Brandväggar – WAF

Övervaka ert nät med en brandvägg

Finns flertal olika fabrikat och leverantörer av brandväggar. När vi pratar om brandväggar så menar vi de lite större brandväggarna och inte mindre som oftast används hemma för att skydda den lokala kopplingen.
Så hur är det möjligt att övervaka nätet med brandväggar ?
Det finns en hel uppsjö av personliga brandväggar som kan installeras lokalt på den lokala datorn. Oftast så går även dessa att kopplas till en management konsol som gör det möjligt att styra alla dessa brandväggar från en central enhet. Det gör det möjligt att kunna se attacker på datorer som är utanför företagets nätverk mm.
Om vi pratar som sagt lite större brandväggar så finns det mycket information som kan loggas och just denna data kan användas för att övervaka nätet. Finns även en mängd verktyg som kan trigga alarm vid vissa situationer och vissa blockeringar. Allt som krävs är att man egentligen har tillräckligt mycket kunskap om brandväggarna och konfiguration av loggmanageringslösningar som kan läsa ut informationen från brandväggarna för att verkligen kunna använda den för att göra någonting nyttigt.
Det som är bra med brandväggar är att dom oftast står så centralt som möjligt och det gör det lätt att ta del av den trafik som går igenom dessa. Vilket gör att från felsökningsperspektiv och även blockering av attacker så är dom helt utmärkta.

Skydda ditt nätverk med en brandvägg

Förutom då att brandväggar oftast har deras brandväggsfunktionalitet som kan blockera på ipadresser, portar och om kopplingen är out of state (TCPsessionen inte är sammanhängande) så finns det en hel del smart funktionalitet i brandväggarna som kan gå in och blockera på specifika protokoll och även innehållet i olika protokoll, likt en IDS.
För tex Checkpoint så har dom deras SmartDefense där det är möjligt att tex blockera för SQL-injektioner, Command injections, Portscanningar och mycket mycket mer.
Så Checkpoint Firewall är en av de kändaste brandväggarna där ute. Men det finns även andra som är lika kända eller åtminstone nästan så kända.
Stonesoft tillverkar även en brandvägg Stonesoft Stonegate. Deras brandväggar är även lätta att koppla ihop med IPS funktionalitet mm. Deras HA lösningar är en av anledningarna till att dom blivit så stora som dom är idag. Från början så gjorde STonesoft en HA-lösning för Checkpoint men valde sedan att göra egna brandväggar.
Sen finns det ju även brandväggar från Juniper (Netscreen) som också har i princip samma funktionalitet som dom andra. För er som bara använder er av Cisco så har självklart Cisco även brandväggar med mer funktionalitet än den som finns inbyggd i vanliga routrar och även lite mer lättanvänd.

Så vilka brandväggsfabrikat kan vi rekommendera ?.
Vi rekommenderar att ni själva väljer ut den som passar er men de vi tycker ni ska börja titta på är.
Checkpoint brandväggar, brandväggar från Juniper, Stonesoft och även då Cisco. Sen är det upp till er att hitta just den modellen som passar er och ert nätverk.

Förutom dom lite mer vanliga nätverks brandväggarna så finns det applikationsbrandväggar också. Dessa är oftast någon form av proxybrandvägg som inspekterar olika protokoll och vad som sker inne i protokollet. Sådana kan tex vara Web Application Firewalls.

Web application Firewalls / WAF

Men för dom som verkligen vill kunna skydda sina webbapplikationer så finns det ett flertal olika WAF (Web Application Firewalls) som är en brandvägg som är skräddarsydd för att skydda webbapplikationer. Där det är möjligt att göra mer inställningar i vad som är tillåtet och vad som inte är tillåtet, även olika kodningsfunktionaliteter mm.
För er som har erfarenhet av tex Checkpoint Firewall-1/VPN-1 så kanske ni tycker att skyddet i dessa är mer än tillräckligt för att skydda webbapplikationer.
Men börjar man titta lite närmre på Web application firewalls så kommer ni att se en hel del av saker som vanliga checkpoint inte stödjer. Och även så är detta ett sätt att avlasta en redan nertyngd brandvägg som har så mycket annan trafik att kolla på. För det tar ju faktiskt på brandväggarnas kapacitet att inspektera på protokoll nivå istället för att bara släppa igenom det så länge det är rätt på TCP-sessionen.
En Webbapplikationsbrandvägg kan även användas för att bestämma längden och gå djupare ner i protokollet och även konvertera data för att se att ingen otillåten eller elakartad kod ska få komma in till webbservern, men även att för mycket information ska kunna komma tillbaka till besökaren. Tex med sökvägar mm.
Vilka webbapplikations brandväggar finns det egentligen.
Det finns Open Source web applikations brandväggar såsom Modsecurity men även andra som inte är Open Source utan som är betal WAF.
Vi har bla Deny All rWeb lösningen som är en fullskalig Webbapplikationsbrandvägg, andra är Cisco ACE Web Application FIrewall, Eye SecureIIS mf.
Är man intresserad av webbapplikationsbrandväggar så rekommenderar vi att ni besöker OWASP

Leave a Reply


Nätverksövervakning
  • Här hittar ni en sida där ni kan läsa om det mesta som är relevant inom nätverksövervakning
Länkar



Copyright © 2009 Nätverksövervakning.se. All Rights Reserved.

Powered by WordPress and WordPress Theme created with Artisteer.