PAN EDU PROGRAMMA The Netherlands Voorwoord Dit programma is opgesteld om educatieve instellingen de mogelijkheid te bieden om studenten en docenten die zich bezighouden met het opleiden, ontwerpen, installeren en beheren van Networking Security te trainen op basis van het Next Generation Firewalls concept van Palo Alto Networks. Het Palo Alto Networks PAN EDU Programma kan gebruikt worden door consultants, educatieve en wetenschappelijke instellingen. De behandelde technologie in dit educatieve programma zal volgens Gartner en IDC de IT Networking Security markt gaan domineren. Palo Alto Networks voorziet graag in de behoefte om de studenten, de toekomstige IT managers, IT architecten, IT Netwerkbeheerders van het bedrijfsleven te trainen en gereed te maken voor de specifieke taken op basis van deze nieuwe technologie. Het Palo Alto Networks Educatie Programma is een pakket van mogelijkheden en certificeringen zoals beknopt beschreven hieronder. • LAB Materiaal tegen zeer reduceerd tarief (HW) • Documentatie • Webinars, Seminars • EDU Trainings Programma • Officiële Certificeringen EDU 101 – 201 – 301 • Train the Trainer (Docenten) • Stage Plekken ten behoeve praktijk ervaring bedrijfsleven voor de IT studenten Neem contact op met uw gecertificeerde Palo Alto Networks partner of anders contact op met Palo Alto Networks zelf voor meer informatie. D.E Timal Regional Sales Manager Palo Alto Networks +31 651 409 104 dtimal@paloaltonetworks.com
OVER PALO ALTO NETWORKS Sterke investeringspartners, ervaren security-experts, en de fundamentele wens om netwerkbeveiliging op een andere wijze aan te vliegen. Dat is de basis waarop het bedrijf Palo Alto Networks is gebouwd. Palo Alto Networks is opgericht door Nir Zuk, pionier op firewallgebied en uitvinder van het fenomeen Stateful Inspection, de technologie waarop 95% van alle huidige firewalls zijn gebaseerd. Na te hebben gewerkt bij Check Point, NetScreen en Juniper besloot Nir in 2005 voor zichzelf te beginnen en daarbij het begrip firewall opnieuw te definiëren. Palo Alto Networks onderscheidt zich van andere fabrikanten door automatische applicatieherkenning en het centraal stellen van de gebruiker. Hierdoor kan worden bepaald wie welke applicatie mag gebruiken op of via het Internet, los van de configuratie van poortnummers en ip-‐adressen. Palo Alto Networks brengt zijn technologie op de markt in de vorm van appliances, hierdoor kan nauwkeurig worden bepaald welke prestaties een bepaald systeem kan leveren. Ook de pers en analisten houden Palo Alto Networks scherp in de gaten, hetgeen blijkt uit de diverse artikelen die zijn verschenen over het fenomeen 'next generation firewall'.
Voorbeeld van Trainings Schema en onderwerpen PAN EDU 201
Voorbeeld van Trainings Schema en onderwerpen PAN EDU 301
Inspectie van Applicaties, Users en Content Garandeerde FW/IPS performance Deployment Scenario’s Management Interface
Business Analist
Educatieve ondersteuning
Wetenschappelijk / Research
App-‐ID™ Traditionele poort-gebaseerde firewalls zijn niet effectief in het identificeren en controleren van applicaties vanwege hun vertrouwen op netwerkpoort en –protocol als de enige manier om netwerkverkeer te classificeren. De meerderheid van applicaties zijn eenvoudig in staat om deze stijl van classificatie te omzeilen door gebruik te maken van verscheidene technieken zoals het openen van een applicatie ‘tunnel’, het vermijden van netwerk poort 80, het springen van netwerkpoort naar netwerkpoort en het gebruik van SSL. Dit gebrek aan inzicht en controle houdt in dat poort-gebaseerde firewalls niet langer het centrale controlepunt kunnen zijn voor de beveiligingsinfrastructuur. Om de firewall wederom het strategische centrum van de beveiligingsinfrastructuur te maken heeft Palo Alto Networks een classificatie technologie voor netwerkverkeer ontwikkeld die heel nauwkeurig applicaties kan identificeren, ongeacht de netwerkpoort, SLL, of ontwijkingstactieken. Het resultaat is App-ID™, een gepatenteerde technologie voor netwerkverkeerclassificatie die beheerders in staat stelt om exact te bepalen welke applicaties op het netwerk actief zijn. In tegenstelling tot poort-gebaseerde firewalls die slechts één techniek gebruiken om netwerkverkeer te classificeren, gaat App-ID verder dan iedere andere netwerkbeveiligingstechnologie door gebruik te maken van meerdere technieken om al het netwerkverkeer dat door de firewall gaat te identificeren – inclusief het detecteren, ontcijferen en decoderen van applicatieprotocollen, applicatiesignaturen en heuristische analyse. De identiteit van de applicatie wordt vervolgens gebruikt als de basis van het beveiligingsbeleid. Dit houdt in dat in plaats van het simpelweg blokkeren van een vreemde applicatie die op het netwerk gevonden wordt, er nu een meer evenwichtige en geïnformeerde beslissing genomen kan worden door de beheerder. Door meer te leren over de applicatie kan deze nu veilig gebruikt of geblokkeerd worden op basis van een diep inzicht in de beveiligingsrisico’s. Met behulp van App-ID kunt U nu: • •
•
Het inzicht in het netwerk verbeteren dankzij de accurate identificatie van netwerkverkeer ongeacht netwerkpoort of –protocol. De beveiliging verbeteren door het vereisen van toegangsrechten die gebaseerd zijn op werkelijk applicatieverkeer, in tegenstelling tot netwerk– of protocolverkeer. De effectiviteit van malware-verspreiding verbeteren door het verminderen van het aantal ongeautoriseerde applicaties in het netwerk.
User-‐ID
Organisaties gebruiken internet en web applicaties om hun groei te ondersteunen en meer efficiënt om te gaan met hun middelen. Hierdoor is het inzicht in wat medewerkers doen op het netwerk aanzienlijk belangrijker geworden. Het gebruik van dynamische IP adressen voor zowel vaste als draadloze netwerken en het gebruik dat vaste en variabele werknemers maken vanuit andere locaties hebben het gebruik van IP adressen zeer ineffectief gemaakt als de wijze waarop toezicht en controle van gebruikersactiviteit gedaan wordt. Helaas is de werkelijkheid dat huidige poort-gebaseerde firewalls volledig vertrouwen op IP adressen om gebruikersactiviteit te identificeren en controleren. Palo Alto Networks User-ID technologie verhelpt dit gemis aan gebruikersinzicht door een naadloze integratie met industriële directory services zoals Active Directory, LDAP en eDirectory aan te beiden om zodoende op een dynamische manier IP adressen te kunnen koppelen aan gebruikers- en groepsinformatie. Zelfs in Citrix en terminal services omgevingen kan User-ID de gebruikers associëren met hun netwerkactiviteiten om zodoende zeer verfijnde beveiligingsregels op te stellen. Daarenboven is integratie met willekeurige andere gebruikers-repositories mogelijk via een XML-gebaseerde API. Via dit inzicht in gebruikersactiviteiten kunnen organisaties het gebruik van netwerkgebaseerde applicaties en gegevens (‘content’) overzien en controleren op basis van informatie die beheerd wordt in gebruikers-repositories voor zowel individuele gebruikers als groepen van gebruikers. Met behulp van User-ID kunt U nu: • •
•
Inzicht terugkrijgen in gebruikersactiviteit gerelateerd aan de applicaties die zij gebruiken en de gegevens die via deze applicaties worden gebruikt. Kwaliteit van beveiliging te verbeteren door het implementeren van beveiligingsregels die applicaties koppelen aan specifieke gebruikers en gebruikersgroepen in tegelstelling tot dat te doen gebaseerd op IP adressen. Gebruikers van Citrix en Microsoft terminal services gebruikers identificeren en controleren voor hun specifiek applicatiegebruik.
User-ID geeft beheerders volledig inzicht in applicatiegebruik op eindgebruikers niveau en niet slechts op IP adres niveau. Dit maakt het mogelijk om controle over netwerkapplicaties terug te krijgen. In combinatie met App-ID en Content-ID technologieën maakt User-ID het mogelijk om ongeëvenaard inzicht en controle te nemen over gebruikers, applicaties en gegevens.
Content-‐ID Hedendaagse netwerken zitten vol met applicaties die detectie kunnen vermijden. Courante technieken zijn het springen van netwerkpoort naar netwerkpoort, het hergebruik van netwerkpoorten, de emulatie van andere applicaties en het tunnelen van netwerkverkeer via SSL. Het gebruik van ontwijkende applicatietechnieken is enorm populair bij de hackers die dit meer en meer gebruiken om op een onzichtbare manier hun bedreigingen langs de traditionele firewall te sturen. Content-ID is een combinatie van uniforme ‘handtekeningen’ voor bedreigingen, stroming-gebaseerde scanning en een zeer uitgebreide URL gegevensbank met elementen van applicatie inzicht om zodoende een breed spectrum van bedreigingen te kunnen vermijden, evenals het privé surfen op het web en het uitwisselen van ongeautoriseerde gegevensbestanden te kunnen controleren. •
Preventie van kwetsbaarheden (IPS): Palo Alto Networks biedt complete bescherming tegen alle soorten van ongeautoriseerde toegang tot een informatiesysteem of netwerk, inclusief de traditionele uitbuitingen en de nieuwe generaties van hybride en multi-vector bedreigingen. De karakteristieken van de Palo Alto Networks IPS zijn op een onafhankelijke wijze geëvalueerd door NSSLabs (een test-laboratorium in de Verenigde Staten) en daaruit bleek dat de accuratesse zeer hoog is (93.4% ‘catch rate’) en de prestaties op het gebied van snelheid overeenkomen met de onze claims. Het product blokkeert bekende en onbekende kwetsbaarheden in zowel netwerk- als applicatie-uitbuitingen, buffer overflows, DoS (‘denial-of-service’) aanvallen en poortscans die er op uit zijn om essentiële bedrijfsinformatie te compromitteren of te beschadigen. Deze technieken zijn onder meer: o Decodering van protocollen en detectie van afwijkingen. o Stafeful patroonherkenning. o Statistische detectie van afwijkingen. o Heuristiek-gebaseerde analyse. o Blokkeren van ongeldige of misvormde netwerkpakketten. o Defragmentatie van IP en TCP hermontage. o Aangepaste ‘handtekeningen’ voor kwetsbaarheden en ‘phone home’ spyware. Het netwerkverkeer wordt genormaliseerd om zodoende ongeldige en misvormde netwerkpakketten te elimineren. TCP assemblatie en IP defragmentatie wordt gedaan om de best mogelijke accuratesse en bescherming te bieden ongeacht de aanvalstechniek die gebruikt wordt.
•
Stroming-gebaseerde virus scanning: de preventie van virussen en spyware wordt uitgevoerd via stroming-gebaseerde scanning, een techniek waarin de scanning begint zodra de eerste netwerkpakketten van het bestand ontvangen worden. Dit is in tegenstelling tot de traditionele techniek waarin gewacht wordt totdat het volledige bestand in het geheugen geladen is voordat de scanning plaatsvindt. Dit resulteert in minimale problemen met de snelheid en latency omdat netwerkverkeer direct wordt ontvangen, gescand en verzonden naar de bestemming zonder dat het eerst in zijn totaliteit moet worden ontvangen en vervolgens worden gescand. De voornaamste antivirus eigenschappen zijn: o Bescherming tegen een breed spectrum van malware zoals virussen (inclusief HTML en Javascript virussen), spyware downloads, spyware phone home, Trojans en veel meer. o Stroming-gebaseerde detectie van en preventie tegen malware in gecomprimeerde bestanden en web data. o Hergebruik van SSL decodering binnen App-ID om zodoende virussen te blokkeren in SSL verkeer.
•
URL filtering: als aanvulling op de preventie van bedreigingen en de controle over applicaties biedt Palo Alto Networks een volledig geïntegreerde URL gegevensbank aan die zich in de apparatuur bevindt. Deze gegevensbank bevat 20 miljoen URL’s in 76 categorieën waardoor het mogelijk is om volledig inzicht in en controle over het surfgedrag van medewerkers te krijgen. Het is tevens mogelijk om deze gegevensbank uit te breiden met 1 miljoen meer URL’s om zodoende het specifieke surfgedrag van Uw eigen gebruikers te controleren. Daarenboven kunnen URL’s die zich niet bevinden in de lokale gegevensbank verkregen worden vanuit een gehoste gegevensbank met 180 miljoen URL’s en lokaal opgeslagen worden. Beheerders kunnen hun eigen URL categorieën opzetten om zodoende een nog betere controle te kunnen implementeren. De regels voor URL inzicht en controle kunnen gekoppeld worden aan specifieke werknemers via de integratie met User-ID. Tevens bieden de aanpasbare rapporten en logboeken diep inzicht in het surfgedrag.
•
Preventie tegen het uitlekken van gegevens: Beheerders kunnen verscheidene types van regels inzetten om zodoende de risico’s van ongeautoriseerde uitwisseling van gegevens en bestanden te voorkomen. De uitwisseling kan worden gecontroleerd door diep te kijken in de werkelijke inhoud om het bestandstype te identificeren (in plaats van het simpelweg kijken naar de bestandsextensie) en vervolgens de uitwisseling toe te staan of te blokkeren gebaseerd op de beveiligingsregels. Een lek van vertrouwelijke informatie zoals creditkaart nummers kan worden vermeden via detectie van gegevenspatronen in de informatiestroom en uitvoering van de beveiligingsregels.
Content-ID gebruikt de unieke eigenschappen van de Palo Alto Networks SP3 architectuur waardoor een zeer hoge snelheid verkregen wordt zonder negatieve effecten op het netwerkverkeer.