За многие годы использования брандмауэров накапливаются сложные наборы правил. Эти списки быстро теряют наглядность, но администраторы, опасаясь удалять записи о старых правилах, зачастую просто добавляют к ним новые, не проверяя, актуальны ли уже существующие. В результате такого подхода управление правилами становится все более сложным, а доступ к сетевым ресурсам чрезмерно открытым, что идет вразрез с исходным предназначением межсетевых экранов и отрицательно сказывается на безопасности сети.

В большинстве существующих инсталляций системные администраторы предоставляют пользователям — пусть и непреднамеренно — слишком широкий доступ к сетевым ресурсам. Это происходит вследствие неэффективного управления изменениями, а также из-за отсутствия четко сформулированных требований и общей стратегии в отношении «старения» правил. К тому же, осуществляя изменения, порой ненужные, администраторы нередко даже не пытаются выяснить, как наилучшим образом интегрировать их в существующие директивы и какие последствия будет иметь их добавление с точки зрения потенциальных рисков.

ФАКТОР РИСКА: НЕХВАТКА ИНФОРМАЦИИ

К администраторам предъявляются высокие требования. Они должны быстро вносить необходимые изменения, к примеру, предоставлять доступ новым пользователям. Часто задачи формулируются в виде общих запросов («Пожалуйста, предоставьте доступ к серверу из моей сети!»), но содержащейся в них информации недостаточно для создания адекватных правил, позволяющих предоставить действительно необходимый уровень доступа. К какой части сети нужен доступ? Какие сервисы потребуются для его реализации? В результате допуск оказывается слишком широким: чтобы быстро обеспечить пользователям доступ к нужным ресурсам и выполнить бизнес-требования, директивы и правила обычно создаются с помощью объектов Any. Кроме того, на большинстве предприятий существуют определенные процедуры для создания и добавления новых правил, однако редко где разработаны стратегии удаления уже ненужных и устаревших директив.

На практике можно наблюдать несколько стандартных сценариев: на предприятии ликвидируют старый сервер баз данных, не поставив об этом в известность ответственного за администрирование брандмауэра. Спустя два месяца тот же IP-адрес присваивается другому сетевому компоненту, а значит, для нового устройства начинают действовать старые правила, не настроенные для него. Число неиспользуемых правил возрастает и в результате увольнения сотрудников. Как правило, никто не рискует удалять подобные правила из опасения, что они еще могут понадобиться или это действие повлияет на функционирование всей инфраструктуры. Обычно ситуация усугубляется еще и недостаточно полным централизованным документированием правил или вообще отсутствием нужной документации, которая помогла бы сделать выводы о целесообразности сохранения доступа, а также решить, на кого правила должны распространяться, кто является ответственным лицом и т. д.

Эффективное администрирование брандмауэров нацелено как раз на решение указанных проблем. Оно позволяет избавиться от разросшейся и излишне сложной системы правил и отвечает за то, чтобы доступ к сети осуществлялся в соответствии с бизнес-требованиями предприятия и действительной необходимостью. Обеспечение правильной и эффективной работы межсетевых экранов — непрекращающийся процесс, однако начать следует с проведения тщательной генеральной уборки. При этом надо принимать во внимание не только соотношение затрат и пользы, но и связанные с этим риски, так как свыше 80% всех сетевых сбоев происходят вследствие изменения конфигурации сетей.

Изменение правил для брандмауэра особенно рискованно, потому что чревато прерыванием бизнеспроцессов. Чтобы этого избежать, все планируемые изменения требуется тщательно проверять. Процесс «уборки» можно разделить на три этапа. Сначала выполняются самые быстрые и наименее рискованные изменения, которые сразу же приведут к упрощению набора правил. На втором этапе предпринимаются изменения с умеренной степенью риска, способствующие повышению безопасности систем, а затем осуществляется более тонкая настройка правил для оптимизации прав доступа.

УСТРАНЕНИЕ ТЕХНИЧЕСКИХ ОШИБОК

ъСначала необходимо удалить правила, содержащие технические ошибки. Они идентифицируются как неэффективные или неправильные записи, независимо от того, что именно должен защищать межсетевой экран. Речь идет о скрытых правилах (Hidden Rules), которые можно подразделить на избыточные и теневые. И те и другие не учитываются брандмауэром, поскольку к трафику уже были применены правила с более высоким приоритетом. Содержание избыточных правил соответствует исходной политике, тогда как теневые приводят к обратному эффекту. Вне зависимости от сложности структуры правил, это вызывает дополнительную путаницу. Так, администратор, обнаружив что имеет дело с теневым правилом, может сделать неправильные выводы. Поэтому теневые правила для брандмауэров — особая проблема.

Скрытые правила являются хорошим примером излишне сложной структуры, поскольку никакой бизнесзадачи не решают. При этом риски от удаления таких правил незначительны, так как поведение брандмауэра не изменится. Однако идентификация скрытых правил — задача непростая. Проверить вручную десяток правил на наличие среди них скрытых еще можно, но когда речь идет о сотнях или даже тысячах отдельных правил, то процедура значительно усложняется. Обнаружение затрудняется не только из-за их количества, но и вследствие индивидуальной структуры правил — использования различных объектов и групп и отсутствия единого стандарта присвоения имен. Хотя само по себе удаление скрытых правил — процесс простой и малорискованный, важным условием является их правильная идентификация, потому для их выявления рекомендуется применять автоматические средства для анализа (см. Рисунок 1).

 

Рисунок 1. Современное решение для анализа правил для межсетевых экранов позволяет выявить ошибочные или лишние правила и получить рекомендации по дальнейшим действиям.
Рисунок 1. Современное решение для анализа правил для межсетевых экранов позволяет выявить ошибочные или лишние правила и получить рекомендации по дальнейшим действиям.

 

ОТКАЗ ОТ НЕИСПОЛЬЗУЕМОГО ДОСТУПА

На втором этапе следует заняться санкционированным, но не используемым доступом, существенно повышающим сложность администрирования и увеличивающим риски. Главная трудность заключается в том, что с технической точки зрения эти правила не являются ошибочными (см. предыдущий раздел), поэтому путем статистического анализа проблему выявить не удастся. Даже если год назад весь набор правил был настроен идеально и с тех пор не изменялся, может оказаться, что в нем появились правила для неиспользуемого доступа. Поскольку за это время могли измениться настройки защищаемой сети и отдельных систем, необходимо проанализировать активные правила на соответствие реальным шаблонам использования сети.

Анализ журналов событий (Logs) для правил должен осуществляться автоматически. Брандмауэры, установленные на крупных предприятиях, ежедневно создают миллионы журнальных записей, и вручную их проверить невозможно. Автоматизировать этот процесс довольно трудно. Чаще всего правила и журнальные записи идентифицируются по номеру, что, однако, не исключает ошибок, поскольку номера могут меняться при добавлении или удалении правил. По этой причине отождествление всегда должно осуществляться на основе уникального идентификатора (Unique Identifier, UID) и распространяться на достаточно длинный промежуток времени (обычно от трех до шести месяцев).

Временной интервал необходимо выбирать обдуманно: он ни в коем случае не должен быть слишком малым, иначе не удастся накопить объем данных, достаточный для глубоких выводов. Кроме того, следует принять во внимание отпускные периоды и сезонные факторы. Это позволит определить, какие правила используются, а какие нет. Но осторожность нужна всегда: некоторые правила, к примеру для аварийного восстановления данных (Disaster Recovery), скорее всего, вряд ли активируются за период наблюдения, но они совсем не лишние. Поэтому при удалении правил нужно все тщательно взвесить.

Кроме того, взаимосвязанное использование сети и сервисных объектов может быть подвергнуто проверке. Одно-единственное правило с десятью объектами-отправителями, десятью объектами-получателями и десятью сервисными объектами порождает 1000 различных правил доступа. Если анализ этих объектов покажет, что на самом деле требуется лишь два объекта из десяти, то количество логических правил доступа удастся сократить с 1000 до 200 и тем самым значительно повысить уровень безопасности.

ПРОВЕРКА ПРАВИЛ

Устранение правил, содержащих технические ошибки, — это важный первый этап, удаление неиспользуемых правил доступа — хороший второй. Но тот факт, что какое-то правило применяется, не означает, что оно действительно необходимо. Проверить это сложно, но заняться такой работой все-таки стоит, поскольку в результате достигается максимальный уровень безопасности и эффективности. Хотя и при этой процедуре существуют определенные риски, которые необходимо тщательно взвесить.

Техническая перепроверка правил позволяет добиться значительных улучшений. Особенно важным шагом является сужение правил доступа с широкого до действительно нужного уровня доступа. Этот вид анализа применим к любым правилам, но чаще всего ему подвергаются те из них, где присутствуют объекты Any. Как было сказано выше, обычно они вводятся для предоставления широкого доступа при отсутствии детальной информации о требованиях со стороны бизнес-процессов. К примеру, необходимо открыть доступ к сети, но ни протокол, ни порт не указаны. В результате правило составляется с использованием объекта Any. Если вместо условий доступа с Any ввести четкий перечень сервисов, это позволит значительно повысить уровень безопасности.

Для решения данной проблемы необходим глубокий анализ бизнеспроцессов, показывающий, какой доступ действительно нужен и оправдан. Наиболее эффективный метод заключается в оценке функциональности правил. Если знать, какой доступ действительно используется, легче ограничить слишком широкие правила доступа. Для этого надо проанализировать потоки пакетов (Flow), в том числе информацию об отправителях, получателях, протоколах и портах для трафика, на которые распространяется конкретное правило. Полученная в результате документация позволит составить четкое представление о действительно требуемых разрешениях. Правда, анализ потоков сложно осуществить вручную, а производители брандмауэров соответствующих инструментов не предлагают. В любом случае можно воспользоваться специализированными решениями сторонних разработчиков, позволяющими облегчить этот процесс и наконец-то навести порядок в хаосе правил для межсетевых экранов.

Филипп Матичек — менеджер по продажам в регионе ЕМЕА из компании Firemon.