Proč adaptivní firewall

V současné době pozorujeme jednoznačný trend uzavírat veškerou komunikaci do šifrovaných kanálů. Dříve běžně používané nešifrované protokoly, jako je HTTP, SMTP nebo DNS, jsou vytlačovány svými šifrovanými variantami. Uživatelé stále častěji využívají vzdálené připojení (VPN) v nichž je veškerá komunikace okolnímu světu nedostupná, a to ani pro kontrolu. Objevují se nové standardy, jako například TLS verze 1.3 nebo HTTP/3, které velmi znesnadňují nebo přímo znemožňují jejich inspekci. Praktika známá jako rozlamování HTTPS se tak dříve či později stane neproveditelnou. Vznikají protokoly jako DNS over TLS nebo DNS over HTTPS, které zcela uzavírají proces překladu adres, a dokonce ho unáší neznámo kam. Bezpečnostní správce má už jen málo technických možností, které může úspěšně využít pro účinné vynucení bezpečnostní síťové politiky.

Unikátní databáze aktivních hrozeb v ČR

Jakkoliv může být obsah komunikace skryt v šifrovaném kanálu, stále ještě zůstává mnoho informací, na jejichž základě lze usuzovat, zda je spojení legitimní, anebo nebezpečné. Jsou to například IP adresy spojení (SRC IP, DST IP), počty spojení, jejich objemy a časové charakteristiky. Pro získání těchto informací je potřeba aktivně sledovat a hodnotit širší síťový kontext. Analyzovat velké množství spojení odehrávajících se v okolním prostředí. Posouzení nelze provádět na jednom místě nebo na jednom firewallu. Musí probíhat kontinuálně nad co možná největším množstvím dat příslušné lokality, v našem případě českého internetu.

 

Výsledkem takové analýzy je unikátní databáze aktivních hrozeb, které nás ohrožují v našem prostoru, právě tady a teď. Nevadí, že databáze neobsahuje útoky, které se odehrávají někde v jiné části světa. Spíše naopak. Lokální databáze je rychlá, efektivní a mimořádně účinná.

 

Jak to funguje

Příklad z praxe. Představte si například několik krátkých SSH spojení z jedné adresy na druhou, která proběhla v rámci krátkého časového úseku, třeba jedné minuty. Je to útok nebo není? Může jít o útočné pokusy uhodnout heslo, anebo o legitimní zkopírování několika menších souborů. Standardní IPS/IDS systém to může buď odmítnout nebo povolit, anebo ohlásit jako varování. V každém z těchto případů jde o riziko vzniku false-positive nebo false-negative, případně systém nechá rozhodnutí na člověku a vytvoří pouze varování.

Oproti tomu může mít Kernun Adaptive Firewall navíc informaci, že se tato adresa pokusila provést obdobná SSH spojení také na tisíce jiných adres. V takovém případě ji považuje za útočnou a spojení nepovolí už při prvním pokusu. Adresa má tzv. špatnou reputaci (důvěryhodnost). Naopak absence jakéhokoliv podezřelého chování zdrojové adresy ve sledovaných páteřních sítích českého internetu ukazuje, že adresa bude s vysokou pravděpodobností neškodná. Situace se může ale rychle změnit. Pokud se začnou z této adresy objevovat spojení pochybná, její reputace se rapidně sníží a další spojení s ní už nebudou povolena.

 

Další bezpečnostní rozšíření

Kernun Adaptive Firewall obsahuje celou řadu bezpečnostních rozšíření, konkrétním příkladem je ochrana proti únosu DNS.

 

Nové standardy DoT a DoH přinášejí nové otázky a rizika. Jste-li v pozici bezpečnostního správce, který zodpovídá za bezpečnost sítě, zřejmě budete chtít také zajistit, aby základní síťová služba překladu doménových jmen na IP adresy byla pod vaší kontrolou. Například aby uživatelé v dobré víře, že z prohlížeče obsluhují svůj bankovní účet, v důsledku podvržení IP adresy neprozradili svoje bankovní heslo podvodnému webu. A nemusí to být přímo krádež hesla. Pouhá znalost toho, kdy přesně a na které stránky vaši uživatelé přistupují, může a mělo by být chápáno, jako únik citlivých informací. Pokud si ale uživatelé v prohlížečích aktivují protokol DNS over HTTPS a začnou používat službu DNS na neznámém místě v internetu, která se navíc maskuje jako HTTPS provoz, bezpečnostní správce nemá možnost, jak zajistit bezpečnost DNS služby ve své síti.


V čem je vlastně DoH problematické?

Protokol DoH tím, že maskuje DNS dotazy do HTTPS protokolu, sice komunikaci šifruje, a tak chrání důvěrnost procesu překladu adres, ale také ho činí nerozlišitelným od jiného webového provozu. Znemožňuje tak bezpečnostnímu správci, aby monitoroval DNS a například bránil DNS spoofingu, a také přenáší zodpovědnost za kritickou síťovou službu DNS z operačního systému na aplikaci (prohlížeč). DoH centralizuje informace o navštěvování www stránek v několika společnostech: v současné době Cloudflare a Google, kterým můžeme nebo nemusíme věřit, že získané informace, kde vaši uživatelé surfovali, nevytěží jakýmkoliv způsobem. Kernun Adaptive Firewall může protokol DoH blokovat a tím vrátit kontrolu DNS služby do rukou bezpečnostního správce.