|
||||
 Av Fredrik Hökegård fredrik.hokegard@radpoint.se Vi på RADPOINT har i vår dagliga verksamhet en radar kontinuerligt påslagen för att hitta nya teknologier som gör skillnad. Med skillnad menar vi att produkt eller funktion löser problem eller möjligheter, som tidigare inte hanterats. Alternativt ska problemet eller möjligheten lösas väsentligt bättre. Dessutom ska problemet eller möjligheten vara viktig och ha en ekonomisk bäring. Att hitta sann innovation bland IT-säkerhetstillverkare är mycket svårt och tidskrävande. Av hundratals produkter kommer i bästa fall en ut som något fundamentalt annorlunda. Men det räcker tyvärr inte med att den är annorlunda, den måste ha en framtida och långsiktig given plats, samt uppfylla nämnda kriterier för skillnad. Slår vi upp ordet Innovation ser vi att det kommer från latinets innovare, vilket betyder förnyelse. När vi driftsatt innovativa produkter som t.ex. Palo Alto Networks hos våra kunder omsätter vi ordet innovation från ord till handling.  Av Staffan Olsén staffan@radpoint.se Det är med glädje jag börjar se att de andra brandväggsleverantörerna börjar göra produkt jämförelser med Palo Alto Networks. Roligt är att läsa att nästan alla av dem innehåller huvudsak argument som att produkten inte är färdig, bolaget är osäkert och man inte har tillräckligt med kunder. Har man inte mer att komma med än att försöka svartmåla Palo Alto med helt ogrundade argument, produkten är snart i version 4, gör vinst och mängden kunder ökar drastiskt som är redan tusental. Det är förstås jobbigt för de andra leverantörerna då det kommer en ny spelare som man inte riktigt tog på allvar i början och nu fem i tolv TROR JAG att de inser ”hur kunde vi vara så dumma”. Palo Alto har fått ett oerhört försprång när det gäller ”Next Generation Firewall” pga dess unika arkitektur, där man har börjat med ett tomt blad och skapat en enligt mig en makalös manick! Kanske inte direkt en evighetsmaskin, men är helt säker på Palo Alto kommer vara ledande i evigheter utifrån en IT-era… Vad gör Palo Alto så speciell? Palo Alto har förmågan att verkligen titta på ALL trafik i detalj där man inte funderar huruvida man vågar ha IDP, Antivirus, Antispyware, URL-filter påslaget på alla portar. Detta är någon vi inte ens funderar på med Palo Alto, man vet att det inte påverkar prestandan. Tänk om jag skulle vilja skriva ett filter (regex) som söker efter alla förekomster av svenska personnummer genom all trafik i min brandvägg. Den skall detektera detta i både intern Microsoft trafik (exempel filkopieringar) och extern internt trafik oavsett om det finns i ett Excel ark i en zip-fil eller någon göra en post över HTTPS på en websida. Självklart skall jag förstås få en kortare inspelning automatiskt (läs packet-capture) av hur detektering skedde samt filens namn om det var en fil.
Att kontrollsiffran skall kontrolleras så man inte får några false-positives är just en självklarhet! Detta gör jag utan problem i Palo Alto och utan prestanda försämringar. Exemplet är kanske inte så mycket kundnytta utan snarare förstå hur Palo Alto verkligen tittar på all trafik utan att påverka prestandan. Hur skall man kunna göra detta med existerande brandvägg som bygger på massa lapptäcken ovanpå en existerande arkitektur kring stateful-inspection? Det roligaste dock är när t.ex. Facetime som t.ex. CheckPoint licensierar med sina nästan 68.000 applikationer kritiserar att Palo Alto har bara drygt 1150 stycken. Tittar man på indelningen av applikationer i Facetime så är den följande: De 67860 Applikationer som fanns 21/11 var: CoreApps: 2132 Där fördelningen av de fyra största utav åtta i SocialApps är: Facebook: 41788 Skulle nog säga att detta är världens första URL filter med fler kategorier än URL:er! Tittar man vad som finns i CoreApps så kan man ta som ett exempel P2P där finns både som P2P-filesharing och P2P-protocol. Har svårt att se värdet med att kolla vilken P2P klient hemsida (164 olika appar) som en användare utnyttjar, det är väl ändå protokollet som är intressant? P2P-protocol är 10 stycken… Palo Alto har 50! Men ändå ”förlorar” Palo Alto med 164+10 emot 50 om man skall leka med statistik! Frågan är dock vilken lösning man väljer?? Tittar vi vidare på detta så ser vi direkt att Palo Altos databas med 1150+ applikationer är MYCKET större än Facetime, Facetime är mer eller mindre ett URL filter med 65000+ kategorier!! Det som skrämmer mig mest dock är att jag finner ingenting förutom Internet baserade applikationer. Är det kanske så att Facetime inte gör någon detektering i dataströmmen, kanske den bara kollar på första requesten i http? Man undrar! Varför finns det inte annars MSN-Filetransfer eller WebEx-Desktopsharing som applikationer som ett exempel? Hur skall man kunna använda lösningar som denna i ett datacenter där vi vill få kontroll på vem och vad kör Microsoft SQL, SAP, Oracle, DB2 och Sharepoint administration? Det går ju förstås inte! Då är man tillbaka till sin gamla portbaserade brandvägg och hur fungerar det i en dynamisk Microsoft miljö där man byter portar fortare än man byter kalsonger… Några frågor, synpunkter eller funderingar så maila mig gärna på staffan@radpoint.se  Av Peter Alex peter.alex@radpoint.se
Dessvärre är inte funktionen ”applikationskontroll” i en brandvägg en enkel check-box man bockar av i sin kravställning. Att tänka på: Täckningsgrad och Kvalitét I likhet med URL-filter kan databasen av applikationer INTE endast värderas i kvantitet (antal appar eller som i URL-kategoriseringen antal kategorier). Vad som är viktigt är istället den faktiska täckningsgraden, dvs. hur mycket av den totala trafiken identifieras och kategoriseras (i verkligheten). Viktigast av allt: Att säkerhetsskyddet kontinuerligt levererar den säkerhetsnivån vi satt upp från början ( att nya applikationer, sårbarheter och företeelser uppdateras automatiskt). Att ALL trafik loggas (default) och att rapporteringsgränsnittet kan levera relevant information/rapporter (till olika delar av organisationen). Om vi inte kan förstå all trafik kan vi heller inte sätta rätt policies och arbeta proaktivt med säkerhet. Att skapa en förståelse för vilken risk en given applikation tillskansar organisationen. Att enkelt förstå organisationens risknivå och följa och motverka negativa trender. I ett säkerhetsarbete krävs hantering av all typ av trafik,affärsapplikationer, destruktiva applikationer, bandbreddsbegränsning för bandbreddskrävande applikationer såsom voddler, svtplay(inte portbaserad QoS) och samtidigt ”ha råd” att inspektera alla flöden mot skadlig och destruktiv trafik (även krypterad trafik). Utmaningen hos många organisationer är att med mindre resurser, mindre budget leverera tillgänglighet 24×7 varav förenklad administration är en grundsten. Att skapa en konfiguration ”grundplåt” som via kategorier för alla funktioner (applikationer, URL-filter, IPS och destruktiv skadlig kod) automatiskt hanteras när nya applikationer, skadlig kod etc förekommer i trafikflödet. Varför är det viktigt? Har vi skapat en *grundplåt, baserat på önskad säkerhetsnivå identifieras blockeras/begränsas den destruktiva trafiken automatiskt när nya företeelser uppkommer (utan manuell inverkan) (detta gäller för all funktionalitet) Så för att konkretisera säkerställ funderingar som: Identifieras all trafik automatisk (eller kräver det manuell inverkan?) Vilken prestanda kan säkerställas (med alla funktioner påslagna?) (Applikationsinsyn, IPS etc) Kan administrationen minimeras och vald säkerhetsnivå hanteras automatiskt?  Av Göran Walles goran.walles@radpoint.se
Vi avhandlar nu det svårbemästrade området auktorisation (behörighet och kontroll). Titta på hur den traditionella brandväggen jobbar. För brandväggen är ”vem” en IP-adress. Auktorisationen här bygger på att vi är behöriga då vi sitter på en känd IP-adress (känd plats). - Vilken människa använder denna IP-adress? Även om IP-adressen kommer från en känd plats (vårt kontor) så kommer en följdfråga. -Vill vi egentligen inte styra behörighten från vår LDAP-katalog (Microsoft/Novell)? Det är ju DÄR (LDAP) vi styr alla andra rättigheter i vår IT-miljö.. Vem vänta nu, brandväggen är ju en kommunikationsprodukt och har väl inget med LDAP-katalogen att göra? Samtidigt finns det ju element vi behöver därifrån som exempelvis gruppmedlemskap som brukar användas för behörighetskontroll i andra sammanhang. Låt oss fortsätta. När brandväggen väl tillåter en IP-adress att kommunicera sker det på port/protokoll nivå. Det är, som vi vet sedan tidigare, inte alls säkert att andra applikationer inte också kommunicerar på porten som brandväggen auktoriserat IP-adressen. Slutligen är den IP och port/protokoll-baserade auktorisationen ofullständig även för adekvat rapportering. Inom auktorisation ser vi att det finns utrymme för många diskussioner, med säkerhetsplattformen från Palo Alto går ovanstående utmaningar att lösa, genom att byta ut eller komplettera brandväggen. Av Peter Alex peter.alex@radpoint.se Autentisering handlar om att koppla en fysisk person till en elektronisk identitet. Det görs varje dag när vi loggar in mot våra IT-system och nätverk. Den vanligaste metoden är att använda statiska lösenord. Här finns olika skolor för hur ett lösenord bör komponeras (lösenordspolicy). Generellt sätt upplever många användare starka lösenord som svåra att komma ihåg. Lösningar med smarta kort, dosor och certifikat har funnits i över 15 år. Trots väl fungerande lösningar har få organisationer stark autentisering (två faktors) internt. Att tillhandahålla en stabil och säker drift är det primära målet för verksamhetens teknikorganisation. Till trots lämnas system med statiska lösenord öppna ut mot Internet. Detta utsätter organisationen för stora och onödiga risker. Argumenten för ”engångslösenord” är obestridliga. Lösningen går idag att motivera funktionellt och ekonomiskt. RADPOINT har valt det svenska bolaget Nordic Edge för produktlösningar inom säkra inloggningar. Genom valet av Nordic Edge tillhandahåller vi en lösning som minimerar administration och ägandeskapskostnad. (Lösningen tar i normalfallet mindre än 1 arbetsdag att implementera.) |
||||
|
© 2012 RADPOINT Blog |
||||
Senaste kommentarer
No comments.