Rijksuniversiteit Groningen beveiligt netwerk met Palo Alto Networks
De Rijksuniversiteit Groningen werd in 1614 opgerich en is gevestigd in het noorden van Nederland en biedt bachelor-, master en PhD-programma's aan op vrijwel elk gebied. Veel opleidingen worden volledig in het Engels gegeven. Onderzoek en kennis vormen de pijlers onder de programma's van de universiteit, met een interdisciplinaire aanpak. Het onderzoek en het onderwijs op de Rijksuniversiteit Groningen is internationaal georiënteerd en studenten uit alle werelddelen bereiden zich er voor op internationale carrières.
Bestanden delen en malware op de campus
Aan de Rijksuniversiteit Groningen studeren ongeveer 28.000 studenten. De universiteit beschikt onder meer over het Universitair Medisch Centrum Groningen (UMCG) en over een 3D-projectieruimte voor de studierichting 'virtual reality' studies. De universiteit heeft ook een van de snelste high performance computers van Nederland in gebruik. Deze wordt aangedreven door de IBM Blue Gene/P en heeft 12.288 processorkernen, 6 terabyte geheugen en een rekenkracht van 41,78 teraflops. Op de universiteit werken ongeveer 8.000 mensen; zij voeren onderzoeken uit, geven les en ondersteunen studenten bij hun opleiding. De ICT-kern van de universiteit bestaat uit zes Cisco 6509's met onderlinge verbindingen van 10 gigabyte en uit een Supervisor 720 ter ondersteuning van de computerbehoeftes van. Dit systeem vormt de fundering onder het computergebruik van de studenten, de faculteiten en de medewerkers.
Open toegang en academische vrijheid
Als hogere onderwijsinstelling hanteert de universiteit de filosofie dat elke student en medewerker de vrijheid moet krijgen bij de toegang tot applicaties en websites en daarbij niet gehinderd mag worden door toegangsregels. “We zullen de toegang van studenten of medewerkers tot applicaties, websites of gedeelde bestanden niet bemoeilijken of blokkeren, tenzij er iets heel gevaarlijks of vreemds gebeurt”, zegt Mente Heemstra, netwerkspecialist voor de Rijksuniversiteit Groningen, die al tientallen jaren het netwerk en de beveiliging van de universiteit beheert.
“Er is geen specifiek toegangsbeleid. We staan al het verkeer toe, behalve het verkeer dat is aangemerkt als onveilig. Malware en andere bedreigingen voor ons netwerk worden simpelweg geblokkeerd.”
Zoals veel onderwijsinstellingen met een groot aantal werknemers en studenten, moet ook de Rijksuniversiteit Groningen een balans vinden tussen onderzoeksbehoeften en de veiligheid van het netwerk. De open benadering kan het netwerk kwetsbaar maken voor moderne malware. “De malware die we op ons netwerk tegenkomen zijn o.a. Mariposa, Conficker en de SQL ‘Slammer’ worm”, legt dhr. Heemstra uit. Deze bedreigingen zorgen afwisselend voor vertragingen op het netwerk en belemmeren een goede werking van de aangevallen systemen. Het delen van bestanden via peer-to-peer-netwerken (P2P) op de campus - iets wat vooral onder studenten veel voorkomt - stelt het universiteitsnetwerk ook bloot aan beveiligingsrisico's en auteursrechtelijke kwesties.
De universiteit had geen inbraakpreventiesysteem (IPS) en blokkeerde ongewenst verkeer daarom via toegangslijsten en logboekbestanden in de kernrouters. “Dit ging erg langzaam en het systeem kon niet overweg met de 2-3 Gbps aan verkeer die op ons netwerk binnenkomt”, zegt dhr. Heemstra. “Met een dergelijk systeem zo'n hoeveelheid data doorzoeken ging heel erg langzaam en omslachtig. Het duurde uren voordat er überhaupt een rapportage was om het verkeer rondom een bepaald probleem te kunnen inzien.”
Welke oplossing haalt het beste cijfer?
Om het netwerk beter te beveiligen, de hoeveelheid te inspecteren internetverkeer te vergroten en de snelheid ervan te verhogen deed de Rijksuniversiteit Groningen een onderzoek naar de beschikbare systemen voor netwerkbeveiliging en bedreigingspreventie. “We wilden iets hebben waarmee we meer inzicht konden krijgen in ons netwerk en waarmee we verdacht verkeer konden blokkeren, en dat met een minimale snelheid van 4 Gbps, zowel voor IPv4 als IPv6. Tegelijkertijd wilden we ons open toegangsbeleid behouden”, zegt dhr. Heemstra. “De totale kosten hiervoor speelden natuurlijk ook een grote rol. Ik heb alle IPS-producten op de markt nauwkeurig bekeken en heb gekozen voor de PA-4000 serie van Palo Alto Networks.”
De nieuwe PA-4000-serie firewalls met IPS zorgen voor ongekende inzichten in het netwerk en voor zeer nauwkeurig te bepalen toegangsrechten tot applicaties en bestanden - op gebruikersniveau, niet enkel op IP-adres - en dat bij snelheden tot 10Gbps, zonder merkbare invloed op de prestaties. De PA-4000-serie isoleert en beschermt data via beveiligingsregels die zijn gebaseerd op de identiteit van gebruikers of groepen binnen de Active Directory. Deze identiteiten worden vervolgens direct aan een bepaalde applicatie gekoppeld, waarna de applicatie kan worden onderzocht op bedreigingen en ongeautoriseerde gegevensoverdrachten. Deze mate van diepgaande controle is op de markt voor firewalls ongeëvenaard.
De PA-4000-serie voldeed aan de criteria van de universiteit op het gebied van kosten en andere gebieden. Er werd een proefevaluatie ingepland en uitgevoerd door ON2IT, de reseller van Palo Alto Networks in Nederland. “De evaluatie van de PA-4000-serie door ON2IT liet pas echt zien hoeveel ongecontroleerd applicatieverkeer en hoeveel malware we op ons netwerk hadden”, vertelt dhr. Heemstra. “Het was erg verhelderend. Met de PA-4000-serie konden we vooral heel eenvoudig zien hoe ver de activiteiten van Mariposa eigenlijk gingen.”
De nieuwe generatie firewalls van Palo Alto Networks is ideaal voor universiteiten en bedrijven die moderne malware willen tegenhouden en applicaties veilig willen beheren, in plaats van de 'blokkeren-of-nietsdoen'-werkwijze die veel traditionele poortblokkerende firewalls hanteren. “Nadat we diverse firewalls en IPS-producten hadden bekeken hebben we gekozen voor Palo Alto Networks vanwege het brede scala aan mogelijkheden, de relatief lage prijs en het positieve rapport dat de Gartner Group heeft opgesteld over de PA-4000-serie”, legt dhr. Heemstra uit. De Rijksuniversiteit Groningen was overtuigd en schafte twee PA-5060-firewalls van Palo Alto Networks aan voor IPS en dreigingspreventie. De bestaande Cisco ASA-firewalls en het bestaande IPS-systeem werden hierdoor vervangen.
Malware tegenhouden, het netwerk beschermen
Mente Heemstra is zeer tevreden met de inzichten in het netwerk, de beveiliging, het applicatiebeheer en de prestaties die de PA-4000-serie levert. “Het systeem van Palo Alto Networks heeft zijn waarde al snel bewezen”, vertelt hij. “We hebben al diverse nieuwe bugs kunnen opsporen en verhelpen. Bovendien hebben we het Mariposa-botnetverkeer op ons netwerk kunnen uitroeien.”
De universiteit is van plan om Palo Alto Networks ook te gaan inzetten voor de beveiliging van haar IPv6- en IPv4-infrastructuur. “Het mooie van de PA-4000-serie is dat er geen onderscheid wordt gemaakt tussen IPv4- en IPv6-verkeer”, legt dhr. Heemstra uit. “We kunnen hiermee al het IPv6-verkeer en alle inbraken vanuit applicaties in bepaalde tunnels inzien en vervolgens uitzoeken welke sporen deze in applicaties hebben achtergelaten. We willen alle IPv6-tunnels die verkeer transporteren blokkeren (behalve de VPN-tunnels), zodat we een aantal bedreigingen met betrekking tot dualstack-systemen binnen ons netwerk kunnen uitroeien. Hiermee kunnen we ook Windows Vista-machines beschermen, ongeacht het verkeer dat ze doorlaten.”
Behalve betere prestaties dan oudere UTM-systemen voor hetzelfde geld biedt de PA-4000-serie organisaties ook de mogelijkheid om applicaties nauwkeurig te herkennen en aan te sturen, om inhoud te scannen en zo bedreigingen tegen te houden en om het lekken van data te voorkomen, en dat allemaal met één netwerkapparaat. “Het mooie aan de PA-4000-serie is dat ik daadwerkelijk applicaties in beeld krijg, niet alleen maar poorten”, zegt dhr. Heemstra. “Poorten kunnen gekoppeld zijn aan risicovol verkeer, maar het systeem van Palo Alto Networks vertelt mij waar een poort voor gebruikt wordt, zelfs wanneer hij er uitziet als een HTTP-poort. Ik kan deze eenvoudig installeren en alle risicovolle of essentiële incidenten blokkeren.
Palo Alto Networks is ook geïmplementeerd op de koppeling tussen de universiteit en haar internetprovider. “Zo wordt al het ongewenste verkeer op effectieve wijze geblokkeerd”, legt dhr. Heemstra uit. “Bovendien hebben we nu een complete inventaris van al het verkeer tussen ons netwerk en het internet. Hoewel we per dag bijna 40 gigabyte aan datalogboeken registreren kunnen we deze data bij eventuele problemen snel en eenvoudig doorzoeken. Hiermee besparen we enorm veel tijd.”
Om de servers op het Universitair Medisch Centrum Groningen te beschermen heeft ON2IT de universiteit twee veelzijdige PA-2050-firewalls van Palo Alto Networks aangeboden voor een aantrekkelijke prijs. Het pakket van ON2IT kreeg de voorkeur boven offertes van diverse andere partijen. “Momenteel is Palo Alto Networks beter dan de concurrentie omdat ze een goede beveiliging verzorgen voor de juiste prijs”, zegt dhr. Heemstra. “Met Palo Alto Networks krijgen we goed inzicht in wat er echt gebeurt op ons netwerk en kunnen we ervoor zorgen dat er geen risicovol verkeer en geen riskante activiteiten meer op plaatsvinden”, concludeert dhr. Heemstra. “De controlemogelijkheden, inzichtelijkheid en bedreigingspreventie van de PA-4000-serie zijn ongeëvenaard. De kosten waren zeer acceptabel en de voordelen hebben de kosten al snel goedgemaakt.”
