Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.


26.11.2019

Baza cyberzagrożeń otwarta

Kaspersky Threat Intelligence Portal
26.11.2019

Kopia zapasowa w chmurze

Veeam Backup dla Office’a i Azure
26.11.2019

Automatyzacja jako usługa

QNAP Qmiix
25.11.2019

Jeszcze szybciej

Trzeci generacja Ryzen Threadripper
25.11.2019

Wirtualizacja na...

QNAP QGD-1600P
25.11.2019

Laserowy projektor

Optoma UHZ65UST
25.10.2019

Skalowalna infrastruktura

Red Hat OpenStack Platform 15
25.10.2019

Cienki klient 2.0

Windows Virtual Desktop
25.10.2019

Nowy sprzęt Microsoftu

Rodzina Surface się powiększa

Palo Alto Networks PA-850

Data publikacji: 25-11-2019 Autor: Marcin Jurczyk
Nie mogło zabraknąć analizy w...

Jednym z podstawowych zabezpieczeń na poziomie sieci jest odpowiednia zapora ogniowa. Współczesne rozwiązania NGFW nadają się do ochrony zarówno środowisk on-premise, jak i zasobów w chmurze obliczeniowej. Sprawdzamy ofertę Palo Alto Networks.

 

Palo Alto Networks to producent rozwiązań security będący na rynku od 12 lat. Jest to relatywnie niewielki staż, biorąc pod uwagę chociażby obecność na rynku największych konkurentów. Nie znaczy to jednak, że rozwiązania tego producenta są niedojrzałe – jest wręcz odwrotnie. Za powstaniem firmy stoją ludzie z dużym doświadczeniem w branży, pracujący wcześniej dla liderów segmentu security, co w krótkim czasie zaowocowało silną pozycją rynkową, z pierwszym miejscem w rankingu Gartnera włącznie. Aż 65 tysięcy klientów z ponad 150 krajów oraz dochód na poziomie 3 mld dolarów to liczby potwierdzające pozycję firmy z siedzibą w Santa Clara. Firewall Palo Alto Networks gościł już na naszym redakcyjnym stole, ale było to ponad siedem lat temu, więc chyba nastał właściwy moment, aby przypomnieć sobie, co oferuje amerykański producent. O tym, że siedem lat to szmat czasu, świadczy chociażby wersja systemu operacyjnego – obecnie dostępna jest 9. generacja platformy systemowej, co w porównaniu z testowaną przed laty wersją 4.1 wydaje się skokiem milowym.

> ARCHITEKTURA I WYDAJNOŚĆ

PA-850 to zapora NGFW pozycjonowana dla ochrony zdalnych biur i średnich przedsiębiorstw. Wygląda na to, że jest to bezpośredni następca modelu PA-500, który został wycofany ze sprzedaży w 2018 r., a który to testowaliśmy siedem lat temu. Na serię 800 składają się dwa modele – PA-820 oraz PA-850. Poniżej serii 800 znajduje się tylko najmniejszy model w kompaktowej obudowie, występujący w wersji standardowej (PA-220) i przeznaczonej do środowisk przemysłowych (PA-220R).

W stosunku do poprzedniej generacji wielokrotnie wzrosła wydajność zapory. W trybie firewalla kategoryzującego ruch oczywiście na podstawie aplikacji przepustowość PA-850 wynosi 2/2 Gbps, a dla PA-500 wartość ta wynosiła tylko 250 Mbps. Wydajność w trybie Threat Prevention, a więc z dołączonymi funkcjami IPS, antivirus, anti-malware i WildFire, spada do 780/1000 Mbps. Z kolei tunele IPSec są w stanie przenosić dane z wydajnością 500 Mbps. Wydaje się, że taki zakres wyników wydajnościowych idealnie wkomponowuje PA-850 w potrzeby większości firm z polskiego sektora MŚP. Idąc dalej – zapora jest w stanie obsłużyć do 192 tys. równoległych sesji oraz 13 tys. nowych sesji na sekundę. Dodatkowo możliwe jest skonfigurowanie do 2 tys. tuneli IPSec VPN. W ramach jednego urządzenia można stworzyć do 5 wirtualnych routerów, a także 40 stref bezpieczeństwa i 1500 reguł.

Zapora jest wyposażona w cztery interfejsy sieciowe w standardzie 1 GbE RJ45, a także cztery gniazda na wkładki SFP oraz cztery gniazda na SFP+. Możliwe jest zatem uzyskanie maksymalnej liczby ośmiu portów 1 GbE oraz czterech portów 10 GbE. Ponadto dostępny jest interfejs 1 GbE do zarządzania out-of-band, a także para portów tego samego typu na potrzeby zestawienia komunikacji w ramach HA. Dostępne są również dwa porty konsoli (USB i RJ45) oraz port USB. Wszystkie interfejsy znajdują się z przodu urządzenia, do którego energia jest dostarczana za pośrednictwem pary redundantnych zasilaczy (2 x 500 W). PA-850 ma także wbudowany dysk SSD o pojemności 240 GB.

Cechą charakterystyczną dla zapór ogniowych firmy Palo Alto Networks jest separacja data plane i control plane, dzięki czemu zasoby obliczeniowe odpowiadające za filtrowanie i przekazywanie ruchu nie są w żaden sposób obciążane zadaniami związanymi z zarządzaniem platformą i vice versa. Separacja obu sekcji odbywa się na poziomie sprzętowym (odpowiednie rdzenie CPU, pamięć i przestrzeń dyskowa). Kolejna charakterystyczna dla Palo Alto cecha to opatentowana architektura przetwarzania ruchu Single Pass Parallel Processing (SP3). W praktyce każdy przychodzący pakiet danych jest przetwarzany przez wszystkie zaimplementowane przez administratora mechanizmy bezpieczeństwa w jednym przejściu przetwarzania, a operacje sprawdzające są zrównoleglone na poziomie sprzętowym. W przypadku niektórych rozwiązań konkurencji zdarza się, że pakiet musiał zostać przekazany do różnych modułów realizujących odrębne funkcje security, jak chociażby moduł IPS-a czy anti-spyware, co w praktyce wpływa na opóźnienie i wydajność całego rozwiązania.

Firewalle Palo Alto można także konfigurować w parach wysokiej dostępności, w trybie zarówno active-passive, jak i active-active. Na potrzeby testów przekazano nam jeden egzemplarz PA-850, a więc nie udało nam się przetestować scenariusza HA. Testy przeprowadziliśmy na najnowszej wersji oprogramowania systemowego PAN-OS 9.0.4. Urządzenie miało także pełny zestaw licencji, pozwalający na konfigurację wszystkich dostępnych funkcji, o czym w dalszej części.

> BEZPIECZEŃSTWO

Definiowanie zasad filtrowania ruchu w przypadku zapór Palo Alto odbywa się na poziomie definicji stref bezpieczeństwa, a następnie reguł kontroli ruchu wewnątrz strefy lub między nimi. Strefa bezpieczeństwa utożsamiana jest z interfejsem lub grupą interfejsów reprezentujących segment sieci. PA-850, podobnie jak pozostałe rozwiązania pracujące pod kontrolą PAN-OS, definiuje kilka typów interfejsów: Layer 2, Layer 3, Virtual Wire, TAP Mode, Aggregate Interface oraz HA. Domyślna konfiguracja dwóch pierwszych portów zaraz po wyjęciu nowej zapory z pudełka to właśnie tryb Virtual Wire. W praktyce tryb ten pozwala na wpięcie zapory w wybrany segment sieci bez modyfikacji topologii, gdyż para tak skonfigurowanych portów nie ma adresów warstwy 2 oraz 3. Jest to odpowiednik trybu transparentnego dla ruchu znanego z innych rozwiązań. W trybie tym z powodzeniem można filtrować ruch za pomocą reguł budowanych na poziomie aplikacji, bazy użytkowników czy treści. Wspierane są również deszyfrowanie ruchu, konfiguracja urządzeń w trybie HA, ochrona przed atakami typu DoS, inspekcja ruchu w tunelach, a także NAT. Oczywiście praca w tym trybie niesie za sobą też pewne ograniczenia, jak chociażby problem z terminacją usług wymagający adresu IP, w tym implementacja VPN.

Innym ciekawym trybem pracy portu sieciowego jest typ TAP (Terminal Access Point), pozwalający na pasywne monitorowanie ruchu przekierowanego do takiego portu z poziomu przełącznika, którego port skonfigurowano w trybie SPAN. Firewall nie ma możliwości kontroli ruchu na porcie TAP. Zapewnia za to monitoring z uwzględnieniem aplikacji i użytkowników z nich korzystających. Tryby L2 i L3 odpowiadają odpowiednio funkcjonalności przełącznika lub routera. W pierwszym z trybów urządzenie NGFW zachowuje się jak przełącznik z funkcją kontroli ruchu. W trybie L3 mamy do dyspozycji pełny zakres funkcji firewalla w połączeniu z routingiem, translacją adresów i wsparciem dla usług VPN.

Kontrola ruchu w PAN-OS opiera się w praktyce na trzech filarach: User-ID, App-ID oraz Content-ID. User-ID pozwala na śledzenie i kontrolę ruchu na poziomie użytkownika, a nie tylko adresu IP, z którego są wysyłane pakiety. Identyfikacja użytkowników jest realizowana dzięki integracji z różnymi repozytoriami informacji o userach i grupach, w tym z najpopularniejszą usługą Active Directory. Powiązanie ruchu z konkretnym użytkownikiem jest wspierane dla wielu platform klienckich, w tym Microsoft Windows, Apple iOS, Mac OS, Android oraz Linux/Unix. Również tworzenie reguł zapory można zdefiniować na poziomie użytkownika lub grupy użytkowników. Takie podejście pozwala na kontrolę i logowanie informacji o aktywności w sieci danej osoby bez względu na to, z jakiego typu urządzenia korzysta. Definiowanie reguł firewalla można oczywiście dodatkowo oprzeć na harmonogramie, odróżniając, co jest dopuszczalne lub zabronione w godzinach pracy, kiedy użytkownik znajduje się w biurze, a co wolno w pozostałym czasie, kiedy np. korzystanie z zasobów firmowych odbywa się za pośrednictwem sieci VPN. Mapowanie adresu IP z identyfikatorem użytkownika może się odbywać np. poprzez monitorowanie logów dla zdarzeń logowania. W ostateczności można zawsze tak skonfigurować politykę uwierzytelniania, aby przekierować żądanie dostępu do sieci do usługi Captive Portal, w której będzie wymagana autoryzacja.

Kolejnym filarem jest App-ID, a więc kwintesencja działania NGFW. Palo Alto od samego początku istnienia skupia się na budowaniu reguł kontroli ruchu sieciowego w kontekście aplikacji, a nie portów, protokołów czy danych tunelowanych w zaszyfrowanych pakietach. Sygnatury aplikacji w połączeniu z dekodowaniem aplikacji na podstawie payloudu oraz heurystyce pozwalają trafnie zidentyfikować daną aplikację, dzięki czemu tunelowanie ruchu przez najpopularniejsze i najczęściej otwarte porty, jak HTTP czy HTTPS, jest łatwo wykrywalne i podlega filtrowaniu. To administrator na podstawie przyjętej polityki bezpieczeństwa decyduje, czy taki ruch odrzucić, czy przepuścić, przeskanować pod kątem innych zagrożeń, w tym nieautoryzowanego transferu plików, lub ograniczyć pasmo dla danego typu ruchu.

 

[...]

 

Autor jest architektem w międzynarodowej firmie z branży IT. Zajmuje się infrastrukturą sieciowo-serwerową, wirtualizacją infrastruktury i pamięcią masową. 

Artykuł pochodzi z miesięcznika: IT Professional

Pełna treść artykułu jest dostępna w papierowym wydaniu pisma.

.

Transmisje online zapewnia: StreamOnline

All rights reserved © 2019 Presscom / Miesięcznik "IT Professional"