Klar for en ny generasjon

Det har summet rundt neste generasjon brannmurer en stund. Det siste året har vi sett annonseringene komme. Et utgangspunkt er en rapport fra rådgiverfirmaet Gartner fra i fjor.

En NG-brannmur defineres av dem som en integrert nettverksplattform som foretar dypanalyse av nettverkstrafikk og som verner mot angrep. Dette skal skje uten tap i overføringshastigheten, «wire-speed».

Gartner understreker at de ekskluderer visse produkter og løsninger fra NG-brannmurene. Det gjelder integrerte trusselblokkere (UTM) eller avanserte flerfunksjonsbrannmurer rettet inn mot smb-markedet.

Også datatapskontrollere (DLP) uten sanntidssjekk eller med hastighetstap, sikre Web-gatewayer som håndterer spesifikk brukertrafikk framfor nettverkstrafikk og dedikerte meldingstjeneste-skannere er unntatt. Hovedårsaken er innvendingene mot hastighetskravet.

Når er UTM NGFW?

Det siste er en viktig distinksjon. Det er nemlig lett å se for seg at UTM-ene er neste generasjonsbrannmur. Å beskrive nye kombinerte enheter som UTM skal opprinnelig ha blitt tatt i bruk av rådgiverselskapet IDC.

Denne måten å kombinere klassisk Stateful Inspection-brannmurer med inntrengingsdetektering eller inntrengingsvern (IDS og IPS) og legge på et lag med vern mot skadevare som datavirus, spionprogramvare eller applikasjonsvern kan fint gå for å være NG-brannmur. Men kravet må være uten tap i hastighet.

Store aktører som Check Point, Cisco og HP har valgt hver sin tilnærming. Gjennom oppkjøpet av 3Com fikk HP også IPS-teknologien til TippingPoint. HP hadde i sin Procurve-portefølje brannmurer. Men i høst har de konsentrert seg om lanseringer hvor deres IPS kjører wire-speed for virtuelle miljøer med dypskanning, regelsett og hurtige oppdateringer.

Cisco lanserte en oppdatert 5500 ASA-modellserie i oktober, og er dermed klar med en NG-brannmur slik de er beskrevet av Gartner. De som ønsker tilleggsfunksjoner som vern mot skadevare kjøper dette som fysiske tilleggskort i Cisco-boksene.

Check Point har valgt en Software Blade-modell for å tilby løsninger under NG-brannmur. Deres strategi når det kommer til å behandle nye nettverkstjenester og applikasjoner ble omtalt i et intervju i Nettverk & Kommunikasjon i sommer. De pakker denne utvidete applikasjonskontrollen med Enterprise Firewall, VPN og IPS Software Blade og er klar med denne løsningen nå.

Behovet for nye brannmurer

Årsaken til behovet for bytte av brannmurteknologi for de store nettverkene er en følge av den endrete bruken av it og nettverk de siste årene. Med økt bruk av datanettverkene med varierende tjenester øker både trusselnivå og kompleksitet. Kontringen kan ikke være å øke kompleksiteten i regelsettet i eksisterende brannmurer.

Både oversikt og kontroll kan fort forsvinne ut i tåka over feil jorde. Derfor må det innføres en type automatikk for hvilken trafikk som skal godkjennes, og nye trusler bør stoppes gjennom dypskanning etter trusler og skadevare i denne trafikken.

Denne overgangen krever at sikkerhetstanken går fra statisk til et mer endrings- og hurtig responsvillig sikkerhetssystem. Også kontekst spiller en større rolle.

Dersom en type økonomisk informasjon er grei til visse nettsteder, så er det andre nettsteder som ikke skal ha slik informasjon. Informasjon om bedriftsforhold er grei til partnere men ikke så greit om det publiseres i en privat facebook-side.

Hos Cisco ble endringen poengtert i en teknisk bloggartikkel fra Rajkneesh Chopra, produktmarkedssjef for sikkerhetsprodukter. Utgangspunktet er at siden vi alle nå er på en type nettverk hele tiden med minst en dataenhet, er det vanskelig å si hvor datanettet ender.

En klassisk statisk brannmurdesign med brannmur i kanten av det interne nettverket og med en egen sikring mot lavsikkerhetssonen dmz blir meningsløs. I et slikt nettverk må man mer seg for seg en brannmur rundt hver eneste enhet koplet til nettet, eller som sender nettverkstrafikk. Sikkerhetsbevisstheten bør være at man er på vakt hele tiden, og ta utgangspunkt i at man egentlig alltid er i dmz.