palo alto (ngfw + wild fire)

Платформа Palo Alto Networks для защиты корпоративной сети от

современных кибер-угроз

Evgeny Kutumin [email protected]

Pre-sale engineer

О компании Palo Alto Networks

•  PaloAltoNetworks–этоEnterpriseSecurityCompany

•  Командамировогоклассасбогатейшимопытомвобластибезопасностиисетевыхтехнологий-  Основанав2005году,первыйзаказчик–июль2007года,вРоссиис2010года

•  Специализациянамежсетевыхэкранахновогопоколения,способныхраспознаватьиконтролировать2000+приложениями

-  Межсетевойэкран–ключевойэлементинфраструктурысетевойбезопасности

-  Используетинновационныетехнологии:App-ID™,User-ID™,Content-ID™,WildFire™,Traps™

•  30000+корпоративныхзаказчиковв100+странахмира,100+изкоторыхвнедрилирешениестоимостьюболее$1000000

Palo Alto Networks Next-Generation Threat Cloud

Palo Alto Networks Next-Generation Endpoint

Palo Alto Networks Next-Generation Firewall

Next-Generation Firewall §  Инспекция трафика §  Контроль приложений и пользователей

§  Защита от угроз 0-ого дня §  Блокировка угроз и вирусов на уровне сети

Next-Generation Threat Cloud §  Анализ подозрительных файлов в облаке

§  Распространение сигнатур безопасности на МЭ

Next-Generation Endpoint §  Инспекция процессов и файлов §  Защиты от известных и неизвестных угроз §  Защиты стационарных, виртуальных и мобильных пользователей

§  Интеграция с облачной защитой от угроз

Next-Generation Security Platform

4 | ©2014, Palo Alto Networks. Confidential and Proprietary.

Межсетевой экран нового поколения Palo Alto Networks

Инновационные технологии Palo Alto Networks

• App-ID™• Идентификация• приложений

User-ID™• Идентификация• пользователей

• Content-ID™• Контрольданных

• +SSLdecrypBon

Основные преимущества МЭ Palo Alto Networks 1)Идентификацияприложенийнезависимоотпортов,протоколов,использованиятехниктуннелировананияилишифрованияSSL;

2)ИдентификацияпользователейнезависимоотIPадресов,местонахожденияилииспользуемогоустройства;

3)Защитаотизвестныхинеизвестныхугрозивирусов,URLфильтрация+инспекциявходящих/исходящихSSLсоединений;

4)Высокаяпроизводительностьзасчетиспользованияспециализированныхпроцессоров+применениеархитектурыоднопроходнойобработки.(FPGA:ПЛИС(ПрограммируемаяЛогическаяИнтегральнаяСхема))

© 2011 Palo Alto Networks. Proprietary and Confidential.

Архитектура PA-5000

•  80Gbpsswitchfabricinterconnect

•  20GbpsQoSengine

SignatureMatchHWEngine•  Stream-baseduniformsig.match•  Vulnerabilityexploits(IPS),virus,spyware,CC#,SSN,andmore

SecurityProcessors•  Highdensityparallelprocessingforflexiblesecurityfunc�onality

•  Hardware-accelera�onforstandardizedcomplexfunc�ons(SSL,IPSec,decompression)

•  Highlyavailablemgmt•  Highspeedloggingandrouteupdate

•  Dualharddrives

20Gbps

NetworkProcessor•  20Gbpsfront-endnetworkprocessing

•  Hardwareacceleratedper-packetroutelookup,MAClookupandNAT

10Gbps

ControlPlane

DataPlaneSwitchFabric

10Gbps

... ... ...

QoS

Flowcontrol

Route,ARP,MAClookup

NATSwitchFabric

SignatureMatch

SignatureMatch

SSL IPSec De-Compress. SSL IPSec De-

Compress.SSL IPSec De-Compress.

Quad-coreCPU CPU

12CPU1

CPU2

CPU12

CPU1

CPU2

CPU12

CPU1

CPU2

RAM

RAM

HDD

HDD

RAM

RAM

RAM

RAM

RAM

RAM

RAM

RAM

RAM

RAM

RAM

RAM

RAM

RAM

•  40+processors•  30+GBofRAM•  Разделенныеплатыуправленияи

передачиданных(ManagementPlane/DataPlane)

•  20Gbpsfirewallthroughput•  10Gbpsthreatpreven�onthroughput•  4Millionconcurrentsessions

|


Семейство платформ межсетевых экранов Palo Alto Networks

Семейство платформ Palo Alto Networks

PA-500250Мбит/сFW/100Мбит/с

предотвращениеатак/64,000сессий

8coppergigabit

PA-505010Гбит/сFW/5Гбит/спредотвращение

атак/2,000,000сессий4SFP+(10Gig),8SFP(1Gig),12RJ-45

gigabit


атак/1,000,000сессий8SFP,12RJ-45gigabit


атак/4,000,000сессий4SFP+(10Gig),8SFP(1Gig),12RJ-45

gigabit

PA-200100Мбит/сFW/50Мбит/с

предотвращениеатак/64,000сессий

4coppergigabit

4GbpsFW2Gbpsthreatpreven�on500,000sessions12coppergigabit8SFPinterfaces

PA-30502GbpsFW1Gbpsthreatpreven�on250,000sessions12coppergigabit8SFPinterfaces

PA-3020до1GbpsFWдо600Mbpsthreatpreven�onдо250,000sessionsГостеваямашинаилив

режимегипервизора

VMSeries(VMware/CitrixSDX)

PA-7050 - самый производительный в мире NGFW !!

PA-7050NPC PA-7050System

FWGbps 20 120

ThreatPrev.Gbps 10+ 60+

Встроеннаясистемалогирования

4x1TBHDD=2TBRAID1

020406080

100120140

1 2 3 4 5 6

Gbp

s

App-ID

TP


•  Лицензирование и техническая поддержка на шасси

•  Линейное масштабирование производительности

•  Снижение стоимости за защищенный Гбит


Основной функционал операционной системы

Основной функционал операционной системы

§ Network §  Динамическая маршрутизация (BGP, OSPF, RIPv2) §  Режим мониторинга – подключение к §  SPAN-порту §  Прозрачный (L1) / L2 / L3 режимы §  Маршрутизация по политикам (PBF) §  IPv6

§ VPN §  Site-to-site IPSec VPN §  SSL VPN (GlobalProtect)

§ Функционал QoS §  Приоритезация, обеспечение максимальной/гарантированной полосы §  Возможна привязка к пользователям, приложениям, интерфейсам, зонам и т.д.

§  Мониторинг полосы в режиме реального времени

§ Зоновый подход §  Все интерфейсы включаются в зоны безопасности для упрощения настройки политик

§ Отказоустойчивость §  Active/active, active/passive §  Синхронизация конфигурации §  Синхронизация сессий (кроме РА-200, VM-series) §  Path, link и HA мониторинг

§ Виртуальные системы §  Настройка нескольких межсетевых экранов в одном устройстве (серии PA- 5000, PA-3000 и PA-2000)

§ Простое и гибкое управление §  CLI, Web, Panorama, SNMP, Syslog, NetFlow, интеграция с SIEM/SIM

Идентификацияиконтрольприложений,пользователейиконтентадополняютсяследующимфункционалом

|

Кластеризация active/passive, active/active

HA1

HA3

HA2

HA1

HA2

Acmve/Passive Acmve/Acmve

Ac�ve Passive Ac�ve Ac�ve

HA1–синхронизацияcontrolplane(configura�on,heartbeats)HA2–синхронизацияdataplane(sessionstate,ARPcach,fib)HA3–forwardinglink(толькодлякластераac�ve/ac�ve)


Управление МЭ Palo Alto Networks

Средства управления, отчетности и интеграции

WebGUI,SSH,XMLAPIЦентрализованноеуправление–ПО

Panorama+М-100

Системавстроеннойотчетности

ОтправкалоговпоSyslog,SNMPИнтеграциясПОоркестрации

ИнтеграциясSEIM/SIM(пр.HPArcSight,SymantecSIM,SPLUNK)

Централизованное управление с использованием ПО Panorama

•  Централизованноелогированиеиотчетность

•  Централизованноеобновление

•  Централизованнаянастройка

•  Ролевоеадминистрирование

So�ware Content

Clients

---------------

Рекомендации по применению Panorama

Panorama VM < 10 devices < 10,000 logs/sec

Panorama M-100 < 100 devices < 10,000 logs/sec

Panorama Distributed Architecture < 1,000 devices

> 10,000 logs/sec (50,000 per collector)

|


Дизайн сетей на базе продуктов Palo Alto Networks

Этапы внедрения в сети Мониторинг ПрозрачныйIn-Line РежимL2/L3

-  Мониторингбезвмешательствавработусети(режимIDS)

-  Функциизащитыотугроз

-  FW+IPS+AV+AnmSpy+URLфильтрации+SSL

-  Эшелонированнаязащита/заменатекущегоFW

-  Firewall+IPS+AV+URLфильтрация+SSL-дешифрация

Пример внедрения Palo Alto Networks



Построение виртуальных частных сетей -

сервис Global Protect VPN

Функционал GlobalProtect •  Пользователиникогданеработают“off-network”независимоотихместоположения

•  Межсетевыеэкраныобразуют«облако»сетевойбезопасности

•  Подключениемобильныхпользователей:-  WindowsXP/Vista/7/8;

-  MACOS;

-  IOSиAndroidустройства.

•  Сканированиеподключаемыхустройствнасоответствиеполитикамбезопасности

•  ПостроениераспределенныхсетейVPN(IPSecиSSL)

PortalGateway Gateway


WildFire – облачный сервис обнаружения вредоносного ПО

«нулевого дня» (APT)






Wildfire §  Анализ подозрительных файлов в облаке





Взломы происходят постоянно

h|p://www.informamonisbeaumful.net/visualizamons/worlds-biggest-data-breaches-hacks/

ЧТО ТАКОЕ APT НА ПРИМЕРЕ КОМПАНИИ ANUNAK

Элементы атаки

Spear phising

рассылка с вредоносными вложениями от лица ЦБ РФ

Использование существующих ботнетов для распространения нового кода

Инфицирование через drive-by-

download: Andromeda и Pony трояны через Neutrino

Exploit Kit

Доступ к банкоматам из

специализированных сегментов, которые должны быть

изолированными, и инфицирование ОС

Снятие денег из банкоматов и через Интернет-кошельки, напр. Yandex Money

Подтверждено, что было

захвачено 52 банкомата. Кража более 1 млрд.

рублей.

Украденоболее1млрд.рублей($17млн.)с2013г.избанковвРоссиииЕвропе

h�p://securityaffairs.co/wordpress/31405/cyber-crime/apt-anunak-steals-millions-from-banks.htmlh�p://www.group-ib.com/files/Anunak_APT_against_financial_ins�tu�ons.pdf

Anunak – письмо с вредоносным вложением

Вредоносы, использующие MACRO

DRIDEX

Dridex банковксий тройян из семейства вирусов GameOver Zeus. Функционал очень похож на вирус из того же семейства –Cridex: ворует логины/пароли, любую ценную финансовую информацию пользователей

UPATRE/DYRE

Upatre – имя «дропера» (доставщика вируса), обычно доставляется в виде макроса, встроенного в офисный документ, который потом скачивает вирус Dyre (Dyreza): банковксий тройян из семейства вирусов GameOver Zeus. В дополнение к уже известным функциям, использует Microsoft Outlook, чтобы переслать самого себя внутри организации

Вредононы, использующие MACRO

Координированное предотвращение угроз

App-ID

URL

IPS

ThreatLicen

se

Spyware

AV

Files

WildFire

Block !high-risk apps!

Block !known malware sites!

Block !the exploit!

Prevent drive-by-downloads!

Detect unknown malware!

Block malware!

Block spyware, C&C traffic!

Block C&C on non-standard ports!

Block malware, fast-flux domains!

Block new C&C traffic!

Координи-рованное интеллек-туальное блокирование активных атак по сигнатурам, источникам, поведению

Приманка ЭксплоитЗагрузкаПОдля«черногохода»

Установлениеобратногоканала

Разведкаикражаданных

АрхитектураWildfire

Internet

Исполняемыефайлы(*.exe,*.dll,*.bat,*.sys,ит.д.)

Частное облако Wildfire (WF-500)

§  Частное облако доступно в виде сервера WF-500

§  Принцип работы МЭ Palo Alto Networks + WF-500: §  МЭ Palo Alto Networks отсылают файлы

для сканирование на WF-500 §  Все файлы сканируются локально на

WF-500 §  Идентификация новых угроз

аналогично облачному сервису Wildfire §  Опциональная возможность отсылки

подтвержденного вируса в облако Wildfire для генерации сигнатуры безопасности

WildFire Cloud

All unknown files

Confirmed Malware (optional)

Signatures

Customer Firewalls

Local Customer Network

Лицензирование МЭ Palo Alto Networks






Next-Generation Threat Cloud §  Анализ подозрительных файлов в облаке





Независимые исследования и рекомендации

РешенияPaloAltoNetworksпротестированыкакNGFWиIPSирекомендованыBroadbandTesmng

2015MagicQuadrantforEnterpriseNetworkFirewalls

C2009года«провидец»,с2011годалидеррынкаМЭкорпоративногокласса

palo alto (ngfw + wild fire)

Technology