W literaturze fachowej jak i na stronach producentów sprzętu sieciowego spotkamy się z określeniami “firewall” oraz “IDS”, “IPS” czy “IDS/IPS”. Bardzo często te nazwy poprzedzone są przedrostkiem “NG” oznaczającym “next generation”. Czym są te następne generacje urządzeń dbających o bezpieczeństwo naszej infrastruktury i użytkowników? Jak dobór odpowiedniego urządzenia zwiększy bezpieczeństwo naszej sieci? A może to tylko chwyt marketingowy? 

Warto dokładnie poznać różnicę między FW (firewall) a NGFW (next-generation firewall), a także między IPS (intrusion prevention system) a NGIPS (next-generation intrusion prevention system). Oznaczenia NG wskazują na to, że mamy do czynienia z bardziej zaawansowanymi technologicznie rozwiązaniami. W odróżnieniu od klasycznych firewalli NGFW oferują między innymi identyfikację aplikacji i płynniejsze zarządzanie ruchem sieciowym. NGIPS natomiast wykrywają i chronią przed nowoczesnymi zagrożeniami, np. atakami za pomocą exploitów, a także oferują możliwość analizy ruchu sieciowego w czasie rzeczywistym. Firmy często decydują się na zakup urządzeń „next-generation” ze względu na szereg zalet, jakie oferują, ale trzeba pamiętać, że ich cena jest znacznie wyższa niż standardowych firewalli czy sond IPS. Dodatkowo, wiele licencji do nich sprzedawana jest w modelu subskrypcyjnym. Decyzja o wyborze konkretnego urządzenia powinna być dobrze przemyślana i zależy od indywidualnych potrzeb i wymagań firmy. 

Jak działa firewall? 

Typowy firewall działa poprzez blokowanie lub zezwalanie na ruch sieciowy, bazując na zestawie reguł. Reguły te określają, jakie połączenia sieciowe są dozwolone, a jakie są blokowane. Firewall może blokować ruch na podstawie adresów IP, portów, protokołów sieciowych lub aplikacji. Wykorzystuje do tego celu listy kontrolne ACL (Access Control List), za pomocą których administrator definiuje reguły określające, które pakiety są dozwolone do przesyłania przez urządzenie firewall, a które nie. ACL są stosowane do każdego interfejsu urządzenia firewall i pozwalają na filtrowanie ruchu sieciowego. Przykładowa lista ACL zawiera reguły składające się z adresu źródłowego i docelowego oraz protokołu i portu. Pakiety, które nie spełniają warunków określonych w liście ACL, są odrzucane i nie są przepuszczane przez firewall. Brzmi dość archaicznie? 

Firmy coraz częściej sięgają po rozwiązania NGFW, ponieważ pozwalają one na dokładniejsze kontrolowanie ruchu sieciowego, identyfikację aplikacji, a także blokowanie szkodliwych treści. Takie urządzenia stosują zaawansowane mechanizmy przetwarzania ruchu sieciowego, takie jak inspekcja SSL, filtrowanie treści, a także identyfikacja użytkowników. Dzięki temu można lepiej chronić sieć przed atakami z zewnątrz i do wnętrza przedsiębiorstwa, a także zapewnić większą widoczność tego, co dzieje się wewnątrz sieci. 

Co to jest IPS i jak się różni od NGIPS? 

IPS (ang. Intrusion Prevention System) to system zapobiegania włamaniom, który działa na podstawie analizy ruchu sieciowego i rozpoznawania podejrzanych wzorców zachowań. IPS porównuje ruch sieciowy z bazą danych znanych zagrożeń oraz heurystyką w celu zidentyfikowania i zablokowania prób ataku. 

NGIPS (ang. Next Generation Intrusion Prevention System) to zaawansowany system zapobiegania włamaniom, który oprócz funkcji klasycznych IPS wprowadza szereg nowoczesnych rozwiązań. Niektóre z nich to:

  1. Głęboka (zaawansowana) inspekcja pakietów (DPI) – Ta technologia pozwala na analizę zawartości pakietów danych, które przemieszczają się przez sieć. Dzięki temu, NGIPS może lepiej rozpoznawać i zablokować próby ataku lub infekcji sieci. 
  2. Integracja z innymi systemami bezpieczeństwa – NGIPS można łatwo zintegrować z innymi rozwiązaniami bezpieczeństwa, takimi jak SIEM (Security Information and Event Management), co pozwala na lepszą koordynację i przegląd działań podejmowanych w celu ochrony infrastruktury sieciowej. 
  3. Wykrywanie zagrożeń na podstawie zachowań – Systemy NGIPS wykorzystują zaawansowane algorytmy uczenia maszynowego do analizy ruchu sieciowego i szybkiego wykrywania nieprawidłowych zachowań mogących świadczyć o próbach ataku czy infekcji. Pozwala to na bardziej efektywne reagowanie na rzeczywiste zagrożenia i minimalizowanie fałszywych alarmów. 
  4. Automatyzacja i samouczenie się – Nowoczesne systemy NGIPS  mają możliwość automatyzacji niektórych procesów, co pozwala na lepsze zarządzanie ruchem sieciowym i szybszą reakcję na ewentualne próby ataku. Ponadto, dzięki technologii uczenia maszynowego (Machine Learning), systemy te są w stanie samodzielnie doskonalić swoje działanie i dostosowywać się do zmieniających się warunków oraz zagrożeń, co wpływa na znaczne usprawnienie ochrony przed intruzami. 

Co wybrać? 

Większość dostępnych obecnie na rynku urządzeń, których zadaniem jest zapewnić sieciom bezpieczeństwo, takich właśnie jak firewalle czy IPS-y, obecnie dostępne są tylko jako rozwiązania next-generation. Zazwyczaj też obie funkcje pełnione są przez jedno urządzenie. Co nie oznacza, że są one domyślnie aktywne oraz że zawsze będziemy musieli za nie płacić. Jak już wcześniej wspomniałem, producenci dla funkcji next-generation zazwyczaj stosują model opłat subskrypcyjnych, a nie jednorazowej opłaty, jak ma się to do zakupu samego sprzętu. A to dlatego, że muszą oni na stałe utrzymywać centra kompetencyjne i zatrudniać expertów z obszaru bezpieczeństwa, którzy będą aktualizowali mechanizmy bezpieczeństwa i dostosowywali je do zagrożeń, które zostaną przez nich wykryte. Stały monitoring internetu i utrzymanie tego typu centrów kompetencyjnych nie jest tanie. Nam jako klientom takie podejście daje jednak możliwość elastycznego doboru funkcjonalności i płacenia jedynie za te, które są nam w tej chwili potrzebne. Przykładowo – Cisco do urządzeń serii Firepower sprzedaje osobno licencje Thread Defence, URL Filtering i Malware Protection.  

Pamiętajmy też, że rozwiązania powinny być dostosowane do rozmiarów sieci przedsiębiorstwa oraz potrzeb związanych z jej ochroną. Warto również uwzględnić dynamikę zmian i planowaną skalę rozwoju infrastruktury sieciowej oraz poniższe aspekty: 

  1. Budżet przeznaczony na inwestycję – Przed podjęciem decyzji o zakupie systemu NGIPS warto przeanalizować dostępne środki oraz koszty związane z wdrożeniem, utrzymaniem, a także ewentualnym dostosowaniem systemu do konkretnych potrzeb przedsiębiorstwa. 
  2. Zdolność wykrywania zagrożeń – Bardzo istotnym czynnikiem przy wyborze NGIPS jest jego efektywność w wykrywaniu zagrożeń oraz szybkość reakcji na ataki. Przy ocenie systemów warto zwrócić uwagę na wyniki testów wydajnościowych oraz rekomendacje ekspertów z branży. 
  3. Integracja z zewnętrznymi systemami – Ważnym aspektem wyboru NGFW i NGIPS jest możliwość ich łatwej integracji z innymi systemami bezpieczeństwa, takimi jak SIEM czy też systemami zarządzania siecią. Im lepsza współpraca tych narzędzi, tym skuteczniej będą chronione zasoby przedsiębiorstwa. 
  4. Wsparcie techniczne i aktualizacje – Przy wyborze systemu warto również zwrócić uwagę na rodzaj i jakość wsparcia technicznego oferowanego przez producenta, a także na możliwość łatwego dostępu do aktualizacji oraz rozbudowy systemu w przyszłości. A także dobrać odpowiedni dla nas reżim czasowy wsparcia na przykład w przypadku awarii fizycznej urządzenia. 
  5. Łatwość obsługi – Ostatnim, ale równie ważnym aspektem jest intuicyjność i użyteczność interfejsu systemu NGIPS. Odpowiednio zaprojektowany i przyjazny dla użytkownika interfejs pozwoli na łatwość zarządzania i efektywną pracę z systemem, ograniczając liczbę szkoleń oraz problemów związanych z użytkowaniem.