Zakladatel Next-generation firewallů, které rozpoznají a kontrolují více než 1300 síťových aplikací

‒

Jan  Václavík  

•  Společnost Palo Alto Networks •  Světová špička v oblasti síťové bezpečnosti -  Společnost založena v roce 2005, první prodej v roce 2007

•  Zakladatel Next-generation firewallů, které rozpoznají a kontrolují více než

1300 síťových aplikací

-  Vrací pojmu “firewall” původní význam -  Hlavní inovace: App-ID™, User-ID™, Content-ID™

•  Současný stav: 4,500+ zákazníků

•

‒

Evoluce 1.  Paketový  filter  

•

‒

Evoluce 2.  Stavový  firewall  

•

‒

Evoluce 3.  UTM  firewall  

Endpoint Protection

Data Loss Prevention

Antivirus/ Antispyware

Web Filtering

VPN IPS

Firewall Antispam

IPv6, Dynamic Routing

•

‒

Evoluce 4.  Proxy  firewall  

•

‒

Evoluce 5.  Next  Generation  firewall  

•

‒

Síťové aplikace se mění…

port ≠ síťová služba IP adresa ≠ uživatel paket ≠ obsah přenášených dat

…moderní firewall by musí tyto změny následovat. •

‒

Síťové aplikace se mění… Zásadní změny moderních aplikací Dynamicky volené porty Port redirecting SSL šifrování Tunel s jinou aplikací

•  Uživatelé chtějí používat

moderní aplikace

•  Všichni chtějí být stále on-line

•

‒

Dynamicky otevírané porty Most   F r equentl y   D etected   " Dynamic"   Appl ications 100% 80%

83%

78%

77%

73%

60%

60%

60%

55%

54%

51%

40%

42%

20% 0%

Sharepoint

iTunes

MS RPC

Skype

BitTorrent MSN Voice

Ooyla

Mediafire

eMule

•

‒

Teamviewer

Dynamicky otevírané porty

•

‒

Běžná situace…

Co s tím??? •

‒

Řešení č. 1

•

‒

Řešení č. 2: Next Generation firewall

App-ID Identifikace aplikace

User-ID Identifikace uživatele

Content-ID Rozpoznání obsahu •

‒

Next Generation Firewall Požadavky na Next Generation FW 1. Naprosto spolehlivá detekce velkého množství síťových aplikací 2. Práce s uživatelskými jmény

3. Ochrana sítě v reálném čase 4. Konfigurace s důrazem na nastavení jemných nuancí. 5. Vysoký výkon, snadná integrace do zákaznického prostředí

•

‒

Spolupráce jednotlivých funkcí

Google Talk

GMail

HTTP

SSL

Port Number - TCP

Je  daná  aplikace  povolena?     (App-­‐ID)  

Má  k  dané  aplikaci  uživatel  či   skupina  přístup?   (User  ID)  

Jaká  data  se  skrz  aplikaci   přenáší?     (Content  ID)   Příchozí směr Prevence škodlivému SW •  IPS •  Malware •  Anti-virus •  Kategorizace webu •  Šifrované a komprimované soubory Odchozí směr Data leakage control •  Čísla kreditních karet •  Document fingerprinting •

‒

ou  W See…with   non-­‐firewalls   Firewall   What  You  What   See  wYith   ith  A  Next-­‐Genera?on  

•

‒

Granularita politiky

•

‒

Praktický příklad: Twitter Povolit  ale   kontrolovat  

Scanovat  a  blokovat   útoky  

Pouze  pro  styk  s   veřejným  děním  

Blokovat  červy  

Zakázat  TwiPer-­‐ Pos?ng  

Blokovat  útoky  a   XSS  

Pouze  během   přestávky  na  oběd  

Blokovat   nebezpečná  URLs  

Zamezit  přístup   přes  jinou  proxy  

DLP  

•

‒

Proč Next Generation Firewall Traffic

Přidaná funkce Application Control

Port

Firewall

IPS

•  Port-based FW + App Ctrl (IPS) = 2 pravidla

Applica?ons   Port Policy Decision

App Ctrl Policy Decision

Next Generation Firewall •  Konfigurace politiky v jedmon místě •  Platnost přes všechny porty, veškerý provoz

Traffic

Application

Firewall

IPS

Applica?ons   App Ctrl Policy Decision

Scan Application for Threats

•

‒

Architektura: Single-Pass Parallel Processing (SP3)

Propustnost až 20Gbps, nízká latence •

‒

GUI

•

‒

Jak funguje App-ID

…více jak obyčejná signatura

© 2010 Palo Alto Networks. Proprietary and Confidential.

• Page

•

‒

PAN-OS Core Firewall Features PA-5060

•  Síťové funkce •  Dynamic routing (BGP, OSPF, RIPv2)

•  Architektura založená na zónách

•  Tap mode – connect to SPAN port

•  Security zóny

•  Virtual wire (“Layer 1”) for true transparent in-line deployment

•  Definice politiky nad zónou

•  L2/L3 switching foundation •  Policy-based forwarding

•  VPN •  Site-to-site IPSec VPN •  SSL VPN

•  QoS traffic shaping •  Max/guaranteed and priority •  By user, app, interface, zone, & more •  Real-time bandwidth monitor

PA-5050 PA-5020

•  Režim vysoké dostupnosti PA-4060

•  Active/active, active/passive •  Session synchronization •  Path, link, and HA monitoring

PA-4050

•  Virtualní Systémy VSYS •  více virtualních firewallů běžících na jednom HW (PA-5000, PA-4000, a PA-2000)

PA-4020

•  Simple, flexible management

PA-2050

•  CLI, Web, Panorama, SNMP, Syslog

PA-2020

•

PA-500 ‒

Produktové portfolio

PA-­‐5060  

PA-­‐5050  

PA-­‐5020  

20  Gbps  FW/10  Gbps  threat   preven?on/4,000,000  sessions   4  SFP+  (10  Gig),  8  SFP  (1  Gig),  12   copper  gigabit  

10  Gbps  FW/5  Gbps  threat   preven?on/2,000,000  sessions   4  SFP+  (10  Gig),  8  SFP  (1  Gig),  12   copper  gigabit  

5  Gbps  FW/2  Gbps  threat   preven?on/1,000,000  sessions   8  SFP,  12  copper  gigabit  

PA-­‐4060  

PA-­‐4050  

PA-­‐4020  

10  Gbps  FW/5  Gbps  threat   preven?on/2,000,000  sessions   4  XFP  (10  Gig),  4  SFP  (1  Gig)  

10  Gbps  FW/5  Gbps  threat   preven?on/2,000,000  sessions   8  SFP,  16  copper  gigabit  

2  Gbps  FW/2  Gbps  threat   preven?on/500,000  sessions   8  SFP,  16  copper  gigabit  

PA-­‐2050  

PA-­‐2020  

PA-­‐500  

1  Gbps  FW/500  Mbps  threat   preven?on/250,000  sessions   4  SFP,  16  copper  gigabit  

500  Mbps  FW/200  Mbps  threat   preven?on/125,000  sessions   2  SFP,  12  copper  gigabit  

250  Mbps  FW/100  Mbps  threat   preven?on/50,000  sessions   8  copper  gigabit   •

‒

Možnosti nasazení do sítě Transparent In-Line

Firewall Replacement

Application Visibility

•  Span port •  Viditelnost aplikací bez nutnosti být inline

•  Transparentní integrace za stávající FW •  Možnost detekce a kontrolování aplikací bez nutnosti změn

•  Náhrada původního FW •  Detekce a kontrolování aplikací •  Vysoký výkon •

‒

[email protected]  

Děkuji  za  pozornost