Per chi non avesse mai sentito nominare di Palo Alto Networks o non avesse mai visto all’opera i prodotti di sicurezza di questa giovane azienda

è necessario ricordare che nell’ultimo Gartner Magic Quadrant for Enterprise Firewall datato Marzo 2010 l’azienda californiana ha avuto un’eccellente posizione tra i visionari. Ad oggi è in fatti in grado di fornire una soluzione integrata di sicurezza di grande respiro mettendo a disposizione appliance dedicati ad alte perfomance con caratteristiche di controllo uniche che tutti i vendor concorrenti stanno cercando di emulare.Con la fine di Febbraio 2011 Palo Alto Networks ha annunciato il rilascio della versione 4 del sistema operativo PANOS, installabile su tutti gli appliance Next Generation Firewall a listino. Con la nuova versione ha inoltre introdotto la funzionalità denominata GlobalProtect in grado di fornire agli host remoti lo stesso grado di sicurezza messo a disposizione per la rete enterprise, seguendo il trend dei maggiori vendor come Cisco, Juniper e Checkpoint cercando di annullare in questo modo il confine tra rete “esterna” e rete “interna”.

Quali le maggiori innovazioni della release 4?

La nuova versione prevede 50+ caratteristiche aggiuntive rispetto alle precedenti versioni 3.1.x in aggiunta alla classica lista di risoluzione di bug più o meno grandi che sempre accompagnano questo genere di major release.

Da menzionare la nuova possibilità di controllo del traffico cifrato SSH. Attraverso una parziale decrittazione e tecniche euristiche il firewall è ora in grado di identificare il tipo di traffico veicolato nel tunnel ssh, per verificare se è effettivamente legittimo oppure non permesso della policy aziendale. Assieme ad una migliore categorizzazione delle applicazione e alla semplificazione del processo di creazione di app personalizzate i Next Generation Firewall di Palo Alto Networks si pongono come punti di riferimento per la creazione di regole di firewall basate solamente su utente e applicazione. Dimenticatevi dei vecchi IP e PORTA, benvenuti nel futuro!

Sono state inoltre introdotte migliorie come l’identificazione del comportamento botnet, costantemente seguite dai laboratori di PA, permettendo così ora di individuare velocemente computer compromessi appartenenti alle reti controllate. Profili di limitazione attacchi Denial of Service (DoS) basati su oggetto destinatario e non più su interfaccia, assieme alla possibilità di indicare un timeout per mettere in blocco attacker sorgente e victim destinatario amplificano ed estendo le pure capacità di sicurezza perimetrale.

Dal punto di vista network è finalmente stata introdotta l’alta disponibilità di tipo active-active per venire in contro a quelle realtà aziendali complesse dove sono presenti problemi di routing asimmetrico. Altre interessanti migliorie riguardano le sofisticate sottointerfacce non taggate o la possibilità di usare indirizzi overlappati in differenti virtual router. Di sicuro però la novità più interessante è la caratteristica di DNS proxy in grado di risolvere gli annosi problemi di risoluzione DNS quando si trattano domini complessi.