En la presentación de la version 3.0 de PANOS en Junio de 2009, las nuevas caracterísitcas añadidas al producto suponían una ventaja competitiva muy significativa. Aún así, los partners echamos en falta entre otras cosas, la integración LDAP genérica, monitorizar el ancho de banda consumido por las aplicaciones en tiempo real, polítcas de enrutados en función de otros campos del paquete IP, etc.
PANOS 3.1 OTTAWA
Todo esto y más es lo que incluye la version 3.1 de PANOS que está previsto nos anuncien oficialmente durante el mes de Marzo y cuyo nombre de batalla es OTTAWA, ya que Palo Alto Networks asigna a sus revisiones de software el nombre de una ciudad cuya inicial coincida sucesivamente con las letras que componen el nombre de la compañía.
Las novedades que considero mas interesantes de cara a la implantación de este firewall son las siguientes:
User-ID
Añade la posibilidad de acceder a la base de datos de usuarios/grupos registrados en un servicio LDAP (Novel eDirectory o Open LDAP), esta integración no es trivial y precisa de un agente que se parametriza para que sepa cómo extraer la información necesaria, para mantener la relación entre un usuario y la direccion IP del equipo con el que abre sesión en el servicio de directorio.
App-ID
En esta versión cambia la estructura de clasificación de las aplicaciones, de modo que se establece una jerarquía entre una aplicación y funciones individuales dentro de la misma. Esto permite que en las actualizaciones se incluyan nuevas funciones de una aplicación web concreta, sin tener por ello que modificar las reglas de la política de seguridad en curso.
Por ejemplo, podemos permitir el uso de todas las funciones de Facebook a un grupo de usuarios y a otro grupo de usuarios prohibirle el uso de ciertas funciones concretas de Facebook, como puede ser el chat. Si posteriormente se añaden mas funciones para Facebook, por ejemplo juegos o calendario, estas funciones estarían incluidas en la categoría general de funciones de Facebook.
Otra capacidad mejorada es la identificación de protocolo de Voz IP, en la versión 3.0 la prioridad era identificar los protocolos y permitir las sesiones de voz/datos asociadas. Ahora se completa el soporte de la Voz IP con la modificación de los paquetes para aplicar correctamente reglas de traducción de direcciones a las sesiones de voz.
Content-ID
No sólo se identifican amenazas sobre el contenido entregado, si no que también se identifica ahora código javascript malicioso.
Podemos definir hasta categorias de filtrado URL propias, en las que especificamos los patrones que debe cumplir una URL para ser considerada un positivo en la categoría. Estas categorías tienen prioridad de aplicación frente a las categorías predefinidas.
Networking
Las mejoras en los protocolos y funciones de red son varias:
- Inclusión de BGP
- Policy Routing, para definir rutas en función de otros campos de la cabecera IP diferentes de la dirección IP de destino
- VSYS compartido, útil por ejemplo para que dos Firewall virtuales compartan una salida a Internet
- Cambio completo del algoritmo de Failover, que lo hace más robusto y potente
- Lisk State Passthrough, para hacer depender el estado de una tarjeta de red del firewall del estado de otra tarjeta del mismo en configuración de cable virtual
- Mejoras en la capcidad de traducción de direcciones (NAT)
- Soporte PPPoE y de Jumbo Frames
En definitiva, el Firewall puede funcionar en un entorno de red complejo sin necesidad de un router para conectar con el proveedor de servicio, aunque esto no suele ser lo habitual.
SSL VPN
Soporte de cliente SSL para Vista 64bits, y próximamente para MAC OS
Auitenticación de usuarios VPN mediante:
CONCLUSIÓN
Estas mejoras y otras muchas que por no extenderme dejo en el tintero, harán que Palo Alto Networks de otro paso de gigante en su posicionamiento como Firewall de nueva generación y alternativa a los firewalls tradicionales.