ده معیار ارزیابی فایروال های نسل جدید

ارزیابی فایروال یکی از جنبه‌های حیاتی در حوزه امنیت سایبری است. با انجام این ارزیابی، ما توانایی‌ها و ضعف‌های فایروال را شناسایی می‌کنیم تا بتوانیم بهبودهای لازم را در سیاست‌ها و تنظیمات اعمال کنیم. این فرایند به ما کمک می‌کند تا سیستم ما در مقابل حملات مخرب و ناخواسته محافظت شده و اطلاعات حساس مشتریان و شرکت را در مقابل تهدیدها حفظ کنیم.

در این مطلب به چند مسئله می‌پردازیم که باید در هنگام خرید فایروال به آن‌ها دقت کرد.

شناسایی برنامه‌های کاربردی، نه پورت‌ها

در ارزیابی فایروال شناسایی یک برنامه کاربردی به‌محض اینکه فایروال آن را ببیند فارغ از پورت، پروتکل، رمزگذاری SSL یا تاکتیک‌‌های فرار دیگر، بیشترین دانش را نسبت به برنامه کاربردی و بهترین فرصت را برای کنترل Policy فراهم می‌کند.

درنهایت مهم است که فایروال‌ نسل جدید دارای Library کاملی از Signatureهای برنامه کاربردی نصب شده روی دستگاه باشد تا از مشکلات مربوط به تأخیر که ممکن است برای یک دیتابیس Hostشده یا «درون Cloud» رخ دهد اجتناب شود. Library باید به‌طور متداولی با Signatureهای برنامه‌های کاربردی جدید از سوی فروشنده یا از طریق یک سرویس اشتراکی به‌روزرسانی شود و به‌روزرسانی‌های Signature نیز باید (در صورت خواست مشتری) خودکارسازی شوند.

شناسایی برنامه کاربردی قلب دسته‌بندی ترافیک روی NGFWها است. این فایروال هوشمند، مقیاس‌پذیر، قابل‌توسعه و همیشه (روی تمام پورت‌ها و کل ترافیک) روشن است. اگر فایروالی این‌طور نبود، فایروال نسل جدید نیست.

شناسایی کاربران، نه آدرس‌های IP

در ارزیابی فایروال یکپارچه‌سازی با خدمات دایرکتوری سازمانی (مثل Active Directory، LDAP و eDirectory) به ادمین‌ها این توانایی را می‌دهد که فعالیت شبکه را به کاربران و گروه‌ها گره بزنند، نه فقط آدرس‌های IP. وقتی که این امر با تکنولوژی‌های شناسایی محتوا و برنامه کاربردی مورداستفاده قرار بگیرد، سازمان‌های IT می‌توانند از اطلاعات گروه و کاربر برای قابلیت دید، ایجاد Policy، بررسی جرم‌شناسی و گزارش‌گیری در مورد برنامه کاربردی، تهدید، وب‌گردی و فعالیت انتقال داده استفاده کنند.

شناسایی کاربر به ما کمک می‌کند که به چالش‌های استفاده از آدرس‌های IP برای مانیتورینگ و کنترل فعالیت کاربران به‌خصوص پاسخ دهیم؛ کاری که قبلاً بسیار ساده بود، اما اکنون با توجه به حرکت سازمان‌ها به‌سوی مدلی با مرکزیت اینترنت دشوار شده است.

دورکار شدن روزافزون کاربران در سازمان‌ها، مشکل قابلیت دید را دوچندان می‌کند، زیرا کارمندان می‌توانند از هر جایی در جهان به شبکه دسترسی داشته باشند، درحالی‌که کاربران از یک Zone به Zone دیگر می‌روند، شبکه‌های بی‌سیم داخلی آدرس‌های IP را مجدداً تخصیص می‌دهند، همچنین کاربران شبکه همیشه کارمندان شرکت نیستند. نتیجه این است که آدرس IP اکنون یک مکانیزم ناکارآمد برای مانیتورینگ و کنترل کردن فعالیت کاربر است.

در NGFWها باید به دنبال تکنیک‌های زیر باشیم تا رابطه‌ی کاربر با آدرس IP را تائید و حفظ کرده و به‌دقت کاربران را شناسایی کنیم:

• مانیتورینگ Login: فعالیت Login مانیتور می‌شود تا وقتی که کاربری به دامین Login می‌کند، یک آدرس IP به اطلاعات یک کاربر یا گروه مرتبط شود.
• سرشماری End-station: هر PC فعال سرشماری می‌شود تا اطلاعات آدرس IP بررسی شود و وقتی کاربران بدون احراز هویت مجدد در دامین در شبکه حرکت می‌کنند، Mapping دقیقی حفظ شود.
• پورتال Captive: در مواردی که Hostها بخشی از دامین نیستند، از طریق یک فرم احراز هویت مبتنی بر Page، آدرس‌های IP و کاربر را مرتبط می‌کند.
• سادگی پیاده‌سازی: شناسایی کاربر باید بدون تأثیرگذاری روی زیرساخت حیاتی انجام شود. برخی از راهکارها نیازمند این هستند که یک Agent روی هر کنترلر دامین در سازمان‌ نصب شود که این امر می‌تواند روی عملکرد تأثیر بگذارد و به‌شدت پیاده‌سازی را پیچیده کند.

شناسایی محتوا، نه Packetها

در ارزیابی فایروال با توجه به اینکه کارمندان از برنامه‌های کاربردی که دلشان می‌خواهد استفاده می‌کنند و بدون هیچ عواقبی وب‌گردی می‌کنند، تعجبی ندارد که حفاظت از شبکه در مقابل فعالیت تهدیدآمیز برای سازمان‌ها دشوار است. اولین قدم بدست آوردن مجدد کنترل روی فعالیت تهدیدآمیز است تا برنامه‌های کاربردی شناسایی و کنترل شوند و فعالیت برنامه‌های کاربردی بد یا نامطلوب (که معمولاً به‌عنوان مسیرهای حمله مورداستفاده قرار می‌گیرند) کاهش پیدا کند. سپس Policyها برای کنترل محتوا را می‌توان پیاده‌سازی کرد تا Policyهای کنترل استفاده از برنامه کاربردی تکمیل شوند.

قابلیت‌های شناسایی محتوا در NGFW باید شامل موارد زیر باشد:

پیشگیری از تهدید: باید ویژگی‌های نوآورانه برای رسیدگی به تغییرات در چشم‌انداز تهدید و پیشگیری از نفوذ آسیب‌پذیری‌های برنامه کاربردی، جاسوس‌افزار و ویروس‌ها به شبکه را جستجو کرد. از جمله این ویژگی‌ها می‌توان موارد زیر را مثال زد: رمزگشاهای برنامه کاربردی که جریان‌های داده‌ی برنامه کاربردی که بازسازی و تجزیه شده‌اند را برای پیدا کردن شاخص‌های تهدید به‌خصوصی بررسی می‌کنند، همچنین موتورهای تهدید یکپارچه و فرمت‌های Signature برای شناسایی و مسدود کردن ‌طیفی از بدافزارها (مثل ویروس‌ها، جاسوس‌افزارها و Exploitهای آسیب‌پذیری) به‌صورت یکجا و نه استفاده از مجموعه‌ی جداگانه از موتورهای اسکن و Signatureها برای هر نوع از تهدید.

اسکن ویروس مبتنی بر جریان: این تکنیک به‌محض اینکه اولین Packetهای یک فایل دریافت شوند، شروع به اسکن می‌کند و تا وقتی که کل فایل در حافظه باشد صبر نمی‌کند. این امر با دریافت، اسکن و بلافاصله ارسال ترافیک به مقصد آن بدون اینکه لازم باشد فایل را بافر و سپس اسکن کند، مشکلات عملکرد و تأخیر را به حداقل می‌رساند.

حفاظت در مقابل حمله و آسیب‌پذیری: پیشگیری از آسیب‌پذیری برنامه کاربردی با استفاده از مجموعه‌ای از ویژگی‌های سیستم‌های پیشگیری از نفوذ یا IPS برای مسدود کردن Exploitهای آسیب‌پذیری لایه برنامه کاربردی و شبکه شناخته‌شده و ناشناس، سرریزهای بافر، حملات Denial-of-Service یا DoS و اسکن‌های پورت جهت پیشگیری از نقض امنیتی یا آسیب‌ رسیدن به منابع اطلاعات سازمانی مورداستفاده قرار می‌گیرد. مکانیزم‌های IPS شامل موارد زیر هستند:

• رمزگشاهای پروتکل و شناسایی ناهنجاری‌ها
• تطبیق الگوی Stateful
• شناسایی ناهنجاری‌ به لحاظ آماری
• تجزیه‌و‌تحلیل مبتنی بر استنتاج
• مسدود کردن Packetهای نامعتبر یا ناهنجار
• IP Defragmentation و بازسازی TCP
• Signatureهای جاسوس‌افزار و آسیب‌پذیری سفارشی

ترافیک عادی‌سازی می‌شود تا Packetهای نامعتبر و ناهنجار از بین بروند، درحالی‌که بازسازی TCP و IP Defragmentation انجام می‌شود تا اطمینان حاصل شود که فارغ از تکنیک‌های فرار از حمله بیشترین دقت و حفاظت برقرار است.

فیلترینگ URL: در ارزیابی فایروال دیتابیس فیلترینگ URL باید مسائل مربوط به تأخیر را در دیتابیس‌های Hostشده را کاهش دهد. ویژگی‌های سفارشی‌سازی باید شامل توانایی ایجاد دسته‌‌های URL و Policyهای جزئی و دقیق برای گروه‌ها و کاربران به‌خصوصی باشد که می‌توانند دسترسی به وب‌سایت‌ها را مجاز یا مسدود کنند و یا اول هشدار دهند و سپس آن‌ها را مجاز کنند.

فیلترینگ فایل و داده: فیلترینگ داده به ادمین‌ها این توانایی را می‌دهد که Policyهایی را پیاده‌سازی کنند که ریسک‌های مربوط به انتقال فایل‌ها یا داده‌های غیرمجاز را کاهش دهد.

مسدود کردن فایل با توجه به نوع آن‌ها: باید با عمیق شدن در Payload برای شناسایی نوع فایل (نه صرفاً مشاهده‌ی فرمت فایل) جریان طیف وسیعی از فایل‌ها کنترل شود.

فیلترینگ داده: باید انتقال الگوهای داده مثل شماره‌های کارت اعتباری و تأمین اجتماعی در محتوا یا ضمیمه‌های برنامه کاربردی کنترل شود.

کنترل عملکرد انتقال فایل: عملکرد انتقال فایل باید در چارچوب یک برنامه کاربردی به‌خصوص کنترل شود، طوری که اجازه استفاده از برنامه کاربردی وجود داشته باشد اما از انتقال فایل نامطلوب ورودی یا خروجی پیشگیری گردد.

شش ویژگی بعدی که شرح داده می‌شوند، کمتر فنی هستند، اما همچنان مهم‌اند.

قابلیت دید در ارزیابی فایروال

در ارزیابی فایروال ،فایروال‌های نسل جدید به ادمین‌ها داده‌های قابل‌اجرایی می‌دهند که به‌صورت کارآمدی ارائه می‌شوند؛ توانایی دیدن سریع و آسان اطلاعات برنامه کاربردی، کاربر و محتوا به‌طور دقیق و پر جزئیات بسیار ارزشمند است.

کنترل در ارزیابی فایروال

یک راهکار فایروال‌های نسل جدید قدرتمند Policyهای کنترل استفاده از برنامه کاربردی را به‌طور جزئی و دقیق ارائه می‌دهد؛ مثلاً ترکیب موارد زیر:

• مجاز یا غیرمجاز
• مجاز کردن برخی از عملکردهای برنامه کاربردی و شکل‌دهی به ترافیک
• مجاز کردن همراه با اسکن
• رمزگشایی و بررسی
• اجازه دادن به کاربران و گروه‌های خاص

عملکرد در ارزیابی فایروال

NGFWهای In-Line باید عملکردهای امنیت شبکه‌ی پیشرفته‌ای را انجام دهند که از نظر رایانشی سنگین هستند و باید این کار را به‌صورت Real-Time انجام دهند و میزان تأخیر اندک رو به صفری داشته باشند. در ارزیابی فایروال یک فایروال‌ نسل جدید باید توانایی رسیدگی به جریان‌های ترافیک چند گیگابیتی را با استفاده از پردازنده‌های پرسرعت با عملکرد به‌خصوص روی پلتفرم‌هایی که به‌صورت هدفمند ساخته‌شده‌اند داشته باشد. ایده‌آل این است که برای اطمینان حاصل کردن از دسترس‌پذیری مدیریت و پردازش Packet، بخش‌های Plane مدیریتی و Plane کنترل جدا از هم باشند.

انعطاف‌پذیری در ارزیابی فایروال

انعطاف‌پذیری شبکه کمک می‌کند که از تطبیق‌پذیری با محیط رایانشی هر سازمانی اطمینان حاصل شود. امکان پیاده‌سازی بدون نیاز به طراحی و پیکربندی مجدد به پشتیبانی از طیف گسترده‌ای از ویژگی‌ها و امکانات شبکه بستگی دارد، مثل:

• VLANهای ۱q و مبتنی بر پورت
• پورت‌های Trunked
• حالت شفاف (Transparent)
• پروتکل‌های Routing پویا (مثل OSPF و BGP)
• پشتیبانی از IPv6
• پشتیبانی از IPSec و SSL VPN
• اینترفیس‌هایی با ظرفیت بالا و چندین حالت مختلف (مثلاً Tap، Layer 1، Layer 2 و Layer 3)

قابلیت اطمینان در ارزیابی فایروال

قابلیت اطمینان کمک می‌کند اطمینان حاصل کنیم که عملیات بدون توقف اجرا می‌شود و دارای ویژگی‌هایی است از جمله:

• Failover به‌صورت Active-Passive یا Active-Active
• هماهنگی پیکربندی و وضعیت
• اجزای اضافی (مثلاً منابع تغذیه دوگانه)

مقیاس‌پذیری در ارزیابی فایروال

مقیاس‌پذیری در وهله‌ی اول به قابلیت‌های مدیریتی قدرتمند (از جمله مدیریت متمرکز دستگاه و Policy و هماهنگی بین دستگاه‌ها) و سخت‌افزار با عملکرد بالا متکی است، اما همچنین می‌توان با پشتیبانی از سیستم‌های مجازی آن را تسهیل کرد، زیرا در این سیستم‌ها یک فایروال فیزیکی را می‌توان پیکربندی کرد تا نقش چند مورد را بازی کند.

قابلیت مدیریت در ارزیابی فایروال

قابلیت مدیریت یکی از ویژگی‌های مهم ارزیابی فایروال نسل جدید است. یک راهکار پیچیده که مدیریت و حفظ آن بسیار سخت باشد، نخواهد توانست به حداکثر کارآمدی برسد و حتی ریسک پیاده‌سازی آن به شیوه‌ای نادرست و ناامن وجود دارد.

• قابلیت‌های مدیریت مهم شامل موارد زیر هستند:
• مدیریت Local و Remote
• مدیریت متمرکز
• مدیریت مبتنی بر نقش
• به‌روزرسانی‌های Signature خودکار
• مانیتورینگ Real-Time وضعیت دستگاه و رویدادهای امنیتی
• Logging قدرتمند و گزارش‌گیری با قابلیت سفارشی‌سازی