Vývoj technologií firewallů
Techniky a technologie
Technologie firewallů
První technologie pro řízení datové komunikace a jejich implementace do zařízení se objevily začátkem devadesátých let. Aby byla situace na začátek složitější, již v této době se využívaly dva principy – odlišné přístupy k zajištění bezpečnosti síťového provozu, a to:
IP filtry
proxy firewally
Největším, spíše filozofickým, rozdílem mezi
těmito přístupy je způsob realizace firewallů. Na jedné straně IP filtry vznikly
původně jako funkční rozšíření směrovačů. Na straně druhé proxy firewally byly
výsledkem úvah lidí zabývajících se bezpečností (především Marcuse Ranuma a
Freda Avolia) a tedy specializovaný nástroj navržený pouze pro bezpečnost.
Vývoj technologií firewallů
Mezi další významné rozdíly patří také „implicitní“ postoj k filtrování sítě. IP filtry ve svých prvních verzích veškerou komunikaci implicitně povolovaly, a se zdokonalováním filtru narůstal také poměr filtrovaného provozu. Naproti tomu přístup proxy firewallů byl založený na blokování veškerého provozu a s postupným vylepšováním technologie narůstal poměr povoleného provozu. Podívejme se však podrobněji na jednotlivé technologie.
IP filtry
Jak již bylo výše zmíněno, první firewally vznikly jako funkční rozšíření směrovače. Na první pohled jde o velmi logickou úvahu. Směrovač je nutně přítomen v každé síti a je tedy vhodným prvkem pro řízení bezpečnosti datové komunikace. Dané zařízení navíc implicitně pracuje se zdrojovou a cílovou IP adresou přenášených rámců a dokáže proto jednoduše povolit nebo zakázat příslušnou komunikaci. Selektivní přeposílání rámců mezi vhodnými podsítěmi a blokování jejich přeposílání do jiných částí sítě poskytovalo na počátku rozmachu Internetu dostatečnou ochranu.
Toto řešení se začalo označovat jako IP filtrové firewally, ve skutečnosti však šlo pouze o správně nakonfigurované směrovače. IP filtry měly definovanou statickou sadu pravidel, pomocí které kontrolovaly jednotlivé položky síťové hlavičky a transportní hlavičky přenášených paketů. Důležité je také zdůraznit, že IP firewally implicitně povolovaly veškerou komunikaci a neposkytovaly žádnou analýzu na aplikační vrstvě. Nespornou výhodou byla jednoduchost integrace nových protokolů a jednoduchá rozšiřitelnost o další funkčnost.
Později se objevily specializované filtrovací brány. Tyto již pracovaly se stavy protokolů a umožnily tak dokonalejší kontrolu komunikace. Dodatečné informace byly udržovány pomocí jádra operačního systému. Kontrola komunikace již nebyla založena pouze na statických pravidlech. Stavové paketové filtry umožňovaly také omezenou kontrolu aplikační vrstvy. Monitorovaná komunikace je z hlediska IP filtrů neporušena, avšak může být blokována. Vzhledem k monitorování pouze druhé a třetí vrstvy neposkytuje také žádnou kontrolu obsahu a autentizaci. Nejpokročilejší stavové filtry, které se objevily později, poskytují plnou kontrolu stavů TCP spojení a UDP proudů a vykonávají komplexní diagnostiku těchto protokolů včetně (části) aplikačních dat.
Implementace IP filtrů je běžně založena na jádře unixového operačního systému, přičemž nejčastěji se používá Linux, nebo FreeBSD. Proprietární řešení mohou být také založena na specializované hardwarové platformě nebo ASIC (aplikačně specifických integrovaných) obvodech.
Proxy firewally
Naprosto odlišný přístup byl zvolen k vývoji „specializovaného“ zařízení určeného pouze pro implementaci síťové bezpečnostní politiky. Na rozdíl od „šikovného routeru“ s rozsáhlou množinou funkcí, hlavním cílem proxy firewallů bylo umožnit co nejpřesnější řízení datové komunikace. Tato zařízení již pracovala na aplikační vrstvě a měla proto k rozhodování mnohem víc informací.
První proxy firewally byly založeny na oddělujícím počítači (angl. bastion host), které spojovaly nezávislé sítě, přičemž přeposílání mezi těmito sítěmi bylo zakázáno. Každá ze sítí měla vyčleněný počítač ve funkci oddělujícího počítače. V dané době byly počítače spíše zapojeny do nezávislých sítí a propojení těchto sítí bylo pevně definováno právě přes oddělující počítače. Pokud se chtěl uživatel připojit do jiné podsítě, musel se nejprve připojit na oddělující počítač ve své síti (např. telnet-em) a následně se připojil požadovanou službou do vzdálené sítě (např. pomocí SSH).
Dalším vývojovým krokem byly netransparentní proxy. Tyto umožnily uživateli nepřímé připojení k cílovému serveru, ovšem bez potřeby explicitního přihlašování k oddělujícímu počítači. Na rozdíl od IP filtrů nejsou rámce přeposílané přímo, ale raději jsou zrekonstruovány nové rámce na oddělujícím počítači. Přímé přeposílání rámců mezi propojenými sítěmi není opět povoleno. Jinými slovy se dá říci, že každé spojení mezi vnitřním a vnějším počítačem je rozpojeno na dvě separátní spojení a ukončeno v proxy.
Netransparentní proxy umožnilo kontrolovat aplikační data v přenášených rámcích – dotazy přenášené na server a odpovědi v opačném směru. Tím bylo možné filtrovat a případně i modifikovat přenášená data. Jednotlivé bezpečnostní funkce a granularita nastavení uživatelských účtů proto nemusela být nutně implementovaná na straně serveru, ale mohla být přesunuta do proxy firewallu. Nevýhodou tohoto přístupu byly zvýšené nároky na implementaci a udržování kódu.
Potřeba implementace podpory netransparentního připojení do uživatelských aplikací a také zvýšené nároky na jejich konfiguraci vedly k vývoji transparentních aplikačních proxy. Tyto dokázaly plně rozpoznávat aplikační protokoly a nevyžadovaly speciální konfiguraci v samotných aplikacích. Na rozdíl od IP filtrů však interpretovaly kompletní přenášenou komunikaci a dokázaly proto podrobně kontrolovat a případně i modifikovat přenášená data.
Proxy firewally jsou typicky implementovány jako software, jelikož jejich hardwarová implementace by byla extrémně náročná. Běžně jsou tyto firewally implementovány jako uživatelské procesy nad unixových operačním systémem, příp. jako modifikované operační systémy kvůli menší režii zpracování síťové komunikace.
UTM
Navzdory odlišnému přístupu k filtrování komunikace na počátku se obě metody časem začaly přibližovat svým zaměřením a přebírat mezi sebou charakteristické vlastnosti. Moderní IP filtry proto obsahují aplikační proxy, které jim umožňují vykonávat antivirovou a antispamovou kontrolu nad přenášenými daty, identifikovat typ přenášených souborů, nebo také filtrovat webové stránky od nežádoucích částí. Stejně tak již není možné najít bezpečnostní aplikační proxy bez podpory IP filtrace. Kombinace obou metod navíc umožňuje řídit úroveň bezpečnosti na základě dostupných prostředků, poskytovaných služeb a propustnosti sítě a dosahovat tak jejich optimální poměr.
Jednotlivé komerční řešení jsou za IP filtry nebo proxy firewally považovány pouze podle objemu kódu jednotlivých implementací a odmítání druhé technologie je pouze marketingovým tahem. V principu se tedy již ztrácí rozdíl mezi původními vývojovými větvemi.
UTM (Unified Threat Management) řešení jsou navíc rozšířena o dodatečné moduly poskytující autentizaci, VoIP brány, VPN koncentrátory, IDS/IPS, síťové záznamníky, prostředky pro distribuci zátěže (tzv. load balancing), prostředky pro zajištění QoS (tzv. traffic shaper), monitorování síťových prvků a koncových stanic a další. Každý výrobce se snaží poskytovat všechny tyto funkčnosti, ovšem samotné řešení se můžou odlišovat úrovní jednotlivých funkcí a zaměřením na různé segmenty trhu.
Integrace
V tomto směru již budoucnost firewallů v posledních letech
začala. Všichni větší výrobci nabízejí řešení označované jako UTM. Část výrobců
již začala pro své produkty používat označení jako XTM (eXtended threat
management, nebo také extensible threat management). V tomto případě jde opět
pouze o marketingové označení.
Časem je možné očekávat další funkční rozšíření zaměřené na nové, převážně webové služby. Rozšiřovat se začínají také různé služby pro sdílení dat, které bude časem stále větší a větší problém detekovat a omezovat.
Výhodou integrovaných řešení je eliminace duplicitní bezpečnostní funkce a s nimi spojené nároky na administraci.
Specializace
V porovnaní s výše uvedenou integrací všech funkcionalit do
jednoho zařízení, část firewallů se bude ubírat opačným směrem. Rozmach webových
služeb bude vyžadovat specifické nástroje pro kontrolu jednotlivých aplikací.
Současné aplikační servery se budou více specializovat na jednotlivé aplikace
(B2B, e-bankovnictví, aukční domy, sociální sítě, poskytování multimediálních
dat), nebo kontrolu platnosti přenášených dat (např. XML, internetová televize,
internetová rádia).
Virtualizace
Využití technologie vizualizace se rozšíří z prostředí
služeb také na kontrolu řízení dat. Emulace běhu aplikací ve virtuálním
prostředí umožní jednodušší využití dostupných technických prostředků. Podle
vlastních potřeb můžou malé organizace bezpečně sdílet firewall spolu s dalšími
službami na jednom fyzickém serveru. S pokrokem virtualizace bude také možné
sdílet jeden firewall přes několik fyzických serverů a tím jednoduše řešit
redundanci pro zajištění vysoké dostupnosti.
Bezpečnost jako služba
Pokročilé zabezpečení doposud dostupné pouze velkým
společnostem se rozšíří také mezi jednotlivce a domácnosti. Služba bude
poskytována přímo poskytovateli internetového připojení a její součástí bude
také profesionální technická podpora. Již v současnosti poskytují virtuální UTM
řešení velcí internetoví poskytovatelé. Výhodou je zejména ponechání technických
záležitostí jako umístění zařízení, vyřešení napájení při výpadku, klimatizaci,
fyzické zabezpečení, nebo také instalaci aktualizací na straně poskytovatele.
Monitorování uživatelů
Již v současnosti je viditelný trend nárůstu zájmu
o bezpečnost na úkor anonymity. Tento trend bude jistě pokračovat v monitorování
a archivování veškerého provozu na internetu, ale také jiných telekomunikačních
sítích. Již v současnosti jsou k těmto změnám vedeni poskytovatelé internetu a
telekomunikačních služeb prostřednictvím legislativních opatření.
Na druhé straně je možné očekávat rozšíření technologií pro podporu anonymity (např.mix sítě a „onion“ routing) se softwarových řešení také do hardwarových síťových prvků. Tato tendence bude tím silnější, čím větší snahy o monitorování uživatelů se objeví.
Mobilní Internet
Přesun Internetu do široké množiny mobilních zařízení a
rozšiřování jejich funkčnosti bude vést k potřebě jejich ochrany.
„Katalyzátorem“ bude také hromadné nasazení IPv6, které vyústí v připojení všech
mobilních zařízení přes veřejnou IP adresu a tedy jejich neustálé ohrožení. Již
v současnosti se můžeme setkat s antiviry pro mobilní telefony. Stejný postup
očekáváme proto i v případě firewallů.
IPv6
Na závěr nesmíme zapomenout na rozšíření kompletní podpory firewallů
o protokol IPv6. Ten je v současnosti podporován firewally pouze částečně. Část
funkcí firewallů je navíc v logickém rozporu s novou verzí internetového
protokolu. Příkladem je podpora překladu adres (tzv. NAT), se kterým IPv6
původně nepočítal a jež byl historicky navržen pro vyřešení problému nedostatku
veřejných IPv4. V konečném důsledku však toto řešení založeno na skrývání
vnitřní struktury sítě pomohlo k vylepšení bezpečnosti koncových stanic.