U današnjem globalnom svijetu Interneta vatrozid sustav je postao uistinu ključna tehnologija u borbi za očuvanje sigurnosti na mreži i prva linija obrane protiv napada i prijetnji na mreži. Ipak, s neprestanim rastom Interneta te sve profinjenijim napadima dolazi potreba za sve složenijim dizajnom i održavanjem vatrozid sustava, što za sobom povlači njihovu povećanu ranjivost. Pod napadom ili teškim opterećenjem vatrozid sustav s mnogo sigurnosnih pravila koja nisu optimizirana lako može postati usko grlo. Kako se skup pravila stalno mijenja i raste zbog dinamike mrežnog prometa, tako su i sigurnosna pravila u stalnoj potrebi za nadogradnjom, ugađanjem i ispitivanjem kako bi se optimizirala sigurnost koju pruža vatrozid sustav. Kako ne postoji jedinstveno najbolje riješenje za optimizaciju vatrozid sustava, potrebno je poznavati različite pristupe kako bi se mogao odabrati najprikladniji pristup za danu situaciju.
Dokument daje pregled najčešćih anomalija u sigurnosnim pravilima te tri pristupa optimizaciji vatrozid sustava: optimizacija pomoću rudarenja podataka (eng. Data Mining), na temelju karakteristika mrežnog prometa i putem metode koja koristi usmjerene acikličke grafove (eng. Directed Acyclical Graphs Method).
Sigurnosna pravila vatrozid sustava su zapravo uređena lista pravila za filtriranje prometa koja definiraju koja će se akcija izvršiti nad paketom koji zadovoljava određene uvjete. Paket se propušta ili odbacuje na temelju određenog pravila ako se sve promatrane informacije iz zaglavlja paketa podudaraju sa odgovarajućim poljima u tom pravilu. U suprotnom, ispituje se sljedeće pravilo po redu i taj postupak se ponavlja sve dok se ne pronađe prvo pravilo koje se podudara u potpunosti. Vatrozid sustav se treba ponašati deterministički (dakle za isti paket treba uvijek izvesti isto pravilo). Mogućnosti za nedeterminističko ponašanje su, na primjer, razni konflikti i anomalije u pravilima. Do anomalija će doći ako (1) dva ili više pravila vrijede za isti paket ili (2) pravilo se ne podudara s nijednim paketom koji prolazi kroz vatrozid sustav. Kako se broj sigurnosnih pravila povećava, povećava se i vjerojatnost anomalija. Anomalije se mogu podijeliti u 5 osnovnih razreda: zasjenjivanje, redundancija, korelacija, poopćenje i nevažna pravila.
Jedan od interesantnijih problema kada su u pitanju sigurnosna pravila vatrozid sustava je i pitanje koliko su pravila korisna i dobro organizirana te jesu li u skladu s trenutnim karakteristikama mrežnih paketa. Na primjer, praćenjem trenda u mrežnom prometu može se pokazati da su neka pravila zastarjela ili nisu korištena nedavno što može biti poticaj za administratora da ukloni ili razmjesti takva pravila kako bi optimizirao učinkovitost vatrozid sustava.
Prvi korak u uklanjanju potencijalnog neslaganja između onog što piše u sigurnosnim pravilima i onog što se stvarno događa na mreži je analiza prometa i log datoteka korištenjem tehnika Data Mining-a (rudarenje podataka). Data Mining tehnike se sve češće koriste prilikom optimizacije vatrozid sustava, osobito na log datotekama kako bi se na temelju karakteristika prometa optimizirao skup sigurnosnih pravila, a time i sam rad vatrozid sustava. Iako je to relativno nova metoda u optimizaciji vatrozid sustava, pokazuje jako dobre rezultate.
Jedna od uspješnijih metoda optimizacije relativno velikog skupa sigurnosnih pravila vatrozid sustava koji sadrži jako malo ovisnosti među pravilima jest metoda Directed Acyclical Graphs.
U svim opisanim metodama cilj je promjeni redoslijeda pravila u listi kako bi se minimizirao broj potrebnih usporedbi pri traženju akcije koju treba izvesti za neki paket, pri čemu se postavlja uvjet da se sačuva integritet početne liste sigurnosnih pravila.
Na pitanje koju metodu optimizacije je najbolje upotrijebiti ne postoji jedinstven najbolji odgovor. Stoga je preporučljivo upoznati se s različitim metodama optimizacije i odabrati onu koja najbolje odgovara zahtjevima dane situacije.
Posljednje sigurnosne preporuke