Petr Koudelka (Zyxel): Přidáváme sandboxing i do firewallů nižší řady

21. 10. 2022
Doba čtení: 7 minut

Sdílet

 Autor: Zyxel Networks
Petr Koudelka, senior sales engineer ve společnosti Zyxel Networks, hovoří o technologických novinkách Zyxelu a pandemickém rozmachu VPN tunelů.

Jaká je obecně aktuální situace na poli routerů a VPN?

Všeobecně, dnešní router už musí mít UTM filtrace, protože když je nemá, tak se dostáváme vlastně na úroveň domácího routeru s tím, že firewall bez UTM nabídne jen větší výkon, VPN tunely a pár věcí navíc, ale filtrace tam nejsou. My máme více úrovní různých filtrací a každá úroveň filtrace filtruje jinou část přenášeného obsahu, jinou část provozu. Dá se říct, že čím více úrovní je, tím je filtrace přesnější.

Čím se tedy Zyxel nejvíce odlišuje od konkurence a proč?

Pokud porovnáváme běžná řešení, zajímavou funkcionalitou je Secure Wi-Fi, což je něco, co každý výrobce nemá. Jedná se o zabezpečení přístupu domácího zaměstnance na homeoffice přímo z jeho přístupových bodů do firemního prostředí. Takže tam není potřeba žádné další dodatečné zařízení, není potřeba software pro vybudování VPN tunelu.

Druhá věc je novinka, kterou budeme uvádět – software Astra, což je zabezpečení pro telefon, tablet či notebook, kdy se dostáváme mimo prostředí zabezpečené firewallem a máme dané zařízení připojené k cizí síti – nebo i domácí síti –, kde není bezpečnost UTM scanu. Tento software v zásadě vybuduje VPN tunel k nám do centrály, kde máme analytické nástroje a veškeré požadavky na komunikaci z takovéhoto zařízení jsou prověřeny na základě cíle komunikace, zda není na seznamu nebezpečných cílů, zda kategorie cíle nespadá do zablokovaných kategorií pomocí obsahového filtru. Tímto nástrojem tedy ověřujeme, s kým uživatel chce komunikovat a povolujeme mu komunikaci jen s bezproblémovými cíli.

Jaké to přináší výhody pro uživatele?

Uživatel je chráněn ne softwarem přímo v telefonu, ale něčím, co analyzuje požadavky pro komunikaci a posílá tyto informace k nám do centrály, kde vyhodnocujeme, o co se jedná a zdali je to bezpečné. Veškeré požadavky na komunikaci se tak odesílají přes VPN tunel, do kterého ovšem nejsou odesílaná data zákazníka, ale pouze to, kam chce jít, a zdali to je či není bezpečné.

Vznikl tento software v reakci na pandemickou situaci, nebo tam vývoj směřoval tak jako tak?

Tak jako tak by software vznikl, protože end point security software mají i jiní enterprise výrobci, kteří ho ovšem mají ve formě klienta. To znamená, že klient je nainstalován na zařízení. Takovýto software musí mít robustní formu a navíc může spotřebovávat nezanedbatelný procesorový výkon zařízení, s čím jde ruku v ruce i požadavek na spotřebu energie mobilního zařízení provozovaného na baterii. V případě operačního systému iOS a macOS je navíc těžké klientem provádět analýzy z důvodu separace procesů operačního systému, což byl jeden z důvodů, proč jsme se vydali cestou vybudování tunelu, kdy veškeré požadavky jsou analyzované za tunelem právě v cloudu. Výpočetní výkon je tedy přesunut mimo chráněné zařízení do cloudu. On na zařízení samozřejmě nějaký klient je, ale ten slouží jen ke statistikám, informacím o provozu, přehledech o událostech či administraci, ale pro toho uživatele vlastně ten klient není v pravém slova smyslu klientem, který reálně analyzuje provoz zařízení.

Jsou nějaké technologické prvky, u kterých pandemie urychlila vývoj?

Určitě došlo k rozmachu VPN tunelů, kdy byl uživatel na homeoffice a potřeboval se dostat k informačním systémům nebo souborům uloženým na serveru ve firmě. Právě na tyto situace reagoval Zyxel rozšířením většího množství tunelů a hlavně zavedením dvoufázové autentifikace, která zaručuje ještě vyšší úroveň zabezpečení. To také souvisí s technologií Secure Wi-Fi, která spočívá v tom, že si uživatel doma nainstaluje přístupový bod řady, která toto šifrování podporuje, se specifickým SSID. Ty jsou celkem až čtyři a šifrují veškerý datový tok do firemního prostředí certifikovaným IPSec tunelem. To znamená, že ve chvíli, kdy se uživatel přihlásí na Wi-Fi, která je určená jako firemní, tak dojde k dvoufázovému ověření, na základě něhož dostane plnohodnotný přístup do firemního prostředí. Toto je určitě něco, co pandemie posunula rychle dopředu a ten požadavek ze strany klientů byl zásadní.

Jak konkrétně se VPN tunelům věnujete?

Všechny firewally, které Zyxel nabízí, umožňují využívat různé typy VPN tunelů současně. To znamená, že kromě IPSec, na nějž máme přes 25 let certifikaci u firmy ICSA, nabízíme ještě L2TP over IPSec, který je integrovaný ve většině klientských zařízení, jako jsou operační systém notebooku či mobilního zařízení. Také máme SSL VPN tunel, který funguje přes protokol HTTPS. Všechny tyto tři typy VPN tunelů zajišťují absolutní většině uživatelů komfort k tomu, aby si vybrali ten správný typ tunelu, který jim nejvíce vyhovuje. Dokonce mohou používat kombinaci tunelů na jednom zařízení současně.

Poslední dva tunely jsou do Amazon Virtual Private Cloud a Azure. Pokud má firemní prostředí hosting u těchto dvou organizací, mohou z firewallu rovnou vytočit VPN tunel do svých pronajatých hostingových služeb. To znamená, že celá firma do nich nativně vidí přímo pomocí IPSec tunelu.

Zyxel také v nedávné době začal nabízet sandboxing jako standardní součást i nižších firewallů, mohl byste to rozvést?

Zyxel dodal sandboxing, tedy nejvyšší úroveň filtrace, i do nižší řady firewallů USG FLEX, která ho dřív neměla. Pokud provedeme dnes analýzu datového toku, tak ačkoli se vše jeví naprosto v pořádku, tak se pořád nemůžeme spolehnout na to, že tomu tak je opravdu, protože na světě mohl být vyvinutý nový typ viru, který je starý třeba hodinu. To znamená, že sandboxing využívá databáze, ale zároveň může odesílat soubor do cloudu, kde je dodatečně analyzován a uživateli zaručí ochranu před útoky typu Zero Day. Ve chvíli, kdy se objeví nějaká nová hrozba a my ji zanalyzujeme, tak se v řádu minut aktualizuje celosvětová sandboxing databáze.

Další věc, která v nižší řadě firewallů chyběla, byl DNS Content Filter. V minulosti stačilo u standardního HTTP protokolu jednoduše sledovat, na jakou stránku jdeme. Ovšem přechodem na HTTPS šifrovaný přenos dat jsme se dostali do situace, kdy jsou data už lépe chráněná, a dokonce s verzí TLS 1.3 tak, že ani nevidíme doménu, na kterou uživatel chce vstoupit. Tuto situaci řeší právě DNS Content Filter.

Jedním z vlajkových řešení Zyxelu je Nebula. Jakým způsobem se přes ní spravují bezpečnostní funkce?

Nebula je cloudový konfigurační a monitorovací systém, který funguje všude tam, kde je internet – ať už pro toho, kdo se přihlašuje, nebo kde zařízení funguje. Samozřejmě funguje i tak, že když dojde k výpadku internetu, tak prvek je dál v provozu, jen nerozesílá logy, statistiky a data. Po obnovení připojení ale všechny tyto změny aktualizuje, včetně případných změn konfigurace. Na každém zařízení je QR kód, kdy stačí použít mobilní aplikaci, kterou se kód jednoduše naskenuje, a zařízení se rovnou přidá do managementu dané organizace. Jakmile se prvky v dané struktuře objeví, tak se automaticky samy nakonfigurují a začnou vysílat SSID, Wi-Fi signál a podobně.

Řešení rovněž nabízí ucelený monitoring všech lokalit na jednom místě v jedné mobilní aplikaci. Ta na jednu stranu skenuje nové produkty, na druhou stranu administrátorovi odesílá notifikace, že nějaký prvek je offline, že právě došlo k výpadku nebo jiné mimořádné události. Nebula takto umožňuje centrální správu velkého množství lokalit, velkého množství zařízení na jednom uceleném místě. Správce systému poté ví o výpadku ještě dříve, než mu to z dotčené lokality nahlásí.

Nebula cílí spíše na enterprise segment, co nabízíte menším organizacím?

V licenčním modelu je i správa v Nebule zdarma a tento model se hodí i pro domácnost s jedním AP. Na menší organizace, které mají například obyčejný modem od poskytovatele internetu a potřebují jen jeden přístupový bod, cílíme funkcí Connect & Protect. Pokud se bavíme například o bezpečnosti v kavárně, tak pomocí funkce Connect & Protect mohu připojenému zákazníkovi nabídnout vyšší úroveň bezpečnosti připojení pomocí IP reputačních filtrů. Funkce Connect & Protect+ pak navíc nabízí kromě IP reputačních filtrů i filtraci aplikací a řízení šířky pásma pro aplikace, aby se pásmo rozdělilo mezi všechny připojené uživatele rovnoměrně.

Jaká školení v této oblasti nabízíte partnerům?

bitcoin_skoleni

V edukačních aktivitách se věnujeme nejen školením, ale i workshopům a webinářům. Kdykoli se objeví nějaké nosné téma, které potřebujeme lidem připomenout a upozornit na něj, tak zorganizujeme webinář. Ty trvají většinou do hodiny a jsou přístupné pro všechny naše partnery z České republiky a ze Slovenska.

Dále pořádáme celodenní workshopy s konkrétními ukázkami konfigurací a školení na specifické technologie. Certifikační školení ZCNE nabízíme jako dvě úrovně školení bezpečnosti, jednu úroveň školení switchů a dvě úrovně školení bezdrátových sítí, kdy probíráme teorii a laby, jak se co konfiguruje. Cílem je, aby zákazník, který tímto školením projde, kromě specifických věcí už nepotřeboval hledat v dokumentaci nebo volat technickou podporu, která je k dispozici v českém jazyce pro všechny registrované resellery. Dokumentace a návody jsou k dispozici na našich webových stránkách, kde si zákazník může stáhnout manuály, specifické aplikační listy nebo návody jak nastavit různé specifické topologie.

Zdroj: ChannelWorld

Čtěte dále

AT Computers je opět nejlepším distributorem klientských zařízení Dell
AT Computers je opět nejlepším distributorem klientských zařízení Dell
Na NIS2 si vyhraďte minimálně 6 měsíců, radí Jan Sedlák z MasterDC
Na NIS2 si vyhraďte minimálně 6 měsíců, radí Jan Sedlák z MasterDC
ComSource: Čtyři z pěti organizací kritické infrastruktury čelily phishingu
ComSource: Čtyři z pěti organizací kritické infrastruktury čelily phishingu
HPE ocenilo partnery roku 2024, nejlepším distributorem je DNS
HPE ocenilo partnery roku 2024, nejlepším distributorem je DNS
Coffee break: Když Wi-Fi potřebuje překonávat i kovové zdi
Coffee break: Když Wi-Fi potřebuje překonávat i kovové zdi
IDC: Dodávky průmyslových tiskáren stagnují, výkonnost segmentů se ale liší
IDC: Dodávky průmyslových tiskáren stagnují, výkonnost segmentů se ale liší