Palo Alto Networks
Palo Alto positionne le firewall au coeur de la sécurité de l’entreprise en créant des firewalls nouvelle génération permettant une visibilité et un controle sans précédent des applications et du contenu à des débits pouvant atteindre 10 Gbits/s.
Présentation
APP-ID
User-ID
ACC
Documentation
Présentation
Présentation des produit Palo Alto
Palo Alto Networks est un visonnaire dans le domaine de la sécurité réseau. Il propose des Firewalls nouvelle génération qui permettent :
- D’avoir une visibilité et un contrôle des applications
- De protéger le réseau des menaces à haut débit et faible latence en inspectant le contenu en temps réél
- De simplifier la sécurité de votre infrastructure
- De fournir un débit multi-gigabits
Et ceci utilisateur par utilisateur (non pas en fonction d’adresses IP) et independamment du port, du protocle utilisé ou des tactiques de criptage etc.
Ces résultats sont obtenus grâce à 3 technologies uniques d’identification :
- App-ID (classification de traffic)
- User-ID (intégration aux annuaires d’entreprise)
- Content-ID (analyse de flux)
Elles se présentent sous la forme d’une plateforme dédiée Elles permettent de mettre en oeuvre des règles de sécurité flexibles et contextuelles sans se contenter de bloquer les ports. L’entreprise peut donc avoir la visibilité et le contrôle sur les utilisateurs et le contenu des applications. Les firewalls nouvelle génération identifient les applications, analysent le contenu pour stopper les menaces et empêcher la fuite de données.
APP-ID
Présentation
Palo Alto est le seul pare-feu utilisant App-ID™, une technologie de classification, qui utilise 4 mécanismes distincts (détection et décryption du protocol, analyse protocolaire, analyse des signatures, analyse heuristique) pour identifier plus de 1229 applications indépendamment du port, du protocole, du chiffrement SSL et des techniques d’évasions.
| App-ID ne se contente pas d’identifier et de contrôler des applications et des protocoles traditionnels, comme HTTP, FTP, SNMP, mais il peut déterminer avec précision différentes applications professionnelles (Oracle, SAP, SharePoint, Exchange), des messageries instantanées spécifiques (AIM, Yahoo!IM, Meeboo, etc), Webmail (Yahoo!Mail, gmail, Hotmail, etc), du « peer to peer » (Bittorrent, emule, Neonet, etc), et plusieurs autres applications communément utilisées dans une entreprise. L’identité de l’application est ainsi utilisée comme base de décision pour toute la politique de sécurité du pare-feu. On la retrouve également dans les logs et tous les rapports d’exploitations. Il est important de préciser que tous les pare-feux qui utilisent le port et le protocole comme base de filtrage pour les applications, n’ont aucune influence sur les applications dites ‘évasives’, qui comme leurs noms l’indiquent, sont capables de détecter dynamiquement un port ouvert et donc traverser en toute quiétude un pare-feu. Contournant ainsi la politique de sécurité mise en place. Ils ne sont pas plus efficaces contre les applications capables d’émuler d’autres applications ‘autorisées’ ou celles utilisant le SSL, créant ainsi un tunnel dans le pare-feu. Ces techniques rendent les pare-feux classiques inefficaces. |
User-ID
L’intégration transparente avec les annuaires d’entreprise : Microsoft’s Active Directory (AD), LDAP, eDirectory offre la possibilité à l’administrateur de créer une politique de sécurité basée sur un utilisateur en particulier ou un groupe d’utilisateurs. Dans le cas où l’adresse IP change en fonction des déplacements de l’utilisateur, le moteur d’identification de l’utilisateur met à jour la correspondance adresse IP/ Identité de l’utilisateur. La politique de contrôle des applications peut être renforcée en utilisant une combinaison des paramètres suivants:
- Par utilisateur ou groupe d’utilisateur de l’annuaire,
- Par source et destination sur la base d’adresse IP, de zones de sécurité
- Par une programmation basée sur le temps
- Par type d’application : Une Application peut être filtré en fonction de sa catégorie, sous-catégorie, ses caractéristiques comportementales et son niveau de risque
- Par Protocole et port: restreindre et/ou forcer une application à utiliser son port par défaut ou un port spécifique
- Par Blocage de fichiers : Bloquer les transferts de fichiers au sein d’une application où bloquer les transferts par type de fichier
ACC
L’ACC (Application Command Center/Centre de contrôle des applications), la visionneuse de journaux et l’outil de création de rapports entièrement personnalisables sont les principaux composants de l’interface Web ; ils fournissent aux administrateurs une visibilité incomparable sur les applications, les utilisateurs et les contenus franchissant le réseau. L’ACC affiche graphiquement les applications, les URL, les menaces et les données (fichiers et modèles) franchissant le réseau. Contrairement aux autres solutions qui présentent les données dans un format difficile à interpréter, ACC offre aux administrateurs une vue de l’activité en cours qui peut être personnalisée de plusieurs façons.
- Les données des applications peuvent être affichées par risque, catégorie, sous catégorie ou technologie sous-jacente.
- L’activité Web peut être affichée selon les principales URL ou catégories d’URL visitées ou bloquées.
- Le filtrage des données affiche les fichiers et les modèles de données sensibles (numéros de carte de crédit et de sécurité sociale franchissant le réseau.
- Les menaces peuvent être affichées par logiciel espion, vulnérabilité et virus.
Documentation