Firewall drogi a satysfakcji za grosz – rzecz o skalowaniu i konfiguracji

Nim upowszechniły się firewalle klasy next generation, na styku sieci lokalnej i Internetu królowały najczęściej routery operatorskie a poszczególne segmenty sieci lokalnej (o ile segmentacja w ogóle występowała) chroniły nieskomplikowane firewalle. Zapewnienie aktywnej ochrony ograniczano do stosowania oprogramowania antymalware na komputerach i serwerach. Zwłaszcza w czasach przed popularyzacją ataków ransomware (przed 2013 rokiem) tego typu ochrona przed zagrożeniami z zewnątrz (oraz wewnątrz) była – powiedzmy – wystarczająca. Nikt też wówczas nie słyszał o RODO i konsekwencjach powstających z naruszenia jego zapisów. Odpowiednio zorganizowany system kopii zapasowej wystarczał, żeby administratorzy mogli spać względnie spokojnie. Współcześnie jednak, wiele rzeczy się zmieniło. Podobnie jak rzeczywistość sprzed pandemii koronawirusa, tak żywot przeciętnej osoby odpowiedzialnej za bezpieczeństwo IT zmienił się nie do poznania. Od kilku lat jesteśmy świadkami prawdziwego wyścigu zbrojeń pomiędzy hackerami a producentami rozwiązań klasy security. Jest to wyścig sensu stricte – żadna ze stron nie robi sobie choćby chwili przerwy w doskonaleniu technik ataków i obrony. Te dwie strony konfliktu mają wspólny mianownik: Ciebie Czytelniku oraz być albo nie być firmy czy organizacji, której jesteś właścicielem, którą zarządzasz, lub w której pracujesz jako osoba odpowiedzialna za infrastrukturę informatyczną.

Pamiętasz, kiedy to było? Kilka lat temu? Dwa lata? Kilka miesięcy? A może dopiero teraz myśl ta zaświtała w Twojej głowie? Firewalle klasy next generation stały się obiektem Twoich zainteresowań. Posiadanie tego urządzenia w swojej infrastrukturze zagwarantowałby Ci nowy, dotąd niestosowany poziom ochrony przed bezustannie zmieniającymi się zagrożeniami. To rozwiązanie, które ewoluuje wraz z biegiem czasu. Minimalnie angażując Twój czas, nadąża za współczesnością. Ty już nie musisz, wystarczy, że kupisz takie urządzenie z odpowiednimi subskrypcjami i je wdrożysz – czy to sam, czy z pomocą integratora. No właśnie…

Jak wyglądają etapy zakupu takiego rozwiązania? Rozpoczynasz od wytypowania faworyta w kategorii „Producent”. Problem w tym, że w chwili obecnej rozwiązania tej klasy zdążyły się już na tyle upowszechnić, że widać tutaj doskonale zależność znaną nam z innych dylematów zakupowych: za 60 tysięcy złotych kupimy na przykład tak samo wyposażonego oraz dużego hatchbacka kilku różnych producentów, różnicę pozostawiając w sferze designu samochodu, jego przyszłego serwisu oraz kilku nieistotnych z punktu widzenia inwestycji szczegółów. Księgowi wiodących producentów branży IT security zdążyli przygotować ten sam schemat cenników i teraz dysponując określoną kwotą możesz nabyć firewalla producenta X o tej samej wydajności i bardzo zbliżonej funkcjonalności, co producenta Y. Warto w takiej sytuacji zapoznać się ze szczegółami możliwości każdego z nich, korzystając z wiedzy i doświadczenia certyfikowanych inżynierów na co dzień zajmujących się wdrażaniem tego typu urządzeń. Konsultacje są niezobowiązujące i pozwalają na wypunktowanie słabych i mocnych stron.

Drugim etapem jest skalowanie rozwiązania celem dostosowania go do infrastruktury i jest to moment, w którym wielu inwestorów często całkowicie bezzasadnie przepłaca. Model firewalla dobiera się do wielkości i rodzaju infrastruktury oraz ilości i charakterystyki funkcjonujących w niej usług. Godną krytyki praktyką wielu nierzetelnych partnerów handlowych czy integratorów jest takie umotywowanie oferty sprzedaży, żeby sprzedać jak największe rozwiązanie, często przeskalowane, którego możliwości nigdy nie będą wykorzystane. Zwykle w parze ze zbyt silnym urządzeniem idzie oferta na wdrożenie – to jednak jest zaledwie minimalne, polegające jedynie na integracji firewalla ze środowiskiem sieciowym klienta i ewentualnym zastosowaniu jakichś (dalekich od doskonałości) polityk zabezpieczających. Celem oczywiście jest łatwy zarobek: duży zysk niskim nakładem pracy. Efekty paradoksalnie są często zadowalające dla inwestora, który żyje w przekonaniu, że jego sieć, serwery oraz użytkowników chroni potężne, bezkonkurencyjne rozwiązanie. Tak naprawdę jedyne co zyskał, to fałszywe przekonanie, że od tej chwili „jest już bezpiecznie”.

Zasadniczo problem ten może ujrzeć światło dzienne także post factum, gdy wdrożenie zostało wykonane, ale inwestor chciałby dodatkowo zweryfikować obecny stan rzeczy przy pomocy niezależnego audytora. Wprawne oko eksperta szybko znajdzie w konfiguracji urządzenia ślady znikomego wysiłku podjętego przez inżyniera wdrażającego firewall „po kosztach, na szybko”. Jako inżynierowie firmy VOL, posiadamy doświadczenie zarówno jako wdrożeniowcy, jak i audytorzy tego typu rozwiązań. W zdecydowanej większości wypadków już kilkunastominutowe, pobieżne sprawdzenie konfiguracji poszczególnych mechanizmów bezpieczeństwa wchodzących w skład urządzenia klasy firewall next generation ujawnia – często rażące – braki bądź nieprawidłowości w ich konfiguracji. Wnioski płynące z takich audytów często ograniczają się do smutnego podsumowania mówiącego, jak bardzo dużo zostało jeszcze do zrobienia, by urządzenie tej klasy zaczęło spełniać swoją pierwotną funkcję.

Spośród najczęściej spotykanych nieprawidłowości najczęściej w oczy rzucają się: nieoptymalnie dobrane zestawy sygnatur sondy IPS (które najczęściej są przyczyną znacznego zużywania mocy procesora urządzenia), brak stosowania blokad geograficznych, niedbale dobrane zestawy filtrów WEB oraz aplikacji, zła organizacja reguł zarówno w dostępie sieci lokalnych do Internetu, jak i pomiędzy segmentami sieci lokalnej. Częstym zaniedbaniem jest także zaniechanie skanowania ruchu szyfrowanego, co doskonale podkreśla fakt albo braku znajomości zagadnienia przez osobę wdrażającą, albo znacznych oszczędności poczynionych na etapie tworzenia oferty na wdrożenie systemu.

Prawdą jest – i staramy się to udowadniać w codziennej naszej pracy – że odpowiednia konfiguracja firewalli, czyli rzetelny, przemyślany dobór sygnatur, mechanizmów, polityk bezpieczeństwa, pozwala bardzo efektywnie chronić sieć i jej zasoby przed zagrożeniami z zewnątrz i wewnątrz (pomiędzy segmentami). W znacznej większości przypadków firewall uznawany za zbyt słaby da się zoptymalizować tak, by nie tracąc na właściwościach ochronnych (a nierzadko nawet na nich zyskując) obniżyć utylizację jego zasobów. Stąd też na etapie ofertowania, szczególną wagę przywiązujemy do właściwego wyskalowania rozwiązania, upewniając się, że dany model urządzenia, uwzględniając wykorzystanie wszelkich możliwych mechanizmów security, będzie odpowiadał potrzebom Klienta i nie będzie on zbyt duży, co bardzo pozytywnie odbija się na cenie projektu. Swoje wysiłki zawsze koncentrujemy na takim wdrożeniu, by wykorzystać maksimum potencjału sprzętu. Niejednokrotnie także nasze starania pozwoliły na odsunięcie w czasie decyzji o zakupie czegoś mocniejszego, ponieważ okazało się, że nawet pozornie słabe firewalle miały w sobie ogromny potencjał, który uwydatniła dopiero właściwa ich konfiguracja.

Skala, skala i jeszcze raz… konfiguracja – to kluczowe aspekty, którymi należy się kierować podczas planowania wdrożenia tego typu rozwiązania, lub na które należy zwrócić uwagę, gdy tylko poczujemy, że obecnie funkcjonujące urządzenie tej klasy przestaje być wystarczające. Zachęcamy do konsultacji w tym zakresie. Bardzo często okazuje się, że da się po prostu lepiej – i to nawet dużo, dużo lepiej. 

KG