Palo Alto (ngfw + wild fire)
-
Upload
- -
Category
Technology
-
view
725 -
download
0
Transcript of Palo Alto (ngfw + wild fire)
Платформа Palo Alto Networks для защиты корпоративной сети от
современных кибер-угроз
Evgeny Kutumin [email protected]
Pre-sale engineer
О компании Palo Alto Networks
• PaloAltoNetworks–этоEnterpriseSecurityCompany
• Командамировогоклассасбогатейшимопытомвобластибезопасностиисетевыхтехнологий- Основанав2005году,первыйзаказчик–июль2007года,вРоссиис2010года
• Специализациянамежсетевыхэкранахновогопоколения,способныхраспознаватьиконтролировать2000+приложениями
- Межсетевойэкран–ключевойэлементинфраструктурысетевойбезопасности
- Используетинновационныетехнологии:App-ID™,User-ID™,Content-ID™,WildFire™,Traps™
• 30000+корпоративныхзаказчиковв100+странахмира,100+изкоторыхвнедрилирешениестоимостьюболее$1000000
Palo Alto Networks Next-Generation Threat Cloud
Palo Alto Networks Next-Generation Endpoint
Palo Alto Networks Next-Generation Firewall
Next-Generation Firewall § Инспекция трафика § Контроль приложений и пользователей
§ Защита от угроз 0-ого дня § Блокировка угроз и вирусов на уровне сети
Next-Generation Threat Cloud § Анализ подозрительных файлов в облаке
§ Распространение сигнатур безопасности на МЭ
Next-Generation Endpoint § Инспекция процессов и файлов § Защиты от известных и неизвестных угроз § Защиты стационарных, виртуальных и мобильных пользователей
§ Интеграция с облачной защитой от угроз
Next-Generation Security Platform
4 | ©2014, Palo Alto Networks. Confidential and Proprietary.
Межсетевой экран нового поколения Palo Alto Networks
Инновационные технологии Palo Alto Networks
• App-ID™• Идентификация• приложений
User-ID™• Идентификация• пользователей
• Content-ID™• Контрольданных
• +SSLdecrypBon
Основные преимущества МЭ Palo Alto Networks 1)Идентификацияприложенийнезависимоотпортов,протоколов,использованиятехниктуннелировананияилишифрованияSSL;
2)ИдентификацияпользователейнезависимоотIPадресов,местонахожденияилииспользуемогоустройства;
3)Защитаотизвестныхинеизвестныхугрозивирусов,URLфильтрация+инспекциявходящих/исходящихSSLсоединений;
4)Высокаяпроизводительностьзасчетиспользованияспециализированныхпроцессоров+применениеархитектурыоднопроходнойобработки.(FPGA:ПЛИС(ПрограммируемаяЛогическаяИнтегральнаяСхема))
© 2011 Palo Alto Networks. Proprietary and Confidential.
Архитектура PA-5000
• 80Gbpsswitchfabricinterconnect
• 20GbpsQoSengine
SignatureMatchHWEngine• Stream-baseduniformsig.match• Vulnerabilityexploits(IPS),virus,spyware,CC#,SSN,andmore
SecurityProcessors• Highdensityparallelprocessingforflexiblesecurityfunc�onality
• Hardware-accelera�onforstandardizedcomplexfunc�ons(SSL,IPSec,decompression)
• Highlyavailablemgmt• Highspeedloggingandrouteupdate
• Dualharddrives
20Gbps
NetworkProcessor• 20Gbpsfront-endnetworkprocessing
• Hardwareacceleratedper-packetroutelookup,MAClookupandNAT
10Gbps
ControlPlane
DataPlaneSwitchFabric
10Gbps
... ... ...
QoS
Flowcontrol
Route,ARP,MAClookup
NATSwitchFabric
SignatureMatch
SignatureMatch
SSL IPSec De-Compress. SSL IPSec De-
Compress.SSL IPSec De-Compress.
Quad-coreCPU CPU
12CPU1
CPU2
CPU12
CPU1
CPU2
CPU12
CPU1
CPU2
RAM
RAM
HDD
HDD
RAM
RAM
RAM
RAM
RAM
RAM
RAM
RAM
RAM
RAM
RAM
RAM
RAM
RAM
• 40+processors• 30+GBofRAM• Разделенныеплатыуправленияи
передачиданных(ManagementPlane/DataPlane)
• 20Gbpsfirewallthroughput• 10Gbpsthreatpreven�onthroughput• 4Millionconcurrentsessions
Page 7 |
8 | ©2014, Palo Alto Networks. Confidential and Proprietary.
Семейство платформ межсетевых экранов Palo Alto Networks
Семейство платформ Palo Alto Networks
PA-500250Мбит/сFW/100Мбит/с
предотвращениеатак/64,000сессий
8coppergigabit
PA-505010Гбит/сFW/5Гбит/спредотвращение
атак/2,000,000сессий4SFP+(10Gig),8SFP(1Gig),12RJ-45
gigabit
PA-50205Гбит/сFW/2Гбит/спредотвращение
атак/1,000,000сессий8SFP,12RJ-45gigabit
PA-506020Гбит/сFW/10Гбит/спредотвращение
атак/4,000,000сессий4SFP+(10Gig),8SFP(1Gig),12RJ-45
gigabit
PA-200100Мбит/сFW/50Мбит/с
предотвращениеатак/64,000сессий
4coppergigabit
4GbpsFW2Gbpsthreatpreven�on500,000sessions12coppergigabit8SFPinterfaces
PA-30502GbpsFW1Gbpsthreatpreven�on250,000sessions12coppergigabit8SFPinterfaces
PA-3020до1GbpsFWдо600Mbpsthreatpreven�onдо250,000sessionsГостеваямашинаилив
режимегипервизора
VMSeries(VMware/CitrixSDX)
PA-7050 - самый производительный в мире NGFW !!
PA-7050NPC PA-7050System
FWGbps 20 120
ThreatPrev.Gbps 10+ 60+
Встроеннаясистемалогирования
4x1TBHDD=2TBRAID1
020406080
100120140
1 2 3 4 5 6
Gbp
s
App-ID
TP
10 | ©2014, Palo Alto Networks. Confidential and Proprietary.
• Лицензирование и техническая поддержка на шасси
• Линейное масштабирование производительности
• Снижение стоимости за защищенный Гбит
11 | ©2014, Palo Alto Networks. Confidential and Proprietary.
Основной функционал операционной системы
Основной функционал операционной системы
§ Network § Динамическая маршрутизация (BGP, OSPF, RIPv2) § Режим мониторинга – подключение к § SPAN-порту § Прозрачный (L1) / L2 / L3 режимы § Маршрутизация по политикам (PBF) § IPv6
§ VPN § Site-to-site IPSec VPN § SSL VPN (GlobalProtect)
§ Функционал QoS § Приоритезация, обеспечение максимальной/гарантированной полосы § Возможна привязка к пользователям, приложениям, интерфейсам, зонам и т.д.
§ Мониторинг полосы в режиме реального времени
§ Зоновый подход § Все интерфейсы включаются в зоны безопасности для упрощения настройки политик
§ Отказоустойчивость § Active/active, active/passive § Синхронизация конфигурации § Синхронизация сессий (кроме РА-200, VM-series) § Path, link и HA мониторинг
§ Виртуальные системы § Настройка нескольких межсетевых экранов в одном устройстве (серии PA- 5000, PA-3000 и PA-2000)
§ Простое и гибкое управление § CLI, Web, Panorama, SNMP, Syslog, NetFlow, интеграция с SIEM/SIM
Идентификацияиконтрольприложений,пользователейиконтентадополняютсяследующимфункционалом
Page 13 |
Кластеризация active/passive, active/active
HA1
HA3
HA2
HA1
HA2
Acmve/Passive Acmve/Acmve
Ac�ve Passive Ac�ve Ac�ve
HA1–синхронизацияcontrolplane(configura�on,heartbeats)HA2–синхронизацияdataplane(sessionstate,ARPcach,fib)HA3–forwardinglink(толькодлякластераac�ve/ac�ve)
14 | ©2014, Palo Alto Networks. Confidential and Proprietary.
Управление МЭ Palo Alto Networks
Средства управления, отчетности и интеграции
WebGUI,SSH,XMLAPIЦентрализованноеуправление–ПО
Panorama+М-100
Системавстроеннойотчетности
ОтправкалоговпоSyslog,SNMPИнтеграциясПОоркестрации
ИнтеграциясSEIM/SIM(пр.HPArcSight,SymantecSIM,SPLUNK)
Централизованное управление с использованием ПО Panorama
• Централизованноелогированиеиотчетность
• Централизованноеобновление
• Централизованнаянастройка
• Ролевоеадминистрирование
So�ware Content
Clients
---------------
Рекомендации по применению Panorama
Panorama VM < 10 devices < 10,000 logs/sec
Panorama M-100 < 100 devices < 10,000 logs/sec
Panorama Distributed Architecture < 1,000 devices
> 10,000 logs/sec (50,000 per collector)
Page 17 |
18 | ©2014, Palo Alto Networks. Confidential and Proprietary.
Дизайн сетей на базе продуктов Palo Alto Networks
Этапы внедрения в сети Мониторинг ПрозрачныйIn-Line РежимL2/L3
- Мониторингбезвмешательствавработусети(режимIDS)
- Функциизащитыотугроз
- FW+IPS+AV+AnmSpy+URLфильтрации+SSL
- Эшелонированнаязащита/заменатекущегоFW
- Firewall+IPS+AV+URLфильтрация+SSL-дешифрация
Пример внедрения Palo Alto Networks
20 | ©2014, Palo Alto Networks. Confidential and Proprietary.
21 | ©2014, Palo Alto Networks. Confidential and Proprietary.
Построение виртуальных частных сетей -
сервис Global Protect VPN
Функционал GlobalProtect • Пользователиникогданеработают“off-network”независимоотихместоположения
• Межсетевыеэкраныобразуют«облако»сетевойбезопасности
• Подключениемобильныхпользователей:- WindowsXP/Vista/7/8;
- MACOS;
- IOSиAndroidустройства.
• Сканированиеподключаемыхустройствнасоответствиеполитикамбезопасности
• ПостроениераспределенныхсетейVPN(IPSecиSSL)
PortalGateway Gateway
23 | ©2014, Palo Alto Networks. Confidential and Proprietary.
WildFire – облачный сервис обнаружения вредоносного ПО
«нулевого дня» (APT)
Palo Alto Networks Next-Generation Threat Cloud
Palo Alto Networks Next-Generation Endpoint
Palo Alto Networks Next-Generation Firewall
Next-Generation Firewall § Инспекция трафика § Контроль приложений и пользователей
§ Защита от угроз 0-ого дня § Блокировка угроз и вирусов на уровне сети
Wildfire § Анализ подозрительных файлов в облаке
§ Распространение сигнатур безопасности на МЭ
Next-Generation Endpoint § Инспекция процессов и файлов § Защиты от известных и неизвестных угроз § Защиты стационарных, виртуальных и мобильных пользователей
§ Интеграция с облачной защитой от угроз
Next-Generation Security Platform
Взломы происходят постоянно
h|p://www.informamonisbeaumful.net/visualizamons/worlds-biggest-data-breaches-hacks/
ЧТО ТАКОЕ APT НА ПРИМЕРЕ КОМПАНИИ ANUNAK
Элементы атаки
Spear phising
рассылка с вредоносными вложениями от лица ЦБ РФ
Использование существующих ботнетов для распространения нового кода
Инфицирование через drive-by-
download: Andromeda и Pony трояны через Neutrino
Exploit Kit
Доступ к банкоматам из
специализированных сегментов, которые должны быть
изолированными, и инфицирование ОС
Снятие денег из банкоматов и через Интернет-кошельки, напр. Yandex Money
Подтверждено, что было
захвачено 52 банкомата. Кража более 1 млрд.
рублей.
Украденоболее1млрд.рублей($17млн.)с2013г.избанковвРоссиииЕвропе
h�p://securityaffairs.co/wordpress/31405/cyber-crime/apt-anunak-steals-millions-from-banks.htmlh�p://www.group-ib.com/files/Anunak_APT_against_financial_ins�tu�ons.pdf
Anunak – письмо с вредоносным вложением
Вредоносы, использующие MACRO
DRIDEX
Dridex банковксий тройян из семейства вирусов GameOver Zeus. Функционал очень похож на вирус из того же семейства –Cridex: ворует логины/пароли, любую ценную финансовую информацию пользователей
UPATRE/DYRE
Upatre – имя «дропера» (доставщика вируса), обычно доставляется в виде макроса, встроенного в офисный документ, который потом скачивает вирус Dyre (Dyreza): банковксий тройян из семейства вирусов GameOver Zeus. В дополнение к уже известным функциям, использует Microsoft Outlook, чтобы переслать самого себя внутри организации
Вредононы, использующие MACRO
Координированное предотвращение угроз
App-ID
URL
IPS
ThreatLicen
se
Spyware
AV
Files
WildFire
Block !high-risk apps!
Block !known malware sites!
Block !the exploit!
Prevent drive-by-downloads!
Detect unknown malware!
Block malware!
Block spyware, C&C traffic!
Block C&C on non-standard ports!
Block malware, fast-flux domains!
Block new C&C traffic!
Координи-рованное интеллек-туальное блокирование активных атак по сигнатурам, источникам, поведению
Приманка ЭксплоитЗагрузкаПОдля«черногохода»
Установлениеобратногоканала
Разведкаикражаданных
АрхитектураWildfire
Internet
Исполняемыефайлы(*.exe,*.dll,*.bat,*.sys,ит.д.)
Частное облако Wildfire (WF-500)
§ Частное облако доступно в виде сервера WF-500
§ Принцип работы МЭ Palo Alto Networks + WF-500: § МЭ Palo Alto Networks отсылают файлы
для сканирование на WF-500 § Все файлы сканируются локально на
WF-500 § Идентификация новых угроз
аналогично облачному сервису Wildfire § Опциональная возможность отсылки
подтвержденного вируса в облако Wildfire для генерации сигнатуры безопасности
WildFire Cloud
All unknown files
Confirmed Malware (optional)
Signatures
Customer Firewalls
Local Customer Network
Лицензирование МЭ Palo Alto Networks
Palo Alto Networks Next-Generation Threat Cloud
Palo Alto Networks Next-Generation Endpoint
Palo Alto Networks Next-Generation Firewall
Next-Generation Firewall § Инспекция трафика § Контроль приложений и пользователей
§ Защита от угроз 0-ого дня § Блокировка угроз и вирусов на уровне сети
Next-Generation Threat Cloud § Анализ подозрительных файлов в облаке
§ Распространение сигнатур безопасности на МЭ
Next-Generation Endpoint § Инспекция процессов и файлов § Защиты от известных и неизвестных угроз § Защиты стационарных, виртуальных и мобильных пользователей
§ Интеграция с облачной защитой от угроз
Next-Generation Security Platform
Независимые исследования и рекомендации
РешенияPaloAltoNetworksпротестированыкакNGFWиIPSирекомендованыBroadbandTesmng
2015MagicQuadrantforEnterpriseNetworkFirewalls
C2009года«провидец»,с2011годалидеррынкаМЭкорпоративногокласса