Inte färre lådor i hallen
App-ID är alltså inte spi, stateful inspection – det är mycket mer. Det handlar inte heller om att reducera mängden skyddslådor i datorhallen, lådor som alla gör sin lilla del av skyddet utan att de samverkar med varandra. Att bara plocka ihop dem i en enda låda förbättrar inte samverkan. Hot som hade kunnat elimineras om man bara insett sambandet, slinker igenom.
– Vi skalar av lager på lager av protokollet och identifierar det, ungefär så här: Det där är ssl – vi dekrypterar det. Det är faktiskt https – det kodar vi av. Det är inte alls http utan mönsterigenkänningen säger att det är Googletalk. Eller kanske det är ett okänt protokoll – det måste angripas heuristiskt. Och vad händer den dag kommunikationen plötsligt blir svart? När allting blir krypterat? Skype är redan fullständigt krypterat, säger Chris King.
Sanningen är att detta är signalspaning och inget annat. Som företagare är man mer eller mindre skyldig att hålla ordning på allt som far runt på intranätet och, säger Chris King, när kunderna ser alla applikationer som en applikationsbrandvägg hittar på deras nät, köper de produkten på direkten.
– Frågan ”kände du till det här?” brukar besvaras med en plötslig inandning, i branschen kallat ”åh-nej-ögonblicket”. Man hittar saker som man inte kände till och man brukar hitta människor som gör saker som man inte misstänkte att de gjorde. Det finns exempel på chefer som spelar World of Warcraft och it-ansvariga som öppnar nätet mot sin hemdator. Normalt blir språket lite mustigare än bara ”åh nej”, säger Chris King.
Klarar hela Nordkorea
PAN:s starkaste apparat är så kraftfull att hela Nordkorea skulle kunna köras på en enda av dem. Det gäller alltså att vara försiktig när man tillämpar en dylik apparat på öppna internet. En nederländsk nätleverantör säljer redan tjänsten som en molntjänst till företagskunder som till exempel vill kunna förhindra att de anställda använder sociala medier under arbetstid eller hindra nedladdning av innehåll som inte har med jobbet att göra. Skolorna i Nederländerna gillar det eftersom det ständigt råder en kamp om tillgänglig bandbredd och för att skolelever tenderar att ladda ned och köra många tvivelaktiga filer.
– I dagsläget har PAN identifierat 1 520 stycken olika App-ID:n. Traditionellt hade man behövt en signatur för Bittorrent version 6, en annan signatur för att känna igen sändning, ytterligare en för version 6.2 och en för Bittorrent för Linux. Man kan behöva fler än 70 olika signaturer för att blockera Bittorrent. Vi har bara en enda App-ID för Bittorrent som fångar allt på en gång, oavsett plattform och version. Det handlar helt enkelt om att förenkla för administratören och minska risken för mänskliga misstag, säger Chris King.
Men hur skiljer man ut exempelvis Facebook från andra webbsidor?
– Vi tittar på olika mönster i dataflödet, olika beteenden hos en applikation. Jämför med morsetelegrafister: man känner igen en enskild telegrafist på hans stil med telegrafnyckeln, som är som ett fingeravtryck. När en tillverkare skapar en applikation får den också ett slags fingeravtryck. Den gör http GET på ett särskilt sätt och startar och avslutar transaktioner på ett särskilt sätt – små egenheter alltså. Man kan också se att just Facebook förbrukar mycket bandbredd eftersom den laddar ned massor av klientfunktioner till webbläsaren, som sedan hämtar ny information från Facebook var åttonde sekund. Det är sådant som våra forskare tittar på, förklarar Chris King på PAN.
Clavister är virtuella
Clavisters produktansvarige Johan Edlund menar att hans företag har andra fördelar än PAN.
– Våra brandväggar är byggda från grunden med en liten proprietär kärna som kan köras på allt från små virtuella VMware-system ända upp till stora enterprise-lösningar. Våra produkter kan köpas som programvara medan PAN är hårdvara. Molnleverantörer som vill skydda sina kunder eller sälja en brandväggstjänst kan installera vår produkt som en del av en virtuell server och dessutom köra flera instanser på samma maskinvara, medan PAN är mera 1:1. Oavsett vilket skydd man önskar är allt integrerat, till exempel bandbreddsstyrning.
– Och hos oss köper man ett enda säkerhetsabonnemang där allt ingår, med alla egenskaper som produkten klarar av, alla kommande uppdateringar, samt maskinvarusupport. Man ska kunna prova på virusskydd, applikationsstyrning och så vidare, och vill man fortsätta är det upp till var och en.
– Vi tänker ungefär som PAN i applikationshänseende, snarare än som tidigare, när allt var mera portstyrt. I framtiden vill man kunna veta vad användaren gör, var han eller hon befinner sig och så vidare. Vi menar dock att vi har ett mera lättbegripligt användargränssnitt. Våra partners anser att vi ger bäst prestanda, användbarhet och värde för pengarna. PAN är inte heller den
billigaste leverantören, och inte längre unika i sitt tillvägagångssätt. Allt eftersom utvecklingen går framåt, minskar det unika.
– Applikationsbrandväggen är en viktigt vad gäller byod. Man ska kunna känna igen vilken enhet som ansluter, säkra den med olika tunnlar och styra applikationerna, så att användaren inte kan hämta in applikationer man inte vill ha på nätet. Åtkomsten måste också kunna styras på olika grupper – marknadsavdelningen kanske ska få använda Facebook och Twitter, medan utvecklingsavdelningen inte bör kunna göra det.
– Och Clavister är inte amerikaner! Många kunder vill inte köpa en säkerhetslösning av en amerikansk leverantör. Det är en av våra styrkor.
