Guia Firewalls

WITH FOREWORD BY IANS

20112012

GUA PARAEL COMPRADOR

DE FIREWALL

La gua definitiva para evaluar el firewall de la red corporativa.

PALO ALTO NETWORKS 2 | 20112012 GUA PARA EL COMPRADOR DE FIREWALL

Palo Alto Networks: 2011-2012 Gua para el comprador de firewallLa gua definitiva para evaluar el firewall de la red corporativa.

Informe sobre la Gua para el comprador de firewall de Palo

Alto Networks

Las amenazas a las que se enfrentan los departamentos de

redes y seguridad evolucionan a gran velocidad, y los productos

que estos implantan son determinantes para el resultado de

la estrategia global de seguridad de la empresa. Desde hace

aos, el firewall es la piedra angular de la seguridad de una

red, pero dada la velocidad a la que cambian las necesidades

de la empresa, este ha de seguir evolucionando para afrontar

los retos que se plantean en un entorno tan dinmico como

el actual. Palo Alto Networks solicit a IANS Research, una

empresa informtica independiente dedicada a la investigacin

sobre seguridad, riesgos y homologaciones, que estableciese

el contexto de la presente Gua para el comprador de firewall

mediante la observacin de cmo estn cambiando las

operaciones se seguridad, el comportamiento de los usuarios

y la complejidad de las amenazas, con el fin de plantear los

cambios que se han de realizar en el papel del firewall para

no ceder terreno.

Prlogo



El firewall se considera como uno de los controles de seguridad fundamentales de una red. En las dos ltimas dcadas, el firewall ha pasado de un sencillo dispositivo de filtrado a un complejo sistema capaz de supervisar el estado de varias sesiones de trfico al mismo tiempo. Pero aun teniendo prestaciones ms avanzadas y un rendimiento an mayor, los firewall sufren hoy una crisis de identidad: las amenazas se desarrollan a gran velocidad, y el filtrado tradicional por puerto o direccin IP ya no sirve para frenarlas. Las redes corporativas son cada vez ms complejas y albergan una gran cantidad de servicios y aplicaciones que han de ser identificadas y controladas convenientemente por los departamentos de redes y seguridad. En este documento se estudia el estado actual de la tecnologa firewall y se plantean los nuevos requisitos necesarios para garantizar la seguridad de la red corporativa.

Mayor visibilidad frente a mayor sofisticacinEl terreno de las aplicaciones ha cambiado de forma notable. Cada vez son menos las aplicaciones que muestran patrones de trfico tradicionales, mediante protocolos estndar como FTP, SMTP y SMB, mientras siguen aumentando aquellas que emplean HTTP como principal mtodo de comunicacin: hoy, desde sitios web sencillos hasta enormes infraestructuras de servicios, casi todas las aplicaciones usan XML, SOAP y AJAX. Actualmente los usuarios acceden al correo personal y al profesional mediante HTTP, las aplicaciones de intercambio de archivos usan HTTP, o saltan de un puerto a otro, ya existe trfico de voz que emplea HTTP adems de SIP y protocolos VoIP tradicionales. Aunque todo esto supone una revolucin en trminos de colaboracin y desarrollo, tambin supone una gran desventaja en lo que respecta a la seguridad. Las amenazas a las que se enfrentan las empresas hoy da son mucho ms avanzadas y difusas que antes. Los robos de informacin confidencial estn a la orden del da: Citi perdi datos de 360.000 titulares de tarjetas de crdito; Sony padeci diversos incidentes que afectaron a ms de 100 millones de usuarios registrados.

En muchos de estos robos, los delincuentes emplearon mtodos sofisticados de ingeniera social y manipulacin del software cliente que provocaron una sigilosa filtracin de datos muy difcil o imposible de detectar con las herramientas de seguridad tradicionales. Gran parte del trfico de salida de los delincuentes usaba los puertos 80, 443 y otros, los cuales resultan muy difciles de inspeccionar a fondo dado el volumen de informacin online que los usuarios internos generan constantemente. De hecho, este tipo de trfico se mezcla entre la multitud de aplicaciones web de tal manera que el sistema de seguridad ni siquiera sabe que se encuentra ah.

Ser capaces de relacionar determinados patrones de uso y comportamiento para detectar cualquier actividad nociva es fundamental para afrontar las amenazas de hoy da, las cuales dejan poco rastro ms all del volumen de trfico y la fecha de transferencia. Asimismo, la capacidad para descifrar qu trfico (en el nivel de paquetes) entra y, ms importante an, qu trfico sale de la empresa es el pilar sobre el que se sustenta la gestin avanzada de amenazas. Muchas de las variantes de bots ms nocivas que afectan a las empresas emulan los tipos de trfico ms comunes para evitar la deteccin de los canales de Control y Mando (CC) que los conectan a los controladores. Team Cymru, un gabinete especializado en seguridad, ya revel en 2008 un ejemplo relativamente inocuo de este tipo de actividad, al descubrir que los terminales infectados se comunicaban con un servidor por medio de segmentos cifrados con Base64 como el siguiente:

GET

/cgi-bin/get.cgi?data=dmVyPTUmdWlkPTE4MDczMzM2NSZjb25uPSZvcz1YUCZzb2Nrcz0xNTczJmlwPTE5Mi4xNjguMTk3

En este segmento se incluye informacin sobre la direccin IP del terminal infectado, el sistema operativo y los datos de acceso del usuario. Los ltimos bots, como Zeus y la familia TDL de botnets, tambin emplean tcnicas similares de codificacin y cifrado. La fa-milia TDL utiliza cifrado con SSL y codifica el trfico de control y comando con Base64. Los siguientes segmentos URL son tambin muy comunes a este tipo de botnet:

/data/www/dm_engine/library/classes/DBase.php

/data/www/dm_engine/public/enginestatusn.php

/data/www/dm_engine/library/models/mSystems.php

/data/www/dm_engine/public/index.php



En la misma medida en la que aumenta en la empresa el uso personal y profesional de aplicaciones web, herramientas sociales y el intercambio de archivos, aumenta el riesgo de que se haga un uso o apropiacin indebidos de la informacin que se maneja. El nico mtodo eficaz de vigilancia y control de los usuarios internos se basa en la observacin minuciosa de toda la informacin que se intercambia desde dentro y fuera de la red. El problema surge cuando esta tarea se realiza mediante proxy o herramientas de filtrado de contenidos, pues para eludirlas basta con puentear el filtro a proxys externos, cifrar el contenido u ocultarlo con aplicaciones del tipo Tor. Adems, las herramientas tradicionales de filtrado e inspeccin no son las ms apropiadas para detectar tcnicas sencillas de ofuscacin y cifrado, pues estas solo resultan fciles de identificar mediante el anlisis de distintos patrones de comportamiento.

La complejidad y las exigencias de la empresaLa tecnologa tradicional de firewall se centra en los puertos TCP y UDP como factor principal de identificacin a la hora de filtrar el trfico de una red. Dada la proliferacin de servicios y aplicaciones web tanto internas como externas, esta tcnica esttica de identificacin del trfico empieza a resultar demasiado rgida, con la perdida de visibilidad ante el posible trfico nocivo que pudiera circular oculto entre aquellas aplicaciones. Por otro lado, son muchas las consolas gestoras de aplicaciones y dispositivos que emplean funcionalidad web a travs de puertos estndar; por motivos evidentes, estas aplicaciones tambin han de cubrirse, como muchas otras. Este es uno de los elementos cruciales que caracterizan la situacin actual de la seguridad de redes: facilitar la actividad del propio negocio tiene una importancia vital, pero los departamentos de seguridad carecen del nivel de visibilidad y control necesario para facilitar el negocio sin dejar de bloquear el trfico nocivo que no se ajusta a las polticas de uso de la red.

Mientras crece la lista de aplicaciones y menguan los departamentos de IT, cada vez resulta ms difcil gestionar las diferentes polticas de seguridad a lo largo de toda la plataforma de red y encontrar especialistas capaces de coordinar todos los elementos defensivos.

Muchas empresas llevan aos acumulando reglas y polticas de firewall, y carecen de documentacin e incluso justificacin para el mantenimiento de muchas de ellas. El aumento de la complejidad en la poltica y del volumen de reglas en el firewall tiene diversas consecuencias. En primer lugar, los conflictos y contrasentidos en las propias reglas pueden provocar problemas de disponibilidad o bloqueos involuntarios de trfico que es necesario para el negocio. Esto no se puede tolerar, y como suele acarrear duras crticas contra los equipos de redes y seguridad, estos suelen ser reacios a efectuar cambios que afecten a los dispositivos o a la poltica que los rigen. El segundo problema que surge en la presente situacin es la reduccin de la seguridad en general, pues los apaos y las polticas temporales terminan perpetundose en el tiempo.

Los encargados de la seguridad de la red hacen cada vez ms cosas y con menos medios. Y desgraciadamente, la complejidad del panorama de aplicaciones y amenazas est creando dos tendencias principales en seguridad de redes. En primer lugar, la presin competitiva y los cambios ocurridos en el panorama de aplicaciones han obligado a numerosos fabricantes de dispositivos de seguridad a aadir a sus productos la inspeccin de aplicaciones y avanzadas funciones anti-malware. Aunque en algunos casos se trata de funcionalidades bien diseadas e integradas, en muchos otros dan lugar a nuevos problemas. Es posible que estas funciones aumenten la complejidad de la administracin y el mantenimiento de los sistemas, lo cual aumenta a su vez el tiempo dedicado a solucionar problemas. Por otro lado, muchas de estas funciones tampoco funcionan tal y como se anuncian; de hecho, apenas se diferencian de la funcionalidad tradicional para la prevencin de intrusos basada en firmas. Aunque pudiera sonar atractivo, el impacto que provoca en el rendimiento del dispositivo llega a ser notable, lo que obliga a los administradores a desactivarlo.

La segunda tendencia consiste en la proliferacin de tecnologas separadas cuya funcin es muy limitada en lo que respecta a la seguridad. Este tipo de soluciones puntuales funcionan correctamente, pero el crecimiento de distintos sistemas aumenta las tareas de administracin, los costes y la complejidad de la infraestructura hasta un punto que quiz resulte excesivo para la empresa. Aunque el uso de controles separados puede parecer sntoma de una postura afianzada de defensa en profundidad, muchas empresas sern incapaces de administrar todos estos productos, muchos de los cuales acabarn en la estantera sin ser usados y dejando en la red un vaco de seguridad considerable.

El cambio genera innovacin

Aun teniendo prestaciones ms avanzadas

y un rendimiento an mayor, los firewall

sufren hoy una crisis de identidad: las

amenazas se desarrollan a gran velocidad,

y el filtrado tradicional por puerto o direc-

cin IP ya no sirve para frenarlas.



Se necesita un nuevo enfoque para afrontar nuevos desafosDada la complejidad de las amenazas con las que han de lidiar las empresas, muchas se conforman con una mezcla de herramientas tanto tradicionales como punteras para proteger el permetro de la red. Cada nueva pieza que se aade a la infraestructura con nuevos beneficios potenciales supone la necesidad de encontrar especialistas que sepan utilizarlas y tiempo para hacerlo. Y no conviene olvidar que cada una de estas piezas representa un nuevo eslabn en la cadena, lo que la hace ms dbil. La infraestructura de convergencia ofrece un nico punto para auditora, aplicacin y actualizacin de las polticas de seguridad. Entre las ventajas colaterales, destacan la disminucin del coste operativo a corto plazo y menores gasto de capital y coste de mantenimiento a largo plazo. Esta convergencia podra suponer un ahorro considerable en cuanto al tiempo que se dedica al desarrollo, aplicacin y mantenimiento de las polticas de seguridad.

En un entorno en el que las amenazas son cada vez ms sofisticadas, los actores ms capaces y las polticas ms complejas y mayores en nmero, el papel del firewall como piedra angular de la proteccin de datos y brazo ejecutor de la poltica de seguridad es ms protagonista que nunca. Sin embargo, una gran parte de la tecnologa firewall actual no ofrece la funcionalidad necesaria para prevenir y detectar las filtraciones de datos (nocivas y desapercibidas), la infeccin por malware y los sofisticados ataques provenientes del exterior y el interior de la red. Para que se produzca una evolucin real de los sistemas de seguridad y que los firewall se adapten a unos entornos de red cada vez ms complejos, es preciso aportar nueva funcionalidad.

Y esta nueva funcionalidad ha de evolucionar en tres categoras:

n Identificacin y control de las aplicaciones: conlleva el diseo y desarrollo de polticas as como el anlisis sintctico y la inter-pretacin dinmica del trfico para evaluar las normas y aplicar-las de forma uniforme a medida que cambia el entorno.

n Mayor visibilidad del trfico interno y remoto: los delincuentes son inteligentes, y han creado malware y juegos de herramientas que utilizan canales cifrados como SSL para transportar coman-dos e informacin sensible. Adems, muchas de las aplicaciones fundamentales para la empresa requerirn leves variaciones de poltica para los distintos tipos de funcionalidad, por lo que el firewall ha de ser capaz de comprender las sutilezas de estas aplicaciones para tomar las decisiones adecuadas.

n Mejores operaciones: en primer lugar, el firewall ha de sim-plificar las operaciones de redes y seguridad mediante la con-solidacin de las funciones que actualmente realizan diversos controles de seguridad y la reduccin de los tiempos de adminis-tracin y mantenimiento. En segundo lugar, el propio firewall ha de rendir sin fallos y a gran velocidad sin dejar de realizar una inspeccin meticulosa de cada aplicacin.

Actualmente, la mayora de las infraestructuras de seguridad realizan algunas de estas funciones. Sin embargo, muchas de las herramientas que emplean las empresas aportan funcionalidad de forma orgnica, al ir creando nuevos mdulos para el dispositivo original. El caso es que ni los mdulos, ni el hardware sobre el que operan, han sido diseados expresamente para analizar y clasificar el trfico de aplicaciones de alta velocidad, por lo que la simple activacin de los mismos afecta notablemente al rendimiento de los dispositivos, pudiendo provocar problemas de disponibilidad en la red.

Requisito fundamental: Identificacin y control de las aplicacionesEl trfico que generan las aplicaciones (web o de otro tipo) abarca la mayor parte del trnsito que se produce en una red corporativa. Dada la proliferacin generalizada de aplicaciones web y dems aplicaciones y protocolos, cules son las nuevas funciones que necesita un firewall para mejorar el control y la supervisin del trfico? En primer lugar, el firewall ha de ser capaz de identificar las caractersticas principales de las aplicaciones que se utilizan ms all de los puertos TCP y UDP. Por ejemplo, la aplicacin de acceso remoto Secure Shell (SSH) suele utilizar el puerto TCP 22, aunque con una simple manipulacin se pueden puentear los con-troles de acceso basados en puerto y crear un tnel cifrado. Cada vez son ms las variantes de malware que usan HTTP y HTTPS en sus canales de control y mando, como ya dijimos anteriormente. En un informe de SANS titulado Anlisis de un bot HTTP sencillo, Daryl Ashley describe el comportamiento de un bot HTTP que utili-za un cifrado sencillo para su lnea de comando. Lo que hace el bot es fijar el encabezado User-Agent en el valor inter easy, tras lo cual recibe un comando cifrado con Base64 que significa reposo:



Otro requisito primordial para la deteccin y el anlisis de las aplicaciones es la capacidad para identificar proxys annimos y dems tcnicas de puenteo. Aparte de para simplemente bloquear aquellos dominios y direcciones IP que alberguen proxys en Internet, un firewall debe servir tambin para identificar herramientas comunes para el acceso remoto como Remote Desktop, proxys como PHProxy y otros, y aplicaciones alojadas como GoToMyPC. Todas estas herramientas dejan firmas fciles de identificar si se realiza la inspeccin de las aplicaciones en mayor profundidad. Asimismo, existen muchas aplicaciones comerciales legtimas con determinadas funciones que deberan ser desactivadas por motivos de seguridad. Supongamos una empresa que utiliza WebEx para hacer reuniones online con sus empleados, socios y proveedores. Pues bien, aunque la funcionalidad estndar es perfectamente legtima y su uso est permitido, la opcin WebEx Desktop Sharing puede dejar va libre para que cualquier persona presente en la reunin acceda a informacin confidencial alojada en el sistema o, an peor, para que algn programa de malware la deje activada de forma clandestina. Los controles de seguridad de la red han de estar preparados para diferenciar las distintas funciones de WebEx y decidir cules estn permitidas y cules no.

Por ltimo, los nuevos firewall han de servir para la deteccin del malware que puede circular escondido entre las funciones aprobadas de las aplicaciones. Por ejemplo, SharePoint de Microsoft facilita el intercambio sencillo de documentos con los protocolos HTTPS y CIFS, y estos pueden verse infectados por malware. Por eso, el firewall ha de ser capaz de detectar y bloquear la transferencia de documentos sin tener que recurrir a tecnologas de seguridad basadas en red, las cuales solo aumentan la complejidad y el mantenimiento del entorno.

Requisito fundamental: visibilidad del trfico cifrado y desconocidoUno de los requisitos imprescindibles para garantizar la seguridad de la red en este momento es la inspeccin del trfico cifrado sin que ello merme el rendimiento de la red. Aunque muchas empresas ya estn utilizando sistemas de control del trfico por SSL (desde proxys y balanceadores de carga hasta dispositivos especializados para firewall y dems sistemas), estas herramientas no suelen aplicar las polticas de seguridad ni inspeccionar ni analizar el trfico en profundidad. El trfico SSL representa entre el 15% y el 50% del trfico que se genera en la empresa; trfico seguro para la recepcin y envo de datos sin correr riesgos de robo o prdida.

Sin embargo, el uso de SSL tambin supone una carencia patente para los equipos de seguridad: la incapacidad de inspeccionar y analizar ese trfico en busca de amenazas. Los delincuentes ms avezados lo saben, y eso explica la enorme proliferacin de canales de control y mando que usan HTTPS. Existe la sospecha generalizada de que la informacin sustrada en algunos de los robos ms sonados hasta la fecha (Heartland Payments y TJX, por ejemplo) se extrajo a travs de canales cifrados para evitar la deteccin. Los firewall deben servir para descifrar e inspeccionar en nativo todo el trfico SSL cualquiera que sean los puertos en uso (pues aunque se suele emplear el puerto TCP 443, se puede cambiar fcilmente). Una vez descifrado, se ha de someter el trfico al anlisis en profundidad segn la poltica corporativa, poniendo especial atencin a la bsqueda de filtraciones y canales de comunicacin de malware. El trfico que generan las aplicaciones es cada vez ms complejo, pero los firewall apenas acaban de salir del modelo clsico de negacin por omisin que ha caracterizado las ltimas dcadas. Este modelo funciona por medio de una lista blanca en la que se registra todo el trfico permitido y que descarta todo lo dems. Se trata de un modelo que, en teora, bloquea la entrada y salida de cualquier amenaza desconocida. Pero la realidad demuestra que se trata tambin de un modelo anticuado, pues ya no sirve al usar las capas OSI 3 y 4, en las que las direcciones IP y los puertos TCP y UDP definen lo que es aceptable y lo que no lo es. La capacidad de inspeccin de los firewall ha de ampliarse mucho ms an con el fin de analizar e identificar el trfico antes de incluirlo en la lista blanca. Esto afecta a las aplicaciones hechas a medida, a la mayora de las aplicaciones comerciales y a conocidos servicios y protocolos como DNS y FTP, pues todos dejan un tipo de firma muy particular que se puede usar para clasificar y distribuir el trfico legtimo.

Dada la cantidad creciente de aplicaciones web totales y multifuncionales, un firewall est forzado a evaluar distintos tipos de trfico y a usar casos durante las mismas sesiones iniciadas por los mismos usuarios. Por ejemplo, un usuario de Gmail puede iniciar una llamada Google Talk por VoIP y al mismo tiempo mantener una charla en Google Chat, y ambas funciones figurarn para el navegador en el contexto de una nica sesin online. Para un firewall tradicional, todo esto es el mismo tipo de trfico HTTP o HTTPS dirigido a los servidores de Google. Sin embargo, se trata de dos tipos de comunicacin muy diferentes que posiblemente requieran distintos anlisis en poltica de seguridad, as que el firewall debe servir para distinguir entre ambos tipos y aplicar despus la poltica adecuada.



Finalmente, el firewall tambin debe ser capaz de aplicar tcnicas analticas de inspeccin en profundidad para todos los usuarios, tanto para los que se encuentran en la sede como los que acceden a travs de VPN u otra aplicacin de acceso a distancia. Al aumentar la movilidad de la mano de obra, cada vez son ms los empleados que se conectan a la red corporativa desde aeropuertos, cafs o desde sus hogares. Para estos casos, se pueden disear polticas corporativas en las que se permita que un empleado pueda usar determinadas aplicaciones solo cuando se encuentre fuera de la oficina, por lo que el firewall deber servir para analizar el trfico de conexin a distancia, autorizar el que sea de carcter corporativo y descartar el que no lo sea.

Requisito fundamental: rendimiento y eficacia operativaLos departamentos de IT se encuentran ms presionados cada da, con ms tareas y responsabilidades derivadas de las reducciones de personal y los recortes de presupuesto. Desde un punto de vista operativo, no resulta prctica la adicin de ms herramientas y controles de seguridad a una infraestructura que ya resulta suficientemente compleja. A menudo, las nuevas herramientas son instaladas con una configuracin bsica por el fabricante, y no pasa mucho tiempo antes de que el equipo operativo incurra en retrasos a la hora de actualizar y ajustar dichas herramientas. Y adems se trata de herramientas de muy difcil configuracin y mantenimiento, por lo que suelen producirse errores que repercuten en problemas de disponibilidad o de saturacin del trfico.

Por desgracia, dada la rapidez a la que evoluciona el panorama de amenazas, los equipos de seguridad y redes han de estar ms alerta cada da, y necesitan herramientas que les ayuden a identificar y controlar TODO el trfico que circula por su entorno. Pero no parece probable que la clasificacin de las aplicaciones y del trfico que generan vaya a convertirse en una prioridad sin ayuda, lo cual indica que los dispositivos de filtrado han de facilitar y simplificar el diseo de polticas y su aplicacin con flexibilidad.

Tampoco conviene olvidar que la adicin de funciones de inspeccin para aplicaciones no debe afectar a la circulacin del trfico de entrada y salida. Al generalizarse entre las empresas el uso de redes de 10 GB, se necesitan productos de filtrado en lnea que realicen las tareas de inspeccin, cada vez ms complejas y sofisticadas, a la misma velocidad a la que circula el trfico y en varios interfaces al mismo tiempo.

ConclusinLos firewall de ayer estn perdiendo rpidamente la capacidad defensiva frente a las amenazas modernas. Dada la proliferacin de ataques web, la sofisticacin del malware que usa protocolos de alto volumen y el riesgo cada vez mayor de filtraciones, se necesitan soluciones de filtrado para redes que estn a la altura. Y sin la capacidad para escrutar e identificar diversos tipos de trfico de aplicaciones, se trata de una batalla perdida. Existe demasiado trfico, demasiadas aplicaciones y muy poca tolerancia a los recortes de rendimiento como para que sigamos aadiendo dispositivos y mdulos de software que nos ayuden a analizar el trfico. Y por si fuera poco, los departamentos de seguridad y redes se encuentran con el agua al cuello en cuanto a tareas y responsabilidades, as que cada nueva herramienta supone una inversin en tiempo de formacin que debiera dedicarse al diseo de polticas, actualizaciones y dems tareas que requieren cierta regularidad. La nueva generacin de herramientas de filtrado para redes habr de reunir todas estas funciones y algunas ms que allanen el terreno para la construccin de una arquitectura segura que resulte ms eficaz y fcil de administrar que la actual.

Acerca de IANSIANS es lder en la realizacin de informes de seguridad a travs de sus departamentos de investigacin y consultora. A travs de la interactuacin entre el personal de IANS y el usuario final, IANS asesora a sus clientes en materia de seguridad, gestin de riesgos y homologaciones. IANS fomenta decisiones tcnicas y administrativas mejores y ms rpidas gracias a la asesora a travs de la experiencia.

1 http://www.team-cymru.com/ReadingRoom/Whitepapers/2008/http-botnets.pdf

2 http://www.securelist.com/en/analysis/204792131/TDSS#9

3 http://www.sans.org/reading_room/whitepapers/malicious/analysis-simple-http-bot_33573

Revolucin, no evolucin

Existe demasiado trfico, demasiadas aplica-

ciones y muy poca tolerancia a los recortes de

rendimiento como para que sigamos aadi-

endo dispositivos y mdulos de software que

nos ayuden a analizar el trfico.



Contenidos

Introduccin 9

Factores a tener en cuenta sobre el modelo de seguridad y la arquitectura. El trfico se clasifica mejor en el firewall 10

10 funciones que debe tener su nuevo firewall 11

Un firewall debe facilitar las aplicaciones y el negocio 14

Uso del proceso RFP para elegir un firewall de nueva generacin 15

Factores a tener en cuenta sobre la arquitectura del firewall y el modelo de control 15

Prevencin de amenazas 17

Controles de seguridad para el acceso a distancia 17

Administracin 18

Rendimiento 18

Ms factores a tener en cuenta sobre RFP 18

Evaluacin formal de los firewall de nueva generacin 19

Visibilidad y control de las aplicaciones 19

Prevencin de amenazas 20

Controles de seguridad para el acceso a distancia 20

Administracin 21

Rendimiento con servicios habilitados 21

Otras factores a tener en cuenta para la evaluacin 21

Cmo activar aplicaciones con seguridad en un firewall de nueva generacin 21



Introduccin

Gran parte de los esfuerzos realizados en materia de seguridad de redes estn dirigidos a lograr mtodos fiables de visibilidad y control de las aplicaciones. La razn es evidente: las aplicaciones eluden con cierta facilidad los firewall basado/s en puerto tradicionales. Y las ventajas tambin: los trabajadores utilizan cualquier aplicacin que les facilite su trabajo, y no se paran a pensar en los riesgos potenciales que supone para la empresa. Casi todos los fabricantes de sistemas de seguridad para redes coinciden en sealar que el control de las aplicaciones es cada vez ms importante. Aunque como bien dice Gartner, un firewall de nueva generacin es un dispositivo nuevo, distinto y orientado a la empresa, muchos fabricantes de sistemas de seguridad insisten en destacar que los firewall de nueva generacin son un conjunto de varias funciones(UTM, IPS...). La mayora de los fabricantes tradicionales logran mayor visibilidad y control sobre las aplicaciones al usar un nmero limitado de firmas autorizadas en su IPS u otra base de datos externa. Pero se trata siempre de soluciones mal integradas en un sistema que todava se basa en tecnologa de bloqueo basado en puerto y carece de tecnologa de nueva generacin. En cualquier caso, estos fabricantes han errado al enfocar el problema, pues no se trata de bloquear aplicaciones, sino de activarlas con seguridad. Por desgracia, ofrecen una gran variedad de productos sin conocer realmente el uso que hacen sus clientes de las aplicaciones, por lo que difcilmente pueden garantizar la seguridad de las mismas. Est claro que un firewall de nueva generacin es un tipo de producto diferente y revolucionario, y es tal es inters que ha generado entre las empresas, que los fabricantes de productos tradicionales intentan ahora atraer la atencin de los departamentos de seguridad ofreciendo productos que se parecen a un firewall de nueva generacin.

Definicin: firewall de nueva generacin

Cinco requisitos fundamentales

1. Identificacin de las aplicaciones cualquiera que sea el puerto, protocolo, tctica evasiva o SSL

2. Identificacin de los usuarios cualquiera que sea la direccin IP

3. Proteccin en tiempo real frente a amenazas incrustadas en aplicaciones

4. Visibilidad ptima y supervisin del acceso y la funcionalidad de las aplicaciones

5. Instalacin multi-gigabit en lnea sin mermas de rendimiento

La pregunta ms importante que ha de hacer una empresa interesada en adquirir un firewall de nueva generacin es: servir esta nueva tecnologa para que el departamento de seguridad pueda activar con seguridad las aplicaciones que beneficien a la empresa? Y en mayor profundidad:

n Aumentar la visibilidad del trfico de las aplicaciones?

n Ofrece ms opciones de supervisin aparte de permitir/denegar acceso?

n Ayuda en la prevencin de amenazas?

n No obliga a elegir entre rendimiento o seguridad?

n Servir para reducir costes?

n Facilitar las tareas de administracin?

Si la respuesta a estas preguntas es s, entonces merece la pena dar el paso.

Existen diferencias sustanciales entre un firewall de nueva generacin y un dispositivo de tipo UTM, tanto en trminos corporativos como en trminos de diseo y seguridad. Estas diferencias traen consigo cambios notables en cuanto a las funciones/caractersticas, operaciones y rendimiento, las cuales figuran a continuacin en el apartado 10 funciones que debe tener su nuevo firewall.



Para el diseo del firewall de nueva generacin, los fabricantes han optado por uno de los siguientes planteamientos arquitectura:

1. Convertir el firewall en el primer motor de identificacin y clasificacin de las aplicaciones.

2. Registrar las firmas de las aplicaciones en un motor IPS o similar e incluir este en el firewall basado en puerto.

Ambos modelos sirven para el reconocimiento de aplicaciones, pero con diferentes grados xito, usabilidad y eficacia. Y ambos suponen la asuncin por omisin de una poltica de seguridad: positiva (denegar acceso) o negativa (permitir acceso).

Los firewall funcionan con el modelo positivo de seguridad, tambin llamado de negacin por omisin. Este consiste en que los administradores disean polticas en las que se permite el trfico de determinadas aplicaciones (permitir WebEx, por ejemplo) y se bloquea o deniega el acceso de todo lo dems. Las polticas negativas (bloquear Limewire, por ejemplo) se pueden emplear con este modelo, pero teniendo en cuenta que el final de cualquier poltica de modelo positivo dice, denegar todo lo dems. Como consecuencia de esto, todo el trfico ha de ser clasificado antes de permitir o negar accesos, lo que significa que la visibilidad es total para la activacin segura de las aplicaciones. Otro resultado que conlleva este modelo es que todo el trfico desconocido es bloqueado premeditadamente. En otras palabras, el mejor firewall

de nueva generacin es un firewall.

La mayora de los sistemas de prevencin de intrusos (IPS) funcionan con el modelo negativo de seguridad, que permite el acceso por omisin, lo que significa que se identifica y se bloquea el resto del trfico que circula (amenazas generalmente). Lo que estn haciendo los fabricantes de sistemas tradicionales es aadir la firma de aplicaciones a un motor de tipo IPS y volcarlo despus sobre un firewall basado en puerto tradicional, con lo cual se obtiene un sistema de prevencin de aplicaciones. El control de las aplicaciones se realiza a partir de un modelo negativo; es decir, el control no se lleva a cabo desde el firewall. Consecuencia: solamente se logra ver aquello que se busca, y se permite el acceso del trfico desconocido.

El resto del presente documento se centra en tres apartados diferenciados. En el primero se describen las 10 funciones que debe tener su nuevo firewall, las cuales actan como prueba de la importancia de que la arquitectura y el modelo de control descritos faciliten la identificacin y la activacin segura de las aplicaciones en el firewall. Los otros dos apartados comparten el mismo formato y describen cmo usar esas 10 funciones para elegir el fabricante mediante el proceso de solicitud de presupuesto (RFP) y para evaluar fsicamente la solucin.

Factores a tener en cuenta sobre el modelo de seguridad y la arquitectura. El trfico se clasifica mejor en el firewall



10 funciones que debetener su nuevo firewall

Los criterios para la eleccin de un firewall se engloban en tres reas bsicas: funciones de seguridad, operaciones y rendimiento. Los elementos funcionales de seguridad se corresponden con la eficacia de los controles de seguridad y la capacidad de las empresas para gestionar el riesgo inherente al trfico de aplicaciones por la red. En lo que respecta a las operaciones, la cuestin es en qu consiste la poltica de aplicaciones y cmo se gestiona. La diferencia de rendimiento es muy simple, y se centra en si el firewall realiza las funciones apropiadas a la velocidad adecuada. Aunque cada empresa tiene sus propias prioridades en cada una de estas reas, las 10 funciones que debe tener su nuevo firewall son:

1. Identificacin y control de las aplicaciones en cualquier puerto

2. Identificacin y control de aplicaciones evasivas

3. Descifrado de SSL saliente

4. Identificacin y control de las aplicaciones que comparten un misma conexin

5. Control de las funciones de cada aplicacin

6. Administracin del trfico segn polticas

7. Escaneado en busca de virus y malware en las aplicaciones admitidas

8. Visibilidad y control de las aplicaciones para usuarios remotos

9. Hacer ms sencilla la poltica de seguridad aun aadiendo visibilidad de aplicaciones

10. Igual nivel de rendimiento con el control de aplicaciones activado

Su prximo firewall ha de servir para identificar y controlar las aplicaciones en cualquier puerto y no solo en los estndar (incluidas las aplicaciones que usan HTTP y otros protocolos).

Caso prctico: los desarrolladores de aplicaciones ya no se limitan a los puertos/protocolos/aplicaciones estndar. Cada vez hay ms aplicaciones capaces de operar en puertos alternativos o de saltar de uno a otro (aplicaciones de mensajera instantnea, intercambio de archivos p2p, VOIP). Adems, los usuarios ya saben cmo cambiar de puerto una aplicacin (MS RDP, SSH). Con el fin de garantizar el cumplimiento de la normativa especfica sobre aplicaciones, en la que el puerto va perdiendo importancia, su siguiente firewall ha de partir de la base en la que cualquier aplicacin puede usar cualquier puerto. Este es uno de los cambios fundamentales que se han producido en la tecnologa y que han provocado la aparicin del firewall de nueva generacin. De hecho, este cambio es responsable del declive del firewall basado en puerto tradicional, pues pone de manifiesto la incapacidad para resolver el problema con un modelo de control negativo; puesto que ahora las aplicaciones se pueden desviar a otro puerto, un producto que utilice el modelo negativo tendra que filtrar todas las firmas en docenas de miles de puertos.

Requisitos: simplemente se ha de tener claro que todas las aplicaciones pueden utilizar todos los puertos, y que el siguiente firewall que adquiera deber servir para clasificar el trfico, por aplicaciones, en todos los puertos y en todo momento. Esta clasificacin permanente es el requisito general de ahora en adelante, pues es la diferencia fundamental con respecto a los controles basado/s en puerto y la manera de acabar con las amenazas tradicionales.

Su prximo firewall ha de servir para identificar y controlar aplicaciones evasivas: proxys y aplicaciones encriptadas y sin VPN de acceso remoto.

Caso prctico: la mayora de las empresas tienen su propia poltica de seguridad y sus propios controles para garantizar el cumplimiento de la misma. Los proxys y las aplicaciones encriptadas y de acceso remoto se usan expresamente para eludir controles de seguridad a travs de firewall, filtrado por URL, IPS y puertas web seguras. Sin la capacidad para controlar estas aplicaciones evasivas, la empresa es incapaz de garantizar el cumplimiento de su poltica de seguridad, y queda de nuevo expuesta a las amenazas que crea controladas. En otras palabras, las aplicaciones de este tipo no son iguales entre s: las aplicaciones de acceso a distancia tienen usos legtimos, al igual que algunas aplicaciones de tnel cifrado.

1.

2.



En cambio, los proxys annimos externos que se comunican a travs de SSL en puertos elegidos aleatoriamente, o las aplicaciones como Ultrasurf y Tor, tienen un nico objetivo: evadir los controles de seguridad.

Requisitos: existen varios tipos de aplicaciones de evasin, cada uno con sus respectivas tcnicas. Existen proxys externos, tanto pblicos como privados (ver lista completa en proxy.org), que se comunican a travs de HTTP y HTTPS. Los proxys privados se suelen configurar con direcciones IP desclasificadas (ordenadores domsticos, por ejemplo) con aplicaciones como PHProxy o CGIProxy. Las aplicaciones para el acceso a distancia como MS RDP o GoToMyPC pueden tener uso legtimo, pero dado el riesgo que conlleva, conviene gestionarlas igualmente. El resto de aplicaciones evasivas (Ultrasurf, Tor, Hamachi, etc.) carecen de uso comercial. Cualquiera que sea la poltica de su empresa, el prximo firewall ha de conocer las tcnicas precisas para tratar este tipo de aplicaciones en cualquier puerto, protocolo, cifrado o dems tcticas evasivas. Una reflexin ms: las aplicaciones con capacidad de evasin se suelen actualizar peridicamente para evitar su deteccin, por lo que no solamente se ha de identificar este tipo de aplicaciones, sino tambin conocer con qu periodicidad se actualiza y se configura la inteligencia de las mismas.

Su prximo firewall ha de servir para descifrar canales SSL de salida.

Caso prctico: Hoy, las aplicaciones que emplean SSL en cualquiera de sus variantes representan el 25% del trfico que circula por las redes corporativas, segn indica el Estudio sobre usos y riesgos de aplicaciones (mayo 2011). En algunos sectores, como en el de servicios financieros, ese porcentaje sube hasta el 50%. Con el uso cada vez ms extendido de HTTPS en las aplicaciones de mayor riesgo (Gmail, Facebook), y la facilidad de los usuarios para forzar el SSL en numerosos sitios web, los departamentos de seguridad se encuentran con un ngulo muerto en el que se ven incapaces de descifrar, clasificar, controlar ni escanear el trfico encriptado con SSL que circula por su red. Un firewall de nueva generacin debe ser suficientemente flexible para que determinados tipos de trfico encriptado con SSL (servicios financieros, servicios de salud) puedan circular libremente mientras otros tipos de trfico sean sometidos a todos los controles que contemple su poltica de seguridad.

Requisitos: la capacidad para descifrar el trfico SSL de salida es fundamental; no solo por el porcentaje que representa, sino tambin porque facilita otras funciones bsicas que quedaran inservibles sin esa cualidad. Las funciones bsicas y el equipamiento que debe incluir un firewall son el reconocimiento y descifrado de SSL en cualquier puerto, control de dicho descifrado, y el hardware y software que se necesitan para descifrar el SSL en docenas de miles de conexiones simultneamente sin merma al rendimiento de la red. Otros requisitos complementarios incluyen el descifrado e inspeccin del trfico SSL de entrada, y la identificacin y control del uso de SSH, tanto para el reenvo por puertos (local, a distancia, x11) como para uso en nativo (SCP, SFTP).

Su prximo firewall ha de identificar y controlar las aplicaciones que comparten la misma conexin.

Caso prctico: las aplicaciones comparten las sesiones. Para asegurarse de que los usuarios utilizan constantemente un nicoandn para acceder a las aplicaciones, ya sea Google, Facebook, Microsoft, Salesforce.com, LinkedIn o Yahoo, los desarrolladores de aplicaciones integran diversas aplicaciones con diversos perfiles de riesgo y valor comercial. Por ejemplo, cuando se usa Gmail, se puede pasar a Google Talk, que es una aplicacin con caractersticas completamente diferentes, as que su prximo firewall ha de ser capaz de reconocer ese paso y activar la poltica de seguridad correspondiente en cada caso.

Requisitos: la clasificacin simple de la plataforma o el sitio web de la aplicacin no sirve. En otras palabras, no conviene tomar atajos, pues la clasificacin esttica no sirve para ordenar las aplicaciones que comparten una misma sesin. Se ha de evaluar el trfico constantemente para comprender el funcionamiento de cada aplicacin y los cambios que se producen (vase el punto 5) al pasar de una a otra durante una misma sesin, y aplicar los controles correspondientes. Por ejemplo, en el ejemplo anterior con Gmail/Google Talk: por omisin, Gmail utiliza HTTPS (vase el punto 3), as que se ha de descifrar todo el trfico continuamente, pues el usuario puede abrir en cualquier momento una funcin paralela que tenga sus propias directrices en la poltica de seguridad corporativa.

3.

4.



Su prximo firewall ha de servir para controlar cada una de las funciones de cada aplicacin (es decir, SharePoint Admin vs. SharePoint Docs).

Caso prctico: son muchas las aplicaciones que ofrecen funciones muy diferentes entre s y que suponen distintos riesgos y beneficios, tanto para el usuario como para la empresa. Buenos ejemplos de estas aplicaciones son: WebEx y su funcin WebEx Desktop Sharing; Yahoo Instant Messaging y la funcin para la transferencia de archivos; y la funcin de Gmail para el envo de archivos adjuntos. Tanto en entornos regulados como en aquellas empresas que dependen directamente de la propiedad intelectual, esto supone un problema grave.

Requisitos: clasificacin continua y estudio pormenorizado de cada aplicacin. Su prximo firewall ha de evaluar continuamente el trfico en busca de cambios; si aparece una nueva funcin dentro de una sesin, el firewall ha de detectarla y examinarla de acuerdo a la poltica de seguridad. Conocer bien las distintas funciones de cada aplicacin, as como los distintos riesgos inherentes a cada una de ellas, es tambin fundamental. Desafortunadamente, muchos firewall hoy en da clasifican el trfico una vez y, a partir de ese momento, le dejan va libre (es decir, no vuelven a revisarlo) para que no merme el rendimiento de la red.

Su prximo firewall ha de manejar el trfico desconocido siempre de acuerdo a su poltica de seguridad.

Caso prctico: siempre va a circular trfico desconocido y este siempre va a suponer un riesgo considerable para la empresa. Existen tres puntos fundamentales a cumplir para aliviar el riesgo que entraa el trfico desconocido, y consisten en limitarlo al mximo, caracterizar de forma sencilla las aplicaciones a medida (de forma que se identifiquen como trfico conocido en la poltica de seguridad, y lograr una visibilidad y un control absoluto del trfico que permanece como desconocido.

Requisitos: en primer lugar, y por omisin, su prximo firewall ha de intentar clasificar todo el trfico que circula por la red, y aqu cobra importancia el apartado anterior sobre arquitectura y seguridad de la red. En primer lugar, los modelos positivos (prohibicin por omisin) lo clasifican todo, mientras que los modelos negativos (permiso por omisin) solo clasifican aquello que se les indica. En segundo lugar, cuando se trata de aplicaciones desarrolladas a medida, se ha de encontrar una forma de desarrollar tambin una identificacin a medida, de forma que el trfico que genere se reconozca como conocido. Por ltimo, y volviendo al modelo de seguridad, con un modelo positivo se deniega el acceso a todo

el trfico desconocido (se logra inmunidad ante lo desconocido), mientras que con un modelo negativo se da acceso a todo el trfico desconocido (se muestra vulnerabilidad).

Por ejemplo, muchas botnet usan el puerto 53 (DNS) para comunicarse con sus servidores de control. Si su prximo firewall no es capaz de ver y controlar todo el trfico desconocido, estar dejando va libre a la entrada de bots.

Su prximo firewall ha de escanear la red en busca de amenazas implcitas a las aplicaciones de intercambio (SharePoint, Box.net, Microsoft Office Live).

Caso prctico: las empresas siguen adoptando aplicaciones de intercambio alojadas fuera de su entorno local. Ya sea SharePoint, Box.net, Google Docs o Microsoft Office

Live, o incluso una aplicacin de la extranet alojada en el servidor de un socio, las empresas estn obligadas a usar aplicaciones de intercambio que entraan un riesgo notable para la red corporativa. Dentro de estas aplicaciones de intercambio se almacenan multitud de documentos infectados junto a multitud de documentos sensibles (datos personales de los usuarios, por ejemplo). Por otro lado, algunas de estas aplicaciones (SharePoint, por ejemplo) funcionan a base de tecnologas de apoyo que suelen ser objeto de numerosos ataques (IIS, SQL Server). Bloquear este tipo de aplicaciones no es la solucin, pero tampoco lo es permitir ciegamente el uso de las mismas dado el riesgo (potencial) que suponen.

Requisitos: para permitir el uso de este tipo de aplicaciones se ha de realizar antes una revisin bien a fondo de las mismas en busca de amenazas. Se trata de aplicaciones que se comunican a travs de numerosos protocolos (SharePoint usa CIFS y HTTPS, por ejemplo) y, por tanto, precisan de una poltica que vaya ms all del simple bloqueo. En primer lugar se han de identificar las aplicaciones (cualquiera que sea el puerto o el mtodo de cifrado) y, a continuacin, permitir el acceso y revisarlas en busca de posibles riesgos y amenazas (virus, malware, spyware o informacin sensible, legislada o confidencial).

Su prximo firewall ha de facilitar la misma visibilidad y control tanto para los usuarios presentes en la oficina como para los que acceden a distancia.

Caso prctico: cada vez son ms los usuarios que acceden a a distancia a sus redes corporativas. Ya sea desde un caf, desde casa o desde una tienda, los usuarios se conectan a travs de WiFi

5.

6.

7.

8.

Cmo dar permisos con seguridad

Para no correr riesgos al permitir el uso de

ciertas tecnologasy aplicaciones para los

fines comerciales a las que estn destinadas,

los departamentos de seguridad han de

adecuar la poltica de seguridad que gobierna

su uso, pero tambin los controles que

emplean para ejercer la vigilancia.



o cualquier otro medio disponible. Dondequiera que se encuentre el usuario, o incluso la aplicacin que est utilizando, se han de aplicar los mismos estndares de vigilancia. Si su prximo firewall facilita una buena visibilidad y control sobre el trfico que circula por dentro de las cuatro paredes de la oficina, pero no sobre el exterior, le perder el rastro a gran parte de los riesgos y amenazas.

Requisitos: la teora es muy sencilla, pues se reduce a que su prximo firewall ha de facilitar la misma visibilidad y control sobre todo el trfico con independencia de dnde se encuentre el usuario, dentro o fuera de la oficina. Aunque esto no significa que todas las empresas vayan a compartir la misma poltica de seguridad en ambos casos: a algunas les interesar que sus empleados tengan acceso a Skype cuando estn de viaje, pero no desde la oficina, mientras a otras quiz les convenga bloquear cualquier descarga desde salesforce.com a cualquier usuario que se encuentre fuera de la oficina y no tenga activada la funcin de cifrado para disco duro. Su prximo firewall ha de ser capaz de hacer esto sin provocar una latencia excesiva para el usuario, ni demasiado trabajo y gasto para la empresa.

Su prximo firewall ha de facilitar la seguridad de la red, no complicarla aadiendo controles.

Caso prctico: muchas empresas se complican la vida al incorporar cada vez ms polticas y fuentes de informacin que suponen cada vez ms trabajo para los ya de por s saturados equipos y procesos de seguridad. En otras palabras: si un equipo apenas da abasto con las tareas que ya tiene asignadas, no sirve de nada seguir dndole tareas, polticas e informacin. Por otro lado, cuanto ms distribuida est la poltica de seguridad (por ejemplo, el firewall basado en puerto controla el trfico del puerto 80, IPS se encarga de buscar/bloquear amenazas, el control de acceso a la navegacin filtra las URL), ms difcil resultar de administrar. Qu hay que hacer para permitir el uso de WebEx? Cmo se resuelve un conflicto de polticas entre distintos dispositivos? Si tenemos en cuenta que la poltica que regula una instalacin tpica de firewall basado en puerto cuenta con miles de reglas, al aadir las firmas de miles de aplicaciones a docenas de miles de puertos (vase el punto 3) solamente se lograr complicar la administracin sobremanera.

Requisitos: la poltica del firewall ha de girar en torno a los usuarios y las aplicaciones. El anlisis consecuente de contenidos se puede realizar sobre el trfico permitido, pero el control bsico de accesos ha de basarse en elementos relevantes (es decir, en las aplicaciones y en los usuarios y grupos). El efecto simplificador que tiene esta variante es notable, pues las polticas de firewall basadas en puerto

y direccin IP, con el consiguiente anlisis de cada aplicacin, hara las cosas an ms complicadas de lo que estn.

Su prximo firewall ha de rendir al mismo nivel al activar el control total para aplicaciones.

Caso prctico: muchas empresas estn obligadas a elegir entre rendimiento y seguridad para sus redes, pues suele ocurrir que, al activar las funciones de seguridad en el entorno de la red, el rendimiento y la capacidad de sta caen notablemente. Si su prximo firewall est fabricado correctamente, no ser necesario sacrificar ni la una ni el otro.

Requisitos: en este caso tambin es evidente la importancia de la arquitectura, aunque de otra forma. Al complementar un firewall basado en puerto tradicional con dems funciones de seguridad de otras tecnologas, inevitablemente se producen redundancias (capas, motores de revisin, polticas) que se traducen en prdidas de rendimiento. En lo que respecta al software, el firewall ha de estar diseado para realizar todas las funciones por s solo. Adems, dado el nivel exigible para realizar tareas intensivas (como la identificacin de las aplicaciones, por ejemplo) en volmenes de trfico denso, y la escasa tolerancia a la latencia que se asocia a las infraestructuras ms crticas, su prximo firewall tambin ha de resultar autnomo en lo que respecta al hardware; es decir, debe ofrecer procesamiento exclusivo para redes, seguridad y escaneado.

Un firewall debe facilitar las aplicaciones y el negocio.

Los usuarios no cesan de adoptar nuevas aplicaciones y tecnologas; as como los riesgos y amenazas asociadas a las mismas. Algunas empresas no pueden permitirse bloquear el acceso a las nuevas tecnologas, pues ello afectara directamente a su crecimiento comercial. Por este motivo, garantizar la seguridad a la hora de adoptar nuevas tecnologas es fundamental, pero para ello los equipos de seguridad han de elaborar las polticas adecuadas y establecer los controles de seguridad oportunos para velar por dichas polticas.

En Las10 funciones que debe tener su prximo firewall se describen los requisitos fundamentales que se han de cumplir en la red de la empresa para poder garantizar la seguridad en el uso de las aplicaciones. Solo queda convertir esos requisitos en medidas a tomar: seleccionar el fabricante adecuado mediante un proceso RFP, evaluar las alternativas y comprar e instalar el firewall de nueva generacin apropiado.

9.

10.



Uso del proceso RFP para elegir un firewall de nueva generacin

Por lo general, para elegir un firewall o cualquier otro componente para la infraestructura de seguridad de la red, las empresas recurren a un RFP para asegurarse de que se cumplen los requisitos especficos en cada caso. Segn Gartner, las condiciones actuales de amenazas tan variables como los propios negocios obligarn a los responsables de seguridad a buscar las funciones de nueva generacin en su prximo ciclo de renovacin. En la misma medida en la que crecen las posibilidades de instalacin deberan crecer los criterios de seleccin RFP para dar cabida a la visibilidad y el control que permiten las alternativas de nueva generacin. En el apartado anterior vimos las 10 funciones que debe reunir su prximo firewall. En esta veremos cmo convertir esos requisitos en herramientas que nos sirvan para identificar y elegir un firewall de nueva generacin.

Factores a tener en cuenta sobre la arquitectura del firewall y el modelo de control Son muchos los factores a tener en cuenta a la hora de evaluar la eficacia con la que un fabricante puede dar ms visibilidad y control a un firewall. La arquitectura del firewall, concretamente el motor de clasificacin, es la que dictamina la efectividad con la que se identifican y se controlan las aplicaciones, no solo los puertos y los protocolos. Como ya dijimos antes, lo primero para lo que debe servir un firewall de cualquier tipo es para determinar con precisin el tipo de trfico que circula por la red y usarlo como base sobre la cual tomar todas las decisiones sobre seguridad.

En este modelo, las polticas de firewall suelen ser de control positivo (se bloquea toda aquella aplicacin que no haya sido autorizada previamente). Con un modelo positivo se pueden controlar y habilitar las aplicaciones, lo cual es fundamental para satisfacer las actuales necesidades de conectividad permanente. La derivacin hacia elementos tipo IPS de bsqueda de aplicaciones implica el uso del modelo negativo (se habilita toda aquella aplicacin que el IPS no haya bloqueado previamente). Con un modelo negativo lo nico que se puede hacer es bloquear las aplicaciones. Las diferencias entre un modelo y otro son parecidas a lo que ocurre cuando se enciende la luz en una habitacin para ver y controlar todo (positivo) o se usa una linterna para ver y controlar solamente aquello que se alumbra (negativo). Este complemento de identificacin y bloqueo del trfico nocivo no es ms que un parche que se ha diseado para observar nicamente una porcin del trfico para no mermar el rendimiento de la red, y adems no basta para abarcar la enorme cantidad de amenazas y aplicaciones disponibles.

Visibilidad o control de las aplicacionesEl proceso RFP ha de facilitar las pautas sobre las que la arquitectura del firewall facilitar la visibilidad y el control del amplio espectro de aplicaciones que se usan en la empresa, sean para uso profesional o personal, as como de todos los protocolos cualquiera que sea el puerto, cifrado SSL o dems mtodos evasivos que se empleen. A continuacin figuran las preguntas y fundamentos propios de un RFP sobre firewall de nueva generacin.

n Muchas aplicaciones eluden los controles de seguridad por medio de puertos alternativos, saltando de uno a otro, o a base de configuraciones trucadas. Conviene determinar si la identificacin de las aplicaciones se va a realizar o no en funcin de los puertos de las aplicaciones. Dependen todas las firmas de un mismo puerto o nmero de puertos, o se aplican automticamente a todos los puertos y en todo momento?

n Al alcanzar el dispositivo por primera vez, se clasifica el trfico en funcin del puerto (si se trata del puerto 80, entonces es HTTP) o la aplicacin (esto es Gmail)?

n Se ha de hacer una descripcin pormenorizada de cmo el firewall va a identificar las aplicaciones. Solamente en funcin de las firmas o se van a usar otros elementos tales como descodificadores o mtodos heursticos?

n Qu mecanismos se emplean para detectar aplicaciones evasivas del tipo UltraSurf o P2P cifrado?

n La identificacin de las aplicaciones, se realiza directamente en el firewall o mediante un proceso secundario posterior a la clasificacin por puerto?

n Cules son las tres ventajas principales del enfoque de arquitectura?

n Se lleva un seguimiento del estado de cada aplicacin? Y en ese caso, cmo se emplea para garantizar el control? Dar tres ejemplos de cmo se usa el estado de las aplicaciones en el control de la red.

n Se basa la poltica de seguridad en la identidad de las aplicaciones, o es el control de las aplicaciones un elemento secundario?

n Con qu frecuencia se actualiza la base de datos de aplicaciones? Se actualiza de forma dinmica o cada vez que se reinicia el sistema?



Cmo controlar aplicaciones evasivas, SSL y SSHSon muchas las aplicaciones que sirven para eludir los controles de seguridad. Algunas, como los proxys externos y los tneles cifrados, estn diseadas especficamente para lograr dicho objetivo. Otras, como las que dan acceso al escritorio a distancia, han evolucionado hasta quedar al alcance de usuarios ajenos a los departamentos de IT y seguridad para eludir los controles de seguridad.

Como medida de proteccin, SSL se est convirtiendo en el tipo de configuracin estndar para los desarrolladores, pero el problema surge cuando se usa SSL para enmascarar amenazas de entrada o transferencias de salida. En cualquiera de los dos casos, es importante determinar de qu forma gestionan los fabricantes potenciales este tipo de aplicaciones. Los datos obtenidos en nuestro Informe sobre uso y riesgos de aplicaciones (mayo 2011) muestran que el 25% de las aplicaciones analizadas pueden funcionar en SSL de alguna manera u otra. A continuacin figuran las preguntas y fundamentos propios de un RFP sobre firewall de nueva generacin.

n Descripcin del proceso mediante el cual se identifican las aplicaciones y los protocolos en todos los puertos, no solo en los estndar.

n Qu mecanismos se emplean para identificar las aplicaciones eminentemente evasivas como UltraSurf o Tor?

n Descripcin de cmo identifica el producto automticamente aplicacin evasiva si usa un puerto alternativo.

n Qu controles existen para descifrar, inspeccionar y controlar de forma selectiva las aplicaciones que usan SSL?

n Hay posibilidad de realizar identificaciones, descifrados e inspecciones bidireccionales?

n La funcin para descifrar SSL, se incluye de serie o tiene algn coste adicional? Se necesita algn dispositivo especfico?

n SSH es la herramienta ms utilizada por los empleados de IT y servicio tcnico para acceder a los equipos a distancia.

n Tiene funciones de control SSH? En qu grado?

Cmo habilitar aplicaciones desde el manejo de la poltica Dada la necesidad actual de estar permanentemente conectados, el control de las aplicaciones no solo consiste en permitir o denegar su uso, sino en averiguar cmo habilitarlas de manera que mejoren

el negocio. Muchas plataformas (Google, Facebook, Microsoft) habilitan diversas aplicaciones cuando el usuario se registra, por lo que es imprescindible determinar de qu forma evala cada producto el estado de las aplicaciones en busca de cambios y, ms importante an, si la clasificacin se realiza correctamente. A continuacin figuran las preguntas y fundamentos propios de un RFP sobre firewall de nueva generacin.

n Descripcin de cmo la jerarquizacin de la base de datos (plana, multinivel y dems) expone las funciones dentro de la aplicacin maestra para facilitar la habilitacin granular.

n Se realiza la clasificacin del trfico antes de la identificacin de las aplicaciones? En ese caso, describir de qu forma, tras identificarse la aplicacin, se revisa el estado de la misma y cmo se usa.

n Descripcin de los niveles de control que se pueden ejercer sobre cada aplicacin y sus correspondientes funciones:

n Permitir:

n Permitir en funcin de la aplicacin, sus funciones, categora, tecnologa y factor de riesgo;

n Permitir segn calendario, usuario, grupo, puerto;

n Permitir y revisar en busca de virus, spyware, descargas ocultas;

n Permitir con calidad de servicio;

n Denegar.

n Es posible implantar en la base de datos los controles por puerto para todas las aplicaciones de manera que el administrador pueda, por ejemplo, obligar a los desarrolladores de Oracle a usar un puerto o tipo especfico?

n Listado de los repositorios con los que cuenta la empresa para el control de usuarios.

n Dispone de API para la integracin alternativa o a medida de los repositorios?

n Descripcin de cmo se implantan los controles segn polticas para cada usuario o grupo en entornos Terminal Server.

Cmo facilitar el negocio

Dada la necesidad actual de estar perma-

nentemente conectados, el control de las

aplicaciones no solo consiste en permitir o

denegar su uso, sino en averiguar cmo ha-

bilitarlas de manera que mejoren el negocio.



Administracin sistemtica de las aplicaciones desconocidasEn las redes siempre va a circular una porcin de trfico desconocido. Este puede provenir de alguna aplicacin interna hecha a medida, pero tambin de aplicaciones comerciales sin identificar o, peor an, de algn programa nocivo. La clave para evaluar y determinar a travs de un RFP el trfico desconocido pasa por averiguar de qu forma el firewall permite a los usuarios administrar sistemticamente dicho trfico, pues en l radican los riesgos de seguridad y comerciales. A continuacin figuran las preguntas y fundamentos propios de un RFP sobre firewall de nueva generacin.

n Especificar de qu forma se identifica y se administra el trfico desconocido.

n Qu acciones se pueden realizar (permitir, denegar, inspeccionar, dar forma, etc.) sobre el trfico desconocido?

n Descripcin de los mtodos ms recomendados para administrar el trfico de aplicaciones desconocido?

n Se pueden crear firmas de aplicaciones a medida?

n Cul es el proceso a seguir para enviar solicitudes de renovacin o actualizacin de firmas?

n Tras enviarse una aplicacin, cul es el tiempo de respuesta (SLA)?

n Qu mecanismos de respuesta existen en el supuesto en el que se identifique el trfico desconocido como cdigo nocivo?

Prevencin de amenazasLas amenazas van asociadas a numerosas aplicaciones tanto en forma de vector infeccioso como de comando en dispositivos infectados. Por este motivo, los analistas recomiendan una y otra vez que las empresas consoliden sus tecnologas IPS y de prevencin de riesgos como parte del firewall de nueva generacin. A continuacin figuran las preguntas y fundamentos propios de un RFP sobre firewall de nueva generacin.

n Descripcin de todos los mecanismos de prevencin de amenazas en uso (IPS, anti-malware, filtro URL, prevencin de prdida de datos, etc.).

n Qu tipo de licencias tienen dichos mecanismos?

n Descripcin de los mecanismos de prevencin desarrollados de forma interna y los obtenidos a travs de terceros.

n Cmo se previenen las amenazas que circulan por puertos alternativos?

n Los datos de identidad de las aplicaciones se encuentran integrados por medio de tecnologas preventivas? Si es as, describir el grado de integracin.

n Descripcin de las disciplinas preventivas (IPS, AV, etc.) se aplican en funcin del puerto y cules

en funcin de la aplicacin.

n Puede el motor de prevencin escanear contenido comprimido (ZIP o GZIP)?

n Puede el motor de prevencin escanear contenido cifrado (SSL)?

n Descripcin de cmo se controlan las vulnerabilidades y el malware desconocidos.

n Descripcin del proceso de investigacin y desarrollo del mecanismo preventivo.

n Listado de las amenazas identificadas en los ltimos 12 meses.

Controles de seguridad para el acceso a distancia Los usuarios de redes modernas dan por hecha la posibilidad de conectarse y trabajar desde cualquier lugar ms all del permetro tradicional de las mismas. Es preciso garantizar la seguridad de estos usuarios, por lo que hay que determinar las funciones disponibles para lograrlo y la manera en la que difieren de las funciones propias de la red fsica. A continuacin figuran las preguntas y fundamentos propios de un RFP sobre firewall de nueva generacin.

n Descripcin al detalle de las opciones disponibles para proteger los accesos a distancia e indicar todos los componentes que se necesitan.

n Al incluir un componente cliente, cmo se distribuye?

n Cuntos usuarios se pueden proteger simultneamente?

n Se trata de un producto transparente para el cliente?

n Descripcin de cmo se garantiza el rendimiento para los usuarios a distancia.



n Descripcin de cmo se implanta el control para los usuarios a distancia (en la poltica del firewall, en una poltica aparte, etc.).

n Listado de todas las funciones y medios de proteccin disponibles (SSL, control de aplicaciones, IPS, etc.).

Administracin La administracin juega un papel fundamental a la hora de garantizar la seguridad de una red. Uno de los objetivos que se han de lograr al cambiar a un firewall de nueva generacin es la simplificacin de los mecanismos de seguridad, lo cual solo es posible si se aumenta la visibilidad y el control de las aplicaciones. A continuacin figuran las preguntas y fundamentos propios de un RFP sobre firewall de nueva generacin.

n Se necesita un servidor o dispositivo extra para la administracin del firewall?

n Descripcin de las opciones de administracin disponibles: CLI, navegador, cliente pesado, servidor centralizado.

n Descripcin de las herramientas de visibilidad, adems del visor de accesos, disponibles para ofrecer una imagen ntida de todo el trfico que circula por la red.

n Estas herramientas de visibilidad, se incluyen de serie o tienen algn coste adicional?

n Estas herramientas de visibilidad, estn integradas o se incluyen en otro dispositivo aparte?

n Descripcin al detalle de las tareas y los pasos a tomar para empezar a ver el trfico de aplicaciones en la red.

n Es posible habilitar los controles de la poltica de aplicaciones, los de la poltica de firewall y las funciones de prevencin de amenazas, mediante una nica regla en el editor?

n Descripcin de las funciones de informe y registro. Estn integradas? En ese caso, cul es la merma de rendimiento de la red al habilitar determinadas aplicaciones como BitTorrent. SharePoint y MS-Exchange.

n La funcin de anlisis total, se incluye de serie o tiene algn coste/licencia/dispositivo adicional?

n Hay herramientas de informe disponibles para comprender el uso de la red y resaltar los cambios que se produzcan?

n Se incluye de serie o tiene algn coste/licencia/dispositivo adicional?

n Descripcin de cmo se garantiza la administracin de accesos en los momentos de mayor densidad de trfico.

n Descripcin de la relacin entre los dispositivos individuales y la administracin centralizada de varios dispositivos.

Rendimiento El rendimiento en el mundo real es uno de los aspectos fundamentales a tener en cuenta antes de instalar un sistema de seguridad. El control de las aplicaciones requiere de una inspeccin del trfico ms all del simple firewall basado en puerto y, por tanto, demanda una mayor capacidad de proceso. Si se aade la inspeccin en busca de amenazas a las funciones de seguridad del sistema, solamente se lograr saturar el firewall. Lo ms importante es determinar el rendimiento de la red cuando estn habilitadas todas las funciones de seguridad. A continuacin figuran las preguntas y fundamentos propios de un RFP sobre firewall de nueva generacin.

n Comprobacin del producto: software, servidor OEM o dispositivo integrado.

n Investigacin de la arquitectura del hardware, si se trata de un dispositivo, para confirmar que se aplica la capacidad de procesamiento adecuada para la tarea a realizar. El uso de servidores multifuncionales limita el rendimiento de la red al habilitar los servicios de seguridad.

n Evaluacin del rendimiento en un entorno de pruebas que se asemeje al entorno definitivo del sistema.

n Medicin del caudal.

n Medicin del caudal en una mezcla virtual de trfico con el control de aplicaciones habilitado.

n Medicin del caudal en una mezcla virtual de trfico con el control de aplicaciones habilitado o deshabilitado.

n Medicin del caudal en una mezcla virtual de trfico con el control de aplicaciones y las opciones preventivas habilitadas.

Ms factores a tener en cuenta sobre RFPCada empresa tendr sus propios requisitos incluso ms all de los incluidos en este documento, entre otros: viabilidad de la empresa, referencias de clientes, facilidad de instalacin. A la hora de realizar un RFP se recomienda ser muy sistemtico para lograr de los fabricantes la demostracin de que su oferta contiene realmente la funcionalidad que anuncia.

El rendimiento importa

Lo ms importante es determinar el ren-

dimiento de la red cuando estn habilitadas

todas las funciones de seguridad.



Evaluacin formal de los firewall de nueva generacin

Tras seleccionar mediante un RFP el fabricante o fabricantes finalistas, se ha de evaluar fsicamente el firewall con la ayuda de polticas, objetos y patrones de trfico que se asemejen lo ms posible al entorno real de la empresa. En este apartado se incluyen diversas recomendaciones sobre cmo evaluar fsicamente un firewall de nueva generacin. Esta evaluacin servir para comprobar hasta qu punto se satisfacen los requisitos reales. Tngase en cuenta que las pruebas que aqu se recomiendan conforman una muestra de las funciones exigibles a un firewall de nueva generacin, y que actan como pautas sobre las cuales elaborar una prueba ms meticulosa.

Visibilidad y control de las aplicaciones El objetivo de este apartado es triple. Por un lado, hay que comprobar que el dispositivo que se est probando realiza la clasificacin del trfico segn la identidad de las aplicaciones y no segn el puerto. En segundo lugar, verificar que el dispositivo clasifica las aplicaciones cualquiera que sea el puerto por el que entren, incluso si cambian de puerto o usan puertos alternativos o cualquier otra tctica evasiva. Por ltimo, conviene asegurarse de que la identidad de las aplicaciones se convierte en la base de la poltica del firewall.

Identificacin de las aplicacionesn Confirmacin de que el dispositivo puede identificar diversas

aplicaciones. La mejor forma de comprobarlo es instalando el firewall en modo transparente en la red.

n Confirmacin de que el dispositivo puede identificar el trfico de aplicaciones tanto con herramientas de visibilidad y anlisis de alto nivel como con herramientas de bajo nivel.

n Evaluacin de los pasos a dar para habilitar la identificacin de aplicaciones por primera vez. Cunto se tarda en establecer una poltica y empezar a ver el trfico de aplicaciones? Es preciso dar algn otro paso para aumentar la visibilidad de las aplicaciones que cambian de puerto o usan otros alternativos?

Identificacin de las aplicaciones que cambian de puerto o usan otros alternativos n Verificacin de que el firewall es capaz de identificar y controlar

aplicaciones que entren por puertos distintos a los que tienen asignados por omisin. Por ejemplo, SSH por el puerto 80 y Telnet por el puerto 25.

n Confirmacin de que el firewall es capaz de identificar aplicaciones que pasan de un puerto a otro gracias a aplicaciones como Skype, AIM o aplicaciones P2P.

La identidad de las aplicaciones ha de ser la base de la poltica de firewalln Confirmacin de que al crear la poltica de firewall se toma la

aplicacin y no el puerto como elemento principal. En otras palabras, requiere la poltica de control de aplicaciones de alguna norma basada en puertos? Es el controlador de las aplicaciones un editor de polticas separado?

n Creacin de una poltica para permitir algunas aplicaciones y bloquear otras y verificacin de que las aplicaciones son controladas como cabe esperar.

Identificacin y control de las aplicaciones evasivasn Confirmacin de que el dispositivo en pruebas es capaz de

identificar y controlar una variedad de aplicaciones que se emplean para evadir los controles de seguridad. Entre las aplicaciones de este tipo destacan los proxys externos (PHproxy, Kproxy), aplicaciones de acceso a distancia (RDP, Logmein!, Teamviewer, GotomyPC) y tneles cifrados (Tor, Hamachi, UltraSurf).

n Confirmacin de que cada uno de las aplicaciones evasivas resulta correctamente identificada durante la prueba.

n Verificacin de que todas las aplicaciones evasivas se pueden bloquear, incluso si se encuentran en algn puerto alternativo.

Identificacin y control de las aplicaciones con SSL o SSHCada vez son ms las aplicaciones que usan el cifrado SSL o SSH para usos alternativos. Es preciso evaluar la capacidad del dispositivo para identificar y controlar este tipo de aplicaciones.

n Verificacin de que el dispositivo en pruebas es capaz de identificar y descifrar aplicaciones que emplean cifrado SSL

n Confirmacin de que el dispositivo es capaz de identificar, descifrar y aplicar la poltica de seguridad sobre las aplicaciones descifradas.

n Comprobacin de que la aplicacin descifrada es aceptada, re-cifrada y reenviada.

n Confirmacin de que el descifrado SSL funciona con trfico de entrada y de salida.

n Verificacin de que se identifica el SSH correctamente, cualquiera que sea el puerto.

n Comprobacin de que el control SSH cambia de reenvo de puertos (local, a distancia, x11) a uso en nativo (SCP, SFTP y acceso con shell).



Identificacin y control de aplicaciones que comparten la misma conexin Es preciso tambin determinar que los mecanismos de clasificacin de aplicaciones comprueban constantemente el estado de las mismas en busca de cambios, y ms importante an, que clasifican los cambios correctamente. Muchas plataformas (Google, Facebook, Microsoft) habilitan varias funciones cuando el usuario se registra por primera vez, por lo que es fundamental que el firewall garantice el seguimiento de esos cambios.

n Uso de aplicaciones como Gmail o SharePoint para confirmar que el dispositivo en pruebas identifica correctamente la aplicacin inicial.

n Sin salir de la aplicacin, abrir una nueva funcin (Google Docs, Google Chat, SharePoint Admin, SharePoint Docs) y comprobar que se hace un seguimiento del cambio de estado y se identifica correctamente.

n Validacin del control e inspeccin para las funciones de las aplicaciones.

Control de las funciones de las aplicacionesIgualmente se ha de determinar la capacidad del dispositivo en pruebas para identificar y controlar las funciones especficas de cada aplicacin. El control al nivel funcional es fundamental para habilitar el uso de las aplicaciones sin correr riesgos comerciales o de seguridad. La transferencia de archivos sirve de ejemplo, pero tambin las funciones administrativas, VoIP, correo, blogs y chat contenidas en la aplicacin maestra.

n Confirmacin de que el dispositivo en pruebas ofrece visibilidad sobre toda la jerarqua de la aplicacin (desde la aplicacin bsica hasta las funciones adicionales).

n Verificacin del control de la funcin de transferencia de archivos mediante la identificacin y control de una aplicacin que incluya dicha funcin.

n Confirmacin de la capacidad del dispositivo para bloquear la carga/descarga de archivos segn el tipo de aplicacin y archivo. Es decir, que sea posible evitar que un usuario transfiera un documento mediante una aplicacin de correo web.

Administracin sistemtica del trfico desconocidoTodas las redes tienen siempre una porcin de trfico desconocido, y es preciso comprobar cmo lo administra el dispositivo en pruebas.

n Comprobacin de la visibilidad del trfico desconocido (usuarios, direcciones IP, etc.) y de las funciones de control (permiso, bloqueo, inspeccin, etc.).

n Verificacin, por medio de una aplicacin interna y direcciones IP conocidas, de que el trfico se identifica como desconocido.

n Confirmacin de las opciones disponibles para identificacin y control del trfico desconocido. Se puede renombrar el trfico? Se puede crear un mecanismo de identificacin a medida? Ofrece el fabricante mecanismos de identificacin a medida?

Prevencin de amenazas Para garantizar la seguridad de la red, es igual de importante controlar de forma estricta la exposicin a las amenazas como prevenir las amenazas presentes en el trfico permitido. Se ha de comprobar la capacidad del dispositivo en pruebas para garantizar la seguridad sin mermar el rendimiento en un entorno real caracterizado por amenazas que acceden comprimidas por puertos alternativos.

n Verificacin de que las tcnicas de prevencin de amenazas (filtro de IPS, malware, y contenido) se aplican de forma consistente incluso en los puertos alternativos. Quiere esto decir que el dispositivo en pruebas no solo ha de controlar las aplicaciones que entran por puertos alternativos, sino tambin detener las amenazas que pueden circular por esos mismos puertos.

n Comprobacin de que el dispositivo en pruebas es capaz de detectar malware y archivos sin autorizacin aun comprimidos con ZIP o GZIP.

n Verificacin del rendimiento del dispositivo en pruebas con todas las funciones preventivas habilitadas para garantizar la validez de estas en el entorno real.

Controles de seguridad para el acceso a distanciaEn primer lugar, se ha de averiguar si el dispositivo en pruebas sirve para garantizar los accesos a distancia segn la misma poltica empleada para accesos internos y, en segundo lugar, determinar las tareas de administracin y la complejidad de la instalacin.

n Comprobacin de que el dispositivo sirve para garantizar la seguridad de las accesos a distancia por medio de ms de una conexin SSL VPN.

n Confirmacin de la facilidad de instalacin y administracin mediante la formacin de un grupo de usuarios a distancia.

n Finalizacin de la prueba y supervisin de los accesos a distancia con el visor de accesos.

Reduccin de la superficie de ataque

Para garantizar la seguridad de la red, es

igual de importante controlar de forma

estricta la exposicin a las amenazas como

prevenir las amenazas presentes en el

trfico permitido.



Administracin Se ha de analizar la complejidad administrativa del dispositivo en pruebas y la dificultad (pasos a dar, claridad de la interfaz, etc.) de la tarea a realizar.

n Confirmacin de la metodologa administrativa del dispositivo en pruebas. Se necesita otro servidor para la administracin individual de cada dispositivo? Se puede administrar a travs de un navegador o se necesita un cliente pesado?

n Comprobacin de la disponibilidad de las herramientas de visualizacin mediante el repaso de las aplicaciones, amenazas y direcciones URL de la red.

n Comprobacin de que los controles de seguridad de aplicaciones, controles de firewall y funciones preventivas se pueden habilitar desde un mismo editor.

Rendimiento con los servicios habilitadosEl control de las aplicaciones conlleva una carga de recursos mucho mayor que la propia de un firewall basado en puerto tradicional, por lo que es esencial comprobar que el dispositivo en pruebas rinde convenientemente durante la identificacin y el control de las aplicaciones.

n Comprobacin del producto: software, servidor OEM o dispositivo integrado.

n Investigacin de la arquitectura del hardware, si se trata de un dispositivo, para confirmar que se aplica la capacidad de procesamiento adecuada para la tarea a realizar. El uso de servidores multifuncionales limita el rendimiento de la red al habilitar los servicios de seguridad.

n Evaluacin del rendimiento en un entorno de pruebas que se asemeje al entorno definitivo del sistema.

Otras factores a tener en cuenta para la evaluacinEl proceso de evaluacin y prueba para productos de seguridad de redes vara de una empresa a otra, y normalmente incluir aspectos que van ms all del alcance de este documento. Por ejemplo, la facilidad de instalacin (modo opaco, modo transparente y otros), los servicios de red (capa 2, capa 3, modo mixto) y las funciones de routing (RIP, OSPF, BGP). Para evaluar correctamente un firewall se recomienda elaborar un conjunto de criterios de evaluacin y someter a cada dispositivo a todas las pruebas establecidas. Los resultados se han de documentar de forma que faciliten la decisin final.

Hubo un tiempo en el que ni se hablaba de la posibilidad de uso de aplicaciones externas o personales para el acceso a la red. Pero hoy en da, los empleados estn permanentemente conectados y haciendo uso de aplicaciones en las que mezclan lo personal con lo profesional. Bloquear el uso de este tipo de aplicaciones es igual que bloquear el negocio.

En el apartado 10 funciones que debe tener su prximo firewall queda claro que el mejor sitio para la habilitacin segura de las aplicaciones es el propio firewall. Para ello se emplea la identidad de las aplicaciones y el modelo de control positivo que permite a los administradores definir, segn los intereses de la empresa, qu aplicaciones conviene habilitar y cules conviene denegar. Si se emplean las herramientas incluidas en este documento, queda igualmente claro que es intil intentar lograr la habilitacin segura de las aplicaciones mediante el modelo de control negativo.

Cmo activar aplicaciones con seguridad en un firewall de nueva generacin



Palo Alto Networks es la empresa de seguridad de redes.

Sus firewall de nueva generacin ofrecen una visibilidad y

un control de las aplicaciones y el contenido (por usuario,

no solo por direccin IP) sin precedentes a hasta 20 Gb/s sin

mermas de rendimiento. Gracias a la tecnologa de patente

en trmite App-ID, los firewall de Palo Alto Networks fa-

cilitan la identificacin y el control de las aplicaciones (cual-

quiera que sea el puerto, protocolo, tctica evasiva o cifrado

SSL) y permiten escanear el contenido para prevenir amena-

zas y filtraciones. Las empresas ya pueden adaptarse a la

web 2.0 y conservar una visibilidad y control total, as como

reducir el coste total por propiedad a travs de la consoli-

dacin de sus dispositivos. Palo Alto Networks ha ampliado

recientemente la cobertura de proteccin al garantizar las

conexiones de los usuarios a distancia con el lanzamiento

de GlobalProtect.

Acerca de Palo Alto Networks

Reinventamos la seguridad de redes | www.paloaltonetworks.com

2011 Palo Alto Networks, Inc. Todos los derechos reservados. Palo Alto Networks y el logotipo de Palo Alto Net-works son marcas registradas propiedad de Palo Alto Networks, Inc. Otras empresas y nombres comerciales pudi-eran ser marcas registradas de sus respectivos propietarios. Especificaciones sujetas a cambios sin previo aviso.

Documents

Guia Firewalls