Next Generation Firewall Jordy Bax Technology Lead
63.000+ security incidenten wereldwijd in 2013 01010
Advanced Threats
Zero Day Vulnerabilities
Mobile Threats
Data in The Cloud
DDoS
Spam Phishing
Finance
Public
Retail
Accommodation
# of breaches
# of breaches
# of breaches
# of breaches
465
175
148
137
Regulatory
TOTAL
1,367 Confirmed Data Breaches
Bron: Verizon 2014 Data Breach Investigation Report
Next Generation Firewall, Customer Summit 2014, Maarssen
Ontwikkeling van bedreigingen 2003
2005
2007
2011
Today
Increasing Damage Intrusions Worms
Hackers
FIREWALL
VPN
Layer 1-2
Next Generation Firewall, Customer Summit 2014, Maarssen
IPS
Viruses Spyware
Botnets Spam
Malicious URLs
Malicious Apps
Advanced Persistent Threats
Anti Malware
AntiSpam
Web Filter
App Control
Advanced Threat Protection
Content & Application (Layer 3-7)
Increasing Performance Requirements
2000
THREAT TIMELINE
IT infrastructuur ontwikkelt steeds meer Benodigde bandbreedte verdubbelt elke 18 maanden Zonering binnen de core wordt steeds meer common practice
SaaS & IaaS gebruik binnen organisaties neemt toe Datacenters worden herontworpen voor meer flexibliteit
Het aantal geconnecteerde apparaten groeit snel Veel endpoint bevatten geen goede security agents
1TB
Cloud
BYOD
& Zonering
& SDN
& Identiteit
Bandwidth
Next Generation Firewall, Customer Summit 2014, Maarssen
SDN
BYOD
Cloud
Data Center
Perimeter
Performance uitdagingen 1,000,000,000
1 Terabit
100 Gigabit
100,000
Rate Mb/s
Core Networking Doubling ~18 mos 10 Gigabit
10,000
1,000
Gigabit Server I/O Doubling ~24 mos
100 1995
Next Generation Firewall, Customer Summit 2014, Maarssen
2000
2005
2010
2015
2020
Security geschikt voor hybrid omgevingen SaaS
IaaS
SDN
NSX
Virtualization
vSphere
Next Generation Firewall, Customer Summit 2014, Maarssen
XenServer
Hyper-V
Complexiteit van internet security Management
Internet
Multiple Management Consoles
SaaS Gateway
Web Filtering VPN
WAN Acceleration
Application Control
Firewall
IPS
Advanced Threat Protection
Antivirus
Next Generation Firewall, Customer Summit 2014, Maarssen
Identity Service
Inconsistent Networking Functions
Slower Threat Response
Potential Gap in Protection
Unified Threat Management
Next Generation Firewall, Customer Summit 2014, Maarssen
VS
Next Generation Firewall
Zoek de verschillen
Conclusie: Beiden firewalls met uitgebreide functionaliteit
Next Generation Firewall, Customer Summit 2014, Maarssen
NGFW Functionaliteit
Next Generation Firewall, Customer Summit 2014, Maarssen
§
1. Stateful Packet Inspection
§
2. Intrustion Prevention § Beveiliging tegen applicatie aanvallen
§
3. Application identificatie en visualisatie § Can’t control what you can’t see
§
4. Gebruiker identificatie en Single Sign On § Koppel netwerk verkeer aan gebruikers
§
5. Applicatie beheer § Granulair beheer (bijv. Facebook, Social gaming)
§
6. SSL Decryption § Scan encrypted verkeer voor threats
§
7. Threat preventie § Anti-X (Virus/Trojan/Malware)
Voorbeeld van conventionele en Next-Gen policy
§ §
§
Allow SOURCE to DESTINATION
Allow Application SOURCE to DESTINATION
Source: Destination:
§ §
IP address, Port # IP address, Port #
Source: Destination:
IP address, Port #, Users IP address, Port #
Allow 192.124.10.100 80 to any 80
Allow Facebook any any manager to any any
Sta gebruik van http toe voor het IP adres
§
Next Generation Firewall, Customer Summit 2014, Maarssen
Sta gebruik van Facebook toe voor de bepaalde user group ongeacht port en protocol
Overwegingen bij keuze oplossing
Locatie • Bepaal waar de firewall komt te staan in het netwerk, edge of core • Wordt de firewall gebruikt voor extranet, VPN en/of internet
Next Generation Firewall, Customer Summit 2014, Maarssen
Functionaliteit • Welke NextGen functies zijn er nodig per zone (Anti-virus, IPS, Application Control, URL filtering) • Welke functies zijn er nodig aan de edge kant (VPN, DDoS, Routing)
Performance • Bepaal per zone en bijbehorende functionaliteit de benodigde throughput • Probeer inter-zone verkeer in kaart te brengen op basis van gewenste policies
Clustering • Bepaal de benodigde beschikbaarheid van de oplossing • Bepaal welke throughputs nodig zijn voor welke componenten van het cluster om redundant te zijn
Overwegingen voor het ontwerp §
Firewalls zijn niet gemaakt om te routeren. Veel dynamische routeringen zullen de CPU capaciteit van de firewall zwaar belasten. Hou hier rekening mee met het ontwerp van de oplossing.
§
Het kan nuttig zijn een firewall achter een bestaande traditionele firewall te plaatsen als tweede laag beveiliging. Dit levert ook een geleidelijk migratie scenario op.
§
Begin met alleen het monitoren van verkeer waarbij alles nog wel toegestaan wordt. Pas geleidelijk policies toe om zo de impact van beslissingen beter in te zien.
§
Voor een vergelijking tussen de bestaande firewall en een NGFW is het mogelijk een TAP te plaatsen op de switchpoort van de bestaande firewall om zo te zien wat de verschillende oplossingen detecteren. Dit helpt ook bij het correct configureren van de NGFW.
§
Maak configuraties voor de NGFW vanaf ‘scratch’. Dit zorgt ervoor dat legacy configuraties niet mee gaan naar de nieuwe situatie. Daarnaast zijn policies voor NGFW oplossingen fundamenteel anders van opbouw dan conventionele oplossingen.
Next Generation Firewall, Customer Summit 2014, Maarssen
Overwegingen voor de implementatie §
Bepaal een vast schema voor de implementatie van rules. Voorbeelden hiervan zijn algemene regels voor alle gebruikers, locatie gerelateerde regels, regels voor groepen users/IPs, losse users/IPs. Dit zorgt ervoor dat andere beheerders makkelijk regels terug kunnen vinden.
§
Begin bij het aanmaken van rules altijd met de basis: from, to & how. Voeg who en what later pas toe.
§
Disable services die niet nodig zijn. NGFW bevatten veel meer services dan conventionele firewalls.
§
Als de firewall virtuele zones ondersteunt maak hier gebruik van. Deze kunnen de complexiteit van het beheer van de omgeving aanzienlijk verminderen.
§
Standaardiseer de naming convention binnen de firewall omgeving. Dit vereenvoudigt troubleshooting en monitoring aanzienlijk.
§
Probeer inzichtelijk te krijgen welke firewall rules nauwelijks gebruikt worden om zo de performance van de firewall te optimaliseren.
Next Generation Firewall, Customer Summit 2014, Maarssen
Overwegingen voor de organisatie
§
Network access en security zijn verschillende functies bij elkaar gebracht in een NGFW. Zorg ervoor dat betrokken personen goed met elkaar samenwerken voor een optimale beveiliging en netwerktoegang.
§
Firewall rule change requests zijn regelmatig vaag en onduidelijk. Dit heeft vaak te maken met het ontbreken van kennis over de beschikbare functionaliteit binnen de NGFW.
§
Bespreek de rapportage mogelijkheden met business owners. De verzamelde informatie bevat vaak veel nuttige informatie voor business units.
Next Generation Firewall, Customer Summit 2014, Maarssen
63.000+ security incidenten wereldwijd in 2013
BEFORE Control Enforce Harden
Network
Next Generation Firewall, Customer Summit 2014, Maarssen
Endpoint
DURING Detect Block Defend
Mobile
AFTER
Scope Contain Remediate
Virtual
Cloud
Control
Detect
Functionaliteit (NG)FW en (NG)IPS Element Attack signature Applications Users (Identity) Vulnerabilities Host profiles Client applications / Mobile devices Virtual machines NW behavior anomaly Network access Site access User access Layer 7 access
Next Generation Firewall, Customer Summit 2014, Maarssen
Typical FW
● ●
NGFW
Typical IPS
NGIPS
● ● ●
●
● ● ● ● ● ● ● ● ●
● ● ● ● ● ● ●
● ●
Einde presentatie
Imtech ICT Nederland Capelle aan den IJssel Rivium Boulevard 41 - 2909 LK T. +31 10 447 76 00 Zaltbommel Hogeweg 41 - 5301 LJ T. +31 418 57 07 00 www.imtech-ict.nl twitter.com/imtechictnl linkedin.com/company/imtech-ict
Imtech ICT Unified Communications as a Service, Customer Summit 2014, Maarssen
