Upload
grupo-smartekh
View
799
Download
3
Embed Size (px)
DESCRIPTION
Este webinar tiene como objetivo principal, dar a conocer las ventajas y desventajas al adquirir un firewall de nueva generación. El tamario que engloba es el siguiente: El uso de aplicaciones en Universidades Tipos de firewall Firewall de Nueva Generación Análisis de la Industria
Citation preview
Firewall de Nueva Generación
Abril 2012
Información General
GR
UP
O SM
AR
TEKH
Miguel Ángel Chávez Cervantes Ingeniero en Electrónica y Comunicaciones • 10 años de experiencia en el área de Networking y Diplomado en
Seguridad en tecnologías de la Información • Ingeniero certificado en diferentes marcas y tecnologías
Juniper Networks PaloAlto Networks Trend Micro Barracuda Infoblox
• Consultor en el área de Seguridad en redes • Premio al mejor Ingeniero Juniper Networks 2010 en la región
Latinoamérica • Experiencia en Pent testing y análisis de riesgos.
Jazmin Ortiz López Licenciatura en Ciencias de la Informática • 4 años de experiencia en soporte e implementación de soluciones de
seguridad a nivel end-point, gateway y de redes. • Marcas: Trend Micro, Juniper, Palo Alto, Fatpipe • Implementación de metodologías de servicios (MOF, COBIT, ITIL) de
soporte técnico e implementación- Gobierno de TI. • Responsable del área de Service Desk • Actualmente Consultor técnico en el área de Seguridad en
Networking
Fire
wall d
e N
ueva G
enera
ció
n
Agenda
1. El uso de aplicaciones en
Universidades
2. Tipos de firewall
3. Firewall de Nueva Generación
4. Análisis de la Industria
5. Conclusiones
326
universities
64
petabytes
1,023
applications
1
challenge
Los estudiantes encontrarán la manera…
65% incidencias
97% incidencias
Uso de aplicaciones en las Universidades F
irew
all d
e N
ueva G
enera
ció
n
94%
incidencias
96%
incidencias
Uso de aplicaciones en las Universidades
El uso de filesharing es excesivo
Fire
wall d
e N
ueva G
enera
ció
n
96% incidencias
Uso de aplicaciones en las Universidades
Acceso remoto: IT, soporte o estudiantes?
Fire
wall d
e N
ueva G
enera
ció
n
48% consume 86%
Uso de aplicaciones en las Universidades
¿Dónde está el ancho de banda?
Fire
wall d
e N
ueva G
enera
ció
n
¿Por qué?
Uso de aplicaciones en las Universidades
Equilibrio delicado entre libertad y caos
Fire
wall d
e N
ueva G
enera
ció
n
Internet
Aplicaciones dinámicas
• FTP
• RPC
• Java/RMI
• Multimedia
Firewalls – Se iniciaron con los ruteadores
Aplicaciones tradicionales
• DNS
• Gopher
• SMTP
• HTTP
Antecedentes
• Aparecen a mediados de los
1980’s
• Típicamente incluidos en los
ruteadores
• Clasifican los paquetes
individuales en base al
numero de puerto
Desafío
• No soportan aplicaciones
dinámicas
Antecedentes: Tipos de Firewall F
irew
all d
e N
ueva G
enera
ció
n
Pero los ruteadores no se pueden adaptar a las nuevas aplicaciones
Internet
Aplicaciones tradicionales
• DNS
• Gopher
• SMTP
• HTTP
Aplicaciones dinámicas
• FTP
• RPC
• Java/RMI
• Multimedia
Antecedentes
• Aparecen a mediados de los
1980’s
• Típicamente incluidos en los
ruteadores
• Clasifican los paquetes
individuales en base al numero
de puerto
Desafío
• No soportan aplicaciones
dinámicas
• La solución dudosa es abrir
grandes grupos de puertos
• Abiertos a ataques a toda la red
Antecedentes: Tipos de Firewall F
irew
all d
e N
ueva G
enera
ció
n
Internet
La inspección Stateful mejoro la protección
Antecedentes
• Creada por Nir Zuk y Check
Point en 1994
• Tabla fija del estado de los
paquetes limitados filtrados
• Clasificación del trafico en
base a los números de
puertos en el contexto del flujo
Desafío
• Esto ayudo, pero las
aplicaciones continuaron
evolucionando
Dynamic Applications
• FTP
• RPC
• Java/RMI
• Multimedia
Aplicaciones tradicionales
• DNS
• Gopher
• SMTP
• HTTP
Aplicaciones dinámicas
• FTP
• RPC
• Java/RMI
• Multimedia
Antecedentes: Tipos de Firewall F
irew
all d
e N
ueva G
enera
ció
n
Internet
Pero los Firewalls tradicionales aun no tienen visibilidad
Desafío • No pueden identificar
aplicaciones evasivas • Incrustados dentro de
productos de seguridad existentes
• No puede corregir retroactivamente
Veredicto • Los firewalls tradicionales
han llegado al fin de sus limites de vida útil
• Este problema se pondrá cada ves peor
Apls Evasivas
• Encriptadas
• Web 2.0
• P2P / Musica
• IM / Skype
• Video / juegos
• Desktop Apps
• Spyware
• Crimeware
Aplicaciones tradicionales
• DNS
• Gopher
• SMTP
• HTTP
Aplicaciones dinámicas
• FTP
• RPC
• Java/RMI
• Multimedia
Antecedentes: Tipos de Firewall F
irew
all d
e N
ueva G
enera
ció
n
Las Aplicaciones han Cambiado– La seguridad No
• El gateway en la frontera es el lugar adecuado para reforzar las políticas de control - Ve todo el trafico - Define los limites de
confianza
Necesita restablecer la visibilidad y control en la red
Colaboración / Media SaaS Personal
• PERO.. Las Aplicaciones Han Cambiado - Puertos ≠ Aplicaciones - Direcciones IP ≠ Usuarios - Paquetes ≠ Contenido
Antecedentes: Tipos de Firewall F
irew
all d
e N
ueva G
enera
ció
n
Suficiente….Es tiempo de cambiar el concepto
Nuevos Requerimientos para el Firewall
1. Identificar aplicaciones sin importar el puerto, protocolo, táctica evasiva o SSL
2. Identificar usuarios sin importar su dirección IP
3. Visibilidad y control de políticas granular sobre el acceso / funcionalidad de la aplicación
4. Proteger en tiempo-real contra amenazas embebidas a través de las aplicaciones
5. Multi-gigabit, implementación in-line sin degradación en el rendimiento
Firewall de Nueva Generación F
irew
all d
e N
ueva G
enera
ció
n
Firewall de Nueva Generación
Enfoque Céntrico de aplicaciones
10 Gig
Control y
Visibilidad
Bittorrent
Meebo
Oracle
MSN
Salesforce
WebEx Skype
Clasificación
de
Aplicaciones
Es lo que ves … Lo que entra …
Clasificación del Tráfico de aplicaciones
- Visibilidad dentro de todo el contenido de flujo, para identificar cada aplicación sin importar el puerto, protocolo o encriptación SSL
- Escaneo de todas las aplicaciones en todos los puertos sin degradar el rendimiento
- Dinámicamente actualiza aplicaciones nuevas y ya conocidas
Fire
wall d
e N
ueva G
enera
ció
n
App-ID: Visibilidad Completa de las Aplicaciones
• Control basado en Políticas. Aplicaciones distribuidas a través de categorías y
subcategorías
• Combinación balanceada de aplicaciones de red, negocios e internet, y protocolos de
red
Firewall de Nueva Generación F
irew
all d
e N
ueva G
enera
ció
n
• Reconstruir el firewall desde la
base
• Identifica tráfico a nivel
Aplicación
– Siempre arriba
– Siempre la primer acción
– En todos los puertos
• El control positivo es
recuperado,
independientemente del
puerto del tráfico en el que
viaja
• El firewall realiza las funciones
para las cuáles fue diseñado
originalmente
Puerto
22
Puerto
23
Port
531
FT
P
SS
H
Teln
et
HT
TP
IM
Puerto
20
Puerto
80
App-ID
• IPS trabaja de forma
sistemática
• Aplicaciones evasivas no
evaden el IPS o el firewall
Firewall de Nueva Generación
Cambiando el Firewall… y el IPS
Fire
wall d
e N
ueva G
enera
ció
n
• El panorama de las
amenazas ha crecido – Tradicional: Ataques/exploits
internos hacia los servidores
– Hoy en día: Malware,
botnets, Aplicaciones
peligrosas, exploits a nivel
usuario final, URLs
comprometidas, archivos
infectados, and exploits
tradicionales, todos
trabajando en conjunto
• Amenazas y vectores
múltiples trabajando en
conjunto • Ejemplo: Aprovechar
Vulnerabilidad A de un
servidor inyección de
malware injection
Aprovechar vulnerabilidad en
navegador infección a
nivel cliente
Amenazas deconocidas
Botnets y Malware
Vulnerabilidades Exploits
Páginas Web comprometidas
Tipos de archivo peligrosos
Integrative Threat
Prevention
Firewall de Nueva Generación
Prevención de Amenazas integrado
Fire
wall d
e N
ueva G
enera
ció
n
Content-ID: Análisis de Contenido en Tiempo-Real
• Detectar y bloquear un amplio rango de amenazas, limitar transferencias de archivos
no autorizadas y controlar la navegación web no relacionada con el trabajo
– Basado en el flujo de datos, no en el archivo, para un rendimiento en tiempo real
• Motor de firma uniforme analiza un amplio rango de amenazas en una sola
pasada
• Vulnerabilidades y exploits (IPS), virus, y spyware (tanto descargas como phone-
home)
– Bloquear la transferencia de datos sensibles y transferencias de archivos por tipo
• Buscar #TC y patrones de NSS
• Buscar dentro del archivo para determinar el tipo – no esta basado en
extensiones
– Filtrado Web a través de una base de datos completamente integrada
Firewall de Nueva Generación F
irew
all d
e N
ueva G
enera
ció
n
User-ID: Integración al Directorio Empresarial
• Los usuarios ya no se definen únicamente por su dirección IP – Aprovechar la infraestructura existente de Active Directory
• Entender el comportamiento de aplicaciones y amenazas de los
usuarios basado en su usuario de AD, no solo la IP
• Administrar y reforzar las políticas con base en usuarios y/o grupos
de AD
• Investigar incidentes de seguridad, generar reportes
personalizados
Firewall de Nueva Generación F
irew
all d
e N
ueva G
enera
ció
n
IPS
Malware
URL
Tipo archivo
Contenido
¿Cuál es el tráfico
y éste es permitido?
(App-ID)
¿Permitir para este usuario
y/o grupo específico?
(User ID)
¿Qué riesgos o amenazas hay
dentro del tráfico?
(Content ID)
Bloqueo de
sitios
maliciosos
Incluir archivos
comprimidos
CC#, SSN, etc.
SS
L
HT
TP
Gta
lk
Gb
rid
ge
Fa
ceb
oo
k
Proceso basado en políticas
Es la primera tarea que siempre se
ejecuta
Todo el tráfico, todos los puertos
Siempre activo
Firewall de Nueva Generación F
irew
all d
e N
ueva G
enera
ció
n
• La visibilidad proporciona la habilidad de implementar políticas de acuerdo
ciertas necesidades
– Permitir
– Permitir, pero escanear
– Permitir ciertos usuarios
– Permitir ciertas funciones
– Denegar aplicaciones malas
conocidas
– Descifrar cuando sea
apropiado
– Calidad de Servicio (QoS)
– …cualquier combinación de las anteriores
Bajo Alto
Network Control
Firewall de Nueva Generación
Decidir los niveles de políticas de control
Fire
wall d
e N
ueva G
enera
ció
n
Análisis de la Industria F
irew
all d
e N
ueva G
enera
ció
n
Análisis de la Industria F
irew
all d
e N
ueva G
enera
ció
n
• Identificar aplicaciones, incluyendo aquellas que son P2P, que
ejecutan técnicas de “encrypted tunneling” y proxies
• Determinar y visualizar quien está haciendo uso de dichas
aplicaciones, a través de la integración de servicios de directorio.
• Aplicar políticas de firewall para el monitoreo y registro de eventos,
aplicar Calidad de servicio (QoS) o bloqueo por aplicación
• Inspeccionar y proteger el tráfico de aplicación con prevención de
ataques
Conclusiones
Permitir libertad académica, pero minimizar el caos
Fire
wall d
e N
ueva G
enera
ció
n
Preguntas
* Correo electrónico:
www.smartekh.com
Fire
wall d
e N
ueva G
enera
ció
n
ww
w.s
marte
kh.c
om
Tu seguridad informática es nuestra pasión