Så fungerar applikationsbrandväggar

Palo Alto Networks har en hel serie väldigt ”starka” applikationsbrandväggar. De fungerar likadant, det är bara kapaciteten som skiljer.

Då och då dyker det upp något helt nytt på marknaden, något som är så väsensskilt från allt det tidigare att ”uppenbarelse” inte duger för att beskriva känslan man har när man plötsligt förstår hur det fungerar. I stället känner man sig som astronauten Bowman i filmen ”2001” när han åker in i den stora monoliten och avlämnar sin sista rapport: ”My God, it’s full of stars!” Fast när det gäller nätverk borde man snarare utbrista: ”My God, it’s full of junk!”

Det jag pratar om är alltså brandväggar. Förr användes de för att stänga ute det onda och bara släppa in det goda. Den filosofin håller inte längre.

Problemet är numera att onda dokument och program kan döljas inuti goda och en normalt acceptabel källa plötsligt kan börja sända malware. E-post från en godkänd leverantör kan innehålla bilagor med virus. Medarbetarna kan tanka ned godkänd men smittad programvara från Dropbox, det är gammalt. Men Dropbox behövs faktiskt för att folk ska kunna arbeta normalt. Man måste kunna ta risker. Samma sak gäller för dig som vill försöka hålla nere bandbredden – You­tube-videor kan vara nyttigt ibland, så du vill inte blockera dem helt.

Nato är en kund
Palo Alto Networks, förkortat PAN, har angripit problemet med kraftfull teknik, bland annat parallellprocessning. Nato, en av PAN:s kunder, vill gärna att soldaterna ska kunna hålla kontakt med sina nära och kära via Facebook, men vill inte att de ska kunna sprida hot eller känslig information. Då behövs vad man kallar för en applikationsbrandvägg, det som PAN kallar för ngfw – next generation firewall.

Med en sådan kan man följa hur en användare flyttar data mellan olika applikationer och stoppa det man tycker blir farligt. Det kan till exempel vara att Kalle tog emot e-post från Anders via Gmail, pratade med Anders via Googletalk, och sedan skickade Anders en film och då sätter man stopp för det, för man tillåter inte filmer från Dropbox.

Dessutom har videokonsumtionen på företagsnät ökat med i genomsnitt 300 procent de senaste 4 månaderna, enligt PAN. Det borde sända kalla kårar längs ryggraden på varje it-ansvarig.

Låt oss börja med att definiera begreppet applikation i det här sammanhanget. Det är alla tjänster man få på internet, e-post, fillagring, video och ljud, likväl som anonymisering och kryptering samt de saas-tjänster (software as a service) ett företag kan ha köpt i molnet, som bokföring, databaser eller säkerhetskopiering. Tjänsterna nås normalt via http med en webbläsare, men bakom den till synes vanliga webbsidan kan det finnas i stort sett vad som helst. Hur känner brandväggen igen hotet? PAN kallar sin metod för App-ID, applikationsidentitet, en förmåga att känna igen olika webbtjänster och därefter kunna sätta dem i ett sammanhang.

– Vi är helt fokuserade på nätverkssäkerhet. Det började vi med redan 2005, när företaget bildades, säger Chris King, marknadschef för PAN.

– Brandväggen är en strategisk del av nätverkets säkerhet, men vi insåg redan då att den i realiteten hade förlorat förmågan att skydda nätverket. All trafik flyter via brandväggen, den håller isär in- och utsida och är den enda enhet i nätet som har vad vi kallar en positiv styrmodell, som fungerar enligt ”Jag vill släppa igenom A, B och C och allt annat får stanna ute. Jag vet inte vad allt det andra är, jag ska bara släppa igenom A, B och C”.

Systemet skalar av lager efter lager i dataströmmen, tills det finner hotet allra längst in.

Två dåliga antaganden
– På den tiden släppte brandväggarna igenom trafik baserat på portar och ip-adresser. Om man till exempel säger att ”Jag vill tillåta surfning” så får man brandväggen att tillåta port 80. Därmed antar man att det rör sig om http-trafik och att all http-trafik är surfning.

Chris King, marknadschef PAN.

– Det var två dåliga antaganden, för omkring år 2001 började instant message-applikationer dyka upp som använde olika portar. Skype och bittorrent var särskilt duktiga på detta. Skype provar över 6 000 portnummer och är en typ av programvara vi kallar för svårfångad – evasive software. Den är inte ond egentligen, den får bara jobbet gjort. Det finns alltid en öppen port någonstans och Skype håller på tills den hittar den. Man kan använda sig av kryptering, man kan hoppa mellan portar eller dölja applikationen i http och så vidare, tills man kommer igenom brandväggen, säger Chris King.

Vill man minska attackmöjligheterna räcker det inte med att minska antalet portar, utan man måste också minska attackytan, antalet tillåtna applikationer på nätet, till exempel genom att bara tillåta Skype, Bittorrent (för it-avdelningen som måste hämta iso-filer till Linux), Sharepoint och SSH (men bara på standardporten), och så vidare.

Därefter söker man igenom trafiken efter kända hot och förbjuder trafik från skadliga källor.

Det sista steget är att utforska det okända. Med en koppling till AD och dess rolldefinitioner kan man dela in företaget i olika säkerhetsgrupper, så det som är tillåtet för vissa kan vara förbjudet för andra.

Är då den nya generationens brandväggar lika snabba som de äldre? Om datacentret kräver 10 gigabit per sekund väljer man en brandvägg som klarar den hastigheten. Den har ett tyngre jobb, men då får man kompensera med mera datakraft. Att skala av tre lager protokoll är tungt och det måste göras på vartenda paket. Men blir det dyrare på grund av det?

– Nja, man får vad man betalar för. Vi anser att den blir billigare räknat i pris kontra prestanda, för vi har kastat ut en massa gammal programvara och dess begränsningar och gjort om det från början. Våra konkurrenters prestanda kommer att minska med ökande antal kontroller, eller också får de bygga en kraftigare och dyrare apparat, säger Chris King på PAN.

– Vår produkt är unik på det sättet. Alla andra använder sig av stateful inspection och säger exempelvis ”tillåt port 80”, medan vi säger ”tillåt Skype”. Nyckeln till detta är applikationsidentifieringen.