Hogyan hozzuk ki a legtöbbet a Sophos XG tűzfalaiból – 3. rész

Fastpath Application Acceleration és SD-WAN routing

Az egyre növekvő hálózati leterheltség idején a fontos alkalmazások és weboldalak kommunikációjának priorizálása fontosabb, mint valaha.

A sorozat ezen, harmadik részében azon eszközökkel fogunk foglalkozni, melyek lehetővé teszik a hálózati forgalom optimalizálását, a legfontosabb üzleti alkalmazások produktivitásának növelése érdekében, így az Xstream Network Flow FastPath alkalmazásgyorsító eszközt, illetve az új SD-WAN policy-alapú routing beállításokat vesszük át.

Xstream FastPath Application Acceleration

Az utóbbi két posztban foglalkoztunk az Xstream architektúrával és annak Deep Packet Inspection részével, illetve a TLS forgalmat vizsgáló modullal is, melyek a 18-as verziójú XG firmware fontos újításai. A Network Flow FastPath egy újabb kulcsfontosságú komponense ennek az architektúrának, mely lehetőséget biztosít a fontos, üzleti alkalmazások megbízható forgalmának priorizálására.

xg firewall

A Network Flow Fastpath modul segítségével a biztonsági vizsgálatot nem igénylő, megbízható hálózati forgalmat a különféle vizsgálóegységek (TLS Inspection, DPI) kihagyásával, direktben lehet átfolyatni a rendszeren. Ezzel nem csak a csomagok késését (latency) minimalizálva, hanem tehermentesítve az adott tűzfalmodulokat.

Hogyan Működik?

A hálózati adatforgalom első körben átmegy a hagyomány tűzfalmodulon, aztán továbbadásra kerül a DPI (Deep Packet Inspection) motorhoz. Amennyiben az adott hálózati flow megbízható, átadja a Network Flow FastPath-nak, ezzel kikerüli a biztonsági ellenőrzéseket és egyből a célnál köt ki.

A forgalmat kétféleképpen lehet elirányítani a modul irányába:

1, Automatikusan: Amennyiben az alkalmazás által meghívott szerver neve (Server Name Indicator, SNI) a SophosLabs szerint a biztonságos szerverek, illetve szolgáltatók között szerepel (Pl.: MS, Apple, Google, Spotify, stb.), abban az esetben az alkalmazások forgalmát az eszköz vizsgálat nélkül átengedi.

2, Policy alapon: Amennyiben bizonyos alkalmazások forgalmának átengedésére van tűzfalszabály, úgy ezen forgalom a Fastpath segítségével átengedésre kerül.

De milyen jellegű forgalom számít megbízhatónak a hálózaton? Általában vagy azon alkalmazások forgalma, melyek megbízható forrásból jönnek, vagy az olyan, streaming-jellegű tartalmak, ahol a multimédiás jelleg okán nincs semmilyen indítható állomány.

Köszönhetően a multimédiás forgalom jellegének, illetve annak, ahogy az a lejátszásnál össze van rakva, gyakorlatilag kizárható, hogy rosszindulatú kódot tartalmaz, ennek köszönhetően problémamentesen át lehet küldeni a végpontokra, vizsgálat nélkül. Ilyen jellegű forgalom a Netflix, a Spotify, vagy éppen a Youtube, illetve a különböző, VoIP-alapú és telekonferencia megoldások is, mint a Teams, Zoom, Skype, és egyebek, melyek általában a szervezetek adatforgalmának gerincét teszik ki.

Azon appok viszont, melyek különböző fájlokat töltenek le, például frissítés céljából, nem alkalmasak a FastPathra, köszönhetően annak, hogy ezen letöltött állományok tartalmazhatnak rosszindulatú kódot. A biztonság erősítése érdekében pont ezért érdemes elkerülni a generikus szabályzást olyan esetekben, mint a webböngészés, emailezés, vagy éppen a fájlmegosztás.

Tűzfalszabályok az új XG verzióban

Az új, v18-as firmware verzióban a tűzfalszabályok létrehozása nem változott sokat, így azok kompatibilisek maradtak a régebbi verziókkal. Az alábbi, angol nyelvű videó részletesen bemutatja, hogyan lehet és érdemes tűzfal, illetve NAT (Network Address Translation) szabályokat létrehozni.

A NAT szabályokra majd egy későbbi cikkben visszatérünk még, most viszont nézzük meg, a gyakorlatban, hogyan lehet olyan tűzfalszabályokat kreálni, melyek átengedik a megbízható forgalmat a FastPath segítségével. Ennél mi sem egyszerűbb, csak hozzá kell adni az adott szolgáltatás címét (FQDN) a „Destination Networks”-höz:

És ki kell választani a „NONE”-t a „Security Features” alatt, illetve az összes checkboxból kivenni a pipát. Ez lehetővé teszi, hogy az ezen szolgáltatások felé és felől jövő forgalom direktben menjen, a DPI engine kihagyásával.

Ezután meg kell nézni, hogy a FastPath gyorsítás be van e kapcsolva az „Advanced threat > Advanced threat protection” alatt (Alapbeállításban be van).

Alkalmazás alapú SD-WAN Policy Based Routing

Az XG tűzfalak legújabb verziójának másik új képessége az SD-WAN Policy Based Routing (PBR). Ez, hasonlóan a FastPath-hoz, az üzleti alkalmazások gyorsabb kommunikációját hivatott elősegíteni. Míg azonban a Fastpath az internet és a belső hálózat kommunikációját javítja, az SD-WAN PBR a belső hálózatok közötti VPN-es, illetve a felhős kommunikációt segíti.

A Sophos XG v18-as verziójában már lehetőség van felhasználó, csoport, illetve alkalmazás alapon is alkalmazni az SD-WAN routingot, ezzel pedig lehetővé válik, hogy a magas prioritású üzleti alkalmazások minden körülmények között elsőbbséget élvezzenek, míg a többi alkalmazás pedig azon a sávszélességen és abban az irányban kommunikáljon, ami jut neki (pl.: az üzleti, felhős alkalmazások direktben kommunikálnak az első WAN kapcsolaton, míg a többi alkalmazás VPN-en keresztül, a cég központjából).

Az alábbi angol nyelvű videó bemutatja, hogy hogyan érdemes használni ezt a lehetőséget:

Synchronized SD-WAN

Egy SD-WAN kiegészítő, mely az alkalmazásfüggő kapcsolatválasztást kibővíti a Sophos Synchronized Security-n keresztüli alkalmazásazonosítással. Ezen szolgáltatás a Sophos felhőjén keresztül megosztja az alkalmazásadatokat a tűzfalak és végpontok között, melynek köszönhetően nem marad azonosítatlan alkalmazás, így segítve elő a védelmet, illetve azt, hogy a hálózatban zajló adatfolyamok száz százaléka azonosítva legyen.

Eme azonosításnak köszönhetően a tűzfal képes felismerni a különféle egyedi, avagy rosszindulatú és rejtőzködő appokat, melyeket a későbbiekben már lehet SD-WAN policy routinghoz is használni. Ez a bővített kommunikáció olyan szintű átláthatóságot tesz lehetővé, melyet más eszközgyártók nem kínálnak.

Ha többet szeretne megtudni, akkor érdemes lehet elolvasni az alábbiakat:

    XG Firewall getting started guide

    Full online XG Firewall documentation

    How-to videos on what’s new in v18

    In-depth FAQ on HTTPS decryption

    A full list of recommended community articles on v18

September 23rd, 2020

Top