Next Generation Firewalls: het draait allemaal om tupels

IT-professionals die verantwoordelijk zijn voor perimeterafweer zijn gefrustreerd.

Een voorbeeld: internetverkeer van alle soorten en maten doorkruist poort 80. Dit betekent dat poort 80 open moet blijven. Slechteriken weten dit. Dus poort 80 wordt hun privé-malware snelweg. En vrachtwagens, vol met malcode, rijden recht voorbij het controlepunt.

Er is hoop

Ik wil graag Next Generation FireWalls (NGFW) introduceren. Firewalls ontworpen om pakketten te filteren op basis van applicaties . Om mijn analogie voort te zetten, kunnen de vrachtwagens met malcode niet meer recht voorbij het controlepunt rijden.

Andere functies die zijn opgenomen in NGFW's:

  • Bedrijfsregels handhaven: NGFW's kunnen de gebruikerstoegang tot websites en online-applicaties naar behoefte beheren.
  • SSL-proxy : NGFW's kunnen de gecodeerde SSL-verbinding decoderen, inspecteren en herstellen. Dit elimineert codering als een methode om malware te verbergen.
  • IDS / IPS : NGFW's hebben diepe pakketinspectie opgenomen tot het punt waarop op zichzelf staande IDS / IPS-apparaten niet nodig zijn.
  • Active Directory-vriendelijk : veel NGFW's kunnen het gebruik van applicaties autoriseren op basis van individuele gebruikersprofielen of groepen.
  • Malwarefiltering: NGFW's bieden handtekening- en reputatiegebaseerde filtering om kwaadaardige toepassingen met een slechte reputatie te blokkeren.

Klik om te vergroten

Verkoper

Palo Alto Networks was het eerste bedrijf dat een NGFW aanbood. Lees deze whitepaper (bovenstaande dia) voor informatie over de NGFW-vereisten per Palo Alto Networks. Barracuda Networks, Juniper Networks en WatchGuard bieden ook NGFW-oplossingen.

N-tuple?

Zowat elke blogpost die ik heb gelezen over NGFW's genoemde tupels . Ik had geen idee wat ze waren. Hopelijk wel. Zo niet, dan is dit wat ik heb ontdekt.

N-tuple is een verzameling attributen. En in het geval van firewalls worden deze attributen gebruikt om toegangsvereisten te definiëren. N is een plaatshouder die het aantal attributen in de lijst vertegenwoordigt. Een 5-tuple "firewall-regel" kan bijvoorbeeld zijn:

  • Bron IP adres
  • Bronpoort (meestal: elke)
  • Bestemming IP Adres
  • Bestemmingspoort (80 of 443)
  • Bestemmingsprotocol (meestal TCP)

Dus als het pakket dat wordt geïnspecteerd alle juiste kenmerken heeft, zal de firewall het passeren.

De 5-tuple verbreden

Ik dacht dat ik "goed was om te gaan" nadat ik had uitgezocht wat een tuple was. Toen las ik iets over "de 5-tuple verbreden". Verbreed een tupel. Heeft dat zelfs zin?

Laten we kijken of dat zo is.

Zoals eerder vermeld, maakt een firewallregel van de eerste generatie gebruik van een verzameling van 5 attributen of 5-tuple. Dat is voldoende om stateful port- en protocolinspectie, Network Address Translation en Virtual Private Network-technologie uit te voeren.

Een regelset van 5 tuple is niet voldoende voor NGFW's. Next Generation Firewalls hebben aanvullende attributen nodig, zoals toepassingstype en gebruikersidentiteit om te werken zoals geadverteerd. Om te begrijpen waarom, overweeg de poort 80-analogie nog een laatste keer.

Als wordt ontdekt dat de truck met malcode een illegaal kenteken heeft, gaat de truck nergens heen. Hetzelfde geldt voor malcode. Als het kenteken - het kenmerk 'toepassingstype' onjuist is, kan de malcode niet worden voortgezet.

De extra attributen of tupels zijn "de 5-tuple verbreden".

Biechttijd : ik vond geen duidelijke uitleg over hoe tupels zich verhouden tot firewalls. Maar artikel na artikel vermeldde tupels. Dus ik sprong erin. Als mijn uitleg fout is, hoop ik dat firewall- en databasebeheerders die me beter begrijpen, me zullen redden.

Enquête zegt

Het Ponomen-instituut heeft zojuist een overzicht van NGFW's voor SourceFire, Inc. voltooid. De infographic (hieronder gedeeltelijk weergegeven) biedt verschillende interessante statistieken, met name wat de interesse in NGFW's drijft en het percentage respondenten dat prestatievermindering opmerkt:

Laatste gedachten

De race naar verfijning tussen malware en antimalware gaat door. Blijf kijken.

© Copyright 2020 | mobilegn.com