que es un ngfw - palo alto - luislo es1
DESCRIPTION
TRANSCRIPT
Next Generation Firewalls
Historia, Aproximaciones, Visión
Luis Lopez <[email protected]>
13 de Agosto 2012
CONFIDENCIAL
NGFW. Una Aproximación Histórica Embrion 1st Gen 2nd Gen 3rd Gen Next Gen
CheckPoint
< 1993 1993 1994 1995 1998 1999 2000 2002 2003 2004 2005 2006 2008
Network Translation (Cisco)Stateless FW
Cisco ACLIpfilter*BSDTISFirst app proxies
Cisco PIX1995
Stateful Inspection
1998 Netscreen
FW and IPS integration
OneSecure Acq. 2002
2003 Netscreen w/ basic ips
Juniper IDP2004
1999 Tippingpoint
2000 Intruvert2003 McAfee
3com 2005 (HP 2010)
2005 Cisco ASA
2000 Fortinet
UTM concept
2005Palo Alto Networks(PA-4000 PANOS 2.0 en 2008)
Check Point on Nokia1998
Check Point 2006Acq. NFR Security
2008Palo Alto Networks NGFW
1999 Check Pointon Xbeam
Specific Hardware (FW ASIC-based)
NGFW
CONFIDENCIAL
Definiciones• UTM
– “Es una plataforma convergente de varios productos de seguridad, particularmente orientada a pequeña y mediana empresa (SMBs). Conjunto de funcionalidades típicas formadas por tres subconjuntos, dentro del UTM: firewall/intrusion prevention system (IPS)/virtual private network, secure Web gateway security (URL filtering, Web antivirus [AV]) y messaging security (anti-spam, mail AV).”
• NGFW– Los Next-generation firewalls (NGFWs) que están surgiendo pueden
detectar ataques específicos de aplicación y forzar a la aplicación a cumplir una política de seguridad granular específica, tanto de salida como de entrada.
Los NGFWs serán más efectivos cuando trabajan en conjunción con otras capas de controles de seguridad.
Source: Gartner
CONFIDENCIAL
Gartner MQ FW 2011
• Magic Cuadrant for Enterprise Network Firewall leader
CONFIDENCIAL
¿Como funciona un UTM o FW tradicional?
• Flujo de un paquete en un FW 2nd Gen
ServicesBaseboard
PhysicalInterface
to theSwitch
Backplane
IBMNP3
IBMNP1
IBMNP2
PCComplex
ControlProcessor
L7 Inspection
GMAC
GMAC
Source: Cisco Systems
CONFIDENCIAL
¿Como funciona un UTM o FW tradicional?
• Flujo de un paquete en un sistema UTM
Source: Palo Alto NetworksCONFIDENCIAL
¿Como funciona un UTM o FW tradicional?
Source: Cisco Systems
CONFIDENCIAL
¿Cómo funciona Palo Alto?
• 80 Gbps switch fabric interconnect
• 20 Gbps QoS engine
Signature Match HW Engine• Stream-based uniform sig.
match• Vulnerability exploits (IPS),
virus, spyware, CC#, SSN, and more
Security Processors• High density parallel
processing for flexible security functionality
• Hardware-acceleration for standardized complex functions (SSL, IPSec, decompression)
20Gbps
Network Processor• 20 Gbps front-end network
processing• Hardware accelerated per-
packet route lookup, MAC lookup and NAT
10Gbps
Data PlaneSwitch Fabric
10Gbps
... ......
QoS
Flow control
Route, ARP, MAC lookup
NATSwitchFabric
Signature Match
Signature Match
SSL IPSec De-Compress. SSL IPSec De-
Compress.SSL IPSec De-Compress.
CPU12
CPU1
CPU2
CPU12
CPU1
CPU2
CPU12
CPU1
CPU2
RAM
RAM
RAM
RAM
RAM
RAM
RAM
RAM
RAM
RAM
RAM
RAM
RAM
RAM
• Quad-core mgmt• High speed logging
and route update• Dual hard drives
Control Plane
Core 1RAM
RAM
SSD
SSD
Core 2
Core 3 Core 4
Source: Palo Alto Networks
CONFIDENCIAL
¿Cómo funciona Palo Alto?
Flow control
Route, ARP, MAC lookup
NAT
Signature Match
RAM
RAM
RAM
RAM
...
SSL IPSec De-Compress.
CPU12
CPU1
CPU2
RAM
RAM
Signature Match
RAM
RAM
RAM
RAM
...
SSL IPSec De-Compress.
CPU12
CPU1
CPU2
RAM
RAM
...
SSL IPSec De-Compress.
CPU12
CPU1
CPU2
RAM
RAM
SwitchFabric
QoSRJ45 x 12
SFP x 4
SFP+ x 4
FPGAFastPath
SwitchFabric
DP0
DP1
DP2
Signature MatchHW Engines
PA-5060 OnlySource: Palo Alto Networks
CONFIDENCIAL
Arquitectura Single-Pass Parallel Processing (SP3)
Single PassProcesamiento una vez por
paquete- App-ID
- User/group mapping
- Content scanning – threats, URLs, información confidencial
Parallel ProcessingMotores hardware
dedicados para cada función
Data/Control planes separados
Hasta 20Gbps, Baja LatenciaSource: Palo Alto Networks
CONFIDENCIAL
Ventajas de Palo Alto
• Principal ventaja de PA, Estrategia: Vision + Diseño• La integración del motor de reconocimiento de
aplicaciones con el core de FW.• Esto NO ES PROPIO DE LOS SISTEMAS FW. Es propio de
otros sistemas tipo IPS o DPI shapers.• Pocos tuvieron esta visión [OneSecure, Intruvert] y
solo Palo Alto fue capaz de dotarlo de firmas de aplicaciones “positivas” creando un producto totalmente revolucionario.
• SP3
CONFIDENCIAL
Ventajas de Palo Alto
App-IDIdentificar la aplicación
User-IDIdentificar el usuario
Content-IDAnalizar el contenido
Source: Palo Alto Networks
CONFIDENCIAL
¿Cómo ha reaccionado la competencia?
• El año que viene tendremos uno…• Adecuación de sus IPS para Apps• R&D (Cisco CX)• Añadiendo CPU baratas e “integrando”
adquisiciones. Ejemplo Check Point. No tiene integración real: Chassis ATCA, CPU de propósito General en integración en “blades” de sus adquiciones IPS (NFR, Liquid). Permanece como líder por su Base instalada.
• No funciona…
CONFIDENCIAL
¿Cuál es la realidad?
• Números maquillados: El performance anunciado de FW stateful, no incluye motores de reconocimiento de apps
• No activado por defecto• No se re-diseñan las plataformas, se adaptan IPS con
firmas “blancas”• SOLUCIÓN REAL: Rediseño completo del FW hacia
sistemas más cercanos a DPI en su ADN• GRAN PROBLEMA: Ruptura con herencia (problemas
de continuidad) e inversiones en R&D
CONFIDENCIAL
El reto no es llegar, es Mantenerse
• Palo Alto y sus NGFWs se enfrentan a toda la industria de seguridad:– Sistemas DPI (Packet Shapers) (content vía ICAP)– IPS evolucionados– Fabricantes de firewalls que van a NG
– Evolución de sistemas de ADC– Proxies App tradicionales con URL filtering (content vía ICAP)
• Ataques de todos ellos: Síndrome del advenedizo• Adquisiciones por “dinosaurios”
CONFIDENCIAL
Futuro a tres años
• 2011, gran año PAN• Quedan al menos dos años para que la
competencia consiga algo parecido• Caso iPhone
20092010
2011
2012CONFIDENCIAL
Futuro a tres años
• En torno a 2013/2014 podrían aparecer nuevas máquinas con ratios de performance y eficacia “NG”
• Para entonces PA tendrá su posicionamiento asegurado y habrá evolucionado tras el conocimiento pionero de la plataforma NG ….
…como el iPhone ;-)
CONFIDENCIAL
Coge la línea directa NGFW!!!
Check Point
Network Translation (Cisco)
Cisco PIX
Netscreen
OneSecure
Netscreenw/ ips
Juniper IDP
Tippingpoint
Intruvert
McAfee
3com / HP
Cisco ASA
Fortinet
Palo Alto Networks
Check PointOn Nokia
Check PointOn Crossbeam
Check Point - NFR Security
NGFW
NGFW
CONFIDENCIAL
¿Preguntas?