Vyvíjející se ohrožení
Hackeři, kteří si uvědomili tuto skutečnost, vynalezli sofistikované útoky, které jsou sestrojeny tak, aby obcházely tradiční politiky kontroly přístupu posílené firewally v bezpečnostním plášti. Dnešní dobře informovaní hackeři udělali velké pokroky ve zpětném skenování otevřených portů firewallů a nyní míří přímo na aplikace. Některé z nejvážnějších hrozeb v současném internetovém prostředí pocházejí z útoků, které se pokoušejí těžit ze známých aplikačních děr. Zvláštnímu zájmu hackerů se těší služby jako například HTTP (TCP port 80) a HTTPS (TCP port 443), které běžně bývají otevřeny v mnoha sítích. Zařízení pro kontrolu přístupu nemohou snadno detekovat svévolná zneužití zacílená na tyto služby. Tím, že se zaměří přímo na aplikace, se hackeři snaží dosáhnout nejméně jednoho z několika následujících škodlivých cílů:
· odepření služeb legitimním uživatelům (DoS útoky),
· získání administrátorského přístupu k serverům a klientům,
· získání přístupu k databázím vnitřních firemních informací,
· instalace softwarového trojského koně, který obchází ochranu a umožňuje přístup k aplikacím,
· instalace softwaru, který na serveru běží v "sniffer" módu a napadá uživatelská ID a hesla.




Poněvadž útoky zaměřené na aplikace jsou ze své podstaty sofistikované, též efektivní obrana musí být stejnou měrou sofistikovaná a inteligentní. Aby podnikové firewally odpovídaly na vzrůstající ohrožení ze strany útoků zaměřených na aplikace, musejí se proměnit v novou generaci bran s vícevrstvým zabezpečením. Taková vícevrstvá bezpečnostní brána by měla chránit jak proti síťovým, tak proti aplikačním útokům tím, že poskytuje robustní kontrolu přístupu k IT zdrojům.

Obrana proti ohrožením na aplikační úrovni
Aplikační vrstva přitahuje množství útoků z několika důvodů. Za prvé jde o vrstvu, která obsahuje konečný cíl hackerů - skutečná uživatelská data. Za druhé aplikační vrstva podporuje mnoho protokolů (HTTP, CIFS, VoIP, SNMP, SMTP, SQL, FTP, DNS atd.), takže v sobě skrývá početné potenciální metody útoků. Za třetí, detekce a obrana proti útokům v aplikační vrstvě je obtížnější než na nižších vrstvách, protože v této vrstvě je více slabin. Aby bezpečnostní řešení úspěšně poskytovalo ochranu aplikační vrstvy, musí pokrývat následující čtyři strategie obrany:

Ověřit dodržení standardu
Firewally musejí být schopny určit, zda komunikační toky zachovávají patřičné standardy protokolů. Porušení standardů může svědčit o svévolném užívání sítě. Jakýkoli datový tok nedodržující jasně definované protokoly či aplikační standardy musí být podrobně prozkoumán dříve, než mu je povolen vstup na síť, jinak by klíčové podnikové aplikace byly vystaveny riziku. Například zatímco oficiální standard HTTP binární znaky v HTTP záhlavích zakazuje, norma není kontrolována většinou firewallů. Následkem toho mnozí hackeři zahajují útok vložením spustitelného kódu do hlaviček HTTP. Všechny bezpečnostní brány by měly pamatovat na blokování nebo označování binárních znaků v HTTP záhlavích a dotazech.

Ověřit očekávané užívání protokolů (detekce anomálií protokolů)
Testovat vyhovění standardům protokolů je důležité, nicméně stejně důležitá je i schopnost určit, zda data uvnitř protokolů odpovídají očekávanému použití. Jinými slovy, i když komunikační tok vyhovuje standardu protokolu, způsob, jakým je protokol použit, může být neslučitelný s tím, co je očekáváno. Kupříkladu nadměrná délka záhlaví HTTP - HTTP standard neomezuje délku záhlaví. Nicméně nadměrná délka záhlaví vybočuje z normálního použití HTTP. Záhlaví nadměrné délky by měla být blokována či označena, aby tak byla redukována možnost přeplnění vyrovnávací paměti a omezena velikost kódu, který může být vložen při použití přeplnění.

Omezit možnost aplikací přenášet "zákeřná" data
I když komunikace na aplikační úrovni splňuje standardy protokolů, stále ještě může přenášet data, která by mohla poškodit systém. Proto musí bezpečnostní brána poskytovat mechanismy k omezení či kontrole toho, zda aplikace nejsou schopny vnést potenciálně nebezpečná data či příkazy do vnitřní sítě. Jako příklad lze použít omezení nebo zablokování potenciálně nebezpečných URL - nebezpečná data totiž mohou vstoupit na vnitřní síť vložením sebe sama do URL. Například aplikace, jakou je e-mailový klient, může automaticky spustit URL vložené do HTML. Přístup k potenciálně nebezpečným URL by měl být bezpečnostní bránou blokován či omezen.

Kontrolovat operace aplikační vrstvy
Nejen komunikační prostředky aplikační vrstvy mohou vnášet nebezpečná data do sítě, ale i samotná aplikace by mohla provést neautorizované operace. Řešení síťové bezpečnosti musí mít schopnost identifikovat a kontrolovat takové operace vykonáváním "kontroly přístupu" (access control) a kontroly "legitimního použití" (legitimate usage). Tato úroveň bezpečnosti vyžaduje schopnost rozlišovat aplikační operace na nejjemnější úrovni. Například bezpečnostní brána by měla být schopna odlišovat a blokovat operace sdílení souborů pocházející od uživatelů nebo systémů, které nemají příslušnou autorizaci. Naopak operace sdílení tisku, pocházející od téhož uživatele, mohou být povoleny a akceptovány. Poskytovat úroveň zabezpečení při takto jemném rozlišování vyžaduje důkladné porozumění CIFS (Microsoft Common Internet File System), jakož i schopnost řídit komponenty protokolu aplikační vrstvy. Síťová a transportní vrstva: nezbytný základ pro obranu aplikační vrstvy Ačkoli v praxi jsou mnohé útoky zacílené na síťové aplikace, ve skutečnosti míří na síťovou a transportní vrstvu. Hackeři míří na tyto nižší vrstvy jako na prostředek přístupu do aplikační vrstvy a v poslední řadě na aplikace a data samotná. Zacílením na nižší vrstvy mohou též útoky přerušit či odepřít služby legitimním uživatelům a aplikacím (např. DoS útoky). Z těchto důvodů se řešení síťového zabezpečení musejí věnovat nejen aplikační úrovni, ale také úrovni síťové a transportní.

Zabezpečení síťové vrstvy
Předcházet nebezpečným manipulacím protokolů síťové vrstvy (např. IP, ICMP) je rozhodujícím požadavkem na vícevrstvé bezpečnostní brány. Nejčastějším nositelem útoku na síťovou vrstvu je Internet Protocol (IP), jehož soubor služeb spočívá v nitru této vrstvy. Ačkoli rizik a útoků na síťové úrovni existuje mnoho, jako příklady mohou posloužit IP fragmentace a smurfing (smurf útok).

Zabezpečení transportní vrstvy
Podobně jako síťová vrstva, poskytuje transportní vrstva a její běžné protokoly (TCP, UDP) oblíbené přístupové body pro útoky na aplikace a jejich data. Jako příklady hrozeb a útoků na transportní vrstvu lze uvést Non-TCP DoS nebo skenování portů.

Závěr
Firewally se prosadily jako pilíře infrastruktury síťového zabezpečení, která je založena na jejich schopnosti zastavit útoky na síťové úrovni. V důsledku úspěchu firewallů vyvinuli hackeři sofistikovanější metody útoků. Nový druh útoků míří přímo na aplikace a často se pokouší zneužít slabin, jež jsou vlastní aplikacím samotným či komunikačním protokolům, na nichž spočívají. K zajištění podnikových sítí před těmito hrozbami jsou zapotřebí vícevrstvé bezpečnostní brány. Řešení vícevrstvé bezpečnosti musejí chránit před útokem jak v síťové, tak v aplikační vrstvě a poskytovat kontrolu přístupu k IT zdrojům.