Vysoká dostupnost firewallů

Vysoká dostupnost je vlastnost systému, která zajistí jeho dostupnost při výpadku kterékoli jeho části. V případě firewallingu, který je předmětem tohoto článku, se to týká nejen firewallu samotného, ale i všech komunikačních zařízení kolem něj - přepínačů, směrovačů, připojení na Internet a pod.

Potřeba vysoké dostupnosti obecně nesouvisí primárně s Internetem ani s firewallingem. Již v minulém tisíciletí (byť tedy až na jeho samém konci) počítače pronikly do důležitých pozic - např. automatizace výrobních procesů v automobilovém průmyslu je bez počítače již dlouho prakticky nepředstavitelná. Dokonce i krátkodobé výpadky jsou nepřijatelné i v celé řadě jiných odvětví počínaje např. řízením letového provozu a konče třeba řízením jaderné elektrárny.

S nástupem Internetu se významně zvýšila zranitelnost systémů útokem zvenčí a mnohé citlivé systémy jsou proto (zcela rozumně) dodnes od jakéhokoli přístupu z vnějšku fyzicky odděleny. Nicméně mnohé citlivé systémy již dnes k Internetu připojeny být musí, protože to požaduje zákazník - k "postiženým" patří banky, pojišťovny, státní úřady, internetové obchody. Vysoká konkurence a velká mobilita internetových zákazníků si vyžaduje co nejspolehlivější provoz těchto systémů. I krátkodobá nedostupnost služeb může způsobit, že si zákazník zatím najde požadované zboží na Internetu někde jinde.

Internet je však dosti nepřátelské prostředí. Každou sekundu se na něm odehrávají tisíce útoků na zranitelné systémy. Tisíce skenů zjišťují informace o každém zařízení připojeném k Internetu. Pokusy ukázaly, že nově nainstalovaný počítač (s prakticky libovolným běžným operačním systémem bez aplikovaných posledních oprav) se po připojení k Internetu stane obětí útoku v průměru během několika desítek minut (podle institutu SANS je to v současné době průměrně 18 minut). Nejrychlejší pozorovaný úspěšný útok na takový počítač proběhl pouhých šest minut po jeho zapojení do Internetu. Mnozí uživatelé Windows pozorovali, že bez použití firewallu prakticky není možné provést tzv. Windows Update nově nainstalovaného počítače dost rychle - kompromitován je běžně dřív, než se ze serverů Microsoftu stáhnou potřebná data.

Žádná organizace si proto nemůže dovolit připojit se k Internetu bez prostřednictví firewallu a protože ve větších organizacích významná většina útoků pochází zevnitř, od vlastních zaměstnanců, mnohé musí mít firewally i uvnitř svých sítí, aby oddělovaly a kontrolovaly provoz např. mezi pracovními stanicemi zaměstnanců a servery. Zejména vnitřní firewally, ale u firem obchodujících prostřednictvím Internetu i firewally chránící připojení do Internetu, musí být vždy funkční. Proto je nutné zajistit jejich vysokou dostupnost některými z níže popsaných prostředků.

Pro zajištění vysoké dostupnosti (často označované zkratkou HA z anglického termínu High Availability) se používají tzv. clustery - dva nebo více systémů spojených tak, aby při výpadku některých z nich jejich funkce plně převzaly zbývající systémy. Existuje mnoho různých typů clusterů - nás zajímají jen ty, které se hodí pro zajišťování vysoké dostupnost firewallů: Studená a horká záloha, sdílení zátěže a rozkládání zátěže.

Studená záloha se obvykle ani za cluster nepovažuje; zde ji uvádíme jen pro úplnost, protože je z používaných metod nejméně nákladná. Jako studenou zálohu označujeme zařízení, nainstalované a nakonfigurované přesně tak, jako provozní zařízení, ale fyzicky odpojené a mnohdy i vypnuté. Výpadek jednoho zařízení lze poměrně rychle (v řádu několika desítek minut až hodin) napravit manuálním zapojením náhradního. Tento způsob zajištění vysoké dostupnosti je pro většinu organizací zcela nedostatečný a používá se jen výjimečně. Klade vysoké nároky na disciplinovanost obsluhy, která musí každou změnu v primárním systému provést i na záložním systému. Centralizovaný management pro tento druh zálohy většinou není možný.

Firewally, přepínače a směrovače velmi často používají metodu horké zálohy - dvě nebo více zařízení je připojeno do sítě současně, ale práci vykonává jen jedno z nich. Při poruše primárního zařízení se automaticky přestěhují virtuální (společné) adresy na záložní stroj. Některé systémy se s tím spokojí, jiné ještě navíc zajišťují průběžnou synchronizaci stavových tabulek v záložních systémech s hlavním a při přechodu na zálohu tak uživatelé prakticky nepocítí výpadek. Také metody, pomocí nichž se rozpozná potřeba přechodu na záložní zařízení se liší - základní je pouhé testování "viditelnosti" síťových rozhraní primárního zařízení, jindy se testuje dostupnost jiných zařízení v síti a konečně nejpropracovanější produkty mají sofistikované testovací systémy, které kontrolují nejen dostupnost sítě, ale i libovolné další parametry systémů, jako např. běžící programy, teplotu CPU, volnou paměť apod.

Nejznámější protokoly umožňující tento typ záloh jsou:

1. VRRP (Virtual Router Redundancy Protocol)
   Používá ho např. Nokia IPSO (systém, na kterém lze provozovat Check Point Firewall-1), firewally Netscreen od společnosti Juniper a mnoho dalších.


2. HSRP (Hot Standby Router Protocol)
   Proprietární protokol společnosti Cisco; velmi podobný VRRP. Setkáte se s ním prakticky na každém zařízení této společnosti.


3. Stonebeat HotStandby
   Proprietární řešení společnosti StoneSoft, původně vyvinuté jen pro Check Point FireWall-1, nyní také pro další firewally, webové servery, proxy servery, antiviry apod. Má propracovaný testovací systém, který se neomezuje na pouhé testování dostupnosti sítě.


4. Cluster XL
   Proprietární řešení společnosti Check Point - samostatně licencovaná součást FireWallu-1

Přestože se jedná o prakticky nejstarší běžně používaný model pro zajišťování vysoké dostupnosti, patří stále k nejoblíbenějším díky relativně nízkým nákladům a jednoduchosti nastavení. Zejména VRRP, které je zdarma součástí systému IPSO, je velmi populární.

Jakkoli je horká záloha oblíbená, má jednu drobnou vadu - za cenu dvou zařízení kupuje zákazník výkon jediného. Navíc na vysokorychlostních linkách nemusí být dostatečně rychlé zařízení vůbec k dispozici. Proto se logicky dalším cílem při vývoji vysoké dostupnosti firewallů stalo využití záložních zařízení nejen k zachování provozu při výpadku, ale i ke sdílení zátěže.

Systémy sdílející zátěž (Load Sharing) fungují poměrně jednoduše: Administrátor odhadne očekávaný provoz a předem nastaví, jakou část bude zpracovávat každý určený člen clusteru. Nastavení je pevné a nijak se nepřizpůsobuje aktuálnímu provozu, takže jeho efektivita obyčejně není příliš vysoká.

Mezi nejrozšířenějšími produkty poskytujícími Load Sharing jsou:

1. Stonebeat FullCluster
   Proprietární řešení společnosti StoneSoft, které nahradilo původně dodávaný produkt Stonebeat HotStandby (viz výše) - umožňuje nejen Load Sharing, ale také níže popsaný Load Balancing a stejně také existuje nejen ve verzi pro firewally - také s ním lze zajišťovat HA pro celou řadu jiných produktů.


2. StoneGate
   Vlastní firewall společnosti StoneSoft, má podobnou funkcionalitu, jako Stonebeat, doplněnou navíc možností balancování VPN tunelů přes linky různých providerů; navíc umožňuje i Load Balancing (viz níže)


3. Crossbeam
   HW zařízení společnosti Crossbeam Systems (tzv. Blade systém, na kterém se definují virtuální systémy a interakce mezi nimi), vyvinuté pro Check Point FireWall-1, nyní podporuje i další produkty - firewallové, antivirové, IDS, filtrování URL apod. Také podporuje Load Balancing.


4. Cluster XL
   Produkt společnosti Check Point, pouze pro Load Sharing systémů s FireWallem-1 stejné společnosti.

Je nutné dodat, že Load Sharing už prakticky nikdo nepoužívá, protože produkty StoneSoftu i Crossbeam již dlouho podporují Load Balancing a Cluster XL by ho měl začít podporovat v blízké budoucnosti také.

V současné době se vedle horkých záloh nejčastěji používají systémy umožňující tzv. rozkládání zátěže, neboli Load Balancing. Tyto systémy reagují na aktuální provoz, který přes ně prochází a snaží se rozdělovat ho mezi členy clusteru tak, aby byly vytíženy stejnoměrně. Vzhledem k tomu, jakým způsobem probíhá kontrola spojení na stavových a aplikačních firewallech, není možné zajistit naprosto stejné zatížení všech systémů - bude se vždy jen blížit ideálnímu stavu - nicméně i přesto se jedná o způsob, který je pro zajištění co největšího výkonu clusteru nejefektivnější.

Většina systémů pro rozkládání zátěže umožňuje spojit do clusteru velké množství členů (některé teoreticky neomezené množství) a tyto navíc nemusejí nutně být každý úplně stejně výkonný, nicméně s rostoucím počtem členů se efektivita jejich využití snižuje a po dosažení určitého množství může celkový výkon začít klesat.

Rozkládání zátěže poskytují např. tyto produkty:

1. Crossbeam Systems Crossbeam
   HW zařízení společnosti Crossbeam Systems (Blade systém), vyvinuté pro Check Point FireWall-1, nyní podporuje i další produkty - firewallové, antivirové, IDS, filtrování URL apod.


2. Stonesoft Stonebeat FullCluster
   Nejznámější a nejdéle vyvíjený systém na trhu, umožňuje zapojit do clusteru až 16 členů a lze s ním clusterovat clustery samotné, takže jeho rozšiřitelnost je teoreticky neomezená. Nejčastěji se používá pro Check Point FireWall-1, ale existuje i pro jiné systémy, např. web servery apod.


3. Stonesoft StoneGate
   Poměrně málo rozšířený firewall, který je od počátku vyvíjen jako clusterové řešení, zajišťuje dobře i vysokou dostupnost prostřednictvím více ISP a je schopen přes různá ISP např. i udržovat a balancovat provoz VPN tunelů.

Přes jisté zvýšené náklady, které jsou s ní spojené, se vysoká dostupnost firewallů a obecně komunikační infrastruktury stává relativně běžnou záležitostí. Existují však velké rozdíly mezi jednotlivými implementacemi - záleží na bezpečnostní politice dané společnosti, jak moc dokonalou vysokou dostupnost ke svému provozu potřebuje a na možnostech jejího financování. Většina menších a středně velkých společností tak vystačí s jediným ISP, ale zdvojuje všechno ostatní, u větších společností a u těch, kde je vysoká dostupnost významnou součástí jejich podnikových procesů, se obvykle používají dva až čtyři ISP a jednotlivé části komunikační infrastruktury bývají rozmístěny v různých geograficky vzdálených lokalitách tak, aby provoz v žádném případě neohrozila ani katastrofa typu povodně, požáru apod.

Pokud začínáte uvažovat o vysoké dostupnosti, nejpraktičtější bývá provést alespoň základní analýzu existujícího stavu, zjistit, jak které výpadky ohrožují fungování společnosti a vyjít z toho při definici požadavků celkové bezpečností politiky.