FortiGate, pfSense a MikroTik: jak fungují firewally a který si vybrat?
Rozhodnout se pro určitý typ firewallu může být oříšek. Hodně záleží na tom, jakým způsobem potřebujete filtrovat provoz a jaké máte nároky na bezpečnost. Abychom vám to usnadnili, sepsali jsme jak firewally fungují a rozdíly mezi řešeními pfSense, MikroTik a FortiGate, které nabízíme v MasterDC. Z praxe jsme dali dohromady i pár užitečných tipů, na co si dát při výběru pozor.
- 28. 01. 2021
- 9 min čtení
Firewall je běžnou součástí nejen firemního IT, ale i osobních počítačů. Jeho činnost je užitečná při jakékoli internetové komunikaci. Během ní dochází ke vzájemnému kontaktu dvou sítí, které mají zpravidla různou úroveň zabezpečení i důvěryhodnosti. Firewall tyto sítě bezpečně odděluje a zajišťuje, aby veškerý provoz přicházející do chráněné sítě prošel filtrací.
Během filtrace dochází ke kontrole provozu a rozhoduje se, zda je bezpečné ho pustit do chráněné sítě. Právě způsob, jakým se jednotlivé firewally rozhodují o bezpečnosti či nebezpečnosti daného druhu provozu, je od sebe vzájemně odlišuje.
Pro lepší představu komunikace v počítačových a telekomunikačních sítích poslouží referenční modelOSI ModelOSI model popisuje komunikaci zařízení, která jsou připojena ke stejné počítačové síti.více sedmivrstvé architektury. Každá vrstva má jasně definované funkce potřebné pro komunikaci. Firewally se od sebe liší hlavně podle úrovně, v níž provoz filtrují.
Referenční model ISO/OSI, příklad řešení komunikace v počítačových a telekomunikačních sítích pomocí vrstevnatého modelu
Rozdělení firewallů podle způsobu filtrace provozu
Starší firewally kontrolují pouze zdroj provozu a jeho cíl. Kontrola zdrojové a cílové IP adresy a portu se odehrává na úrovni síťové vrstvy. Firewall tak blokuje provoz podle toho, z jakého uzlu nebo sítě přichází.
Jenže data se pro přenos segmentují do menších částí, tzv. paketů, a každý paket v sobě nese jen zlomek informace o povaze dat. Kompletní zpráva se sestavuje až v cíli, tedy na straně příjemce. Proto může firewall zkoumající pouze kontrolní informace (zdroj a cíl) jen těžko zjistit, jestli původní zpráva obsahuje či neobsahuje nějaké hrozby. Dalším problémem je i fakt, že původ paketu se dá snadno zfalšovat. Aby firewall dokázal rozpoznat škodlivý obsah v paketu, musí mezi jednotlivými pakety hledat souvislosti.
Nevíte si rady s výběrem?
Nechte to na nás. V nabídce MasterDC máme firewally se základními i pokročilými funkcemi. S výběrem řešení či jejich kombinací vám poradíme a připravíme jej přímo pro váš server nebo interní firemní síť.
Hledání souvislostí a analýza aplikační vrstvy
Pokročilejší firewally, firewally druhé generace, zkoumají pakety na úrovni transportní vrstvy a pakety si uchovávají, dokud o nich nemají dostatečné množství informací. Firewall druhé generace už dokáže rozpoznat, zda je příchozí paket součástí stávajícího spojení, nebo začátkem nového. Může se rovněž stát, že paket není součástí žádného spojení. Zvýšené množství individuálně příchozích paketů je strategií určitých DoS (Denial of Service) útoků, jejichž cílem je firewall přetížit.
Aby firewall odhalil DoS útok, musí ke každému dalšímu paketu přistupovat s vědomím o tom předchozím. Jistým způsobem si pamatovat jeho „stav“, proto se pro tyto firewally vžil pojem stavové firewally. Základní přenosové mechanismy ale vyřizují každý požadavek samostatně, bez ohledu na zpracování požadavku předchozího, a proto se souvislosti mezi pakety ztrácejí.
Skryté hrozby se nejúčinněji odhalují až ve vrstvě aplikační, v níž už o paketech lze zjistit mnohem více, než jen odkud přicházejí, kam směřují a data jaké povahy přenášejí. Firewall, který zkoumá paket na úrovni aplikační vrstvy, tak činí přes aplikační bránu (proxy) a umí odhadnout, jestli se paket pokouší obejít jeho bránu pomocí protokolu na povoleném portu nebo jestli používá protokol ke špatným účelům. Toto řešení je ale náročnější na hardware, má vyšší latenci a požadavky zpracovává pomaleji.
Nejsofistikovanější firewally se označují jako firewally nové generace (next generation firewall). Kombinují funkce výše zmíněných, navíc ale implementují i tzv. „deep inspection“, řekněme tedy hloubkovou inspekci. Na rozdíl od stavových a aplikačních firewallů zkoumají velmi detailně celý paket a jeho obsah a představují tak účinnou ochranu před malwarovými útoky a jinými vnějšími hrozbami. Přesný výčet funkcí u těchto zařízení v podstatě neexistuje, jelikož se jedná o pokročilá a flexibilní komerční řešení.
| Plusy | Minusy | Úroveň ochrany | |
|---|---|---|---|
| Paketové firewally | Nenáročnost na výkon, nízká cena a rychlá filtrace | Povrchová kontrola, nekontroluje aplikační vrstvu a protokoly, neověřuje uživatele. | Vyšší zranitelnost – nekontroluje data obsažená v paketech. |
| Stavové firewally | Kontrolují celé spojení, včetně dat obsažených v paketech. | Neověřují uživatele a mohou podléhat DoS útokům. | Poskytují standardní úroveň ochrany. |
| Aplikační firewally | Sítě zcela oddělují a zajišťují anonymitu uživatele. Nepodléhají geolokačním omezením. | Nejsou kompatibilní se všemi síťovými protokoly, vyžadují dodatečnou konfiguraci a mohou mít negativní vliv na výkon. | Pokud se správně nakonfigurují, poskytují vysokou ochranu webových aplikací a serverů. |
| Firewally nové generace | Hloubková analýza paketů, odfiltrování spamu a kontrola jednotlivých aplikací. | Vyšší cena, pro správnou funkčnost vyžadují konfiguraci. Nasazení doporučujeme provádět s odborníkem. | Zajišťují velmi vysokou úroveň ochrany. |
Vybrat softwarový nebo hardwarový firewall?
Vedle toho jak detailně potřebujete provoz filtrovat, musíte vyřešit ještě jednu důležitou otázku. Chcete firewall instalovat na jednotlivá zařízení, nebo si pořídit hardwarovou variantu a zdroje firewallu tak od zařízení v interní síti zcela oddělit?
Počítejte s tím, že softwarová varianta bude muset využívat určitou část RAM a CPU daného zařízení a může tedy snižovat jeho výkon. Pokud chcete firewallem ochránit několik zařízení, je potřeba ho implementovat na každé zvlášť a stejně tak ho pokaždé nakonfigurovat a udržovat jeho aktuálnost. Když je ale firewall přítomen v daném zařízení, dokáže během filtrování příchozí a odchozího provozu lépe rozlišovat jednotlivé programy.
Ve formě hardwaru je firewall od interní sítě oddělen a na rozdíl od softwaru má své vlastní zdroje. Filtruje data, která odcházejí z a přicházejí do interní sítě, nikoli data proudící mezi zařízeními umístěnými v síti. Zvláštně pro rozsáhlé IT infrastruktury a sítě je hardwarový firewall praktičtější. Jeho konfigurace a údržba se provádí na jednom místě, současně ale vyžaduje určité odborné znalosti.
MikroTik: stavový firewall v podobě hardware
Firma MikroTik vyvíjí tzv. RouterOS, jehož součástí firewall je. Ten má vlastní hardware RouterBOARD, který lze využít jako aktivní síťový prvek. Výkonný router s operačním systémem RouterOS (založeném na Linuxu) kromě routingu podporuje i server VPN (virtuální privátní síť) a právě firewall.
Firewall operačního systému RouterOS spadá do kategorie stavových firewallů, takže dokáže odhalit pakety, které nejsou součástí spojení a jsou nedůvěryhodné. Firewall od MikroTiku filtruje IP adresy, protokoly portů, síťová rozhraní, zdrojové MAC adresy a možnosti TCP (protokol transportní vrstvy).
Vlastní hardware (RouterBOARD) zajišťuje vysoký výkon a vyšší odolnost vůči přetížení. Veškeré konfigurace a údržba se tak provádějí centrálně přes SSHSSHSSH (Secure Shell) je protokol pro šifrovanou komunikaci v počítačové síti.více, program Winbox, který kopíruje textové rozhraní, nebo grafické rozhraní dostupné přes webový prohlížeč.
PfSense: softwarový stavový firewall
Podobným způsobem jako firewall v RouterOS filtruje provoz i stavový firewall open source softwaru pfSense. PfSense si, stejně jako MikroTik, pamatuje informace o zkontrolovaných připojeních, díky čemuž dokáže další pakety snáze a rychleji odbavovat. Data uchovává v tabulce stavů, která zahrnuje např. zdroj, protokol a číslo portu, což je dostatek údajů pro identifikaci konkrétního i souvisejícího spojení.
Firewall není jedinou funkcionalitou pfSense, podobně jako u RouterBOARDU. Může fungovat jako LAN, WAN nebo VPN router, hotspot či DNS server. Poslouží i k přesměrování portů nebo překladu síťových adres (NAT).
Výhoda softwarové varianty spočívá v její flexibilitě a škálovatelnosti. Zdroje pro provoz firewallu lze podle potřeby postupně zvyšovat, nebo naopak snižovat. Spustíte ho tedy na jednom zařízení, ale můžete ho zprovoznit i na samostatném serveru a ochránit rozsáhlejší síť.
PfSense stojí na základech FreeBSD, operačního systému typu UNIX, proto je kompatibilní s takovými systémy. Instalovat ho můžete na libovolný hardware, který splňuje FreeBSD Hardware Notes, ale i do virtuálních prostředí (VMware, KVM, atp.). Správa systému se provádí jednoduše přes uživatelské rozhraní.
FortiGate: firewall nové generace pro specifické potřeby
FortiGate firewall od společnosti Fortinet využívá umělou inteligenci a strojové učení pro hloubkovou analýzu paketů („deep packet inspection“), tedy specializovanou kontrolu i složitějších protokolů.
Díky automatickým updatům z Fortinet cloudu je firewall schopen rozpoznat nejen známé útoky, ale i nejnovější typy virů a jiných obsahových hrozeb nebo doposud neznámého malware. Známé útoky a škodlivé kódy typu worm rozpozná ještě před tím, než zasáhnou konkrétní zařízení nebo síť a automaticky je zmírní.
FortiGate firewally jsou k dispozici v hardwarových variantách vhodných především pro firemní sítě nebo k propojení poboček, jelikož zvládají objemnější datové toky. Pro clustery nebo infrastruktury, k nimž je problém přistupovat fyzicky, např. máte-li část svého IT u Amazon Web Services nebo Azure, jsou dostupné softwarové verze FortiGate firewallu.
Vedle firewallů nové generace poskytuje firma i specializované aplikační firewally pro ochranu webových aplikací (Web Application Firewall) nebo elektronické pošty (Antispam filtr).
Funkce MikroTik, pfSense a FortiGate firewallu přehledně
| Základní funkce | MikroTik | pfSense | FortiGate |
|---|---|---|---|
| Vysoká dostupnost | NE | ANO | ANO |
| Komfortní web management | NE | ANO | ANO |
| Zónový firewall / filtrace IP | NE | ANO | ANO |
| Překlad síťových adres (NAT) | ANO | ANO | ANO |
| Přesměrování portů | ANO | ANO | ANO |
| Pokročilé funkce | NE | NE | ANO |
| Hloubková analýza | NE | NE | ANO |
| Detekce a prevence průniků (IPS/IDS) | NE | NE | ANO |
| Antivirus | NE | NE | ANO |
| Blokace botnet IP/Domain | NE | NE | ANO |
| Identifikace neznámého malware | NE | NE | ANO |
| Identifikace ohniska malware | NE | NE | ANO |
| Kontrola textových dokumentů | NE | NE | ANO |
| Dvoufaktorová autentizace | NE | NE | ANO |
Na co se zaměřit při výběru firewallu?
Finální volba nemusí padnout na jeden konkrétní firewall. Různé typy můžete kombinovat a vytvořit tak vícevrstvé řešení pro silnější ochranu. Pro rozhodování bude ale klíčová velikost IT infrastruktury, pro niž vybíráte bezpečnostní řešení.
V prvé řadě zvažte, zda chcete instalovat softwarový firewall na každé zařízení zvlášť, nebo je výhodnější implementace na samostatný hardware. Oddělení firewallu na samostatný hardware je nákladnější a k ruce budete potřebovat někoho, kdo už má se setupem a správou firewallu nějaké zkušenosti.
Doporučujeme se zaměřit také na propustnost v pps (packets per second) a Mbps. Podle tohoto údaje pak budete volit výslednou hardwarovou nebo softwarovou konfiguraci. Zvláště filtrace objemnějšího průtoku dat vyžaduje výkonný hardware. Neopomeňte ani rozdíly mezi intenzitou provozu v různých denních či nočních hodinách.
Počet a typ firewallových bran by měl reflektovat bezpečnostní nároky dané sítě. Klientům, kteří mají vysoké požadavky na bezpečnost a nakládají s citlivými daty, nejčastěji implementujeme firewally nové generace.
Firewally jsou ve své podstatě velmi flexibilní a při správné konfiguraci a údržbě vás dobře ochrání i nekomerční varianty jako třeba pfSense. Využijte možnosti kombinovat několik řešení, díky níž vytvoříte ze svého IT nedobytnou pevnost. A pokud si s výběrem nebo konfigurací firewallu nevíte rady, obraťte se na nás.
