Czym jest router i co tak naprawdę robi
Router to urządzenie, które łączy sieć firmową z Internetem i kieruje ruchem między nimi. Każda firma, która ma dostęp do Internetu, ma router - to punkt wejścia do sieci, bez którego nic nie działa.
Podstawowy router wykonuje jedno zadanie: decyduje gdzie trafi każdy pakiet danych. Wie skąd przyszedł i dokąd ma trafić. Nie analizuje co jest w środku, nie ocenia czy ruch jest bezpieczny i nie blokuje zagrożeń. Przepuszcza to co przychodzi i wysyła to co wychodzi - zgodnie z tablicą routingu, nie z polityką bezpieczeństwa.
Większość routerów ma wbudowany podstawowy firewall - filtrowanie pakietów, które blokuje ruch na podstawie adresów IP i portów. To przydatne, ale niewystarczające. Taki firewall nie rozumie co dzieje się wewnątrz połączenia - widzi że przyszedł pakiet na port 443, ale nie wie czy to bezpieczna strona czy serwer kontrolowany przez atakującego.
Czym różni się aktywny firewall
Aktywny firewall - określany też jako Next-Generation Firewall lub NGFW - analizuje ruch na znacznie głębszym poziomie. Zamiast patrzeć tylko na nagłówki pakietów, bada ich zawartość, rozpoznaje aplikacje i protokoły, sprawdza reputację adresów IP i domen oraz wykrywa wzorce charakterystyczne dla złośliwego oprogramowania.
Kluczowe funkcje, które odróżniają aktywny firewall od podstawowego routera:
- 1
Inspekcja SSL - większość ruchu w Internecie jest dziś szyfrowana. Podstawowy router widzi zaszyfrowany tunel, ale nie wie co jest w środku. Aktywny firewall potrafi ten tunel otworzyć, sprawdzić zawartość i zamknąć z powrotem - bez wiedzy użytkownika i bez wpływu na działanie aplikacji. Dzięki temu złośliwe oprogramowanie nie może ukryć się w szyfrowanym ruchu. To istotne, bo atakujący od dawna wiedzą, że szyfrowanie HTTPS nie wzbudza podejrzeń - i właśnie w nim ukrywają komunikację z serwerami kontrolującymi złośliwe oprogramowanie.
- 2
Filtrowanie treści i kategorii - aktywny firewall pracuje z bazami złośliwych domen, adresów IP i kategorii stron, które producent aktualizuje w czasie rzeczywistym. Gdy pracownik kliknie link w phishingowym mailu, firewall sprawdza domenę docelową zanim przeglądarka zdąży ją otworzyć - i blokuje połączenie jeśli adres figuruje na listach zagrożeń. Zwykły router takich baz nie ma. Nie wie że domena ma złą reputację - i przepuszcza ruch bez żadnej weryfikacji.
- 3
Kontrola aplikacji - firewall rozpoznaje konkretne aplikacje w ruchu sieciowym i może stosować do nich osobne polityki. Komunikator, który używa portu 443 żeby obejść blokady, zostanie zidentyfikowany jako komunikator - nie jako ruch HTTPS. To samo dotyczy aplikacji do przesyłania plików, torrentów czy narzędzi do zdalnego dostępu, które pracownicy instalują bez wiedzy IT - firewall widzi co faktycznie działa w sieci, niezależnie od tego jak aplikacja próbuje się ukryć.
- 4
Wykrywanie anomalii - aktywny firewall uczy się jak wygląda normalny ruch w sieci i reaguje gdy coś odbiega od wzorca. Komputer, który nagle zaczyna skanować inne urządzenia w sieci albo wysyłać duże ilości danych na zewnętrzny serwer w środku nocy, zostanie zauważony i zablokowany - zanim zdąży wyrządzić poważne szkody. W przypadku infekcji ransomware, który przed zaszyfrowaniem danych często wysyła klucze szyfrowania do zewnętrznego serwera, taka detekcja może zatrzymać atak we wczesnej fazie.
Który wariant dla kogo?
Zwykły router bez funkcji aktywnego firewalla sprawdza się wyłącznie w najprostszych przypadkach - mała sieć domowa, pojedyncze stanowisko, środowisko bez wrażliwych danych i bez wymagań dotyczących bezpieczeństwa. W środowisku firmowym, gdzie przez sieć przepływają dane klientów, korespondencja i dostęp do systemów biznesowych, podstawowy router to za mało.
Router z funkcjami aktywnego firewalla to rozwiązanie dla zdecydowanej większości firm - od kilku do kilkudziesięciu użytkowników. Jedno urządzenie łączy routing z pełną inspekcją ruchu, filtrowaniem treści i wykrywaniem zagrożeń. Prostsze w zarządzaniu, tańsze we wdrożeniu i wystarczające dla większości środowisk.
Układ z osobnym routerem i osobnym firewallem pojawia się przy bardziej złożonych środowiskach - dużych sieciach, wielu lokalizacjach połączonych VPN-em, wysokich wymaganiach dotyczących dostępności lub regulacjach branżowych wymagających szczegółowego audytu ruchu. Każde urządzenie jest zoptymalizowane do swojego zadania i można je aktualizować lub wymieniać niezależnie.
Jak wygląda to w Helpwise
Dobór i konfiguracja urządzeń brzegowych to jeden z pierwszych elementów, który omawiamy z nowym klientem. Oceniamy wielkość sieci, liczbę użytkowników, specyfikę ruchu i wymagania bezpieczeństwa - i na tej podstawie rekomendujemy konkretne rozwiązanie. Konfiguracja firewalla to nie jednorazowe działanie - pilnujemy żeby polityki były aktualne, bazy zagrożeń się aktualizowały i żeby zmiany w infrastrukturze znajdowały odzwierciedlenie w regułach.