باورهای غلط درباره فایروال؛ آیا داشتن فایروال به معنای امنیت کامل است؟

فایروال‌ها از ابزارهای کلیدی در حوزه امنیت سایبری هستند و نقش مهمی در حفاظت از شبکه‌ها ایفا می‌کنند. با این حال یک‌سری باورهای غلط درباره آنها وجود دارد که تکیه بر آنها می‌تواند عواقب جبران‌ناپذیری برای امنیت سازمان شما داشته باشد. در این مقاله به بررسی باورهای غلط درباره فایروال می‌پردازیم و با ارائه آمار و ارقام، شما را با واقعیت‌ها روبرو می‌کنیم!

با مشاوران شبکه فالنیک، کسب‌وکارتان را متحول کنید

با دریافت مشاوره شبکه از متخصصین کاربلد، شبکه‌ای می‌سازید که تا سال‌ها کسب‌و‌کارتان را بیمه می‌کند. در این مسیر سه دهه تجربه متخصصان فالنیک، همراه شماست. با کلیک روی لینک، اولین قدم برای ایجاد و رشد کسب و کارتان را بردارید.

درخواست مشاوره شبکهمشاوره رایگان

دیدگاه‌های سنتی درباره فایروال

در اینجا قصد داریم راجع به دیدگاه‌های سنتی درباره فایروال صحبت کنیم؛ چند باور غلطی که راجع به فایروال‌ها وجود دارد و ممکن است شما را به خطر بیاندازد.

1. فایروال داریم، پس امنیت داریم!

باور اول اینکه «فایروال داریم، پس امنیت داریم». این یکی از وحشتناک‌ترین دیدگاه‌هاست که من فایروال دارم پس دیگر حمله نمی‌خورم. باید گفت که فایروال فقط یک قسمت کوچک، ولی مهم از معماری امنیتی شماست. کلی تهدید داریم، از جمله حملات اینسایدرها (یا تهدیدهای داخلی) و حملات Social Engineering (یا مهندسی اجتماعی) که کار خودشان را انجام می‌دهند؛ اصلاً مهم نیست که فایروال شما چه هست. با پیشرفت تکنولوژی‌های فایروال، تا حد زیادی می‌توان گفت که درصد زیادی از هکرها انگیزه‌ای برای هک کردن فایروال شما ندارند و سعی می‌کنند از تکنیک‌های جایگزینی که ورود آنها را ساده‌تر می‌کنند، استفاده کنند.

خیلی از حملاتی که اخیراً به‌عنوان حمله هکری داخل کشور ما گزارش می‌شود، اصلاً از طریق اینترنت و وب انجام نمی‌شود. پس فایروال داشتن دلیلی بر امنیت داشتن نیست. در حوزه امنیت، ما معماری لایه‌بندی داریم که می‌توان آن را در قالب مثال، همانند یک پیاز در نظر گرفت! فایروال یک لایه بیرونی از این معماری است و شما باید برای هر قسمت، امنیت خاص خودش را داشته باشید. به این مفهوم Defense-in-Depth (دقاع در عمق) گفته می‌شود.

2. بلاک کردن همه چیز، امن‌تر است

مورد دوم می‌گوید که بلاک کردن همه چیز، امن‌تر است؛ هر چیزی را که بلاک کنید، امن می‌شود. درحالی‌که این کار و ایجاد محدودیت بیش از حد، باعث اختلال در سرویس می‌شود. بگذارید مثالی بزنیم:

درصد بالایی از سرویس‌های داخلی کشور ما به هیچ عنوان خارج از ایران قابل استفاده نیستند. زمانی‌که به یک کشور خارجی بروید، مجبور هستید برای وصل شدن به این سرویس‌ها، وی پی ان ایران بگیرید. اینجا چه اتفاقی افتاد؟ برای اینکه از حملات جلوگیری کنیم، این سرویس‌ها را بلاک کرده‌ایم، یا به اصطلاح فایروال را ایران اکسس کرده‌ایم. این راهکار نیست، بلکه به معنای ضعف امنیتی است و باعث اختلال سرویس می‌شود.

3. هر چه گران‌تر، امن‌تر است

تصور اشتباه دیگر این است که «هر چه گران‌تر، امن‌تر». این واقعاً تصور کاملاً اشتباهی است! شما با یک فایروال ارزان قیمت اما با پیکربندی درست، می‌توانید خیلی بهتر از یک فایروال قدرتمند و چند میلیاردی اما با تنظیمات نادرست عمل کنید. قرار نیست هر چیزی گران‌تر باشد، امن‌تر هم باشد!

یکی از تجربیاتی که من در چند سازمان ایران داشتم این است که سازمان هزینه زیادی در حد 1 یا 2 میلیارد برای خرید فایروال هزینه کرده است؛ اما تأثیرگذاری مثبت آن در مقایسه با یک فایروال ساده در سازمان دیگر بسیار کمتر بوده است. چرا که فایروال ساده‌تر، پیکربندی حرفه‌ای‌تری داشته و مفاهیمی مثل Segmentation، Micro-Segmentation، تفکیک ترافیک‌ها، سرورها و VLANها در آن به‌خوبی پیاده‌سازی شده است. پس الزاماً هر چیزی گران‌تر باشد، امنیت بیشتری را به شما هدیه نمی‌دهد! دانش پیکربندی از خود فایروال بسیار مهم‌تر است.

4. بستن پورت‌ها کافی است

متأسفانه اولین کاری که در مواقع بحرانی، حتی بسیاری از افراد باتجربه در این حوزه، انجام می‌شود بستن پورت‌ها است. با این توجیه که پورت‌ها را می‌بندیم تا کسی پورت اسکن نکند. اما این نکته را در نظر بگیرید که کسانی‌که سایت یا وب‌سرویس دارند یا خودشان ارائه‌دهنده سرویس DNS هستند، نمی‌توانند همه پورت‌هایشان را ببندند! می‌شود پورت 80 وب‌سایت سازمان یا پورت 443 مربوط به SSL خود را ببندید تا کسی به آن دسترسی پیدا نکند. اما این راه‌حل در واقع پاک کردن صورت مسأله است. ما نمی‌توانیم امنیت سرویس‌های عمومی‌مان را با معیار «بستن پورت» درست کنیم! درست مانند همان مورد «بلاک کردن همه چیز»! این موارد الزاماً امنیت به ارمغان نمی‌آورند.

5. SSL Inspection خطرناک یا غیرضروری است

ابتدا کمی درباره SSL Inspection توضیح می‌دهیم. اولین بار فایروال مایکروسافت TMG مفهومی را به نام HTTPS Inspection معرفی کرد. این مفهوم می‌گفت که فایروال‌ها امکان شنود ترافیک SSL را ندارند، حالا برای رفع این مشکل باید چه کار کرد؟

فرض کنید یک وب سرور داخلی دارید که ترافیک ورودی و خروجی دارد؛ یا یک ایمیل سرور داخلی دارید که روی خودش SSL دارد و ایمیل‌ها از طریق آن رمزنگاری می‌شوند. همان‌طور که می‌دانید، SSL و HTTPS از معماری‌های رمزنگاری نامتقارن هستند و 2 کلید خصوصی (Private KEY) دارند. در آن زمان این کلیدهای اختصاصی را از ایمیل سرور استخراج می‌کردند و آنها را به فایروال TMG می‌دادند. به این ترتیب محتوای ایمیل‌هایی که می‌خواستند از فایروال عبور کنند، باز می‌شد و مورد بررسی قرار می‌گرفت تا داده‌ای از سازمان خارج نشود. این کار، HTTPS Inspection نام دارد. همین قابلیت در فایروال‌های امروزی با نام SSL Inspection شناخته می‌شود و به معنای بازرسی ترافیک رمزنگاری شده است.

از آنجایی‌که این قابلیت پیاده‌سازی سخت و پردردسری دارد، حدود 70 درصد فایروال‌ها با اینکه از SSL Inspection پشتیبانی می‌کنند، اما از آن استفاده نمی‌کنند. توجه داشته باشید که برای پیاده‌سازی فایروال‌های مختلف حتماً باید تجزیه و تحلیل انجام دهید، آنالیز انجام دهید، جلسه داشته باشید، تست پایلت داشته باشید و ببینید که مرحله به مرحله باید چه کار کنید. باید بررسی کنید که آیا گزارشی مبنی بر اختلال دریافت کرده‌اید یا نه. این در مورد SSL Inspection نیز صادق است. به‌عنوان مثال این قابلیت با ایمیل سرور Exchange مایکروسافت سازگار نیست؛ چرا که اساساً ایمیل سرور مایکروسافت، کلید اختصاصی ایمیل‌ها را خروجی نمی‌دهد که بتوان آن را آنالیز کرد. پس اگر HTTPS Inspection یا SSL Inspection را در فایروال خود راه‌اندازی کنید، اکسچنج سرور عملاً از کار می‌افتد و هیچ ایمیلی دریافت یا ارسال نخواهد شد.

به‌هرحال این یک روال جاافتاده است که «چون دردسرساز هست، پیاده‌سازی نمی‌شود». روالی که بسیاری از ادمین‌ها در نظر می‌گیرند و در حوزه امنیت نیز وجود دارد. این جزء باورهای غلط و سنتی راجع به فایروال است. وقتی چیزی را می‌خرید، باید از تمام امکاناتش استفاده کنید. مثلاً وقتی برای یک فایروال، 200 یا 280 میلیون پول می‌دهید که فقط از یک قابلیت آن استفاده کنید، درصد زیادی از پول خود را هدر داده‌اید.

تصور اشتباه: فایروال = امنیت کامل

همان‌طور که اشاره کردیم، فایروال هیچ‌وقت نمی‎تواند حملات مهندسی اجتماعی یا Social engineering را تشخیص بدهد؛ حملاتی که در لایه متفاوتی هستند و در ایمیل‎ها، پیامک‎ها، تماس‎ها و روابط عمومی قرار دارند. این حملات بسیار مؤثرند. همان‌طور که گفتیم فایرول «یک قسمت» از معماری ماست و در برابر تهدیدات داخلی هیچ کاری نمی‌تواند بکند. فایروال نمی‌تواند برای خرابکاری کاربران کاری انجام دهد و نسبت به بسیاری از تهدیدات داخلی از جمله Privilege Escalation (بالا بردن سطح دسترسی) دیدی ندارد.

یک قانونی وجود دارد به نام قانون ویلفرد پارتو یا قانون 80/20 که بیان می‌کند تقریباً 80 درصد از اثرات، از 20 درصد علل ناشی می‌شوند. متأسفانه ما در ایران به این صورت عمل می‌کنیم که اگر قرار باشد انرژی بگذاریم، 80 درصد انرژی امن‌سازی اطلاعات را در edge یا لبه شبکه و فایروال صرف می‌کنیم و 20 درصد انرژی‌مان را برای امنیت داخلی می‌گذاریم؛ درحالی‌که تهدیدات عملی‌شده، تهدیدات واقعی و تهدیدات ترسناک معکوس این قضیه هستند! یعنی 20 درصد اتفاقات خیلی بد قرار است واقعاً در لایه فایروال اتفاق بیفتد. 80 درصد حملاتی که قطعی هستند، دیتاهای سنگین را می‌برند، باعث افشای اطلاعات می‌شوند یا باعث هک بسیاری از بانک‌ها و مؤسسات می‌شوند، اینسایدرها یا داخلی‌ها هستند. البته این آمار قطعی و دقیق نیست و آن را به‌صورت حدودی بیان کردیم.

آمار و ارقام ترسناک از تأثیر باورهای سنتی درباره فایروال

ابتدا به این نکته اشاره کنیم که آماری که در ادامه می‌آید، کاملاً واقعی است و توسط شرکت Palo Alto که خودش فایروال‌های قدرتمندی تولید کرده، ارائه شده است. اما این آمار چه می‌گوید؟

65 درصد قابلیت‌های فایروال‌ها نادیده گرفته می‌شوند

طبق این آمار، 70 درصد از فایروال‌ها صرفاً برای بستن و باز کردن پورت‌ها استفاده می‌شوند. این کار در لایه 3 شبکه انجام می‌شود. بگذارید این آمار را به‌صورت دیگری تفسیر کنم: 70 درصد کارشناسان امنیت که مدعی فایروال هستند و جلسات روزانه و متعددی راجع به فیچرهای جدید اضافه‌شده به فایروال برگزار می‌کنند، ترسو و سهل‌انگار هستند؛ این جلسات نیز چیزی بیشتر از دورهمی‌های ساده نیست! چرا که هیچ پیاده‌سازی وجود ندارد. در عین حال، 70 درصد فایروال‌هایی که در دنیا خریداری می‌شوند، عملاً هیچ کارایی مفیدی ندارند. به این دلیل که از آنها در لایه 3 استفاده می‌شود. در لایه 3 عملاً شما می‌توانید بسیاری از فایروال‌ها را با یک فایروال میکروتیک ارزان جایگزین کنید و اصلاً درگیر فایروال‌های قوی نشوید! به تعبیر من، بسیاری از ما تانک می‌خریم و از آن به‌عنوان فرغون استفاده می‌کنیم! به عبارت دیگر، بسیاری از کسانی‌که فایروال می‌خرند اصلاً از 65 درصد قابلیت‌های واقعی فایروال خود استفاده نمی‌کنند.

احساس امنیت، از امنیت واقعی مهم‌تر است!

یک مثال ملموس‌تر برای کسانی‌که کار شبکه انجام می‌دهند: «ما فایروال می‌خریم تا فقط آن را داشته باشیم!». یک رولی در این زمینه داریم به نام Allow any/any؛ به این معنی که «اجازه بده هرچیزی آمد، از اینجا بگیرد و از آن طرف رد شود». این رول، خلاصه خیلی از رول‌های فایروال‌هایی هست که در پروژه‌های کشور ما دارد انجام می‌شود. شاید باور این موضوع سخت باشد، اما با فکت و استناد، دارد این اتفاق می‌افتد. از بُعد روان‌شناسی، یک جمله جالبی هست مبنی بر این‌که: «احساس امنیت، از امنیت واقعی مهم‌تر است». یعنی اینکه شما یک فایروال در مسیر شبکه خود بگذارید، پورت‌ها را به‌هم متصل کنید، اج شبکه ترافیک داخلی را به ترافیک بیرونی متصل کند و برعکس آن را بگیرد، و یک رول allow any/any داشته باشید، از نظر روانی برای شما قابل قبول هست و می‌گویید «همه چیز امن است»! اصلاً مهم نیست که این فایروال امکان پیکربندی دارد و قابلیت‌های متعددی را در اختیار ما می‌گذارد!

متأسفانه خیلی از ما فقط روی محدودیت پورت کار می‌کنیم که بگوییم توانستیم کانفیگ کنیم! به این دلیل که احتمال دارد اگر بخواهیم یک قابلیت دیگری از این فایروال را استفاده کنیم، در پیکربندی‌های ما اختلالی به‌وجود بیاید؛ پس این قابلیت‌ها را نادیده می‌گیریم.

فیلترینگ، خودزنی بزرگ در حوزه ترافیک شبکه در ایران

یک آمار عجیبی داریم مبنی بر این‌که درصد بالایی از فایروال‌های فورتیگیت و فایروال‌هایی که لایسنس دارند، عملاً سال‌هاست که لایسنس آنها تمدید نشده است و اصلاً نیازی به تمدید آنها احساس نشده است! جالب است بدانید که لایسنس برای لایه 3 تا لایه 7 کاربرد دارد که مهم‌ترین بخش‌های ما هستند! درست است که بدون تمدید لایسنس، لایه 3 بدون مشکل کار می‌کند، اما عملکرد یک‌سری از ماژول‌های مهم فایروال متوقف می‌شود و این بسیار خطرناک است! اگر شما می‌خواهید از فورتیگیت به‌خاطر لایه 3 استفاده کنید، همان بهتر که بروید یک میکروتیک به‌جای آن بگذارید!

 این آمار، عمق فاجعه را در زمینه امنیت شبکه در کشور ما مشخص می‌کند! به‌طور کلی امنیت شبکه در کشور ما جای بحث زیادی دارد! به عقیده من، وضعیت فیلترینگی که ایجاد کرده‌ایم، عملاً یک خودزنی بزرگ در حوزه ترافیکی در ایران بوده است. قبل از اینکه فیلترینگ وجود داشته باشد، شبکه‌های بات‌نتی که حملات DDoS انجام می‌دادند، اکثراً خارج ایران بودند؛ یعنی ما شبکه‌های بات‌نت که داخل ایران کار کنند، یا اصلاً نداشتیم یا بسیار کم داشتیم. به لطف دنیای فیلترینگ، امروزه حملات DDoS داخلی داریم و این موضوع یک خودزنی بزرگ بود!

بررسی آمار و ارقام واقعی

در ادامه به یک‌سری آمار و ارقام واقعی اشاره می‌کنم که براساس بررسی‌های میدانی و گزارش‌های DBIR، گارتنر و SANS جمع‌آوری شده‌اند:

• بیش از 60 درصد فایروال‌ها فقط در سطح پورت و پروتکل (لایه‌های 3 و 4) کار می‌کنند.
• ویژگی‌هایی مانند فیلترینگ لایه 7، IPS، URL Filtering و SSL Inspection اغلب غیرفعال باقی می‌مانند (همین که داریم، کافی‌ست!)
• یک آمار تکان‌دهنده: فقط 38 درصد سازمان‌ها از Application Control و کمتر از 30 درصد از SSL Inspection استفاده می‌کنند!

اما دلیل این موارد چیست؟ در وهله اول، باید به بحث حقوق دریافتی کارشناسان امنیت و فایروال اشاره کنیم! حقوق‌ها آنقدری نیست که کارشناسان دغدغه این موارد را هم داشته باشند! واقعاً درآمدها در ایران قابل مقایسه با درآمدهای جهانی نیست و این موضوع باعث شده تا کارشناسان رغبت این را نداشته باشند که تغییرات به‌روز را پیاده‌سازی و بار کاری خودشان را زیاد کنند! از جهات بسیاری می‌توان به آنها حق داد، اما به‌هرحال اگر من به شخصه در سازمانی بودم و چنین تجهیزاتی را در اختیار من می‌گذاشتند، حداقل برای یادگیری خودم هم که شده ریسک پیکربندی را می‌پذیرفتم و تجربه‌اندوزی می‌کردم.

اما دلایل دیگری هم وجود دارد که از مهم‌ترین آنها می‌توان به موارد زیر اشاره کرد:

• کمبود تخصص: در برخی شرکت‌ها، کارشناسان با فایروال جدیدی که خریداری شده (و ممکن است یک رول هم به آن اضافه شده باشد)، اصلاً آشنایی ندارند!
• ترس از اختلال سرویس: خیلی از کارشناسان می‌ترسند که اگر به تنظیمات دست بزنند، ممکن است یک سرویسی به مشکل بخورد. برای جلوگیری از این موضوع، باید گام به گام پیش بروید؛ نباید به یک‌باره مثلاً 10 رول به فایروال اضافه کنید. باید گام به گام تست کنید، برآورد کنید، Best Practice ها را چک کنید و اگر اتفاقی افتاد، متناسب با آن اتفاق فایروال خود را بهینه کنید.
• هزینه‌های لایسنس: متأسفانه ما در ایران فقط یک‌بار حاضریم هزینه کنیم و عادت نداریم هرسال، مبلغی را برای لایسنس و تمدید آن بپردازیم! درحالی‌که تمدید لایسنس باعث به‌روز شدن دیتابیس آنتی‌ویروس می‌شود و از تهدیدات جدید جلوگیری می‌کند. شما نمی‌توانید امسال یک آنتی‌ویروس بخرید و تا 10 سال با دیتابیس آن ادامه دهید! قطعاً ویروس‌های جدید از راه می‌رسند و آن را نابود می‌کنند. در فایروال هم به همین صورت است. اگر شما Application Layer Firewall گرفتید و لایسنس آن را تمدید نمی‌کنید، دیتابیس حملات جدید روی آن آپدیت نمی‌شود و وب‌سایت سازمان یا شرکت شما در برابر این حملات آسیب‌پذیر می‎شود.

آنچه در رابطه با باورهای غلط درباره فایروال ارائه دادیم

در این مقاله درباره باورهای غلط درباره فایروال صحبت کردیم و خطراتی را که دیدگاه‌های سنتی می‌تواند برای امنیت سازمان شما ایجاد کند، مورد بررسی قرار دادیم. موضوعاتی مانند «داشتن فایروال یعنی امنیت کامل»، «بلاک کردن بیشتر یعنی امنیت بیشتر» و «فایروال هرچه گران‌تر، امن‌تر» از باورهای سنتی و اشتباهی هستند که متأسفانه بسیاری از سازمان‌های ما به آنها پایبند هستند! امیدواریم این مقاله در باز کردن دید شما نسبت به نقش فایروال در امنیت شبکه کمک کرده باشد.

با مشاوران شبکه فالنیک، کسب‌وکارتان را متحول کنید

با دریافت مشاوره شبکه از متخصصین کاربلد، شبکه‌ای می‌سازید که تا سال‌ها کسب‌و‌کارتان را بیمه می‌کند. در این مسیر سه دهه تجربه متخصصان فالنیک، همراه شماست. با کلیک روی لینک، اولین قدم برای ایجاد و رشد کسب و کارتان را بردارید.

درخواست مشاوره شبکهمشاوره رایگان