Поговорим об NGFW

В предыдущей статье, посвященной WAF мы рассмотрели отличия межсетевого экрана уровня приложений от средств обнаружения вторжений. Однако, на этом список новомодных сетевых средств защиты не исчерпывается.  В этой статье мы поговорим о межсетевых экранах нового поколения Next Generation Firewall, NGFW. Обычно NGFW называют межсетевой экран для глубокой фильтрации трафика, интегрированный с IDS/IPS и обладающий возможностью контролировать и блокировать трафик на уровне приложений. Под такое, достаточно емкое определение подпадает целый ряд решений, обладающих различным функционалом.

Поэтому предлагаю для начала разобрать по порядку, от каких угроз и каким образом NGFW и песочницы защищают сеть.

Сетевые угрозы

Рассмотрим типовой набор атак на инфраструктуру. Здесь на первом месте как правило стоят DDoS атаки, далее идут различные фишинговые активности, попытки подбора паролей. Для закрепления в атакованной сети злоумышленники как правило используют различные виды вредоносного ПО. Также, получив доступ к сетевой инфраструктуре, злоумышленник может пытаться осуществить перехват трафика с помощью атак “человек посередине” (MitM). Ну и еще одним, “вечно живым” вектором атак является эксплуатация уязвимостей в программном обеспечении.

Это то, что касается типовых векторов атак, однако не стоит также забывать об APT-атаках. АРТ атака -это целевая продолжительная атака повышенной сложности, задачей которой является обнаружение на устройстве пользователя секретной, конфиденциальной или любой ценной информации и использование ее в интересах киберпреступников.

Типичными признаками APT-атаки является ее распределенность во времени, направленность на крупную организацию и ее сотрудников, использование целевого фишинга и технологий социальной инженерии, направленных на конкретных сотрудников с целью получения конкретных доступов и информации. Также характерными признаки АРТ являются различные подозрительные активности в нерабочее время, например, попытки подбора паролей для учетных записей, поиск и копирование больших объемов информации, а также попытки распространения различных бэкдоров и троянов.

Где нужен NGFW

Классические средства защиты, такие как межсетевые экраны и антивирусы, не слишком полезны в борьбе с APT-угрозами. Так, обычный межсетевой экран разбирает пакет только до транспортного уровня, не заглядывая в “начинку” уровня приложений. В результате злоумышленники для своих коммуникаций могут использовать разрешенные в списках доступа протоколы и адреса, в результате чего подозрительная активность может остаться незамеченной. С антивирусами история похожая, но здесь злоумышленник, зная, какой именно антивирус используется в организации может обфусцировать свой код таким образом, что данный антивирус ничего не заподозрит. От сетевых угроз в определенной степени нас могут защитить средства обнаружения атак IDS/IPS, о которых мы говорили в предыдущей статье.

Однако, функционал NGFW может намного шире, чем в IPS, что позволяет эффективнее бороться с различными атаками, включая APT. Конечно, когда мы говорим, о широком функционале решений NGFW, в определенной степени работает маркетинг, так как многие из этих функций ранее уже входили в решения класса UTM (Unified Threat Management, комплексное обеспечение от сетевых угроз).

Но посмотрим, что может входить в состав современного NGFW решения. Прежде всего это средства анализа на уровне приложений - Application Control. Получив пакет, мы разбираем его, начиная от L3 и заканчивая уровнем L7. Таким образом, мы можем выявить подозрительные активности в сети. Например, вредонос, поселившись в сети, использует для соединения с C&C специальные доменные имена. Сгенерированные с помощью DGA (Domain Generation Algorithm). Эти имена позволяют вредоносам подключаться к C&C серверам используя различные доменные имена. Так на картинке ниже вредонос на машине жертвы перебирает доменные имена в поисках адреса сервера управления.

Обычный межсетевой экран не сможет никак обнаружить такую активность, потому что это будут просто запросы к DNS серверу по 53 порту, и если такая активность не запрещена на FW, то пакеты пройдут. А вот в случае с NGFW уже не все так просто. Заглянув в пакет и увидев там запрос какого-то подозрительного доменного имени NGFW вполне может заблокировать такой пакет.

Еще одна базовая функциональность любого NGFW это фильтрация по URL. Здесь мы также заглядываем на уровень приложений в HTTP пакетах и смотрим к каким именно сайтам идет обращение. Возможны различные реализации такого функционала, например с помощью репутационных списков подозрительных сайтов, которые вендор предоставляет за отдельную плату. В случае использования HTTPS, зашифрованный трафик расшифровывается также непосредственно на NGFW.

Еще одним компонентом NGFW является возможность управления VPN подключениями к корпоративной сети. Управление удаленными подключения к корпоративной сети позволяет реализовать концепцию нулевого доверия (Zero Trust Network Access). Если вкратце, то данная концепция предполагает, что решение о том, разрешать ли доступ тому или иному пользователю принимается непосредственно в момент подключения, на основании различных параметров, таких как, используемая ОС и браузер, локаль, географическое расположение и многое другое. Таким образом, с помощью ZTNA мы можем предотвратить удаленный доступ злоумышленника к корпоративной сети, даже если ему удалось захватить учетные данные легального пользователя.

Еще одним неотъемлемым компонентом практически любого NGFW является функционал IPS. Как правило, этот функционал реализуется на том же устройстве, и активируется подпиской, поэтому при расчете мощностей NGFW оборудования, необходимо учитывать требования к анализу трафика в целом и в частности к инспекции SSL трафика.

Также, как правило, за дополнительную плату можно активировать такие средства защиты как антивирусная проверка трафика и антиспам. Антивирусная проверка сводится к выявлению в трафике файлов и анализу их на подозрительное содержимое. Еще одним отдельным компонентом может идти песочница Sandbox, с помощью которой мы можем проверить в эмулированной среде, что делает тот или иной исполняемый файл на самом деле.

Некоторые вендоры, опять-таки за дополнительную плату, предлагают добавить в NGFM функционал по анализу логов на подобие SIEM, средства предотвращения утечек в трафике (DLP) и т.д.

Варианты внедрения

Поговорим о вариантах внедрения NGFW. Возможны несколько вариантов. Прежде всего, классическим и, пожалуй, наиболее надежным исполнением является физическое устройство. При использовании физических устройств в отказоустойчивой конфигурации у нас меньше вероятность столкнуться с проблемами производительности. Также возможен вариант с виртуальным устройством или использование облачного сервиса. Говоря об использовании отказоустойчивых конфигураций стоит отметить, что возможны два варианта:

● High Availability. Одна нода кластера активная и маршрутизирует трафик, вторая нода пассивная и находится в горячем резерве, готовая стать активной в случае проблем с первой.

● Load Sharing. Обе ноды активны и трафик “делится” между ними.

Типичные представители

В прежние времена любой уважающий себя сетевой вендор выпускал решения, которые позиционировал как NGFW и на российском рынке можно было найти решения от Palo Alto, Check Point, Fortinet и других вендоров. Но сейчас нам по факту доступны по большей части только российские решения. Основными российскими игроками на этом рынке являются Usergate, АПКШ Континент, xFW 5 и Ideco. Наиболее распространенными являются решения первых двух вендоров.

Данные решения обладают различными возможностями, такими как настройка правил МСЭ по различным объектам, включая пользователей. Как и положено NGFW возможна настройка фильтрации трафика по любым полям и заголовкам. Также присутствует функционал по работе с VPN, при этом, в сертифицированных версиях решений используется шифрование ГОСТ.

NGFW содержат в своем составе  и антивирусных функционал, позволяющий проверять файлы на вирусы что называется, “на лету”.

У каждого из вендоров в том или ином виде реализована поддержка отказоустойчивости работа в режиме Active-Passive или Active-Active.

Заключение

В целом, решения класса NGFW являются достаточно мощным средством защиты сетевой инфраструктуры, позволяющим выявлять многие современные угрозы.

Напоследок приглашаю вас на бесплатный урок, где мы:

• Разберемся в стратегиях защиты.

• Определимся, что такое периметр.

• Изучим средства и способы его защиты.

• У меня нет периметра! У меня лапки облака. Поговорим о современных способах защиты смешанных сред.

  Посещение вебинара — это шанс протестировать курс и познакомиться с преподавателем. Регистрация доступна по ссылке.