“Firewalls de Siguiente Generación

Expandiendo la seguridad

a Nivel aplicación, usuario y

contenido”

Leticia Gammill

Gerente Regional,

Caribe y CentroAmérica

Agenda

Stateful Inspection + Modulos ( IPS, AV, AC ) ≠ NGFW

Que hace un NGFW ( APP-ID , Content-ID ) ?

Malware Moderno / Bonets por comportamiento

Visibilidad

Palo Alto Networks at a glance

Corporate highlights

Founded in 2005; first customer shipment in 2007

Safely enabling applications

Able to address all network security needs

Exceptional ability to support global customers

Experienced technology and management team

900+ employees globallyJul-10 Jul-11

Revenue

Enterprise customers

$MM

FYE July

Oct-12

3 | ©2013, Palo Alto Networks. Confidential and Proprietary.

Applications Get Through the Firewall

4 | ©2012, Palo Alto Networks. Confidential and Proprietary.

Network security policy is enforced

at the firewall• Sees all traffic

• Defines boundary

• Enables access

Traditional firewalls don’t work any

more

Applications Get Through the Firewall: Threats

5 | ©2012, Palo Alto Networks. Confidential and Proprietary.

Threats target applications• Used as a threat vector

• Application specific exploits

Applications Get Through the Firewall: Exfiltration

Applications provide exfiltration• Threat communication

• Confidential data

6 | ©2012, Palo Alto Networks. Confidential and Proprietary.

Applications Get Through the Firewall: Encryption

What happens traffic is encrypted?• SSL

• Proprietary encryption

7 | ©2012, Palo Alto Networks. Confidential and Proprietary.

Descripción Técnica

Wiki Stateful Inpection:

En computo un stateful firewall (cualquier

firewall que realiza stateful packet

inspection (SPI) o stateful inspection) es

un firewall que mantiene rastreando el

estado de las conexiones de red ( flujos de

comunicación TCP ,UDP) que lo atraviesan.

Este tipo de firewall esta programado para

distinguir paquetes legitimos para diferentes

tipos de conexiones. Solo los paquetes que

concuerdan con las conexiones activas son

lo que seran permitidos por el firewall, otros

paquetes serán rechazados.

0 7 8 15 16 23 24 31

Ver Hdr Len Service Type Total Length

Identification Flags Fragment Offset

Time To Live Protocol

Destination IP Address

Header Checksum

IP Options (If Any) Padding

Source IP Address

Data

…

Que siguió? la solución “UTM”

Port/Protocol-based ID

L2/L3 Networking, HA, Config Management, Reporting

Port/Protocol-based ID

HTTP Decoder

L2/L3 Networking, HA, Config Management, Reporting

URL Filtering Política

Port/Protocol-based ID

IPS Signatures

L2/L3 Networking, HA, Config Management, Reporting

IPS Política

Port/Protocol-based ID

AV Signatures

L2/L3 Networking, HA, Config Management, Reporting

AV Política

Firewall Política IPS Decoder AV Decoder & Proxy

Page 9 | © 2008 Palo Alto Networks. Proprietary and Confidential

Technology Sprawl and Creep Aren’t the Answer

Enterprise Network

• “More stuff” doesn’t solve the problem

• Firewall “helpers” have limited view of traffic

• Complex and costly to buy and maintain

• Doesn’t address application control challenges

10 | ©2012, Palo Alto Networks. Confidential and Proprietary.

IMDLPIPS ProxyURLAV

UTM

Internet

Las aplicaciones han cambiado .. y el FW NO

Necesitamos reestabelecer visibilidad y control al firewall

PERO … las aplicaciones cambiaron y el Firewall?

• Ports ≠ Applications

• IP Addresses ≠ Users

• Packets ≠ Content

• El Firewall es el punto indicado para hacer el control de aplicaciones

• Ve todo el tráfico

• El firewall es un punto de control de lógica positiva

Corresponde al Firewall habilitar la seguridad

Firewall IPS

App Ctrl PolicyDecision

Scan Applicationfor Threats

Applications

ApplicationTraffic

NGFW Application Control • Application control is in the firewall = single

policy

• Visibility across all ports, for all traffic, all the time

Implications • Network access decision is made based on

application identity

• Safely enable application usage

Port PolicyDecision

App Ctrl PolicyDecision

Application Control as an Add-on• Port-based FW + App Ctrl (IPS) = two policies

• Applications are threats; only block what you expressly look for

Implications • Network access decision is made with no

information

• Cannot safely enable applications

IPS

Applications

Firewall

PortTraffic

App-ID = Habilitador de Aplicaciones

• Siempre es la primera accion, siempre habilitado, siempre

rastreando el estado , en TODO el trafico, en TODAS las

aplicaciones, en TODOS los puertos

App-ID

Traffic

App1App2App3App4

Es un solo mecanismo ; Un habilitador basado en políticas

Identificando la aplicación como paso inicial es la única forma de habilitar aplicaciones

Tecnologias que diferencian a un NGFW

•App-ID™

•Identify the application

•User-ID™

•Identify the user

•Content-ID™

•Scan the content

Arquitectura SP3 Arquitectura de un solo paso en paralelo (SP3)

Un paso

Proceso de un paso para:

- Clasificación de trafico (app identification)

- Mapeo de Usuario/grupo

- Búsqueda de contenido – amenazas, URLs, DLP, etc.

Una Política

Proceso en paralelo

Motores de función especifica en hardware

Proceso Multi-core para seguridad

Planos de datos/control separados

Hasta 20Gbps, baja latencia

Que alcanzas a ver…con un FW basado en puertos + Application Control Add-on

Cuando deberias de estar viendo lo que un verdadero Next-Generation Firewall puede ver

Control en la superficie de analisis de la Red

»Universo de aplicaciones

»Trafico limitado a las aplicaciones aprobadas por la empresa basadas en APP y Usuario.

»Superficie de ataque reducida

»Biblioteca de amenazas completa sin tener puntos ciegos. Bi-directional inspectionScans inside of SSLScans inside compressed

filesScans inside proxies and

tunnels

Solamente permitimoslas aplicacionesnecesarias

Limipiamos el trafico que por todas las amenzas en un solo paso

Estrategia en Malware Moderno

Infection

Escalation

Remote Control

Malware provee un punto de expasión y vulnerabilidad claro en las redes.

Amenazas desconocidas

NGFW clasifica todo el trafico

conocido Personalización App-IDs

Cualquier otro tráfico se debe de

investigado como aplicación

desconocida para ser investigado Usado para encontrar botnets o amenazas

desconocidas

Behavioral Botnet Report Automáticamente correlaciona comportamiento

con usuario final

Unknown TCP and UDP, Dynamic

DNS, Repetición/Intentos de download

files, Contacto con DNS recientemente

registrados, etc

© 2010 Palo Alto Networks. Proprietary and Confidential.Page 20 |

10.1.1.56

10.1.1.34

10.1.1.277

192.168.1.4

192.168.1.47

10.1.1.101

10.0.0.24192.168.1.5

10.1.1.16

192.168.124.5

Encontrar al usuario en especifico que potencialmente esta comprometido por un Bot

Jeff.Martin

Reportes por usuario/aplicacion/Contenido Consolidado

Manejo de incidentes de seguridad

Reportes NGFW

Cual es la Respuesta?

25 | ©2012, Palo Alto Networks. Confidential and Proprietary.

Nuevos requerimientos para el Firewall1. Identificar aplicaciones sin importar puerto, protocolo, táctica evasiva o SSL

2. Identificar los usuario independientemente de la dirección IP

3. Visibilidad granular y políticas de control sobre acceso a aplicaciones / funcionalidad

4. Protección en tiempo real contra amenazas incrustadas entre las aplicaciones

5. Multi-gigabit, implementación en-línea sin degradación del rendimiento

26 | ©2012, Palo Alto Networks. Confidential and Proprietary.

Magic Quadrant - 2011 Magic Quadrant - 2013

Gartner Enterprise Network Firewall Market

© 2007 Palo Alto Networks. Proprietary and ConfidentialPage 27 |

Gracias !