Managed hosting door True

RUG pakt malware aan met Palo Alto Networks

 

Aan Rijksuniversiteit Groningen studeren 28.000 studenten. De universiteit beschikt onder andere over het Universitair Medisch Centrum Groningen (UMCG) en een hypermoderne 3D-projectieruimte voor de studierichting 'virtual reality'-studies. De universiteit heeft ook een van de snelste computers van Nederland in gebruik, die wordt aangedreven door de IBM Blue Gene/P en 12.288 processorkernen, zes terabyte aan geheugen telt en een rekenkracht heeft van 47,78 teraflops.

De ict-kern van de universiteit bestaat uit zes Cisco 6509's met onderlinge verbindingen van tien gigabyte en uit een Supervisor 720. Dit systeem vormt de fundering onder het computergebruik van de studenten, de faculteiten en de medewerkers. De universiteit hanteert de filosofie dat elke student en medewerker toegang moet hebben tot applicaties en websites en daarbij niet gehinderd mag worden door toegangsregels. 'We zullen de toegang van studenten of medewerkers tot applicaties, websites of gedeelde bestanden niet bemoeilijken of blokkeren, tenzij er iets heel gevaarlijks of vreemds gebeurt', zegt Mente Heemstra, netwerkspecialist voor de Rijksuniversiteit Groningen, die al tientallen jaren het netwerk en de beveiliging van de universiteit beheert.

'Er is geen specifiek toegangsbeleid. We staan al het verkeer toe, behalve het verkeer dat is aangemerkt als onveilig. Malware en andere bedreigingen voor ons netwerk worden simpelweg geblokkeerd.'

Balans

De Rijksuniversiteit Groningen moest een balans vinden tussen onderzoeksbehoeften en de veiligheid van het netwerk. De open benadering kan het netwerk kwetsbaar maken voor moderne malware. 'De malware die we op ons netwerk tegenkomen zijn onder andere Mariposa, Conficker en de SQL 'Slammer'-worm', legt Heemstra uit. Deze bedreigingen zorgen afwisselend voor vertragingen op het netwerk en belemmeren een goede werking van de aangevallen systemen. Het delen van bestanden via peer-to-peer-netwerken (p2p) op de campus - wat vooral onder studenten veel voorkomt - stelt het universiteitsnetwerk ook bloot aan beveiligingsrisico's en auteursrechtelijke kwesties.

De universiteit had geen inbraakpreventiesysteem (ips) en blokkeerde ongewenst verkeer daarom via toegangslijsten en logboekbestanden in de kernrouters. 'Dit ging erg langzaam en het systeem kon niet overweg met de 2-3 Gbps aan verkeer die op ons netwerk binnenkomt. Met een dergelijk systeem zo'n hoeveelheid data doorzoeken ging heel erg langzaam en omslachtig. Het duurde uren voordat er überhaupt een rapportage was om het verkeer rondom een bepaald probleem te kunnen inzien', zegt Heemstra.

Onderzoek

Om het netwerk beter te beveiligen, de hoeveelheid te inspecteren internetverkeer te vergroten en de snelheid ervan te verhogen deed de Rijksuniversiteit Groningen een onderzoek naar de beschikbare systemen voor netwerkbeveiliging en bedreigingspreventie. 'We wilden iets hebben waarmee we meer inzicht konden krijgen in ons netwerk en waarmee we verdacht verkeer konden blokkeren en dat met een minimale snelheid van 4 Gbps, zowel voor IPv4 als IPv6. Tegelijkertijd wilden we ons open toegangsbeleid behouden. De totale kosten hiervoor speelden ook een grote rol. Ik heb alle ips-producten op de markt nauwkeurig bekeken en heb gekozen voor de PA-4000 serie van Palo Alto Networks', zegt Heemstra.

De PA-4000-serie firewalls met ips zorgen voor ongekende inzichten in het netwerk en voor zeer nauwkeurig te bepalen toegangsrechten tot applicaties en bestanden - op gebruikersniveau, niet enkel op ip-adres - en dat bij snelheden tot 10Gbps, zonder merkbare invloed op de prestaties. De PA-4000-serie isoleert en beschermt data via beveiligingsregels die zijn gebaseerd op de identiteit van gebruikers of groepen binnen de Active Directory. Deze identiteiten worden vervolgens direct aan een bepaalde applicatie gekoppeld, waarna de applicatie kan worden onderzocht op bedreigingen en ongeautoriseerde gegevensoverdrachten. 

De PA-4000-serie voldeed aan de criteria van de universiteit op het gebied van kosten en andere gebieden. Er werd een proefevaluatie ingepland en uitgevoerd door On2it, een reseller van Palo Alto Networks in Nederland. 'De evaluatie van de PA-4000-serie door On2it liet pas echt zien hoeveel ongecontroleerd applicatieverkeer en hoeveel malware we op ons netwerk hadden. Het was erg verhelderend. Met de PA-4000-serie konden we vooral heel eenvoudig zien hoe ver de activiteiten van Mariposa eigenlijk gingen', vertelt Heemstra.

Ideaal

De nieuwe generatie firewalls van Palo Alto Networks is ideaal voor universiteiten en bedrijven die moderne malware willen tegenhouden en applicaties veilig willen beheren, in plaats van de 'blokkeren-of-nietsdoen'-werkwijze die veel traditionele poortblokkerende firewalls hanteren. 'Nadat we diverse firewalls en ips-producten hadden bekeken hebben we gekozen voor Palo Alto Networks vanwege het brede scala aan mogelijkheden, de relatief lage prijs en het positieve rapport dat de Gartner Group heeft opgesteld over de PA-4000-serie', legt Heemstra uit. De Rijksuniversiteit Groningen was overtuigd en schafte twee PA-5060-firewalls van Palo Alto Networks aan voor ips en dreigingspreventie. De bestaande Cisco ASA-firewalls en het bestaande ips-systeem werden hierdoor vervangen.

Heemstra is tevreden met de inzichten in het netwerk, de beveiliging, het applicatiebeheer en de prestaties die de PA-4000-serie levert. 'Het systeem van Palo Alto Networks heeft zijn waarde al snel bewezen. We hebben al diverse nieuwe bugs kunnen opsporen en verhelpen. Bovendien hebben we het Mariposa-botnetverkeer op ons netwerk kunnen uitroeien', vertelt hij.

De universiteit is van plan om Palo Alto Networks ook te gaan inzetten voor de beveiliging van de IPv6- en IPv4-infrastructuur. 'Het mooie van de PA-4000-serie is dat er geen onderscheid wordt gemaakt tussen IPv4- en IPv6-verkeer. We kunnen hiermee al het IPv6-verkeer en alle inbraken vanuit applicaties in bepaalde tunnels inzien en vervolgens uitzoeken welke sporen deze in applicaties hebben achtergelaten. We willen alle IPv6-tunnels die verkeer transporteren blokkeren (behalve de vpn-tunnels), zodat we een aantal bedreigingen met betrekking tot dualstack-systemen binnen ons netwerk kunnen uitroeien. Hiermee kunnen we ook Windows Vista-machines beschermen, ongeacht het verkeer dat ze doorlaten', legt Heemstra uit.

Applicaties in beeld

Behalve betere prestaties dan oudere utm-systemen voor hetzelfde geld biedt de PA-4000-serie organisaties ook de mogelijkheid om applicaties nauwkeurig te herkennen en aan te sturen, om inhoud te scannen en zo bedreigingen tegen te houden en om het lekken van data te voorkomen, allemaal met één netwerkapparaat. 'Het mooie aan de PA-4000-serie is dat ik daadwerkelijk applicaties in beeld krijg, niet alleen maar poorten. Poorten kunnen gekoppeld zijn aan risicovol verkeer, maar het systeem van Palo Alto Networks vertelt mij waar een poort voor gebruikt wordt, zelfs wanneer hij er uitziet als een HTTP-poort. Ik kan deze eenvoudig installeren en alle risicovolle of essentiële incidenten blokkeren', zegt Heemstra.

Palo Alto Networks is ook geïmplementeerd op de koppeling tussen de universiteit en haar internetprovider. 'Zo wordt al het ongewenste verkeer op effectieve wijze geblokkeerd. Bovendien hebben we nu een complete inventaris van al het verkeer tussen ons netwerk en het internet. Hoewel we per dag bijna veertig gigabyte aan datalogboeken registreren, kunnen we deze data bij eventuele problemen snel en eenvoudig doorzoeken. Hiermee besparen we enorm veel tijd', legt Heemstra uit.

Om de servers op het Universitair Medisch Centrum Groningen te beschermen heeft On2it de universiteit twee veelzijdige PA-2050-firewalls van Palo Alto Networks aangeboden voor een aantrekkelijke prijs. Het pakket van On2it kreeg de voorkeur boven offertes van diverse andere partijen. 'Momenteel is Palo Alto Networks beter dan de concurrentie omdat ze een goede beveiliging verzorgen voor de juiste prijs. Met Palo Alto Networks krijgen we goed inzicht in wat er echt gebeurt op ons netwerk en kunnen we ervoor zorgen dat er geen risicovol verkeer en geen riskante activiteiten meer op plaatsvinden. De controlemogelijkheden, inzichtelijkheid en bedreigingspreventie van de PA-4000-serie zijn ongeëvenaard. De kosten waren acceptabel en de voordelen hebben de kosten al snel goedgemaakt', concludeert Heemstra.

Dit artikel is afkomstig van Computable.nl (https://www.computable.nl/artikel/5258021). © Jaarbeurs IT Media.

?


Lees meer over


 
Vacatures

Stuur door

Stuur dit artikel door

Je naam ontbreekt
Je e-mailadres ontbreekt
De naam van de ontvanger ontbreekt
Het e-mailadres van de ontvanger ontbreekt

×
×