A Next Generation Firewall (NGFW) alapvetően abból adódott, hogy nagyobb láthatóságot és irányítást kell biztosítani a felhasználók és az alkalmazások felett.

tűzfalak

Miért néznek ki így az alkalmazásvezérlő jelentések?

A CHRIS MCCORMACK (a tűzfalak problémája) nemrégiben megjelent cikkében elmagyarázom, hogy a hálózati rajongók számára a tűzfalak miért nem építenek akkora bizalmat, mint egykor. Ebben a cikkben arra összpontosítunk, hogy a modern tűzfalon áthaladó forgalom többsége miért marad ismeretlen, azonosítatlan vagy egyszerűen túl általános ahhoz, hogy besorolható vagy ellenőrizhető legyen.

Miért fontos az alkalmazásvezérlés?

Az évek során a tűzfalak a kerületi őrökből a hálózati őrökké fejlődtek, amelyek védelmet nyújtanak a hálózaton belülről és kívülről egyaránt.

Ezt a hangsúlyeltolódást a rosszindulatú programok fenyegetése, az alkalmazások sebezhetőségei, az adatvesztés és -szivárgás kockázata, a megfelelőségi kötelezettségek és a hálózati teljesítmény optimalizálásának szükségessége vezérli.

Ennek elérése érdekében a Next Generation Firewall (NGFW) szó szerint az előd portjai és protokolljai (az állapottartó tűzfalak) fölé emelkedett az OSI-modell felső rétegeibe, hogy láthatóságot és irányítást biztosítson a felhasználók és az alkalmazások felett.

Ezek mély csomagellenőrzéssel azonosítják az alkalmazásokat, és társítják őket a hálózaton lévő felhasználókhoz vagy számítógépekhez, lehetővé téve az adminisztrátorok számára, hogy olyan feladatokat hajtsanak végre, mint például az ERP-rendszer, a VoIP-forgalom vagy a CRM-szoftverek fontossági sorrendje a streaming (YouTube, rádiók stb.) Helyett, vagy blokkolják és azonosíthatják. a felhasználók P2P forgalma.

Ez a fajta vezérlés attól függ, hogy a tűzfal képes-e sikeresen azonosítani az alkalmazásokat, amit úgy tesz, hogy a forgalomban szokásos mintákat keres, vagyis aláírásokat. Egyes alkalmazások a címkével egyenértékűek, így a forgalmuk könnyen azonosítható, a legtöbb alkalmazás nem, és néhányan megtalálják a módját a tűzfalon való átjutáshoz azonosítás nélkül.

Néhány alkalmazás, amelyet sok szervezet kockázatosnak tart, például a BitTorrent kliensek, megpróbálhatják átverni a tűzfalat azáltal, hogy folyamatosan változtatják a forgalmi szokásaikat és a hálózaton kívüli kapcsolódási módjukat. Más alkalmazások megkerülik az észlelést titkosítással vagy maszkolással, például valami webböngészővel.

Az aláírás-alapú észlelés akkor is meghiúsulhat, ha egy alkalmazást frissítenek, és a forgalmi mintája megváltozik, vagy ha egy alkalmazás egyedi vagy egyszerűen túl sötét ahhoz, hogy megfelelő minta legyen.

Ez egy olyan helyzet, amely nemcsak a potenciális kockázatokat hagyja észrevétlenül, hanem az alapvető üzleti alkalmazásai is, mint például az ERP-megoldások vagy a CRM-szoftverek, észrevétlenek maradhatnak, így forgalmát a webböngészés súlya, vagy kevésbé fontos dolgok, vagy nem kívánt dolgok összezúzhatják vagy összenyomhatják.

Egyezés nélkül a tűzfalnak fogalma sincs arról, hogy mi ez, és nincs ellenőrzése.

Mekkora a probléma?

A Sophos nemrégiben végzett felmérést a közepes méretű szervezetekről annak megállapítása érdekében, hogy alkalmazásforgalmuk mekkora hányada volt azonosítatlan és nem ellenőrzött.

A megkérdezett szervezetek csaknem 70% -ának volt alkalmazás-tudatos UTM vagy Next-Generation tűzfala. A válaszadók elárulták, hogy átlagosan a forgalom 60% -a azonosítatlan… és sok szervezet arról számolt be, hogy alkalmazásforgalmuk akár 90% -a sem volt azonosítva.

Ha aggódsz a biztonság, az elszámoltathatóság vagy a teljesítményre gyakorolt ​​hatása miatt, amelyet a láthatóság hiánya befolyásol a szervezetedre, akkor nem vagy egyedül ...

  • A válaszadók 82% -a aggódik a biztonsági kockázat miatt
  • 65% -uk foglalkozott a hálózati teljesítményre gyakorolt ​​hatással
  • 40% aggódik a lehetséges jogi felelősség és a megfelelés kockázatai miatt

A felmérés feltárta azokat az alkalmazásokat is, amelyek a szervezeteket leginkább érintik a biztonsági rések magas kockázata, a nem megfelelő vagy illegális tartalom által okozott megfelelőségi kockázatok, a termelékenységre vagy a sávszélesség-fogyasztásra gyakorolt ​​hatás miatt:

  • Csevegés és konferencia alkalmazások, például a Skype és a TeamViewer
  • BitTorrent és más P2P kliensek, köztük az uTorrent, a Vuze és a Freenet
  • Proxy és alagút kliensek, például Ultrasurf, Hotspot Shield és Psiphon
  • Játékok és játékplatformok, például a Steam

A következő generációs tűzfal aláírásai nem segítenek ezeknek az alkalmazásoknak a vezérlésében, mert a legtöbb esetben nem találnak egyezést. A forgalom egyszerűen HTTP, HTTPS, TLS, webböngészés és egyéb általános kategóriákként jelenik meg, amelyek nem hasznosak a jelentésekben.

Szerencsére meglehetősen elegáns megoldást találtunk erre a problémára. Töltse le folyóiratunkat: Tartsa kézben a hálózatot: Miért van szükségük a hálózati rendszergazdákra az alkalmazások teljes láthatóságához a további információkért.