نگاهی بر فایروال های نسل جدید پالوآلتو

امروزه با توجه به تغییرات اساسی در اپلیکیشن ها، چشم انداز تهدیدات، رفتار کاربران و همچنین زیرساخت های شبکه شاهد آن هستیم که امنیت فایروال های قدیمی که مبتنی بر پورت بودند، به طرز چشمگیری کاهش یافته است. حالا دیگر کاربران با استفاده از ابزارهای گوناگون، در فایروال های نسل جدید پالوآلتو به انواع مختلفی از اپلیکیشن ها دسترسی دارند. بنابراین هر سازمانی باید با توجه به استفاده از دیتاسنتر، مجازی سازی یا فضای ابری، در جستجوی راهکارهای مناسب به منظور تغییر روش دسترسی به اپلیکیشن ها و تامین امنیت شبکه خود باشد.

راهکارهای قدیمی که پیش از این ارائه می شد، شامل مسدود کردن ترافیک های مرتبط با اپلیکیشن ها از طریق لیست ارائه شده بود؛ اما در روند کسب و کار، اختلال ایجاد می کرد و یا تمام ترافیک های اپلیکیشن ها را مجاز می دانست که این روش نیز، خطرات امنیتی فراوانی به بار می آورد. چالشی که سازمان ها با آن روبرو هستند این است که فایروال های قدیمی که مبتنی بر پورت بودند، حتی با مسدود کردن اپلیکیشن های bolt-on نیز، جایگزینی برای هر دو رویکرد ارائه نمی داد. برای ایجاد تعادل بین دو حالت مذکور، یعنی مسدود کردن کل ترافیک و یا مجاز دانستن آن ها، می بایست با استفاده از المان های مرتبط با کسب و کار مانند هویت فردی که از اپلیکیشن استفاده می کند و نوع محتوا؛ به عنوان پالیسی های امنیتی فایروال، فعال گردند.

الزامات فعال سازی ایمن اپلیکیشن ها

  • به جای پورت ها، باید اپلیکیشن ها شناسایی شوند: به منظور تعیین هویت اپلیکیشن ها، صرف نظر از پروتکل و رمزنگاری ، باید ترافیک بلافاصله پس از دریافت توسط فایروال، طبقه بندی شود. سپس می توان از هویت به دست آمده به عنوان مبنایی برای تمامی پالیسی های امنیتی استفاده نمود.
  • استفاده از اپلیکیشن را صرف نظر از موقعیت مکانی یا دستگاه می بایست به هویت کاربر مرتبط دانست نه آدرس آی پی: بهتر است با استفاده از اطلاعات کاربران از دایرکتوری های سازمانی و سایر منابع، پالیسی های مبتنی بر فعال سازی را برای همه کاربران، صرف نظر از لوکیشن و یا دستگاه آن ها، اجرا نمود.
  • مقابله با تهدیدات شناخته شده و ناشناخته: با تجزیه و تحلیل ترافیک می توان از اکسپلویت های شناخته شده، بدافزارها، جاسوس افزارها و URLهای مخرب اجتناب کرد و به صورت خودکار در برابر بدافزارهای ناشناخته و هدفمند، محافظت نمود.
  • تسهیل مدیریت پالیسی ها: با استفاده از ابزارهای ساده گرافیکی، یک policy editor یکپارچه، template ها و گروه بندی ها می توان اپلیکیشن ها را به صورت ایمن فعال ساخت و فرایند کاری مدیریتی را کاهش داد.

“پالیسی های فعال سازی ایمن اپلیکیشن ها” بدون توجه به موقعیت مکانی، به بهبود وضعیت امنیتی کمک فراوانی می کنند. در محیط های فیزیکی می توان میزان تهدیدات را با مسدود کردن طیف گسترده ای از اپلیکیشن های ناخواسته و بازرسی اپلیکیشن های مجاز کاهش داد. به عبارت دیگر، کاربران مجاز، تنها از اپلیکیشن های دیتاسنتر استفاده می کنند و به این ترتیب از محتوا محافظت می شود و همچنین چالش های امنیتی ناشی از ماهیت پویای زیرساخت مجازی را برطرف می کند. نکته جالب توجه اینجاست که امنیت شعب سازمانی و همچنین کارمندان دورکار را نیز می توان با همان مجموعه پالیسی های به کار گرفته شده در دفتر مرکزی تامین کرد.

فعال سازی اپلیکیشن ها و افزایش امنیت

فعال سازی پالیسی ها برای فایروال های نسل جدید پالوآلتو در محیط های فیزیکی از جمله شعب سازمانی، تلفن های همراه و کاربران دورکار، بر اساس شناسایی کل ترافیک، صورت می گیرد. سپس به صورت انتخابی و بر اساس هویت تایید شده ی کاربران، ترافیک مجاز می گردد. در نهایت کل ترافیک به منظور بررسی تهدیدات احتمالی، مورد بررسی و اسکن قرار می گیرد. نمونه هایی از پالیسی ها می توانند شامل موارد ذیل باشند:

  • بهتر است استفاده از webmail یا حساب های کاربری ایمیل تحت وبو پیام رسان های فوری به چند انتخاب محدود شوند، مواردی که از SSL استفاده می کنند، رمزگشایی شوند، ترافیک به منظور بررسی اکسپلویت ها مورد بررسی قرار گیرند و همچنین فایل های ناشناخته با هدف تجزیه و تحلیل و همچنین به کارگیری signature در WildFire آپلود شوند.
  • پخش فایل های media هیچ مشکلی ایجاد نمی کند، اما می بایست QoS و اقدامات مربوط به پیشگیری از بدافزارها برای کاهش تاثیراتی که بر روی اپلیکیشن های VoIP دارد و همچنین محافظت از شبکه، اعمال گردد.
  • بخش game فیس بوک و سایر افزونه های اجتماعی مسدود شود و امکان پست گذاری در فیس بوک، تنها با هدف بازاریابی صورت گیرد. در ضمن می بایست کل ترافیک فیس بوک به منظور بررسی اکسپلویت و بدافزار، اسکن شود.
  • جستجو در اینترنت در کنار اسکن ترافیک، تنها به موارد مرتبط با کسب و کار محدود شود؛ در عین حال، دسترسی به سایت های غیر مرتبط با فرایند کاری، مسدود شود. در ضمن دسترسی به سایت های مشکوک از طریق دسترسی coach و به صورت مسدود کردن صفحات منتخب، صورت گیرد.
  • با استفاده از اعمال تاکتیک های امنیتی، می توان پالیسی های یکسانی را برای همه کاربران، تلفن های همراه یا کاربران دورکار و با بهره گیری از GlobalProtect اعمال کرد.
  • بهتر است از استراتژی هایی استفاده شود که به طور مشخص کل اپلیکیشن های ناخواسته را مسدود کند مانند اپلیکیشن های P2P و ترافیک های ایجاد شده از سایر کشورها؛ در این صورت به کاهش خطرات امنیتی ناشی از ترافیک های برخی از اپلیکیشن ها، کمک فراوانی می گردد.
  • دسترسی به گروه های مالی در فایروال های نسل جدید پالوآلتو تحت کنترل باشد، ترافیک ها در پورت های استاندارد هدایت شوند و ترافیک ها با هدف حضور اپلیکیشن های آسیب پذیر، مورد بررسی قرار گیرند.
  • تنها گروه IT با استفاده از مجموعه ی ثابتی از اپلیکیشن های مدیریتی از راه دور مانند SSH، RDP و Telnet و از طریق پورت های استاندارد به دیتاسنتر دسترسی داشته باشند.
  • تنها تیم مدیریتی اجازه دسترسی به Microsoft SharePoint Administration داشته باشند و سایر کاربران می توانند به Microsoft SharePoint Documents دسترسی داشته باشند.

محافظت از اپلیکیشن های فعال شده

“فعال سازی ایمن اپلیکیشن ها” شامل مراحل مختلفی می باشد که ابتدا اجازه دسترسی به برخی اپلیکیشن های خاص داده می شود، سپس پالیسی هایی به منظور مسدود کردن اکسپلویت های شناخته، بدافزارها و جاسوس افزارهای شناخته شده و ناشناخته اعمال می گردد و در نهایت انتقال فایل ها و داده ها و همچنین کلیه فعالیت های جستجو در وب، تحت کنترل قرار می گیرند. تاکتیک های معمول و رایج فرار مانند port-hopping و tunneling توسط پالیسی های جلوگیری از تهدیدات و با استفاده از پروتکل ها و اپلیکیشن های ایجاد شده توسط رمزگشاها (decoder) در App-ID شناسایی می شوند. در مقابل، راهکارهای UTM برای مقابله با تهدیدات، رویکردهای silo-based را با هریک از قابلیت های فایروال، IPS، AV، URL filtering انتخاب می کنند و کل ترافیک را اسکن نموده، بدون اینکه محتوایی را به اشتراک بگذارد؛ و در این صورت امنیت آن ها را بیشتر تامین می کند.

مسدود کردن تهدیدات شناخته با استفاده از قابلیت IPS و Network Antivirus/ Anti-spyware: یک فرمت مبتنی بر signature و اسکن stream-based به محافظت از شبکه در برابر طیف گسترده ای از تهدیدات، کمک فراوانی می کند. Intrusion prevention system (IPS) با اسکن کردن پورت، اقدام به شناسایی و مسدود کردن شبکه و اپلیکیشن هایی می کند که با اکسپلویت ها، buffer overflow و حملات DoS روبرو شده اند. قابلیت Antivirus/Anti-spyware می تواند میلیون ها بدافزار مختلف و همچنین هر گونه بدافزار ایجاد شده توسط ترافیک command-and-control، ویروس های PDF و بدافزارهای پنهان شده در فایل های compress شده و ترافیک های وب (compressed HTTP/HTTPS) را مسدود کند. و اما رمزگشایی SSL مبتنی بر پالیسی از طریق تمام اپلیکیشن ها و بر روی تمام پورت ها می تواند در برابر بدافزارهایی که در اپلیکیشن های رمزنگاری شده SSL منتقل می شوند، محافظت کند.

مسدود کردن بدافزارهای هدفمند با استفاده از WildFire: تمامی بدافزارهای ناشناخته و یا هدفمند را می توان توسط WildFire شناسایی و آنالیز کرد، که فایل های ناشناخته را مستقیما در یک محیط sandbox مجازی مبتنی بر فضای ابری، مشاهده و اجرا می کند. لازم به ذکر است WildFire قادر است بیش از 100 رفتار مخرب را نظارت کند و فورا برای مدیر شبکه، هشدار ارسال کند. اشتراک در WildFire منجر به ارائه ی حفاظت، لاگین شدن و گزارش دهی ارتقا یافته ای خواهد شد. به هنگام ظهور یک بدافزار جدید در هر نقطه از جهان، یک کاربر به عنوان مشترک (subscriber) می تواند در فاصله زمانی یک ساعته در برابر آن، محافظت شود و پیش از آن که بتواند تاثیری بر روی سیستم کاربر مورد نظر بگذارد، متوقف می گردد. در ضمن کاربر مشترک، می تواند به لاگین ها و گزارش دهی های یکپارچه و همچنین API برای ارسال نمونه به فضای ابری WildFire جهت آنالیز، دست پیدا کند.

شناسایی هاست های آلوده به بات: App-ID تمامی اپلیکیشن ها را از طریق کل پورت ها، از جمله ترافیک ناشناخته که می تواند ناهنجاری ها یا تهدیدات شبکه را آشکار کند، طبقه بندی می کند.

کاری که گزارش رفتاری بات نت انجام می دهد این است که ترافیک ناشناخته، DNS مشکوک و درخواست های URL و همچنین انواع مختلف رفتارهای غیر عادی شبکه را برای آشکار کردن دستگاه هایی که ممکن است آلوده به بدافزار شده باشند را با هم مرتبط می سازد. نتایج به دست آمده به صورت لیستی از هاست های آلوده که می توانند توسط اعضا احتمالی بات نت مورد بررسی قرار گیرند، ارائه می شود.

انتقال داده ها در فایروال های نسل جدید پالوآلتو و فایل های غیر مجاز محدود شود. قابلیت فیلتر کردن داده ها، به مدیران شبکه این امکان را می دهد که با اعمال پالیسی های مخصوص، خطرات مرتبط با انتقال داده ها و فایل های غیر مجاز را کاهش دهند. فرایند انتقال فایل ها را می توان با مشاهده ی فایل ها (به جای توجه به پسوند آن ها) تحت کنترل داشت؛ و به این ترتیب می توان به درستی تعیین کرد که آیا عمل انتقال مجاز است یا خیر. فایل های اجرایی که معمولا در drive-by download (به دانلود ناخواسته کدهای مخرب بر روی کامپیوتر و یا تلفن همراه اشاره دارد که کاربران را در معرض انواع تهدیدات قرار می دهد ) یافت می شوند را می توان مسدود کرد، بنابراین از شبکه در برابر انتشار بدافزارهای غیر قابل مشاهده جلوگیری به عمل می آید. قابلیت فیلتر کردن داده ها می تواند الگوی داده ها اعم از کارت اعتباری یا شماره شهروندی را شناسایی و کنترل کند.

کنترل و نظارت بر وب گردی در فایروال های نسل جدید پالو آلتو : قابلیت فیلترینگ URL که به صورت کاملا یکپارچه و قابل سفارشی سازی می باشد به مدیران شبکه این امکان را می دهد تا پالیسی های web browsing را به طور دقیق و کامل اعمال کنند، پالیسی های نظارت و کنترل بر اپلیکیشن ها را تکامل بخشند و همچنین شبکه ی سازمانی را در برابر طیف گسترده ای از تهدیدات محافظت نمایند. علاوه بر این می توان دسته های طبقه بندی شده ی URL را در پالیسی ها مورد استفاده قرار داد تا به صورت دقیق تر و جزیی تر بر روی رمزگشایی SSL، QoS و امثال آن داشته باشند.