Die Firewall-Appliances von Palo Alto Networks überwachen Applikationen

Auf Konferenzen und in Hersteller-Prospekten gilt es offenbar als schick, den Tod der traditionellen Perimeter-Firewall zu verkünden. B2B, E-Commerce und das Web 2.0 weichen den klassischen Aufbau zum Schutz des lokalen Netzes, zum Beispiel mit einer dedizierten DMZ, immer weiter auf, so der Tenor.

Manche Quellen ([1],[2]) prognostizieren sogar einen generellen Bedeutungsverlust von Firewalls und vermelden den Übergang zu granularen Sicherheits-Checks auf den einzelnen Hosts und Clients. Doch es geht auch anders. Ein Gegenbeispiel, das zeigt, wie eine innovative Firewall auch aussehen kann, stammt aus dem Silicon Valley: Seit vier Jahren entwickelt die Firma Palo Alto Networks Appliances und hat nach eigener Aussage einige Neuerungen zu bieten, die mit Open-Source-Mitteln so noch nicht möglich sind. Als erstes Zeitschrift in Europa hat das Linux-Magazin die Chance bekommen, die PA 4020 (Kasten "Palo Alto Networks PA 4020") im Testlabor unter die Lupe zu nehmen.

Leichtgewicht?

Laut der Dokumentation des Herstellers ist die PA 4020 eine Enterprise-Firewall und für Durchsätze von 2 GBit/s Wirespeed geeignet. Unter IPsec bleibt davon immer noch ein stattliches Gbit/s, und die maximal möglichen 500 000 Sessions dürften nur die wenigsten Kunden ausschöpfen. Die Appliance ist zwei Rack-Units hoch, beim Auspacken und Einbauen ins Rack fällt sofort das für die Abmessungen ungewöhnlich schwere, verplombte Gehäuse auf.

Abbildung 1: Das Dashboard ist übersichtlich und aufgeräumt. Wie die gesamte Web-GUI wirkt es auf den ersten Blick ein wenig zu schlank, beinhaltet aber umfangreiche Funktionen.

Im Gegensatz dazu erweist sich das Browser-basierte GUI der PA-Firewall -Appliance als wahres Leichtgewicht (Abbildung 1). Der erfahrene Admin fragt sich zunächst, ob das wirklich reichen kann, um die Firewall neu zu erfinden. Aber während des weiteren Tests zeigte sich, dass sich damit angenehm arbeiten lässt, alle Features sind gut zugänglich. Zwar fehlen einige Kleinigkeiten wie zum Beispiel die Ping-Funktion zur Prüfung der L3-Verbindungen (von der Firewall ausgehend) im GUI, aber viele davon hat der Hersteller wohl ganz bewusst ausschließlich auf der Kommandozeile implementiert.

Palo Alto Networks PA 4020

Hersteller: Palo Alto Networks Modellreihe: Drei Highend-Plattformen, die PA-4020, PA-4050 und die PA-4060 [3] Zielgruppe: Absicherung von Rechenzentren und High-Speed-Internetanbindungen Getestetes Produkt: PA-4020, das kleinste Modell der 4000er Serie. LAN-Anschlüsse: 24 Gigabit-Schnittstellen mit dediziertem Hochverfügbarkeits- und Out-Of-Band-Management Firewall-Durchsatz: 2 GBit/s Durchsatz Threat Prevention: 2 GBit/s Durchsatz IPsec: 1 GBit/s Durchsatz Backplane: 10 GBit/s Anzahl simultaner IPsec Tunnel: 2000 Anzahl simultaner SSL-VPN Tunnel: 5000 Neue Sessions: maximal 60 000 pro Sekunde Maximale Sessionanzahl: 500 000 Architektur: Dedizierte Prozessoren und Speicher jeweils für Networking, Sicherheit, Threat Prevention und Management Redundanz: Physikalische Trennung von Datenverarbeitung und Systemkontrolle Betriebssystem: PAN-OS. Proprietär, integriert Komponenten App-ID, User-ID und Content-ID mit den Firewall-, Networking- und Management-Funktionen. Preise: ab 5000 Euro inkl. Mwst. (250 MBit/s-Firewall inklusive App-ID, User-ID, IPSec und SSL-VPN sowie QoS.) Optional lizensierbare Module: URL-Filter und Threat Prevention, (Preis pro Appliance und Laufzeit)

Die neue Philosophie, ein Firewall-Regelwerk zu bilden ist dagegen omnipräsent. Im Gegensatz zu gängigen Firewalls muss der Admin das Regelwerk der PAN-Firewall nicht zwingend über IP-Adressen und TCP-/UDP-Ports aufbauen. Besser ist es, wenn er sich auf den neuen Weg einlässt und seine bestehenden Regeln auf den applikationsorientierten Ansatz migriert. Im Lieferumfang der PA stehen gegenwaertig 900 Applikationen (Abbildung 2) die sich in den Firewall-Rules verwenden lassen, ihre Anzahl wächst ständig.

Abbildung 2: Applikationsbasierter Ansatz für die Firewalladministration. Die Paloaltonetworks Firewall kennt bereits 900 Anwendungen und kann deren Verhalten im Netz überwachen und steuern.

Topologien

Vereinfacht ausgedrückt kennt die Ap- pliance frei definierte oder vorgefertigte Zonen wie »Trust«, »Untrust«, »DMZ1« oder aber Applikationen wie RDP, SSH, I-Tunes, wahlweise auch Profile. Nachdem sich der Admin für eine der möglichen Topologien entschieden hat, weist er jedem benötigtem Netzwerkinterface eine Zone zu. Im einfachsten Fall, wenn er die Appliance im Virtual Wire Mode betreibt, legt er sofort mit der Konfiguration des Regelwerks los (Abbildung 3). Das geht auch im CLI, Listing 1 zeigt das Äquivalent einer Firewall-Rule an der Befehlszeile.

Abbildung 3: Zonen, Applikationen oder Profile, welche Topologie darfs denn sein? Nach dieser Entscheidung baut der Admin das Regelwerk auf.

rule2 {
 from [ trust ];
 to [ untrust ];
 source [ any ];
 destination [ any ];
 service [ service-http ];
 application [ any ];
 action allow;
 source-user [ any ];
 option ;
 negate-source no;
 negate-destination no;
 disabled no;
 log-start yes;
 log-end yes;
 profile-setting {
  profiles {
  virus [ default ];
  spyware [ default ];
  vulnerability [ lm_vul_profile ];
  url-filtering [ no_porn_v2 ];
  file-blocking [ denie_pdf ];
  }
}

Dann konfiguriert der Administrator, welche Applikation(en) er von der Zone »Trust« nach »Untrust« erlaubt und welche Profile die PA wiederum auf die erlaubten Applikationen anwenden soll. Im Profil bestimmt er, ob die Appliance den Netzwerkverkehr einer bestimmten Applikation auf Viren oder ähnliche Malware scannt. Auch der Vergleich mit IDS-Patterns und der Block ganzer URLs ist möglich. Interessanterweise kann das Gerät den Netzwerk-Traffic aller möglichen Applikationen, also auch I-Tunes-Downloads oder RSS, auf Viren scannen und zum Beispiel auch einen Facebook-Chat im verschlüsselten HTTPS-Stream erkennen.