Next Generation Firewalls Markus Kohlmeier DTS Systeme GmbH
Geschichte der Firewalltechnologie 1985 erste Router mit Filterregeln 1988 erfolgte der erste bekannte Angriff gegen die NASA, der sogenannte Morris Wurm Anfang der 90er Jahre erscheinen die ersten Paketfilter-Firewalls 1991 wird die erste aus einer Kombination von Paketfilter und Application Gateway basierende DEC Seal bei einem Kunden installiert 1994 erste Statefull Inspection Firewall von Checkpoint Seit 2004 versucht man mit Standards wie UTM Angriffen, die jetzt hauptsächlich auf Applikationsebene abzielen, zu unterbinden
Eine Firewall ist die ideale Schnittstelle um Security Policys anzuwenden Anforderungen haben sich verändert aber Applikationen haben sich geändert Ports Applikationen IP Adresse Users Packete Content
Stateful inspection Normale Firewall Next Generation Firewalls tcp/443 tcp/443 Next Generation Firewall
Applikationen als Risiko Applikationen können Threats sein P2P file sharing, tunneling Applikationen, anonymisierer, Skype... Applikationen transportieren Threats SANS Top 20 Threats Hauptsächlich Applikations-Level threats
Anforderung an Next Generation Firewalls Neue Anforderungen an Firewalls 1. Identifizierung von Applikationen unabhängig von Port, Protokol, Taktiken (UDP hole punching) oder SSL Verschlüsselung 2. Identifizieren der User unabhängig von IP Adressen 3. Integrierter Applikations übergreifender Echtzeit Schutz 4. Granulare Policy Kontrolle und Auswertung 5. Multi-Gigabit Ethernet Threat Prevention
Palo Alto Networks Erfahrenes Entwicklungsteam mit langjährigen KnowHow im Security und Netzwerk Umfeld Gegründet 2005 von Nir Zuk Entwickelt Next Generation Firewalls die heute schon 970+ Applikationen erkennt und kontrolliert Stellt die Firewall wieder in den Mittelpunkt der Unternehmens Netzwerk Security Infrastruktur Innovationen: App-ID, User-ID, Content-ID Global footprint: 1,000+ Kunden in 50+ Ländern, 24/7 support
ability to execute Was sagt Gartner über Palo Alto? Cisco Juniper Networks McAfee Fortinet Check Point Software Technologies Stonesoft WatchGuard NETASQ 3Com/H3C SonicWALL phion Astaro Palo Alto Networks niche players visionaries completeness of vision März 2010 Quelle: Gartner
Next Generation Firewalls App-ID Erkennt die Applikation User-ID Identifiziert den User Content-ID Scant den Content
Applikations Identifizierung am Beispiel webex SSL Protocol Decoders Forward proxy HTTP webex Decryption Application Signatures Mode shift Webex desktop sharing
User-ID: Enterprise Directory Integration Users werden nicht länger an der IP Adresse identifiziert - Basierend auf bestehenden Directory Services (Active Directory, LDAP, edirectory) und ohne Desktop Agent rollout - Identifizierung von Citrix Usern mit der Möglichkeit Policies auf User und Gruppen anzuwenden Verwalten und enforcen von Policys basierend auf User und/oder Gruppen Auswertung, Logging und erkennen von Threats anhand der Userinformationen Auswertung von Security incidents und erstellen von spezifischen Reports
Content-ID: Echtzeit Content Prüfung Erkennt und unterbindet Threats, limitiert nicht autorisierten Daten Transfer und kontrolliert Web-Zugriffe Stream-basierende Analyse für hohe Performance - Single Pass Signatur basierende Scan Engine - Vulnerability exploits (IPS), Viren, und Spyware Unterbinden des Transfers sensibler Daten - Looks for CC # and SSN patterns - Erkennen von Daten anhand der Daten selbst nicht anhand der Dateiendung Web filtering mit voll integrierter URL Datenbank - 78 Kategorien performance 1,000 s URLs/sec - Dynamische DB und modifizierbare Kategorien erlauben Anpassungen je nach Bedarf des Kunden
Der UTM Ansatz IPS Policy AV Policy URL Filtering Policy IPS Signatures AV Signatures Firewall Policy HTTP Decoder IPS Decoder AV Decoder & Proxy Port/Protocol-based ID Port/Protocol-based ID Port/Protocol-based ID Port/Protocol-based ID L2/L3 Networking, HA, Config Management, Reporting L2/L3 Networking, HA, Config Management, Reporting L2/L3 Networking, HA, Config Management, Reporting L2/L3 Networking, HA, Config Management, Reporting
Der NG Firewall Ansatz Policy Engine Content-ID Data Filtering URL Filtering Real-Time Threat Prevention Application Protocol Decoding App-ID Application Protocol Detection and Decryption Application Signatures Heuristics User-ID L2/L3 Networking, HA, Config Management, Reporting
Deployment Optionen Visibility Transparent In-Line Firewall Replacement Applikation, User und Content Reporting ohne Kontrolle Vollwertiger Funktionsumfang ohne das eine Netzwerksegmentierung nötig ist Ersatz bestehender Layer 3 Firewalls mit vollem Funktionsumfang inklusive Layer 3 Routing-Protokollen
Weitere Features IPSEC VPN SSL VPN QOS Virtualisierung der Firewall Dynamisches Routing wie OSPF und BGP
Vielen Dank für Ihre Aufmerksamkeit! DTS Systeme GmbH Schrewestraße 2 32051 Herford