Zakladatel Next-generation firewallů, které rozpoznají a kontrolují více než 1300 síťových aplikací

Jan Václavík

Společnost Palo Alto Networks Světová špička v oblasti síťové bezpečnosti - Společnost založena v roce 2005, první prodej v roce 2007 Zakladatel Next-generation firewallů, které rozpoznají a kontrolují více než 1300 síťových aplikací - Vrací pojmu firewall původní význam - Hlavní inovace: App-ID, User-ID, Content-ID Současný stav: 4,500+ zákazníků

Evoluce 1. Paketový filter

Evoluce 2. Stavový firewall

Evoluce 3. UTM firewall Antivirus/ Antispyware Data Loss Prevention Endpoint Protection VPN Web Filtering Firewall IPS Antispam IPv6, Dynamic Routing

Evoluce 4. Proxy firewall

Evoluce 5. Next Generation firewall

Síťové aplikace se mění port síťová služba IP adresa uživatel paket obsah přenášených dat moderní firewall by musí tyto změny následovat.

Síťové aplikace se mění Zásadní změny moderních aplikací Dynamicky volené porty Port redirecting SSL šifrování Tunel s jinou aplikací Uživatelé chtějí používat moderní aplikace Všichni chtějí být stále on-line

Dynamicky otevírané porty Most F r equentl y Detected "Dynamic" Appl ications 100% 80% 60% 40% 83% 78% 77% 73% 60% 60% 55% 54% 51% 42% 20% 0% Sharepoint itunes MS RPC Skype BitTorrent MSN Voice Ooyla Mediafire emule Teamviewer

Dynamicky otevírané porty

Běžná situace Co s tím???

Řešení č. 1

Řešení č. 2: Next Generation firewall App-ID Identifikace aplikace User-ID Identifikace uživatele Content-ID Rozpoznání obsahu

Next Generation Firewall Požadavky na Next Generation FW 1. Naprosto spolehlivá detekce velkého množství síťových aplikací 2. Práce s uživatelskými jmény 3. Ochrana sítě v reálném čase 4. Konfigurace s důrazem na nastavení jemných nuancí. 5. Vysoký výkon, snadná integrace do zákaznického prostředí

Spolupráce jednotlivých funkcí Je daná aplikace povolena? (App- ID) Má k dané aplikaci uživatel či skupina přístup? (User ID) Jaká data se skrz aplikaci přenáší? (Content ID) Port Number - TCP SSL HTTP GMail Google Talk Příchozí směr Prevence škodlivému SW IPS Malware Anti-virus Kategorizace webu Šifrované a komprimované soubory Odchozí směr Data leakage control Čísla kreditních karet Document fingerprinting

What You See with non- firewalls What You See with With A Next- Genera?on Firewall

Granularita politiky

Praktický příklad: Twitter Povolit ale kontrolovat Pouze pro styk s veřejným děním Scanovat a blokovat útoky Blokovat červy Zakázat TwiPer- Pos?ng Blokovat útoky a XSS Pouze během přestávky na oběd Blokovat nebezpečná URLs Zamezit přístup přes jinou proxy DLP

Proč Next Generation Firewall Traffic Firewall Port IPS Přidaná funkce Application Control Port-based FW + App Ctrl (IPS) = 2 pravidla Applica?ons Port Policy Decision App Ctrl Policy Decision Next Generation Firewall Konfigurace politiky v jedmon místě Platnost přes všechny porty, veškerý provoz Traffic Firewall Application IPS Applica?ons App Ctrl Policy Decision Scan Application for Threats

Architektura: Single-Pass Parallel Processing (SP3) Propustnost až 20Gbps, nízká latence

GUI

Jak funguje App-ID 2010 Palo Alto Networks. Proprietary and Confidential. více jak obyčejná signatura Page

PAN-OS Core Firewall Features PA-5060 Síťové funkce VPN Dynamic routing (BGP, OSPF, RIPv2) Tap mode connect to SPAN port Virtual wire ( Layer 1 ) for true transparent in-line deployment L2/L3 switching foundation Policy-based forwarding Site-to-site IPSec VPN SSL VPN QoS traffic shaping Max/guaranteed and priority By user, app, interface, zone, & more Real-time bandwidth monitor Architektura založená na zónách Security zóny Definice politiky nad zónou Režim vysoké dostupnosti Active/active, active/passive Session synchronization Path, link, and HA monitoring Virtualní Systémy VSYS více virtualních firewallů běžících na jednom HW (PA-5000, PA-4000, a PA-2000) Simple, flexible management CLI, Web, Panorama, SNMP, Syslog PA-5050 PA-5020 PA-4060 PA-4050 PA-4020 PA-2050 PA-2020 PA-500

Produktové portfolio PA- 5060 PA- 5050 PA- 5020 20 Gbps FW/10 Gbps threat preven?on/4,000,000 sessions 4 SFP+ (10 Gig), 8 SFP (1 Gig), 12 copper gigabit 10 Gbps FW/5 Gbps threat preven?on/2,000,000 sessions 4 SFP+ (10 Gig), 8 SFP (1 Gig), 12 copper gigabit 5 Gbps FW/2 Gbps threat preven?on/1,000,000 sessions 8 SFP, 12 copper gigabit PA- 4060 PA- 4050 PA- 4020 10 Gbps FW/5 Gbps threat preven?on/2,000,000 sessions 4 XFP (10 Gig), 4 SFP (1 Gig) 10 Gbps FW/5 Gbps threat preven?on/2,000,000 sessions 8 SFP, 16 copper gigabit 2 Gbps FW/2 Gbps threat preven?on/500,000 sessions 8 SFP, 16 copper gigabit PA- 2050 PA- 2020 PA- 500 1 Gbps FW/500 Mbps threat preven?on/250,000 sessions 4 SFP, 16 copper gigabit 500 Mbps FW/200 Mbps threat preven?on/125,000 sessions 2 SFP, 12 copper gigabit 250 Mbps FW/100 Mbps threat preven?on/50,000 sessions 8 copper gigabit

Možnosti nasazení do sítě Application Visibility Transparent In-Line Firewall Replacement Span port Viditelnost aplikací bez nutnosti být inline Transparentní integrace za stávající FW Možnost detekce a kontrolování aplikací bez nutnosti změn Náhrada původního FW Detekce a kontrolování aplikací Vysoký výkon

jan.vaclavik@skyvera.cz Děkuji za pozornost