Firewall de Nueva Generación

Abril 2012

Información General

GR

UP

O SM

AR

TEKH

Miguel Ángel Chávez Cervantes Ingeniero en Electrónica y Comunicaciones • 10 años de experiencia en el área de Networking y Diplomado en

Seguridad en tecnologías de la Información • Ingeniero certificado en diferentes marcas y tecnologías

Juniper Networks PaloAlto Networks Trend Micro Barracuda Infoblox

• Consultor en el área de Seguridad en redes • Premio al mejor Ingeniero Juniper Networks 2010 en la región

Latinoamérica • Experiencia en Pent testing y análisis de riesgos.

Jazmin Ortiz López Licenciatura en Ciencias de la Informática • 4 años de experiencia en soporte e implementación de soluciones de

seguridad a nivel end-point, gateway y de redes. • Marcas: Trend Micro, Juniper, Palo Alto, Fatpipe • Implementación de metodologías de servicios (MOF, COBIT, ITIL) de

soporte técnico e implementación- Gobierno de TI. • Responsable del área de Service Desk • Actualmente Consultor técnico en el área de Seguridad en

Networking

Fire

wall d

e N

ueva G

enera

ció

n

Agenda

1. El uso de aplicaciones en

Universidades

2. Tipos de firewall

3. Firewall de Nueva Generación

4. Análisis de la Industria

5. Conclusiones

326

universities

64

petabytes

1,023

applications

1

challenge

Los estudiantes encontrarán la manera…

65% incidencias

97% incidencias

Uso de aplicaciones en las Universidades F

irew

all d

e N

ueva G

enera

ció

n

94%

incidencias

96%

incidencias

Uso de aplicaciones en las Universidades

El uso de filesharing es excesivo

Fire

wall d

e N

ueva G

enera

ció

n

96% incidencias

Uso de aplicaciones en las Universidades

Acceso remoto: IT, soporte o estudiantes?

Fire

wall d

e N

ueva G

enera

ció

n

48% consume 86%

Uso de aplicaciones en las Universidades

¿Dónde está el ancho de banda?

Fire

wall d

e N

ueva G

enera

ció

n

¿Por qué?

Uso de aplicaciones en las Universidades

Equilibrio delicado entre libertad y caos

Fire

wall d

e N

ueva G

enera

ció

n

Internet

Aplicaciones dinámicas

• FTP

• RPC

• Java/RMI

• Multimedia

Firewalls – Se iniciaron con los ruteadores

Aplicaciones tradicionales

• DNS

• Gopher

• SMTP

• HTTP

Antecedentes

• Aparecen a mediados de los

1980’s

• Típicamente incluidos en los

ruteadores

• Clasifican los paquetes

individuales en base al

numero de puerto

Desafío

• No soportan aplicaciones

dinámicas

Antecedentes: Tipos de Firewall F

irew

all d

e N

ueva G

enera

ció

n

Pero los ruteadores no se pueden adaptar a las nuevas aplicaciones

Internet

Aplicaciones tradicionales

• DNS

• Gopher

• SMTP

• HTTP

Aplicaciones dinámicas

• FTP

• RPC

• Java/RMI

• Multimedia

Antecedentes

• Aparecen a mediados de los

1980’s

• Típicamente incluidos en los

ruteadores

• Clasifican los paquetes

individuales en base al numero

de puerto

Desafío

• No soportan aplicaciones

dinámicas

• La solución dudosa es abrir

grandes grupos de puertos

• Abiertos a ataques a toda la red

Antecedentes: Tipos de Firewall F

irew

all d

e N

ueva G

enera

ció

n

Internet

La inspección Stateful mejoro la protección

Antecedentes

• Creada por Nir Zuk y Check

Point en 1994

• Tabla fija del estado de los

paquetes limitados filtrados

• Clasificación del trafico en

base a los números de

puertos en el contexto del flujo

Desafío

• Esto ayudo, pero las

aplicaciones continuaron

evolucionando

Dynamic Applications

• FTP

• RPC

• Java/RMI

• Multimedia

Aplicaciones tradicionales

• DNS

• Gopher

• SMTP

• HTTP

Aplicaciones dinámicas

• FTP

• RPC

• Java/RMI

• Multimedia

Antecedentes: Tipos de Firewall F

irew

all d

e N

ueva G

enera

ció

n

Internet

Pero los Firewalls tradicionales aun no tienen visibilidad

Desafío • No pueden identificar

aplicaciones evasivas • Incrustados dentro de

productos de seguridad existentes

• No puede corregir retroactivamente

Veredicto • Los firewalls tradicionales

han llegado al fin de sus limites de vida útil

• Este problema se pondrá cada ves peor

Apls Evasivas

• Encriptadas

• Web 2.0

• P2P / Musica

• IM / Skype

• Video / juegos

• Desktop Apps

• Spyware

• Crimeware

Aplicaciones tradicionales

• DNS

• Gopher

• SMTP

• HTTP

Aplicaciones dinámicas

• FTP

• RPC

• Java/RMI

• Multimedia

Antecedentes: Tipos de Firewall F

irew

all d

e N

ueva G

enera

ció

n

Las Aplicaciones han Cambiado– La seguridad No

• El gateway en la frontera es el lugar adecuado para reforzar las políticas de control - Ve todo el trafico - Define los limites de

confianza

Necesita restablecer la visibilidad y control en la red

Colaboración / Media SaaS Personal

• PERO.. Las Aplicaciones Han Cambiado - Puertos ≠ Aplicaciones - Direcciones IP ≠ Usuarios - Paquetes ≠ Contenido

Antecedentes: Tipos de Firewall F

irew

all d

e N

ueva G

enera

ció

n

Suficiente….Es tiempo de cambiar el concepto

Nuevos Requerimientos para el Firewall

1. Identificar aplicaciones sin importar el puerto, protocolo, táctica evasiva o SSL

2. Identificar usuarios sin importar su dirección IP

3. Visibilidad y control de políticas granular sobre el acceso / funcionalidad de la aplicación

4. Proteger en tiempo-real contra amenazas embebidas a través de las aplicaciones

5. Multi-gigabit, implementación in-line sin degradación en el rendimiento

Firewall de Nueva Generación F

irew

all d

e N

ueva G

enera

ció

n

Firewall de Nueva Generación

Enfoque Céntrico de aplicaciones

10 Gig

Control y

Visibilidad

Bittorrent

Meebo

Oracle

MSN

Salesforce

WebEx Skype

Clasificación

de

Aplicaciones

Es lo que ves … Lo que entra …

Clasificación del Tráfico de aplicaciones

- Visibilidad dentro de todo el contenido de flujo, para identificar cada aplicación sin importar el puerto, protocolo o encriptación SSL

- Escaneo de todas las aplicaciones en todos los puertos sin degradar el rendimiento

- Dinámicamente actualiza aplicaciones nuevas y ya conocidas

Fire

wall d

e N

ueva G

enera

ció

n

App-ID: Visibilidad Completa de las Aplicaciones

• Control basado en Políticas. Aplicaciones distribuidas a través de categorías y

subcategorías

• Combinación balanceada de aplicaciones de red, negocios e internet, y protocolos de

red

Firewall de Nueva Generación F

irew

all d

e N

ueva G

enera

ció

n

• Reconstruir el firewall desde la

base

• Identifica tráfico a nivel

Aplicación

– Siempre arriba

– Siempre la primer acción

– En todos los puertos

• El control positivo es

recuperado,

independientemente del

puerto del tráfico en el que

viaja

• El firewall realiza las funciones

para las cuáles fue diseñado

originalmente

Puerto

22

Puerto

23

Port

531

FT

P

SS

H

Teln

et

HT

TP

IM

Puerto

20

Puerto

80

App-ID

• IPS trabaja de forma

sistemática

• Aplicaciones evasivas no

evaden el IPS o el firewall

Firewall de Nueva Generación

Cambiando el Firewall… y el IPS

Fire

wall d

e N

ueva G

enera

ció

n

• El panorama de las

amenazas ha crecido – Tradicional: Ataques/exploits

internos hacia los servidores

– Hoy en día: Malware,

botnets, Aplicaciones

peligrosas, exploits a nivel

usuario final, URLs

comprometidas, archivos

infectados, and exploits

tradicionales, todos

trabajando en conjunto

• Amenazas y vectores

múltiples trabajando en

conjunto • Ejemplo: Aprovechar

Vulnerabilidad A de un

servidor inyección de

malware injection

Aprovechar vulnerabilidad en

navegador infección a

nivel cliente

Amenazas deconocidas

Botnets y Malware

Vulnerabilidades Exploits

Páginas Web comprometidas

Tipos de archivo peligrosos

Integrative Threat

Prevention

Firewall de Nueva Generación

Prevención de Amenazas integrado

Fire

wall d

e N

ueva G

enera

ció

n

Content-ID: Análisis de Contenido en Tiempo-Real

• Detectar y bloquear un amplio rango de amenazas, limitar transferencias de archivos

no autorizadas y controlar la navegación web no relacionada con el trabajo

– Basado en el flujo de datos, no en el archivo, para un rendimiento en tiempo real

• Motor de firma uniforme analiza un amplio rango de amenazas en una sola

pasada

• Vulnerabilidades y exploits (IPS), virus, y spyware (tanto descargas como phone-

home)

– Bloquear la transferencia de datos sensibles y transferencias de archivos por tipo

• Buscar #TC y patrones de NSS

• Buscar dentro del archivo para determinar el tipo – no esta basado en

extensiones

– Filtrado Web a través de una base de datos completamente integrada

Firewall de Nueva Generación F

irew

all d

e N

ueva G

enera

ció

n

User-ID: Integración al Directorio Empresarial

• Los usuarios ya no se definen únicamente por su dirección IP – Aprovechar la infraestructura existente de Active Directory

• Entender el comportamiento de aplicaciones y amenazas de los

usuarios basado en su usuario de AD, no solo la IP

• Administrar y reforzar las políticas con base en usuarios y/o grupos

de AD

• Investigar incidentes de seguridad, generar reportes

personalizados

Firewall de Nueva Generación F

irew

all d

e N

ueva G

enera

ció

n

IPS

Malware

URL

Tipo archivo

Contenido

¿Cuál es el tráfico

y éste es permitido?

(App-ID)

¿Permitir para este usuario

y/o grupo específico?

(User ID)

¿Qué riesgos o amenazas hay

dentro del tráfico?

(Content ID)

Bloqueo de

sitios

maliciosos

Incluir archivos

comprimidos

CC#, SSN, etc.

SS

L

HT

TP

Gta

lk

Gb

rid

ge

Fa

ceb

oo

k

Proceso basado en políticas

Es la primera tarea que siempre se

ejecuta

Todo el tráfico, todos los puertos

Siempre activo

Firewall de Nueva Generación F

irew

all d

e N

ueva G

enera

ció

n

• La visibilidad proporciona la habilidad de implementar políticas de acuerdo

ciertas necesidades

– Permitir

– Permitir, pero escanear

– Permitir ciertos usuarios

– Permitir ciertas funciones

– Denegar aplicaciones malas

conocidas

– Descifrar cuando sea

apropiado

– Calidad de Servicio (QoS)

– …cualquier combinación de las anteriores

Bajo Alto

Network Control

Firewall de Nueva Generación

Decidir los niveles de políticas de control

Fire

wall d

e N

ueva G

enera

ció

n

Análisis de la Industria F

irew

all d

e N

ueva G

enera

ció

n

Análisis de la Industria F

irew

all d

e N

ueva G

enera

ció

n

• Identificar aplicaciones, incluyendo aquellas que son P2P, que

ejecutan técnicas de “encrypted tunneling” y proxies

• Determinar y visualizar quien está haciendo uso de dichas

aplicaciones, a través de la integración de servicios de directorio.

• Aplicar políticas de firewall para el monitoreo y registro de eventos,

aplicar Calidad de servicio (QoS) o bloqueo por aplicación

• Inspeccionar y proteger el tráfico de aplicación con prevención de

ataques

Conclusiones

Permitir libertad académica, pero minimizar el caos

Fire

wall d

e N

ueva G

enera

ció

n

Preguntas

* Correo electrónico:

mchavez@smartekh.com

jortiz@smartekh.com

www.smartekh.com

Fire

wall d

e N

ueva G

enera

ció

n

ww

w.s

marte

kh.c

om

Tu seguridad informática es nuestra pasión