Firewall server

Firewall

S budovaním, respektíve modernizáciou podnikovej siete úzko súvisí problematika jej pripojenia do internetu. Aby sa zabránilo nežiaducim prienikom a ochránili sa firemné dáta pred ich zneužitím toto pripojenie sa realizuje prostredníctvom brány – firewall, podľa definovanej bezpečnostnej politiky. Je samozrejmé, ži firewall musí byť pod neustálou a starostlivou kontrolou. Prostredníctvom príslušných programov je potrebné sledovať jeho aktivitu a v prípade „nebezpečenstva“ okamžite zasiahnuť.

Význam

  • Logické a fyzické oddelenie „bezpečnej siete“ LAN od „nezabezpečenej siete“ Internet.
  • Kontrola toku dát medzi týmito sieťami na základe aplikovania pravidiel, ktoré určujú podmienky a akcie,
        pričom dve základné akcie sú "povoliť dátový tok" a "zamietnuť dátový tok".
  • Ochrana pred zneužitím informácií uložených na počítačoch, vrátane  serverov, a zneužitím prostriedkov
         v LAN.
  • Možnosť implementácie istej časti bezpečnostnej politiky koncentrovane na jednom  mieste.

Popis

Firewally implementované v podnikovom prostredí sa radia do nasledujúcich kategórií:

Paketový filter je najjednoduchšia a najstaršia forma firewallu, ktorá vykonáva kontrolu paketov podľa ich hlavičiek, pričom ich následné filtrovanie prebieha na základe aplikovania jednoduchých pravidiel. Jeho výhodou je vysoká rýchlosť spracovania (priepustnosť). Na druhej strane nevýhodou je nízka úroveň kontroly prechádzajúcich spojení, ktorá je pri zložitejších protokoloch nedostatočná.

Stavový paketový filter je špeciálnym prípadom paketového filtra, ktorý si navyše udržuje informáciu o povolených spojeniach. Tá je vytváraná na základe analýzy prechádzajúcich paketov   a následne sa využíva pri rozhodovaní, či prechádzajúce pakety patria do už povoleného spojenia a môžu byť povolené, alebo musia znova prejsť rozhodovacím procesom. K výhodám stavových paketových filtrov patrí ich vysoká priepustnosť a úroveň zabezpečenia. Ich nevýhoda oproti bezstavovým filtrom je väčšia náročnosť implementácie.

Stavový paketový filter s kontrolou protokolov a IDS (Intrusion Detection System) okrem bežnej funkcionalite stavového paketového filtra je schopný kontrolovať prechádzajúce spojenia až na úrovni korektnosti prechádzajúcich dát známych protokolov a aplikácií. Môže tak napríklad zakázať prechod http spojenia, v ktorom objaví indikátory, že sa nejedná o požiadavku na WWW server, ale o tunelovanie iného protokolu, čo často využívajú klienti P2P sietí (ICQ, BitTorrent, LimeWire). Taktiež, jeho IDS modul sa analýzou sieťovej prevádzky snaží zistiť, či neprebieha nejaký druh útoku/prieniku do siete. Ak je detekovaná takáto skutočnosť, spustia sa nastavené protiopatrenia. Výhodou týchto systémov je vysoká úroveň bezpečnosti. Nevýhodou, že tieto firewally integrujú veľké množstvo funkcií a zvyšujú tak pravdepodobnosť, že v niektorých častiach ich kódu bude zneužiteľná chyba.

Aplikačná brána / Proxy server sa od paketových filtrov líši hlavne v tom, že vôbec nesmeruje pakety. Zvonku sa tvári ako samotný aplikačný server, ale v skutočnosti len kontroluje príchodzie dáta a preposiela ich na skutočný server. S jeho pomocou je možné analyzovať obsah komunikácie, prípadne ju pozmeniť (napr. odstraňovanie reklám, respektíve, blokovanie webových stránok podľa obsahu,...) alebo ukladať požiadavky do vyrovnávacej pamäte (cache), a tak zefektívniť komunikáciu. Umožňuje tiež vytvárať podrobné štatistiky o využívaní internetu jednotlivými používateľmi. Aplikačná brána poskytuje najvyššiu bezpečnosť, keďže dokáže úplne analyzovať aplikačný protokol. Preto pri jej dôslednej implementácii je možné eliminovať aj takú hrozbu, ako je napríklad únik dát šifrovanými spojeniami. Jej nevýhodou je vyššia náročnosť na hardvér.

Firewally sa realizujú ako softvérové alebo hardvérové.

Softvérové firewaly sú softvérové balíky určené pre serverové operačné systémy akými sú napríklad Windows, Linux či Unix. Toto riešenie zabezpečenia je vhodné v prípade, ak je požadované, aby na danom serveri bežali okrem základných služieb firewallu aj iné služby, ako napríklad Antivír, Antispam, DNS, IDS.

Hardvérové firewally sú založené na vlastnej hardverovej architektúre s ASIC (t.j. aplikačne špecifickými integrovanými) obvodmi, alebo taktiež na štandardnej „PC“ architektúre. ASIC obvody sú využívané na akceleráciu náročných výpočtov, predovšetkým kryptografických čím pre hardvérové firewally zabezpečujú ich vyššiu priepustnosť. Pokiaľ sú hardverové firewally založené na PC architektúre, označujú sa prevažne ako „appliance


Rozširujúce funkcie firewalov

Spoločnosť K_CORP pri svojich riešeniach implementuje do firewallov aj funkcie, ktoré nesúvisia priamo so zabezpečením vnútornej siete, ale na druhej strane umožňujú bezpečnú a spoľahlivú vnútro-firemnú komunikáciu. Jedná sa predovšetkým o aplikácie nasledujúcich funkcionalít:

VPN (Virtual Private Network) na prístup do podnikovej siete pre vzdialených (mobilných) používateľov a podpora „tunelovania“ pre vzájomné, bezpečné prepojenie firemných pobočiek cez Internet. Výhodou VPN sú nižšie prevádzkové náklady v porovnaní s tradičnými WAN sieťami pri zachovaní vysokej úrovne bezpečnosti. 

Úprava/formovanie prevádzky (Traffic shaping) predstavuje prostriedky na kontrolu sieťovej prevádzky pre optimalizáciu výkonnosti služieb a zaistenie ich dostupnosti. Na základe pravidiel prideľuje firewall, prostredníctvom zadržiavania paketov, preddefinovanú šírku pásma dôležitým službám.

Rozdelenie prenosového pásma bez aplikovania Traffic Sharping

ne.jpg


Rozdelenie prenosového pásma s aplikovaním Traffic Sharping

vy.jpg

Ponuka

Poradenstvo
Audit existujúceho stavu IT infraštruktúry a analýza požiadaviek pre nasadenie  firewallu.

Návrh riešenia
Návrh riešenia Firewallu na základe auditu a analýzy požiadaviek.

Realizácia projektu
Dodávka a profesionálna inštalácia systému.

Servis
Záručné a pozáručné servisné služby garantujúce termín nástupu
na odstránenie poruchy.


Technológie

free.png      pc.png