Администрирование сетевых экранов включает постоянный поиск способов совершенствования управления ими, повышения их производительности и эффективности борьбы с угрозами безопасности сетей. Поддержание нужной конфигурации и максимально возможной производительности брандмауэра относится к тем проблемам, которые постоянно должны решать сетевые администраторы. Д-р Эйвишай Вул, один из авторов Центра знаний журнала eWeek, рассказывает, как с помощью правильно выбранной технологии управления можно устранить помехи в работе брандмауэра, повысить его защищенность и производительность.
Сегодня экраны являются для предприятий первой линией обороны. Они обрабатывают огромный объем трафика, циркулирующего в корпоративной сети. Одни лишь установленные по сетевому периметру брандмауэры ежедневно фильтруют миллионы пакетов. Корпоративная политика безопасности, реализованная в этих экранах, часто состоит из сотен или даже тысяч правил и объектов. Объектами могут быть группы серверов, компьютеры пользователей, подсети в дата-центре, сети в филиалах компании или в “демилитаризованных зонах”. Заложенные в брандмауэры правила определяют, приложениям какого типа и каким сетевым сервисам разрешено пересекать границы между сетями, а какие должны блокироваться.
Поскольку потребности бизнеса имеют динамический характер, политики в области брандмауэров постоянно модифицируются. В крупных организациях сотрудникам, отвечающим за администрирование сетевых экранов, нередко приходится ежедневно создавать и изменять десятки правил. Из-за непрерывного потока изменений со временем значительно увеличивается объем настроек брандмауэра. Большое количество и соответственно сложность настроек затрудняют управление сетевым экраном и могут потребовать продолжительного предварительного исследования перед внесением изменений в действующие правила или при создании новых.
Более того, сложность конфигурации снижает производительность брандмауэра и способна привести к появлению брешей в системе безопасности. Например, если создано правило, позволяющее временному сервису работать в течение ограниченного периода, а администратор забывает удалить это правило после выполнения задачи, то возникает реальный риск проникновения в сеть.
Чтобы выявить неиспользуемые правила, под действие которых не подпадает никакой трафик, а также правила, дублирующие друг друга или противоречащие одно другому, администратору экрана приходится проделывать сложную работу вручную. Может потребоваться несколько дней лишь для того, чтобы выделить подобные правила из огромного числа настроек брандмауэра. При этом конфигурация самого устройства будет непрерывно меняться под воздействием запросов пользователей.
При наличии необходимой технологии управления сетевыми экранами компании могут навести порядок в разработанных правилах и политиках, упростить работу сетевого администратора, повысить производительность брандмауэра и закрыть бреши в системе безопасности. Ниже приводятся пять примеров того, как с помощью технологии управления брандмауэром можно автоматически и непрерывно выявлять и устранять помехи в его работе.
Источник помех № 1: неиспользуемые правила
Неиспользуемые правила — это те, под действие которых в течение заданного времени не подпадал ни один пакет. После изучения протокола работы брандмауэра и сопоставления реального трафика с заданными в рамках политики условиями такие неиспользуемые правила становятся идеальными кандидатами на удаление. Часто они остаются после того, как соответствующее приложение перестает использоваться или серверу присваивается новый адрес.
Источник помех № 2: покрываемые другими или дублируемые правила
Это такие правила, под действие которых трафик не подпадает, поскольку прежде вступает в действие правило или группа правил, останавливающая дальнейшее движение трафика. При чистке настроек брандмауэра такие покрываемые другими или дублируемые правила могут быть удалены, поскольку они никогда не будут использоваться. Тем не менее они заставляют брандмауэр расходовать драгоценное время впустую, снижая его производительность.
Источник помех № 3: отключенные правила
Отключенные правила не действуют и должны соответствующим образом помечаться администратором. Это тоже идеальные кандидаты на удаление, если только администратор не хочет сохранить их на всякий случай или для истории.
Источник помех № 4: правила с истекшим сроком действия
Такие правила применялись в течение заданного времени в прошлом, и это время истекло. Удивительно, но в описании правил, предлагаемом одним из производителей брандмауэров, нет поля для указания года. В результате правила, которые были активны в какой-то определенный период, вновь активируются в тот же период на следующий год. Сохранение подобных правил открывает потенциальную возможность проникновения в сеть.
Источник помех № 5: лишние объекты
В идеале решение для управления сетевым экраном должно выявлять следующее: объекты, для которых не задано никаких правил, пустые объекты (не имеющие IP-адреса или диапазона адресов) и неиспользуемые объекты (в диапазон адресов которых за определенное время не попал ни один пакет). В результате удаления ненужных правил и объектов, мешающих работе брандмауэра, снижается степень сложности действующей политики. Это облегчает управление, повышает производительность и устраняет возможные бреши в защите.
Занявшись помехами указанных пяти видов в работе сетевых экранов, администраторы могут добиться значительного усовершенствования своих сложных корпоративных сетевых экранов и соответственно повысить уровень защищенности. Применяя правильно выбранное решение для управления брандмауэром, организации получают возможность отказаться от управления сложными настройками экранов, маршрутизаторов и виртуальных частных сетей вручную, которое неэффективно и чревато ошибками. При этом они могут также оптимизировать производительность брандмауэров и определить порядок действий, основываясь на количественной оценке рисков.
Доктор Эйвишай Вул —преподаватель School of Electrical Engineering при Тель-Авивском университете, главный технолог и соучредитель компании AlgoSec, провайдера решений для управления брандмауэрами и рисками. Он является также помощником редактора бюллетеня ACM Transactions по безопасности информации и систем, работал в комиссиях по подготовке программ крупнейших конференций IEEE и ACM по безопасности компьютеров и сетей, опубликовал свыше 40 научных работ и владеет семью выданными в США патентами (еще несколько находятся в процессе оформления). Его основные научные интересы охватывают безопасность компьютеров и сетей, сети передачи данных и распределенные вычисления. Ему можно писать по адресу: avishai.wool@algosec.com.