Guia de Dimensionamiento Firewall/UTM

Transcripción

1 UTM Guia de Dimensionamiento Firewall/UTM Guia de Dimensionamiento Firewall/UTM Objetivo EL proposito de esta guia es explicar el criterio necesario para dimensionar firewalls y sistemas UTMs (United Threat Management) para diferentes escenarios. Esta guia es util tanto para integardores como para clientes para que puedan especificar la solucion apropiada para su entorno. La explicacion es teorica pero tambien se utiliza un ejemplo de un cliente con 300 usuarios. Autor Jean-Marc Catalaa Manager, Southern Cone Argentina, Bolivia, Chile, Paraguay, Uruguay VoIP: jmcatalaa@sonicwall.com Revision Revison Fecha Autor Decripcion Jean-Marc Catalaa Revision Inicial 1/12

2 Introduccion Tabla de Contenido INTRODUCCION... 3 QUE ES UN UTM? Y CUAL ES LA DIFERENCIA CON UN FIREWALL?... 3 LA MODALIDAD FIREWALL Y LA MODALIDAD UTM... 3 VALORES REQUERIDOS PARA EL ANALISIS... 3 CONSIDERACION 1: PERFORMANCE... 4 PERFORMANCE DE FIREWALL... 4 PERFORMANCE DE UTM... 4 CONSIDERACION 2: CONEXIONES MAXIMAS CONCURRENTES... 5 CONEXIONES CONCURRENTES POR USUARIO... 5 CONEXIONES CONCURRENTES MAXIMAS DE FIREWALL... 5 CONEXIONES CONCURRENTES MAXIMAS DE UTM... 5 CONSIDERACION 3: TOPOLOGIA... 6 TOPOLOGIA TOTALMENTE PERIMETRAL... 6 TOPOLOGIA CON ZONAS DE SEGURIDAD... 6 MODO TRANSPARENTE (L2B MODE)... 7 L2B, Totalmente Perimetral... 7 L2B Interno... 7 CONSIDERACION 4: OTROS ELEMENTOS... 8 CAMBIOS Y CRECIMIENTO FUTURO... 8 UTM-SSL... 8 FUNCIONALIDADES... 8 SOPORTE... 8 DIMENSIONAMIENTOS RÁPIDOS... 9 EJEMPO PRÁCTICOS EJEMPLO 1: PARA 300 USUARIOS La Guia Rapida Topologia Totalmete Perimetral Topologia con DMZ CONCLUSION Guia de Dimensionamiento Firewall/UTM

3 Introduccion Introduccion Primero se explicaran algunos conceptos utiles para el dimensionamiento de un firewall y/o UTM para un cliente. Que es un UTM? Y cual es la diferencia con un Firewall? En realidad no existe un fuerte diferenciamiento entre firewall y UTM (United Threat Management). UTM es la evolucion natural del firewall donde, ademas de las funcionalidades de firewall, el UTM agrega nuevos servicios. La más importante de esta es la inspeccion profunda de paquetes pero tambien incluye servicios como filtro de contenido y anti-spam. El UTM es capaz de analizar la porcion de data del paquete lo cual contrasta con el firewall cuya inspeccion de estado solo se basa en la inspeccion del estado de los cabezales de los paquetes pero no de la data. La diferencia es analoga a un oficial de policia que verifica si un camion tiene la patente en regla y que el conductor tiene licencia. El UTM es un policia que, ademas, investiga el contenido del camion. El UTM a veces es referido tambien como Firewalls multi-funcionales. Gartner, por ejemplo, usa este nombre para la categoria UTM. Tambien, los terminos descriptos son referidos muchas veces en Ingles como: - Stateful Packet Inspection (SPI): Inspeccion de estado de los paquetes - Deep Packet Inspection (DPI): Inspeccion profunda de los paquetes La inspeccion profunda incluye tres componentes principales: - Anti-Virus en Red: el sistema reconoce la transferencia de archivos con un ptotocolo (web, correo, mensajeria instantanea, etc.) y escaneo los archvos en busqueda de viruses, troyanos y otros tipos de elementos nocivos en el mismo. - Deteccion y Prevecion de Intrusos: esto es conocido en Ingles como IPS (intrusion Prevention Services). El sistema aquí analiza la parte de la data del paquete por ataques conocidos a vulnerabilidades. Incluso, puede reconocer cuando agentes nocivos instalados en las PCs de usuarios se comunican con centro de controles en el Internet. - Anti-Spyware: Anti-spyware es parecido a como opera el IPS. Solo cambia en los componentes que busca como, por ejemplo, codigo nocivo escrito en JavaScript o Active-X que lee el navegador web del usuario. La Modalidad Firewall y la Modalidad UTM En realidad, hoy en dia, la gran mayoria de los vendors tienen UTMs. Lo que cambia es la modalidad en la que se los utilice. Si los servicios estan prendidos es un UTM los servicios estan apagados es un firewall. Como veremos mas adelante el equipo trabaja diferentemente en cada modalidad. Un UTM con todos los servicios apagados es un firewall. Eso dicho, absolutamente todos los firewalls de SonicWALL vendidos hoy en dia son UTMs porque vienen con servicios. Valores Requeridos para el Analisis Linea TZ: Linea NSA: Linea NSA E-Class: 3 Guia de Dimensionamiento Firewall/UTM

4 Consideracion 1: Performance Consideracion 1: Performance Performance de Firewall Es conocido que todos los fabricantes midan sus equipos de la foma más conveniente. Por eso es importante pedir una performance superior a la necesaria. Por ejemplo, la performance de firewal es medida por SonicWALL usando RFC 2544 donde se utilzan paquetes grandes y trafico UDP unidireccional. El valor obtenido es alto pero no contempla, por ejemplo, de que los paquetes que normalmente atravesan la red son una mezcla de paquetes grandes y paquetes pequenos. SonicWALL ademas ofrece la medicion de performace usando IMIX que es una mezcla estándar de paquetes grandes y pequenos. El resultado es que la performance usando IMIX decae entre la mitad o un tercio de la prueba con paquetes grandes. Ademas, la comunicación UDP no requiere una respuesta del receptor (un paquete de ACK) por lo cual es mas eficiente. En situaciones tipicas el trafico es un balance entre trafico TCP y UDP, por lo cual el valor bajaria aun mas. Una regla moderada es de considerar el tráfico real soportado en ser un quinto (1/5) del valor con paquetes grandes UDP. Performance de UTM Cuando al prender los servicios UTM y la modalidad cambie de Firewall a UTM, la performance tambien cambia mucho. La diferencia es que en modo UTM el sistema estara haceindo un analisis mas detallado del trafico, reduciendo la performance. No todos los servicios pesan lo mismo. El filtro de contenido es el más liviano con un pequeño cambio a la performance. La prevencion de intrusos y el anti-spyware tiene un impacto moderado. Mientras que el antivirus en red que escanea y analiza archoivos enviados es el mas intenso y, entonces, elque mas reduce la performance. SonicWALL especifica la performace con 5 opciones - Solo firewall - Firewall + IPS - Firewall + Anti-Virus - UTM = Firewall + IPS + AS + Anti-Virus + Filtro de Contenido Es importante que el cliente especifique la performance necesaria para los servicios qe desee utilizar. En esa consideracion, deberia incluir la regla de que la performancde pedida deberia ser por lo menos 5 veces mayor a la maxima deseada. 4 Guia de Dimensionamiento Firewall/UTM

5 Consideracion 2: Conexiones Maximas Concurrentes Consideracion 2: Conexiones Maximas Concurrentes Conexiones Concurrentes por Usuario Cuando un usuario navega una pagina web, tipicamente utiliza varias conexiones concurrentes. Eso es porque las páginas web son compuestas. Ademas de bajar el HTML y codigo (JavaScript, CSS) embedido en la pagina, las paginas frecuentemente hacen referencias a informacion adicional tales como imágenes, flash, Javascript y CSS stylesheets. Cada referencia abre una nueva conexión hacia el Internet (y a traves del firewall). Ademas, nuevas tecnologias como el AJAX corresponden a programas basados en Javascript embedidas en el HTML que sondean y actualizan la pagina web de forma continua. Por ejemplo, una página de finanzas puede mostrar el precio de actualizacion actual en bolsa de una cuenta mientras este cambia, sin necesidad de intervencion del usuario. Entonces, cuantas conexiones promedio utiliza un usuario? Bueno, la respuesta (no muy querida) es depende. Mientras es bastante seguro asumir que un usuario use tipicamente unas 50 conexiones concurrentes, eso tambien depende si el usario tambien este utilizando ciertas aplicaciones como Skype o BitTorrent que pueden superar las 200 conexiones concurrentes. Ademas, es posible que PCs infectadas puedan estar utilizando muchisimas conexiones concurrentes (enviando spam o atacando otros componenetes en la red). Una estimacion moderada seria de 200 conexiones concurrentes por usuario donde podrian ser más o menos conexiones dependiendo del control que se tiene sobre las mismas. Conexiones Concurrentes Maximas de Firewall Es importante saber que las conexiones concurrentes Conexiones Concurrentes Maximas de UTM 5 Guia de Dimensionamiento Firewall/UTM

6 Consideracion 3: Topologia Consideracion 3: Topologia La topologia en donde se coloque el equipo tambein determina la especificacion del producto. Topologia Totalmente Perimetral El equipo es totalmente perimetral cuando la comuncacion que atraviesa el firewall consiste solamente de tráfico de Internet. En estas circumstancias, el requerimiento de performance no es muy elevado. El ancho de banda no supera la suma de enlaces al Internet ya que cualquier comunicación entr usuarios y entre los usuairos y los servidores no pasa por el firewall/utm. La topologia totalmente perimetral requiere poco ancho de banda pero teambien es menos segura ya que el UTM, al no ver el tráfico, no puede contener problemas de ninguna forma. Topologia con Zonas de Seguridad La zona de seguridad mas conocida es la DMZ. Es una zona que tipicamente los usuarios locales pueden acceder pero esta no puede acceder a los usuarios locales. Colocando la DMZ en una red diferente que la de los usuarios (la LAN), permitira que el UTM pueda escanear ese trafico protegiendo los usarios en la LAN y los servidores en la DMZ. 6 Guia de Dimensionamiento Firewall/UTM

7 Consideracion 3: Topologia Modo Transparente (L2B Mode) L2B, Totalmente Perimetral L2B Interno 7 Guia de Dimensionamiento Firewall/UTM

8 Consideracion 4: Otros Elementos Consideracion 4: Otros Elementos Cambios y Crecimiento Futuro Es importante evaluar la cantidad de usuarios dentro de los sigiuientes 3 annos. UTM-SSL Las conexiones concurrentes donde se decripta y examina trafico SSL varia con el equipo. En SonicWALL esta funcionalidad esta a partir del NSA 240 y cada modelo mas grandes sopora mas conexiones concurrentes de este tipo. Funcionalidades Cantidad de Tuneles VPN Sitio-a-Sitio Cantidad de Clientes VPN (IPSec y SSL-VPN) Disponibilidad Activo/Activo Mejor Soporte SonicPoints soportados Soporte Con los equipos mas grandes es posible qu ese incluya un soporte con tiempo de respuesta mas rapidpo. 8 Guia de Dimensionamiento Firewall/UTM

9 Dimensionamientos Rápidos Dimensionamientos Rápidos A veces uno necesita dar una respuesta rapida. Siempre es importanto condicionar la respuesta a un mejor conocimiento de la necesidad y metas del cliente como de su topologia. Pero, a veces hay que responder sin saber todos los detalles. Para eso se recomienda la sigiuiente tabla donde los usuarios estimados es el valor mas importante. 9 Guia de Dimensionamiento Firewall/UTM

10 Ejempo Prácticos Ejempo Prácticos Ejemplo 1: Para 300 Usuarios Un cliente de 300 personas y requiere reemplazar su firewall por uno de SonicWALL de última generacion. Cual deberia usar? La Guia Rapida La guia rapida para 300 usuarios mostraria a un NSA 3500 como la solucion apropiada. Topologia Totalmete Perimetral Pero, asumiendo de que la cantidad de usuarios se quede en 300, que solo desea utilizar IPS y que la implementacion del UTM es 100% perimetral. La performance de 275 Mbps la cual usando la regla de 5, resulta en 55 Mbps de tráfico real. Esa cantidad es mas que suficiente para caulquier cantidad de WANs en la que se este balanceando trafico. Si se desea predender tambien la funcionalidad anti-virus se bajaria a 32 Mbps, todavia accesptable. Analizando las conexiones concurrentes soportadas, en modo UTM utiliza 125K conexiones. Eso es un equivalente a 400 por usuario. Hasta un calculo conservador opinaria que esa cantidad es suficiente para los 300 usuarios. Seria mas preocupante ver que la cantidad fde conexiones concurrentres fuera inferior a las 200, sin que haya controles sobre las aplicacones usadas. 10 Guia de Dimensionamiento Firewall/UTM

11 Ejempo Prácticos Topologia con DMZ Pero que pasaria si el cliente implementaria una DMZ. Eso incrementaria la cantidad de conexiones concurrentes utilizados por usuariosaunque no por mucho. Conexiones internas son normalmente pocas y controlables. Por otro lado, con una DMZ el firewall ta veria el trafico entre los usuarios y la DMZ. La pregunta obligada seria d ser el trafico de los usuarios hacia la DMZ y hacia la WAN menor de 55 Mbps? Lo que es mas dificil es que a este punto sepueda prender en nti-virus en red ya que la performance real bajaria a 32 Mbps. Si el trafico a la DMZ es elevado como, por ejemplo, todos los usuarios suben y bajan archivos a un servidor en la DMZ, entonces un NSA 3500 es mas recomendable. 11 Guia de Dimensionamiento Firewall/UTM

12 Conclusion Conclusion Espero que esta guia aun cuando incompleta (y con errores gramaticales y sintacticos) sea de ayuda para saber como dimensionar y/o pedir un equipo. 12 Guia de Dimensionamiento Firewall/UTM