GUÍA PARA EL COMPRADOR DE FIREWALL - · PDF filePalo Alto Networks: ... funcionalidad tradicional para la prevención de intrusos basada en firmas. Aunque pudiera sonar atractivo,

WITH FOREWORD BY IANS

2011–2012

GUÍA PARAEL COMPRADOR

DE FIREWALL

La guía definitiva para evaluar el firewall de la red corporativa.

PALO ALTO NETWORKS 2 | 2011–2012 GUÍA PARA EL COMPRADOR DE FIREWALL

Palo Alto Networks: 2011-2012 Guía para el comprador de firewallLa guía definitiva para evaluar el firewall de la red corporativa.

Informe sobre la Guía para el comprador de firewall de Palo

Alto Networks

Las amenazas a las que se enfrentan los departamentos de

redes y seguridad evolucionan a gran velocidad, y los productos

que estos implantan son determinantes para el resultado de

la estrategia global de seguridad de la empresa. Desde hace

años, el firewall es la piedra angular de la seguridad de una

red, pero dada la velocidad a la que cambian las necesidades

de la empresa, este ha de seguir evolucionando para afrontar

los retos que se plantean en un entorno tan dinámico como

el actual. Palo Alto Networks solicitó a IANS Research, una

empresa informática independiente dedicada a la investigación

sobre seguridad, riesgos y homologaciones, que estableciese

el contexto de la presente Guía para el comprador de firewall

mediante la observación de cómo están cambiando las

operaciones se seguridad, el comportamiento de los usuarios

y la complejidad de las amenazas, con el fin de plantear los

cambios que se han de realizar en el papel del firewall para

no ceder terreno.

Prólogo



El firewall se considera como uno de los controles de seguridad fundamentales de una red. En las dos últimas décadas, el firewall ha pasado de un sencillo dispositivo de filtrado a un complejo sistema capaz de supervisar el estado de varias sesiones de tráfico al mismo tiempo. Pero aun teniendo prestaciones más avanzadas y un rendimiento aún mayor, los firewall sufren hoy una crisis de identidad: las amenazas se desarrollan a gran velocidad, y el filtrado tradicional por puerto o dirección IP ya no sirve para frenarlas. Las redes corporativas son cada vez más complejas y albergan una gran cantidad de servicios y aplicaciones que han de ser identificadas y controladas convenientemente por los departamentos de redes y seguridad. En este documento se estudia el estado actual de la tecnología firewall y se plantean los nuevos requisitos necesarios para garantizar la seguridad de la red corporativa.

Mayor visibilidad frente a mayor sofisticaciónEl terreno de las aplicaciones ha cambiado de forma notable. Cada vez son menos las aplicaciones que muestran patrones de tráfico tradicionales, mediante protocolos estándar como FTP, SMTP y SMB, mientras siguen aumentando aquellas que emplean HTTP como principal método de comunicación: hoy, desde sitios web sencillos hasta enormes infraestructuras de servicios, casi todas las aplicaciones usan XML, SOAP y AJAX. Actualmente los usuarios acceden al correo personal y al profesional mediante HTTP, las aplicaciones de intercambio de archivos usan HTTP, o saltan de un puerto a otro, ya existe tráfico de voz que emplea HTTP además de SIP y protocolos VoIP tradicionales. Aunque todo esto supone una revolución en términos de colaboración y desarrollo, también supone una gran desventaja en lo que respecta a la seguridad. Las amenazas a las que se enfrentan las empresas hoy día son mucho más avanzadas y difusas que antes. Los robos de información confidencial están a la orden del día: Citi perdió datos de 360.000 titulares de tarjetas de crédito; Sony padeció diversos incidentes que afectaron a más de 100 millones de usuarios registrados.

En muchos de estos robos, los delincuentes emplearon métodos sofisticados de ingeniería social y manipulación del software cliente que provocaron una sigilosa filtración de datos muy difícil o imposible de detectar con las herramientas de seguridad tradicionales. Gran parte del tráfico de salida de los delincuentes usaba los puertos 80, 443 y otros, los cuales resultan muy difíciles de inspeccionar a fondo dado el volumen de información online que los usuarios internos generan constantemente. De hecho, este tipo de tráfico se mezcla entre la multitud de aplicaciones web de tal manera que el sistema de seguridad ni siquiera sabe que se encuentra ahí.

Ser capaces de relacionar determinados patrones de uso y comportamiento para detectar cualquier actividad nociva es fundamental para afrontar las amenazas de hoy día, las cuales dejan poco rastro más allá del volumen de tráfico y la fecha de transferencia. Asimismo, la capacidad para descifrar qué tráfico (en el nivel de paquetes) entra y, más importante aún, qué tráfico sale de la empresa es el pilar sobre el que se sustenta la gestión avanzada de amenazas. Muchas de las variantes de bots más nocivas que afectan a las empresas emulan los tipos de tráfico más comunes para evitar la detección de los canales de Control y Mando (CC) que los conectan a los controladores. Team Cymru, un gabinete especializado en seguridad, ya reveló en 2008 un ejemplo relativamente inocuo de este tipo de actividad, al descubrir que los terminales infectados se comunicaban con un servidor por medio de segmentos cifrados con Base64 como el siguiente:

GET

/cgi-bin/get.cgi?data=dmVyPTUmdWlkPTE4MDczMzM2NSZjb25uPSZvcz1YUCZzb2Nrcz0xNTczJmlwPTE5Mi4xNjguMTk3

En este segmento se incluye información sobre la dirección IP del terminal infectado, el sistema operativo y los datos de acceso del usuario. Los últimos bots, como Zeus y la familia TDL de botnets, también emplean técnicas similares de codificación y cifrado. La fa-milia TDL utiliza cifrado con SSL y codifica el tráfico de control y comando con Base64. Los siguientes segmentos URL son también muy comunes a este tipo de botnet:

/data/www/dm_engine/library/classes/DBase.php

/data/www/dm_engine/public/enginestatusn.php

/data/www/dm_engine/library/models/mSystems.php

/data/www/dm_engine/public/index.php



En la misma medida en la que aumenta en la empresa el uso personal y profesional de aplicaciones web, herramientas sociales y el intercambio de archivos, aumenta el riesgo de que se haga un uso o apropiación indebidos de la información que se maneja. El único método eficaz de vigilancia y control de los usuarios internos se basa en la observación minuciosa de toda la información que se intercambia desde dentro y fuera de la red. El problema surge cuando esta tarea se realiza mediante proxy o herramientas de filtrado de contenidos, pues para eludirlas basta con puentear el filtro a proxys externos, cifrar el contenido u ocultarlo con aplicaciones del tipo Tor. Además, las herramientas tradicionales de filtrado e inspección no son las más apropiadas para detectar técnicas sencillas de ofuscación y cifrado, pues estas solo resultan fáciles de identificar mediante el análisis de distintos patrones de comportamiento.

La complejidad y las exigencias de la empresaLa tecnología tradicional de firewall se centra en los puertos TCP y UDP como factor principal de identificación a la hora de filtrar el tráfico de una red. Dada la proliferación de servicios y aplicaciones web tanto internas como externas, esta técnica “estática” de identificación del tráfico empieza a resultar demasiado rígida, con la perdida de visibilidad ante el posible tráfico nocivo que pudiera circular oculto entre aquellas aplicaciones. Por otro lado, son muchas las consolas gestoras de aplicaciones y dispositivos que emplean funcionalidad web a través de puertos estándar; por motivos evidentes, estas aplicaciones también han de cubrirse, como muchas otras. Este es uno de los elementos cruciales que caracterizan la situación actual de la seguridad de redes: facilitar la actividad del propio negocio tiene una importancia vital, pero los departamentos de seguridad carecen del nivel de visibilidad y control necesario para facilitar el negocio sin dejar de bloquear el tráfico nocivo que no se ajusta a las políticas de uso de la red.

Mientras crece la lista de aplicaciones y menguan los departamentos de IT, cada vez resulta más difícil gestionar las diferentes políticas de seguridad a lo largo de toda la plataforma de red y encontrar especialistas capaces de coordinar todos los elementos defensivos.

Muchas empresas llevan años acumulando reglas y políticas de firewall, y carecen de documentación e incluso justificación para el mantenimiento de muchas de ellas. El aumento de la complejidad en la política y del volumen de reglas en el firewall tiene diversas consecuencias. En primer lugar, los conflictos y contrasentidos en las propias reglas pueden provocar problemas de disponibilidad o bloqueos involuntarios de tráfico que es necesario para el negocio. Esto no se puede tolerar, y como suele acarrear duras críticas contra los equipos de redes y seguridad, estos suelen ser reacios a efectuar cambios que afecten a los dispositivos o a la política que los rigen. El segundo problema que surge en la presente situación es la reducción de la seguridad en general, pues los “apaños” y las políticas temporales terminan perpetuándose en el tiempo.

Los encargados de la seguridad de la red hacen cada vez más cosas y con menos medios. Y desgraciadamente, la complejidad del panorama de aplicaciones y amenazas está creando dos tendencias principales en seguridad de redes. En primer lugar, la presión competitiva y los cambios ocurridos en el panorama de aplicaciones han obligado a numerosos fabricantes de dispositivos de seguridad a añadir a sus productos la “inspección de aplicaciones” y avanzadas funciones “anti-malware”. Aunque en algunos casos se trata de funcionalidades bien diseñadas e integradas, en muchos otros dan lugar a nuevos problemas. Es posible que estas funciones aumenten la complejidad de la administración y el mantenimiento de los sistemas, lo cual aumenta a su vez el tiempo dedicado a solucionar problemas. Por otro lado, muchas de estas funciones tampoco funcionan tal y como se anuncian; de hecho, apenas se diferencian de la funcionalidad tradicional para la prevención de intrusos basada en firmas. Aunque pudiera sonar atractivo, el impacto que provoca en el rendimiento del dispositivo llega a ser notable, lo que obliga a los administradores a desactivarlo.

La segunda tendencia consiste en la proliferación de tecnologías separadas cuya función es muy limitada en lo que respecta a la seguridad. Este tipo de “soluciones puntuales” funcionan correctamente, pero el crecimiento de distintos sistemas aumenta las tareas de administración, los costes y la complejidad de la infraestructura hasta un punto que quizá resulte excesivo para la empresa. Aunque el uso de controles separados puede parecer síntoma de una postura afianzada de “defensa en profundidad”, muchas empresas serán incapaces de administrar todos estos productos, muchos de los cuales acabarán en la estantería sin ser usados y dejando en la red un vacío de seguridad considerable.

El cambio genera innovación

Aun teniendo prestaciones más avanzadas

y un rendimiento aún mayor, los firewall

sufren hoy una crisis de identidad: las

amenazas se desarrollan a gran velocidad,

y el filtrado tradicional por puerto o direc-

ción IP ya no sirve para frenarlas.



Se necesita un nuevo enfoque para afrontar nuevos desafíosDada la complejidad de las amenazas con las que han de lidiar las empresas, muchas se conforman con una mezcla de herramientas tanto tradicionales como punteras para proteger el perímetro de la red. Cada nueva pieza que se añade a la infraestructura con nuevos beneficios potenciales supone la necesidad de encontrar especialistas que sepan utilizarlas y tiempo para hacerlo. Y no conviene olvidar que cada una de estas piezas representa un nuevo eslabón en la cadena, lo que la hace más débil. La infraestructura de convergencia ofrece un único punto para auditoría, aplicación y actualización de las políticas de seguridad. Entre las ventajas colaterales, destacan la disminución del coste operativo a corto plazo y menores gasto de capital y coste de mantenimiento a largo plazo. Esta convergencia podría suponer un ahorro considerable en cuanto al tiempo que se dedica al desarrollo, aplicación y mantenimiento de las políticas de seguridad.

En un entorno en el que las amenazas son cada vez más sofisticadas, los actores más capaces y las políticas más complejas y mayores en número, el papel del firewall como piedra angular de la protección de datos y brazo ejecutor de la política de seguridad es más protagonista que nunca. Sin embargo, una gran parte de la tecnología firewall actual no ofrece la funcionalidad necesaria para prevenir y detectar las filtraciones de datos (nocivas y desapercibidas), la infección por malware y los sofisticados ataques provenientes del exterior y el interior de la red. Para que se produzca una evolución real de los sistemas de seguridad y que los firewall se adapten a unos entornos de red cada vez más complejos, es preciso aportar nueva funcionalidad.

Y esta nueva funcionalidad ha de evolucionar en tres categorías:

n Identificación y control de las aplicaciones: conlleva el diseño y desarrollo de políticas así como el análisis sintáctico y la inter-pretación dinámica del tráfico para evaluar las normas y aplicar-las de forma uniforme a medida que cambia el entorno.

n Mayor visibilidad del tráfico interno y remoto: los delincuentes son inteligentes, y han creado malware y juegos de herramientas que utilizan canales cifrados como SSL para transportar coman-dos e información sensible. Además, muchas de las aplicaciones fundamentales para la empresa requerirán leves variaciones de política para los distintos tipos de funcionalidad, por lo que el firewall ha de ser capaz de “comprender” las sutilezas de estas aplicaciones para tomar las decisiones adecuadas.

n Mejores operaciones: en primer lugar, el firewall ha de sim-plificar las operaciones de redes y seguridad mediante la con-solidación de las funciones que actualmente realizan diversos controles de seguridad y la reducción de los tiempos de adminis-tración y mantenimiento. En segundo lugar, el propio firewall ha de rendir sin fallos y a gran velocidad sin dejar de realizar una inspección meticulosa de cada aplicación.

Actualmente, la mayoría de las infraestructuras de seguridad realizan algunas de estas funciones. Sin embargo, muchas de las herramientas que emplean las empresas aportan funcionalidad de forma “orgánica”, al ir creando nuevos módulos para el dispositivo original. El caso es que ni los módulos, ni el hardware sobre el que operan, han sido diseñados expresamente para analizar y clasificar el tráfico de aplicaciones de alta velocidad, por lo que la simple activación de los mismos afecta notablemente al rendimiento de los dispositivos, pudiendo provocar problemas de disponibilidad en la red.

Requisito fundamental: Identificación y control de las aplicacionesEl tráfico que generan las aplicaciones (web o de otro tipo) abarca la mayor parte del tránsito que se produce en una red corporativa. Dada la proliferación generalizada de aplicaciones web y demás aplicaciones y protocolos, ¿cuáles son las nuevas funciones que necesita un firewall para mejorar el control y la supervisión del tráfico? En primer lugar, el firewall ha de ser capaz de identificar las características principales de las aplicaciones que se utilizan más allá de los puertos TCP y UDP. Por ejemplo, la aplicación de acceso remoto Secure Shell (SSH) suele utilizar el puerto TCP 22, aunque con una simple manipulación se pueden puentear los con-troles de acceso basados en puerto y crear un túnel cifrado. Cada vez son más las variantes de malware que usan HTTP y HTTPS en sus canales de control y mando, como ya dijimos anteriormente. En un informe de SANS titulado “Análisis de un bot HTTP sencillo”, Daryl Ashley describe el comportamiento de un bot HTTP que utili-za un cifrado sencillo para su línea de comando. Lo que hace el bot es fijar el encabezado User-Agent en el valor “inter easy”, tras lo cual recibe un comando cifrado con Base64 que significa “reposo”: <!-- 2upczxAX.3:

Este mensaje pasaría sin problemas cualquier control de seguridad, pues se asemeja al tráfico característico de las aplicaciones web. En cambio, con un firewall capaz de analizar todo el tráfico HTTP y HTTPS, y de advertir cualquier anomalía que se produzca en el mismo (ya sea de comportamiento o de comunicación), el mensaje resultaría bloqueado. El caso es que casi todos los dispositivos que existen para la prevención y detección de intrusos funcionan con métodos estándar de análisis de firmas, y estos son fáciles de eludir.



Otro requisito primordial para la detección y el análisis de las aplicaciones es la capacidad para identificar proxys anónimos y demás técnicas de “puenteo”. Aparte de para simplemente bloquear aquellos dominios y direcciones IP que alberguen proxys en Internet, un firewall debe servir también para identificar herramientas comunes para el acceso remoto como Remote Desktop, proxys como PHProxy y otros, y aplicaciones alojadas como GoToMyPC. Todas estas herramientas dejan firmas fáciles de identificar si se realiza la inspección de las aplicaciones en mayor profundidad. Asimismo, existen muchas aplicaciones comerciales legítimas con determinadas funciones que deberían ser desactivadas por motivos de seguridad. Supongamos una empresa que utiliza WebEx para hacer reuniones online con sus empleados, socios y proveedores. Pues bien, aunque la funcionalidad estándar es perfectamente legítima y su uso está permitido, la opción WebEx Desktop Sharing puede dejar vía libre para que cualquier persona presente en la reunión acceda a información confidencial alojada en el sistema o, aún peor, para que algún programa de malware la deje activada de forma clandestina. Los controles de seguridad de la red han de estar preparados para diferenciar las distintas funciones de WebEx y decidir cuáles están permitidas y cuáles no.

Por último, los nuevos firewall han de servir para la detección del malware que puede circular escondido entre las funciones aprobadas de las aplicaciones. Por ejemplo, SharePoint de Microsoft facilita el intercambio sencillo de documentos con los protocolos HTTPS y CIFS, y estos pueden verse infectados por malware. Por eso, el firewall ha de ser capaz de detectar y bloquear la transferencia de documentos sin tener que recurrir a tecnologías de seguridad basadas en red, las cuales solo aumentan la complejidad y el mantenimiento del entorno.

Requisito fundamental: visibilidad del tráfico cifrado y desconocidoUno de los requisitos imprescindibles para garantizar la seguridad de la red en este momento es la inspección del tráfico cifrado sin que ello merme el rendimiento de la red. Aunque muchas empresas ya están utilizando sistemas de control del tráfico por SSL (desde proxys y balanceadores de carga hasta dispositivos especializados para firewall y demás sistemas), estas herramientas no suelen aplicar las políticas de seguridad ni inspeccionar ni analizar el tráfico en profundidad. El tráfico SSL representa entre el 15% y el 50% del tráfico que se genera en la empresa; tráfico seguro para la recepción y envío de datos sin correr riesgos de robo o pérdida.

Sin embargo, el uso de SSL también supone una carencia patente para los equipos de seguridad: la incapacidad de inspeccionar y analizar ese tráfico en busca de amenazas. Los delincuentes más avezados lo saben, y eso explica la enorme proliferación de canales de control y mando que usan HTTPS. Existe la sospecha generalizada de que la información sustraída en algunos de los robos más sonados hasta la fecha (Heartland Payments y TJX, por ejemplo) se extrajo a través de canales cifrados para evitar la detección. Los firewall deben servir para descifrar e inspeccionar en nativo todo el tráfico SSL cualquiera que sean los puertos en uso (pues aunque se suele emplear el puerto TCP 443, se puede cambiar fácilmente). Una vez descifrado, se ha de someter el tráfico al análisis en profundidad según la política corporativa, poniendo especial atención a la búsqueda de filtraciones y canales de comunicación de malware. El tráfico que generan las aplicaciones es cada vez más complejo, pero los firewall apenas acaban de salir del modelo clásico de “negación por omisión” que ha caracterizado las últimas décadas. Este modelo funciona por medio de una “lista blanca” en la que se registra todo el tráfico permitido y que descarta todo lo demás. Se trata de un modelo que, en teoría, bloquea la entrada y salida de cualquier amenaza desconocida. Pero la realidad demuestra que se trata también de un modelo anticuado, pues ya no sirve al usar las capas OSI 3 y 4, en las que las direcciones IP y los puertos TCP y UDP definen lo que es aceptable y lo que no lo es. La capacidad de inspección de los firewall ha de ampliarse mucho más aún con el fin de analizar e “identificar” el tráfico antes de incluirlo en la lista blanca. Esto afecta a las aplicaciones hechas a medida, a la mayoría de las aplicaciones comerciales y a conocidos servicios y protocolos como DNS y FTP, pues todos dejan un tipo de firma muy particular que se puede usar para clasificar y distribuir el tráfico legítimo.

Dada la cantidad creciente de aplicaciones web “totales” y multifuncionales, un firewall está forzado a evaluar distintos tipos de tráfico y a usar casos durante las mismas sesiones iniciadas por los mismos usuarios. Por ejemplo, un usuario de Gmail puede iniciar una llamada Google Talk por VoIP y al mismo tiempo mantener una charla en Google Chat, y ambas funciones figurarán para el navegador en el contexto de una única sesión online. Para un firewall tradicional, todo esto es el mismo tipo de tráfico HTTP o HTTPS dirigido a los servidores de Google. Sin embargo, se trata de dos tipos de comunicación muy diferentes que posiblemente requieran distintos análisis en política de seguridad, así que el firewall debe servir para distinguir entre ambos tipos y aplicar después la política adecuada.



Finalmente, el firewall también debe ser capaz de aplicar técnicas analíticas de inspección en profundidad para todos los usuarios, tanto para los que se encuentran en la sede como los que acceden a través de VPN u otra aplicación de acceso a distancia. Al aumentar la movilidad de la mano de obra, cada vez son más los empleados que se conectan a la red corporativa desde aeropuertos, cafés o desde sus hogares. Para estos casos, se pueden diseñar políticas corporativas en las que se permita que un empleado pueda usar determinadas aplicaciones solo cuando se encuentre fuera de la oficina, por lo que el firewall deberá servir para analizar el tráfico de conexión a distancia, autorizar el que sea de carácter corporativo y descartar el que no lo sea.

Requisito fundamental: rendimiento y eficacia operativaLos departamentos de IT se encuentran más presionados cada día, con más tareas y responsabilidades derivadas de las reducciones de personal y los recortes de presupuesto. Desde un punto de vista operativo, no resulta práctica la adición de más herramientas y controles de seguridad a una infraestructura que ya resulta suficientemente compleja. A menudo, las nuevas herramientas son instaladas con una configuración básica por el fabricante, y no pasa mucho tiempo antes de que el equipo operativo incurra en retrasos a la hora de actualizar y ajustar dichas herramientas. Y además se trata de herramientas de muy difícil configuración y mantenimiento, por lo que suelen producirse errores que repercuten en problemas de disponibilidad o de saturación del tráfico.

Por desgracia, dada la rapidez a la que evoluciona el panorama de amenazas, los equipos de seguridad y redes han de estar más alerta cada día, y necesitan herramientas que les ayuden a identificar y controlar TODO el tráfico que circula por su entorno. Pero no parece probable que la clasificación de las aplicaciones y del tráfico que generan vaya a convertirse en una prioridad sin ayuda, lo cual indica que los dispositivos de filtrado han de facilitar y simplificar el diseño de políticas y su aplicación con flexibilidad.

Tampoco conviene olvidar que la adición de funciones de inspección para aplicaciones no debe afectar a la circulación del tráfico de entrada y salida. Al generalizarse entre las empresas el uso de redes de 10 GB, se necesitan productos de filtrado en línea que realicen las tareas de inspección, cada vez más complejas y sofisticadas, a la misma velocidad a la que circula el tráfico y en varios interfaces al mismo tiempo.

ConclusiónLos firewall de ayer están perdiendo rápidamente la capacidad defensiva frente a las amenazas modernas. Dada la proliferación de ataques web, la sofisticación del malware que usa protocolos de alto volumen y el riesgo cada vez mayor de filtraciones, se necesitan soluciones de filtrado para redes que estén a la altura. Y sin la capacidad para escrutar e identificar diversos tipos de tráfico de aplicaciones, se trata de una batalla perdida. Existe demasiado tráfico, demasiadas aplicaciones y muy poca tolerancia a los recortes de rendimiento como para que sigamos añadiendo dispositivos y módulos de software que nos ayuden a analizar el tráfico. Y por si fuera poco, los departamentos de seguridad y redes se encuentran con el agua al cuello en cuanto a tareas y responsabilidades, así que cada nueva herramienta supone una inversión en tiempo de formación que debiera dedicarse al diseño de políticas, actualizaciones y demás tareas que requieren cierta regularidad. La nueva generación de herramientas de filtrado para redes habrá de reunir todas estas funciones y algunas más que allanen el terreno para la construcción de una arquitectura segura que resulte más eficaz y fácil de administrar que la actual.

Acerca de IANSIANS es líder en la realización de informes de seguridad a través de sus departamentos de investigación y consultoría. A través de la interactuación entre el personal de IANS y el usuario final, IANS asesora a sus clientes en materia de seguridad, gestión de riesgos y homologaciones. IANS fomenta decisiones técnicas y administrativas mejores y más rápidas gracias a la asesoría a través de la experiencia.

1 http://www.team-cymru.com/ReadingRoom/Whitepapers/2008/http-botnets.pdf

2 http://www.securelist.com/en/analysis/204792131/TDSS#9

3 http://www.sans.org/reading_room/whitepapers/malicious/analysis-simple-http-bot_33573

Revolución, no evolución

Existe demasiado tráfico, demasiadas aplica-

ciones y muy poca tolerancia a los recortes de

rendimiento como para que sigamos añadi-

endo dispositivos y módulos de software que

nos ayuden a analizar el tráfico.



Contenidos

Introducción 9

Factores a tener en cuenta sobre el modelo de seguridad y la arquitectura. El tráfico se clasifica mejor en el firewall 10

10 funciones que debe tener su nuevo firewall 11

Un firewall debe facilitar las aplicaciones y el negocio 14

Uso del proceso RFP para elegir un firewall de nueva generación 15

Factores a tener en cuenta sobre la arquitectura del firewall y el modelo de control 15

Prevención de amenazas 17

Controles de seguridad para el acceso a distancia 17

Administración 18

Rendimiento 18

Más factores a tener en cuenta sobre RFP 18

Evaluación formal de los firewall de nueva generación 19

Visibilidad y control de las aplicaciones 19

Prevención de amenazas 20

Controles de seguridad para el acceso a distancia 20

Administración 21

Rendimiento con servicios habilitados 21

Otras factores a tener en cuenta para la evaluación 21

Cómo activar aplicaciones con seguridad en un firewall de nueva generación 21



Introducción

Gran parte de los esfuerzos realizados en materia de seguridad de redes están dirigidos a lograr métodos fiables de visibilidad y control de las aplicaciones. La razón es evidente: las aplicaciones eluden con cierta facilidad los firewall basado/s en puerto tradicionales. Y las ventajas también: los trabajadores utilizan cualquier aplicación que les facilite su trabajo, y no se paran a pensar en los riesgos potenciales que supone para la empresa. Casi todos los fabricantes de sistemas de seguridad para redes coinciden en señalar que el control de las aplicaciones es cada vez más importante. Aunque como bien dice Gartner, un firewall de nueva generación es un dispositivo nuevo, distinto y orientado a la empresa, muchos fabricantes de sistemas de seguridad insisten en destacar que los firewall de nueva generación son un conjunto de varias funciones(UTM, IPS...). La mayoría de los fabricantes tradicionales logran mayor visibilidad y control sobre las aplicaciones al usar un número limitado de firmas autorizadas en su IPS u otra base de datos externa. Pero se trata siempre de soluciones mal integradas en un sistema que todavía se basa en tecnología de bloqueo basado en puerto y carece de tecnología de nueva generación. En cualquier caso, estos fabricantes han errado al enfocar el problema, pues no se trata de bloquear aplicaciones, sino de activarlas con seguridad. Por desgracia, ofrecen una gran variedad de productos sin conocer realmente el uso que hacen sus clientes de las aplicaciones, por lo que difícilmente pueden garantizar la seguridad de las mismas. Está claro que un firewall de nueva generación es un tipo de producto diferente y revolucionario, y es tal es interés que ha generado entre las empresas, que los fabricantes de productos tradicionales intentan ahora atraer la atención de los departamentos de seguridad ofreciendo productos que se parecen a un firewall de nueva generación.

Definición: firewall de nueva generación

Cinco requisitos fundamentales

1. Identificación de las aplicaciones cualquiera que sea el puerto, protocolo, táctica evasiva o SSL

2. Identificación de los usuarios cualquiera que sea la dirección IP

3. Protección en tiempo real frente a amenazas incrustadas en aplicaciones

4. Visibilidad óptima y supervisión del acceso y la funcionalidad de las aplicaciones

5. Instalación multi-gigabit en línea sin mermas de rendimiento

La pregunta más importante que ha de hacer una empresa interesada en adquirir un firewall de nueva generación es: ¿servirá esta nueva tecnología para que el departamento de seguridad pueda activar con seguridad las aplicaciones que beneficien a la empresa? Y en mayor profundidad:

n ¿Aumentará la visibilidad del tráfico de las aplicaciones?

n ¿Ofrece más opciones de supervisión aparte de permitir/denegar acceso?

n ¿Ayuda en la prevención de amenazas?

n ¿No obliga a elegir entre rendimiento o seguridad?

n ¿Servirá para reducir costes?

n ¿Facilitará las tareas de administración?

Si la respuesta a estas preguntas es “sí”, entonces merece la pena dar el paso.

Existen diferencias sustanciales entre un firewall de nueva generación y un dispositivo de tipo UTM, tanto en términos corporativos como en términos de diseño y seguridad. Estas diferencias traen consigo cambios notables en cuanto a las funciones/características, operaciones y rendimiento, las cuales figuran a continuación en el apartado 10 funciones que debe tener su nuevo firewall.



Para el diseño del firewall de nueva generación, los fabricantes han optado por uno de los siguientes planteamientos arquitectura:

1. Convertir el firewall en el primer motor de identificación y clasificación de las aplicaciones.

2. Registrar las firmas de las aplicaciones en un motor IPS o similar e incluir este en el firewall basado en puerto.

Ambos modelos sirven para el reconocimiento de aplicaciones, pero con diferentes grados éxito, usabilidad y eficacia. Y ambos suponen la asunción por omisión de una política de seguridad: positiva (denegar acceso) o negativa (permitir acceso).

Los firewall funcionan con el modelo positivo de seguridad, también llamado de “negación por omisión”. Este consiste en que los administradores diseñan políticas en las que se permite el tráfico de determinadas aplicaciones (permitir WebEx, por ejemplo) y se bloquea o deniega el acceso de todo lo demás. Las políticas negativas (bloquear Limewire, por ejemplo) se pueden emplear con este modelo, pero teniendo en cuenta que el final de cualquier política de modelo positivo dice, “denegar todo lo demás”. Como consecuencia de esto, todo el tráfico ha de ser clasificado antes de permitir o negar accesos, lo que significa que la visibilidad es total para la activación segura de las aplicaciones. Otro resultado que conlleva este modelo es que todo el tráfico desconocido es bloqueado premeditadamente. En otras palabras, el mejor firewall

de nueva generación es un firewall.

La mayoría de los sistemas de prevención de intrusos (IPS) funcionan con el modelo negativo de seguridad, que permite el acceso por omisión, lo que significa que se identifica y se bloquea el resto del tráfico que circula (amenazas generalmente). Lo que están haciendo los fabricantes de sistemas tradicionales es añadir la firma de aplicaciones a un motor de tipo IPS y volcarlo después sobre un firewall basado en puerto tradicional, con lo cual se obtiene un “sistema de prevención de aplicaciones”. El control de las aplicaciones se realiza a partir de un modelo negativo; es decir, el control no se lleva a cabo desde el firewall. Consecuencia: solamente se logra ver aquello que se busca, y se permite el acceso del tráfico desconocido.

El resto del presente documento se centra en tres apartados diferenciados. En el primero se describen las 10 funciones que debe tener su nuevo firewall, las cuales actúan como prueba de la importancia de que la arquitectura y el modelo de control descritos faciliten la identificación y la activación segura de las aplicaciones en el firewall. Los otros dos apartados comparten el mismo formato y describen cómo usar esas 10 funciones para elegir el fabricante mediante el proceso de solicitud de presupuesto (RFP) y para evaluar físicamente la solución.

Factores a tener en cuenta sobre el modelo de seguridad y la arquitectura. El tráfico se clasifica mejor en el firewall



10 funciones que debetener su nuevo firewall

Los criterios para la elección de un firewall se engloban en tres áreas básicas: funciones de seguridad, operaciones y rendimiento. Los elementos funcionales de seguridad se corresponden con la eficacia de los controles de seguridad y la capacidad de las empresas para gestionar el riesgo inherente al tráfico de aplicaciones por la red. En lo que respecta a las operaciones, la cuestión es en qué consiste la política de aplicaciones y cómo se gestiona. La diferencia de rendimiento es muy simple, y se centra en si el firewall realiza las funciones apropiadas a la velocidad adecuada. Aunque cada empresa tiene sus propias prioridades en cada una de estas áreas, las 10 funciones que debe tener su nuevo firewall son:

1. Identificación y control de las aplicaciones en cualquier puerto

2. Identificación y control de aplicaciones evasivas

3. Descifrado de SSL saliente

4. Identificación y control de las aplicaciones que comparten un misma conexión

5. Control de las funciones de cada aplicación

6. Administración del tráfico según políticas

7. Escaneado en busca de virus y malware en las aplicaciones admitidas

8. Visibilidad y control de las aplicaciones para usuarios remotos

9. Hacer más sencilla la política de seguridad aun añadiendo visibilidad de aplicaciones

10. Igual nivel de rendimiento con el control de aplicaciones activado

Su próximo firewall ha de servir para identificar y controlar las aplicaciones en cualquier puerto y no solo en los estándar (incluidas las aplicaciones que usan HTTP y otros protocolos).

Caso práctico: los desarrolladores de aplicaciones ya no se limitan a los puertos/protocolos/aplicaciones estándar. Cada vez hay más aplicaciones capaces de operar en puertos alternativos o de saltar de uno a otro (aplicaciones de mensajería instantánea, intercambio de archivos p2p, VOIP). Además, los usuarios ya saben cómo cambiar de puerto una aplicación (MS RDP, SSH). Con el fin de garantizar el cumplimiento de la normativa específica sobre aplicaciones, en la que el puerto va perdiendo importancia, su siguiente firewall ha de partir de la base en la que cualquier aplicación puede usar cualquier puerto. Este es uno de los cambios fundamentales que se han producido en la tecnología y que han provocado la aparición del firewall de nueva generación. De hecho, este cambio es responsable del declive del firewall basado en puerto tradicional, pues pone de manifiesto la incapacidad para resolver el problema con un modelo de control negativo; puesto que ahora las aplicaciones se pueden desviar a otro puerto, un producto que utilice el modelo negativo tendría que filtrar todas las firmas en docenas de miles de puertos.

Requisitos: simplemente se ha de tener claro que todas las aplicaciones pueden utilizar todos los puertos, y que el siguiente firewall que adquiera deberá servir para clasificar el tráfico, por aplicaciones, en todos los puertos y en todo momento. Esta clasificación permanente es el requisito general de ahora en adelante, pues es la diferencia fundamental con respecto a los controles basado/s en puerto y la manera de acabar con las amenazas tradicionales.

Su próximo firewall ha de servir para identificar y controlar aplicaciones evasivas: proxys y aplicaciones encriptadas y sin VPN de acceso remoto.

Caso práctico: la mayoría de las empresas tienen su propia política de seguridad y sus propios controles para garantizar el cumplimiento de la misma. Los proxys y las aplicaciones encriptadas y de acceso remoto se usan expresamente para eludir controles de seguridad a través de firewall, filtrado por URL, IPS y puertas web seguras. Sin la capacidad para controlar estas aplicaciones evasivas, la empresa es incapaz de garantizar el cumplimiento de su política de seguridad, y queda de nuevo expuesta a las amenazas que creía controladas. En otras palabras, las aplicaciones de este tipo no son iguales entre sí: las aplicaciones de acceso a distancia tienen usos legítimos, al igual que algunas aplicaciones de túnel cifrado.

1.

2.



En cambio, los proxys anónimos externos que se comunican a través de SSL en puertos elegidos aleatoriamente, o las aplicaciones como Ultrasurf y Tor, tienen un único objetivo: evadir los controles de seguridad.

Requisitos: existen varios tipos de aplicaciones de evasión, cada uno con sus respectivas técnicas. Existen proxys externos, tanto públicos como privados (ver lista completa en proxy.org), que se comunican a través de HTTP y HTTPS. Los proxys privados se suelen configurar con direcciones IP desclasificadas (ordenadores domésticos, por ejemplo) con aplicaciones como PHProxy o CGIProxy. Las aplicaciones para el acceso a distancia como MS RDP o GoToMyPC pueden tener uso legítimo, pero dado el riesgo que conlleva, conviene gestionarlas igualmente. El resto de aplicaciones evasivas (Ultrasurf, Tor, Hamachi, etc.) carecen de uso comercial. Cualquiera que sea la política de su empresa, el próximo firewall ha de conocer las técnicas precisas para tratar este tipo de aplicaciones en cualquier puerto, protocolo, cifrado o demás tácticas evasivas. Una reflexión más: las aplicaciones con capacidad de evasión se suelen actualizar periódicamente para evitar su detección, por lo que no solamente se ha de identificar este tipo de aplicaciones, sino también conocer con qué periodicidad se actualiza y se configura la inteligencia de las mismas.

Su próximo firewall ha de servir para descifrar canales SSL de salida.

Caso práctico: Hoy, las aplicaciones que emplean SSL en cualquiera de sus variantes representan el 25% del tráfico que circula por las redes corporativas, según indica el Estudio sobre usos y riesgos de aplicaciones (mayo 2011). En algunos sectores, como en el de servicios financieros, ese porcentaje sube hasta el 50%. Con el uso cada vez más extendido de HTTPS en las aplicaciones de mayor riesgo (Gmail, Facebook), y la facilidad de los usuarios para forzar el SSL en numerosos sitios web, los departamentos de seguridad se encuentran con un ángulo muerto en el que se ven incapaces de descifrar, clasificar, controlar ni escanear el tráfico encriptado con SSL que circula por su red. Un firewall de nueva generación debe ser suficientemente flexible para que determinados tipos de tráfico encriptado con SSL (servicios financieros, servicios de salud) puedan circular libremente mientras otros tipos de tráfico sean sometidos a todos los controles que contemple su política de seguridad.

Requisitos: la capacidad para descifrar el tráfico SSL de salida es fundamental; no solo por el porcentaje que representa, sino también porque facilita otras funciones básicas que quedarían inservibles sin esa cualidad. Las funciones básicas y el equipamiento que debe incluir un firewall son el reconocimiento y descifrado de SSL en cualquier puerto, control de dicho descifrado, y el hardware y software que se necesitan para descifrar el SSL en docenas de miles de conexiones simultáneamente sin merma al rendimiento de la red. Otros requisitos complementarios incluyen el descifrado e inspección del tráfico SSL de entrada, y la identificación y control del uso de SSH, tanto para el reenvío por puertos (local, a distancia, x11) como para uso en nativo (SCP, SFTP).

Su próximo firewall ha de identificar y controlar las aplicaciones que comparten la misma conexión.

Caso práctico: las aplicaciones comparten las sesiones. Para asegurarse de que los usuarios utilizan constantemente un único“andén” para acceder a las aplicaciones, ya sea Google, Facebook, Microsoft, Salesforce.com, LinkedIn o Yahoo, los desarrolladores de aplicaciones integran diversas aplicaciones con diversos perfiles de riesgo y valor comercial. Por ejemplo, cuando se usa Gmail, se puede pasar a Google Talk, que es una aplicación con características completamente diferentes, así que su próximo firewall ha de ser capaz de reconocer ese paso y activar la política de seguridad correspondiente en cada caso.

Requisitos: la clasificación simple de la plataforma o el sitio web de la aplicación no sirve. En otras palabras, no conviene tomar atajos, pues la clasificación “estática” no sirve para ordenar las aplicaciones que comparten una misma sesión. Se ha de evaluar el tráfico constantemente para comprender el funcionamiento de cada aplicación y los cambios que se producen (véase el punto 5) al pasar de una a otra durante una misma sesión, y aplicar los controles correspondientes. Por ejemplo, en el ejemplo anterior con Gmail/Google Talk: por omisión, Gmail utiliza HTTPS (véase el punto 3), así que se ha de descifrar todo el tráfico continuamente, pues el usuario puede abrir en cualquier momento una función paralela que tenga sus propias directrices en la política de seguridad corporativa.

3.

4.



Su próximo firewall ha de servir para controlar cada una de las funciones de cada aplicación (es decir, SharePoint Admin vs. SharePoint Docs).

Caso práctico: son muchas las aplicaciones que ofrecen funciones muy diferentes entre sí y que suponen distintos riesgos y beneficios, tanto para el usuario como para la empresa. Buenos ejemplos de estas aplicaciones son: WebEx y su función WebEx Desktop Sharing; Yahoo Instant Messaging y la función para la transferencia de archivos; y la función de Gmail para el envío de archivos adjuntos. Tanto en entornos regulados como en aquellas empresas que dependen directamente de la propiedad intelectual, esto supone un problema grave.

Requisitos: clasificación continua y estudio pormenorizado de cada aplicación. Su próximo firewall ha de evaluar continuamente el tráfico en busca de cambios; si aparece una nueva función dentro de una sesión, el firewall ha de detectarla y examinarla de acuerdo a la política de seguridad. Conocer bien las distintas funciones de cada aplicación, así como los distintos riesgos inherentes a cada una de ellas, es también fundamental. Desafortunadamente, muchos firewall hoy en día clasifican el tráfico una vez y, a partir de ese momento, le dejan vía libre (es decir, no vuelven a revisarlo) para que no merme el rendimiento de la red.

Su próximo firewall ha de manejar el tráfico desconocido siempre de acuerdo a su política de seguridad.

Caso práctico: siempre va a circular tráfico desconocido y este siempre va a suponer un riesgo considerable para la empresa. Existen tres puntos fundamentales a cumplir para aliviar el riesgo que entraña el tráfico desconocido, y consisten en limitarlo al máximo, caracterizar de forma sencilla las aplicaciones a medida (de forma que se identifiquen como “tráfico conocido” en la política de seguridad, y lograr una visibilidad y un control absoluto del tráfico que permanece como desconocido.

Requisitos: en primer lugar, y por omisión, su próximo firewall ha de intentar clasificar todo el tráfico que circula por la red, y aquí cobra importancia el apartado anterior sobre arquitectura y seguridad de la red. En primer lugar, los modelos positivos (prohibición por omisión) lo clasifican todo, mientras que los modelos negativos (permiso por omisión) solo clasifican aquello que se les indica. En segundo lugar, cuando se trata de aplicaciones desarrolladas a medida, se ha de encontrar una forma de desarrollar también una identificación a medida, de forma que el tráfico que genere se reconozca como “conocido”. Por último, y volviendo al modelo de seguridad, con un modelo positivo se deniega el acceso a todo

el tráfico desconocido (se logra inmunidad ante lo desconocido), mientras que con un modelo negativo se da acceso a todo el tráfico desconocido (se muestra vulnerabilidad).

Por ejemplo, muchas botnet usan el puerto 53 (DNS) para comunicarse con sus servidores de control. Si su próximo firewall no es capaz de ver y controlar todo el tráfico desconocido, estará dejando vía libre a la entrada de bots.

Su próximo firewall ha de escanear la red en busca de amenazas implícitas a las aplicaciones de intercambio (SharePoint, Box.net, Microsoft Office Live).

Caso práctico: las empresas siguen adoptando aplicaciones de intercambio alojadas fuera de su entorno local. Ya sea SharePoint, Box.net, Google Docs o Microsoft Office

Live, o incluso una aplicación de la extranet alojada en el servidor de un socio, las empresas están obligadas a usar aplicaciones de intercambio que entrañan un riesgo notable para la red corporativa. Dentro de estas aplicaciones de intercambio se almacenan multitud de documentos infectados junto a multitud de documentos sensibles (datos personales de los usuarios, por ejemplo). Por otro lado, algunas de estas aplicaciones (SharePoint, por ejemplo) funcionan a base de tecnologías de apoyo que suelen ser objeto de numerosos ataques (IIS, SQL Server). Bloquear este tipo de aplicaciones no es la solución, pero tampoco lo es permitir ciegamente el uso de las mismas dado el riesgo (potencial) que suponen.

Requisitos: para permitir el uso de este tipo de aplicaciones se ha de realizar antes una revisión bien a fondo de las mismas en busca de amenazas. Se trata de aplicaciones que se comunican a través de numerosos protocolos (SharePoint usa CIFS y HTTPS, por ejemplo) y, por tanto, precisan de una política que vaya más allá del simple bloqueo. En primer lugar se han de identificar las aplicaciones (cualquiera que sea el puerto o el método de cifrado) y, a continuación, permitir el acceso y revisarlas en busca de posibles riesgos y amenazas (virus, malware, spyware o información sensible, legislada o confidencial).

Su próximo firewall ha de facilitar la misma visibilidad y control tanto para los usuarios presentes en la oficina como para los que acceden a distancia.

Caso práctico: cada vez son más los usuarios que acceden a a distancia a sus redes corporativas. Ya sea desde un café, desde casa o desde una tienda, los usuarios se conectan a través de WiFi

5.

6.

7.

8.

Cómo dar permisos con seguridad

Para no correr riesgos al permitir el uso de

ciertas tecnologíasy aplicaciones para los

fines comerciales a las que están destinadas,

los departamentos de seguridad han de

adecuar la política de seguridad que gobierna

su uso, pero también los controles que

emplean para ejercer la vigilancia.



o cualquier otro medio disponible. Dondequiera que se encuentre el usuario, o incluso la aplicación que esté utilizando, se han de aplicar los mismos estándares de vigilancia. Si su próximo firewall facilita una buena visibilidad y control sobre el tráfico que circula por dentro de las cuatro paredes de la oficina, pero no sobre el exterior, le perderá el rastro a gran parte de los riesgos y amenazas.

Requisitos: la teoría es muy sencilla, pues se reduce a que su próximo firewall ha de facilitar la misma visibilidad y control sobre todo el tráfico con independencia de dónde se encuentre el usuario, dentro o fuera de la oficina. Aunque esto no significa que todas las empresas vayan a compartir la misma política de seguridad en ambos casos: a algunas les interesará que sus empleados tengan acceso a Skype cuando estén de viaje, pero no desde la oficina, mientras a otras quizá les convenga bloquear cualquier descarga desde salesforce.com a cualquier usuario que se encuentre fuera de la oficina y no tenga activada la función de cifrado para disco duro. Su próximo firewall ha de ser capaz de hacer esto sin provocar una latencia excesiva para el usuario, ni demasiado trabajo y gasto para la empresa.

Su próximo firewall ha de facilitar la seguridad de la red, no complicarla añadiendo controles.

Caso práctico: muchas empresas se complican la vida al incorporar cada vez más políticas y fuentes de información que suponen cada vez más trabajo para los ya de por sí saturados equipos y procesos de seguridad. En otras palabras: si un equipo apenas da abasto con las tareas que ya tiene asignadas, no sirve de nada seguir dándole tareas, políticas e información. Por otro lado, cuanto más distribuida esté la política de seguridad (por ejemplo, el firewall basado en puerto controla el tráfico del puerto 80, IPS se encarga de buscar/bloquear amenazas, el control de acceso a la navegación filtra las URL), más difícil resultará de administrar. ¿Qué hay que hacer para permitir el uso de WebEx? ¿Cómo se resuelve un conflicto de políticas entre distintos dispositivos? Si tenemos en cuenta que la política que regula una instalación típica de firewall basado en puerto cuenta con miles de reglas, al añadir las firmas de miles de aplicaciones a docenas de miles de puertos (véase el punto 3) solamente se logrará complicar la administración sobremanera.

Requisitos: la política del firewall ha de girar en torno a los usuarios y las aplicaciones. El análisis consecuente de contenidos se puede realizar sobre el tráfico permitido, pero el control básico de accesos ha de basarse en elementos relevantes (es decir, en las aplicaciones y en los usuarios y grupos). El efecto simplificador que tiene esta variante es notable, pues las políticas de firewall basadas en puerto

y dirección IP, con el consiguiente análisis de cada aplicación, haría las cosas aún más complicadas de lo que están.

Su próximo firewall ha de rendir al mismo nivel al activar el control total para aplicaciones.

Caso práctico: muchas empresas están obligadas a elegir entre rendimiento y seguridad para sus redes, pues suele ocurrir que, al activar las funciones de seguridad en el entorno de la red, el rendimiento y la capacidad de ésta caen notablemente. Si su próximo firewall está fabricado correctamente, no será necesario sacrificar ni la una ni el otro.

Requisitos: en este caso también es evidente la importancia de la arquitectura, aunque de otra forma. Al complementar un firewall basado en puerto tradicional con demás funciones de seguridad de otras tecnologías, inevitablemente se producen redundancias (capas, motores de revisión, políticas) que se traducen en pérdidas de rendimiento. En lo que respecta al software, el firewall ha de estar diseñado para realizar todas las funciones por sí solo. Además, dado el nivel exigible para realizar tareas intensivas (como la identificación de las aplicaciones, por ejemplo) en volúmenes de tráfico denso, y la escasa tolerancia a la latencia que se asocia a las infraestructuras más críticas, su próximo firewall también ha de resultar autónomo en lo que respecta al hardware; es decir, debe ofrecer procesamiento exclusivo para redes, seguridad y escaneado.

Un firewall debe facilitar las aplicaciones y el negocio.

Los usuarios no cesan de adoptar nuevas aplicaciones y tecnologías; así como los riesgos y amenazas asociadas a las mismas. Algunas empresas no pueden permitirse bloquear el acceso a las nuevas tecnologías, pues ello afectaría directamente a su crecimiento comercial. Por este motivo, garantizar la seguridad a la hora de adoptar nuevas tecnologías es fundamental, pero para ello los equipos de seguridad han de elaborar las políticas adecuadas y establecer los controles de seguridad oportunos para velar por dichas políticas.

En “Las10 funciones que debe tener su próximo firewall” se describen los requisitos fundamentales que se han de cumplir en la red de la empresa para poder garantizar la seguridad en el uso de las aplicaciones. Solo queda convertir esos requisitos en medidas a tomar: seleccionar el fabricante adecuado mediante un proceso RFP, evaluar las alternativas y comprar e instalar el firewall de nueva generación apropiado.

9.

10.



Uso del proceso RFP para elegir un firewall de nueva generación

Por lo general, para elegir un firewall o cualquier otro componente para la infraestructura de seguridad de la red, las empresas recurren a un RFP para asegurarse de que se cumplen los requisitos específicos en cada caso. Según Gartner, “las condiciones actuales de amenazas tan variables como los propios negocios obligarán a los responsables de seguridad a buscar las funciones de nueva generación en su próximo ciclo de renovación”. En la misma medida en la que crecen las posibilidades de instalación deberían crecer los criterios de selección RFP para dar cabida a la visibilidad y el control que permiten las alternativas de nueva generación. En el apartado anterior vimos las 10 funciones que debe reunir su próximo firewall. En esta veremos cómo convertir esos requisitos en herramientas que nos sirvan para identificar y elegir un firewall de nueva generación.

Factores a tener en cuenta sobre la arquitectura del firewall y el modelo de control Son muchos los factores a tener en cuenta a la hora de evaluar la eficacia con la que un fabricante puede dar más visibilidad y control a un firewall. La arquitectura del firewall, concretamente el motor de clasificación, es la que dictamina la efectividad con la que se identifican y se controlan las aplicaciones, no solo los puertos y los protocolos. Como ya dijimos antes, lo primero para lo que debe servir un firewall de cualquier tipo es para determinar con precisión el tipo de tráfico que circula por la red y usarlo como base sobre la cual tomar todas las decisiones sobre seguridad.

En este modelo, las políticas de firewall suelen ser de control positivo (se bloquea toda aquella aplicación que no haya sido autorizada previamente). Con un modelo positivo se pueden controlar y habilitar las aplicaciones, lo cual es fundamental para satisfacer las actuales necesidades de conectividad permanente. La derivación hacia elementos tipo IPS de búsqueda de aplicaciones implica el uso del modelo negativo (se habilita toda aquella aplicación que el IPS no haya bloqueado previamente). Con un modelo negativo lo único que se puede hacer es bloquear las aplicaciones. Las diferencias entre un modelo y otro son parecidas a lo que ocurre cuando se enciende la luz en una habitación para ver y controlar todo (positivo) o se usa una linterna para ver y controlar solamente aquello que se alumbra (negativo). Este complemento de identificación y bloqueo del tráfico nocivo no es más que un parche que se ha diseñado para observar únicamente una porción del tráfico para no mermar el rendimiento de la red, y además no basta para abarcar la enorme cantidad de amenazas y aplicaciones disponibles.

Visibilidad o control de las aplicacionesEl proceso RFP ha de facilitar las pautas sobre las que la arquitectura del firewall facilitará la visibilidad y el control del amplio espectro de aplicaciones que se usan en la empresa, sean para uso profesional o personal, así como de todos los protocolos cualquiera que sea el puerto, cifrado SSL o demás métodos evasivos que se empleen. A continuación figuran las preguntas y fundamentos propios de un RFP sobre firewall de nueva generación.

n Muchas aplicaciones eluden los controles de seguridad por medio de puertos alternativos, saltando de uno a otro, o a base de configuraciones trucadas. Conviene determinar si la identificación de las aplicaciones se va a realizar o no en función de los puertos de las aplicaciones. ¿Dependen todas las firmas de un mismo puerto o número de puertos, o se aplican automáticamente a todos los puertos y en todo momento?

n Al alcanzar el dispositivo por primera vez, ¿se clasifica el tráfico en función del puerto (si se trata del puerto 80, entonces es HTTP) o la aplicación (esto es Gmail)?

n Se ha de hacer una descripción pormenorizada de cómo el firewall va a identificar las aplicaciones. ¿Solamente en función de las firmas o se van a usar otros elementos tales como descodificadores o métodos heurísticos?

n ¿Qué mecanismos se emplean para detectar aplicaciones evasivas del tipo UltraSurf o P2P cifrado?

n La identificación de las aplicaciones, ¿se realiza directamente en el firewall o mediante un proceso secundario posterior a la clasificación por puerto?

n ¿Cuáles son las tres ventajas principales del enfoque de arquitectura?

n ¿Se lleva un seguimiento del estado de cada aplicación? Y en ese caso, ¿cómo se emplea para garantizar el control? Dar tres ejemplos de cómo se usa el estado de las aplicaciones en el control de la red.

n ¿Se basa la política de seguridad en la identidad de las aplicaciones, o es el control de las aplicaciones un elemento secundario?

n ¿Con qué frecuencia se actualiza la base de datos de aplicaciones? ¿Se actualiza de forma dinámica o cada vez que se reinicia el sistema?



Cómo controlar aplicaciones evasivas, SSL y SSHSon muchas las aplicaciones que sirven para eludir los controles de seguridad. Algunas, como los proxys externos y los túneles cifrados, están diseñadas específicamente para lograr dicho objetivo. Otras, como las que dan acceso al escritorio a distancia, han evolucionado hasta quedar al alcance de usuarios ajenos a los departamentos de IT y seguridad para eludir los controles de seguridad.

Como medida de protección, SSL se está convirtiendo en el tipo de configuración estándar para los desarrolladores, pero el problema surge cuando se usa SSL para enmascarar amenazas de entrada o transferencias de salida. En cualquiera de los dos casos, es importante determinar de qué forma gestionan los fabricantes potenciales este tipo de aplicaciones. Los datos obtenidos en nuestro Informe sobre uso y riesgos de aplicaciones (mayo 2011) muestran que el 25% de las aplicaciones analizadas pueden funcionar en SSL de alguna manera u otra. A continuación figuran las preguntas y fundamentos propios de un RFP sobre firewall de nueva generación.

n Descripción del proceso mediante el cual se identifican las aplicaciones y los protocolos en todos los puertos, no solo en los estándar.

n ¿Qué mecanismos se emplean para identificar las aplicaciones eminentemente evasivas como UltraSurf o Tor?

n Descripción de cómo identifica el producto automáticamente aplicación evasiva si usa un puerto alternativo.

n ¿Qué controles existen para descifrar, inspeccionar y controlar de forma selectiva las aplicaciones que usan SSL?

n ¿Hay posibilidad de realizar identificaciones, descifrados e inspecciones bidireccionales?

n La función para descifrar SSL, ¿se incluye de serie o tiene algún coste adicional? ¿Se necesita algún dispositivo específico?

n SSH es la herramienta más utilizada por los empleados de IT y servicio técnico para acceder a los equipos a distancia.

n ¿Tiene funciones de control SSH? ¿En qué grado?

Cómo habilitar aplicaciones desde el manejo de la política Dada la necesidad actual de estar permanentemente conectados, el control de las aplicaciones no solo consiste en permitir o denegar su uso, sino en averiguar cómo habilitarlas de manera que mejoren

el negocio. Muchas “plataformas” (Google, Facebook, Microsoft) habilitan diversas aplicaciones cuando el usuario se registra, por lo que es imprescindible determinar de qué forma evalúa cada producto el estado de las aplicaciones en busca de cambios y, más importante aún, si la clasificación se realiza correctamente. A continuación figuran las preguntas y fundamentos propios de un RFP sobre firewall de nueva generación.

n Descripción de cómo la jerarquización de la base de datos (plana, multinivel y demás) expone las funciones dentro de la aplicación maestra para facilitar la habilitación granular.

n ¿Se realiza la clasificación del tráfico antes de la identificación de las aplicaciones? En ese caso, describir de qué forma, tras identificarse la aplicación, se revisa el estado de la misma y cómo se usa.

n Descripción de los niveles de control que se pueden ejercer sobre cada aplicación y sus correspondientes funciones:

n Permitir:

n Permitir en función de la aplicación, sus funciones, categoría, tecnología y factor de riesgo;

n Permitir según calendario, usuario, grupo, puerto;

n Permitir y revisar en busca de virus, spyware, descargas ocultas;

n Permitir con calidad de servicio;

n Denegar.

n ¿Es posible implantar en la base de datos los controles por puerto para todas las aplicaciones de manera que el administrador pueda, por ejemplo, obligar a los desarrolladores de Oracle a usar un puerto o tipo específico?

n Listado de los repositorios con los que cuenta la empresa para el control de usuarios.

n ¿Dispone de API para la integración alternativa o a medida de los repositorios?

n Descripción de cómo se implantan los controles según políticas para cada usuario o grupo en entornos Terminal Server.

Cómo facilitar el negocio

Dada la necesidad actual de estar perma-

nentemente conectados, el control de las

aplicaciones no solo consiste en permitir o

denegar su uso, sino en averiguar cómo ha-

bilitarlas de manera que mejoren el negocio.



Administración sistemática de las aplicaciones desconocidasEn las redes siempre va a circular una porción de tráfico desconocido. Este puede provenir de alguna aplicación interna hecha a medida, pero también de aplicaciones comerciales sin identificar o, peor aún, de algún programa nocivo. La clave para evaluar y determinar a través de un RFP el tráfico desconocido pasa por averiguar de qué forma el firewall permite a los usuarios administrar sistemáticamente dicho tráfico, pues en él radican los riesgos de seguridad y comerciales. A continuación figuran las preguntas y fundamentos propios de un RFP sobre firewall de nueva generación.

n Especificar de qué forma se identifica y se administra el tráfico desconocido.

n ¿Qué acciones se pueden realizar (permitir, denegar, inspeccionar, dar forma, etc.) sobre el tráfico desconocido?

n Descripción de los métodos más recomendados para administrar el tráfico de aplicaciones desconocido?

n ¿Se pueden crear firmas de aplicaciones a medida?

n ¿Cuál es el proceso a seguir para enviar solicitudes de renovación o actualización de firmas?

n Tras enviarse una aplicación, ¿cuál es el tiempo de respuesta (SLA)?

n ¿Qué mecanismos de respuesta existen en el supuesto en el que se identifique el tráfico desconocido como código nocivo?

Prevención de amenazasLas amenazas van asociadas a numerosas aplicaciones tanto en forma de vector infeccioso como de comando en dispositivos infectados. Por este motivo, los analistas recomiendan una y otra vez que las empresas consoliden sus tecnologías IPS y de prevención de riesgos como parte del firewall de nueva generación. A continuación figuran las preguntas y fundamentos propios de un RFP sobre firewall de nueva generación.

n Descripción de todos los mecanismos de prevención de amenazas en uso (IPS, anti-malware, filtro URL, prevención de pérdida de datos, etc.).

n ¿Qué tipo de licencias tienen dichos mecanismos?

n Descripción de los mecanismos de prevención desarrollados de forma interna y los obtenidos a través de terceros.

n ¿Cómo se previenen las amenazas que circulan por puertos alternativos?

n Los datos de identidad de las aplicaciones ¿se encuentran integrados por medio de tecnologías preventivas? Si es así, describir el grado de integración.

n Descripción de las disciplinas preventivas (IPS, AV, etc.) se aplican en función del puerto y cuáles

en función de la aplicación.

n ¿Puede el motor de prevención escanear contenido comprimido (ZIP o GZIP)?

n ¿Puede el motor de prevención escanear contenido cifrado (SSL)?

n Descripción de cómo se controlan las vulnerabilidades y el malware desconocidos.

n Descripción del proceso de investigación y desarrollo del mecanismo preventivo.

n Listado de las amenazas identificadas en los últimos 12 meses.

Controles de seguridad para el acceso a distancia Los usuarios de redes modernas dan por hecha la posibilidad de conectarse y trabajar desde cualquier lugar más allá del perímetro tradicional de las mismas. Es preciso garantizar la seguridad de estos usuarios, por lo que hay que determinar las funciones disponibles para lograrlo y la manera en la que difieren de las funciones propias de la red física. A continuación figuran las preguntas y fundamentos propios de un RFP sobre firewall de nueva generación.

n Descripción al detalle de las opciones disponibles para proteger los accesos a distancia e indicar todos los componentes que se necesitan.

n Al incluir un componente cliente, ¿cómo se distribuye?

n ¿Cuántos usuarios se pueden proteger simultáneamente?

n ¿Se trata de un producto transparente para el cliente?

n Descripción de cómo se garantiza el rendimiento para los usuarios a distancia.



n Descripción de cómo se implanta el control para los usuarios a distancia (en la política del firewall, en una política aparte, etc.).

n Listado de todas las funciones y medios de protección disponibles (SSL, control de aplicaciones, IPS, etc.).

Administración La administración juega un papel fundamental a la hora de garantizar la seguridad de una red. Uno de los objetivos que se han de lograr al cambiar a un firewall de nueva generación es la simplificación de los mecanismos de seguridad, lo cual solo es posible si se aumenta la visibilidad y el control de las aplicaciones. A continuación figuran las preguntas y fundamentos propios de un RFP sobre firewall de nueva generación.

n ¿Se necesita un servidor o dispositivo extra para la administración del firewall?

n Descripción de las opciones de administración disponibles: CLI, navegador, cliente pesado, servidor centralizado.

n Descripción de las herramientas de visibilidad, además del visor de accesos, disponibles para ofrecer una imagen nítida de todo el tráfico que circula por la red.

n Estas herramientas de visibilidad, ¿se incluyen de serie o tienen algún coste adicional?

n Estas herramientas de visibilidad, ¿están integradas o se incluyen en otro dispositivo aparte?

n Descripción al detalle de las tareas y los pasos a tomar para empezar a “ver el tráfico de aplicaciones” en la red.

n ¿Es posible habilitar los controles de la política de aplicaciones, los de la política de firewall y las funciones de prevención de amenazas, mediante una única regla en el editor?

n Descripción de las funciones de informe y registro. ¿Están integradas? En ese caso, ¿cuál es la merma de rendimiento de la red al habilitar determinadas aplicaciones como BitTorrent. SharePoint y MS-Exchange.

n La función de análisis total, ¿se incluye de serie o tiene algún coste/licencia/dispositivo adicional?

n ¿Hay herramientas de informe disponibles para comprender el uso de la red y resaltar los cambios que se produzcan?

n ¿Se incluye de serie o tiene algún coste/licencia/dispositivo adicional?

n Descripción de cómo se garantiza la administración de accesos en los momentos de mayor densidad de tráfico.

n Descripción de la relación entre los dispositivos individuales y la administración centralizada de varios dispositivos.

Rendimiento El rendimiento en el mundo real es uno de los aspectos fundamentales a tener en cuenta antes de instalar un sistema de seguridad. El control de las aplicaciones requiere de una inspección del tráfico más allá del simple firewall basado en puerto y, por tanto, demanda una mayor capacidad de proceso. Si se añade la inspección en busca de amenazas a las funciones de seguridad del sistema, solamente se logrará saturar el firewall. Lo más importante es determinar el rendimiento de la red cuando están habilitadas todas las funciones de seguridad. A continuación figuran las preguntas y fundamentos propios de un RFP sobre firewall de nueva generación.

n Comprobación del producto: software, servidor OEM o dispositivo integrado.

n Investigación de la arquitectura del hardware, si se trata de un dispositivo, para confirmar que se aplica la capacidad de procesamiento adecuada para la tarea a realizar. El uso de servidores multifuncionales limita el rendimiento de la red al habilitar los servicios de seguridad.

n Evaluación del rendimiento en un entorno de pruebas que se asemeje al entorno definitivo del sistema.

n Medición del caudal.

n Medición del caudal en una mezcla virtual de tráfico con el control de aplicaciones habilitado.

n Medición del caudal en una mezcla virtual de tráfico con el control de aplicaciones habilitado o deshabilitado.

n Medición del caudal en una mezcla virtual de tráfico con el control de aplicaciones y las opciones preventivas habilitadas.

Más factores a tener en cuenta sobre RFPCada empresa tendrá sus propios requisitos incluso más allá de los incluidos en este documento, entre otros: viabilidad de la empresa, referencias de clientes, facilidad de instalación. A la hora de realizar un RFP se recomienda ser muy sistemático para lograr de los fabricantes la demostración de que su oferta contiene realmente la funcionalidad que anuncia.

El rendimiento importa

Lo más importante es determinar el ren-

dimiento de la red cuando están habilitadas

todas las funciones de seguridad.



Evaluación formal de los firewall de nueva generación

Tras seleccionar mediante un RFP el fabricante o fabricantes finalistas, se ha de evaluar físicamente el firewall con la ayuda de políticas, objetos y patrones de tráfico que se asemejen lo más posible al entorno real de la empresa. En este apartado se incluyen diversas recomendaciones sobre cómo evaluar físicamente un firewall de nueva generación. Esta evaluación servirá para comprobar hasta qué punto se satisfacen los requisitos reales. Téngase en cuenta que las pruebas que aquí se recomiendan conforman una muestra de las funciones exigibles a un firewall de nueva generación, y que actúan como pautas sobre las cuales elaborar una prueba más meticulosa.

Visibilidad y control de las aplicaciones El objetivo de este apartado es triple. Por un lado, hay que comprobar que el dispositivo que se está probando realiza la clasificación del tráfico según la identidad de las aplicaciones y no según el puerto. En segundo lugar, verificar que el dispositivo clasifica las aplicaciones cualquiera que sea el puerto por el que entren, incluso si cambian de puerto o usan puertos alternativos o cualquier otra táctica evasiva. Por último, conviene asegurarse de que la identidad de las aplicaciones se convierte en la base de la política del firewall.

Identificación de las aplicacionesn Confirmación de que el dispositivo puede identificar diversas

aplicaciones. La mejor forma de comprobarlo es instalando el firewall en modo transparente en la red.

n Confirmación de que el dispositivo puede identificar el tráfico de aplicaciones tanto con herramientas de visibilidad y análisis de alto nivel como con herramientas de bajo nivel.

n Evaluación de los pasos a dar para habilitar la identificación de aplicaciones por primera vez. ¿Cuánto se tarda en establecer una política y empezar a “ver” el tráfico de aplicaciones? ¿Es preciso dar algún otro paso para aumentar la visibilidad de las aplicaciones que cambian de puerto o usan otros alternativos?

Identificación de las aplicaciones que cambian de puerto o usan otros alternativos n Verificación de que el firewall es capaz de identificar y controlar

aplicaciones que entren por puertos distintos a los que tienen asignados por omisión. Por ejemplo, SSH por el puerto 80 y Telnet por el puerto 25.

n Confirmación de que el firewall es capaz de identificar aplicaciones que pasan de un puerto a otro gracias a aplicaciones como Skype, AIM o aplicaciones P2P.

La identidad de las aplicaciones ha de ser la base de la política de firewalln Confirmación de que al crear la política de firewall se toma la

aplicación y no el puerto como elemento principal. En otras palabras, ¿requiere la política de control de aplicaciones de alguna norma basada en puertos? ¿Es el controlador de las aplicaciones un editor de políticas separado?

n Creación de una política para permitir algunas aplicaciones y bloquear otras y verificación de que las aplicaciones son controladas como cabe esperar.

Identificación y control de las aplicaciones evasivasn Confirmación de que el dispositivo en pruebas es capaz de

identificar y controlar una variedad de aplicaciones que se emplean para evadir los controles de seguridad. Entre las aplicaciones de este tipo destacan los proxys externos (PHproxy, Kproxy), aplicaciones de acceso a distancia (RDP, Logmein!, Teamviewer, GotomyPC) y túneles cifrados (Tor, Hamachi, UltraSurf).

n Confirmación de que cada uno de las aplicaciones evasivas resulta correctamente identificada durante la prueba.

n Verificación de que todas las aplicaciones evasivas se pueden bloquear, incluso si se encuentran en algún puerto alternativo.

Identificación y control de las aplicaciones con SSL o SSHCada vez son más las aplicaciones que usan el cifrado SSL o SSH para usos alternativos. Es preciso evaluar la capacidad del dispositivo para identificar y controlar este tipo de aplicaciones.

n Verificación de que el dispositivo en pruebas es capaz de identificar y descifrar aplicaciones que emplean cifrado SSL

n Confirmación de que el dispositivo es capaz de identificar, descifrar y aplicar la política de seguridad sobre las aplicaciones descifradas.

n Comprobación de que la aplicación descifrada es aceptada, re-cifrada y reenviada.

n Confirmación de que el descifrado SSL funciona con tráfico de entrada y de salida.

n Verificación de que se identifica el SSH correctamente, cualquiera que sea el puerto.

n Comprobación de que el control SSH cambia de reenvío de puertos (local, a distancia, x11) a uso en nativo (SCP, SFTP y acceso con shell).



Identificación y control de aplicaciones que comparten la misma conexión Es preciso también determinar que los mecanismos de clasificación de aplicaciones comprueban constantemente el estado de las mismas en busca de cambios, y más importante aún, que clasifican los cambios correctamente. Muchas “plataformas” (Google, Facebook, Microsoft) habilitan varias funciones cuando el usuario se registra por primera vez, por lo que es fundamental que el firewall garantice el seguimiento de esos cambios.

n Uso de aplicaciones como Gmail o SharePoint para confirmar que el dispositivo en pruebas identifica correctamente la aplicación inicial.

n Sin salir de la aplicación, abrir una nueva función (Google Docs, Google Chat, SharePoint Admin, SharePoint Docs) y comprobar que se hace un seguimiento del cambio de estado y se identifica correctamente.

n Validación del control e inspección para las funciones de las aplicaciones.

Control de las funciones de las aplicacionesIgualmente se ha de determinar la capacidad del dispositivo en pruebas para identificar y controlar las funciones específicas de cada aplicación. El control al nivel funcional es fundamental para habilitar el uso de las aplicaciones sin correr riesgos comerciales o de seguridad. La transferencia de archivos sirve de ejemplo, pero también las funciones administrativas, VoIP, correo, blogs y chat contenidas en la aplicación maestra.

n Confirmación de que el dispositivo en pruebas ofrece visibilidad sobre toda la jerarquía de la aplicación (desde la aplicación básica hasta las funciones adicionales).

n Verificación del control de la función de transferencia de archivos mediante la identificación y control de una aplicación que incluya dicha función.

n Confirmación de la capacidad del dispositivo para bloquear la carga/descarga de archivos según el tipo de aplicación y archivo. Es decir, que sea posible evitar que un usuario transfiera un documento mediante una aplicación de correo web.

Administración sistemática del tráfico desconocidoTodas las redes tienen siempre una porción de tráfico desconocido, y es preciso comprobar cómo lo administra el dispositivo en pruebas.

n Comprobación de la visibilidad del tráfico desconocido (usuarios, direcciones IP, etc.) y de las funciones de control (permiso, bloqueo, inspección, etc.).

n Verificación, por medio de una aplicación interna y direcciones IP conocidas, de que el tráfico se identifica como desconocido.

n Confirmación de las opciones disponibles para identificación y control del tráfico desconocido. ¿Se puede “renombrar” el tráfico? ¿Se puede crear un mecanismo de identificación a medida? ¿Ofrece el fabricante mecanismos de identificación a medida?

Prevención de amenazas Para garantizar la seguridad de la red, es igual de importante controlar de forma estricta la exposición a las amenazas como prevenir las amenazas presentes en el tráfico permitido. Se ha de comprobar la capacidad del dispositivo en pruebas para garantizar la seguridad sin mermar el rendimiento en un entorno real caracterizado por amenazas que acceden comprimidas por puertos alternativos.

n Verificación de que las técnicas de prevención de amenazas (filtro de IPS, malware, y contenido) se aplican de forma consistente incluso en los puertos alternativos. Quiere esto decir que el dispositivo en pruebas no solo ha de controlar las aplicaciones que entran por puertos alternativos, sino también detener las amenazas que pueden circular por esos mismos puertos.

n Comprobación de que el dispositivo en pruebas es capaz de detectar malware y archivos sin autorización aun comprimidos con ZIP o GZIP.

n Verificación del rendimiento del dispositivo en pruebas con todas las funciones preventivas habilitadas para garantizar la validez de estas en el entorno real.

Controles de seguridad para el acceso a distanciaEn primer lugar, se ha de averiguar si el dispositivo en pruebas sirve para garantizar los accesos a distancia según la misma política empleada para accesos internos y, en segundo lugar, determinar las tareas de administración y la complejidad de la instalación.

n Comprobación de que el dispositivo sirve para garantizar la seguridad de las accesos a distancia por medio de más de una conexión SSL VPN.

n Confirmación de la facilidad de instalación y administración mediante la formación de un grupo de usuarios a distancia.

n Finalización de la prueba y supervisión de los accesos a distancia con el visor de accesos.

Reducción de la superficie de ataque

Para garantizar la seguridad de la red, es

igual de importante controlar de forma

estricta la exposición a las amenazas como

prevenir las amenazas presentes en el

tráfico permitido.



Administración Se ha de analizar la complejidad administrativa del dispositivo en pruebas y la dificultad (pasos a dar, claridad de la interfaz, etc.) de la tarea a realizar.

n Confirmación de la metodología administrativa del dispositivo en pruebas. ¿Se necesita otro servidor para la administración individual de cada dispositivo? ¿Se puede administrar a través de un navegador o se necesita un cliente pesado?

n Comprobación de la disponibilidad de las herramientas de visualización mediante el repaso de las aplicaciones, amenazas y direcciones URL de la red.

n Comprobación de que los controles de seguridad de aplicaciones, controles de firewall y funciones preventivas se pueden habilitar desde un mismo editor.

Rendimiento con los servicios habilitadosEl control de las aplicaciones conlleva una carga de recursos mucho mayor que la propia de un firewall basado en puerto tradicional, por lo que es esencial comprobar que el dispositivo en pruebas rinde convenientemente durante la identificación y el control de las aplicaciones.

n Comprobación del producto: software, servidor OEM o dispositivo integrado.

n Investigación de la arquitectura del hardware, si se trata de un dispositivo, para confirmar que se aplica la capacidad de procesamiento adecuada para la tarea a realizar. El uso de servidores multifuncionales limita el rendimiento de la red al habilitar los servicios de seguridad.

n Evaluación del rendimiento en un entorno de pruebas que se asemeje al entorno definitivo del sistema.

Otras factores a tener en cuenta para la evaluaciónEl proceso de evaluación y prueba para productos de seguridad de redes varía de una empresa a otra, y normalmente incluirá aspectos que van más allá del alcance de este documento. Por ejemplo, la facilidad de instalación (modo opaco, modo transparente y otros), los servicios de red (capa 2, capa 3, modo mixto) y las funciones de routing (RIP, OSPF, BGP). Para evaluar correctamente un firewall se recomienda elaborar un conjunto de criterios de evaluación y someter a cada dispositivo a todas las pruebas establecidas. Los resultados se han de documentar de forma que faciliten la decisión final.

Hubo un tiempo en el que ni se hablaba de la posibilidad de uso de aplicaciones externas o personales para el acceso a la red. Pero hoy en día, los empleados están permanentemente conectados y haciendo uso de aplicaciones en las que mezclan lo personal con lo profesional. Bloquear el uso de este tipo de aplicaciones es igual que bloquear el negocio.

En el apartado “10 funciones que debe tener su próximo firewall” queda claro que el mejor sitio para la habilitación segura de las aplicaciones es el propio firewall. Para ello se emplea la identidad de las aplicaciones y el modelo de control positivo que permite a los administradores definir, según los intereses de la empresa, qué aplicaciones conviene habilitar y cuáles conviene denegar. Si se emplean las herramientas incluidas en este documento, queda igualmente claro que es inútil intentar lograr la habilitación segura de las aplicaciones mediante el modelo de control negativo.

Cómo activar aplicaciones con seguridad en un firewall de nueva generación



Palo Alto Networks™ es la empresa de seguridad de redes.

Sus firewall de nueva generación ofrecen una visibilidad y

un control de las aplicaciones y el contenido (por usuario,

no solo por dirección IP) sin precedentes a hasta 20 Gb/s sin

mermas de rendimiento. Gracias a la tecnología de patente

en trámite App-ID™, los firewall de Palo Alto Networks fa-

cilitan la identificación y el control de las aplicaciones (cual-

quiera que sea el puerto, protocolo, táctica evasiva o cifrado

SSL) y permiten escanear el contenido para prevenir amena-

zas y filtraciones. Las empresas ya pueden adaptarse a la

web 2.0 y conservar una visibilidad y control total, así como

reducir el coste total por propiedad a través de la consoli-

dación de sus dispositivos. Palo Alto Networks ha ampliado

recientemente la cobertura de protección al garantizar las

conexiones de los usuarios a distancia con el lanzamiento

de GlobalProtect™.

Acerca de Palo Alto Networks

Reinventamos la seguridad de redes | www.paloaltonetworks.com

©2011 Palo Alto Networks, Inc. Todos los derechos reservados. Palo Alto Networks y el logotipo de Palo Alto Net-works son marcas registradas propiedad de Palo Alto Networks, Inc. Otras empresas y nombres comerciales pudi-eran ser marcas registradas de sus respectivos propietarios. Especificaciones sujetas a cambios sin previo aviso.

Documents

GUÍA PARA EL COMPRADOR DE FIREWALL - · PDF filePalo Alto Networks: ... funcionalidad tradicional para la prevención de intrusos basada en firmas. Aunque pudiera sonar atractivo,