Nir Zuk, technologiechef en mede-oprichter van Palo Alto Networks, vindt dat de huidige generatie firewalls niet voldoet. Zuk gelooft in een applicatie-bewuste firewall. 'Firewalls classificeren het verkeer op basis van de poort waar het binnenkomt. Maar wát er door die poort komt, kunnen ze niet zien.'
‘Firewalls zijn ooit gecreëerd om twee dingen te doen: de toegang controleren tot het netwerk en het loggen van dat netwerkverkeer. Maar firewalls controleren niet de toegang tot webapplicaties. Firewalls classificeren het verkeer op basis van de poort waar het binnenkomt. Maar wát er door die poort komt, kunnen ze niet zien. En webapplicaties gaan allemaal door dezelfde poorten.'
Wat is er tegen op Gmail of Google Docs?
‘Webapplicaties zoals Google Docs en Office 2010 Web Apps laten gebruikers bestanden uploaden naar het internet en die daar met iedereen delen. Zonder dat het eigen bedrijf daar iets van hoeft te weten, en zonder dat een bedrijf daar controle over heeft. De documenten staan op een dataserver in Californië, met een wachtwoord als enige vorm van beveiliging. Google Desktop is nog erger. Dat stelt je in staat om de hele inhoud van je harde schijf te indexeren, zodat je die op afstand kunt doorzoeken. Gmail heeft twee problemen. Ten eerste heeft Gmail een chatfunctie waarmee je bestanden kunt delen. Ten tweede investeren bedrijven een hoop geld in mailbeveiliging, door bijvoorbeeld IronPort van Cisco te kopen. Maar een Gmail-gebruiker omzeilt dat alles gewoon. Dus ofwel je moet stoppen met investeren in mailbeveiliging, of je beveiligt Gmail.'
Uw firewalls kunnen dat?
‘Ja. Onze firewalls kunnen controleren wie Gmail mag gebruiken en wat ze daarmee mogen doen. Daarnaast kunnen ze ook mailberichten scannen op inhoud die een beveiligingsrisico kan opleveren. Vijftien jaar geleden vond ik, samen met anderen bij Checkpoint de stateful inspection techniek uit [waardoor een firewall weet of een ip-pakketje onderdeel is van bestaande connectie, of probeert een nieuwe verbinding te leggen, red.]. Die technologie was toen fantastisch, maar nu is een andere techniek nodig, die het verkeer classificeert op basis van de inhoud ervan. En dat doet mijn bedrijf Palo Alto Networks, gebruikmakend van onze App-technologie.'
‘Een firewall moet vijf dingen kunnen: hij moet de applicatie kunnen identificeren. Ook als die zich probeert te verbergen door bijvoorbeeld van poort naar poort te springen, of zichzelf binnen een andere applicatie te verbergen, of door zichzelf te versleutelen. Ten tweede moet de firewall weten welke gebruiker een bepaald ip-pakket heeft verstuurd. Dat kun je bijvoorbeeld bereiken via integratie met Active Directory, omdat dat Microsoft-programma onder andere bijhoudt welke gebruikers in- en uitgelogd zijn, welk ip-adres ze gebruiken, en tot welke groep ze behoren. Ten derde moet de firewall begrijpen wat de gebruikers doen met de applicatie. Neem WebEx, een dienst van Cisco voor het geven van presentaties via het internet.'
Wat kan er misgaan met WebEx?
‘Het heeft een aantal gevaarlijke opties, waaronder de mogelijkheid anderen controle te geven over je desktop via ‘desktop sharing'. Dat zou ik nooit gebruiken, maar er is altijd één werknemer die de fout maakt om dat toch te doen. Dan hoeft er maar één onbekende toehoorder te zijn die daar misbruik van maakt. Die heeft dan de controle over de desktop, en die desktop bevindt zich achter de firewall. Dus de firewall moet weten dat het om WebEx gaat, welke gebruiker WebEx gebruikt, en wat die gebruiker aan het doen is. Ten vierde: als de firewall iets toestaat, moet hij het ook kunnen beveiligen, door bijvoorbeeld geen virussen toe te laten. En tot slot moet zo'n firewall even snel zijn als de huidige generatie en evenveel kosten.'
U wisselt vaak van werkgever. Waarom?
‘Toen ik bij Checkpoint werkte, realiseerde ik me daar op een dag dat softwaregebaseerde firewalls dood waren, en dat klanten appliances [een combinatie van een apparaat en software, red.] wilden. Checkpoint wilde dat niet. Daarom ging ik naar NetScreen. Dat bedrijf maakte als eerste hardwaregebaseerde firewalls. Maar NetScreen werd gekocht door Juniper. Ondertussen besefte ik dat firewalls applicatie-bewust moesten worden. Juniper zag het echter niet zitten daar geld in te steken. Ik ben weggegaan, ben Palo Alto Networks gestart en heb een applicatie-bewuste applicatie gebouwd. Ik ben niet van plan dit bedrijf snel te verlaten, noch het te laten overnemen door een bedrijf als Juniper.'
Nir Zuk
Voordat Nir Zuk samen met Rajiv Batra en Yuming Mao het bedrijf Palo Alto Networks oprichtte, was hij chef technologie bij NetScreen Technologies. Dat werd in 2004 overgenomen door Juniper Networks. Daarvoor was Zuk mede-oprichter en chef technologie bij OneSecure. Ook was hij hoofdontwerper bij Check Point Software Technologies. Daar was hij één van de ontwikkelaars van de ‘stateful inspection technology'. Dat is een technologie waardoor een firewall weet of een ip-pakketje onderdeel is van bestaande connectie, of probeert een nieuwe verbinding te leggen.
Applications Rule!
Computable ontmoette Nir Zuk tijdens Applications rule!, georganiseerd door SecureLink.
Ik heb een demonstratie van de Palo Alto ‘firewall’ gezien en ik moet zeggen het biedt zeker een hoop verbeteringen t.o.v. de huidige generatie firewalls. Echter, ik krijg de indruk dat ook de Palo Alto firewall weer een perimeter oplossing is: bescherming tot aan de deur van het kantoor. Ondanks een aantal facinerende features, biedt het product (nog) geen oplossing voor end-point devices zoals laptops en smartphones die zich buiten het kantoorpand bevinden. Dat wil niet zeggen dat Palo Alto firewall nutteloos is; zeker voor permiter security biedt het toegevoegde waarde. Als de Palo Alto firewall ook beschikbaar is op end-point devices (laptops, smartphones etc.), die op die manier centraal beheerd kunnen, dan zou dan dat een stap in de goede richting zijn. Moet er nog wel wat worden verzonnen om de beveiliging van onze ge-outsourcede of ge-cloude IT infra te beheersen 😉
Regel 6: De toestemming van een firewall koppelen aan biometrische identificatie.
Regel 7: De firewall moet werken met application profiles, die – binnen een pc, server – de gangen van een applicatie nagaan (Vorbeelden SELinux, Novell AppArmor)
Of een oudje op dit gebied Aladins eSafe.
Regel 8: Firewalls moeten ook het gedrag en communicatie van het operating system zelf aan banden leggen 🙂
Wat heb je immers aan een waterdichte beveiliging op applicatienivo – als je OS fundament rot is? een rootkit bevat? of zichzelf onderuit haalt met “updates” waar je niet op zit te wachten, om gevraagd hebt?
Inderdaad wat RV zegt ook het communicatiegedrag moet bekeken worden, anders hebben kwaadwillenden nog steeds een kanaal om data te versturen (covert channel in bijvoorbeeld DNS pakketjes)
Dit kan voorkomen worden door een firewall die ingrijpt als er een abnormaal hoog aantal en ongewoon grote DNS pakketen passeert… dus ja slimme firewall’s zijn zeker nodig…