Pensate davvero che il vostro firewall blocchi tutto il traffico non legittimato ad uscire dalla vostra rete?
Data la diffusione di software che incapsulano i loro pacchetti su http o altre porte TCP considerate tradizionalmente sicure, la risposta è molto probabilmente no.
I firewall di Palo Alto Networks, facendo uso della tecnologia proprietaria App-ID, riescono comunque ad identificare le applicazioni in entrata e uscita dalla vostra rete, anche se criptate in SSL: in questo modo le politiche di sicurezza della vostra azienda non potranno più venire aggirate da applicazioni non immediatamente identificabili, e oltre a questo, data l’integrazione con Active Directory, le regole di firewalling potranno essere applicate al singolo utente anche se provvisto di IP dinamico.
Alla possibilità di identificare e bloccare selettivamente le applicazioni si aggiunge l’identificazione e il blocco di virus, malware e attacchi di rete verso i vostri apparati (agisce cioè da IPS).
Generalmente, i firewall si supponga agiscano come gatepeeker, negando o permettendo il traffico in base alle policy amministrative, non è tuttavia un segreto per nessuno che quasi tutte le regole di firewalling permettano il traffico web, permettendo così agli sviluppatori di prendersi per così dire gioco del sistema e far uscire i loro applicativi incapsulandoli in protocolli standard . Ad esempio, l’RPC over http di Microsoft viene usato frequentemente per mascherare connessioni da Outlook verso server Exchange al di fuori della rete interna. In pratica ciò equivale a chiudere la porta ma lasciare la finestra aperta.
L’unica eccezione sono i proxy applicativi, i quali mi “rigenerano” le applicazioni che passano attraverso il firewall garantendo così che solamente le applicazioni realmente approvate possano bypassare la rete interna.
Anche i proxy hanno tuttavia i loro problemi, non ultimo il dover tenere continuamente il passo con le nuove applicazioni, ed anche minimi cambiamenti nel protocollo usato da un’applicativo possono causare problemi di compatibilità impedendone l’uso all’utente finale.
Palo Alto risolve il dilemma implementando un sistema basato su signature che identifica oltre mille applicazioni differenti. Oltre a questo, vi sono altre signature per identificare i virus nel traffico di rete, malware o altri tentativi di exploit. Naturalmente, è lasciata all’amministratore di sistema la possibilità ultima di bloccare o permettere la singola applicazione o threat.
In aggiunta a quanto detto, integrato nel firewall è presente pure il database di classificazione URL di SurfControl, configurabile per gruppi o singolo utente piuttosto che per IP. E’ possibile avere quindi anche le funzionalità di URL filtering in un singolo box.
La possibilità di implementare l’apparato in modalità tap mode rende possibile analizzare il traffico in una rete senza causare alcun disservizio, la modalità virtual wire prevede invece l’utilizzo in linea del firewall in maniera del tutto trasparente ma con la possibilità aggiuntiva di bloccare il traffico indesiderato. Infine, la modalità L3 prevede di usarlo come vero e proprio firewall in sostituzione del precedente. Ovviamente, è possibile un mix delle tre situazioni sul medesimo appliance.
Per quanto riguarda la reportistica, ci si può soltanto sbizzarrire: oltre alla possibilità di cliccare sui vari grafici ed essere rimandati all’evento contestuale (protocollo, ip sorgente, ecc), è possibile costruire filtri con il solo uso del mouse, con la possibilità di venir salvati per una successiva rapida riutilizzazione.
Maggiori dettagli su http://www.paloaltonetworks.com
