Next Generation Firewalls

Historia, Aproximaciones, Visión

Luis Lopez <lulops@gmail.com>

13 de Agosto 2012

CONFIDENCIAL

NGFW. Una Aproximación Histórica Embrion 1st Gen 2nd Gen 3rd Gen Next Gen

CheckPoint

< 1993 1993 1994 1995 1998 1999 2000 2002 2003 2004 2005 2006 2008

Network Translation (Cisco)Stateless FW

Cisco ACLIpfilter*BSDTISFirst app proxies

Cisco PIX1995

Stateful Inspection

1998 Netscreen

FW and IPS integration

OneSecure Acq. 2002

2003 Netscreen w/ basic ips

Juniper IDP2004

1999 Tippingpoint

2000 Intruvert2003 McAfee

3com 2005 (HP 2010)

2005 Cisco ASA

2000 Fortinet

UTM concept

2005Palo Alto Networks(PA-4000 PANOS 2.0 en 2008)

Check Point on Nokia1998

Check Point 2006Acq. NFR Security

2008Palo Alto Networks NGFW

1999 Check Pointon Xbeam

Specific Hardware (FW ASIC-based)

NGFW

CONFIDENCIAL

Definiciones• UTM

– “Es una plataforma convergente de varios productos de seguridad, particularmente orientada a pequeña y mediana empresa (SMBs). Conjunto de funcionalidades típicas formadas por tres subconjuntos, dentro del UTM: firewall/intrusion prevention system (IPS)/virtual private network, secure Web gateway security (URL filtering, Web antivirus [AV]) y messaging security (anti-spam, mail AV).”

• NGFW– Los Next-generation firewalls (NGFWs) que están surgiendo pueden

detectar ataques específicos de aplicación y forzar a la aplicación a cumplir una política de seguridad granular específica, tanto de salida como de entrada.

Los NGFWs serán más efectivos cuando trabajan en conjunción con otras capas de controles de seguridad.

Source: Gartner

CONFIDENCIAL

Gartner MQ FW 2011

• Magic Cuadrant for Enterprise Network Firewall leader

CONFIDENCIAL

¿Como funciona un UTM o FW tradicional?

• Flujo de un paquete en un FW 2nd Gen

ServicesBaseboard

PhysicalInterface

to theSwitch

Backplane

IBMNP3

IBMNP1

IBMNP2

PCComplex

ControlProcessor

L7 Inspection

GMAC

GMAC

Source: Cisco Systems

CONFIDENCIAL

¿Como funciona un UTM o FW tradicional?

• Flujo de un paquete en un sistema UTM

Source: Palo Alto NetworksCONFIDENCIAL

¿Como funciona un UTM o FW tradicional?

Source: Cisco Systems

CONFIDENCIAL

¿Cómo funciona Palo Alto?

• 80 Gbps switch fabric interconnect

• 20 Gbps QoS engine

Signature Match HW Engine• Stream-based uniform sig.

match• Vulnerability exploits (IPS),

virus, spyware, CC#, SSN, and more

Security Processors• High density parallel

processing for flexible security functionality

• Hardware-acceleration for standardized complex functions (SSL, IPSec, decompression)

20Gbps

Network Processor• 20 Gbps front-end network

processing• Hardware accelerated per-

packet route lookup, MAC lookup and NAT

10Gbps

Data PlaneSwitch Fabric

10Gbps

... ......

QoS

Flow control

Route, ARP, MAC lookup

NATSwitchFabric

Signature Match

Signature Match

SSL IPSec De-Compress. SSL IPSec De-

Compress.SSL IPSec De-Compress.

CPU12

CPU1

CPU2

CPU12

CPU1

CPU2

CPU12

CPU1

CPU2

RAM

RAM

RAM

RAM

RAM

RAM

RAM

RAM

RAM

RAM

RAM

RAM

RAM

RAM

• Quad-core mgmt• High speed logging

and route update• Dual hard drives

Control Plane

Core 1RAM

RAM

SSD

SSD

Core 2

Core 3 Core 4

Source: Palo Alto Networks

CONFIDENCIAL

¿Cómo funciona Palo Alto?

Flow control

Route, ARP, MAC lookup

NAT

Signature Match

RAM

RAM

RAM

RAM

...

SSL IPSec De-Compress.

CPU12

CPU1

CPU2

RAM

RAM

Signature Match

RAM

RAM

RAM

RAM

...

SSL IPSec De-Compress.

CPU12

CPU1

CPU2

RAM

RAM

...

SSL IPSec De-Compress.

CPU12

CPU1

CPU2

RAM

RAM

SwitchFabric

QoSRJ45 x 12

SFP x 4

SFP+ x 4

FPGAFastPath

SwitchFabric

DP0

DP1

DP2

Signature MatchHW Engines

PA-5060 OnlySource: Palo Alto Networks

CONFIDENCIAL

Arquitectura Single-Pass Parallel Processing (SP3)

Single PassProcesamiento una vez por

paquete- App-ID

- User/group mapping

- Content scanning – threats, URLs, información confidencial

Parallel ProcessingMotores hardware

dedicados para cada función

Data/Control planes separados

Hasta 20Gbps, Baja LatenciaSource: Palo Alto Networks

CONFIDENCIAL

Ventajas de Palo Alto

• Principal ventaja de PA, Estrategia: Vision + Diseño• La integración del motor de reconocimiento de

aplicaciones con el core de FW.• Esto NO ES PROPIO DE LOS SISTEMAS FW. Es propio de

otros sistemas tipo IPS o DPI shapers.• Pocos tuvieron esta visión [OneSecure, Intruvert] y

solo Palo Alto fue capaz de dotarlo de firmas de aplicaciones “positivas” creando un producto totalmente revolucionario.

• SP3

CONFIDENCIAL

Ventajas de Palo Alto

App-IDIdentificar la aplicación

User-IDIdentificar el usuario

Content-IDAnalizar el contenido

Source: Palo Alto Networks

CONFIDENCIAL

¿Cómo ha reaccionado la competencia?

• El año que viene tendremos uno…• Adecuación de sus IPS para Apps• R&D (Cisco CX)• Añadiendo CPU baratas e “integrando”

adquisiciones. Ejemplo Check Point. No tiene integración real: Chassis ATCA, CPU de propósito General en integración en “blades” de sus adquiciones IPS (NFR, Liquid). Permanece como líder por su Base instalada.

• No funciona…

CONFIDENCIAL

¿Cuál es la realidad?

• Números maquillados: El performance anunciado de FW stateful, no incluye motores de reconocimiento de apps

• No activado por defecto• No se re-diseñan las plataformas, se adaptan IPS con

firmas “blancas”• SOLUCIÓN REAL: Rediseño completo del FW hacia

sistemas más cercanos a DPI en su ADN• GRAN PROBLEMA: Ruptura con herencia (problemas

de continuidad) e inversiones en R&D

CONFIDENCIAL

El reto no es llegar, es Mantenerse

• Palo Alto y sus NGFWs se enfrentan a toda la industria de seguridad:– Sistemas DPI (Packet Shapers) (content vía ICAP)– IPS evolucionados– Fabricantes de firewalls que van a NG

– Evolución de sistemas de ADC– Proxies App tradicionales con URL filtering (content vía ICAP)

• Ataques de todos ellos: Síndrome del advenedizo• Adquisiciones por “dinosaurios”

CONFIDENCIAL

Futuro a tres años

• 2011, gran año PAN• Quedan al menos dos años para que la

competencia consiga algo parecido• Caso iPhone

20092010

2011

2012CONFIDENCIAL

Futuro a tres años

• En torno a 2013/2014 podrían aparecer nuevas máquinas con ratios de performance y eficacia “NG”

• Para entonces PA tendrá su posicionamiento asegurado y habrá evolucionado tras el conocimiento pionero de la plataforma NG ….

…como el iPhone ;-)

CONFIDENCIAL

Coge la línea directa NGFW!!!

Check Point

Network Translation (Cisco)

Cisco PIX

Netscreen

OneSecure

Netscreenw/ ips

Juniper IDP

Tippingpoint

Intruvert

McAfee

3com / HP

Cisco ASA

Fortinet

Palo Alto Networks

Check PointOn Nokia

Check PointOn Crossbeam

Check Point - NFR Security

NGFW

NGFW

CONFIDENCIAL

¿Preguntas?

Muchas Gracias

Luis Lopez E: lulops@gmail.com M: +34