Ultrasurf är svår
Men det finns vissa applikationer som är svårare att hantera.
– Ultrasurf är en anonymiserare ungefär som Tor, som är mycket svår att kontrollera. Ultrasurf är bra om man är spion eller bor i ett diktaturland, för den kan slinka igenom brandväggar. Om man är elev kan man använda Ultrasurf för att komma runt url-begränsningarna skolan satt upp. Ultrasurf fungerar som Skype när det gäller att komma runt begränsningar, det testar portar, och dessutom skrivs applikationen om var tredje månad ungefär, på ett så slumpmässigt sätt som möjligt, säger Chris King.
– Våra forskare måste alltid försöka följa med utvecklingen av sådana applikationer och ständigt fylla på listan med App-ID och signaturer för virus och andra hot. Vi hittar flera säkerhetshål hos Microsoft och Adobe än någon annan. Microsoft älskar oss.
Men hur lyckas PAN:s lösning ta hand om så många gigabit per sekund?
– Plattformen består av delar. Den första är programvaran, där vi försöker hålla nere dubbeljobbet. Skulle man bara försöka konsolidera en normal brandvägg med stateful inspection, en nätleverantör och ett separat url-filter till en utm-brandvägg får man flera redundanta behandlingsenheter för lager 2- och lager 3-hantering, mekanismer för trafikklassificering och policyhanterare, medan vi bara har en enda nätverksprocessor, en mekanism för trafikklassificering, en policyhanterare och en innehållsskanner, förklarar Chris King.
– Sedan kommer vi till maskinvaran, och det går åt massor. Som vanligt är dataplanet avskilt från styrplanet. När apparaten skapar en rapport och håller på att tröska igenom långa loggfiler, förblir pakethanteraren helt opåverkad. Och tvärtom. Även om apparaten hanterar väldigt höga laster är användargränssnittet fortfarande snabbt. Dataplanet har separata processorer för nätverkshantering, med maskinvaruaccelererad nat och routning, separata processorer för säkerhetshantering med dekryptering i maskinvara. I den starkaste apparaten sköts detta med 36 processorkärnor. Innehållsskanning, alltså signatursökning, sköts av två andra processorer som klarar 10 gigabit per sekund strömmande. Inga data sparas för senare skanning.
Processorn på styrplanet är av Inteltyp, medan allt det andra är baserat på fpga:er, som Xilinx och Cavium, som gör väldigt snabba säkerhetsprocessorer. En normal konfiguration har en latens på 20 mikrosekunder, men med dekryptering med mera inlagt kan tiden öka till några millisekunder.
Skaffa kontroll på nätverket
När det handlar om byod, bring your own device, kan man inte kontrollera vilka enheter användarna tar med sig och ofta har man ingen koll på applikationerna. Men det man har, eller borde ha, kontroll på är nätverket.
– För att nå företagets resurser bör man kräva att de anställda har en vpn-klient, så att de alltid befinner sig innanför brandväggen. Det otrevliga är när någon har en mobiltelefon och ansluter till företagsnätet från ett kafé. Då måste man ha en klient ombord, som logiskt placerar enheten bakom brandväggen. I det fallet är PAN lösningen på problemen, säger Chris King.
Hoten blir allt mera sofistikerade och så måste även övervakningen bli. Gårdagens högsofistikerade apparater sopas av banan av dagens högsofistikerade hot.
– Skaffa nya kvastar, tipsar Chris King.
Läs mer på nätet
- Mer om Palo Alto: www.paloaltonetworks.com
- Palo Altos riskrapport Application Usage and Risk Report för våren 2012: paloaltonetworks.com/aur
