Firewalls de Siguiente Generación Expandiendo la seguridad

“Firewalls de Siguiente Generación

Expandiendo la seguridad

a Nivel aplicación, usuario y

contenido”

Leticia Gammill

Gerente Regional,

Caribe y CentroAmérica

Agenda

Stateful Inspection + Modulos ( IPS, AV, AC ) ≠ NGFW

Que hace un NGFW ( APP-ID , Content-ID ) ?

Malware Moderno / Bonets por comportamiento

Visibilidad

Palo Alto Networks

Características Empresa

Fundada en 2005

Seguridad en aplicaciones

Posibilidad de atender todas las necesidades de

seguridad

Habilidad para proveer soporte global a los clientes

Equipo de trabajo y tecnologia con experiencia

Mas de 1000 empleados alrededor del mundo

1.800

4.700

10.000

0

2.000

4.000

6.000

8.000

10.000

12.000

Jul-10 Jul-11

$13

$49

$255

$119

$0

$50

$100

$150

$200

$250

$300

FY09 FY10 FY11 FY12

Utilidades

Clientes

$MM

FYE July

Oct-12

3 | ©2013, Palo Alto Networks. Confidential and Proprietary.

Hoy en día el Firewall no es suficiente


Las políticas de seguridad son

enforzadas en el firewall• Definen límites

• Establecen accesos

Los Firewalls tradicionales ya no

funcionan hoy en día

Aplicaciones pasan a través de las aplicaciones:

Amenazas


Amenazas en las aplicaciones• Usan vectores de ataque

• Explotacion de vulnerabilidades

especificas de aplicaciones

Aplicaciones pasan a través de las aplicaciones:

Exfiltración

Aplicaciones proveen

exfiltración• Comunicación de amenazas

• Datos confidenciales


Aplicaciones pasan a través del Firewall: Cifrado

Que pasa si el tráfico está

encriptado?• SSL

• Encripción propia


Descripción Técnica

Wiki Stateful Inpection:

En computo un stateful firewall (cualquier

firewall que realiza stateful packet

inspection (SPI) o stateful inspection) es

un firewall que mantiene rastreando el

estado de las conexiones de red ( flujos de

comunicación TCP ,UDP) que lo atraviesan.

Este tipo de firewall esta programado para

distinguir paquetes legitimos para diferentes

tipos de conexiones. Solo los paquetes que

concuerdan con las conexiones activas son

lo que seran permitidos por el firewall, otros

paquetes serán rechazados.

0 7 8 15 16 23 24 31

Ver Hdr Len Service Type Total Length

Identification Flags Fragment Offset

Time To Live Protocol

Destination IP Address

Header Checksum

IP Options (If Any) Padding

Source IP Address

Data

…

Que siguió? la solución “UTM”

Port/Protocol-based ID

L2/L3 Networking, HA, Config Management, Reporting


HTTP Decoder


URL Filtering Política


IPS Signatures


IPS Política


AV Signatures


AV Política

Firewall Política IPS Decoder AV Decoder & Proxy

Page 9 | © 2008 Palo Alto Networks. Proprietary and Confidential

Más cajas no solucionan el problema

Red Empresarial

• Los “ayudantes” del Firewall tienen visibilidadincompleta

• Compleja y costosa de mantener

• No resuelve los retos del control de aplicaciones


IMDLPIPS ProxyURLAV

UTM

Internet

Las aplicaciones han cambiado .. y el FW NO

Necesitamos reestabelecer visibilidad y control al firewall

PERO … las aplicaciones cambiaron y el Firewall?

• Ports ≠ Applications

• IP Addresses ≠ Users

• Packets ≠ Content

• El Firewall es el punto indicado para hacer el control de aplicaciones

• Ve todo el tráfico

• El firewall es un punto de control de lógica positiva

Corresponde al Firewall habilitar la seguridad

Firewall IPS

App Ctrl PolicyDecision

Scan Applicationfor Threats

Applications

ApplicationTraffic

NGFW Application Control • Application control is in the firewall = single

policy

• Visibility across all ports, for all traffic, all the time

Implications • Network access decision is made based on

application identity

• Safely enable application usage

Port PolicyDecision

App Ctrl PolicyDecision

Application Control as an Add-on• Port-based FW + App Ctrl (IPS) = two policies

• Applications are threats; only block what you expressly look for

Implications • Network access decision is made with no

information

• Cannot safely enable applications

IPS

Applications

Firewall

PortTraffic

App-ID = Habilitador de Aplicaciones

• Siempre es la primera accion, siempre habilitado, siempre

rastreando el estado , en TODO el trafico, en TODAS las

aplicaciones, en TODOS los puertos

App-ID

Traffic

App1App2App3App4

Es un solo mecanismo ; Un habilitador basado en políticas

Identificando la aplicación como paso inicial es la única forma de habilitar aplicaciones

Tecnologias que diferencian a un NGFW

•App-ID™

•Identify the application

•User-ID™

•Identify the user

•Content-ID™

•Scan the content

Arquitectura Single-Pass Parallel Processing™ (SP3)

Single Pass

Se revisa el paquete una vez

Clasificación de tráfico (app

identification)

Relacionar Usuarios/grupos

Revisión de contenido –

amenazas, URLs, informaci

ón confidencial

One policy

Procesamiento Paralelo

Motores de HW específicos

para el procesamiento

paralelo

Separación de los planos de

control y datos


Hasta 20Gbps, Baja Latencia

Que alcanzas a ver…con un FW basado en puertos + Application Control Add-on

Cuando deberias de estar viendo lo que un verdadero Next-Generation Firewall puede ver

http://en.wikipedia.org/wiki/Image:Hamachi_logo.png

https://www.torproject.org/

http://www.yousendit.com/?home=true

http://www.live365.com/index.live

Control en la superficie de analisis de la Red

»Universo de aplicaciones

»Trafico limitado a las aplicaciones aprobadas por la empresa basadas en APP y Usuario.

»Superficie de ataque reducida

»Biblioteca de amenazas completa sin tener puntos ciegos. Bi-directional inspectionScans inside of SSLScans inside compressed

filesScans inside proxies and

tunnels

Solamente permitimoslas aplicacionesnecesarias

Limipiamos el trafico que por todas las amenzas en un solo paso

https://www.torproject.org/

http://www.live365.com/index.live

Estrategia en Malware Moderno

Infection

Escalation

Remote Control

Malware provee un punto de expasión y vulnerabilidad claro en las redes.

Métodos de control de amenazas

© 2012 Palo Alto Networks. Proprietary and Confidential

Encrypted Traffic

Inspect within SSL

ProxiesCommon user-driven evasion

Remote DesktopIncreasingly popular tool for end-

users

Compressed ContentZIP files and compressed HTTP (GZIP)

Encrypted Tunnels

Hamachi, Ultrasurf, Tor

Purpose-built to avoid security

Encryption (e.g. SSL)

Compression (e.g. GZIP)

Proxies (e.g CGIProxy)

Circumventors and Tunnels

Outbound C&C Traffic

Amenazas desconocidas

NGFW clasifica todo el trafico

conocido Personalización App-IDs

Cualquier otro tráfico se debe de

investigado como aplicación

desconocida para ser investigado Usado para encontrar botnets o amenazas

desconocidas

Behavioral Botnet Report Automáticamente correlaciona comportamiento

con usuario final

Unknown TCP and UDP, Dynamic

DNS, Repetición/Intentos de download

files, Contacto con DNS recientemente

registrados, etc

© 2010 Palo Alto Networks. Proprietary and Confidential.Page 21 |

10.1.1.56

10.1.1.34

10.1.1.277

192.168.1.4

192.168.1.47

10.1.1.101

10.0.0.24192.168.1.5

10.1.1.16

192.168.124.5

Encontrar al usuario en especifico que potencialmente esta comprometido por un Bot

Jeff.Martin

WildFire

Page 22 |

✓ ✓

✓

Centro de Análisis WildFire

Archivos

potencialmente

maliciosos del

Internet

Protección enviada a

los firewalls de

clientes

Envío de archivos por

política

• Análisis basado en Sandbox- busca más

de 80 comportamientos maliciosos

• Genera reporte forense detallado

• Crea firmas de antivirus y C&C

Reportes por usuario/aplicacion/Contenido Consolidado

Manejo de incidentes de seguridad

Reportes NGFW

La solución? Que el Firewall vuelva a hacer su trabajo

1. Identificar aplicaciones independiente de puerto, protocolo, táctica evasiva o SSL

2. Identificar y controlar usuarios independiente de IP, ubicación o dispositivo

3. Proteger contra amenazas conocidas y desconocidas

4. Visibilidad granulary control de políticas sobre el acceso a aplicaciones y sufuncionalidad

5. Multi-gigabit, baja latencia, implementación en línea



Magic Quadrant - 2011 Magic Quadrant - 2013

Gartner Enterprise Network Firewall Market

© 2007 Palo Alto Networks. Proprietary and ConfidentialPage 29 |

Gracias !

Documents

Firewalls de Siguiente Generación Expandiendo la seguridad