В настоящее время локальные сети являются неотъемлемой частью любой компании, это точно такая же личная территория организации как, скажем, офис или собственная парковка. Разумеется как и всякую территорию локальную сеть нужно охранять, защищая компанию от нежелательных проникновений и краж, и разрешая доступ авторизованным сотрудникам компании.Для обеспечения безопасности локальных сетей используются так называемые межсетевые экраны — firewall’ы. Большенство файрволов используют три определителя чтобы принять решение о пропуске трафика или его блокировке. Этими определителями являются: адрес источника трафика (source), адрес направления трафика (destination) и номер порта (Port). Еще несколько лет назад этими тремя параметрами можно было определить почти любой трафик, но время течет, меняются программы и схемы использования протоколов, хакеры и сотрудники- «любители полазить по интернету» ищут новые решения обхода установленных стандартных правил, системные администраторы наоборот пытаются ограничить поток пакетов в сеть — все это к огромному скачку в вопросах безопасности внутренний сетей. Но вместе с этим получилось так, что стандартные файрволы стали гораздо более уязвимы. Придумано немало методов чтобы обмануть стандартный firewall, например многие приложения стали использовать для передачи данных стандартный http-port, а некоторые файрволы не дешифруют пакеты, а если и дешифруют, то делают это настолько медленно, что не годятся для компаний с большим количеством пользователей. Такие межсетевые экраны безнадежно устарели.
Каким же должен быть firewall нового поколения? На недавно прошедшей конференции по сетевой безопасности этот вопрос довольно подробно обсуждался. Было выделено несколько основных свойств таких файрволов, вот они:
- Firewall должен определять приложения работающие через него а не порты
- Необходима идентификация пользователей, а не IP-адресов
- Сканирование пакетов и предотвращение атак в режиме реального времени
- Большая пропускная способность файрвола (несколько Гбит/c)
- Удобство управления, настройки и мониторинга файрвола и потоков данных в сети
Сегодня я расскажу про межсетевой экран от компании Palo Alto Networks, которая позиционирует его как firewall нового поколения. Данноя статья не является рекламной, в ней я просто попробую описать интересную мне тему и надеюсь, что уже в апреле мне доведется опробовать «девайсы» описанные здесь на практике.
Итак, компания Palo Alto Networks представила серию файрволов, которые от самой младшей модели до самой старшей не меняют своего функционала, а лишь имеют разное количество подключаемых пользователей (общее число подключений и одновременных подключений для младшей модели). Все межсетевые экраны Palo Alto используют три запатентованные компанией технологии: App-ID, User-ID и Content-ID.
Сначала все входящие пакеты проходят фильтр App-ID, использующий 4 механизма для точного определения приложения использующего сеть. После этого политики файрвола применяются к конкретным приложениям.
Вторым шагом на пути к чистому трафику является технология User-ID. Для аутентификации пользователей файрволы Palo Alto возможно интегрировать с такими службами каталогов как MS Active Directory, LDAP, Novell eDirectory и Citrix. При этом информация о пользователях доступна внутри всего функционала firewall’a.
Наконец финальным этапом проверки является механизм Content-ID. Именно на этой стадии происходит сигнатурный анализ трафика, с помощью которого можно предотвратить проникновение вредоносного кода в локальную сеть. На этом же этапе работают URL-фильтр и анализ передаваемых данных, необходимые для контроля веб-серфинга и предотвращения утечки конфиденциальной информации.
Благодаря архитектурным особенностям реализации, пропускная способность межсетевого экрана достигает нескольких Гбит/с , а выделение для передачи данных отдельной шины позволяет легко и быстро управлять файрволом вне зависимости от его нагрузки.
Все вышеперечисленные особенности межсетевых экранов Palo Alto звучат довольно интригующе. И хоть знающие люди и говорят что некоторые схожие технологии уже давно присутствовали в оборудовании Cisco, это ничуть не уменьшает желания попробовать и испытать новый девайс.