Por qué la protección y el rendimiento importan

Transcripción

1 Por qué la protección y el rendimiento importan De Daniel Ayoub, CISSP, CISA Los cortafuegos de próxima generación combinan una arquitectura multinúcleo con la inspección profunda de paquetes (Deep Packet Inspection, DPI) en tiempo real para cubrir las exigencias de protección y rendimiento de las redes empresariales actuales Resumen El rendimiento y la protección van íntimamente unidos en los cortafuegos de próxima generación (Next- Generation Firewalls, NGFW). De esta forma, las empresas no tienen que sacrificar el rendimiento y la productividad en aras de la seguridad. Los cortafuegos anticuados suponen un grave riesgo de seguridad para las empresas, ya que no inspeccionan la carga útil de datos de los paquetes de red. Muchos proveedores ofrecen únicamente velocidades de inspección dinámica de paquetes (Stateful Packet Inspection, SPI). No obstante, para conseguir un nivel de seguridad y rendimiento alto, se requiere la capacidad y la eficacia de la inspección profunda de paquetes. Para hacer frente a esta deficiencia, muchos proveedores de cortafuegos adoptaron el enfoque de inspección de malware utilizado por los antivirus de escritorio tradicionales (almacenamiento en búfer de los archivos descargados e inspección de malware). Este método no sólo introduce una latencia considerable, sino que también plantea riesgos de seguridad importantes, ya que el almacenamiento en la memoria temporal puede limitar el tamaño máximo de los archivos. Las pruebas independientes de NSS Labs demuestran que el cortafuegos de próxima generación Dell SonicWALL SuperMassive E10800, dotado de arquitectura multinúcleo y Reassembly-Free Deep Packet Inspection (RFDPI), no está sujeto a estas limitaciones. Por ello, es capaz de proporcionar a las empresas los niveles extraordinariamente elevados de protección y rendimiento que éstas necesitan. Qué es un cortafuegos de próxima generación? Básicamente, los cortafuegos de próxima generación (Next-Generation Firewall, NGFW) utilizan tecnología de cortafuegos de inspección profunda de paquetes (Deep Packet Inspection, DPI) para funciones clave como los sistemas de prevención de intrusiones (IPS) y la inteligencia y el control de aplicaciones. Definiciones del sector Gartner define un NGFW como una plataforma de red integrada a velocidad de cable que ofrece inspección profunda del tráfico y bloqueo de ataques. 1 Gartner afirma que un NGFW debería proporcionar como mínimo: Configuración "in-line bump-in-the-wire" (caja de corte en línea) no disruptiva Funciones de cortafuegos de primera generación estándar, por ejemplo traducción de direcciones de red (Network- Address Translation, NAT), inspección dinámica de protocolos (Stateful Protocol Inspection, SPI), red privada virtual (Virtual Private Networking, VPN), etc. Motor IPS integrado basado en firmas Detección de aplicaciones, visibilidad completa de stack y control granular. Capacidad para incorporar información del exterior del cortafuegos, por ej. políticas basadas en directorios, listas negras, listas blancas, etc. Ruta de actualización para incluir informaciones y amenazas de seguridad en el futuro Descifrado SSL para permitir la identificación de aplicaciones cifradas no deseables Evolución de los cortafuegos de próxima generación Cortafuegos de las primeras generaciones Los cortafuegos de primera generación de la década de 1980 ofrecían filtrado de paquetes de acuerdo con criterios como, por ejemplo, puerto, protocolo y dirección MAC/IP, y operaban en las capas 2 y 3 del modelo OSI. Los cortafuegos de segunda generación de la década de 1990 incorporaban inspección dinámica de paquetes (Stateful Packet Inspection, SPI), que verificaba el tráfico entrante y saliente basándose en tablas de estado, y operaban en las capas 2, 3 y 4 del modelo OSI. Los cortafuegos de tercera generación de 1 Defining the Next-Generation Firewall, Gartner RAS Core Research Note G , John Pescatore, Greg Young, 12 de octubre de 2009, R

2 la década pasada tenían una mayor potencia de procesamiento y una funcionalidad más amplia, incluyendo la inspección profunda de paquetes (Deep Packet Inspection, DPI) de la carga útil completa de los paquetes, prevención de intrusiones, detección de malware, antivirus en pasarela, analíticas del tráfico, control de aplicaciones, IPSec y VPN con cifrado SSL. La gestión unificada de amenazas (Unified Threat Management, UTM) fue el siguiente paso en la evolución del cortafuegos tradicional hacia un producto que no sólo protege frente a intrusiones, sino que además efectúa tareas de filtrado de contenido, protección frente a fugas de datos, detección de intrusiones y protección antimalware, normalmente realizadas por múltiples sistemas. Cortafuegos de próxima generación Todas las aplicaciones Web 2.0 (por ej., Salesforce.com, SharePoint y Farmville) utilizan actualmente el puerto 80 TCP y cifrado SSL (puerto 443 TCP). Los NGFW actuales inspeccionan la carga útil de los paquetes y utilizan las firmas para detectar actividades perniciosas, como pueden ser vulnerabilidades conocidas, ataques de exploit, virus y malware, todo ello sobre la marcha. La DPI también significa que los administradores pueden crear reglas de permiso y denegación de acceso extraordinariamente granulares para controlar aplicaciones y sitios web específicos (ejemplo: se permite chat con Yahoo Instant Messenger, pero no transferencias de archivos). Puesto que el sistema inspecciona el contenido de los paquetes, también es posible exportar cualquier tipo de información estadística. De esta forma, los administradores pueden analizar fácilmente los datos de tráfico para planificar la capacidad, solucionar problemas o controlar la actividad de los empleados a lo largo del día. Los cortafuegos actuales operan en las capas 2, 3, 4, 5, 6 y 7 del modelo OSI. Requisitos funcionales de los NGFW A continuación se presentan los requisitos funcionales para los cortafuegos de próxima generación: Funciones antiguas Un NGFW incluye todas las funciones estándar de un cortafuegos de primera generación, es decir, filtrado de paquetes, inspección dinámica de paquetes (Stateful Packet Inspection, SPI), traducción de direcciones de red (Network Address Translation, NAT) y alta disponibilidad (High Availability, HA). IPS integrado Para ser eficaces, los sistemas de prevención de intrusiones requieren funciones avanzadas que permitan combatir las técnicas evasivas y escanear e inspeccionar las comunicaciones tanto entrantes como salientes con el fin de identificar comunicaciones y protocolos maliciosos o sospechosos. Para disfrutar de una protección eficaz contra las amenazas y de una potente prevención de intrusiones, las organizaciones necesitan una solución que les proporcione el mejor cortafuegos de su categoría con funciones integradas de prevención de intrusiones y sin la complejidad de gestionar implementaciones, GUIs y dispositivos separados. Los NGFW con IPS proporcionan resistencia de clase empresarial a la evasión, funciones potentes de protección de contexto y contenido, así como funciones completas de protección contra amenazas y control de aplicaciones en un único dispositivo integrado. Inteligencia y control de aplicaciones La inteligencia y el control de aplicaciones incluyen refuerzo a nivel de protocolos, visibilidad completa de stack con control granular de aplicaciones y capacidad para identificar aplicaciones independientemente del puerto o protocolo utilizado. Entrada de cortafuegos extra El conocimiento del ID de los usuarios permite a los administradores implementar políticas de aplicaciones en función del usuario/grupo de AD (sin tener que rastrear la dirección IP para el ID de usuario), lo cual añade percepción al uso y al tráfico. Adaptabilidad Otra funcionalidad importante de los NGFW es la adaptación dinámica a amenazas cambiantes. Dell SonicWALL actualiza continuamente sus dispositivos con nuevas firmas para detener amenazas e ir un paso por delante del evolutivo panorama del malware. Escaneado y rendimiento de la carga útil Todos los requisitos anteriores exigen un escaneado completo de la carga útil en niveles óptimos de rendimiento para evitar tener que sacrificar seguridad por rendimiento. Rendimiento Para lograr la mayor rentabilidad posible de la inversión (Return on investment, ROI) para los servicios de banda ancha y optimizar el nivel de productividad de una organización, garantizando al mismo tiempo una seguridad máxima, el departamento de TI necesita asegurarse de que el tráfico se examina exhaustivamente con una latencia mínima para un rendimiento óptimo. Para cumplir estos requisitos, los índices de rendimiento mutigigabit se han convertido en estándar para los NGFW. Las soluciones de NGFW de Dell SonicWALL pueden mejorar considerablemente el rendimiento gracias a la aplicación de la tecnología RFDPI 2 patentada por Dell SonicWALL para permitir la DPI sin necesidad de almacenar en búfer ni reensamblar los paquetes. Desde la perspectiva del hardware, los NGFW de Dell SonicWALL también pueden maximizar el rendimiento gracias a la 2 Patentes estadounidenses 7,310,815; 7,600,257; 7,738,380; 7,835,361 2

3 incorporación de procesamiento paralelo en una arquitectura multinúcleo avanzada. Por qué necesita un cortafuegos de próxima generación La generación de SPI de los cortafuegos cubría la seguridad en un mundo en el que el malware no constituía un problema importante y las páginas web eran simplemente documentos para leer. Los puertos, las direcciones IP y los protocolos eran los factores clave que había que gestionar. Pero, a medida que Internet evolucionó, la capacidad para proporcionar contenido dinámico de los navegadores de servidor y cliente introdujo un amplio espectro de aplicaciones que ahora llamamos Web 2.0. La SPI no inspecciona la parte de datos del paquete, y los hackers explotan eficazmente este hecho. Para hacer frente a las nuevas amenazas, los proveedores de cortafuegos de SPI incorporaron la protección y los métodos tradicionales antimalware que se utilizaban en servidores de archivos y PCs. La técnica fue una solución de parche para añadir protección antimalware a un cortafuegos de SPI, aunque esto tenía dos defectos importantes: la latencia y la complejidad. El primer problema fue la introducción de latencia mientras el archivo se almacena en el búfer, con limitaciones del tamaño de los archivos. Los proveedores de cortafuegos han trabajado sobre este problema enviando paquetes en estado activo para evitarlo, si bien el efecto global es la introducción de latencia. El uso de memoria para almacenar archivos en búfer para inspección no sólo provoca latencia adicional, sino también un problema de espacio, que se resuelve limitando el tamaño global de los archivos a una cantidad predeterminada (generalmente de 100 MB). El uso de Internet es cada vez mayor, y el tamaño de los archivos que se comparten también va en aumento. Sin embargo, la tecnología híbrida de SPI/detección de malware no es escalable. El segundo problema fue que las soluciones puntuales tradicionales eran difíciles de desplegar, gestionar y actualizar, lo que aumentaba la complejidad operativa y los costes globales. Los ataques maliciosos sofisticados penetran los productos de inspección dinámica de paquetes tradicionales. Estas soluciones simplemente no proporcionan una protección suficiente, oportuna y unificada contra amenazas cada vez más complejas. Para resolver estos fallos, Dell SonicWALL ofrece las soluciones de NGFW más eficaces y con el mayor rendimiento existentes actualmente en el mercado. Recientemente, NSS Labs llevó a cabo una comprobación independiente del cortafuegos de próxima generación de Dell SonicWALL en las instalaciones de sus laboratorios en Austin, Texas. Dell SonicWALL SuperMassive E10800, que funciona con SonicOS 6.0, es, entre los productos que han obtenido la calificación de "Recomendado" de NSS Labs, el cortafuegos de próxima generación que mayor nivel de protección global ofrece. Todos los cortafuegos de Dell SonicWALL se basan en la arquitectura probada del sistema operativo SonicOS. Los resultados de dichas pruebas se exploran con mayor profundidad al final del presente documento. Qué necesita la empresa Las organizaciones están sufriendo un caos de aplicaciones. Las comunicaciones de red ya no dependen simplemente de aplicaciones de tipo "almacenar y reenviar" como, por ejemplo, el correo electrónico, sino que se han ampliado para incluir herramientas de colaboración en tiempo real, aplicaciones Web 2.0, aplicaciones de mensajería instantánea (Instant Messenger, IM) y entre iguales (peer-to-peer), voz a través de IP (Voice over IP, VoIP), streaming multimedia y teleconferencia, presentando cada una de ellas conductos para ataques potenciales. Muchas empresas no pueden diferenciar aplicaciones utilizadas en sus redes o fines comerciales legítimos de aquellas potencialmente dañinas y peligrosas. Actualmente, las organizaciones necesitan ofrecer soluciones críticas para empresas, y a la vez han de enfrentarse con el uso por parte de los empleados de aplicaciones dañinas y peligrosas basadas en la web. Priorizar el ancho de banda para las aplicaciones críticas es imprescindible, al igual que lo es frenar o incluso bloquear por completo el consumo de ancho de banda de las aplicaciones de medios sociales o juegos. Además, las organizaciones podrían tener que afrontar multas, penalizaciones y pérdidas de negocio si no cumplen las reglas y normativas sobre seguridad. Protección y rendimiento En las organizaciones empresariales actuales, la protección y el rendimiento van de la mano. Las organizaciones ya no pueden tolerar la baja seguridad ofrecida por los cortafuegos de SPI antiguos, así como tampoco los cuellos de botella de red asociados con algunos NGFW. Cualquier retardo en el rendimiento del cortafuegos o la red puede degradar la calidad en aplicaciones sensibles a la latencia y colaborativas, lo que, a su vez, puede afectar negativamente a los niveles de servicio y a la productividad. Para empeorar aún más las cosas, algunas organizaciones de TI incluso desactivan ciertas funciones en sus soluciones de seguridad de red para evitar ralentizaciones en el rendimiento de la red. Escaneado y control de todo el contenido Las organizaciones, grandes y pequeñas, tanto en el sector público como privado, han de hacer frente a nuevas amenazas como consecuencia de las vulnerabilidades en las aplicaciones de uso habitual. El malware acecha en las redes sociales. Mientras tanto, los trabajadores utilizan ordenadores de oficina en la empresa y en casa para blogs en línea, redes sociales, mensajería, vídeos, música, juegos, compras y correo electrónico. 3

4 Inteligencia y control de aplicaciones Las aplicaciones, como pueden ser streaming de vídeo, entre iguales (Peer-To-Peer, P2P), y las aplicaciones alojadas en equipos propios o basadas en la web exponen a las organizaciones a infiltraciones, fugas de datos y períodos de inactividad potenciales. Además de introducir amenazas de seguridad, estas aplicaciones reducen el ancho de banda y la productividad y compiten con aplicaciones de misiones críticas por un valioso ancho de banda. Para las empresas es muy importante disponer de herramientas que garanticen el ancho de banda para aplicaciones críticas para el negocio, y necesitan inteligencia y control de aplicaciones para proteger los flujos de tráfico tanto entrante como saliente, garantizado al mismo tiempo la velocidad y la seguridad para proporcionar un entorno de red productivo. La DPI requiere NGFW de alto rendimiento Los anticuados diseños de proxy que reensamblan contenido empleando sockets atornillados a máquinas antimalware están plagados de ineficiencias. El exceso de hiperpaginación de la memoria conduce a una latencia elevada, a un bajo rendimiento y a limitaciones en el tamaño de los archivos. Los anticuados métodos de DPI recogen y almacenan el tráfico en la memoria para escanearlo. Cuando se utiliza este enfoque de proxy o ensamblado, la memoria se consume hasta que se agota, lo cual tiene como resultado un cortafuegos a través del cual el tráfico pasa sin escanear (inaceptable) o bien el tráfico se bloquea en su totalidad hasta que no se libera la memoria. Además, las aplicaciones en tiempo real se ven afectadas negativamente cuando se introduce una latencia inaceptable. El enfoque de Dell SonicWALL Gracias a la combinación de una arquitectura multinúcleo de alto rendimiento y tecnología de DPI sin reensamblado, los cortafuegos de próxima generación de Dell SonicWALL ofrecen inteligencia y control de aplicaciones, prevención de intrusiones y protección antimalware líderes en su campo, así como inspección SSL a velocidades multigigabit. Los cortafuegos de próxima generación de Dell SonicWALL, que incorporan la tecnología 3 RFDPI patentada de SonicWALL, proporcionan seguridad y control para empresas de todos los tamaños, con prevención de intrusiones, protección antimalware, inteligencia y control de aplicaciones y visualización en tiempo real perfectamente integrados. Las soluciones de NGFW de Dell SonicWALL escanean el 100 % del tráfico y son perfectamente escalables para cubrir las 3 * Patentes estadounidenses 7,310,815; 7,600,257; 7,738,380; 7,835,361; 7,991,723 necesidades de las redes con mayor rendimiento. La inteligencia, el control y la visualización de aplicaciones de Dell SonicWALL permiten a los administradores gestionar y controlar tanto las aplicaciones relacionadas con la empresa como las ajenas a ésta para incrementar la productividad de la red y de los usuarios. Los cortafuegos de próxima generación de Dell SonicWALL pueden escanear archivos de tamaño ilimitado a través de cualquier puerto y sin degradación de la seguridad ni el rendimiento. El número de flujos simultáneos de archivos o de red no limita los cortafuegos de próxima generación de Dell SonicWALL, por lo que los archivos infectados no tienen la más mínima posibilidad de pasar indetectados cuando el cortafuegos se ve sometido a una fuerte carga. Adicionalmente, los cortafuegos de próxima generación de Dell SonicWALL pueden aplicar todas las tecnologías de seguridad y control de aplicaciones al tráfico cifrado SSL, lo que garantiza que este tipo de tráfico no se convierta en un nuevo factor de malware en la red. Los cortafuegos de próxima generación de Dell SonicWALL tienen certificación FIPS y Common Criteria (EAL 4 ampliado). Los productos de Dell SonicWALL se encuentran disponibles en GSA Schedule, NASA SEWP IV y otros vehículos de contratos federales. RFDPI frente a almacenamiento en búfer Los administradores de TI que seleccionen un cortafuegos de inspección profunda de paquetes deberán ser conscientes de que algunos dispositivos tienen una potencia de procesamiento, una memoria y un almacenamiento limitados, lo que hace que la inspección de amenazas en archivos de gran tamaño resulte imposible para la mayoría de los proveedores sin almacenar en búfer la carga útil, lo cual introduce latencia, o bien hace necesario omitir totalmente la inspección, poniendo así en peligro la seguridad. Por qué es mejor el enfoque de Dell SonicWALL La RFDPI de Dell SonicWALL supera todos estos retos para proporcionar funcionalidad de DPI completa de paquetes en tiempo real sin sacrificar el rendimiento ni la seguridad. El motor de RFDPI utiliza una combinación de comparación compleja de patrones, heurística, correlación, metodologías de decisión avanzadas en tiempo real, normalización (X, Y, Z y más), a la vez que mantiene un rendimiento extraordinariamente alto, baja latencia y elevada eficiencia, independientemente del tamaño. Arquitectura multinúcleo de Dell SonicWALL La arquitectura de hardware multinúcleo de Dell SonicWALL tiene dos ventajas clave para acelerar el procesamiento del tráfico de red. La primera ventaja es que las CPU Cavium tienen una construcción personalizada para "comprender" las comunicaciones de red a nivel del hardware. La segunda ventaja es la capacidad para procesar en paralelo flujos de datos a través de múltiples núcleos. La arquitectura multinúcleo 4

5 de Dell SonicWALL permite a cada CPU procesar una parte de los paquetes de red de forma simultánea, en paralelo con otras CPU, haciendo un uso óptimo de los ciclos de los procesadores disponibles. Esta combinación óptima ofrece soluciones de alto rendimiento y eficientes para el procesamiento de paquetes, contenidos y seguridad. La arquitectura multinúcleo maximiza el rendimiento y la escalabilidad, a la vez que reduce al mínimo el consumo de potencia, gracias a la combinación de aceleración de hardware con técnicas de arquitectura de procesadores multinúcleo de alto rendimiento. Los cortafuegos de la serie Dell SonicWALL SuperMassive E10000 se han diseñado teniendo muy en cuenta la potencia, el espacio y la refrigeración, logrando el mejor valor de Gbps/vatio de la industria para el control de aplicaciones y la prevención de amenazas. Otros proveedores han elegido procesadores de ámbito general y coprocesadores de seguridad independientes, una solución que no es escalable. Por otro lado, otros han preferido diseñar y construir plataformas ASIC (Application-Specific Integrated Circuits, Circuitos integrados específicos para aplicaciones). Las soluciones tradicionales de un solo procesador y ASIC no pueden hacer frente a los evolutivos y complejos ataques en tiempo real procedentes del interior y el exterior de la red debido a las crecientes exigencias de inspección. Los procesadores de ámbito general dependen de una sola CPU de procesamiento para manejar todas las funciones. No proporcionan ningún tipo de aceleración de seguridad, y normalmente requieren coprocesadores de seguridad adicionales de terceros proveedores para la aceleración de seguridad necesaria, lo que incrementa ineficazmente la complejidad de desarrollo. El procesador de ámbito general funciona a una mayor velocidad del reloj y requiere coprocesadores adicionales, por lo cual es menos eficiente energéticamente y consume más potencia durante el funcionamiento normal. Además, las soluciones de procesadores de ámbito general están limitadas por las velocidades de bus entre el procesador de ámbito general y el coprocesador de seguridad. Los procesadores de ámbito general también pueden estar comparativamente limitados en el ancho de banda de memoria, lo cual tiene como resultado un procesamiento más lento de los paquetes. En general, los diseños de un solo procesador de ámbito general ofrecen una plataforma de hardware inferior a la ideal para la DPI de alto rendimiento en los NGFW. Aunque las plataformas ASIC tienen un lugar en el reenvío de paquetes a alta velocidad, presentan problemas de diseño y limitaciones inherentes cuando se utilizan en dispositivos de seguridad de red. Un problema particularmente importante es la limitación inherente de la capacidad de un proveedor para la actualización de campo del microcódigo de ASIC para poder hacer frente al evolutivo panorama de la seguridad. Con las soluciones ASIC, la falta de espacio disponible para el microcódigo podría impedir al proveedor añadir la nueva funcionalidad necesaria para el tratamiento de protocolos cambiantes, normas actualizadas o problemas sin una degradación importante del rendimiento. Esto limita los dispositivos de seguridad basados en ASIC, ya que no existe ninguna garantía de que el cliente pueda actualizar el dispositivo para hacer frente a las necesidades de red futuras. Además, los ASIC se utilizan principalmente para SPI, puesto que su funcionamiento es muy lento para DPI. Motor de inspección profunda de paquetes sin reensamblado de Dell SonicWALL La RFDPI de Dell SonicWALL puede realizar comparaciones dentro de archivos, documentos adjuntos y ciertos archivos comprimidos, independientemente de su tamaño, y transformarlos según sea necesario para efectuar la comparación con patrones normalizados. El algoritmo subyacente bajo la RFDPI de Dell SonicWALL aplica autómatas finitos deterministas (Deterministic Finite Automata, DFA) para proporcionar una comparación determinista de baja latencia. La RFDPI permite a los cortafuegos de próxima generación de Dell SonicWALL ampliar su protección para bloquear malware. Las soluciones más competitivas disponibles son capaces de escanear únicamente seis protocolos (HTTP, SMTP, IMAP, POP3, FTP y SMB), proporcionando un falso sentido de seguridad, ya que el tráfico malicioso transmitido a través de cualquier otro protocolo no se ve sometido a inspección. Únicamente la RFDPI de Dell SonicWALL escanea cada paquete en todos los puertos y protocolos en todo momento, con tecnología completa anti-x para permitir la detección y el bloqueo de virus conocidos y malware, independientemente del protocolo de transmisión. Sin embargo, la RFDPI de Dell SonicWALL es capaz de hacer mucho más que la simple comparación de patrones. Cuando se crean firmas, también se tienen en cuenta datos como, por ejemplo, los tipos de paquetes. Si se determinara que un tipo de paquetes particular (por ejemplo ICMP cifrado) está siendo utilizado exclusivamente por software malicioso, dicho archivo se consideraría malicioso basándose únicamente en dicho principio. La tecnología inteligente de detección de malware de Dell SonicWALL busca elementos en el flujo que contengan código peligroso y puede analizar a través de la envoltura benigna de bits no importantes. Adicionalmente, cuando se trata de determinar vulnerabilidades como parte del escaneado de archivos, la RFDPI es capaz de analizar números mágicos (valores enteros utilizados para determinar formatos de archivos) y, a continuación, contrastarlos con listas predefinidas para comparar los valores de los contenidos de archivos reales frente a los esperados. 5

6 Estas técnicas permiten al motor de RFDPI de Dell SonicWALL identificar nuevas variantes de malware, que podrían estar disfrazadas como archivos inocentes, aunque no se hubieran visto nunca antes. Muchas de las firmas empleadas por los cortafuegos de Dell SonicWALL están escritas de forma personalizada para buscar fragmentos de código específicos comunes a familias de malware en lugar de variantes individuales. Esto significa que la RFDPI no necesita buscar un archivo o ejecutable completo para determinar si un flujo es malicioso. En su lugar, la RFDPI puede identificar las partes maliciosas de malware contenidas en nuevas mutaciones, proporcionando así un nivel de protección adicional frente a una gran parte del malware comercial utilizado como parte de una economía sumergida. El motor de RFDI de Dell SonicWALL ofrece mayor protección frente a actividades perniciosas gracias al uso de técnicas heurísticas (basadas en experiencias anómalas), reduciendo el número de incidentes resultantes en investigaciones que requieren un extenso trabajo para buscar en miles de entradas en los registros del sistema. La creación de una política inteligente permite funciones heurísticas, como pueden ser el bloqueo de archivos comprimidos que han sido protegidos mediante contraseña o el bloqueo de archivos de MS-Office que contienen macros de Visual BASIC. Adicionalmente, las funciones de inteligencia y control de aplicaciones de Dell SonicWALL utilizan la RFDPI para escanear cada paquete e identificar las aplicaciones en uso y quién las está usando. Dell SonicWALL mantiene una base de datos de firmas para proteger las redes de forma automática y fluida. Al escanear minuciosamente todo el tráfico de red, proporciona inteligencia y control completos de aplicaciones, independientemente del puerto o el protocolo, mediante la identificación del tráfico y los usuarios de las aplicaciones. Disponible como una licencia complementaria opcional en modelos específicos, la inspección profunda de paquetes para SSL (Deep Packet Inspection for SSL, DPI SSL) amplía la protección al tráfico con cifrado SSL, permitiendo una conformidad, un filtrado de contenidos y una prevención de fugas de datos mejorados, así como la eliminación de otros factores de malware. El tráfico cifrado se descifra, inspecciona y se vuelve a cifrar de forma transparente para el usuario, pudiéndose configurar tanto para conexiones entrantes como salientes. De igual forma, los administradores han de poder visualizar el tráfico de aplicaciones para controlar el uso de la red y ajustar las políticas de red sobre la base de observaciones críticas. Dell SonicWALL Application Flow Monitor ofrece gráficos en tiempo real de la actividad de las aplicaciones, permitiendo a los administradores modificar las políticas para mejorar la productividad de la red. Además, esta solución proporciona NetFlow/IPFIX con exportaciones de extensiones para análisis y visualización adicionales del tráfico "off-the-box". Pruebas de validación de terceros Por qué debería probar su infraestructura De acuerdo con el Security Value Map de 2012 de NSS Labs, muchos productos de cortafuegos de próxima generación han demostrado resultados mixtos. Las pruebas recientes del grupo NSS Labs ofrecen datos detallados de eficacia de rendimiento y seguridad de un amplio espectro de dispositivos en este mercado cada vez más saturado para permitir a los posibles compradores tomar decisiones informadas. Validación de NSS Labs NSS Labs es líder mundial en la comprobación y certificación independiente de productos de seguridad. Sus análisis son conocidos como unas de las pruebas más completas y realistas del sector hasta la fecha. El Next Generation Firewall Security Value Map (Mapa de valores de seguridad de cortafuegos de próxima generación) de NSS Labs describe algunos de sus hallazgos más importantes, gráficos de índices de bloqueo (incluyendo protección global, evasiones, fugas y estabilidad de la seguridad) y precio por Mbps protegido. Gartner ha reconocido el valor de las certificaciones de NSS Labs añadiéndolas a la breve lista de criterios para que los productos logren una clasificación en el Gartner Magic Quadrant for Network IPS (Cuadrante mágico de Gartner para IPS de redes). Desde 1991, NSS Labs ha liderado las comunidades de investigación y comprobación de la seguridad informática, proporcionando información única y valiosa a los encargados de la toma de decisiones de TI. Resultados de las pruebas de NSS Labs Recientemente evaluado en el Next-Generation Firewall Security Value Map de 2012 de NSS Labs, el Dell SonicWALL SuperMassive E10800 (que funciona con el sistema operativo SonicOS 6.0) es el cortafuegos de próxima generación que ofrece un mayor nivel de protección global de los que han obtenido la codiciada clasificación de "Recomendado" de NSS Labs. Del total de siete cortafuegos de próxima generación evaluados, únicamente los dispositivos de tres proveedores lograron la clasificación más alta de "Recomendado" de NSS Labs, siendo Dell SonicWALL SuperMassive E10800 el que presentó la protección global más alta de los tres. "Quienes asocian la marca Dell SonicWALL únicamente con productos UTM para pymes tendrán que replantearse su opinión", declaró Vikram Phatak, Director de Tecnología de NSS Labs. En combinación con el sistema operativo SonicOS 6.0, la arquitectura avanzada de Dell SonicWALL SuperMassive E10800 proporciona un nivel extremadamente alto de protección y rendimiento para los clientes de entornos 6

7 multigigabit avanzados que desean actualizar su cortafuegos actual a uno de próxima generación. Diseñada para cubrir las necesidades de grandes empresas, organismos gubernamentales, universidades y proveedores de clientes/servicios múltiples, la serie Dell SonicWALL SuperMassive E10000 proporciona escalabilidad, fiabilidad y seguridad profunda a velocidades multigigabit. Con la ayuda del motor de RFDPI de SonicWALL, que escanea cada byte de cada paquete, esta solución unificada e integrada inspecciona por completo el contenido de todo el tráfico y ofrece las más avanzadas funciones de prevención de intrusiones, protección antimalware, inteligencia, control y visualización de aplicaciones en tiempo real e inspección para sesiones cifradas con SSL, garantizando al mismo tiempo un rendimiento elevado y una baja latencia. NSS Labs probó el NGFW Dell SonicWALL SuperMassive E10800 con SonicOS 6.0 basándose en la metodología NSS NGFW v4.0 (disponible en Los resultados clasificaron la estabilidad y fiabilidad del NGFW de Dell SonicWALL como excelentes, con puntuaciones del 100% en refuerzo del cortafuegos, control de aplicaciones y detección de la identidad. Superó con éxito los 18,9 Gbps del tráfico inspeccionado. Los hallazgos establecieron que la solución proporciona "un nivel extraordinariamente alto de protección y rendimiento. Asimismo, en el Security Value Map (SVM) de 2012 de NSS Labs para soluciones IPS, el cortafuegos de próxima generación SuperMassive E10800 con IPS integrado no solo consiguió la codiciada calificación de "Recomendado" de NSS Labs, sino que además demostró ser más efectivo que los productos de muchos proveedores de IPS especializados. Según NSS Labs, "la resistencia a las técnicas evasivas fue perfecta y el cortafuegos Dell SonicWALL SuperMassive SonicOS 6.0 obtuvo una puntuación del 100% en todas las pruebas relacionadas". Ni la fragmentación de IP y RPC, ni la segmentación de flujos TCP, ni la ofuscación de URL, ni la evasión de HTML y ni la evasión de FTP lograron que el producto pasara por alto ningún ataque válido. No solo se bloquearon con éxito los ataques fragmentados y ofuscados, sino que además todos ellos fueron correctamente descodificados." Conclusión De acuerdo con lo verificado mediante la comprobación independiente, una arquitectura multinúcleo con inspección profunda de paquetes sin reensamblado puede ofrecer protección en profundidad y altos niveles de rendimiento para empresas. La arquitectura SonicOS constituye el núcleo de cada cortafuegos Dell SonicWALL desde la serie TZ hasta la SuperMassive E10800, por lo que las organizaciones podrán elegir su producto entre una amplia gama probada completa y totalmente escalable para cubrir las necesidades incluso de las redes de mayor rendimiento. Los cortafuegos de próxima generación de Dell SonicWALL, incluidas las series Dell SonicWALL TZ 215, Network Security Appliance (NSA), E-Class NSA y SuperMassive E10000, superan las limitaciones de las soluciones de cortafuegos tradicionales y permiten a las empresas escalar su seguridad de red para hacer frente a las exigencias de amenazas emergentes, al mismo tiempo que garantizan el rendimiento de la red para alcanzar los objetivos clave del negocio. 7 Copyright 2012 Dell, Inc. Todos los derechos reservados. Dell SonicWALL es una marca comercial de Dell, Inc. Los demás nombres de productos y servicios así como los eslóganes de Dell SonicWALL son marcas comerciales de Dell, Inc.