Die Präsentation wird geladen. Bitte warten

Die Präsentation wird geladen. Bitte warten

© 2011 | magellan netzwerke GmbH NEXT GENERATION FIREWALLS | Eine Übersicht ReferentFabian Nöldgen.

Ähnliche Präsentationen


Präsentation zum Thema: "© 2011 | magellan netzwerke GmbH NEXT GENERATION FIREWALLS | Eine Übersicht ReferentFabian Nöldgen."—  Präsentation transkript:

1 © 2011 | magellan netzwerke GmbH NEXT GENERATION FIREWALLS | Eine Übersicht ReferentFabian Nöldgen

2 2 © 2011 | magellan netzwerke GmbH | Fabian Nöldgen Next Generation Firewalls Bisherige Generationen Packet Filter Seit Ende der 1980er Jahre Einfache Regeln auf Routern OSI-Layer 3, später auch 4 from „us“ to „them“ permit from „them“ to „us“ deny

3 3 © 2011 | magellan netzwerke GmbH | Fabian Nöldgen Next Generation Firewalls Antwortpakete?

4 4 © 2011 | magellan netzwerke GmbH | Fabian Nöldgen Next Generation Firewalls Bisherige Generationen Application Proxy Klassicher Proxy für FTP, TELNET, NNTP, SMTP, TCP Launch 1992: gatekeeper.dec.com (Marcus Ranum und) Paul Vixie Digital Equipment Corp, dann ISC BIND, l.root-servers.net (ORSN), Palo Alto Internet Exchange, etc

5 5 © 2011 | magellan netzwerke GmbH | Fabian Nöldgen Next Generation Firewalls Bisherige Generationen Application Proxy “note that i hold the single-author record for total CERT advisories, proving that in my copious youth i knew how to sling code but not how to manage risk.” To: Date: 26 Feb :44: Erste kommerzielle Firewall: DEC Secure External Access Link (SEAL)

6 6 © 2011 | magellan netzwerke GmbH | Fabian Nöldgen Next Generation Firewalls Bisherige Generationen Stateful Inspection Nir Zuk “There is only one firewall technology in the world today - the one that I invented” Dynamisches Öffnen des Antwortkanals TCP und UDP

7 7 © 2011 | magellan netzwerke GmbH | Fabian Nöldgen Next Generation Firewalls Bisherige Generationen Stateful Inspection Bis Layer 4 „Keine“ Regeln für Antwortpakete iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT „Helfer” für Layer7-Protokolle wie FTP

8 8 © 2011 | magellan netzwerke GmbH | Fabian Nöldgen Next Generation Firewalls Bisherige Generationen Stateful Inspection Check Point FireWall-1 (1994) Erste FW mit grafischem User Interface Ursprünglich „Visas“ (USC) X11-basierend Maus, Farben, Icons

9 9 © 2011 | magellan netzwerke GmbH | Fabian Nöldgen Next Generation Firewalls Bisherige Generationen …und weiter Neue Gefahren Viren, Würmer Einbrüche/Spionage Phishing, Data Loss Denial of Service XSS, SQL-Injection, etc

10 10 © 2011 | magellan netzwerke GmbH | Fabian Nöldgen Next Generation Firewalls Bisherige Generationen …und weiter Neue Gegenmittel Intrusion Detection/Prevention Anti Virus, Anti Malware, Anti Spam URL-/Content-Filter, Data Leak Prevention Web Application Firewalls Logging/Monitoring, Log-Correlation, Alerting

11 11 © 2011 | magellan netzwerke GmbH | Fabian Nöldgen Next Generation Firewalls Bisherige Generationen Unified Threat Management Gewachsene Strukturen Weniger optimal verwaltbar

12 12 © 2011 | magellan netzwerke GmbH | Fabian Nöldgen Next Generation Firewalls Bisherige Generationen …und weiter Fuhrpark an Appliances Komplex und wenig transparent Teuer (Anschaffung, Service, Manpower, …) Mehr Geräte == Mehr Latenz! Mehr Geräte == Mehr Schutz?

13 13 © 2011 | magellan netzwerke GmbH | Fabian Nöldgen Next Generation Firewalls Bisherige Generationen Unified Threat Management Vereinheitlichung auf einer Appliance Mehr Komfort? Mehr Durchblick? Mehr Performance? Mehr Schutz?

14 14 © 2011 | magellan netzwerke GmbH | Fabian Nöldgen Next Generation Firewalls Bisherige Generationen Unified Threat Management Eine Appliance == ein Hersteller Zukauf von Technologie APIs / Einbindung anderer Hersteller Eigene Entwicklung Schnittstellen? Qualität / Feature-Set

15 15 © 2011 | magellan netzwerke GmbH | Fabian Nöldgen Next Generation Firewalls Nächste Generation Warum reicht all das nicht mehr?

16 16 © 2011 | magellan netzwerke GmbH | Fabian Nöldgen Next Generation Firewalls Nächste Generation Definitionssache Unterschiedlichste Dienste auf dem gleichen TCP-Port Vermehrt Web-basierte Programme Erwünschte und Unerwünschte Funktionen innerhalb einer (Web-) Applikation Tunneln durch offene Ports

17 17 © 2011 | magellan netzwerke GmbH | Fabian Nöldgen Next Generation Firewalls Nächste Generation Definitionssache Welche Firma nutzt kein Xing, LinkedIn? …Facebook, Twitter, YouTube? …WebEx, Netviewer, XMPP? …SSL-VPN? Wer darf? Wer nicht?

18 18 © 2011 | magellan netzwerke GmbH | Fabian Nöldgen Next Generation Firewalls Nächste Generation Definitionssache nur ein Beispiel: Skype Installiert ohne Admin-Rechte Sucht offene Ports Kreative Technologienutzung SSH nach Hause SOCKS-Proxy

19 19 © 2011 | magellan netzwerke GmbH | Fabian Nöldgen Next Generation Firewalls Nächste Generation

20 20 © 2011 | magellan netzwerke GmbH | Fabian Nöldgen Next Generation Firewalls Nächste Generation Definitionssache Liebgewonnenes loslassen… 1.IP-Adressen sind kein Benutzer 2.Portnummern sind keine Programme

21 21 © 2011 | magellan netzwerke GmbH | Fabian Nöldgen Next Generation Firewalls Nächste Generation Definitionssache Wir brauchen Monitoring der Applikationen Granulare Filtermöglichkeiten SSL-Inspection Datenschutzkonforme Benutzererkennung

22 22 © 2011 | magellan netzwerke GmbH | Fabian Nöldgen Next Generation Firewalls Nächste Generation Definitionssache und zwar s c h n e l l Extern gehostete Dienste Außenstellen-Anbindung Ausgelagerte Rechenzentren Hohe Bandbreiten Geringe Latenz

23 23 © 2011 | magellan netzwerke GmbH | Fabian Nöldgen Next Generation Firewalls Mitspieler Übersicht

24 24 © 2011 | magellan netzwerke GmbH | Fabian Nöldgen Next Generation Firewalls Mitspieler Juniper SRX Router mit integrierter Firewall JunOS Chassis-basiert, modular Network- und Service Processor Diverse Linecards

25 25 © 2011 | magellan netzwerke GmbH | Fabian Nöldgen Next Generation Firewalls Mitspieler Fortinet FortiGate Firewall mit kompletter Routing-Funktionalität ASICs + RISC + x86 für Mgmt Fixed + Module FortiOS

26 26 © 2011 | magellan netzwerke GmbH | Fabian Nöldgen Next Generation Firewalls Mitspieler Palo Alto Firewall mit Routing-Funktion Eigene ASICs, x86 für Mgmt Fixed PanOS

27 27 © 2011 | magellan netzwerke GmbH | Fabian Nöldgen Next Generation Firewalls Mitspieler Palo Alto Nir Zuk Ehemals Check Point Mitgründer und CTO

28 28 © 2011 | magellan netzwerke GmbH | Fabian Nöldgen Next Generation Firewalls Mitspieler Check Point Firewall plus X x86-Hardware Appliance, Server, VM Linux-basiert Software Blades

29 29 © 2011 | magellan netzwerke GmbH | Fabian Nöldgen Next Generation Firewalls Mitspieler Substanzlos in der Wolke Virtualisierte Firewalls HerstellerModellmin. RAMmin. Disk FortinetFGT-VM512 MB30 GB Check PointSG VE512 MB12 GB

30 30 © 2011 | magellan netzwerke GmbH | Fabian Nöldgen Next Generation Firewalls Mitspieler Substanzlos in der Wolke Virtualisierte Firewalls Inter-VM-Traffic

31 31 © 2011 | magellan netzwerke GmbH | Fabian Nöldgen Next Generation Firewalls Anforderungen an unsere nächste Firewall 1.Monitoring / Visibility 2.Granulare Filtermöglichkeiten 3.SSL-Inspection 4.Benutzererkennung 5.Gewohnte (UTM-) Features

32 32 © 2011 | magellan netzwerke GmbH | Fabian Nöldgen Next Generation Firewalls Im Test 1. Monitoring – Check Point SmartView Tracker Layer 1-4 Applikation Risiko-Klasse Dauer/Größe Vordefinierte Filter Real Time SmartEvent $$$

33 33 © 2011 | magellan netzwerke GmbH | Fabian Nöldgen Next Generation Firewalls Im Test 1. Monitoring – Check Point SmartView Tracker Layer 1-4 Applikation Risiko-Klasse Dauer/Größe Vordefinierte Filter Real Time SmartEvent $$

34 34 © 2011 | magellan netzwerke GmbH | Fabian Nöldgen Next Generation Firewalls Im Test 1. Monitoring - Fortinet Alle wichtigen Daten Layer 1-4 User/Group Application Dauer/Größe Byte-Level Filter

35 35 © 2011 | magellan netzwerke GmbH | Fabian Nöldgen Next Generation Firewalls Anforderungen 1. Monitoring - Fortinet

36 36 © 2011 | magellan netzwerke GmbH | Fabian Nöldgen Next Generation Firewalls Anforderungen 1. Monitoring - Fortinet

37 37 © 2011 | magellan netzwerke GmbH | Fabian Nöldgen Next Generation Firewalls Anforderungen 1. Monitoring - Fortinet

38 38 © 2011 | magellan netzwerke GmbH | Fabian Nöldgen Next Generation Firewalls Im Test 1. Monitoring - Fortinet

39 39 © 2011 | magellan netzwerke GmbH | Fabian Nöldgen Next Generation Firewalls Anforderungen 1. Monitoring - Fortinet Schlauer?

40 40 © 2011 | magellan netzwerke GmbH | Fabian Nöldgen Next Generation Firewalls Im Test 1. Monitoring – Palo Alto Übersicht + Drill Down Zeitachse Detailansichten Benutzbare Filter

41 41 © 2011 | magellan netzwerke GmbH | Fabian Nöldgen Next Generation Firewalls Anforderungen 1. Monitoring – Palo Alto

42 42 © 2011 | magellan netzwerke GmbH | Fabian Nöldgen Next Generation Firewalls Anforderungen 1. Monitoring – Palo Alto

43 43 © 2011 | magellan netzwerke GmbH | Fabian Nöldgen Next Generation Firewalls Anforderungen 1. Monitoring – Palo Alto

44 44 © 2011 | magellan netzwerke GmbH | Fabian Nöldgen Next Generation Firewalls Anforderungen 1. Monitoring – Palo Alto

45 45 © 2011 | magellan netzwerke GmbH | Fabian Nöldgen Next Generation Firewalls Anforderungen 1. Monitoring – Palo Alto

46 46 © 2011 | magellan netzwerke GmbH | Fabian Nöldgen Next Generation Firewalls Anforderungen 1. Monitoring – Palo Alto

47 47 © 2011 | magellan netzwerke GmbH | Fabian Nöldgen Next Generation Firewalls Anforderungen 1. Monitoring – Palo Alto

48 48 © 2011 | magellan netzwerke GmbH | Fabian Nöldgen Next Generation Firewalls Anforderungen 1. Monitoring – Palo Alto

49 49 © 2011 | magellan netzwerke GmbH | Fabian Nöldgen Next Generation Firewalls Ergebnis 1. Monitoring Check Point Fortinet Palo Alto

50 50 © 2011 | magellan netzwerke GmbH | Fabian Nöldgen Next Generation Firewalls Im Test 2. Applikationsfilter – Check Point Weiteres Software Blade AppWiki > Applikationen auf der Box plus „in der Cloud“ Ab Version R75

51 51 © 2011 | magellan netzwerke GmbH | Fabian Nöldgen Next Generation Firewalls Im Test 2. Applikationsfilter – Check Point Suche „Facebook“ 2 Treffer lokal Kategorien Tagging-System 3 mit Leak-Potenzial Trotzdem „Low-Risk“ Beschreibung

52 52 © 2011 | magellan netzwerke GmbH | Fabian Nöldgen Next Generation Firewalls Anforderungen 2. Applikationsfilter – Check Point Suche „Facebook“ Treffer Cloud

53 53 © 2011 | magellan netzwerke GmbH | Fabian Nöldgen Next Generation Firewalls Anforderungen 2. Applikationsfilter – Check Point Suche „Facebook“ Treffer Cloud Signaturen, die remote abgefragt werden

54 54 © 2011 | magellan netzwerke GmbH | Fabian Nöldgen Next Generation Firewalls Im Test 2. Applikationsfilter – Check Point Regel für Layer 4, ggfs. mit User/Group

55 55 © 2011 | magellan netzwerke GmbH | Fabian Nöldgen Next Generation Firewalls Im Test 2. Applikationsfilter – Check Point Regel für Application Control

56 56 © 2011 | magellan netzwerke GmbH | Fabian Nöldgen Next Generation Firewalls Im Test Applikationen auswählen 2. Applikationsfilter – Check Point

57 57 © 2011 | magellan netzwerke GmbH | Fabian Nöldgen Next Generation Firewalls Im Test 2. Applikationsfilter – Check Point Action: Allow oder Block

58 58 © 2011 | magellan netzwerke GmbH | Fabian Nöldgen Next Generation Firewalls Im Test 2. Applikationsfilter – Check Point Komplett eigenständige Regelwerke Tabs / Blades unabhängig Reihenfolge / Hierarchie unklar Keine Verknüpfung mit weiteren Features „Alles, was Web-Browsing ist, soll durch das IPS.“ „Alles, was Mail ist, soll durch den Viren-Scanner.“

59 59 © 2011 | magellan netzwerke GmbH | Fabian Nöldgen Next Generation Firewalls Anforderungen 2. Applikationsfilter – Check Point Fazit

60 60 © 2011 | magellan netzwerke GmbH | Fabian Nöldgen Next Generation Firewalls Im Test 2. Applikationsfilter – Fortinet Inklusive Seit 2009 / FortiOS 4.0 Benutzbar seit 4.0 MR2 / „4.2“ > 1000 Applikationen Bestandteil der „UTM“-Features

61 61 © 2011 | magellan netzwerke GmbH | Fabian Nöldgen Next Generation Firewalls Anforderungen 2. Applikationsfilter – Fortinet Konfiguration

62 62 © 2011 | magellan netzwerke GmbH | Fabian Nöldgen Next Generation Firewalls Im Test 2. Applikationsfilter – Fortinet Application Control List befüllen

63 63 © 2011 | magellan netzwerke GmbH | Fabian Nöldgen Next Generation Firewalls Im Test 2. Applikationsfilter – Fortinet Application Control List befüllen

64 64 © 2011 | magellan netzwerke GmbH | Fabian Nöldgen Next Generation Firewalls Im Test 2. Applikationsfilter – Fortinet Application Control List befüllt

65 65 © 2011 | magellan netzwerke GmbH | Fabian Nöldgen Next Generation Firewalls Im Test 2. Applikationsfilter – Fortinet Firewall-Regel anlegen

66 66 © 2011 | magellan netzwerke GmbH | Fabian Nöldgen Next Generation Firewalls

67 67 © 2011 | magellan netzwerke GmbH | Fabian Nöldgen Next Generation Firewalls Im Test 2. Applikationsfilter – Fortinet

68 68 © 2011 | magellan netzwerke GmbH | Fabian Nöldgen Next Generation Firewalls Im Test 2. Applikationsfilter – Fortinet Fazit Kategorie- und Applikations-basierte Auswahl möglich Gute Auswahl Durchschaubares Regelwerk Deutlicher Performance-Einbruch FGT-1240B: 40 vs 1,5 Gbit/s FGT-620B:16 vs 1,0 Gbit/s

69 69 © 2011 | magellan netzwerke GmbH | Fabian Nöldgen Next Generation Firewalls Im Test 2. Applikationsfilter – Palo Alto Integraler Bestandteil ~ 1200 Applikationen Applipedia:

70 70 © 2011 | magellan netzwerke GmbH | Fabian Nöldgen Next Generation Firewalls Anforderungen 2. Applikationsfilter – Palo Alto Konfiguration

71 71 © 2011 | magellan netzwerke GmbH | Fabian Nöldgen Next Generation Firewalls

72 72 © 2011 | magellan netzwerke GmbH | Fabian Nöldgen Next Generation Firewalls

73 73 © 2011 | magellan netzwerke GmbH | Fabian Nöldgen Next Generation Firewalls

74 74 © 2011 | magellan netzwerke GmbH | Fabian Nöldgen Next Generation Firewalls

75 75 © 2011 | magellan netzwerke GmbH | Fabian Nöldgen Next Generation Firewalls Im Test 2. Applikationsfilter – Palo Alto Volle Integration in das Standard-Regelwerk UTM-Features nach belieben wählbar TCP-Ports: alle, definierte, „App-Standard“

76 76 © 2011 | magellan netzwerke GmbH | Fabian Nöldgen Next Generation Firewalls Im Test 2. Applikationsfilter – Palo Alto Volle Flexibilität Gute Performance 2050: 1 vs. 0,5 Gbit/s 4060: 10 vs. 5,0 Gbit/s Vielfältige Auswahl

77 77 © 2011 | magellan netzwerke GmbH | Fabian Nöldgen Next Generation Firewalls Im Test 3. SSL-Inspection – Palo Alto „Klont“ das Server-Zertifikat Issuer ändert sich Client muss dem neuen Issuer vertrauen Eigenes Rule-Set Kategorie-basierte Entscheidung Hardware-beschleunigt Auch als Reverse-Proxy/SSL-Offloading nutzbar

78 78 © 2011 | magellan netzwerke GmbH | Fabian Nöldgen Next Generation Firewalls Im Test 3. SSL-Inspection – Fortinet Austausch der SSL-Keys Nicht auf jedem Modell verfügbar Nur aktuelle Hardware Für alle UTM-Features nutzbar, nicht nur Web Reverse-Proxy/SSL-Offloading, Load Balancing

79 79 © 2011 | magellan netzwerke GmbH | Fabian Nöldgen Next Generation Firewalls Im Test 3. SSL-Inspection – Check Point

80 80 © 2011 | magellan netzwerke GmbH | Fabian Nöldgen Next Generation Firewalls Anforderungen Zwischenstand 1.Monitoring / Visibility 2.Granulare Filtermöglichkeiten 3.SSL-Inspection 4.Benutzererkennung 5.Gewohnte (UTM-) Features

81 81 © 2011 | magellan netzwerke GmbH | Fabian Nöldgen Next Generation Firewalls Anforderungen 4. Benutzererkennung Terminal Server: spezieller Agent LDAP und RADIUS von allen unterstützt Check PointPalo AltoFortinet Terminal ServerAgent Captive Portal Active Directory Agent

82 82 © 2011 | magellan netzwerke GmbH | Fabian Nöldgen Next Generation Firewalls Anforderungen 5. UTM-Features FeatureCheck PointPalo AltoFortinet Anti Virus$ /$ Intrusion Prevention$ /$ URL-Filter$ /$ Data Leak Prevention$ IPSec-VPN$ SSL-VPN$$$ Traffic Shaper/QoS$

83 83 © 2011 | magellan netzwerke GmbH | Fabian Nöldgen Next Generation Firewalls Anforderungen 5. Weitere Features FeatureCheck PointPalo AltoFortinet OSPF$ BGP$ Server Load Balancing DNS-Recursor FW-Virtualisierung IPv6 High Availability

84 84 © 2011 | magellan netzwerke GmbH | Fabian Nöldgen Next Generation Firewalls Fazit Was wir gelernt haben Check Point Alter Hase mit breiter Basis Beliebtes Management Solide Stateful Inspection Firewall Unbrauchbar für UTM- oder NG-Features

85 85 © 2011 | magellan netzwerke GmbH | Fabian Nöldgen Next Generation Firewalls Fazit Was wir gelernt haben Fortinet Ausgereiftes Security-Multitalent Sehr flexible Netzwerk-Features Trunks, VLANs, Routing NAT in alle Richtungen Starke VPN-Funktionalität Magere Performance bei Application Layer Security

86 86 © 2011 | magellan netzwerke GmbH | Fabian Nöldgen Next Generation Firewalls Fazit Was wir gelernt haben Palo Alto Junges Produkt Nachholbedarf bei klassischen Funktionen XAuth, Routing, CLI Ungeschlagener Vorreiter Application-Filter Logging & Visibility Hardware-Architektur mit Potenzial

87 87 © 2011 | magellan netzwerke GmbH | Fabian Nöldgen Next Generation Firewalls Dankeschön

88 88 © 2011 | magellan netzwerke GmbH | Fabian Nöldgen Next Generation Firewalls Security is very simple: Don't do something stupid and you should be just fine Marcus Ranum


Herunterladen ppt "© 2011 | magellan netzwerke GmbH NEXT GENERATION FIREWALLS | Eine Übersicht ReferentFabian Nöldgen."

Ähnliche Präsentationen


Google-Anzeigen