A tűzfalak a kiberbiztonság kulcsfontosságú elemei, amelyek figyelik és szűrik a bejövő vagy kimenő internetes adatforgalmat. Céljuk a fenyegetések elleni védelem és az érzékeny adatok kiszivárgásának megakadályozása. Stabil és megbízható működésük létfontosságú egy szervezet IT-biztonságának fenntartása érdekében.
Sokféle tűzfal létezik, és mindegyik típusnak megvan a maga elsődleges célja. Ebben a cikkben a webalkalmazás-szintű tűzfalakat (WAF) és az újgenerációs tűzfalakat (NGFW) hasonlítjuk össze, majd megvizsgáljuk, milyen szerepet játszanak egy átfogó biztonsági megoldás részeként.
WAF-NGFW különbségek és hasonlóságok
Van némi átfedés a webalkalmazási (WAF) és az újgenerációs (NGFW) tűzfalak között. Mindkettő szabályokat és házirendeket alkalmaz a bejövő forgalom szűrésére, és előre definiált kritériumok alapján lép akcióba. Manapság mindkettő egyszerűen futtatható, és a gyártói kínálattól függően nincs hozzá feltétlen szükség dedikált hardver megvásárlására, bár nyilván reális lehetőség, ha biztonsági/üzemeltetési szempontok ezt igénylik, de valójában változatos - Onprem vagy Cloud Virtual Appliance, Container, SaaS - SW formában és kivitelben elérhetőek.
A webvédelem tekintetében mindkettő az OSI hálózati modell 7. (alkalmazási) rétegében működik. Az NGFW-k a hagyományos tűzfalak biztonsági funkciókkal kiegészített új változatai, amelyek képesek Layer 3-7 szinten feldolgozni a vizsgált forgalmat és a kapott információt felhasználni arra, hogy szükség esetén akcióba lépjenek, mielőtt az adatok elérik az alkalmazáshoz közelebb eső rétegeket.
A legfontosabb különbségek az alapvető funkciókban és az általános képességekben rejlenek. Az NGFW-k a bejövő támadások elhárítása érdekében több hálózati forgalmi kontextust ellenőriznek. Emellett kombinálják a fenyegetettségi információkat, hogy segítsék a döntéshozatali folyamatot. A WAF-ok ezzel szemben kifejezetten az alkalmazási rétegre korlátozódnak, így a webes támadások (pl. XSS és SQL-injekciók) megelőzésére specializálódnak. A WAF-ok nem használhatók a hálózat elsődleges tűzfalaiként, de ideálisak az internetnek kitett webes alkalmazások fokozott védelmére.
Mivel a WAF-ok a webes alkalmazások adatforgalmának biztonságára fókuszálnak, megoldást jelentenek a webkiszolgálók védelmére. A WAF-ok azonban nem nyújtanak átfogó hálózati biztonságot, ezért a legjobb, ha NGFW-kkel kombináljuk őket.
Az IT-biztonsági szakmán belül ideálisnak tartott holisztikus védelmi stratégiának számít az OWASP Top 10-ben szereplő támadások elleni védelemre konfigurált WAF, valamint egy hagyományos hálózati határvédelmi tűzfalként működő NGFW, amely képes felismerni és megakadályozni a támadások nagy százalékát, mielőtt azok elérnének a WAF-hoz.
Vizsgáljuk meg részletesebben a két eszköztípus funkciót és előnyeit!
Újgenerációs tűzfalak (NGFW)
Az újgenerációs tűzfalak az alkalmazásszintű tűzfalak olyan típusa, amelyek magukban foglalják a hagyományos hálózati tűzfalak tulajdonságait is. A hálózati réteg adatcsomagjainak vizsgálatával blokkolja a bejövő kéréseket, de hozzáadott képességekkel is rendelkezik, amelyek új módokat nyitnak meg a nem kívánt forgalom blokkolására egy szervezet hálózatán. Tehát rendkívül magas szintű védelmet, a hagyományos tűzfalak funkcióin túl egyéb biztonsági többletszolgáltatásokat is nyújtanak.
Az NGFW-k kiterjesztett biztonsági funkciói:
• Vírusvédelem
• DPI, azaz mélyreható adatcsomag-vizsgálat
• IPS, azaz behatolásvédelmi rendszer
• Gépi tanulás
• Adatcsomag-szűrés
• Szignatúra megfeleltetés
• SSL dekódolás
• Az NGFW hatékonyságát nagymértékben segítik a felhőből érkező, dinamikusan frissülő információk
• URL-blokkolás
• QoS, azaz szolgáltatásminőség mérése
• A hagyományos tűzfalakhoz hasonlóan hálózati és port (NAT és PAT) címfordítás, VPN-védelem
• Opcionálisan alapszintű WAF védelem
Az NGFW-k előnyei a következők:
• Teljeskörű (’full-stack’) láthatóság
• Magas szintű adminisztrátori ellenőrzés
• Rendkívül magas szintű biztonság
• Megfelelés a szigorú tanúsítási sztenderdeknek
• Fájlok és egyéb beérkező adatállományok és objektumok alapos vizsgálata
• Költséghatékonyság széleskörű biztonsági lefedettség mellett
Mikor használjuk tehát az NGFW-ket?
• Több réteget tudnak figyelni: a hagyományos tűzfalak Layer 3 és Layer 4 hatókörén túl az 5., 6., és 7. réteget is. Ez jobb kontextust és rálátást biztosít a támadás típusának azonosításában. Meg tudják például határozni, hogy az egyes adatcsomagok melyik alkalmazást célozzák meg, ennek következtében extra ellenőrzéseket tudnak foganatosítani. Az NGFW-k elsődleges tűzfalként is használhatók.
• A hagyományos tűzfalakon túlmutató kifinomult eszközöket és funkciókat tartalmaznak. Az NGFW-k belső vagy külső szolgáltatásokat használnak a támadások megelőzése érdekében. Például képesek betölteni a fenyegetésekkel kapcsolatos információkat, és automatikusan újrakonfigurálni a szabályokban definiált objektumokat, egyéb paramétereket.
• Fontos megkülönböztető jegye az NGFW-knek a WAF-okkal szemben, hogy az infrastruktúrák egészét védik, míg a WAF-ok dedikáltan web szerverek „elé” telepíthetők.
• Néhány gyártó az NGFW megoldásában kínál opcionálisan tényleges WAF vizsgálatot is, de jellemzően ennek konfigurálhatósága, testreszabhatósága minimális és csak néhány egyszerű telepítési alapesetre, publikációra biztosít fokozott védelmet.
• Más gyártók megközelítése, hogy mivel a kifejezetten ártó szándékú támadások egy részét az IPS alrendszer is képes lehet észlelni és akár egyedi regex szabályokkal kézileg összeállítható egy-egy észlelni szükséges specifikus forgalmi minta felismerése, ezért ezekkel a képességekkel biztosítani tudják a webes publikációk alap védelmét. Ugyanakkor ezen gyártók is hangsúlyozzák – és legtöbb esetben maguk is kinálják – a dedikált WAF megoldások szükségességét és használatát a teljes körű védelem biztosítására.
Webalkalmazás szintű tűzfalak (WAF)
A webalkalmazás szintű tűzfal a webes alkalmazás és az internet közötti bejövő forgalomnak csak a hagyományos OSI hálózati felosztásnak megfelelő legmagasabb szintjét (HTTP(S) vagy 7. réteg) vizsgálja. Valójában ezen felüli további rétegeknek is nevezett Application behavior és user/session információkat is figyelembe veszi és kezeli. Képes észlelni a rosszindulatú kéréseket, és reagálni rájuk, mielőtt azokat a webalkalmazások és webkiszolgálók elfogadnák, így a vállalatok számára plusz biztonsági réteget biztosít.
A WAF-ok különböző kritériumok alapján engedélyezik, blokkolják vagy figyelik a webes kéréseket. Az egyik megadható szabály szerint például egy adott IP-címről érkező összes bejövő kérést blokkolni kell, vagy csak azokat a kéréseket, amelyek bizonyos HTTP-fejléceket vagy sebezhetőségeket tartalmaznak. Akár beállítható, hogy a WAF csak bizonyos típusú, HTTP specifikus paramétereket figyelő, komplex kiértékelési szabályoknak megfelelő végpontokat vegyen figyelembe, csak azoknak engedjen hozzáférést. A WAF tehát afféle pufferként szolgál a vállalat szerverein tárolt webes alkalmazások és a hálózaton kívülről, az alkalmazást weben keresztül elérni próbáló felhasználók között.
A WAF-ok az NGFW-khez képest korlátozottabb védelmet nyújtanak, hiszen mindenekelőtt a webes alkalmazások védelme a szerepük. Ellenben olyan területeket fednek le, amelyeket egy NGFW nem. Ezek az alapvető funkciók a következők:
• Nagy mennyiségű kapcsolatok és kérések feldolgozása
• Webes alkalmazások kódhibáinak gyors észlelése
• Illetéktelen hozzáférések tiltása, preauthentikáció
• API védelem
• Automatikus botfelismerés és -védelem
• Az alkalmazásokhoz való hozzáférés és az adatok ellenőrzése, szűrése, blokkolása; érzékeny adatok védelme
• Riasztási és felügyeleti ’dashboard’
• Fejlett biztonsági funkciók, mint például virtuális patchelés, illetve „mézesbödön” (honeypot) és egyéb megtévesztési technikák
• Automatizált támadásérzékelés az aktivitások és identitások kockázati besorolásával
• Nulladik napi sebezhetőségek észlelése és az ilyen támadások megelőzése
• A webes alkalmazások elleni legfrissebb támadásokkal kapcsolatos fenyegetettségi információk használata
• Adatelemzés az alkalmazások használatáról, beleértve a rosszindulatú vagy gyanús tevékenységeket
A WAF előnyei:
• Extra védelmi réteg a webes alkalmazások tekintetében
• Felhasználó és session kontextus alapján történő védelem
• Egyszerű használat és konfiguráció
• Második védelmi vonal a hálózati tűzfalak mögött
• Dinamikus szignatúravizsgálat, valós idejű szabálydefiníció a fenyegetések blokkolása érdekében
• Gyors reagálási lehetőség a fenyegetésekre
• Kódhibák felfedezése anélkül, hogy hozzáférne a forráskódhoz
• Fejlett öntanulás, taníthatósági képesség, azaz a valid webkérések alapján megtanult forgalmi mintától eltérő webes tevékenységek felismerése
Mikor használjuk tehát a WAF-okat?
• Védelmet nyújtanak a HTTP alkalmazási rétegre jellemző specifikus támadások ellen. A WAF-ok képesek ezen adatforgalom folyamatos és részletes elemzésére, illetve képesek kiszűrni az itt jelentkező rosszindulatú kommunikációt, amely bár formálisan megengedett és szabályos, de valójában valamilyen nem várt állapotot próbál előidézni és kihasználni. Ilyen például az SQL injekció, az XSS, a DDoS és az OWASP Top 10-es listáján szereplő egyéb támadások.
• Segítenek a jogszabályi követelményeknek való megfelelésben. A PCI DSS szabvány például kitér a WAF-ok nyújtotta biztonsági szolgáltatásokra.
Következtetés
Tekintettel a támadások kifinomultságára, a széleskörű biztonsági funkciókkal rendelkező NGFW-ek telepítése vállalati hálózatokon manapság indokolt, sőt, szükséges. Ugyanakkor a szervezeteknek érdemes több rétegre kiterjeszteniük és maximalizálniuk a biztonságukat, ezért
az NGFW és a WAF együttes, egymást kiegészítő bevezetése az iparágilag ajánlott megoldás, hiszen a WAF-ok dedikáltan, és az NGFW-knél döntően magasabb szinten specializálódnak a webes alkalmazások védelmére, így fokozzák az NGFW-k által nyújtott infrastruktúrabiztonságot. Az egyik nem helyettesíthető a másikkal, mindkét eszköztípusnak megvan az indokolt és szükséges helye egy jó biztonsággal rendelkező hálózaton.
A RelNet NGFW és WAF portfóliója
Magyarország meghatározó hálózatkezelési és kiberbiztonsági disztribútoraként a RelNet Kft. gyártói portfóliója természetesen tartalmazza az informatikai piac jelentős WAF és NGFW megoldásait. Nevezetesen:
NGFW:
• Juniper Networks Next-Generation Firewall Services
• Stormshield Network Security NGFW
WAF:
• Radware AppWall és Cloud WAF
• Progress Kemp WAF
A fent említett gyártók tűzfalmegoldásaival kapcsolatos kérdéseivel és igényeivel keresse bizalommal a RelNet Kft. munkatársait.
Források, további információk
Az újgenerációs tűzfalak és a webalakalmazás-szintű tűzfalak különbségeiről a fenti összehasonlításnál részletesebb információk szerezhetők az alábbi oldalakon:
•
Radware – What Does AppWall Do?
•
Progress – Kemp – Kemp Web Application Firewall
•
CIOinsight - NGFW vs WAF: Which Solution Is Best for You?
•
Indusface - NGFWs vs WAF [Guide]
•
Palo Alto Networks - What is the Difference Between Web Application Firewall (WAF) and Next-Generation Firewall (NGFW)?
•
YouTube – Web Application Firewall vs. Next Generation Firewall