Springe zu Navigation | Suche | Inhalt | Seitenfuß

Die Firewall ist tot. Es lebe die Firewall!

Die alten Denkschemata des Paketfilterns haben ausgedient. Spätestens nach der Analyse von Tools, wie Skype™, WebEx™ oder GBridge™ wird eins klar: Ein User entspricht nicht mehr einer IP-Adresse und Web2.0-Applikationen können TCP-Ports nicht mehr fest zugeordnet werden. Unser Paketfilter ist löcherig, wie ein Schweizer Käse und das heisst: Die Security-Abteilung ist nicht mehr in der Lage den Fluß von Applikationen über Segmentgrenzen und Perimeter hinweg sicher zu kontrollieren.


Eine Übertreibung? Keineswegs! Eigentlich wissen wir es schon längst, aber bisher versagten die technischen Lösungen. Salesforce™ und WebEx™ vollständig blocken? Keine gute Idee. Besser wäre es, die Applikation zu verstehen und unerwünschte bzw. unsichere Funktionen zu filtern.


Neues Denken ist angesagt und es gibt einen exzellenten Vorturner. Nir Zuk, Mitentwickler der Stateful Inspection Firewall Technologie bei Check Point™ und später CTO und Entwickler der NetScreen™ ASIC Firewall Systeme, hat die Firewall neu erfunden. Mit seinen Palo Alto™ Appliances verwirklicht er einen neuen Ansatz, mit dem Applikationen unabhängig vom genutzten Port und zusätzlich auch User und Content erkannt und kontrolliert werden. Die Systeme entschlüsseln HTTPS-Verkehr „on the fly“ und sind in der Lage über 800 Applikationen zu erkennen, deren Verhalten zu interpretieren und diese ganz oder auf Funktionseben zu filtern. Aber das ist noch längst nicht alles ...

 

Application Firewalling = Next Generation Firewalling

Was sich in den letzten 5 Jahren als technische Antwort auf Bedrohungen etabliert hat, war das „Übereinanderstapeln“ von 4 unterschiedlichen Systemen: Paketfilter, VPN-Gateway , Application Level Gateway/Content Filter und IDS/IPS. Das Ergebnis: hohe Komplexität, vier komplett unterschiedliche  GUIs; keine Cross-Device- Eventkorrelation, unerwünscht hohe Latenzzeiten, ressourcenintensiver operativer Betrieb. Und ja, UTM-Ansätze gibt es seit mindestens 5 Jahren, aber wir wollen hier über Enterprise-Lösungen sprechen.
Mit PaloAlto wurde die Idee des Perimeterschutzes völlig neu gedacht, denn es geht um:

  • Identifikation von Applikationen unabhängig von Port, Protokoll, Verschleierungsmethoden oder Verschlüsselung
  • Identifikation von Benutzern unabhängig von der IP-Adressse
  • Granulare Sicht und Kontrolle über Anwendungszugriffe und Funktionen
  • Echtzeitschutz gegen in Anwendungen versteckte Bedrohungen
  • Multi-Gigabit-Durchsatz, In-line Integration, minimale Latenzerhöhung


PAN-OS ™ - Best of Breed weiterentwickelt

Ein neuer Lösungsansatz muss also die Identifikation der Anwendung, der Benutzer und der Inhalte in sich vereinigen. Er muss, wenn Multi-Gigabit-Durchsatz, In-line Integration und minimale Latenzerhöhung eine Kernanforderung ist, auf einer massiv-parallel arbeitenden Prozessorarchitektur aufbauen, um innerhalb eines Zyklus mehrere Analysen gleichzeitig abzuarbeiten. Das System muss für Änderungen flexibel bleiben, sprich auf einem FPGA-Design beruhen und Daten- und Kontrolleinheiten strikt trennen. Palo Alto Networks hat es genau so gemacht. Schon der erste Blick auf die GUI lässt ahnen, dass das Produkt gewissermaßen die besten Ansätze aus CheckPoint, Juniper und anderen vereinigt und weiterentwickelt hat.

Basierend auf dem Security-Betriebssystem PAN-OS ™ kombinieren PaloAlto Networks Appliances die Applikationskontrolle App-ID™, die Integration der Benutzeridendität (User-ID), Content Filtering (Content-ID), Networking, IPSec VPN und Managementfunktionen.

Sehen Sie selbst, welche Applikationen Sie mit Palo Alto Networks erkennen und kontrollieren können.

 
Additional Information
 

Palo Alto Networks wins the inaugural Secure Computing Australia Award

Best of Interop 2008: Security Category.