Upload
others
View
10
Download
0
Embed Size (px)
Citation preview
“Firewalls de Siguiente Generación
Expandiendo la seguridad
a Nivel aplicación, usuario y
contenido”
Leticia Gammill
Gerente Regional,
Caribe y CentroAmérica
Agenda
Stateful Inspection + Modulos ( IPS, AV, AC ) ≠ NGFW
Que hace un NGFW ( APP-ID , Content-ID ) ?
Malware Moderno / Bonets por comportamiento
Visibilidad
Palo Alto Networks
Características Empresa
Fundada en 2005
Seguridad en aplicaciones
Posibilidad de atender todas las necesidades de
seguridad
Habilidad para proveer soporte global a los clientes
Equipo de trabajo y tecnologia con experiencia
Mas de 1000 empleados alrededor del mundo
1.800
4.700
10.000
0
2.000
4.000
6.000
8.000
10.000
12.000
Jul-10 Jul-11
$13
$49
$255
$119
$0
$50
$100
$150
$200
$250
$300
FY09 FY10 FY11 FY12
Utilidades
Clientes
$MM
FYE July
Oct-12
3 | ©2013, Palo Alto Networks. Confidential and Proprietary.
Hoy en día el Firewall no es suficiente
4 | ©2012, Palo Alto Networks. Confidential and Proprietary.
Las políticas de seguridad son
enforzadas en el firewall• Definen límites
• Establecen accesos
Los Firewalls tradicionales ya no
funcionan hoy en día
Aplicaciones pasan a través de las aplicaciones:
Amenazas
5 | ©2012, Palo Alto Networks. Confidential and Proprietary.
Amenazas en las aplicaciones• Usan vectores de ataque
• Explotacion de vulnerabilidades
especificas de aplicaciones
Aplicaciones pasan a través de las aplicaciones:
Exfiltración
Aplicaciones proveen
exfiltración• Comunicación de amenazas
• Datos confidenciales
6 | ©2012, Palo Alto Networks. Confidential and Proprietary.
Aplicaciones pasan a través del Firewall: Cifrado
Que pasa si el tráfico está
encriptado?• SSL
• Encripción propia
7 | ©2012, Palo Alto Networks. Confidential and Proprietary.
Descripción Técnica
Wiki Stateful Inpection:
En computo un stateful firewall (cualquier
firewall que realiza stateful packet
inspection (SPI) o stateful inspection) es
un firewall que mantiene rastreando el
estado de las conexiones de red ( flujos de
comunicación TCP ,UDP) que lo atraviesan.
Este tipo de firewall esta programado para
distinguir paquetes legitimos para diferentes
tipos de conexiones. Solo los paquetes que
concuerdan con las conexiones activas son
lo que seran permitidos por el firewall, otros
paquetes serán rechazados.
0 7 8 15 16 23 24 31
Ver Hdr Len Service Type Total Length
Identification Flags Fragment Offset
Time To Live Protocol
Destination IP Address
Header Checksum
IP Options (If Any) Padding
Source IP Address
Data
…
Que siguió? la solución “UTM”
Port/Protocol-based ID
L2/L3 Networking, HA, Config Management, Reporting
Port/Protocol-based ID
HTTP Decoder
L2/L3 Networking, HA, Config Management, Reporting
URL Filtering Política
Port/Protocol-based ID
IPS Signatures
L2/L3 Networking, HA, Config Management, Reporting
IPS Política
Port/Protocol-based ID
AV Signatures
L2/L3 Networking, HA, Config Management, Reporting
AV Política
Firewall Política IPS Decoder AV Decoder & Proxy
Page 9 | © 2008 Palo Alto Networks. Proprietary and Confidential
Más cajas no solucionan el problema
Red Empresarial
• Los “ayudantes” del Firewall tienen visibilidadincompleta
• Compleja y costosa de mantener
• No resuelve los retos del control de aplicaciones
10 | ©2012, Palo Alto Networks. Confidential and Proprietary.
IMDLPIPS ProxyURLAV
UTM
Internet
Las aplicaciones han cambiado .. y el FW NO
Necesitamos reestabelecer visibilidad y control al firewall
PERO … las aplicaciones cambiaron y el Firewall?
• Ports ≠ Applications
• IP Addresses ≠ Users
• Packets ≠ Content
• El Firewall es el punto indicado para hacer el control de aplicaciones
• Ve todo el tráfico
• El firewall es un punto de control de lógica positiva
Corresponde al Firewall habilitar la seguridad
Firewall IPS
App Ctrl PolicyDecision
Scan Applicationfor Threats
Applications
ApplicationTraffic
NGFW Application Control • Application control is in the firewall = single
policy
• Visibility across all ports, for all traffic, all the time
Implications • Network access decision is made based on
application identity
• Safely enable application usage
Port PolicyDecision
App Ctrl PolicyDecision
Application Control as an Add-on• Port-based FW + App Ctrl (IPS) = two policies
• Applications are threats; only block what you expressly look for
Implications • Network access decision is made with no
information
• Cannot safely enable applications
IPS
Applications
Firewall
PortTraffic
App-ID = Habilitador de Aplicaciones
• Siempre es la primera accion, siempre habilitado, siempre
rastreando el estado , en TODO el trafico, en TODAS las
aplicaciones, en TODOS los puertos
App-ID
Traffic
App1App2App3App4
Es un solo mecanismo ; Un habilitador basado en políticas
Identificando la aplicación como paso inicial es la única forma de habilitar aplicaciones
Tecnologias que diferencian a un NGFW
•App-ID™
•Identify the application
•User-ID™
•Identify the user
•Content-ID™
•Scan the content
Arquitectura Single-Pass Parallel Processing™ (SP3)
Single Pass
Se revisa el paquete una vez
Clasificación de tráfico (app
identification)
Relacionar Usuarios/grupos
Revisión de contenido –
amenazas, URLs, informaci
ón confidencial
One policy
Procesamiento Paralelo
Motores de HW específicos
para el procesamiento
paralelo
Separación de los planos de
control y datos
15 | ©2012, Palo Alto Networks. Confidential and Proprietary.
Hasta 20Gbps, Baja Latencia
Cuando deberias de estar viendo lo que un verdadero Next-Generation Firewall puede ver
Control en la superficie de analisis de la Red
»Universo de aplicaciones
»Trafico limitado a las aplicaciones aprobadas por la empresa basadas en APP y Usuario.
»Superficie de ataque reducida
»Biblioteca de amenazas completa sin tener puntos ciegos. Bi-directional inspectionScans inside of SSLScans inside compressed
filesScans inside proxies and
tunnels
Solamente permitimoslas aplicacionesnecesarias
Limipiamos el trafico que por todas las amenzas en un solo paso
Estrategia en Malware Moderno
Infection
Escalation
Remote Control
Malware provee un punto de expasión y vulnerabilidad claro en las redes.
Métodos de control de amenazas
© 2012 Palo Alto Networks. Proprietary and Confidential
Encrypted Traffic
Inspect within SSL
ProxiesCommon user-driven evasion
Remote DesktopIncreasingly popular tool for end-
users
Compressed ContentZIP files and compressed HTTP (GZIP)
Encrypted Tunnels
Hamachi, Ultrasurf, Tor
Purpose-built to avoid security
Encryption (e.g. SSL)
Compression (e.g. GZIP)
Proxies (e.g CGIProxy)
Circumventors and Tunnels
Outbound C&C Traffic
Amenazas desconocidas
NGFW clasifica todo el trafico
conocido Personalización App-IDs
Cualquier otro tráfico se debe de
investigado como aplicación
desconocida para ser investigado Usado para encontrar botnets o amenazas
desconocidas
Behavioral Botnet Report Automáticamente correlaciona comportamiento
con usuario final
Unknown TCP and UDP, Dynamic
DNS, Repetición/Intentos de download
files, Contacto con DNS recientemente
registrados, etc
© 2010 Palo Alto Networks. Proprietary and Confidential.Page 21 |
10.1.1.56
10.1.1.34
10.1.1.277
192.168.1.4
192.168.1.47
10.1.1.101
10.0.0.24192.168.1.5
10.1.1.16
192.168.124.5
Encontrar al usuario en especifico que potencialmente esta comprometido por un Bot
Jeff.Martin
WildFire
Page 22 |
✓ ✓
✓
Centro de Análisis WildFire
Archivos
potencialmente
maliciosos del
Internet
Protección enviada a
los firewalls de
clientes
Envío de archivos por
política
• Análisis basado en Sandbox- busca más
de 80 comportamientos maliciosos
• Genera reporte forense detallado
• Crea firmas de antivirus y C&C
La solución? Que el Firewall vuelva a hacer su trabajo
1. Identificar aplicaciones independiente de puerto, protocolo, táctica evasiva o SSL
2. Identificar y controlar usuarios independiente de IP, ubicación o dispositivo
3. Proteger contra amenazas conocidas y desconocidas
4. Visibilidad granulary control de políticas sobre el acceso a aplicaciones y sufuncionalidad
5. Multi-gigabit, baja latencia, implementación en línea
27 | ©2012, Palo Alto Networks. Confidential and Proprietary.
28 | ©2012, Palo Alto Networks. Confidential and Proprietary.
Magic Quadrant - 2011 Magic Quadrant - 2013
Gartner Enterprise Network Firewall Market