Гид по Managed Firewall

Рассказываем, как работает и какие функции выполняет управляемый межсетевой экран.

Виктор Орлов
Cтарший специалист сектора кибербезопасности

Функции фаервола

Основная функция межсетевого экрана — защищать внутренние сети от атак, проникновения нарушителей и вредоносного трафика из внешних сетей. Также у него присутствует ряд дополнительных функций.

Разделение сетей на сегменты
Фаерволы широко используются для разделения внутренних сетей. Например, для отделения серверных сегментов от сегментов с рабочими станциями пользователей. Часть сервисов и серверных сегментов компании обладают критической важностью и защищать их нужно не только от внешних, но и внутренних угроз. 

Пример сегментации сети

Объединение территориально разделенных сетей
Филиалы компании в разных городах можно объединить одним фаерволом с помощью зашифрованного туннеля через интернет — например, IPSec. Так внутренняя сеть в разных городах будет иметь одну политику и отражать вредоносный трафик, а нужные сотрудники получат быстрый доступ ко внутренним ресурсам.

Через интернет прокладывается защищенный туннель, который соединяет филиалы компании в разных городах

Как и от каких современных угроз защищает Managed Firewall

Современные фаерволы (так называемые Next-generation firewall) глубоко изучают сетевой трафик и сессии пользователей благодаря множеству технологий.

Методы защиты

Политика для распознавания угроз
Современные угрозы имеют разную природу и механизмы действия. Поэтому межсетевой экран состоит из набора функциональных элементов, отвечающих за различные аспекты защиты. Для совместной работы этих элементов нужна точная настройка, основа которой — это правильно сформулированная политика.

Фаервол проверяет трафик согласно правилам политики — там описаны критерии, по которым он распознает наличие угроз.

Параметры политики
Firewall смотрит на разные параметры трафика вплоть до уровня приложений (L7).  Например: откуда пришел трафик, какие размеры у передаваемых файлов, какие типы команд, какие паттерны повторяются в пакетах. На их основании фаервол принимает решение, вредоносный это трафик или нет.

Зашифрованный трафик
Межсетевой экран также может проверять и зашифрованный трафик, в основном HTTPS и SSL. Для этого Firewall работает как man-in-the-middle — сначала расшифровывает SSL-трафик, анализирует его на угрозы согласно политике и потом зашифровает обратно и отправляет получателю.

Некоторая часть защиты может быть выполнена без расшифровки SSL. Например, анализ сертификатов сайтов для определения принадлежности к запрещенной категории.

Виды угроз

Вредоносные программы
По сигнатурам, заложенным в политике, фаервол проверяет весь трафик на вредоносные программы. Он собирает файл из сетевых пакетов и передает его на анализатор — обычно сначала в антивирус и затем (при наличии) в песочницу.

Если файл слишком большой, фаервол постепенно передает файл пользователю для поддержания сессии загрузки, но при этом все равно продолжает анализировать его. Пользователь окончательно получит весь файл только тогда, когда фаервол после анализа определит, что он не вредоносный.

Кроме того, файлы с активным содержимым, которое и является основным носителем угрозы (например, документы PDF, Word, Excel, PowerPoint), могут быть сразу переданы пользователю после удаления активного содержимого. По отправленной пользователю ссылке можно будет загрузить исходную версию файла (разумеется, если анализ файла не выявил вредоносного содержимого).

Эксплуатация уязвимостей
Межсетевой экран проверяет трафик на наличие признаков эксплуатации уязвимостей так же, как и на наличие признаков вредоносного ПО. Уже известные эксплуатации описаны в сигнатурах.

Фишинг
Для фишинговых писем также есть база данных уязвимостей. Фаервол анализирует контент по критериям и определяет, фишинговое письмо или нет.

Дополнительные функции

Межсетевые экраны нового поколения обычно включают в себя дополнительные системы. Как правило, это система предотвращения вторжений (IPS) и песочница.

Система предотвращения вторжений (IPS)

Отслеживает активность в сети и моментально реагирует на атаки. Это анализатор трафика, который как и фаервол работает на основе базы сигнатур. Обычно IPS идет по умолчанию с межсетевым экраном.

Расположение IPS в логической схеме сети

Есть отдельные IPS, которые ставятся на сети или на рабочие станции. Они нужны на случай, если трафик, несущий угрозу, не может проходить через Firewall.

Песочница (sandbox)

Это изолированная среда для проверки потенциально вредоносных программ, которые не могут быть определены на базе сигнатурного подхода  с помощью фаервола.

Внутри песочницы запускаются виртуальные машины с типовыми ОС. На этих виртуальных машинах воспроизводят файлы, которые нужно проверить. Песочница анализирует, что файл делает в системе: соединяется ли с интернетом, меняет ли реестр, удаляет ли системные файлы. Так определяется, вредоносный это файл или нет.

Схема работы песочницы: трафик проходит через фаервол, собирается из пакетов в файлы, файлы сканируются антивирусом и только потом запускаются в песочнице

Информация о новых вирусах из песочницы передается вендору, чтобы он занес их в базу и впоследствии другие клиенты отсекали эти вирусы уже с помощью фаервола и сигнатурного подхода. 

Песочница особенно нужна, если идет большой обмен документами с третьими сторонами: в форматах Doc, Excel, PDF. Также она актуальна, если пользователи работают удаленно — риск получить неизвестный вирус выше. Но установка sandbox для проверки корпоративного сетевого трафика требует больших ресурсов.

К проверке в песочнице рекомендуются любые исполняемые файлы, библиотеки из популярных облачных сред разработки или сообществ разработчиков.

Почему управляемый фаервол

Межсетевой экран требует много ресурсов: покупка оборудования, поиск сотрудников-экспертов, отлаживание процессов взаимодействия. Мы берем все это на себя.

Экспертиза сотрудников

Современные Next-generation firewall от ведущих вендоров — достаточно сложные программные или программно-аппаратные комплексы. Детальное изучение их работы требует обработки немалого объема документации, а конфигурирование и поддержание в работоспособном состоянии — опыта и понимания влияния разных операций на бизнес-процессы компании.

Работа не только по документации
Прямое применение на Firewall заявленного вендором функционала строго по документации для решения новой задачи оправдано не всегда. А в некоторых случаях даже нежелательно, потому что у реализации функционала могут быть свои недостатки, о которых можно знать только при наличии большого опыта и изучения различных баз знаний вендоров.

Обновление
Обновления версий Firewall или установка патчей также иногда содержат подводные камни. А грамотная и отлаженная процедура обновления обеспечит минимальный простой сервиса.

Взаимодействие с вендором
Иногда прямое применение предложенных вендором действий может привести к деградации сервиса заказчика. Например, сбор диагностической информации, включение тех или иных опций, изменение значения параметров. Вендор не знает всех особенностей конфигурации Firewall заказчика. И наоборот, опытный администратор способен донести проблему вендору, чтобы он предложил наиболее верное решение.

Управляемый SLA и удобное бюджетирование

Помимо высокой экспертизы сотрудников Managed Firewall решает следующие проблемы и сложности, с которыми сталкивается большинство компаний:

Своевременность выполнения изменений (SLA — Service Level Agreement)
Межсетевые экраны требуют оперативного изменения конфигурации (политики безопасности) — с Managed Firewall мы фиксируем время изменения политики и другие метрики в договоре. Так новые проекты (и связанные ИТ-системы) запускаются быстрее, а специалисты реагируют на ИБ-инциденты в установленное время. Нет риска, что администратор будет недоступен в нужный момент.

Бюджетирование
Многие компании сталкиваются со сложностью правильного бюджетирования таких проектов в CAPEX-формате. Например, в бюджет была заложена одна сумма, но проект потребовал большей производительности и нужно покупать более дорогое оборудование. Managed Firewall подразумевает OPEX-бюджет, который увеличивается только в случае дальнейшего апгрейда оборудования. Межсетевые экраны легче запускать и масштабировать.

Воспользуйтесь нашей услугой Managed Firewall

Эксплуатация современных Firewall силами заказчика не всегда приводит к желаемым результатам и оправданию ожиданий в плане надежности и производительности решения. Особенно, когда профиль бизнеса заказчика сильно отличается от ИТ и ИТ-служба заказчика имеет ограниченные ресурсы.

В таких случаях мы предлагаем воспользоваться услугой Managed Firewall. Заказчику нужно только формулировать запросы на изменение конфигурации или добавление новых функций. Управлением в круглосуточном режиме занимаются наши специалисты с опытом больше 15 лет.