Przejdz do tresci
Avanet
Aktualizacje zapory – ignorowanie nie wchodzi w grę!

Aktualizacje zapory – ignorowanie nie wchodzi w grę!

18. KWIETNIA 2016

„Never change a running system”. Nie uwierzycie, ile razy musiałem już słuchać tego sloganu! W IT ten tekst nie ma jednak absolutnie żadnego sensu i jest najczęściej powtarzany wyłącznie z czystego lenistwa. Oczywiście każdy z nas miał już pewnie złe doświadczenia z aktualizacjami - po update nagle nic nie działa albo jedno naprawione błędne zachowanie rodzi dwa kolejne problemy. Jasne, bywa, że robi się drogo, bo trzeba zaangażować specjalistę.

Mimo wszystko ktoś, kto nie robi aktualizacji na swojej zaporze sieciowej, chyba nie do końca zrozumiał podstawy bezpieczeństwa.

W tym wpisie na blogu zajmę się tematem „aktualizacje na Sophos Firewall” i wyjaśnię, dlaczego są one tak ważne.

Dlaczego aktualizacje na Sophos Firewall są tak ważne?

Odpowiedź na to pytanie zależy oczywiście w dużej mierze od tego, czego oczekujecie od swojej zapory. Załóżmy, że większość z was kupuje lub już używa firewalla po to, aby chronić sieć firmową lub domową przed zagrożeniami z Internetu. Dlatego tak istotne jest, aby oprogramowanie zapory było zawsze możliwie najnowsze. Każdego dnia odkrywane są nowe luki bezpieczeństwa, o których wasza zapora musi „wiedzieć”, aby móc realizować swoją podstawową funkcję, czyli ochronę. Firewall żyje z aktualizacji!

Spójrzmy na to na konkretnym przykładzie. Tutaj widzicie dashboard urządzenia Sophos SG 310.

Panel Sophos UTM 9 z wieloma aktualizacjami

Czerwono oznaczone 23 Updates raczej trudno przeoczyć, prawda? Zobaczmy więc, jaką „figurę” jako bramkarz waszej sieci robi firewall w takim stanie. Na podstawie „Version information” widać, że obecnie zainstalowana jest wersja UTM 9.210-20. Wynika z tego, że:

I to są tylko najpoważniejsze i najistotniejsze zagrożenia. Łącznie istnieje ponad 3 500 zmian, które w naszym przykładowym systemie nie zostały zastosowane. Do tego dochodzi fakt, że licencja wygasła, co oznacza, że firewall wyłączył różne mechanizmy bezpieczeństwa i nie otrzymuje już pattern updates od Sophos.

Pozory mylą…

Być może myślicie teraz: „Co on się tak rozwodzi nad aktualizacjami, mój system jest aktualny, wszystkie updates są zainstalowane. Nic mi nie grozi.” Jeżeli jednak u was wygląda to tak, jak na następnym zrzucie ekranu, to macie zupełnie inny problem. ;-)

Dla wszystkich, którzy patrzą teraz na screenshot i nie do końca rozumieją, o co mi chodzi, krótkie wyjaśnienie. Widzimy tu dashboard Astaro Firewall (Astaro zostało w 2011 roku przejęte przez Sophos). Wsparcie dla wersji 7 „Astaro Security Gateway” zostało zakończone już 31 grudnia 2012. Dlatego ta wersja nigdy więcej nie będzie sygnalizowała dostępności nowych aktualizacji.

Panel Astaro v7

Chcę tym tylko zwrócić uwagę, że to, iż system nie dostaje już aktualizacji, wcale nie oznacza, że jest „na bieżąco”.

To, że Windows XP np. nie dostaje już aktualizacji, nie wynika z tego, że nie są mu potrzebne, tylko z faktu, że od 8 kwietnia 2014 nie jest już oficjalnie wspierany przez Microsoft.

Aktualizacje to nie wszystko

Żeby zapora faktycznie zapewniała możliwie najwyższy poziom ochrony, po pierwsze jej system operacyjny musi być aktualny, a po drugie wszystkie poprawki bezpieczeństwa muszą być regularnie instalowane. I na tym nie koniec. Osoba odpowiedzialna za firewall musi też umieć go poprawnie skonfigurować. Na nic się zda, że istnieją jakieś reguły zapory, jeśli prowadzą donikąd albo istotne funkcje bezpieczeństwa nie są aktywowane. Trzeba znać wszystkie funkcje firewalla, ponieważ zła lub błędna konfiguracja może również negatywnie wpłynąć na sieć.

Wnioski

Mam nadzieję, że na podstawie tych przykładów każdy z was zrozumiał, że firewall bez aktualizacji nie jest w stanie zapewnić aktualnego poziomu ochrony. Konfiguracja zapory i utrzymywanie jej w najnowszej wersji to wcale nie bułka z masłem, nawet jeśli Sophos próbuje nas przekonać swoim sloganem „Security made simple”. Przycisk 1-Click-Update co prawda da się wcisnąć przy stosunkowo niewielkim nakładzie pracy, ale nie ma żadnej gwarancji, że proces zawsze przebiegnie całkowicie bezproblemowo. Aktualizacje są ważne, ale dla administratora prawie zawsze wiążą się z dodatkowym nakładem pracy. Mimo to nie powinno się ulegać wygodzie - albo bierze się odpowiedzialność na siebie, albo angażuje profesjonalistę.

Każdy, kto kupuje firewall po to, by być chronionym, musi mieć świadomość, że sama instalacja to dopiero początek. Zapora wymaga regularnej opieki. Trzeba od czasu do czasu zalogować się do systemu, wykonać aktualizacje, przejrzeć logi, uruchomić analizę zagrożeń i tak dalej, i tak dalej…

Dla wszystkich, którzy nie chcą samodzielnie zajmować się konfiguracją i utrzymaniem swojej Sophos Firewall, oferujemy wygodne umowy serwisowe. A może zależy wam na pewności, że wasza zapora jest poprawnie skonfigurowana? Na życzenie chętnie przyjrzymy się waszemu firewallowi dokładniej i poddamy go „Security Check”.

Patrizio

Patrizio

Patrizio jest doswiadczonym specjalista sieciowym, koncentrujacym sie na firewallach Sophos, switchach i punktach dostepowych. Wspiera klientow i zespoly IT w konfiguracji, migracji oraz czystej segmentacji sieci.