3. 344 KBfile-sharing
URL category
PowerPoint
file type
“Confidential and
Proprietary”
content
rivanov
user
marketing
group
canada
destination country
172.16.1.10
source IP
64.81.2.23
destination IP
TCP/443
destination port
SSL
protocol
HTTP
protocol
slideshare
application
slideshare-uploading
application function
4. 344 KBunknown
URL category
EXE
file type
shipment.exe
file name
ipetrov
user
finance
group
china
destination country
172.16.1.10
source IP
64.81.2.23
destination IP
TCP/443
destination port
SSL
protocol
HTTP
protocol
web-browsing
application
9. URL
фильтр
DNS
Sinkholing
Динамиче
ские DNS
Detect and
Block
Threat Intelligence = блокировка центров
управления и скачивания malware
URL категория - malware,
DNS Sinkholing,
Anti-Spyware
Сразу
блокируем
ненужные для
работы URL
Сразу видим
DNS запросы
к вредоносным
ресурсам.
Сразу
блокируем
сайты на
динамических
DNS
Сигнатуры
популярных
систем
удаленного
управления
12. Ваши средства мониторинга видят сеть вот так?
Много
трафика
по порту
80
Много
трафика
по порту
53
Много
трафика
по порту
21
Много
трафика
по порту
25
13. Вы знаете что по сети передают данные
200-400 приложений?
14. Прокси-сервер изучает только web
трафик. А остальные 200 приложений
кто будет защищать?
HTTP – Port 80
HTTPS – Port 443
???
???
???
???
???
???
• Фокус на HTTP and HTTPS оставляет
злоумышленнику доступным большой арсенал атак
по другим приложениям
17. Какие задачи решает NGFW для ИТ
Switching, Routing, VLAN, Trunks, Policy Based Routing,
VPN
Визуализация ВСЕХ приложений по стандартным и
нестандартным портам стека TCP/IP
Просмотр и контроль действий пользователей
Mobile Device Management и HIP
18. Какие задачи решает NGFW для ИБ
Новые правила на основе
приложений
имен/групп AD
URL категорий
типов файлов
Единая точка контроля
VPN
Антивирус
IPS
URL категории
Песочница
Threat Intelligence
DNS Sinkholing
Туннелирование/обход firewall
20. Интеграция NGFW в сетевую инфраструктуру
Порт Tap = SPAN порт – для аудита или составления отчетов
Порт Virtual Wire = фильтрующий мост, самое легкое внедрение в сеть
Порт L2 = свитч, поддержка VLAN и VLAN трансляции
Порт L3 = маршрутизатор, поддержка RIP, OSPF, BGP, Multicast
Tap Layer 3
OSPF RIP BGP PBF PIM-SM/SMM IGMP IPv6 NAT VLAN LACP VPN QoS
Virtual Wire Layer 2
22. Техники уклонения от IPS/IDS и Firewall
1. Распространение
вредоносного ПО или
нелегитимного трафика
через открытые порты
нестандартное использование
стандартных портов
создание новых
специализированных протоколов
для атаки
2. Использование
стандартных протоколов
на нестандартных портах –
уклонение от сигнатурного
сканирования
signatures
Port
10000
HTTP
Port
80
23. Туннелирование поверх DNS
Примеры
tcp-over-dns
dns2tcp
Iodine
Heyoka
OzymanDNS
NSTX
Использование рекурсивных запросов для передачи инкапсулированных
сообщений по TCP в запросах удаленному DNS серверу и ответах клиенту
24. Две стороны одного протокола SSL
SSL для защиты данных или чтобы скрыть вредоносную активность?
TDL-4
Poison IVY
Rustock
APT1Ramnit
Citadel
Aurora
BlackPOS
26. Использовать NGFW удобно для приложений 7 уровня –
не нужно помнить стандартные порты приложений
Разрешить MS Lync? Запросто!
1434(UDP), 5060, 5061, 444, 135, 5062, 8057, 8058,
5063, 57501-65535, 80, 443, 8080, 4443, 8060, 8061,
5086, 5087, 5064, 5072, 5070, 5067, 5068, 5081, 5082,
5065, 49152-57500(TCP/UDP), 5073, 5075, 5076, 5066,
5071, 8404, 5080, 448, 445, 881, 5041
А как разрешить bittorent?
27. TRAPS – защита от эксплойтов и песочница Wildfire
предотвращает атаки на хостах
Документ открывает
пользователь, ничего
не ожидая
Traps незаметно
интегрируется в процесс
Техника эксплуатации
блокируется до начала
вредоносной активности
Когда происходит попытка взлома,
то эксплойт вызывает ловушку и останавливается
до того как вредоносная активность начинается
Traps
Traps оповещает о событии и
собирает данные для
анализа
UserAdmin
is Notified
PDF
PDF
PDF
Process is
Terminated
Forensic Data
is Collected
R
R
R
30. Платформа Palo Alto Networks
приносит удовольствие
Обеспечиваем заданную производительность при всех включенных сервисах
безопасности
31. Видеозапись демонстрации защиты от
криптолокеров
https://youtu.be/Z2jmzzZniMo
Email офиса в России: Russia@paloaltonetworks.com
32. Решаемые задачи: защита Интернет-периметра
• Контроль Интернет-доступа на уровне категорий
приложений и пользователей
• Расшифрование входящего/исходящего SSL/SSH
трафика, интеграция с DLP
• Анализ и контроль контента
• URL-фильтрация
• Защита от уязвимостей (IPS), Антивирус, защита от
botnet
• Защиты от угроз «нулевого дня» и APT
(целенаправленных атак)
• Удаленный доступ для мобильных пользователей c
аутентификацией и проверкой соответствия
корпоративной политике
33. Решаемые задачи: защита ЦОД и КСПД
• Контроль пользователей и приложений в ЦОД
• Защита от взлома, проникновений угроз и вирусов в ЦОД
• Антивирус, защита от уязвимостей (IPS), защита от botnet
• Защита от угроз «нулевого дня» и целенаправленных
атак
• Интеграция с виртуальными серверами (VMware, Hyper-V
и др.)
• Защита корпоративных, самописных приложений (пр.
проект РЖД)
• Защиты виртуализированных рабочих мест (VDI)
• Интеграция с DLP, SIEM
34. Решаемые задачи: защита рабочих станций
Предотвращение известных и неизвестных
угроз за счёт применения уникальных методик
анализа
Дополнение новыми функциями безопасности
существующего антивируса
Защита физических (АРМ), виртуальных сред
(VDI) и мобильных ПК
Полноценная интеграция с компонентами
платформы NGFW и Wildfire (песочницы)
35. Ресурсы для изучения технологий Palo Alto Networks
https://applipedia.paloaltonetworks.com/ - список приложений
http://researchcenter.paloaltonetworks.com/app-usage-risk-report-
visualization-2014/ - пузырьковая диаграмма
https://threatvault.paloaltonetworks.com/ - база данных вирусов и атак
https://paloaltonetworks.com/resources/datasheets/product-summary-
specsheet.html - спецификация всех продуктов
www.projectnee.com/HOL/catalogs/catalog/134 - бесплатная лабораторная
среда Vmware NSX + NGFW
live.paloaltonetworks.com – портал с ответами на вопросы и материалами
live.paloaltonetworks.com/t5/Migration-Tool-Articles/Download-the-Migration-
Tool/ta-p/56582 – скачать Migration Tool
36. Пузырьковая диаграмма приложений на Flash
Ссылка на диаграмму
http://researchcenter.paloaltonetworks.com/app-usage-risk-report-visualization-2014/
38. UTD - Unified Test Drive – Threat Prevention лучше
Feature Highlights
UTD-NGFW UTD-TP
UTD-VDC UTD-MP
UTD-AEP
(New)
AWS-TD as UTD
(New)
Application Control Yes Yes Yes Yes No Yes
Modern Malware (WildFire) with VM-Series Yes Yes Yes No No No
Decryption Yes Yes No No No No
URL Filtering Yes Yes No No No No
Control Apps on Non-Standard Port Yes Yes No No No No
Evasive Apps (Block Web Proxy Sites) Yes No No No No No
GlobalProtect Yes No No No No No
In-depth Security Profile (w Threat Traffic) No Yes No No No Yes
DNS Sinkhole No Yes No No No No
Safe Search Enforcement No Yes No No No No
Advanced Endpoint Protection - Traps Introduction No Yes No No Yes No
Advanced Endpoint Protection -Malware and Exploit No No No No Yes No
Review Exploit Chain and Exploit Techniques No No No No Yes No
In-depth ESM Configuration No No No No Yes No
Traps and WildFire Integration No No No No Yes No
Dynamic Object Group No No Yes No No No
Panorama No No Yes No No No
vCenter and NSX Manager No No Yes No No No
NSX traffic steering, security group and policies No No Yes No No No
NSX VXLAN and DFW No No Yes No No No
VM-to-VM traffic control / protection No No Yes No No Yes
Use of VM-1000-HV and VM-100 No No Yes No No No
Use of Migration Tool No No No Yes No No
Import 3rd party config file to Migration Tool No No No Yes No No
Migrate port-based policies to application-based policies No No No Yes No No
PAN-OS verison 7.0 7.0 6.0 7.0 N.A. 7.0
Current Lab version 3.1 3.2 2.0 1.0 1.0 1.0
Я показываю обычно UTD-TP потому что там NGFW + TRAPS
47. Компания PALO ALTO NETWORKS
• 2005 год - Санта-Клара (США)
• Основатель - Нир Зук
• Специализация - межсетевые экраны нового
поколения, защита рабочих станций и облаков
• 3800+ сотрудников Palo Alto Networks
• 37000 + ЗАКАЗЧИКОВ ПО МИРУ: банки, финансовые
услуги, нефтегазовые компании, производство,
телеком, здравоохранение, ритейл, логистические
компании и другие