Комментарии0
Для чего нужен файервол
Начнем с азов, с понимания о чем пойдет речь. Английский firewall — огненная стена — это программа для защиты оборудования от атак из Сети. Иногда вместо названия «файервол» используют термины брандмауэр или межсетевой экран. Все это синонимы.
Основная задача файервола — защитить оборудование, подключенное к интернету, от внешних угроз. Если упростить, работает он так. Межсетевой экран фильтрует информацию, которая поступает на компьютер, и подозрительную блокирует. В результате на компьютер она не попадает и никак не может повлиять ни на оборудование, ни на данные, которые на нем хранятся. Кроме того, файервол не позволяет сканировать внутреннюю сеть и получать к ней доступ извне.
Брандмауэр используется как в домашних компьютерах и ноутбуках для защиты от вирусов, так и в сетях крупных корпораций для защиты от несанкционированного доступа и блокирования DDoS-атак.
Как работает файервол
Между внутренней сетью и интернетом (внешняя сеть) устанавливается межсетевой экран. В данном случае внутренняя сеть может состоять и из одного персонального компьютера.
Задача файервола — определить какой внешний трафик можно пустить, а какой заблокировать. С информацией, которую пропустил брандмауэр, пользователь может работать, к заблокированной у него доступа нет.
В домашних условиях большинство угроз файервол блокирует без участия пользователя, определяя их по параметрам, которые задал производитель. Иногда при подозрительных действиях или активностях может появиться предупреждение об этом. Тогда пользователь сам решает, разрешать доступ или нет. Для крупных сетевых брандмауэров принцип работы похожий, только решение о желательности или нежелательности трафика прописывается системным администратором, а не отдельным пользователем.
Вместе с системным администратором ITsheff Артемом Захаровым, расскажем, как защищает ваши данные файервол, который мы используем.
Почему мы перешли на новый файервол
— Для чего в ITsheff используется файервол?
— Файервол нужен для контроля доступа. То есть создания периметра безопасности. Например, у вас есть сайт, к которому должны подключаться все потенциальные и текущие клиенты. При необходимости вокруг него создается так называемая демилитаризованная зона, которая находится в вашей инфраструктуре, но при этом отделена дополнительным файерволом. То есть, в нашем случае данные отдельных пользователей защищены друг от друга, даже если они находятся в одной системе.
— В начале 2023 года мы стали использовать файервол нового поколения, как это повлияло на безопасность?
— По принципу действия они ничем друг от друга не отличаются. У всех файерволов задача одна — условно запрещать все и разрешать только то, что прописал администратор.
Различия начинаются в эффективности решения этой задачи самим готовым продуктом. Бывали случаи, когда появлялись уязвимости нулевого дня (программы, против которых не разработан защитный механизм) из-за ошибок в коде. Брандмауэр просто не способен был их отследить.
Поэтому очень важно внимательно подходить к выбору межсетевого экрана. Они хоть и выполняют одинаковую работу, но с разной эффективностью.
— Можешь простыми словами описать принципиальное отличие файерволов нового поколения?
— Разница в том, что это комплексное решение с антивирусом, способным прямо на ходу анализировать файлы, которые передают пользователи друг другу или скачивают из интернета. Антивирус может понять, что это вредоносный файл и тут же обрубить сессию или удалить файл. Идет полный мониторинг трафика. Оператор файервола буквально видит все сервисы, которые использует пользователь: фейсбук, инстаграм, ватсап и другой трафик. Полная информация о том, что происходит в данный момент времени при общении между твоей инфраструктурой и внешним миром. Другими словами, файерволы нового поколения гораздо эффективнее в плане перехвата вредоносного ПО.
Как мы выбирали файервол
— В случае ITsheff файервол защищает серверы?
— Да, он полностью защищает всю нашу инфраструктуру от нежелательного проникновения.
— Мы стали использовать брандмауэр FortiGate, почему его?
— Существует довольно большой выбор поставщиков этой услуги и многие из них делает качественный продукт, но в нашем случае определяющим стало доверие к производителю, компании Fortinet. Мы выбрали топовое решение от всемирно признанного поставщика с многолетней историей и технической поддержкой продукта.
— При переходе на файервол нового поколения надо менять оборудование на более мощное?
— Безусловно, при проектировании периметра безопасности файервола надо обязательно учитывать нагрузку на оборудование. Объясню на нашем примере. Когда анализируем трафик, мы видим пакет информации, который проходит через файервол. Обработка его требует вычислительной мощности. Просто так, по щелчку пальцев, это не происходит. Трафик дешифруется и анализируется в реальном времени. Требуется очень мощный процессор. При проектировании надо понимать, какое количество трафика будет проходить и подбирать версию программы и оборудование, которые смогут с этим объемом справиться. FortiGate мы брали не просто как отдельную программу, а как целый комплект оборудования с подходящими нам параметрами производительности и предустановленной fortiOS.
Какие критерии были важны при выборе файервола
— Определяющим было то, что это законченное устройство, на которое производитель дает гарантию, что оно справится с заявленным нами трафиком. Кроме того, для нас важно, чтобы были такие функции, как терминирование ssl — расшифровка зашифрованного трафика и его анализ. Если файервол может справиться с такой задачей, то вы защищены от атак, шпионских программ и другого опасного трафика. Это помогает сделать нашу внутреннюю сеть более безопасной. Другая полезная фишка — IPS, система предотвращения вторжения — она делает глубокий анализ трафика и автоматически блокирует вредоносные сигнатуры. Не у всех файерволов такие функции есть, но в FortiGate они включены.
Какой эффект от использования нового файервола
— Мы увидели много новой и интересной активности в нашей сети. Проще принимать решения по блокировке или принятию поступающий информации. Можно отследить работу системы противодействия проникновению, проанализировать срабатывание правил защиты нашей инфраструктуры. То есть мы видим, откуда были атаки, как они были заблокированы и на что направлены. На этом основании можно принимать какие-то решения по безопасности.
В чем польза для клиентов ITsheff
— Напрямую эффект от использования файервола пользователь не видит. Он просто может быть уверен, что его данные лучше защищены от внешнего воздействия. Это как ты сидишь в своем доме, где тепло, сухо и уютно, а в это время может идти проливной дождь или снег. Но пока на улицу не выйдешь, ты от них защищен. Так и здесь, пока ты под куполом файервола, он защищает твои данные.
Клиенты получают повышение защищенности всего нашего облака. Уверенность, что наше облако будет работать бесперебойно, так как внутри защищаемого периметра нет злоумышленников. Мы снижаем вероятность того, что данные клиентов куда-то утекут. То есть даем более качественный и бесперебойный сервис. Опять же, даже самый лучший файервол не даст 100-процентную гарантию, что вы не подвергнетесь успешной атаке. Но чем лучше межсетевая защита, тем ниже такая вероятность.
Результаты использования файервола нового поколения
— Уже можно делать выводы об эффективности межсетевой защиты?
— Сейчас число успешных атак равняется нулю. Но попытки их провести происходят постоянно. Большинство осуществляется при помощи ботов. Просто берут публичные адреса, шуршат их порты и ищут лазейку. FortiGate с такими атаками прекрасно справляется. Моментально понимает, что какой-то бот пытается пробиться и тут же его блокирует. После атаки можно просмотреть результаты и увидеть, что конкретно злоумышленник делал. Реже атакуют железо. То есть ищут конкретное оборудование, в котором есть лазейка нулевого дня. Периодически такие события проскакивают, но мы их видим и понимаем, что FortiGate их легко перехватывает. Ну и, конечно, есть защита от DDoS атак.
пример ежедневной статистики атак
— А раньше такой защиты не было?
— Была, но на более примитивном уровне. База сигнатуры у FortiGate больше, сама операционная система умнее и имеет больший потенциал по устранению угроз. На старом файерволе могли быть атаки, но мы даже не знали об этом. Раньше файервол фиксировал 2−3 атаки в день, а сейчас — 10−15. Может показаться, что с установкой FortiGate количество угроз увеличилось, но на самом деле, он, а вместе с ним и мы, просто теперь их видим. В общем, новый брандмауэр делает свою работу.