sidetech

(元)インフラエンジニアの寄り道メモ。

Paloaltoでアプリケーションコントロール

ファイアウォールを構築している人達ならまず知らない人はいないと思いますが、良くも悪くも、Paloaltoが「次世代ファイアウォール」なんていう言葉を言い出したと記憶しています。

次世代の定義とはなんだったのか。メーカーによって色々な解釈があったのだと思いますが、多分アプリケーション制御だったりするんだろうなと。

その出たての頃は、私はP2Pや色々なWEBアプリに屈していました。
それまでのファイアウォールは、IPフィルタ・URLドメインフィルタ・プロトコル/ポートフィルタに決められたアタックシグネチャでの対策(それも閾値がわからないw)しかありませんでした。
ポート80と443を許可しているだけで、いっくら要らんポートを塞いでも、80と443で何でもかんでも通信させちゃう。更には利用者がどんな事をしているのかなんてアクセスログ的には見えるけど、内容が見えるわけじゃない。

社内のネットワークパケットはP2PのよくわからないDNSクエリーに食いつぶされURLフィルタも強すぎれば文句言われて弱めるとスルスル抜けて行ってしまう。

そんな時に出会ったのがPaloaltoでした。いやータケーと思ったけどね。。。
Paloaltoapp01
Juniper系FW製品に慣れている方ならそんなにとっつき難くないので、私は構築を自分でしましたが、ちょっとてこずったのはLAGの設定かな・・・。
色々な追加オプションがまた高いんだけどね。かなり自由な構成を組めます。

んで、どんなアプリが流れているのか見てみて、ブロックしたり、モニターしたりするわけなのですが、単純にアプリをどうこうだけじゃなくて、未対応でも自分でアプリパターンを作れちゃったりね。
Paloaltoapp02
たとえば、2chなんて昔は見せるか見せないかしか出来ませんでしたが、Paloaltoだと、見せるけど投稿させないなんていう方法も出来る。
アップローダー系サイトも同じくアップロードだけ規制してダウンロードだけOKにするとか。
Skypeの音声は許可するけどファイル交換は禁止にするとか。そういった制御が可能になるですね。

最近はクラウドやスマフォの影響なのかポートの概念も緩いみたいで、ポート80や443以外のポートもインターネットで多用されるような時代になりました。でも見ているレベルはレイヤー7なので、もうポートとか気にする時代じゃないのかもしれないですね。
かえってポート80を使うという事の方が、特定アプリとしてのハッキングをさせやすくしていると考えるとね。難しいねぇ。
そして、今はクラウド環境でCDN環境なので、何処に通信しに行くのか、その時のDNS次第なので、IPフィルタの時代ではないです。かといってドメインフィルタという方法も大変よね。
製品性能というか処理性能が上がったことで通信内容の解析でアプリを判断しちゃっても間に合う時代になったと。特定パターン型パケットキャプチャーと言えばいいんでしょうか。
ただ、特定パターンというからには、そういったパターンのDATを抱えなければならないと。なもんでアップデートやらバグやらがちょっち多いのがね・・・ちょっち大変。。。

Paloalto以外にもアプリケーションファイアウォール製品はあります。

一応今後はPaloaltoの癖モノぽい部分でもご紹介できればと思います。

Palo Alto Networks 構築実践ガイド 次世代ファイアウォールの機能を徹底活用

Palo Alto Networks 構築実践ガイド 次世代ファイアウォールの機能を徹底活用