Firewall Teknolojilerindeki Yenilikler

1
Firewall Teknolojilerindeki Yenilikler

• Hakan ÜNSAL
• InTellect A.S.

2
Altyapida Ne Var?

• Paket Filtreleme Sistemleri
• Uygulama Seviyesi Geçitler (Proxy)
• Durumsal Denetim (Stateful Inspection)
• Karma Atesduvarlari (Hybrid Firewall)

3
Paket Filtreleri(Yönlendiriciler)
E-Mail
FTP
Telnet
E-Mail
FTP
Telnet
???
Kaynak
Hedef

• Paketler Ag Katmaninda incelenir
• Ilk Savunma Katmani olarak faydali çogunlukla
  routerlar üzerinde uygulanir
• Basit Kabul ya da Ret karar modeli
• Üst Protokol Katmanlarindan haberdar degil

4
Uygulama Seviyesi Geçitler(Proxy)
E-Mail
FTP
Telnet
E-Mail
FTP
Telnet
Kaynak
Hedef

• Paketler Uygulama Katmaninda incelenir
• Uygulama/Içerik Filtreleme mümkündür örn. FTP
  PUT komutlarina engellenebilir
• Ortalama bir performans sergiler (her baglanti
  için aslinda iki baglanti)
• Ölçeklenebilirlik ve servis destegi sinirlidir

5
Durumsal Denetim(Stateful Inspection)
E-Mail
FTP
Telnet
E-Mail
FTP
Telnet
Uygulamalar
Sunum
Oturum
Iletim
Ag
Data link
Fiziksel
Kaynak
Hedef

• Paketler kernel seviyesinde Data Link ve Ag
  Katmani arasinda incelenir
• Baglatinin durumu takip etmek için Durum
  Tablolari tutulur
• Yüksek performans, uygulama serbestisi

• Genis uygulama alani (HE sunucular, switchler,
  PDAler, kablo modem)

6
Durumsal Denetim Akisi
Paket connections tablosunda yer alan bir
baglantiya ait mi?
hayir
hayir
evet
evet
kabul
ret
7
Durumsal Denetim Avantajlari

• Kernel Seviyesinde Inceleme
• Isletim Sistemini korur
• Tüm interfacelerden geçen tüm giren/çikan
  paketler incelenir
• Tüm Uygulama Katmanlarindan Haberdar
• Dinamik durum tablolari baglanti asamalarini
  depoluyor
• Çikan (outbound) baglantilar onaylanir ve cevap
  paketleri kabul edilir
• Tüm (2-7) protokol katmanlari incelenir
• Her tip servis için destek
• TCP, UDP, ICMP, RPC, digerleri...

8
Hibrid Firewalllar
HTTP
FTP
Uygulamalar
HTTP
FTP
Sunum
Oturum
Iletim
Ag
Data link
Fiziksel
Kaynak
Hedef

• Paketler DL/Ag Katmani arasinda incelenir ve
  sartli olarak Uygulama Katmanina geçirilir
• Paket Filtreleme ve Proxylerin avantajlari
  birlesir
• Yüksek hiz
• Gerektiginde içerik inceleme

9
Neden Hibrid?

• Paket Filtreleme/Durumsal Denetimin performans
  avantaji
• Proxylerdeki seviyede güvenlik
• Servis destegi, ölçeklenebilirlik
• Paket filtreleme paketleri teker teker inceler
  (büyük resmi görmezler!)
• Uygulama Proxyler ise tüm iletisimi yeniden
  olusturur

Performans ve Güvenlik Bir Arada
10
Iyi Bir Firewall ve Yönetim Sisteminden Neler
Beklemelisiniz?
11
Merkezi Yönetim, Tek Konsol
12
Yönetim Araçlari(SmartMap)
13
Merkezi Yönetim (NAT)
14
Merkezi Yönetim (QoS)
15
Merkezi Yönetim(Uzak Masaüstü Güvenligi)
16
Merkezi Yönetim(Web Güvenligi)
17
Büyük Resim OPSEC destegi
SmartCenter Yönetim Konsolu
Sertifika Otoritesi
Dizin Sunucu
Politika Düzenleyici
Authentication Sunucu
Raporlama ve Analiz
Içerik Güvenligi Sunucusu
Atak Tespit
LAN
URL Kategorizasyon Sunucusu
Kurumsal Yönetim Platformu
VPN-1 FireWall-1 FloodGate-1
Internet
IP Adres Yönetimi
VPN-1 SecureClient
DMZ
Uygulama Sunucu
VPN-1
18
Günümüzdeki Durum

• Kurumlar güvenlige katmanli yaklasimi tercih
  ediyorlar (etmeliler)
• Firewall
• Anti-virus
• Atak Tespit (IDS)
• Authentication çözümleri
• digerleri...
• Firewalllar IDSler ile yarisamaz ama ....
• Bulunduklari pozisyonu özellik arz ediyor
• Ilk savunma hattinda yer aliyorlar
• Saldirilari tespit ve reaksiyon sansina sahipler

19
Saldirilara Uygun Bir Sekilde Yanit Vermek Için
Gereken Nedir?

• Tespit ve Bloklama
• Bilinen ve yeni çikan ag ataklari
• Merkezi Yönetim ve Kontrol
• Tüm kurum çapinda tutarli ve uyumlu güvenlik
• Akilli, Dinamik Yanitlar
• Güvenlik seviyesini güncel tutmak için on-line
  güncellemeler
• Gerçek Zamanli Atak Bilgileri
• En son ataklar hakkinda güncel bilgiler
• Bloklanan ataklar hakkinda forensics bilgi

20
CheckPoint SmartDefense
21
SmartDefense Güncellemeleri
22
Örnek Bir Tehdit - Web virüsleri/solucanlar

• HTTP günümüzde webdeki en yaygin protokol
• Çogu networklerde tamamen geçerli nedenlerle
  içeri/disari izin verilir
• Web sunucular masaüstüne, yazicilara vs. kadar
  yayildi güvenlik riskinin gerçeklesmesi
  durumunda etkisi de büyük olacaktir
• Web-kaynakli ataklarin çogalan ve tehlikeli
  tehditi söz konusu

23
SmartDefense Çözümü - TCP Streaming

• Kernel-seviyesinde patern uydurma
• Yüksek hizda virüs/solucan bloklamaya imkan
  saglar
• v4.1de statik Code Red, Nimda bloklama zaten
  vardi
• Regular Expression destegi (NG)
• Imzalarin dosyalardan okunma (import) imkani

24
SmartDefense HTTP Güvenligi

• URL uzunluk sinirlamalari
• Gömülü binary karakter içeren URLler ya da web
  sunucu yanitlarinin bloklanma imkani
• HTTP maksimum header sayilarinda sinirlar

25
Bir Baska Örnek Tehdit - FTP ve DNS

• Malformed ya da gömülü FTP komutlari yaygin
  saldiri metodlarindandir
• FTP komutlari bir web sayfasi ya da email içine
  gömülebilir, birçok firewall bunlari geçerli FTP
  komutu olarak yorumlar ve yeni baglantilar açar
• Birçok network DNSe içeri/disari izin verir ama
  paketlerin içerigini kontrol etmez
• Gerçekten DNS mi yoksa sadece UDP 53 mü?
• UDP 53 üzerinden ICQ

26
SmartDefense Çözümleri - Stateful Validation

• Malformed FTP komutlarinin tespiti
• NL/CR, geri baglantilar vs. üzerinde siki
  kontroller
• FTP komutlari üzerinde granüler kontroller
• Detayli loglama
• DNS Gerçekleme
• Paketlerin gerçek DNS sorgulama/yanitlari olup
  olmadiginin kontrolü
• Veri kontrolü önbellek tasmalarini engeller
• Detayli loglama

27
SmartDefense Sürekli Tekrarlanan Olaylar

• Eskiden Check Point Malicious Activity Detection
  olarak biliniyordu
• Sürekli tekrarlanan olaylar tespit edilir ve
  alarmlar / reaksiyonlar üretilir
• Süpheli hareketler için loglar gerçek zamanli
  olarak analiz edilir
• Yeni GUI

28
SmartDefense Sürekli Tekrarlanan Olaylar

• Loglar süpheli hareketler için analiz edilir
• SYN flood
• IP Spoofing
• Port tarama
• Bloke edilen baglantilarin port taramasi
• Land/DoS ataklari
• Local Interface Spoofing
• Tekrarlanan Alarmlar
• Üstüste yapilan baglanti istekleri (örn. Web
  server bombardimani)

29
Platform Seçenekleri

• Ana Hedefler
• Kurulusun basitlestirilmesi
• IPSO 3.5 IP530 üzerinde 4 dk. kurulur (CP dahil)
• SecurePlatform PIII makinede 8 dk. kurulur (CP
  dahil)
• Sistem konfigürasyonunu basitlestirilmesi
• Daha güvenli bir altyapi
• Max. OS güçlendirme
• Bakim/tutum islemlerinin basitlestirilmesi, TCO
  düsürülmesi
• Örn. Tek klikle full backup/restore
• Tali Hedefler
• Alt seviye degisikliklerin kolaylastirilmasi
  (örn. driver optimizasyonu, performans tuning vs.)

30
SecurePlatformTeknik Bilgiler

• Boot edilebilir CD
• 5 dakikadan az bir sürede tam kurulus
• Tam anlamiyla güçlendirilmis bir OS
• Kernel 2.4.9-31 bazli
• Birçok gereksiz kernel özelligi atilmistir
• RPMS
• Sadece gerekli RPMSler yüklenir
• Tüm RPMSler yeniden paketlenmis ve sadece
  gerekli dosyalari içerecek sekilde düzenlenmistir
• Tüm post-install ve konfigürasyon dosyalari
  gözden geçirilmistir
• Bazi istatistikler SecurePlatform / IPSO 3.5
  / RH 7.2
• Kurulum Boyu 277MB / 60MB / 868MB
• Dosya sayisi 11,048 / 2,000 / 59,485
• CD-ROM/Image Boyu 121MB / (28MB, 34MB) / 653MB

CD içerigi VPN-1, SmallOffice, FG-1, RTM.
Hepsi NG FP2 bazli. OS Image içerigi IPSO
3.5FCS8. CP Image içerigi VPN-1, SmallOffice,
FG-1, RTM. Hepsi NG FP2 bazli. Workstation
olarak kurulmus, CheckPoint yüklü degil
CD with VPN-1, SmallOffice, FG-1, RTM.
Installed with VPN-1 NG FP2 Installed as
Workstation without Check Point software.
31
Performans Degerleri

• Dual Xeon 1.7Ghz, 1GB RAM, Dual 66/33Mhz
  64/32bit PCI bus
• Firewall 1074Mbps
• VPN IKE 3DES/MD5 71.44Mbps (no HW/SW Accel)
• VPN IKE AES-128/MD5 225Mbps (no HW/SW Accel)
• Dual 2.2Ghz, 512MB RAM, 4xPCI X Bus, 4xIntel
  PRO1000XF NICS Performance Pack
• Firewall 3131Mbps/416,000pps
• Dual 2.2Ghz, 1 GIG RAM, Dual 66/33Mhz 64/32bit
  PCI bus
• Firewall 1170Mbps
• VPN IKE AES-128/MD5 710Mbps

32
Gelecekte Planlananlar(Hepsi su anda IPSOda var)

• Sistem için Web GUI
• Konfigürasyon özellestirmesi, sessiz kurulum
• Çoklu boot profilleri
• Otomatik yazilim güncellemesi
• SSH için client sertifikalari
• Dynamic Routing destegi
• Daha detayli yönetim araçlari

33
IPv6 Networkler Için Ilk Firewall

• IPv6nin farki nedir?
• Daha çok IP adresi (adres alani üstel olarak
  artiyor)
• NAT tarihe karisacak
• Yönlendirme (routing), otomatik konfigürasyon ve
  güvenlik için diger yenilikler
• Kimler kullaniyor?
• Üniversiteler
• Hücresel servis saglayicilar
• Çok adrese ihtiyaci olan büyük organizasyonlar

ANALIZ
IPv6
IPv6
LOG
FireWall-1
34
Peer-to-Peer Uygulamalar

• Hangi portu kullanirsa kullansin
• Dosya Paylasim Kazaa, Gnutella, vb.
• Aninda Mesajlasma AOL, Netscape, Yahoo, vb.
• Örnekler
• Sadece belli kullanicilarin yada belirli
  periyotlarda kullanma izni
• Bu servislerin önceliginin FloodGate-1 ile
  azaltilmasi

P2P ve IM uygulamalari için gerçek durumsal
denetim (sadece 80 portundan akanlar degil)
35
Microsoft Paylasilan Sunucular (CIFS)

• MS CIFS destegi, paylasilan sunucular üzerinde
  detayli kontrol imkani sagliyor

DC üzerinde UserAuthority
DMZ
Internet
Web Sunucular
Örnek UserAuthority sayesinde sadece belli bazi
kullanicilarin Web sunucular üzerinde doküman
yayinlamasina imkan verilebilir
36
SOHO/ROBO Güvenligi
Safe_at_Home Demo Safe_at_HomePro Demo Safe_at_Office Demo
37
Yaygin VPN-1 Konfigürasyonlari

• Uzaktan Erisim VPN
• Site-to-Site VPN
• Multi-Site Intranet VPN
• Multi-Site Extranet VPN
• Açik Anahtar Altyapisi (PKI) destegi de içeren
  IPSec uyumlu VPN
• Client/Server VPN

38
Uzaktan Erisim VPN

• Kullanici Gereksinimleri
• Kurumsal agin korunmasi
• Dial-up erisim yapan mobilpersonel için güvenli
  uzaktan erisim
• Broadband servisler kullanip uzaktan çalisan
  personel için ekstra güvenlik
• Wireless Clientlar için güvenlik (önemli!)
• Üniversal VPN (Clientless VPN)
• MS Windows L2TP/IPsec VPN Client
• Web browser (SSL) VPN client
• Windows, Macintosh ve Linux için VPN client
  personal FW
• VPN-1 Çözümü
• VPN-1 Internet Gateway ile saglananlar
• Dahili aginiz için FireWall-1 korumasi
• Mobil ve uzak kullanicilar için VPN baglantisi
• VPN-1 SecuRemote mobil kullanicilar için VPN
  erisimi saglar
• VPN-1 SecureClient genisband ya da Wireless VPN
  clientlar için VPN erisimi ve kisisel firewall
  korumasi saglar

39
Client Güvenlik Garantisi

• Önceden tanimlanmis güvenlik kontrolleri

Örnek Kontroller Ekran Koruyucu konfigürasyonu
Timeout ve passwordü olan ekran koruyucu olup
olmadiginin kontrolü OS ve Domain Logon kontrolü
Kullanicinin domain ya da makinada belli bir
gruba üye oldugunun kontrolü Process Monitör
Belli bir prosesin (executable) çalistigindan
(örn. anti-virus), veya çalismadigindan (örn.
ICQ) emin olma Internet Explorer Monitör
Browser güvenlik ayarlarinin ve versiyonun
kontrolü (güvenlik patchlerinin uygulandigindan
emin olma) Isletim Sistemi versiyonu
SecureClient makinasinin OS ve versiyon (SP)
kontrolü
40
Site-to-Site Intranet VPN
FR / LL
VPN-1 Net
Ankara Ofisi

• Kullanici Gereksinimleri
• Istanbuldaki Mrkz ile uzakdaki ofisler arasinda
  güvenli baglanti
• Her uzak site için merkezi politika kontrolü
• Mümkün olan en güçlü sifreleme
• F/R sebekesi üzerinde sadece güçlü sifreleme
• VPN-1 Çözümü
• VPN-1 Enterprise VPN Center ile saglananlar
• Merkezdeki ag için sinirsiz IP korumasi saglayan
  VPN-1 Modül
• VPN-1 Kurumsal Yönetim Konsolu
• Triple DES / AES 128-256 bit sifreleme
• VPN-1 Modül, uzak ofis için tek VPN uygulama
  noktasi hizmetini saglar

Kurumsal Mrkz Istanbul
VPN-1 SmallOffice
VPN-1 Pro
Internet
Uzak Ofisler
Safe_at_Office
41
Multi-Site Intranet VPN
Politika-tabanli Yönetim Konsolu

• Kullanici Gereksinimleri
• Kurumsal Mrkz ve Ankara, Izmir ofisleri arasinda
  güvenli baglanti
• Brans ofisleri için maliyet-etkin ag korumasi ve
  yönlendirme
• Merkezi politika yönetimi
• Yüksek performans
• VPN-1 Çözümü
• VPN-1 FloodGate-1 Enterprise VPN Center ile
  saglananlar
• Kurumsal merkez agi için koruma
• VPN-1 kurumsal yönetim konsolu
• Güvenilir QoS için bantgenisligi yönetimi
• 2 x VPN-1 Gateway modülün sagladiklari
• Brans ofisleri için ag korumasi
• Güçlü sifreleme ve authentication metotlari
  arasinda seçim özgürlügü

Ankara
Kurumsal merkez agi
Internet
Izmir
42
PKI Tabanli Hibrid IPSec VPN

• Kullanici Gereksinimleri
• Merkez ag, brans ofisleri, önemliis ortaklari ve
  uzak kullanicilar arasinda güvenli iletisim
• Güçlü sifrelemeve authentication
• Ölçeklenebilir anahtar yönetimi
• VPN-1 Çözümü
• VPN-1 Enterprise VPN Center
• OPSEC uyumlu CA sunucular
• Entrust, Baltimore, Verisign, MS CA, vb.
• Netscape Directory Server, MS AD, OpenLDAP
• Account Management modülü
• VPN-1 SecuRemote veya VPN-1 SecureClient

43
Client/Server VPN

• Kullanici Gereksinimleri
• Kritik veritibani uygulamalari ile LAN
  clientlari arasinda güvenli baglantilar
• Güçlü sifreleme ve authentication sayesinde
  dahili saldirilar ve uygunsuz kullanima karsi
  koruma
• VPN-1 Çözümü
• VPN-1 Enterprise VPN Center
• VPN-1 SecureServer
• VPN-1 SecuRemote ve/veyaVPN-1 SecureClient

Veritabani Sunucu
LAN clientlari
Internet
Kritik verilere sahip LAN clinetlari
44
Yeni Nesil VPNlerden Beklenenler

• Yeni güvenlik risklerine karsi koruma
• Genisband erisime sahip VPN clientlar için
  koruma
• VPN clientlarin her zaman güvenli olduklarini
  garanti etme
• Ölçeklenebilir, kolay yönetilebilir bir altyapi
• Binlerce kullanici ve yüzlerce gateway için
  destek
• Dagitik mimarinin merkezi yönetimi
• Güvenligin tüm unsurlarinin entegrasyonu
• VPN güvenliginin ve performansinin arttirilmasi
• Performansin izlenmesi, servis garantisinin
  saglanmasi, high availability, load balancing
• Trafigin önceliklendirilmesi

45
Risk ve ÇözümGüvenli Uzaktan Erisim VPNler
Saldirgan
Kurumsal Intranet
Internet
VPN-1 SecureClient (Wired/Wireless)
VPN-1 Pro Gateway
46
Risk ve ÇözümGüvenli Uzaktan Erisim VPNler
Saldirgan
Kurumsal Intranet
Internet
VPN-1 SecureClient (Wired/Wireless)
VPN-1 Pro Gateway
Uzak isistasyonlari hiçbir zaman kurumsal
güvenlik stratejisinin en zayif halkasina
dönüsmemelidir!
47
Extranet Manager

• Bagimsiz VPN yönetiminde büyük kolaylik
• Sadece gerekli nesnelerin ihraci

48
Gateway-to-Gateway (MEP)
Ikincil VPN-1 Gateway
Ankara
Kurumsal Intranet
Birincil VPN-1 Gateway
Uzak Ofis Gatewayi
Istanbul
Internet

• Çoklu Internet Erisim Noktalari için yedekli
  gatewayler
• Gatewaylere erisim için otomatik olarak
  alternatif yollarin seçilmesi

49
VPN Yük Dagitimi
Gateway 1e erisim
Gateway 2
Gateway 1

• Client rastgele gateway seçer
• Uzaktan erisimde (neredeyse) lineer
  ölçeklenebilirlik

Gateway 2ye erisim
50
Sorular ?
hakan_at_intellect.com.tr