Palo Alto Networks - Just another Firewall

Palo Alto Networks Just another Firewall?

Matthias J. Canisius

Regional Manager DACH

[email protected]

Evolution

© 2009 Palo Alto Networks. Proprietary and Confidential.Page 2 |

•Packet Filter

•StatefulInspection

•Proxy Firewall

•Deep Packet Inspection

Next Generation Firewall

•Statische Anwendungen

•Web-Anwendungen

•„SocialNetwork/Medi

a“

•Enterprise 2.0•Web 2.0

Fakten...

• Facebook 100 mio . neue User innerhalb von 9 Monaten (TV brauchte 13 Jahre für 50 Mio.)

• 80% aller Unternehmen nutzen LinkedIn oder Xing als Quelle neue Mitarbeiter zu finden

• YouTube ist die 2. größte Suchmaschine der Welt mit über 100 mio. Videos

• Wikipedia über 13 Millionen Artikel und gilt als umfassender als die Encyclopeda Britannica(78% der Artikel sind nicht in englischer Sprache)...

• (R)evolution!?



Warum eine Next Generation Firewall?

Need to Restore Visibility and Control in the Firewall

Firewalls sollten

Anwendungen, User und

Angriffe erkennen und

kontrollieren . . .

• . . . doch sie kontrollieren nur

Ports, Protokolle und IP-

Adressen – bedeutungslos.

© 2007 Palo Alto Networks. Proprietary and ConfidentialPage 5 |

Das Ende der Kontrolle?

• Intelligente Anwendungen umgehen Ihre Security (Evasive Attacks)

- Port Hopping, “non-standard” Ports, Tunneling (Port 80), …

• Bedrohungen finden auf Anwendungsebene statt (SANS TOP 20)

• Benutzer und Anwender werden kreativer

- Aktive Umgehung von Sicherheitsrichtlinien (Bypassing via Ultrasurf, …)

• Oder die Anwendung selbst transportiert das Risiko

- P2P Fileshare, Tunneling, Videos,…

Internet

Bisher – Viel hilft viel?

• Komplex und teuer in Anschaffung und Betrieb

• Nicht sonderlich performant

• Keine wirkliche Transparenz und Kontrolle



•Page 8 |

Neue Anforderungen

1. Identifizierung von Anwendungen unabängigvon Port, Protokoll, SSL-Tunnel …

2. Identifizierung von Benutzern unabhängig von IP-Adressen

3. Granulare Darstellung und Kontrolle überZugriff und Funktion von Anwendungen

4. Schutz in Echtzeit vor in Anwendungeneingebetteten Angriffen

5. Multi-Gigabit, In-Line Implementierung ohnePerformance-Einbußen

Next Generation Firewall™

Die Lösung

•App-ID

•Identifikation der Anwendung

Application Identification Components

• Detect Protocol in Protocol

• Provide context for signatures

Protocol Decoders

• Man in the middle SSL decryption

Protocol Decryption

• Detect applications initiating

Application Signatures

• Uses patterns of communication

Heuristics

© 2009 Palo Alto Networks. Proprietary and Confidential 2.1-bPage 10 |

Application Identification - Signatures


•Protocol Decoders

•Decryption

•Application Signatures

•SSL

•Forward proxy

•HTTP

•webex

•Webex desktop sharing

•Mode shift

Application identification - Heuristics


•Unknown

•Encrypted Bittorrent

•Azureus

•Heuristics

•Protocol Decoders

•Examine communications

Die Lösung

•App-ID

•Identifikation der Anwendung

•User-ID

•Identifikation der Benutzer

•Content-ID

•Untersuchung des Inhalts

Bisheriger Ansatz

•Port/Protocol-based ID

•HTTP Decoder

•L2/L3 Networking, HA, Config Management,

Reporting

•URL Filtering Policy



Reporting

•Firewall Policy


•IPS Signatures


Reporting

•IPS Policy

•IPS Decoder


•AV Signatures


Reporting

•AV Policy

•AV Decoder & Proxy

•Page 15 | •© 2008 Palo Alto Networks. Proprietary and Confidential

Parallel nicht sequentiel!

•L2/L3 Networking, HA, Config Management, Reporting

•App-ID

•Content-ID

•Policy Engine

•Application Protocol Detection and Decryption

•Application Protocol Decoding

•Heuristics

•Application Signatures

•URL Filtering

•Real-Time Threat Prevention

•Data Filtering

•Page 16 | •© 2008 Palo Alto Networks. Proprietary and Confidential

•User-ID


Single-Pass Parallel Processing Architectur


System-Architektur (PA-4000)

Flash Matching HW Engine

• Palo Alto Networks’ einheitlicheSignaturen

• Erweiterbarer Speicher – Speicher skaliertLeistungsfähigkeit

Multi-Core Security Prozessor

• Flexible Sicherheitsfunktionalität

• Hardware-Beschleunigung von komplexen, standardisierten Funktionen (SSL, IPSec,

Dekomprimierung)

Dedizierte Management Plattform:

• Hochverfügbarkeit

• Hochperformant :

• Logging

• Routing

• …

Flash Matching

Engine

RAM

RAM

RAM

RAM

Dual-Core

CPURAM

RAM

HDD

10 Gig Netzwerk Prozessor

• Front-End etzwerkprozessor entlastetSecurity Prozessor

• Hardware-beschleunigts QoS, Route Lookup, MAC Lookup, NAT

CPU

16

. .

SSL IPSecDe-

Compression

CPU

1

CPU

2RAM

RAMCPU

3

QoS

Route, ARP, MAC

lookup

NAT


PAN-OS Core Firewall Features

• Strong networking foundation- Dynamic routing (OSPF, BGP,

RIPv2)

- Tap mode – connect to SPAN port

- Virtual wire (“Layer 1”) for true transparent in-line deployment

- L2/L3 switching foundation

• VPN- Site-to-site IPSec VPN

- SSL VPN

• QoS traffic shaping- Max/guaranteed and priority

- By user, app, interface, zone, and more

• Zone-based architecture- All interfaces assigned to security

zones for policy enforcement

• High Availability- Active / passive

- Configuration and session synchronization

- Path, link, and HA monitoring

• Virtual Systems- Establish multiple virtual firewalls in a

single device (PA-4000 and PA-2000 Series only)

• Simple, flexible management- CLI, Web, Panorama, SNMP, Syslog

Visibility and control of applications, users and content complement core firewall features

PA-500

PA-2020

PA-2050

PA-4020

PA-4050

PA-4060


Flexibel einsetzbar!

Visualisierung Transparent In-Line Primäre Firewall

• Applikation

• Benutzer

• Content

• Ohne Inline Einbindung

• IPS mit Applikations-Darstellung und -Kontrolle

• Konsolidierung von IPS & URL Filter

• Primäre Firewall mit Applikations-Darstellung und Kontrolle

• Firewall + IPS

• Firewall + IPS + URL-Filter

Application Visibility and Risk Report


Einfache Auswertung

Ihrer Daten

• Top Application Usage

• High Risk Applications

• Http Applications

• Top Threats

•AVR

Documents/Palo Alto/Tools/AVR/AVR MJC.pdf

Palo Alto Networks Next-Generation Firewalls


PA-4050

• 10 Gbps FW

• 5 Gbps threat prevention

• 2,000,000 sessions

• 16 copper gigabit

• 8 SFP interfaces

PA-4020

• 2 Gbps FW


• 500,000 sessions



PA-4060

• 10 Gbps FW


• 2,000,000 sessions

• 4 XFP (10 Gig) I/O

• 4 SFP (1 Gig) I/O

PA-2050

• 1 Gbps FW

• 500 Mbps threat prevention




PA-2020

• 500 Mbps FW





PA-500

• 250 Mbps FW


• 50,000 sessions


•. •Page 24 |

Vertrauen

• Gegründet 2005 von Security Visionär Nir Zuk

• Entwickelt von Security-Experten von CP, Netscreen,

Juniper, McAfee, BlueCoat, Cisco, …

• $65 Million “Funding” der Top Venture Capital Unternehmen

(Sequoia Capital, Greylock Partners, Globespan Capital

Partners, …)

• Mittlerweile über 1800 Kunden weltweit

• 9000 gelieferte Maschinen

• Gartner: Top Visionary in Gartner Quadrant!

2010 Magic Quadrant for Enterprise Network Firewalls


Source: Gartner

Palo Alto Networks

Check Point Software Technologies

Juniper Networks

Cisco

Fortinet

McAfee

Stonesoft

SonicWALL

WatchGuard

NETASQ Astarophion

3Com/H3C

completeness of vision

visionaries

ab

ilit

y t

o e

xe

cu

te

As of March 2010niche players

Proven IPS Quality

Testing performed by NSS Labs, Summer 2010

- Recognized industry leaders for IPS testing

- Tests based on established NSS IPS methodology

- Tested against a battery of 1,179 live exploits using real world traffic patterns

© 2009 Palo Alto Networks. Proprietary and Confidential.

Criteria Results

Overall Rating Recommended

IPS Block Rate 93.4% (at 2.3 Gbps)

Performance 2.3 Gbps (115% of

stated performance)*

IPS Evasion 100% Resistance

Simple Tuning and

Management

“Tuning consisted of

changing just three

settings within the

policy”

Review the full NSS Report at http://www.paloaltonetworks.com/literature/forms/nss-report.php

*Testing performed on a Palo Alto Networks PA-4020 which is rated at 2 Gbps of Threat Prevention

http://www.paloaltonetworks.com/literature/forms/nss-report.php

Sehen heißt glauben...

•... Live Demonstration

https://be1demo.paloaltonetworks.com/esp/login.esp

Kurz und knapp

• Verbesserte Sicherheit

- Applikationserkennung: Transparenz führt zu Kontrolle, Kontrolle führt zu Sicherheit

- Intelligente zentrale Content Inspection (AV, IPS, URL,...)

- Aussagekräftiges Monitoring

• Erhöhte Performance

- Parallelverarbeitung mittels Single Pass-Architektur (PANOS) + angepasste Hardware

• Produktivität

- Granulare Applikationskontrolle

• Einsparungspotential

- Einsparung durch Konsolidierung bestehender Insellösungen (Proxy, AV, IPS, URL, ...)

- Niedrigere Betriebskosten

Lizenzierung („flat rate“, nicht per user, ...)

Management + Konsolidierung


Thank You

Business

Palo Alto Networks - Just another Firewall