NEXT GENERATION FIREWALLS Eine Übersicht magellan netzwerke GmbH

Transkript

1 NEXT GENERATION FIREWALLS Eine Übersicht Referent Fabian Nöldgen 2011 magellan netzwerke GmbH

2 Bisherige Generationen Packet Filter Seit Ende der 1980er Jahre Einfache Regeln auf Routern OSI-Layer 3, später auch 4 from us to them permit from them to us deny 2

3 Antwortpakete? Next Generation Firewalls 3

4 Bisherige Generationen Application Proxy Klassicher Proxy für FTP, TELNET, NNTP, SMTP, TCP Launch 1992: gatekeeper.dec.com (Marcus Ranum und) Paul Vixie Digital Equipment Corp, dann ISC BIND, l.root-servers.net (ORSN), Palo Alto Internet Exchange, etc 4

5 Bisherige Generationen Application Proxy note that i hold the single-author record for total CERT advisories, proving that in my copious youth i knew how to sling code but not how to manage risk. To: nanog@merit.edu Date: 26 Feb :44: Erste kommerzielle Firewall: DEC Secure External Access Link (SEAL) 5

6 Bisherige Generationen Stateful Inspection Nir Zuk There is only one firewall technology in the world today - the one that I invented Dynamisches Öffnen des Antwortkanals TCP und UDP 7

7 Bisherige Generationen Stateful Inspection Bis Layer 4 Keine Regeln für Antwortpakete iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT Helfer für Layer7-Protokolle wie FTP 8

8 Bisherige Generationen Stateful Inspection Check Point FireWall-1 (1994) Erste FW mit grafischem User Interface Ursprünglich Visas (USC) X11-basierend Maus, Farben, Icons 9

9 Bisherige Generationen und weiter Neue Gefahren Viren, Würmer Einbrüche/Spionage Phishing, Data Loss Denial of Service XSS, SQL-Injection, etc 10

10 Bisherige Generationen und weiter Neue Gegenmittel Intrusion Detection/Prevention Anti Virus, Anti Malware, Anti Spam URL-/Content-Filter, Data Leak Prevention Web Application Firewalls Logging/Monitoring, Log-Correlation, Alerting 11

11 Bisherige Generationen Unified Threat Management Gewachsene Strukturen Weniger optimal verwaltbar 12

12 Bisherige Generationen und weiter Fuhrpark an Appliances Komplex und wenig transparent Teuer (Anschaffung, Service, Manpower, ) Mehr Geräte == Mehr Latenz! Mehr Geräte == Mehr Schutz? 13

13 Bisherige Generationen Unified Threat Management Vereinheitlichung auf einer Appliance Mehr Komfort? Mehr Durchblick? Mehr Performance? Mehr Schutz? 14

14 Bisherige Generationen Unified Threat Management Eine Appliance == ein Hersteller Zukauf von Technologie APIs / Einbindung anderer Hersteller Eigene Entwicklung Schnittstellen? Qualität / Feature-Set 15

15 Warum reicht all Next Generation Firewalls Nächste Generation das nicht mehr? 16

16 Nächste Generation Definitionssache Unterschiedlichste Dienste auf dem gleichen TCP-Port Vermehrt Web-basierte Programme Erwünschte und Unerwünschte Funktionen innerhalb einer (Web-) Applikation Tunneln durch offene Ports 17

17 Nächste Generation Definitionssache Welche Firma nutzt kein Xing, LinkedIn? Facebook, Twitter, YouTube? WebEx, Netviewer, XMPP? SSL-VPN? Wer darf? Wer nicht? 18

18 Nächste Generation Definitionssache nur ein Beispiel: Skype Installiert ohne Admin-Rechte Sucht offene Ports Kreative Technologienutzung SSH nach Hause SOCKS-Proxy 19

19 Nächste Generation 20

20 Nächste Generation Definitionssache Liebgewonnenes loslassen 1. IP-Adressen sind kein Benutzer 2. Portnummern sind keine Programme 21

21 Nächste Generation Definitionssache Wir brauchen Monitoring der Applikationen Granulare Filtermöglichkeiten SSL-Inspection Datenschutzkonforme Benutzererkennung 22

22 Nächste Generation Definitionssache und zwar s c h n e l l Extern gehostete Dienste Außenstellen-Anbindung Ausgelagerte Rechenzentren Hohe Bandbreiten Geringe Latenz 23

23 Mitspieler Übersicht 24

24 Mitspieler Juniper SRX Router mit integrierter Firewall JunOS Chassis-basiert, modular Network- und Service Processor Diverse Linecards 25

25 Mitspieler Fortinet FortiGate Firewall mit kompletter Routing-Funktionalität ASICs + RISC + x86 für Mgmt Fixed + Module FortiOS 26

26 Mitspieler Palo Alto Firewall mit Routing-Funktion Eigene ASICs, x86 für Mgmt Fixed PanOS 27

27 Mitspieler Palo Alto Nir Zuk Ehemals Check Point Mitgründer und CTO 28

28 Mitspieler Check Point Firewall plus X x86-hardware Appliance, Server, VM Linux-basiert Software Blades 29

29 Mitspieler Substanzlos in der Wolke Virtualisierte Firewalls Hersteller Modell min. RAM min. Disk Fortinet FGT-VM 512 MB 30 GB Check Point SG VE 512 MB 12 GB 31

30 Mitspieler Substanzlos in der Wolke Virtualisierte Firewalls Inter-VM-Traffic 32

31 Anforderungen an unsere nächste Firewall 1. Monitoring / Visibility 2. Granulare Filtermöglichkeiten 3. SSL-Inspection 4. Benutzererkennung 5. Gewohnte (UTM-) Features 33

32 Im Test 1. Monitoring Check Point SmartView Tracker Layer 1-4 Applikation Risiko-Klasse Dauer/Größe Vordefinierte Filter Real Time SmartEvent $$$ 34

33 Im Test 1. Monitoring Check Point SmartView Tracker Layer 1-4 Applikation Risiko-Klasse Dauer/Größe Vordefinierte Filter Real Time SmartEvent $$ 35

34 Im Test 1. Monitoring - Fortinet Alle wichtigen Daten Layer 1-4 User/Group Application Dauer/Größe Byte-Level Filter 36

35 Anforderungen 1. Monitoring - Fortinet 37

36 Anforderungen 1. Monitoring - Fortinet 38

37 Anforderungen 1. Monitoring - Fortinet 39

38 Im Test 1. Monitoring - Fortinet 40

39 Anforderungen 1. Monitoring - Fortinet Schlauer? 41

40 Im Test 1. Monitoring Palo Alto Übersicht + Drill Down Zeitachse Detailansichten Benutzbare Filter 42

41 Anforderungen 1. Monitoring Palo Alto 43

42 Anforderungen 1. Monitoring Palo Alto 44

43 Anforderungen 1. Monitoring Palo Alto 45

44 Anforderungen 1. Monitoring Palo Alto 46

45 Anforderungen 1. Monitoring Palo Alto 47

46 Anforderungen 1. Monitoring Palo Alto 48

47 Anforderungen 1. Monitoring Palo Alto 49

48 Anforderungen 1. Monitoring Palo Alto 50

49 Ergebnis 1. Monitoring Check Point Fortinet Palo Alto 51

50 Im Test 2. Applikationsfilter Check Point Weiteres Software Blade AppWiki > Applikationen auf der Box plus in der Cloud Ab Version R75 52

51 Im Test 2. Applikationsfilter Check Point Suche Facebook 2 Treffer lokal Kategorien Tagging-System 3 mit Leak-Potenzial Trotzdem Low-Risk Beschreibung 53

52 Anforderungen 2. Applikationsfilter Check Point Suche Facebook Treffer Cloud 54

53 Anforderungen 2. Applikationsfilter Check Point Suche Facebook Treffer Cloud Signaturen, die remote abgefragt werden 55

54 Im Test 2. Applikationsfilter Check Point Regel für Layer 4, ggfs. mit User/Group 56

55 Im Test 2. Applikationsfilter Check Point Regel für Application Control 58

56 Im Test 2. Applikationsfilter Check Point Applikationen auswählen 59

57 Im Test 2. Applikationsfilter Check Point Action: Allow oder Block 61

58 Im Test 2. Applikationsfilter Check Point Komplett eigenständige Regelwerke Tabs / Blades unabhängig Reihenfolge / Hierarchie unklar Keine Verknüpfung mit weiteren Features Alles, was Web-Browsing ist, soll durch das IPS. Alles, was Mail ist, soll durch den Viren-Scanner. 62

59 Fazit Next Generation Firewalls Anforderungen 2. Applikationsfilter Check Point 63

60 Im Test 2. Applikationsfilter Fortinet Inklusive Seit 2009 / FortiOS 4.0 Benutzbar seit 4.0 MR2 / 4.2 > 1000 Applikationen Bestandteil der UTM -Features 64

61 Anforderungen 2. Applikationsfilter Fortinet Konfiguration 65

62 Im Test 2. Applikationsfilter Fortinet Application Control List befüllen 67

63 Im Test 2. Applikationsfilter Fortinet Application Control List befüllen 68

64 Im Test 2. Applikationsfilter Fortinet Application Control List befüllt 69

65 Im Test 2. Applikationsfilter Fortinet Firewall-Regel anlegen 71

66 72

67 Im Test 2. Applikationsfilter Fortinet 73

68 Im Test 2. Applikationsfilter Fortinet Fazit Kategorie- und Applikations-basierte Auswahl möglich Gute Auswahl Durchschaubares Regelwerk Deutlicher Performance-Einbruch FGT-1240B: 40 vs 1,5 Gbit/s FGT-620B: 16 vs 1,0 Gbit/s 75

69 Im Test 2. Applikationsfilter Palo Alto Integraler Bestandteil ~ 1200 Applikationen Applipedia: 76

70 Anforderungen 2. Applikationsfilter Palo Alto Konfiguration 77

71 78

72 79

73 80

74 81

75 Im Test 2. Applikationsfilter Palo Alto Volle Integration in das Standard-Regelwerk UTM-Features nach belieben wählbar TCP-Ports: alle, definierte, App-Standard 82

76 Im Test 2. Applikationsfilter Palo Alto Volle Flexibilität Gute Performance 2050: 1 vs. 0,5 Gbit/s 4060: 10 vs. 5,0 Gbit/s Vielfältige Auswahl 83

77 Im Test 3. SSL-Inspection Palo Alto Klont das Server-Zertifikat Issuer ändert sich Client muss dem neuen Issuer vertrauen Eigenes Rule-Set Kategorie-basierte Entscheidung Hardware-beschleunigt Auch als Reverse-Proxy/SSL-Offloading nutzbar 84

78 Im Test 3. SSL-Inspection Fortinet Austausch der SSL-Keys Nicht auf jedem Modell verfügbar Nur aktuelle Hardware Für alle UTM-Features nutzbar, nicht nur Web Reverse-Proxy/SSL-Offloading, Load Balancing 85

79 Im Test 3. SSL-Inspection Check Point 86

80 Anforderungen Zwischenstand 1. Monitoring / Visibility 2. Granulare Filtermöglichkeiten 3. SSL-Inspection 4. Benutzererkennung 5. Gewohnte (UTM-) Features 88

81 Anforderungen 4. Benutzererkennung Check Point Palo Alto Fortinet Terminal Server Agent Captive Portal Active Directory Agent Agent Terminal Server: spezieller Agent LDAP und RADIUS von allen unterstützt 89

82 Anforderungen 5. UTM-Features Feature Check Point Palo Alto Fortinet Anti Virus $ /$ /$ Intrusion Prevention $ /$ /$ URL-Filter $ /$ /$ Data Leak Prevention $ IPSec-VPN $ SSL-VPN $$$ Traffic Shaper/QoS $ 90

83 Anforderungen 5. Weitere Features Feature Check Point Palo Alto Fortinet OSPF $ BGP $ Server Load Balancing DNS-Recursor FW-Virtualisierung IPv6 High Availability 91

84 Fazit Was wir gelernt haben Check Point Alter Hase mit breiter Basis Beliebtes Management Solide Stateful Inspection Firewall Unbrauchbar für UTM- oder NG-Features 92

85 Fazit Was wir gelernt haben Fortinet Ausgereiftes Security-Multitalent Sehr flexible Netzwerk-Features Trunks, VLANs, Routing NAT in alle Richtungen Starke VPN-Funktionalität Magere Performance bei Application Layer Security 93

86 Fazit Was wir gelernt haben Palo Alto Junges Produkt Nachholbedarf bei klassischen Funktionen XAuth, Routing, CLI Ungeschlagener Vorreiter Application-Filter Logging & Visibility Hardware-Architektur mit Potenzial 94

87 Dankeschön 95

88 Security is very simple: Don't do something stupid and you should be just fine Marcus Ranum 96