Režimy nasazení Kernun Adaptive Firewall

1.) Perimetrový firewall

Kernun Adaptive Firewall lze do sítě nasadit jako perimetrový firewall. Jedná se o základní koncepci implementace firewallu na rozhraní dvou nebo více sítí s různou úrovní důvěryhodnosti. Typicky se jedná o připojení privátní sítě k internetu, které poskytuje nadstandardní úroveň zabezpečení. V tomto režimu může sloužit také jako VPN server pro režimy Site-to-Site (propojení poboček) nebo Remote Access Server (připojení pro mobilní klienty).

Výchozí nastavení bezpečnostní politiky je takové, že ihned po zapojení Kernun Adaptive Firewall povoluje bezpečně odchozí provoz směrem do internetu, přitom nedovoluje žádná spojení směrem do vnitřní sítě. Stačí nastavit IP adresu a máte základní míru ochrany.

 

Schéma a popis nasazení Kernun Adaptive Firewall do sítě v režimu perimetrového firewallu

V prvním případě se jedná o základní zapojení mezi dvěma sítěmi, kdy bezpečnostní zařízení odděluje internet od chráněné sítě. Obvykle je žádoucí povolit provoz z chráněné sítě ven (avšak ne na nebezpečné adresy) a zvenku do chráněné sítě nepovolit nic, až na přesně vyjmenované typy spojení. Takto je nastavena výchozí (tovární) politika.

Ve druhém případě bezpečnostní zařízení odděluje od sebe více sítí, z nichž každá má jinou úroveň důvěryhodnosti. Například síť Wi-Fi a LAN budou mít nastavena úplně jiná oprávnění pro přístup na www stránky. A všechny vnitřní sítě budou chráněné před útoky z vnějšku i mezi sebou. Tento režim podporuje i zapojení dvou uzlů do klastru.

 

Bezpečnostní komponenty

  • Adaptivní firewall
  • Webový filtr
  • Stavový firewall
  • VPN server

2.) Webová proxy brána

Kernun Adaptive Firewall lze do sítě nasadit v režimu webové proxy brány. Přístup k webovým službám internetu je pak zprostředkován pouze přes toto bezpečnostní zařízení, které uplatňuje politiku provozu. HTTP/HTTPS provoz, který slouží k prohlížení www stránek a poskytování dalších webových služeb, je často zneužíván množstvím potenciálně nebezpečných služeb, jako jsou např. šifrované tunely pro různé protokoly a programy, provoz skrz anonymizační proxy, zneužívání strojového času (*coinové těžební javascripty), zavirované stránky (porno, warez), únosy DNS provozu a podobně. Kernun Adaptive Firewall v režimu webové proxy brány je účinný nástroj pro zajištění odfiltrování závadného webového provozu a možná autentizace uživatelů je pak ještě dalším výrazným zvýšením úrovně zabezpečení.

 

Webová proxy brána provádí inspekci www provozu a filtruje nežádoucí provoz. Filtraci je možné „zapnout“ pro standardní porty 443, 80 (případně individuálně další) anebo je možné využít služby HTTP proxy. V druhém případě je v nastavení prohlížeče uložena informace o adrese proxy, a této proxy předává klientský prohlížeč HTTP požadavky v HTTPS/TLS provozu.

 

Schéma a popis nasazení Kernun Adaptive Firewall do sítě v režimu webové proxy brány

 

V režimu webové proxy brány je zařízení připojeno do síťového prostředí jako další stanice nebo server a poskytuje pro vnitřní síť službu přístupu na www stránky internetu, tzv. HTTP proxy. Všechny stanice musejí použít tuto službu, aby jim byly dostupné veřejné www stránky. Webová proxy brána uplatňuje politiku přístupu, například vyžaduje autentizaci, reguluje dostupnost stránek podle jejich kategorií, např. zakazuje porno, zpomaluje stahování filmů, zakazuje rizikové tunelování. Samozřejmě je možné stanovit výjimky, typicky pro servery, pro které se politika přístupů na www stránky stanovuje jinak než pro běžné „lidské“ uživatele.

 

Webová proxy brána tím, že vynucuje politiku přístupu podle kategorií, uživatele www služeb jednak chrání, například tím, že blokuje rizikové stránky, ale také zlepšuje efektivitu práce, např. tím, že uživatelé jsou si vědomi toho, že provoz je monitorován. Tento režim podporuje zapojení i dvou uzlů do klastru.

 

Klíčové vlastnosti

  • Kerberos autentizace uživatelů
  • Netransparentní režim proxy – prohlížeče mají nastavenou proxy
  • Transparentní režim proxy – proxy zachytí www provoz „bez vědomí“ klienta a spojení zprostředkuje. Tento režim vyžaduje, aby byl Kernun Adaptive Firewall na pozici výchozí brány nebo aby na něj výchozí brána dokázala www provoz přesměrovat.
  • Databáze kategorií www stránek – stránky jsou tříděné do více než 60 kategorií a kategorii lze použít jako rozhodovací kritérium pro udělení přístupu. Například zákaz přístupu na porno nebo na služby typu upload-download. Kategorie jsou rozčleněny do nadkategorií, např. kapacita linky, bezpečnostní riziko, volnočasové aktivity. Uživatelské profily, nastavení individuálních politik podle uživatelů nebo skupin
  • Antivirová kontrola – je možná pouze u HTTP protokolu. V případě HTTPS protokolu pak pouze při nastaveném dešifrování HTTPS/TLS.

3.) Transparentní firewall

Kernun Adaptive Firewall je v tomto režimu nainstalován na síť tak, že je z pohledu IP provozu transparentní (neviditelný). Aniž by se měnila topologie sítě, může se tímto způsobem rozšířit nebo doplnit stávající bezpečnostní architektura. V tomto režimu funguje pouze bezpečnostní komponenta adaptivní firewall. Ostatní komponenty, tedy stavový firewall, webový filtr a VPN server nejdou technicky použít*). Tento způsob nasazení je ale výhodný zejména v situacích, kdy nejde nebo je obtížné měnit současnou topologii sítě. Stávající řešení se tak navíc rozšíří o další vrstvu adaptivního firewallu. Zařízení dokonce nepotřebuje pro provoz IP adresu.
*) Komponentu stavový firewall v principu použít jde, ale jeho praktické využití je omezené.

 

Schéma a popis nasazení Kernun Adaptive Firewall do sítě v režimu transparentního firewallu

 

Transparentní firewall, nebo také z technického pohledu síťový bridge, má největší výhodu v tom, že je na síti z pohledu IP provozu „neviditelný“. Můžete si zapojení představit tak, že přestřihnete síťový kabel a přestřižené konce zapojíte z každé strany do zařízení. Při zapojení v tomto režimu nepotřebujete udělat v síťové topologii žádné změny, až na pomyslné „přestřihnutí“ síťového kabelu. Zařízení dokonce nepotřebuje IP adresu*) a monitoruje provoz, který přes něho prochází. Vyhledává v něm nebezpečné anomálie a ty blokuje.
*) Jednu IP adresu ale zařízení potřebuje pro správu.

 

4.) Sonda

Kernun Adaptive Firewall je v tomto režimu nainstalován do sítě jako odposlechové zařízení, typicky na zrcadlený port (Port mirror). Pasivně přijímá kopii síťového provozu, provádí jeho analýzu a hlásí detekovaná rizika a anomálie.

 

Schéma a popis nasazení Kernun Adaptive Firewall do sítě v režimu sondy

 

Sonda je způsob pasivního zapojení zařízení do síťové topologie, které dostává na svůj vstup kopii síťového provozu, například zapojením na tzv. Port mirror. Provádí kontrolu síťového provozu a prohledává v něm nebezpečné anomálie. Nebezpečný provoz neblokuje, ale pouze reportuje nebo vyvolá jinou adekvátní reakci, např. poplach.