Для тех кто ищет ответа на сокровенный вопрос: чем UTM отличается от NGFW?

1. UTM vs NGFW
Денис Батранков
@batrankov
batrankov.ru

2. Приложения изменились
и используют сложные
схемы подключения по
сети
© 2014 Palo Alto Networks.

3. Межсетевые экраны не изменились
Новый межсетевой экран должен восстановить контроль
НО…приложения изменились
• Порты ≠ Приложения
• IP-адреса ≠ Пользователи
• Пакеты ≠ Контент
Политики межсетевых экранов
базируются на контроле:
• Портов
• IP адресов
• Протоколов
© 2014 Palo Alto Networks.

4. Пример
Разрешить MS Lync? Запросто!
1434(UDP), 5060, 5061, 444, 135, 5062, 8057, 8058,
5063, 57501-65535, 80, 443, 8080, 4443, 8060, 8061,
5086, 5087, 5064, 5072, 5070, 5067, 5068, 5081, 5082,
5065, 49152-57500(TCP/UDP), 5073, 5075, 5076, 5066,
5071, 8404, 5080, 448, 445, 881, 5041
© 2014 Palo Alto Networks.
•А как разрешить bittorent?

5. Приложения являются источником рисков
Приложения сами могут
быть “угрозами”
• P2P file sharing, туннельные
приложения, анонимайзеры,
мультимедиа, TOR, Bitcoin
Приложения могут
способствовать
распространению угроз
• Основные угрозы – это угрозы
уровня приложений
Приложения и угрозы уровня приложений создают бреши в системе безопасности
© 2014 Palo Alto Networks.

6. 1. Распространение
вредоносного ПО или
нелегитимного трафика
через открытые порты
- нестандартное
использование стандартных
портов
- создание новых
специализированных
протоколов для атаки
2. Использование
стандартных протоколов
на нестандартных портах –
уклонение от сигнатурного
сканирования
Техники уклонения от защиты развиваются
signatures
Port
10000
HTTP
Port
80
© 2014 Palo Alto Networks.

7. Использование туннелирования поверх DNS
Примеры
• tcp-over-dns
• dns2tcp
• Iodine
• Heyoka
• OzymanDNS
• NSTX
Использование рекурсивных запросов для передачи инкапсулированных
сообщений по TCP в запросах удаленному DNS серверу и ответах клиенту
© 2014 Palo Alto Networks.

8. Что сотрудники передают через зашифрованные
каналы?
Применение шифрования:
• SSL
• Специальные протоколы
шифрования

9. «Помощники» межсетевого экрана не помогают!
Enterprise
Network
•IM•DLP•IPS •Proxy•URL•AV
UTM
Internet
• Сложная топология и нет «прозрачной» интеграции
• «Помощники» межсетевого экрана не имеют полного
представления о трафике – нет корреляции
• Дорогостоящее и дорогое в обслуживании решение
• Использование UTM - отдельных функциональных
модулей в одном устройстве делает его ОЧЕНЬ
медленным
© 2014 Palo Alto Networks.

10. ••
Почему подход UTM не работает
•App
•Signatures
•IPS
•Signature
s
•Virus
•Signature
s
•URL
•Signature
s
•Application
•Policy
•Applicatio
n
•Inspection
•IPS
•Policy
•Threat
•Inspectio
n
•Anti-Virus
•Proxy
•AV
Inspection
•Web Filtering
•Policy
•URL
Inspection
•PacketInspectionFlow
•Stateful FW
policy
•Port-based
session
•Inspection
•L4 Session
Table
© 2014 Palo Alto Networks.

11. Повышаем безопасность = хуже
производительность
Традиционная безопасность
• Каждая новая коробка для
безопасности снижает
производительность
• IPS чаще всех получают
жалобы
• Идут трения между ИТ и
безопасностью
Лучшая
производительность
Firewall
Anti-Malware
IPS

12. Из куриц никогда не получится орла
•≠
•FW •IPS •AV•APP •DLP •URL •PROXY
•NGFW

13. © 2014 Palo Alto Networks. Proprietary and Confidential.Page 13 | © 2007 Palo Alto Networks. Proprietary and ConfidentialPage 13 |
NGFW
аппаратное устройство
спроектированное для работы при
всех включенных функциях
безопасности

14. Архитектура однопроходной параллельной
обработки
Один проход
• Каждый пакет
сканируется только один
раз
• При сканировании
одновременно
определяется:
- Приложение
- Пользователь/группа
- Контент – угрозы, URL
и т.д.
Параллельная
обработка
• Специализированное
аппаратное обеспечение
для каждой задачи
• Разделение Data plane и
Control plane
До 120 Гбит/с, низкая задержка
© 2014 Palo Alto Networks.

15. Архитектура NGFW на примере Palo Alto Networks
• 80 Gbps switch fabric
interconnect
• 20 Gbps QoS engine
Signature Match HW Engine
• Stream-based uniform sig. match
• Vulnerability exploits (IPS), virus,
spyware, CC#, SSN, and more
Security Processors
• High density parallel processing
for flexible security
functionality
• Hardware-acceleration for
standardized complex functions
(SSL, IPSec, decompression)
• Highly available mgmt
• High speed logging and
route update
• Dual hard drives
20Gbps
Network Processor
• 20 Gbps front-end network
processing
• Hardware accelerated per-packet
route lookup, MAC lookup and
NAT
10Gbps
Control Plane
Data PlaneSwitch Fabric
10Gbps
... ......
QoS
Flow
control
Route,
ARP,
MAC
lookup
NAT
Switch
Fabric
Signature
Match
Signature
Match
SSL IPSec
De-
Compress.
SSL IPSec
De-
Compress.
SSL IPSec
De-
Compress.
Quad-core
CPU CPU
12
CPU
1
CPU
2
CPU
12
CPU
1
CPU
2
CPU
12
CPU
1
CPU
2
RAM
RAM
HDD
HDD
RAM
RAM
RAM
RAM
RAM
RAM
RAM
RAM
RAM
RAM
RAM
RAM
RAM
RAM
• 40+ процессоров
• 30+ Гб RAM
• Разделенные платы управления и
передачи данных (Management
Plane/Data Plane)
• 20 Гбит/с детект приложений
• 10 Гбит/с с всем включенным
• 4 миллиона одновременных сессий
© 2014 Palo Alto Networks.

16. Упражнение 1. Файловые операции и URL
категории
• Компания X хочет разрешить своим пользователям
посещать сайты категорий “unknown” и “malware” так
чтобы они ничего не могли ни закачать туда, ни скачать
оттуда
• Если сотрудники посещают другие сайты, то им
разрешены операции с файлами
•File Blocking Profile
•Custom URL Category
© 2014 Palo Alto Networks.

17. Упражнение 2. Аттачи в Блогах
• “Компания X” создала корпоративный блог
(corporationx.blogspot.com) и хочет чтобы межсетевой
экран:
- Разрешал сотрудникам размещать комментарии и размещать
документы в этом блоге
- Разрешал сотрудникам комментировать другие блоги, но
блокировал там размещение файлов
•File Blocking Profile
•Custom URL Category
© 2014 Palo Alto Networks.

18. Упражнение 3. Разные приложения на одном
сервере.
• WEB приложения на базе TomCat на сервере в ЦОД
- У Компании X два веб приложения на одном сервере TomCat:
http://app1.corpx.com and http://app2.corpx.com
- App1 нужно для распространения ПО для своих заказчиков и
поэтому там нужно проверять вирусы
- App2 позволяет заказчикам закачивать файлы. Нужно
разрешить закачивать только PDF
•CustomApp TomCat
•using http-host-header
•AV Profile
•All filles scanned
•FileBlocking Profile
•Only PDF upload
© 2014 Palo Alto Networks.

19. Упражнение 4. Маркировка трафика для CoS
• Привязать lync-voice к MPLS CoS
- У компания X много филиалов поделюченный через
провайдера по MPLS VPN. Этот VPN обеспечивает различный
CoS и администратор хочет привязать голосовые сессии Lync к
CoS
- Однако он хочет привязать передачу файлов Lync File Transfers
к лучшему возможному CoS
•DSCP Marking bye application
•Помечать только приложение lync-voice с DSCP EF чтобы он стал золотым CoS.
И не делать этого дляlync-file-transfer
© 2014 Palo Alto Networks.

20. Упражнение 5. Управление вложениями.
• “Компания X” ищет межсетевой экран который:
- Позволяет любым внутренним пользователям использовать
приложения Google App созданные компанией
 И пользоваться функциями upload/download файлов при этом
- Позволить внутренним пользователям использовать GMAIL но
без вложений файлов
 Ни закачать ни скачать нельзя!
•File Blocking Profile
•Custom Google App
© 2014 Palo Alto Networks.

21. Упражнение 6. Управление вложениями 2
• Предыдущее решение было очень непопулярно
- Пользователи требовали дать им право прилагать, как минимум,
документы MsOffice в почте GMAIL
- Администратору Google App необходимо, чтобы пользователи
прекратили использовать хранилище Google Storage для хранения
фильмов (AVI файлов)
• Запрос администратору межсетевого экрана
- Разрешить пересылать документы MSOffice через GMAIL
- Запретить AVI в Google Apps •File Blocking Profile
• Deny “AVI”
•File Blocking Profile
• Allow “msOffice”
• Deny ANY
© 2014 Palo Alto Networks.

22. Упражнение 7. Самописные приложения для
SCADA
• Разрешить самописное приложение OracleWarehouse
connector
- En@gas собирает данные с 300 SCАDA в свой ЦОД. Эти системы
разбросаны по всей MPLS VPN сети
- Эти данные собирает специально написанное приложение
OracleWarehose connector. К сожалению, очень трудно отследить
где установлены эти системы и на каком порту работает каждая из
300 систем
- Но очень легко понять по содержимому сессии, поскольку TCP
соединение начинается со строки символов
“en@gas:getServerParams”
•Самописное приложение
•Идентифицирует “en@gas:getServerParams”
•В любом TCP соединении (любой порт)© 2014 Palo Alto Networks.

23. Упражнение 8. Разные фильтры для того же
IP/порта
• WEB приложения на базе TomCat на одном сервере в ЦОД
- У компании X три web приложения на одном сервере TomCat:
http://app1.corpx.com, http://app2.corpx.com y http://app3.corpx.com
- App1 и App2 должны быть доступны только из интранет
- App3 по сути перебрасывает файлы из Интернет в Интранет. Оно
может отдавать файлы только в интранет. Оно может скачивать
файлы из Интернет
•CustomApp TomCat
•using http-host-header
•FileBlocking Profile
•Only upload
•FileBlocking Profile
•Only download
© 2014 Palo Alto Networks.

24. Упражнение 9. Policy Forward
• Перебрасывать трафик приложения jabber от ИТ
администраторов
- У компании X есть филиал, подключенный к HQ по MPLS VPN.
В филиале работает группа программистов, которые
используют jabber для обмена огромным количеством кода с
внешним партнером и это перегружает VPN.
- Был куплен новый ADSL маршрутизатор в этот офис.
Межсетевой экран должен перебрасывать любую активность в
jabber по любому порту TCPдля всех пользователей группы
ITadministrators независимо от адреса источника на этот новый
ADSL маршрутизатор.
•Any TCP Port•Any Source Address
•Router ADSL
© 2014 Palo Alto Networks.

25. Вывод: NGFW не создают пробок в сети
•Обеспечивают заданную производительность при
всех включенных сервисах безопасности