Palo Alto
Palo Alto Networks — мировой лидер в вопросах информационной безопасности. Вендор создает интегрированную платформу для защиты организаций через облака, сети и мобильные устройства. Это платформа сетевой безопасности на уровне пользователей, приложений и контента, которая использует физическую и виртуальную ИТ-архитектуры. Главным ядром является next generation firewall на базе технологии App-ID.
Категории продуктов: NGFW; VM-Series (for ESXi Oracle Cloud, KVM, Microsoft Hyper-V, Alibaba Cloud, CN Series, Microsoft Azure, VMWare NSX, Amazon Web Services, Google Cloud); Traps; WildFire; Prisma Cloud; Access; SaaS; SD-WAN; Panorama; Threat Prevention; URL Filtering; Cortex; GlobalProtect; AutoFocus & MineMeld; Unit 42; DNS Security service; Evident; PAN-OS 10.0; Enterprise DLP.
[highlight background=’#047cbd’ color=’#ffffff’]Решения для защиты сети и их возможности:[/highlight]
[highlight background=’#3399cc’ color=’#ffffff’]Prisma Access 2.0[/highlight]
- Новый опыт управления облаком: продукт обеспечивает лучшие результаты, предоставляя обновления безопасности и лучшие практики в режиме реального времени;
- Возможность управлять цифровым опытом (DEM) — продукт находит проблемные места в организации сетей и автоматически их устраняет. Таким образом создается уникальный цифровой опыт для удаленных пользователей;
- Система безопасности на базе машинного обучения защищает сеть от атак нулевого дня в режиме реального времени и анализирует крупные объемы информации для формирования рекомендаций по политике безопасности;
- Защищенный веб шлюз (SWG) используется для предупреждения различных веб-угроз и внедрения расширений для политики приемлемого использования, которая отвечает за фильтрацию ссылок, видимость определенных веб-сайтов, управления доступом в Интернет, проверки неприемлемого контента;
- Поддержка всей платформы на базе API CloudBlades, с помощью которого можно интегрировать посторонние сервисы для обеспечения защиты ИТ-инфраструктуры с помощью решения SASE.
[highlight background=’#3399cc’ color=’#ffffff’]Palo Alto Networks Panorama[/highlight]
- Возможность централизованного мониторинга и контроля нового поколения межсетевого экрана (NGFW) Palo Alto Networks;
- Сбор и хранение необходимых логов с многих межсетевых экранов;
- Создание отчетов;
- Контроль настроек оборудования, обновлений и лицензий с помощью гибкого разграничения доступов;
- Возможность отслеживать состояние АО;
- Удобное развертывание в качестве аппаратных средств (вроде устройств управления M-600 и M-200), виртуальных устройств (вроде vCloud Air, VMware ESXi и другое) публичной облачной среды (вроде Google Cloud, Microsoft Azure и другие).
[highlight background=’#3399cc’ color=’#ffffff’]VM-Series Virtual Firewall[/highlight]
- Защита публичных и частных облачных сред с помощью сегментации, и функций нового поколения;
- Централизованный контроль и автоматизация, которые помогают с внедрением элементов защиты в процесс разработки приложений и с созданием гибкости всей системы кибербезопасности в облаке;
- Прозрачность приложений для разработки четких решений безопасности;
- Управление доступом к приложениям с помощью специальных правил user identity. В таком случае предлагается интеграция з множеством систем контроля пользователями (LDAP, Active Directory, Microsoft Exchange);
- Создание централизованного управления с помощью Panorama в брандмауэрах VM в нескольких облаках и устройствах физической безопасности помогает создать прозрачность в виртуальных программах и трафике.
Остались вопросы?
Ошибка: Контактная форма не найдена.
Palo alto networks что это
CompuWay – Золотой партнер Palo Alto Networks.
Компания Palo Alto Networks – это лидер на рынке сетевой безопасности и производитель межсетевых экранов нового поколения. Компания основана в 2005 году.
Главная специализация компании – межсетевые экраны нового поколения, производительностью от 50 Мб/с до 120 Гб/с. Кроме того, компания Palo Alto Networks, предоставляет защиту от угроз 0-го дня (технология WildFire) и защиту конечных станций (продукт TRAPS). Таким образом, продукты производства компании Palo Alto Networks (NGFW + WildFire + TRAPS) обеспечивают комплексную защиту предприятия от различных угроз.
В межсетевых экранах Palo Alto Networks применяются запатентованные технологии App-ID, User-ID, Content-ID. Технология App-ID обеспечивает идентификацию и контроль приложений, вне зависимости от порта, протокола, поведения или шифрования. User-ID – технология интеграции с корпоративными службами каталогов, такими как MS Active Directory, LDAP, eDirectory, Citrix и т.д. User-ID осуществляет контроль использования приложений на основе отдельных пользователей или групп пользователей службы каталогов. Информация о пользователях доступна внутри всего функционала Palo Alto, включая применение политик безопасности, расследование инцидентов и создание отчетов. Content-ID – технология сканирования, использующая сигнатурный анализ трафика для обеспечения защиты от широкого спектра сетевых угроз. Content-ID контролирует передачу данных по сети, предотвращая утечки конфиденциальной информации. Контроль web серфинга осуществляется при помощи обширной базы URL. Сканирование на все угрозы происходит «в одном проходе» трафика, что практически не дает задержки передачи данных и в комбинации с технологией App-ID обеспечивает ИТ департаменту полный контроль над сетевой инфраструктурой. Благодаря этим технологиям идентификации (App-ID, User-ID, Content-ID), администратор может создавать политики безопасности, разрешающие конкретные приложения, а не порты и протоколы. На основе белого списка определяются разрешенные приложения для каждого типа и группы пользователей, все остальные приложения и угрозы запрещены.
Основные функции межсетевых экранов Palo Alto Networks:
- Межсетевой экран со встроенной идентификацией приложений;
- Защита от вторжений – IPS;
- Дешифровка и инспекция трафика SSL;
- Antivirus – защита от известных вирусов;
- URL-фильтрация;
- WildFire – защита от угроз 0 day, APT;
- Content-ID – распознавание контента;
- Site-to-site IPSec VPN, SSL VPN;
- Виртуальные маршрутизаторы;
- До 225 виртуальных межсетевых экранов в одном устройстве.
Основная идея межсетевых экранов нового поколения по сравнению с традиционными подходами, в том числе и UTM решениями, заключается в упрощении инфраструктуры сетевой безопасности, устраняет необходимость в различных автономных устройствах безопасности, а также обеспечивает предсказуемую производительность за счет однопроходного сканирования. Платформа Palo Alto Networks решает широкий спектр требований сетевой безопасности, необходимых различному типу заказчиков: от центра обработки данных до корпоративного периметра с условными логическими границами, включающие в себя филиалы и мобильные устройства.
На сегодняшний день основные модели Palo Alto Networks имеют сертификаты ФСТЭК на оценочный уровень доверия ОУД2 и 4 уровень РД НДВ, что позволяет использовать межсетевые экраны нового поколения Palo Alto Networks при создании автоматизированных систем до класса защищенности 1Г и для защиты информации в информационных системах персональных данных до 1 класса включительно.
Помимо программно-аппаратных комплексов, компания Palo Alto Networks предлагает и виртуальные межсетевые экраны для облачных сред, работающие на ESX и NSX (VM-series). Производительность VM-series – 1 Гб/с.
Решение Palo Alto Networks Traps обеспечивает расширенную защиту рабочих станций, которая предотвращает изощренные атаки эксплойтов, использующих уязвимости системы безопасности, и атак с помощью ранее неизвестного вредоносного ПО. Traps обеспечивает защиту с помощью облегченного агента с высоким уровнем масштабируемости, основанного на инновационном методе отражения атак без потребности в предварительном знании специфики атаки. Таким образом решение Traps предоставляет организациям мощное средство защиты оконечных устройств практически от всех направленных атак.
Вместо попыток идентифицировать миллионы отдельных атак или выявить злонамеренное поведение, которое может не поддаваться обнаружению, Traps фокусируется на основных техниках, которые любой злоумышленник использует для реализации атаки. Такой подход позволяет предотвращать атаки, еще до того, как нанесен какой-либо вред.
Расширенная защита рабочих станций должна обеспечивать следующие возможности:
- Предотвращение любых эксплойтов, в том числе использующих неизвестные уязвимости нулевого дня.
- Предотвращение запуска любых вредоносны хисполняемых файлов даже приотсутстви и информации об этих файлах.
- Запись подробных аналитических данных о предотвращенных атаках.
- Широкие возможности масштабирования, низкое потребление ресурсов и минимальное вмешательство в работу имеющихся систем.
- Тесная интеграция с сетевыми и облачными системами обеспечения безопасности.
Решение WildFire – облачный сервис обнаружения вредоносного ПО «нулевого дня». При получении межсетевым экраном Palo Alto Networks неизвестного файла (exe, dll, bat, sys, flash, apk, jar, apk, MS Office), вычисляется его хэш и устройство запрашивает облако WildFire — известен ли уже файл. При отрицательном «ответе» файл пересылается на сканирование в облако (частное или публичное) и в течение 15-40 выносится вердикт – вредоносен файл или нет, после чего генерируется сигнатура. Если проверенный файл является вредоносным, то его сигнатура рассылается всем подписчикам сервиса WildFire.
Оборудование предоставляется на тестирование.
Palo Alto Networks
Компания Palo Alto Networks – разработчик уникальной платформы безопасности, состоящей из трех элементов: фаервола, продвинутой защиты конечных точек и облака выявления киберугроз. Последняя составляющая предоставляет антивирусное программное обеспечение SaaS. Заказчиками компании Palo Alto являются крупные организации, работающие в сферах производства, здравоохранения, образования и финансовых услуг.
Показатели деятельности
2019: Выручка — $2,9 млрд, убытки — $81,9 млн
В 2019 финансовом году, который завершился 31 июля 2019 года, выручка Palo Alto Networks достигла $2,9 млрд против $2,27 млрд годом ранее. Продажи продуктов у компании впервые превысили $1 млрд и составили $1,1 млрд, тогда как в 2018-м показатель измерялся $879,8 млн.
Реализация подписок и услуг поддержки принесла производителю ИБ-решений $1,8 млрд годовой выручки, что больше значения годичной давности, равного $1,39 млрд.
Финансовые показатели Palo Alto Networks
Оборот Palo Alto Networks растёт из года в год, но компания остаётся убыточной. В 2019 финансовом году чистые убытки вендора оказались равными $81,9 млн, хотя и снизились относительно денежных потерь годом ранее ($122,2 млн).
После публикации финансовой отчётности акции Palo Alto Networks подешевели на 6,7% на электронных торгах после закрытия биржи, хотя доходы компании превысили ожидания рынка. С начала 2019 года котировки вендора поднялись на 6,5% к моменту выхода отчёта.
Компания отметила, что к сентябрю 2019 года с начала 2018-го она совершила семь приобретений, по результатам которых в продуктовом подразделении Palo Alto Networks стали работать более десятка основателей купленных компаний.
На конференции, посвящённой публикации годовых итогов, руководство Palo Alto Networks обозначило стратегию, которой компания будет придерживаться. Она связана с дальнейшими приобретениями на рынке, созданием интегрированных SaaS-решений и технологий для защиты интернета вещей и обеспечения облачной безопасности. [1]
Бизнес в России
В Москве в сентябре 2011 года открылось представительство Palo Alto Networks. Продукцию Palo Alto Networks представлял в России официальный дистрибьютор – компания Landata.
На февраль 2017 года официальными дистрибьюторами Palo Alto Networks на территории РФ являются компании Нетвелл и IT Guard (Axoft), на территории стран бывшего СНГ — Тайгер Оптикс и Бакотек.
История
2021: Покупка разработчика ПО для защиты облачной инфраструктуры Bridgecrew за $156 млн
В середине февраля 2021 года Palo Alto Networks сообщила о приобретении израильского разработчика решений для автоматизации защиты облачной инфраструктуры предприятий Bridgecrew. Сделка оценивается в $156 млн, ожидается, что она будет завершена к концу апреля 2021 года. Подробнее здесь.
2020
Покупка разработчика решений для анализа киберугроз Expanse
11 ноября 2020 года Palo Alto Networks сообщила о приобретении компании Expanse. Сделка по продаже разработчика решений для анализа уязвимых мест в ИТ-системах компаний и обеспечения защиты в киберпространстве оценивается в $800 млн, расчет будет осуществляться денежными средствами ($670 млн) и ценными бумагами ($130 млн) покупателя. Подробнее здесь.
Покупка консалтинговой компании Crypsis Group
24 августа 2020 года компания The Crypsis Group объявила о продаже своего бизнеса Palo Alto Networks. Сумма сделки составила $265 млн. Покупатель оплатит сделку при помощи денежных средств (без привлечения собственных акций). Подробнее здесь.
Покупка разработчика технологий SD-WAN CloudGenix за $420 млн
31 марта 2020 года Palo Alto Networks объявила о приобретении CloudGenix за $420 млн. Покупатель намерен интегрировать продукты SD-WAN, которые развивает американский стартап, со своей платформой Prisma Access, относящейся к так называемым пограничным сервисам безопасного доступа (Secure Access Service Edge, SASE). В конечном итоге Palo Alto Networks хочет перевести рынок с SD-WAN на SASE, указывается в пресс-релизе. Подробнее здесь.
2019
Бывший ИТ-администратор продавал секреты компании и заработал миллионы долларов
В середине декабря 2019 года бывшему ИТ-администратору Palo Alto Networks Джанардхану Неллору было предъявлено обвинение в том, что он продавал секреты компании, заработав при этом миллионы долларов. Подробнее здесь.
Покупка разработчика ПО для защиты интернета вещей Zingbox
В начале сентября 2019 года Palo Alto Networks объявила о приобретении Zingbox за $75 млн. В периметр сделки вошли все разработки стартапа Zingbox, в том числе набор инструментов IoT Guardian, который позволяет компаниям устанавливать несколько уровней безопасности для своих сетевых устройств. Подробнее здесь.
Покупка разработчика ИБ-платформы PureSec
В конце мая 2019 года Palo Alto Networks объявила о приобретении разработчика ИБ-платформы PureSec. Подробнее здесь.
Покупка разработчика ПО для безопасности бессерверных и контейнерных приложений Twistlock
29 мая 2019 года Palo Alto Networks объявила о приобретении разработчика ПО для безопасности бессерверных и контейнерных приложений Twistlock за $410 млн. Закрыть сделку планируется в четвертом финансовом квартале, который завершится 31 июля 2019 года. Подробнее здесь.
Покупка разработчика ПО для автоматического реагирования на киберугрозы Demisto
В феврале 2019 года Palo Alto Networks объявила о приобретении Demisto за $560 млн, чтобы расширить свои подразделения, занимающиеся технологиями предотвращения и реагирования на киберинциденты. Подробнее здесь.
2018
Покупка разработчика ПО для безопасной работы в публичном облаке RedLock за $173 млн
В начале октября 2018 года Palo Alto Networks сообщила о приобретении разработчика ПО для безопасной работы в публичном облаке RedLock за $173 млн. Сделка, которую планируется закрыть до конца ноября, будет оплачена собственными средствами покупателя, то есть без привлечения его акций. Подробнее здесь.
Покупка разработчика ПО для поиска скрытых кибератак Secdo
В апреле 2018 года Palo Alto Networks сообщила о покупке компании Secdo с целью улучшения возможностей сбора и визуализации данных о киберугрозах. Благодаря этому приобретению продукты Palo Alto Networks смогут быстрее выявлять и останавливать скрытые кибератаки. Подробнее здесь.
Palo Alto Networks покупает разработчика ПО для киберзащиты облачной инфраструктуры Evident.io
В середине марта 2018 года Palo Alto Networks сообщила о приобретении разработчика ПО для киберзащиты облачной инфраструктуры Evident.io за $300 млн, которые покупатель выплатит из собственных средств, то есть без предоставления своих акций. Подробнее здесь.
2017
Рост выручки на 28%
В 2017 финансовом году выручка Palo Alto Networks выросла на 28% благодаря тому, что компании и государственные учреждения стали тратить больше денег на обеспечение информационной безопасности после глобальных кибератак.
По итогам 12-месячного отчетного периода, завершившегося 31 июля 2017 года, продажи Palo Alto Networks составили $1,76 млрд против $1,38 млрд годом ранее. При этом возросли и чистые убытки — со 192,7 до 216,6 млн долларов.
Выручка Palo Alto Networks выросла на 28% благодаря тому, что компании и государственные учреждения стали тратить больше денег на кибербезопасность
Объем сервисного бизнеса, который приносит компании больше половины доходов, впервые превысил $1 млрд. Этому способствовал активный рост клиентской базы, который спровоцировали масштабные хакерские нападение с использованием вирусов-вымогателей, таких как WannaCry.
По словам генерального директора Palo Alto Networks Марка Маклафлина (Mark McLaughlin), в 2017 финансовом году количество клиентов компании прибавилось на рекордно высокую величину — 42,5 тыс. Кроме того, в этот период производитель анонсировал крупнейший запуск продуктов и функций в своей истории, отметил глава.
Интересно, что несмотря на растущие доходы в Palo Alto Networks меняется финансовый директор, о чем было объявлено в конце августа 2017 года. Стеффан Томлинсон (Steffan Tomlinson) сложит свои полномочия после того, как будет найден преемник. Причина ухода топ-менеджера не называется.
Финансовые показатели Palo Alto Networks
После обнародования финансовых результатов акции Palo Alto Networks подорожали на 6,5% и превысили отметку в $141. К открытию биржи 4 сентября 2017 года стоимость ценных бумаг Palo Alto увеличилась до $144,8, в течение дня рост продолжился. Этому способствовало то, что квартальные выручка и прибыль компании превысили ожидания Уолл-стрит.
Аналитики повысили прогноз по целевой стоимости акций Palo Alto Networks до $160-180. [2]
Финам» рекомендует
Аналитическое управление ГК «Финам» подготовило исследование потенциальной динамики акций Palo Alto Networks – базирующейся в Калифорнии ИТ-компании, предоставляющей решения для кибербезопасности предприятий, организаций и правительственных ведомств. Согласно выводам экспертов, целевая цена акций составит $160 при текущей рыночной цене $139,5. Акциям присвоена рекомендация «покупать» (потенциал роста в перспективе текущего года — 14,7%).
В III фискальном квартале 2017 года выручка Palo Alto Networks возросла на 24,9% г/г, составив $431,8 млн. Выручка от продажи продуктов Palo Alto за прошлый квартал увеличилась на 1,3%, от платной подписки на услуги и поддержки – на 45,7%. В частности, выручка от SaaS возросла на 55% г/г.
Рыночная капитализация компании Palo Alto составляет $12,7 млрд, за последние 3 месяца акции компании подорожали на 27,8%, в сравнении с ростом индекса высокотехнологичных отраслей США Nasdaq Composite — на 8%.
По оценкам экспертов, в ближайшие 5 лет мировые расходы на борьбу с киберпреступностью превысят $1 трлн, и у Palo Alto Networks есть все шансы получить свою долю этих потенциальных потоков выручки, ведь продукты компании имеют хорошую репутацию на рынке и пользуются спросом. Согласно данным «магического квадранта» исследовательской фирмы Gartner, на рынке фаерволов корпоративного класса за 2017 год Palo Alto Networks в шестой раз подряд оказалась в разделе лидеров. В отчете говорилось о том, что в сегменте корпоративных межсетевых экранов Palo Alto располагает высоким уровнем удовлетворенности клиентов своими решениями для бизнеса.
2016: Рост продаж и убытков
В конце августа 2016 года Palo Alto Networks опубликовала отчет о работе за 2016 финансовый год. Выручка компании увеличилась почти наполовину, но выросли и убытки.
За отчетный 12-месячный период, закрытый 31 июля 2016 года, продажи Palo Alto составили $1,4 млрд против $928,1 млн годом ранее. Чистый убыток достиг $225,9 млн, что на 36% больше денежных потерь годичной давности. В отчёте за 2017 фингод компания скорректировала данные за 2016-й, указав чистые убытки в размере $192,7 млн.
Без учета разовых расходов и доходов имела место так называемая скорректированная прибыль, равная $152,6 млн, которая оказалась вдвое выше той, что была в 2015 финансовом году.
Выручка Palo Alto Networks увеличилась почти наполовину, но выросли и убытки
В 2016 фингоду сервисная выручка Palo Alto, в которую включены продажи подписок на программное обеспечение, составила $707,7 млн против $435,4 млн годом ранее. Этот бизнес приносит компании больше половины выручки. Продажи оборудования в годовом исчислении поднялись с $492,7 млн до $670,8 млн.
Доходы Palo Alto в мае-июле 2016 года превысили прогнозы аналитиков, опрошенных Thomson Reuters I/B/E/S. Это произошло благодаря тому, что компании и государственные органы по-прежнему тратят большие средства на кибербезопасность после крупных атак в прошлые годы, отмечает информационное агентство Reuters. [3]
Однако прогноз Palo Alto на первый квартал 2017 финансового года не дотянул до ожиданий Уолл-стрит: компания предсказывает выручку в $396-402 млн при скорректированной прибыли в 51-53 цента на акцию, а эксперты прогнозируют $402,2 млн и 56 центов в расчете на одну ценную бумагу соответственно. По итогам всего финансового года компания ожидает скорректированную прибыль в диапазоне от $2,75 до $2,8, что выше среднего прогноза рынка ($2,64).
Одновременно с публикацией финансовых итогов Palo Alto сообщила об одобренной советом директоров программе дополнительного обратного выкупа акций на сумму $500 млн. [4]
2011: Создание межсетевого экрана нового поколения
В начале 2010-х разработчики сетевых приложений от классической клиент-серверной архитектуры переходят к «бесклиентным» web приложениям, которые не работают по строго определенному порту, а используют стандартные web порты (80 и 443) или выбирают порт динамически. В таких условиях обычный межсетевой экран становится бесполезен, т.к. его работа основывается на разрешении и запрете трафика по определенным портам.
Результатом подхода Palo Alto к разработке систем сетевой безопасности стало создание межсетевого экрана нового поколения. Политики безопасности в межсетевом экране нового поколения применяются не к портам и зонам (или IP адресам), а к конкретным пользователям служб каталогов и приложениям.
Разработчики Palo Alto запатентовали 3 инновационные технологии:
- App-ID – технология, которая позволяет идентифицировать более 900 приложений в сети, независимо от их порта и протокола (в т.ч. web приложения, работающие на порту 80). Технология может распознавать приложения даже внутри SSL туннеля, дешифруя его;
- User-ID – технология, которая интегрирует межсетевой экран нового поколения со службой Active *Directory (а также LDAPи Novell eDirectory), тем самым идентифицируя каждого пользователя каждого приложения;
- Content-ID – технология, которая обеспечивает защиту от множества угроз (вирусы, трояны, ботнеты, шпионские программы), блокирует неавторизованную передачу файлов по сети и контролирует web серфинг.
Использование этих технологий обеспечивает беспрецедентный контроль над сетевым трафиком и позволяет гибко настроить политики безопасности, делая сеть прозрачной и управляемой. Выполнение всех перечисленных функций производится на скорости 10 Гбит/с с очень маленькой задержкой. Даже в режиме сканирования на вирусы, устройство обеспечивает скорость 5 Гбит/с.
Основная идея межсетевых экранов нового поколения, по сравнению с традиционными подходами, в том числе и UTM решениями, заключается в упрощении инфраструктуры сетевой безопасности, устраняет необходимость в различных автономных устройствах безопасности, а также обеспечивает ускорение трафика за счет однопроходного сканирования. Платформа Palo Alto Networks решает широкий спектр требований сетевой безопасности, необходимых различному типу заказчиков: от центра обработки данных до корпоративного периметра с условными логическими границами, включающие в себя филиалы и мобильные устройства.
Основные модели Palo Alto имеют сертификаты ФСТЭК на оценочный уровень доверия ОУД2 и 4 уровень РД НДВ, что позволяет использовать межсетевые экраны нового поколения Palo Alto Networks при создании автоматизированных систем до класса защищенности 1Г и для защиты информации в информационных системах персональных данных до 1 класса включительно.
Разработки специалистов Palo Alto Networks позволяют применять политику безопасности не к портам и IP-адресам, а к конкретным пользователям и приложениям. «Традиционные межсетевые экраны классифицируют и ограничивают трафик по порту, интернет-протоколу и IP-адресу. Раньше такой способ был достаточно эффективным, но в последн
Примечания
- ↑Palo Alto Networks Reports Fiscal Fourth Quarter and Fiscal Year 2019 Financial Results
- ↑PALO ALTO NETWORKS REPORTS FISCAL FOURTH QUARTER AND FISCAL YEAR 2017 FINANCIAL RESULTS
- ↑Palo Alto Networks’ Shares Fall 3% On Weaker-Than-Expected Forecast
- ↑PALO ALTO NETWORKS REPORTS FISCAL FOURTH QUARTER AND FISCAL YEAR 2016 FINANCIAL RESULTS
Palo Alto Networks. Учимся думать как firewall. Сессии и состояния
Настоящей статьей начинаем цикл статей, посвященных траблшутингу (решению проблем) и анализу работы межсетевых экранов производства Palo Alto Networks – одного из мировых лидеров в сфере разработки оборудования для обеспечения информационной безопасности. В основе статьи лежит многолетний опыт работы с продуктами вендора экспертов сервис-провайдера Angara Professional Assistance, который обладает статусом авторизованного сервисного центра (ASC) Palo Alto Networks.
Что такое сессия?
Для начала давайте разберемся, – что такое сессия, и как она работает в разрезе межсетевого экрана Palo Alto Networks.
Каждая сессия – это набор из двух «ключей потока» (Client-to-Server и Server-to-Client). Каждый «ключ потока» – это хэш следующих параметров:
- IP protocol identifier (TCP, UDP, ICMP) (протокол);
- Source IP address (IP-адрес источника);
- Destination IP address(IP-адрес назначения);
- Source port number (порт источника);
- Destination port number(порт назначения);
- Ingress zone ID (уникальный ID для каждой входящей зоны на межсетевом экране).
У Palo Alto Networks можно встретить термин «6-tuple». Это уникальный идентификатор, полученный из перечисленных выше шести параметров.
Для каждого полученного пакета межсетевой экран хэширует данные 6-tuple, чтобы получить соответствующий «ключ потока». После чего межсетевой экран сверяет «ключ потока» для каждого нового пакета, чтобы сопоставить его с нужной сессией.
На данном рисунке приведен пример частичного вывода команды >show session id 52975 , где мы можем видеть каждый из 6 параметров «ключа потока». Стоит отметить, что хэшируются 6-tuple только у входящих пакетов. То есть это всегда будет именно ingress-зона.
Итак, получается, что сессия – это связанный «ключом потока» набор однонаправленных потоков данных между клиентов и сервером.
С этим разобрались, поехали дальше. Давайте теперь разберем вывод команды >show session info :
В первой части вывода данной команды мы можем видеть общее доступное число одновременных сессий для текущей платформы, на сколько процентов использована таблица сессий, количество пакетов в секунду, пропускную способность (за исключением аппаратно-разгруженных пакетов (offloaded traffic)), а также информацию о новых соединениях в секунду (CPS).
Далее мы можем видеть различные настройки таймаутов, которые, при желании, можно менять.
Далее идет информация о том, насколько быстро наступит таймаут у сессий при достижении определенного порога утилизации таблицы сессий. На примере скриншота: если таблица сессий будет использована более, чем на 80%, то таймаут у TCP-сессий будет не 3600 секунд, а 1800. Если Scaling factor будет равен 10, то, соответственно, таймаут у сессий будет равен 360 секундам.
Далее идет информация о различных параметрах, которые влияют на установку новых сессий. Например, будет ли использоваться проверка TCP SYN, включена ли аппаратная разгрузка сессий.
В конце приводится информация о «хитрой» опции «Application trickling», которая означает, что если мы превышаем лимит по ресурсам межсетевого экрана (например, пакетного буфера), то запускается механизм сканирования сессий. Если сессия была неактивна более, чем trickling-лимит, то буфер, который был задействован данной сессией, очистится. То есть, по сути, это механизм для дополнительной защиты ресурсов межсетевого экрана.
Состояния сессий
Каждая сессия в любой момент времени находится в одном из шести состояний. Зеленым обозначены состояния, которые мы можем наблюдать в веб-интерфейсе или командной строке (CLI) межсетевого экрана.
- INIT: каждая сессия начинается с состояния инициализации (INIT). Сессия в состоянии INIT является частью пула свободных сессий.
- ACTIVE: любая сессия, которая соответствует потоку трафика, который еще не истек по таймауту, и который активно используется для проверки (например, механизмом App-ID) или для отправки по адресу назначения (destination forwarding).
- DISCARD: трафик, ассоциированный с сессией, которая была заблокирована на основании политик безопасности или в результате обнаружения угрозы. Пакет, на который сработала политика или детектор угроз, был отброшен; все последующие пакеты, принадлежащие к сессии в состоянии DISCARD, будут отброшены без всякой проверки.
Остальные состояния сессии (OPENING, CLOSED, FREE) являются транзитными. Транзитные состояния можно увидеть достаточно редко, так как в данных состояниях сессия надолго не задерживается.
В нормальных условиях каждая сессия пройдет полный цикл, начиная с состояния INIT и заканчивая FREE.
Просмотр информации о сессиях
Посмотреть информацию о сессиях в реальном времени можно как через веб-интерфейс, так и через CLI межсетевого экрана. Session Browser может быть полезным инструментом для траблшутинга без необходимости захвата пакетов или использования debug-логов. Мы можем посмотреть, создает ли ожидаемый трафик соответствующую сессию, как она категорируется механизмом App-ID, и каким образом и из-за чего эта сессия завершается.
Если вы видите сессию в Session Browser, это еще не значит, что далее весь трафик для этой сессии будет разрешен. После того как межсетевой экран создаст сессию, к ней будут применены механизмы App-ID, Content Inspection, вследствие которых сессия может быть отброшена после инспекции полезной нагрузки какого-нибудь пакета.
В данном меню можно применять различные фильтры, например, отфильтровать сессии по названиям правил безопасности, через которые они проходит. Так же мы можем принудительно завершить сессию, нажав на крестик.
Похожую информацию мы можем получить, используя CLI и команду >show session all . Данную команду также можно использовать с различными фильтрами.
Далее мы можем перейти внутрь каждой сессии для получения более расширенной информации, используя команду >show session id .
c2s flow – поток от клиента к серверу. Инициатор потока.
s2c flow – поток от сервера к клиенту. Ответный поток.
Детальную информацию о сессии можно также посмотреть через меню Monitor > Traffic > Detailed Log View. По сути, там будет та же информация, которую вы получите через CLI.
Посмотрите, как межсетевой экран переопределяет приложение в рамках одной сессии. Сначала движок определил тип URL, риск, категорию, проверил не блокируется ли сессия согласно политикам URL-filtering. Далее межсетевой экран по первым пакетам определил приложение web-browsing и проверил, разрешено ли оно политиками безопасности. Как только стало приходить больше пакетов с полезной нагрузкой, согласно встроенной (и постоянно обновляемой) базе сигнатур, межсетевой экран увидел приложение google-base, после чего в очередной раз проверил, разрешено ли оно политиками.
Данный механизм очень полезен при траблшутинге и называется «application shifting». Более подробно мы его затронем в следующей статье.
Также очень важно понимать причину, по которой завершилась сессия. Это сильно упрощает процесс траблшутинга. Список возможных причин.
- «threat» – была обнаружена угроза, и политиками безопасности было применено действие «reset», «drop» или «block».
- «Policy-deny» – к сессии была применена политика безопасности с действием «deny» или «drop».
- «Decrypt-cert-validation» – в большинстве случаев означает, что сессия была заблокирована потому, что для ssl-инспекции была настроена проверка сертификатов, которая не была пройдена. Сертификат мог быть просрочен или выдан недоверенным источником, или не смог пройти верификации по таймауту и т.д.
- «decrypt-error» – сессия была заблокирована из-за того, что при настроенной ssl-инспекции межсетевому экрану не удалось расшифровать сессию из-за нехватки ресурсов. Также эта ошибка появляется, когда возникают проблемы с протоколом SSH или любые другие ошибки SSL, помимо тех, которые описаны в пункте «decrypt-unsupport-param».
- «tcp-rst-from-client» – клиент отправил tcp-rst в сторону сервера.
- «tcp-rst-from-server» – сервер отправил tcp-rst в сторону клиента.
- «resources-unavailable» – сессия была заблокирована из-за ограничения ресурсов межсетевого экрана. Например, в сессии могло быть превышено количество пакетов с нарушением порядка (out-of-order), разрешенных для одной сессии.
- «tcp-fin» – оба хоста отправили tcp-fin для завершения сессии.
- «tcp-reuse» – сессия используется повторно, и межсетевой экран закрыл предыдущую сессию.
- «Decoder» – декодер обнаружил новое соединение в рамках протокола и завершает предыдущее соединение.
- «Aged-Out» — сессия устарела и была закрыта. (Например, удаленный хост не ответил на наш запрос)
- «Unknown» – применяется в следующих ситуациях:
- Сессия завершилась из-за причин, не указанных до этого. Например, кто-то завершил сессию вручную командой >clear session all.
- Устаревшая версия PAN-OS (ниже 6.1), в которой не поддерживается функционал определения причин завершения сессий.
Информацию, аналогичную разделу Monitor > Traffic, можно посмотреть и через CLI. Делается это командой >show traffic log direction equal backward . Под direction equal backward подразумевается, что вы будете просматривать логи с конца.
Cli лайфхаки
Напоследок упомянем пару лайфхаков и «фишек» использования CLI.
Вот основной список команд, разбитых на разные категории:
- Network:
- Ssh – подключение к другим хостам;
- Scp, tftp, ftp – загрузка и выгрузка файлов;
- Ping, traceroute – базовый траблшутинг;
- Debug – многоцелевая команда (ее мы будем использовать в будущих статьях);
- Tcpdump – для захвата пакетов с management plane межсетевого экрана;
- Test – для проверки работы различного функционала;
- Show – для вывода конфигураций, логов и различных системных данных;
- Tail – аналог одноименной команды в юниксе, показывает последние данные из файла;
- Less, grep – также одноименные команды, знакомые многим; позволяют гибко искать информацию в лог-файлах;
- Request – для использования системных команд типа «shutdown»;
- Clear – используется для удаления и очистки различных параметров;
- Configure – вход в режим редактирования конфигурации;
- Exit – выход из режима редактирования конфигурации.
Конечно же есть и другие команды, коих огромное количество. Запомнить их сразу будет крайне сложно. Тут нам на помощь приходит замечательная команда «find».
Синтаксис выглядит следующим образом: >find command keyword
Предположим, вам нужно посмотреть какую-то информацию относительно маршрутизации OSPF, но вы забыли, с помощью какой команды это делается. Вводим >find command keyword ospf .
Мы получим приблизительно такой список (полный список на скриншоте не уместится), где будут приведены примеры всех команд, в которых есть слово «OSPF».
Или мы хотим перезагрузить межсетевой экран, но забыли, как это делать. Пробуем >find command keyword restart .
В полученном списке можно найти нужную нам команду: >request restart system .
Заключение
В этой части цикла статей мы разобрали, что такое сессия с точки зрения межсетевого экрана, рассмотрели различные ее настройки и способы просмотра информации о сессиях.
В следующей статье мы постараемся разобраться, как и в какой последовательности сессии и потоки (packet flow) обрабатываются движками межсетевого экрана, а также рассмотрим логику всего этого процесса.
- Palo Alto Networks
- firewall
- ngfw
- сессии
- информационная безопасность