Palo Alto Networks gelooft in applicatie-bewuste firewall

‘Een firewall moet vijf dingen kunnen’

‘WebEx heeft een aantal gevaarlijke opties’

Nir Zuk, technologiechef en mede-oprichter van Palo Alto Networks, vindt dat de huidige generatie firewalls niet voldoet. Zuk gelooft in een applicatie-bewuste firewall. 'Firewalls classificeren het verkeer op basis van de poort waar het binnenkomt. Maar wát er door die poort komt, kunnen ze niet zien.'

‘Firewalls zijn ooit gecreëerd om twee dingen te doen: de toegang controleren tot het netwerk en het loggen van dat netwerkverkeer. Maar firewalls controleren niet de toegang tot webapplicaties. Firewalls classificeren het verkeer op basis van de poort waar het binnenkomt. Maar wát er door die poort komt, kunnen ze niet zien. En webapplicaties gaan allemaal door dezelfde poorten.'

Wat is er tegen op Gmail of Google Docs?
‘Webapplicaties zoals Google Docs en Office 2010 Web Apps laten gebruikers bestanden uploaden naar het internet en die daar met iedereen delen. Zonder dat het eigen bedrijf daar iets van hoeft te weten, en zonder dat een bedrijf daar controle over heeft. De documenten staan op een dataserver in Californië, met een wachtwoord als enige vorm van beveiliging. Google Desktop is nog erger. Dat stelt je in staat om de hele inhoud van je harde schijf te indexeren, zodat je die op afstand kunt doorzoeken. Gmail heeft twee problemen. Ten eerste heeft Gmail een chatfunctie waarmee je bestanden kunt delen. Ten tweede investeren bedrijven een hoop geld in mailbeveiliging, door bijvoorbeeld IronPort van Cisco te kopen. Maar een Gmail-gebruiker omzeilt dat alles gewoon. Dus ofwel je moet stoppen met investeren in mailbeveiliging, of je beveiligt Gmail.'

Uw firewalls kunnen dat?
‘Ja. Onze firewalls kunnen controleren wie Gmail mag gebruiken en wat ze daarmee mogen doen. Daarnaast kunnen ze ook mailberichten scannen op inhoud die een beveiligingsrisico kan opleveren. Vijftien jaar geleden vond ik, samen met anderen bij Checkpoint de stateful inspection techniek uit [waardoor een firewall weet of een ip-pakketje onderdeel is van bestaande connectie, of probeert een nieuwe verbinding te leggen, red.]. Die technologie was toen fantastisch, maar nu is een andere techniek nodig, die het verkeer classificeert op basis van de inhoud ervan. En dat doet mijn bedrijf Palo Alto Networks, gebruikmakend van onze App-technologie.'

‘Een firewall moet vijf dingen kunnen: hij moet de applicatie kunnen identificeren. Ook als die zich probeert te verbergen door bijvoorbeeld van poort naar poort te springen, of zichzelf binnen een andere applicatie te verbergen, of door zichzelf te versleutelen. Ten tweede moet de firewall weten welke gebruiker een bepaald ip-pakket heeft verstuurd. Dat kun je bijvoorbeeld bereiken via integratie met Active Directory, omdat dat Microsoft-programma onder andere bijhoudt welke gebruikers in- en uitgelogd zijn, welk ip-adres ze gebruiken, en tot welke groep ze behoren. Ten derde moet de firewall begrijpen wat de gebruikers doen met de applicatie. Neem WebEx, een dienst van Cisco voor het geven van presentaties via het internet.'

Wat kan er misgaan met WebEx?
‘Het heeft een aantal gevaarlijke opties, waaronder de mogelijkheid anderen controle te geven over je desktop via ‘desktop sharing'. Dat zou ik nooit gebruiken, maar er is altijd één werknemer die de fout maakt om dat toch te doen. Dan hoeft er maar één onbekende toehoorder te zijn die daar misbruik van maakt. Die heeft dan de controle over de desktop, en die desktop bevindt zich achter de firewall. Dus de firewall moet weten dat het om WebEx gaat, welke gebruiker WebEx gebruikt, en wat die gebruiker aan het doen is. Ten vierde: als de firewall iets toestaat, moet hij het ook kunnen beveiligen, door bijvoorbeeld geen virussen toe te laten. En tot slot moet zo'n firewall even snel zijn als de huidige generatie en evenveel kosten.'

U wisselt vaak van werkgever. Waarom?
‘Toen ik bij Checkpoint werkte, realiseerde ik me daar op een dag dat softwaregebaseerde firewalls dood waren, en dat klanten appliances [een combinatie van een apparaat en software, red.] wilden. Checkpoint wilde dat niet. Daarom ging ik naar NetScreen. Dat bedrijf maakte als eerste hardwaregebaseerde firewalls. Maar NetScreen werd gekocht door Juniper. Ondertussen besefte ik dat firewalls applicatie-bewust moesten worden. Juniper zag het echter niet zitten daar geld in te steken. Ik ben weggegaan, ben Palo Alto Networks gestart en heb een applicatie-bewuste applicatie gebouwd. Ik ben niet van plan dit bedrijf snel te verlaten, noch het te laten overnemen door een bedrijf als Juniper.'

Applications Rule!

Computable ontmoette Nir Zuk tijdens Applications rule!, georganiseerd door SecureLink.