממשיך לעשות את עבודתו נאמנה והוא כנראה המוצר השני שמכניסים לארגון (הראשון זה כנראה אנטי וירוס), אבל העובדה שהוא כמעט ולא התפתח ביכולות שלו בזמן שהטכנולוגיה קפצה רחוק, גורמת לו למחשבות על הפנסיה המתקרבת.

על מה אני מקשקש? קחו את התרחיש הבא ותבינו איזה חורים יש בו.

פעם, גלשת בדפדפן וקראת אתרים בפרוטוקול HTTP על TCP Port 80. תעבורת הרשת היחידה שרצה על פורט 80 היתה HTTP. אז יכולת לחסום ב – Firewall כל פורט נכנס או יוצא, ולפתוח רק את פורט 80. עכשיו היית מוגן.

היום, המון דברים רצים על פורט 80. הרבה אפליקציות שפעם נחסמו בגלל ה – Firewall, רצות היום על פורט 80. איזה אפליקציות תשאלו? תוכנות צ'אטים, שיתוף קבצים, Skype, השתלטות על מחשבים מרחוק ועוד רבים. השרטוט הבא מציג את מה שקורה היום. 

ng-firewalls.jpg

רגע, לא פתחנו את פורט 80 פנימה או החוצה? מה עושים?

לפני שאציג את התשובה, בואו נראה עוד בעיות שרצות ברשת הפנימית ו – Firewall אף פעם לא ידע לתת להן מענה. מיילים שעוברים בין משתמשים בתוך הארגון לא נבדקים באנטי וירוס הרשתי (שממוקם לרוב בכניסה לרשת). כלומר, המחשבים תלויים בעדכניות של תוכנת האנטי וירוס על התחנות שלהם (אם בכלל תוכנה כזו רצה). עכשיו, מה קורה אם איכשהו נכנס וירוס לרשת והמייל המכיל את הוירוס הזה מופץ בין מאות עובדים?

כאן נכנס הדור הבא של משפחת הפיירוולים. היכולות החדשות מאפשרות ל – Firewall להיות ערים לסוגי האפליקציה שרצות (Application Aware) ולא לעבוד לפי מספר הפורט. גם אם יש 5 אפליקציות שרצות על פורט 80, ניתן יהיה לזהות את האפליקציות השונות. עכשיו ניתן לחסום או לפתוח גישה לפי אפליקציה ולא לפי מספר פורט. למשל, לאפשר רק HTML ולחסום eMule, Webex. זה גם יאפשר להוריד את המיקוד על מה מותקן בתחנת המשתמש, כיוון שאם חוסמים את האפליקציה (ולא רק את הפורט) ב – Firewall, אותן התקנות אסורות פשוט לא יעבדו למשתמש.

יותר מזה, הסוג החדש של ה – Firewall, מספק לרוב יכולות נוספות כגון זיהוי וחסימת Malware בתעבורת רשת (בניגוד לקבצים שנשלחים לשרת אנטי וירוס ייעודי), ואפילו חסימת אתרים לעובדים עפ"י קטגוריות שונות. כמו כן, ניתן לספק רוחבי פס משתנים בהתאם לאפליקציות. למשל, רוחב פס נמוך לגלישה פרטית לאינטרנט, אבל רוחב פס רחב לאפליקציות עסקיות ידועות לארגון. 

מודעות פרסומת

8 Responses to “הדור הבא של פיירוול”


  1. 1 Nadav H
    19/11/2009 ב- 10:36

    יש היום פתרונות יעודיים לדברים הללו,
    למשל eSafe של אלאדין (לשעבר)
    או Blue Coat שהרבה יותר גמישה (ומצד שני יותר מורכבת לתפעול).

    המוצר של אלאדין למשל מגיע עם רשימת אפליקציות/פרוטוקולים די גדולה, ובלחיצת כפתור אפשר לחסום את כל כלי השליטה מרחוק (Team Viewer ודומיו), לחסום מוצרי צ'ט למינהם וכו'..

    לא מעט אירגונים למשל חוסמים עם המוצר הזה וידאו, החסימה היא רק כלפי הוידאו ולא כל האתר,
    ז"א שאפשר לגלוש לYNET אבל אי אפשר לצפות בסרטונים.

  2. 19/11/2009 ב- 19:23

    מוצרים כאלה מספקים (אולי) יכולת זיהוי ברמת האפליקציה, ולא הפורט. אבל צריך לזכור שהם יושבים ב – Gateway.
    כלומר, הם לא רואים מה קורה בתוך הרשת. למשל, תפיסת וירוסים במיילים בין מחשבים פנימיים. או זיהוי אפליקציות שרצות בין רשתות פנימיות.

  3. 19/11/2009 ב- 23:53

    אבל בוא נדבר על הזרימה הטבעית של רשת של חברה. איך אתה מצפה שברמת הפורטים הfirewall יצליח לעזור לכל המערכות בארגון את התנועה המסוכנת?
    firewall קלאסי הוא מוצר נפרד היושב על applience ותפקידו לחסום תעבורה יוצאת ונכנסת.
    הדרכים היחידות שבהם אני רואה כיצד יגן גם בתוך הארגון הם:
    1. שינוי תצורתי בו הfirewall מתפקד כbackbone של כל העסק (אולי בחברה ממש קטנה, אבל שנעבור את ה20 אנשים זה כבר יכול להוות בעייה).
    2. שימוש בfirewall אפליקטיבי אשר מסונכרן באופן מלא בין כל תחנות הקצה.
    3. הרצה של תחנות הקצה וכל תעבורה של שרת כזה או אחר ישירות לfirewall ויצירת תעבורה גדולה יותר בתוך הרשת (במקום ללכת לשכן הקרוב דרך סוויצ'ים)
    מהי המתודולוגיה שלך לזה?

  4. 20/11/2009 ב- 10:07

    לא בטוח שניתן להגן על כל תעבורת הרשת. ראשית, צריך למפות את אזורי הסיכון. מוצרים כאלה יכולים להחליף את ה – Firewall המסורתי או לשבת מתחתיו – כלומר בין ה – FW המסורתי לרשת הפנימית.
    אני לא יודע איך כל מוצר כזה עובד. יש כאלה שלא חייבים לשבת In-Line, אלא עובדים ב – Port Mirror ולמרות שהם רק מאזינים לתעבורה ולא יושבים כ – Bridge, הם יודעים לחסום דברים אסורים (אולי שולחים Reset) למחשב הבעייתי.
    מטרת הפוסט הזה הי להציג את חוסר היכולת של FW מסורתי ואת היכולות של הדור הבא.

  5. 5 רונן
    23/11/2009 ב- 0:17

    שלום לך CISO ,כיף לראות שאתה מעדכן את הבלוג.
    בהתייחס לפוסט שלך:
    1.אני מסכים כי שום FW אינו מספק את הסחורה וכי אין פתרונות קסם אך קיימות תמיד "חבילות משלימות" קרי מוצרים יעודיים אשר ציינו פה.
    2.אינני חושב כי "הפנסיה של ה-FW מתקרבת" (בטח שלא FW מהדור השלישי(Stateful firewall או Next-Generation firewall ) כפי שצויין שכן כיום נוטים לפנות לפתרונות אבטחה מאוחדים (UTM).
    3.בהתייחס לסוגית האבטחה הראשונה אשר ציינת-ללא ספק עקב השימוש בפורט 80 באפליקציות רבות האיום הולך וגובר אך לצערי מנהלי אבטחה\רשתות לא באמת מבצעים את הכל כדי למנוע תקריות אבטחה(security incident).
    נתחיל מזה-למה שמשתמשים יתקינו Skype ?מהי האם קיימת מדניות אבטחה?האם ל-CISO קיים גיבוי מההנהלה ומהדריקטריון?עד כמה הארגון משקיע בחינוך ובהסברה למשתמשים?איך אפליקצית P2P\IM\כל אפליקציה המהווה סיכון בהגדרתה מגיעה בכלל לתחנת הקצה?
    זה מחזיר אותי לפוסט הקודם שלך בנוגע לאכיפת מדניות האבטחה-אני לא חושב שלהאשים את התישנות ה-FW זה צודק ונכון.
    גם לסוגיה הזו לא חסרים פתרונות החל מפתרונות HIDS/NIDS ,IPS ,שימוש בשרתי Proxy,שימוש במערכת SEIM/SOC ,שימוש במערכת NAC\NAP ,פתרונות ,Integrityוכן פתרונות Auditing אחרים.
    אגב ,בתחום ה-FWמנגנון ה-Smart Defence של צ'קפוינט למשל מבצע עבודה לא רעה אשר מקלים על חייו של ה-CISO בארגון או מנהל הרשת.
    הפחד הגדול בשימוש בתוכנות הנ"ל זה כאשר הם עושים שימוש בפרוטוקול SSH\SSL או שהשמתמשים עושים שימוש ב-Port knocking ,כאן באמת אנחנו בבעיה די רצינית(שימוש ב-Auditing כבר אמרתי?)
    4.לגבי סוגית סריקות המיילים בארגון-אני לא מבין מי לא מתקין Antivirus יעודי על שרת הדואר הארגוני אשר סורק את תוכן ההודעה(content inspection) ולא משפצר את ה-Filters בשרת עצמו.
    עם כל הכבוד -Firewall לא אמור לבצע את העבודה הזו.
    לגבי חסימת אפליקציות בהנחה שמדובר ברשת MS ניתן להשתמש ב-Software Restriction Policies או באפליקציה צד שלישי שעובדת על עקרון של-White list כדוגמת Faronics Anti-Executable :
    http://www.faronics.com/html/antiexec.asp
    ובכלל, אין שום סיבה שמתמש יהיה בעל Local Administrator Privileges .
    5.בנוגע ל-Malware צריך להתייחס לאיום כאיום בפני עצמו ולשים דגש במתן פתרון הולם.
    לפינג'אן הישראלית יש פתרון הולם הסורק את המידע הן בערוצי SMTP והן בערוצי HTTP .
    לסיכום,אני לא מכיר יותר מידי Enterprise FW מהדור הראשון אלא יותר Personal FW שעובדים בשיטה שציינת.
    אני חייב לציין כי הדגשת בצורה יפה את חוסר היכולת של ה- FW המסורתי ואת היכולות של הדור הבא אך על פניו נראה כי אתה דורש יותר מידי מה-FW הבסיסיי.
    הייתי שמח אם בהמשך לפוסט הנוכחי תחווה דעתך על הקונספט של מוצרים מבוססי UTM.

  6. 23/11/2009 ב- 9:29

    שלום רונן, ראשית תודה על התגובה המפורטת והארוכה.
    התיחסות לכמה נקודות:
    2) לא באמת התכוונתי לפנסיה. מצד שני, אבטחת מידע היום זה כבר לא רק Firewall מסורתי.
    3) לצערי אין כבוד בארץ למדיניות, שלא לדבר על ציות. הייתי עד בחו"ל לשני עובדים שהגיעו על הבוקר למשרד וחיכה להם השומר שליווה אותם החוצה (מהמשרד) על הפרת מדיניות ערב קודם. בארץ זה לא קורה.
    ושים לב כמה מוצרים ציינת – הכל בשביל לאכוף את מדיניות החברה. כמה משאבים צריך להשקיע.
    4) ישנם לא מעט אנשי פיתוח שצריכים הרשאות אדמין מקומי, שלא לדבר על אנשי תשתיות.

    אני אבדוק עם עצמי 🙂 את האפשרות לכתוב על UTM. לכתוב כזה פוסט מצריך הרבה זמן שלצערי אף מוצר בשוק לא מספק…

  7. 7 רונן
    25/11/2009 ב- 0:02

    לילה טוב CISO יקר.
    אני מסכים עם כל מילה שכתבת.
    אצלנו בארגון נוטים בפעם הראשונה(בהנחה שלא נגרם נזק) לכתוב מכתב אזהרה עם העתק לתיק האישי-בד"כ זה עובד.
    ניתן גם (בעזרת יעוץ משפטי והחתמה על חוזה מראש) לדעתי לקנוס עובד ביום עבודה או משהו בסגנון על הפרת מדיניות-האמן לי שמה שפוגע בכיס הוא הכי כואב.
    בנוגע לכלים ולמשאבים אתה אכן צודק.
    לצורך אכיפת מדניות כיום צריך משאב(מערכת ניטור מסוכ כלשהי ) עבור כל פסיק.
    לנו למשל ישנה מערכת שמתריאה על כל שינוי בשרת Active Directory ברמת Atribute ועוד שלל מערכות יעודיות .
    בסופו של דבר הכל מתממשק למערכת SEIM/SOC
    ואבטחת המידע מסתפקת בסכומי עתק.
    אבל מה לעשות?לא משנה עד כמה המשתמשים שלי מחונכים או לא אני לעולם אבל לעולם לא אסמוך עליהם(לא בכל מקום מתאפשר ביצוע בדיקות פוליגף תקופתיות וכו'-אין לזה פשוט גבול).

    לגבי אנשי תשתיות\פיתוח -תמיד אפשר ליצור להם סביבה נפרדת מהפרודקשין.
    אני מאמין שתמיד ניתן למצוא איזשהו איזון .
    לצערי בארץ ממה שראיתי (ולא ראיתי הרבה יחסית כי אין לי נסיון ממשי) זה נדיר שמישהו מבצע הפרסה פיזית\לוגית ברשתות(קרי VLAN , חד כיווניtrust ,הגנה באמצעות FW ועוד).
    יהיה נחמד לערוך השוואה(אפילו ברמת data sheet מה כל מוצר נותן) בסוגית ה-UTM .
    בכל אופן אני מאוד נהנה מסגנון הכתיבה שלך ומהידע שאני רוכש דרך הפוסטים שלך.

  8. 8 רונן
    25/11/2009 ב- 0:09

    הפרסה =הפרדה*
    מסוכ=מסוג*
    אני מתנצל על שגיאות הכתיב הנ"ל נובע מכתיבה מהירה ומיום ארוך ומפרך.
    בכל אופן יהיה נחמד אם תוסיף אופצית עריכה.

    רונן


להשאיר תגובה

הזינו את פרטיכם בטופס, או לחצו על אחד מהאייקונים כדי להשתמש בחשבון קיים:

הלוגו של WordPress.com

אתה מגיב באמצעות חשבון WordPress.com שלך. לצאת מהמערכת / לשנות )

תמונת Twitter

אתה מגיב באמצעות חשבון Twitter שלך. לצאת מהמערכת / לשנות )

תמונת Facebook

אתה מגיב באמצעות חשבון Facebook שלך. לצאת מהמערכת / לשנות )

תמונת גוגל פלוס

אתה מגיב באמצעות חשבון Google+ שלך. לצאת מהמערכת / לשנות )

מתחבר ל-%s


נובמבר 2009
א ב ג ד ה ו ש
« אוק   דצמ »
1234567
891011121314
15161718192021
22232425262728
2930  

%d בלוגרים אהבו את זה: