Simplicom - Palo Alto - krótki opis

Skuteczne rozpoznanie oraz kontrola aplikacji i
użytkowników sieci rozwiązanie Palo Alto
Networks
Systemy informatyczne zmieniają się, a wraz z
nimi wymagane jest stosowanie środków
bezpieczeństwa odpowiednich do aktualnych
zagrożeń. Obecnie większość aplikacji
internetowych działa na bazie protokołów
HTTP i HTTPS, używa dynamicznych portów
lub zaszyfrowanych tuneli. Konwencjonalne
zabezpieczenia firewall identyfikują aplikacje na podstawie numerów portów, co
uniemożliwia wykonywanie właściwej kontroli komunikacji sieciowej. Dla przykładu
firewall rozpoznaje ruch Web (80, 443-tcp), a działają w nim setki innych, często
niebezpiecznych aplikacji jak P2P, IM, Skype, gry online, file sharing, poczta, itd.
W rzeczywistej sieci ponad 60% aplikacji jest ukryta dla firewalli.
W ograniczonym zakresie rozwiązaniem mogą być zabezpieczenia Intrusion
Prevention System (IPS), które potrafią wykrywać i blokować niektóre aplikacje.
Aplikacje identyfikowane są przez IPS za pomocą zdefiniowanych dla nich sygnatur
ataków. Jest to rozwiązanie mało efektywne, ponieważ administrator zabezpieczeń
musi znać wszystkie niebezpieczne aplikacje i wskazać je w konfiguracji IPS jako
ataki. Takie podejście jest niezgodne z zasadami i dobrymi praktykami ochrony sieci.
Potrzebne są zabezpieczenia, które właściwe rozpoznają i w swojej
polityce wyraźnie ustalają wszystkie dozwolone aplikacje, a pozostałe są
zablokowane.
Kolejny problem to kontrola aplikacji korzystających z komunikacji szyfrowanej.
Dla przykładu, szyfrowane aplikacje P2P (np. BitTorrent, eMule) są niewidoczne dla
zabezpieczeń firewall i IPS, zaś użytkownicy korzystający z aplikacji Tor mogą
swobodnie surfować po dowolnych serwerach Web - zabezpieczenia Web Filtering nie
rozpoznają takiego ruchu. Jeszcze większy problem dla bezpieczeństwa systemu
informatycznego stanowi powszechnie stosowany protokół HTTPS (HTTP szyfrowane
protokołem SSL). Konwencjonalne zabezpieczenia sieci nie potrafią analizować ruchu
HTTPS, przez który intruzi i złośliwy kod mogą z łatwością włamać się do sieci
wewnętrznych (m.in. atak exploit na przeglądarkę Web, Spyware, Worm, Trojan).
Potrzebne są zabezpieczenia, które deszyfrują niezaufany ruch HTTPS i
poddają go właściwej inspekcji (IPS, anty-wirus, itd.).
1
SIMPLICOM SP. z o.o. ul. Żupnicza 17, 03-821 Warszawa, Tel: +4822 5098689, Fax:+4822 8187271,
e-mail: [email protected], Internert: www.simplicom.com.pl
Rysunek 1. Koncepcja włamania poprzez połączenie szyfrowane
Inne problemy bezpieczeństwa, z którymi nie radzą sobie konwencjonalne systemy
zabezpieczeń to m.in.:
• skuteczna identyfikacja i kontrola użytkowników – stacje robocze w sieci posiadają
adresy IP nadawane dynamicznie (DHCP), co sprawia trudności w kontroli i
rozliczaniu działań użytkowników,
• kontrola treści przesyłanych informacji – niedokładna identyfikacja i kontrola
aplikacji w sieci sprawia, że poufne dane mogą łatwo zostać przekazane do Internetu
(np. numery kart kredytowych, ważne dokumenty),
• wydajność zabezpieczeń – włączenie inspekcji aplikacyjnej (IPS, AV, itd.) powoduje
dużą degradację wydajności zabezpieczeń,
• elastyczność pracy zabezpieczeń – właściwa ochrona sieci wymaga, aby
zabezpieczenia działały w zależności od potrzeb w rożnych trybach pracy (L2, L3,
Sniffer), co powoduje konieczność zastosowania dużej liczby urządzeń.
System zabezpieczeń Palo Alto Networks (PAN) został opracowany z myślą o
rozwiązaniu istotnych problemów bezpieczeństwa, z którymi nie radzą sobie
konwencjonalne zabezpieczenia. Umożliwia wdrożenie dodatkowych mechanizmów
ochrony bez konieczności zmiany istniejącej sieci. Rozwiązanie bazuje na
sprawdzonych technologiach, które zostały rozszerzone i dostrojone do nowych
wymagań i zagrożeń. PAN jest rozwijany przez światowej klasy ekspertów
bezpieczeństwa - między innymi Nir Zuk i Shlomo Kramer.
Identyfikacja oraz kontrola aplikacji i użytkowników
System zabezpieczeń PAN rozpoznaje aplikacje bez względu na numery portów,
protokoły tunelowania i szyfrowania (włącznie z P2P i IM). Reguły polityki
zabezpieczeń w sposób jednoznaczny ustalają, które aplikacje są dozwolone (patrz
rysunek 2). Rozpoznawanie aplikacji odbywa się za pomocą sygnatur i heurystyki.
Identyfikowanych jest ponad 700 aplikacji - tygodniowo pojawia się 5-10 nowych.
2
SIMPLICOM SP. z o.o. ul. Żupnicza 17, 03-821 Warszawa, Tel: +4822 5098689, Fax:+4822 8187271,
e-mail: [email protected], Internert: www.simplicom.com.pl
Rysunek 2. Reguły polityki zabezpieczeń PAN
PAN chroni system informatyczny przed atakami sieciowymi i złośliwym kodem jak
również z przepustowością wielo-gigabitową wykrywa i filtruje niedozwolone dane
przesyłane przez aplikacje (np. numery kart kredytowych, określone dokumenty).
Oprócz standardowych funkcji ochrony jak Anty-Wirus, Anty-Spyware i Web Filtering
realizuje zadania inspekcji i filtrowania danych przesyłanych przez aplikacje w sieci:
• Data Filtering - blokowanie wycieku wrażliwych informacji (m.in. SSN, CC#) z
zaufanego obszaru sieci (obiekty danych definiowane są jako wyrażenia regularne regex),
• File Filtering - filtrowanie określonych plików przesyłanych przez aplikacje
(identyfikacja na podstawie typu MIME i nagłowka pliku, nie rozszerzenia).
System zabezpieczeń PAN transparentnie ustala tożsamość użytkowników sieci
(integracja z Active Directory). Polityka zabezpieczeń precyzyjnie definiuje prawa
dostępu użytkowników do określonych usług sieci i jest utrzymana nawet, gdy
użytkownik zmieni lokalizację i adres IP. Polityki operują na nazwach/grupach
użytkowników. Dzięki korelacji adresów IP z użytkownikami aplikacji działania i
incydenty przypisane są do konkretnych użytkowników. Integracja z Active Directory
odbywa się przez PAN Agent, który komunikuje się z kontrolerami domeny lub
stacjami użytkowników. Dla gości dostępny jest mechanizm „Captive Portal” ferujący
standardowe uwierzytelnianie użytkowników przez Web lub mechanizm MS Windows
(NTLM).
Wgląd w aplikacje, użytkowników i zawartość
System zabezpieczeń PAN zapewnia szczegółowy wgląd i politykę kontroli aplikacji,
3
SIMPLICOM SP. z o.o. ul. Żupnicza 17, 03-821 Warszawa, Tel: +4822 5098689, Fax:+4822 8187271,
e-mail: [email protected], Internert: www.simplicom.com.pl
użytkowników i zawartości. Administrator otrzymuje dedykowane, graficzne narzędzia
do wizualizacji ruchu - patrz rysunek 3. Monitorowanie i raportowanie odbywa się w
czasie rzeczywistym.
Rysunek 3. Szczegółowe monitorowanie aplikacji, użytkowników i zawartości komunikacji
Inspekcja zawartości ruchu szyfrowanego
System zabezpieczeń PAN chroni użytkowników surfujących w Internecie przed
groźnymi atakami w komunikacji szyfrowanej (m.in. złośliwy kod, exploit na
przeglądarkę Web).
Zabezpieczenia deszyfrują nie-zaufany ruch HTTPS i poddają go właściwej inspekcji
(IPS, AV, itd.). Rysunek 4 przedstawia koncepcję kontroli zawartości ruchu
szyfrowanego. Inspekcja zawartości protokół SSL odbywa się dla ruchu ychodzącego
do Internetu jak i przychodzącego do serwerów firmy. PAN utrzymuje wewnętrzny
Urząd Certyfikacji do dynamicznego generowania certyfikatów (root CA lub
podrzędny względem firmowego CA).
Rysunek 4. Koncepcja kontroli zawartości ruchu HTTPS
4
SIMPLICOM SP. z o.o. ul. Żupnicza 17, 03-821 Warszawa, Tel: +4822 5098689, Fax:+4822 8187271,
e-mail: [email protected], Internert: www.simplicom.com.pl
Dla ruchu wychodzącego polityka inspekcji HTTPS precyzyjnie określa, które serwery
są niezaufane i wymagają kontroli. Identyfikowanie zaufanych serwerów HTTPS
odbywa się z wykorzystaniem pre-definiowanych kategorii Web Filtering (np.
Finanase-and-investment, Shopping) lub adresów znanych serwerów.
Kontrola aplikacyjna bez degradacji wydajności
Inspekcja ruchu aplikacyjnego w konwencjonalnym systemie klasy UTM dokonywana
jest na wielu modułach inspekcji (IPS, anty-wirus, itd.), które wzajemnie przekazują
sobie dane. Powoduje to bardzo duże obniżenie wydajności. System zabezpieczeń
PAN został zaprojektowany w taki sposób, że wykonuje pełną inspekcję aplikacyjną
bez degradacji wydajności.
Rysunek 5. Konstrukcja sprzętowa zabezpieczeń PAN
PAN posiada jeden moduł analizy ruchu wykorzystujący wspólną bazę uniwersalnych
sygnatur dla kontroli IPS, Anty-Wirus, Anty-spyware, itd. Zastosowana została przy
tym dedykowana konstrukcja sprzętowa (patrz rysunek 5) posiadająca następujące
własności:
• zadania ochrony wykonywane przez specjalizowane elementy sprzętowe
(Flash Matching HW, SSL/IPSec Enc. HW, Network Processor),
• rozdzielenie modułu zarządzania i przetwarzania ruchu.
System zabezpieczeń PAN wykonuje zadania ochrony na interfejsach sieciowych w
rożnych trybach pracy (L2 z VLAN, Vwire - transparentne L2, L3, Tap - sniffer).
Urządzenie zabezpieczeń w zależności od potrzeb może jednocześnie pracować w
rożnych trybach. Interfejsy VLAN mogą być definiowane dla trybu L2 i L3. W razie
urządzenie może zostać podzielone na wiele wirtualnych ruterów i systemów.
5
SIMPLICOM SP. z o.o. ul. Żupnicza 17, 03-821 Warszawa, Tel: +4822 5098689, Fax:+4822 8187271,
e-mail: [email protected], Internert: www.simplicom.com.pl
Unikalne własności zabezpieczeń Palo Alto Networks
1) System zabezpieczeń identyfikuje aplikacje bez względu na numery portów,
protokoły tunelowania i szyfrowania (włącznie z P2P i IM). Reguły polityki
Firewall w sposób jednoznaczny ustalają, które aplikacje są dozwolone.
2) System zabezpieczeń chroni użytkowników surfujących w Internecie przed
Groźnymi atakami w komunikacji szyfrowanej (m.in. złośliwy kod, exploit na
przeglądarkę Web). Zabezpieczenia deszyfrują nie-zaufany ruch HTTPS i
poddają go właściwej inspekcji (IPS, AV, itd.).
3) System zabezpieczeń chroni przed atakami sieciowymi i złośliwym kodem jak
również z przepustowością wielo-gigabitową wykrywa i filtruje niedozwolone
dane przesyłane przez aplikacje (np. numery kart kredytowych, określone
dokumenty).
4) Firewall transparentnie ustala tożsamość użytkowników sieci (integracja z Active
Directory). Polityka Firewall precyzyjnie definiuje prawa dostępu użytkowników
do określonych usług sieci i jest utrzymana nawet gdy użytkownik zmieni
lokalizację i adres IP.
5) System zabezpieczeń wykonuje zadania ochrony na interfejsach sieciowych w
rożnych trybach pracy (L2, L3, Tap, VLAN w L2 i L3). Urządzenie zabezpieczeń
w zależności od potrzeb może jednocześnie pracować w rożnych trybach.
6) System zabezpieczeń wykonuje inspekcję aplikacyjną (IPS, AV, itd.) bez degradacji
wydajności (wspólna baza uniwersalnych sygnatur, dedykowana konstrukcja
sprzętowa).
7) System zabezpieczeń zapewnia szczegółowy wgląd i politykę kontroli aplikacji,
użytkowników i zawartości.
6
SIMPLICOM SP. z o.o. ul. Żupnicza 17, 03-821 Warszawa, Tel: +4822 5098689, Fax:+4822 8187271,
e-mail: [email protected], Internert: www.simplicom.com.pl