El documento resume la historia de los firewalls de próxima generación (NGFW), desde los firewalls de estado 1 y 2 hasta los NGFW actuales. Explica cómo funcionan los sistemas UTM y FW tradicionales en comparación con la arquitectura SP3 única de procesamiento paralelo de un solo paso de Palo Alto, que permite el reconocimiento de aplicaciones y el análisis de contenido. Además, analiza las ventajas competitivas de Palo Alto y los desafíos que enfrenta a medida que la industria evoluciona hacia
2. NGFW. Una Aproximación Histórica
Embrion 1st Gen 2nd Gen 3rd Gen Next Gen
Check
Point
< 1993 1993 1994 1995 1998 1999 2000 2002 2003 2004 2005 2006 2008
Network Translation
(Cisco)Stateless FW
Cisco ACL
Ipfilter
*BSD
TIS
First app
proxies
Cisco PIX
1995
Stateful
Inspection
1998
Netscreen
FW and IPS integration
OneSecure Acq.
2002
2003 Netscreen
w/ basic ips
Juniper
IDP
2004
1999
Tippingpoint
2000 Intruvert
2003 McAfee
3com 2005 (HP 2010)
2005
Cisco ASA
2000 Fortinet
UTM concept
2005
Palo Alto
Networks
(PA-4000
PANOS 2.0
en 2008)
Check Point on Nokia
1998
Check Point 2006
Acq. NFR Security
2008
Palo Alto
Networks
NGFW
1999 Check Point
on Xbeam
Specific Hardware
(FW ASIC-based)
NGFW
CONFIDENCIAL
3. Definiciones
• UTM
– “Es una plataforma convergente de varios productos de
seguridad, particularmente orientada a pequeña y mediana empresa
(SMBs). Conjunto de funcionalidades típicas formadas por tres
subconjuntos, dentro del UTM: firewall/intrusion prevention system
(IPS)/virtual private network, secure Web gateway security (URL
filtering, Web antivirus [AV]) y messaging security (anti-spam, mail
AV).”
• NGFW
– Los Next-generation firewalls (NGFWs) que están surgiendo
pueden detectar ataques específicos de aplicación y forzar a la
aplicación a cumplir una política de seguridad granular
específica, tanto de salida como de entrada.
Los NGFWs serán más efectivos cuando trabajan en conjunción
con otras capas de controles de seguridad.
Source: Gartner
CONFIDENCIAL
5. ¿Como funciona un UTM o FW
tradicional?
• Flujo de un paquete en un FW 2nd Gen
Services
Baseboard
Physical
Interface
to the
Switch
Backplane
IBM
NP3
IBM
NP1
IBM
NP2
PC
Complex
Control
Processor
L7
Inspection
G
M
A
C
G
M
A
C
Source: Cisco Systems
CONFIDENCIAL
6. ¿Como funciona un UTM o FW
tradicional?
• Flujo de un paquete en un sistema UTM
Source: Palo Alto Networks
CONFIDENCIAL
7. ¿Como funciona un UTM o FW
tradicional?
Source: Cisco Systems
CONFIDENCIAL
8. ¿Cómo funciona Palo Alto?
• 80 Gbps switch fabric
interconnect
• 20 Gbps QoS engine
Signature Match HW Engine
• Stream-based uniform sig.
match
• Vulnerability exploits
(IPS), virus, spyware, CC#, SSN,
and more
Security Processors
• High density parallel
processing for flexible
security functionality
• Hardware-acceleration for
standardized complex
functions
(SSL, IPSec, decompression)
20Gbps
Network Processor
• 20 Gbps front-end network
processing
• Hardware accelerated per-
packet route lookup, MAC
lookup and NAT
10Gbps
Data PlaneSwitch Fabric
10Gbps
... ......
QoS
Flow
control
Route,
ARP,
MAC
lookup
NAT
Switch
Fabric
Signature
Match
Signature
Match
SSL IPSec
De-
Compress.
SSL IPSec
De-
Compress.
SSL IPSec
De-
Compress.
CPU
12
CPU
1
CPU
2
CPU
12
CPU
1
CPU
2
CPU
12
CPU
1
CPU
2
RAM
RAM
RAM
RAM
RAM
RAM
RAM
RAM
RAM
RAM
RAM
RAM
RAM
RAM
• Quad-core mgmt
• High speed logging
and route update
• Dual hard drives
Control Plane
Core 1
RAM
RAM
SSD
SSD
Core 2
Core 3 Core 4
Source: Palo Alto Networks
CONFIDENCIAL
9. ¿Cómo funciona Palo Alto?
Flow
control
Route, ARP,
MAC lookup
NAT
Signature
Match
RAM
RAM
RAM
RAM
...
SSL IPSec
De-
Compress.
CPU
12
CPU
1
CPU
2
RAM
RAM
Signature
Match
RAM
RAM
RAM
RAM
...
SSL IPSec
De-
Compress.
CPU
12
CPU
1
CPU
2
RAM
RAM
...
SSL IPSec
De-
Compress.
CPU
12
CPU
1
CPU
2
RAM
RAM
Switch
Fabric
QoS
RJ45 x 12
SFP x 4
SFP+ x 4
FPGA
Fast
Path
Switch
Fabric
DP0
DP1
DP2
Signature Match
HW Engines
PA-5060 Only
Source: Palo Alto Networks
CONFIDENCIAL
10. Arquitectura Single-Pass Parallel Processing (SP3)
Single Pass
Procesamiento una vez por
paquete
- App-ID
- User/group mapping
- Content scanning –
threats, URLs, información
confidencial
Parallel Processing
Motores hardware
dedicados para cada
función
Data/Control planes
separados
Hasta 20Gbps, Baja Latencia
Source: Palo Alto Networks
CONFIDENCIAL
11. Ventajas de Palo Alto
• Principal ventaja de PA, Estrategia: Vision +
Diseño
• La integración del motor de reconocimiento de
aplicaciones con el core de FW.
• Esto NO ES PROPIO DE LOS SISTEMAS FW. Es
propio de otros sistemas tipo IPS o DPI shapers.
• Pocos tuvieron esta visión [OneSecure, Intruvert]
y solo Palo Alto fue capaz de dotarlo de firmas de
aplicaciones “positivas” creando un producto
totalmente revolucionario.
• SP3
CONFIDENCIAL
12. Ventajas de Palo Alto
App-ID
Identificar la aplicación
User-ID
Identificar el usuario
Content-ID
Analizar el contenido
Source: Palo Alto Networks
CONFIDENCIAL
13. ¿Cómo ha reaccionado la
competencia?
• El año que viene tendremos uno…
• Adecuación de sus IPS para Apps
• R&D (Cisco CX)
• Añadiendo CPU baratas e “integrando”
adquisiciones. Ejemplo Check Point. No tiene
integración real: Chassis ATCA, CPU de propósito
General en integración en “blades” de sus
adquiciones IPS (NFR, Liquid). Permanece como
líder por su Base instalada.
• No funciona…
CONFIDENCIAL
14. ¿Cuál es la realidad?
• Números maquillados: El performance anunciado
de FW stateful, no incluye motores de
reconocimiento de apps
• No activado por defecto
• No se re-diseñan las plataformas, se adaptan IPS
con firmas “blancas”
• SOLUCIÓN REAL: Rediseño completo del FW hacia
sistemas más cercanos a DPI en su ADN
• GRAN PROBLEMA: Ruptura con herencia
(problemas de continuidad) e inversiones en R&D
CONFIDENCIAL
15. El reto no es llegar, es Mantenerse
• Palo Alto y sus NGFWs se enfrentan a toda la
industria de seguridad:
– Sistemas DPI (Packet Shapers) (content vía ICAP)
– IPS evolucionados
– Fabricantes de firewalls que van a NG
– Evolución de sistemas de ADC
– Proxies App tradicionales con URL filtering (content
vía ICAP)
• Ataques de todos ellos: Síndrome del advenedizo
• Adquisiciones por “dinosaurios”
CONFIDENCIAL
16. Futuro a tres años
• 2011, gran año PAN
• Quedan al menos dos años para que la
competencia consiga algo parecido
• Caso iPhone
2009
2010
2011
2012
CONFIDENCIAL
17. Futuro a tres años
• En torno a 2013/2014 podrían aparecer
nuevas máquinas con ratios de performance y
eficacia “NG”
• Para entonces PA tendrá su posicionamiento
asegurado y habrá evolucionado tras el
conocimiento pionero de la plataforma NG ….
…como el iPhone ;-)
CONFIDENCIAL
18. Coge la línea directa NGFW!!!
Check
Point
Network
Translation (Cisco)
Cisco PIX
Netscreen
OneSecure
Netscreen
w/ ips
Juniper IDP
Tippingpoint
Intruvert
McAfee
3com / HP
Cisco ASA
Fortinet
Palo Alto
Networks
Check Point
On Nokia
Check Point
On Crossbeam
Check Point
- NFR Security
NGFW
NGFW
Estoes el DP, el CP:Significantly more powerful control plane compared to PA-4000 Series systemsQuad core Intel Xeon (2.3Ghz) + 4GB memoryDual, externally removable, 120GB or 240GB SSD storage
ArquitecturaSinglePassParallelProcessingLa arquitectura SP3 representa un concepto revolucionario a la hora de diseñarequipamiento dedicado a realizar tareas de seguridad. Ha sido concebida para cumplirdos funciones clave dentro del firewall de nueva generación de Palo Alto Networks. Enprimer lugar, la arquitectura single pass realiza todas las operaciones una vez porpaquete. Según se procesa un paquete, el routing se realiza una vez, la búsqueda en lapolítica se realiza una vez, la identificación de la aplicación y la decodificación se realizauna vez, y el análisis de las amenazas y los contenidos se realiza una vez. Esto reducesignificativamente la cantidad de sobrecarga de procesamiento necesaria para realizarmúltiples funciones. En segundo lugar, la arquitectura single pass utiliza firmas basadasen patrones uniformes. En lugar de utilizar motores y conjuntos de firmas por separado (lo que requiere múltiples análisis en la exploración) y en lugar de utilizarservidores proxy (lo que requiere la descarga completa de los archivos antes deanalizarlos), la arquitectura single pass escanea el tráfico de todas las firmas una únicavez y en forma de stream, para evitar introducir latencias.