Snaga PAN firewalla
Nir Zuk, osnivač kompanije Palo Alto Networks, je tvorac firewall uređaja o kojima smo pisali u PC#175. Tada smo ove proizvode nazvali novom generacijom firewall‑a, a od tada su prošle tri godine. Vreme je da saznamo šta je Nir Zuk radio u međuvremenu.
Nir Zuk je otpočeo karijeru i rad na firewall zaštiti u izraelskoj armiji, kada je otišao na odsluženje vojnog roka i ušao u elitnu elektronsku obaveštajnu jedinicu Unit 8200. Gil Shwed, koga je tada upoznao, ubrzo je po izlasku iz vojske osnovao Check Point (1993). Tokom rada u izraelskoj vojsci Zuk je osmislio Statefull Inspection tehnologiju, koja će kasnije postati i ostati deo skoro svakog ozbiljnog firewall rešenja, pa ga je Shwed već 1994. „regrutovao“ u redove Check Point‑a, gde je učestvovao u pravljenju njihovog vodećeg proizvoda Firewall‑1. Nažalost, Check Point nije imao razumevanja za rešenja koja je predlagao Nir Zuk i on je 1999. napustio tu firmu i osnovao OneSecure, koji 2002. prodaje Netscreen‑u. Juniper Networks je kupio Netscreen 2004, a Zuk se nadao da će mu bolji uslovi u većoj kompaniji doneti mogućnost da radi na kompletnoj reviziji klasičnih firewall uređaja. Kao i druge velike američke korporacije, Juniper nije imao sluha i više je brinuo o smanjivanju troškova nego o razvoju, tako da ih Zuk napušta početkom 2005. Iste godine je osnovao Palo Alto Networks, firmu koja će iz temelja promeniti svet firewall uređaja.
Zašto običan firewall više nije dovoljan?
Firewall treba da spreči neželjeni saobraćaj, blokira „upade“ u lokalnu mrežu i zaštiti računare u njoj. Sve dok su aplikacije koristile strogo definisane portove i protokole to je i bilo moguće korišćenjem klasičnih firewall uređaja koji blokiraju saobraćaj na određenom portu i/ili protokolu. Ono što se u većini mreža propuštalo kroz firewall uređaje, bio je http (sufrovanje mrežom) odnosno port 80. Tvorci raznih aplikacija, ali i sajberkriminalci, brzo su shvatili da mogu korišćenjem http‑a da „prođu“ moćnu i skupu zaštitu koju pružaju firewall uređaji, tako da će danas skoro sve aplikacije raditi bez problema korišćenjem samo http‑a i porta 80 – Skype, p2p, torrent… šta god. Zaštitna ograda je bila moćna i neprobojna, ali je kapija kod broja 80 bila širom otvorena. Klasični firewall uređaji ponudili su delimično rešenje kroz praćenje saobraćaja i skeniranje uz integraciju sa antimalware rešenjima, ali to nije pomoglo – sbe do firewall uređaja nove generacije koju predvodi Palo Alto Networks (PAN).
Zašto PAN uređaji pružaju bolju zaštitu? Pre svega, oni mogu da „vide“ i kontrolišu većinu poznatih i manje poznatih aplikacija čiji saobraćaj prolazi kroz mrežu – bez obzira na to koji port i protokol koriste ili ako koriste neku od taktika sakrivanja. PAN uređaji mogu čak i da identifikuju kriptovan saobraćaj SSL aplikacija.
Drugi ključni adut jeste identifikacija korisnika. Da, mogu da se integrišu sa AD‑om (Active Directory), kao i mnoga druga rešenja, ali PAN uređaji idu korak dalje – mogu da prate logovanje korisnika, pristup Exchange serveru, proveru ko je prijavljen, ulogovan na radnu stanicu i tome slično. Sve to kako bi sa sigurnošću utvrdili koji korisnik se služi kojim uređajem i aplikacijom.
Treća karakteristika je precizna kontrola sadržaja, koja pruža zaštitu od širokog spektra pretnji, sprečava neautorizovan prenos fajlova/podataka i kontroliše kontraproduktivno Web surfovanje.
Pored toga, PAN uređaji mogu da kontrolišu SSL i SSH (kriptovani) saobraćaj, upravljaju i nepoznatim saobraćajem (koji nije vezan za njima poznatu aplikaciju ili protokol), skeniraju i štite od zlonamernog koda sve aplikacije i sve portove/protokole, pri čemu pružaju lako i centralizovano upravljanje, lako sprovođenje polisa za sve korisnike, preko svih uređaja/lokacija uz visoke performanse.
Za one koji misle da je klasičan firewall OK
Palo Alto Network je nedavno analizirao mrežni saobraćaj u više od 5.500 firmi. Obuhvaćeno je 2.100 aplikacija, preko 50 PB (petabajta) podataka i otkriveno 16.000 jedinstvenih pretnji. Rezultati analize objavljeni su na www.paloaltonetworks.com/autr, a najznačajnija otkrića iz našeg regiona, EMEA, sumiramo ovde.
Analiza u EMEA regionu obuhvatila je 1.500 organizacija, 1.700 aplikacija, 7,6 PB saobraćaja i oko 4.750 pretnji. Ono što je jasno i bez analize jeste to da je upotreba Interneta evoluirala – pored standardnog surfovanja, sada se koriste i razni e‑mail klijenti i sistemi, socijalne mreže, alati za udaljeni pristup, sistemi za razmenu i čuvanje fajlova i podataka, chat, voice i svašta drugo. Deo ovih aplikacija se jednako koristi i u lične i u poslovne svrhe. U Evropi se najviše koriste uobičajene aplikacije za razmenu podataka, kao što su e‑mail, file sharing, IM, socijalne mreže… Neobično je to što je 27% ovih aplikacija upotrebljeno za prenos pretnji, a detektovano je svega 5%! Kada je u pitanju samo deljenje fajlova, primećeno je 165 varijanti aplikacija za file sharing (82 su bili browser‑based sistemi, 49 klijent/server i 34 P2P – Peer to Peer) – u proseku je detektovana približno 21 aplikacija za deljenje fajlova po preduzeću/organizaciji. Da li nam zaista treba toliko aplikacija za istu stvar – deljenje fajlova? Slična priča i podaci važe i za video‑fajlove – 118 varijanti, 26 po firmi.
Mali broj aplikacija nosi sa sobom većinu malware aktivnosti – skoro 99% pretnji dolazi od jedne aplikacije. Top‑10 uobičajenih pretnji u EMEA regionu dospelo je kroz Webdav, ms‑exchange, ftp, pop3, facebook‑base, ms‑ocs/lync, twitter‑base, smtp. Pokušaj iskorišćavanja ranjivosti (explot) ima slično pojavljivanje – u svega 10 aplikacija nalazilo se 97% pokušaja.
Detektovano je da 30% aplikacija koristi SSL – što je visok procenat, a po aplikacijama najviše se koristi kod deljenja fajlova, chat‑a (IM) i kod socijalnih mreža. Problem sa SSL‑om je u tome što klasični sistemi ne omogućavaju njegovu inspekciju, tako da se ne može utvrditi da li nosi zlonameran kod. Dobar primer je TeamViewer, aplikacija koja služi za udaljeni pristup računaru ili udaljenu pomoć, prilično često u upotrebi i kod nas (u Evropi na 75% mreža). Isti protokol i isti način komunikacije koristi i TeamSpy, hakovana verzija TeamViewer‑a. Da li ste sigurni da saobraćaj koji pripisujete TeamViewer‑u zapravo ne potiče od TeamSpy‑a?
WildFire i Cyvera
Palo Alto Networks uređaji, pored nove generacije firewall‑a, donose i nov način borbe protiv naprednih pretnji – WildFire, dinamičnu analizu pretnji koja pruža zaštitu od nepoznatog malware‑a, zero‑day ranjivosti i APT‑ova (Advanced Persistent Threats), a nedavnim preuzimanjem Cyvera proizvoda za zaštitu računara bez korišćenja antivirus definicija, Palo Alto Networks zaokružuje ponudu naprednih sistema za zaštitu na svim tačkama.
Za dodatne informacije, demo‑uređaje i cene, pozovite Net++ technology, 011/36‑999‑67.
Vladimir Vučinić
(Objavljeno u časopisu PC#212)