Palo Alto Networks PA Documentación para la preventa

Transcripción

1 Palo Alto Networks PA-4060 Documentación para la preventa

2 Página 2 de 100 INDICE INTRODUCCIÓN...4 OBJETO... 4 ALCANCE... 4 RESUMEN... 5 ARQUITECTURAS DE RED SOPORTADAS...9 MODO VISIBILIDAD... 9 MODO VIRTUAL WIRE MODO ROUTING VIRTUALIZACIÓN ALTA DISPONIBILIDAD (HA) EJEMPLO DE ARQUITECTURA MIXTA FUNCIONALIDADES FUNDAMENTALES DE PAN-OS...21 DETALLE DEL FUNCIONAMIENTO DE APP-ID Módulos Ejemplo del modo de trabajo de App-ID: Identificación de WebEx Categorización de las aplicaciones Actualizaciones periódicas Gestión de aplicaciones propietarias o desconocidas DETALLE DEL FUNCIONAMIENTO DE USER-ID Módulos Integración con el directorio activo de Microsoft a través de PAN-Agent Identificación de usuarios de Citrix y Microsoft Terminal Services Integración con el e-directory de Novell a través de User-ID-Agent Otros directorios LDAP: API XML Integración de usuarios no pertenecientes al dominio: Captive Portal con NTLM Integración de usuarios no pertenecientes al dominio: Captive Portal con página web DETALLE DEL FUNCIONAMIENTO DE CONTENT-ID Prevención de amenazas (IPS) Prevención de ataques de DoS Prevención frente a escaneos de red Anomalía de paquetes Antivirus y Anti-Spyware Filtrado de URLs Prevención frente a la fuga de datos (DLP) Actualizaciones periódicas y equipo I+D de Content-ID OTROS Seguridad basada en Zonas Routing y protocolos de red soportados Reglas de Seguridad NAT Policy Based Forwarding VPNs IPSec SSL VPNs QoS DISEÑO HARDWARE...72 ARQUITECTURA SINGLE PASS PARALLEL PROCESSING... 74

3 Página 3 de 100 ARQUITECTURA HARDWARE DEL MODELO PA GESTIÓN, VISIBILIDAD Y REPORTING...78 GESTIÓN REPORTING Y GENERACIÓN DE INFORMES Reporting Generación de Informes API XML DE REPORTING PANORAMA: GESTIÓN CENTRALIZADA DE MÚLTIPLES DISPOSITIVOS ANEXO A: CARACTERÍSTICAS TÉCNICAS DEL PA ANEXO B: URLS DE INTERÉS...100

4 Página 4 de 100 Introducción Objeto El objeto fundamental de esta documentación es presentar a los preventas, responsables de preparar y desarrollar soluciones de Palo Alto Networks -PAN de ahora en adelante-, una visión sobre las características fundamentales que se encuentran en los firewalls de Nueva Generación de PAN, tanto en lo que a plataformas hardware se refiere, como a funcionalidades software y de gestión. Se incluye asimismo información sobre los tipos de arquitecturas de red y despliegues soportados. El fin es por tanto facilitar documentación en español que colabore en la correcta realización de una oferta a un cliente final, intentando además simplificar las tareas de preparación de las memorias técnicas para los integradores. Hemos intentado dotar al documento asimismo de un carácter didáctico, que ayude a comprender mejor las capacidades de las soluciones de PAN, por lo que su uso no está restringido únicamente a integradores, sino que también puede ser ofrecido a clientes finales, interesados en conocer mejor nuestras soluciones. En cualquier caso el documento no está pensado ni escrito para sustituir a las guías de configuración o technotes disponibles, por lo que remitimos a los usuarios a utilizar esa documentación cuando deseen obtener información sobre cómo se configura cualquiera de las funcionalidades aquí descritas. Pretendemos asimismo mantenerlo como documento vivo, que se irá actualizando con las novedades o plataformas que Palo Alto Networks lance al mercado. Alcance La documentación aquí presentada cubre las siguientes áreas fundamentales: Introducción a las soluciones de PAN Arquitecturas de red soportadas Diseño y funcionalidades de PAN-OS (en general sobre las versiones 3.1.x) Diseño hardware Especificaciones y capacidades del modelo PA

5 Página 5 de 100 Resumen Hoy día los departamentos de TI se enfrentan a una problemática creciente, con usuarios tanto externos como internos- que utilizan una nueva generación de aplicaciones, capaces de evadir la detección que ofrecen los firewalls tradicionales. Las soluciones actuales de cortafuegos firewalls permiten establecer políticas de seguridad basadas fundamentalmente en puertos y protocolos. Hasta hace no mucho, esta aproximación era válida pues lo normal era que por el puerto 80 pasara sólo la navegación web y por el puerto 443, el tráfico SSL. Sin embargo, las nuevas aplicaciones de la Web 2.0 tales como Facebook, YouSendIt, SalesForce, Messenger, Skype, etc se han convertido en un verdadero fenómeno social y su uso se ha extendido tanto en ámbitos privados como profesionales. Muchas de estas aplicaciones utilizan técnicas evasivas como port hopping, tunelización/emulación de otras aplicaciones, etc para burlarse de las reglas tradicionales, basadas en puertos y protocolos. Muchas de ellas se esconden incluso bajo tráfico cifrado para ocultar su identidad. Como resultado de todo ello, los responsables de TI no pueden identificar o controlar las aplicaciones que están corriendo realmente en la red y esta falta de visibilidad y control impacta negativamente en el negocio, generando: Incumplimiento de regulaciones y políticas internas Fuga de datos Incremento del consumo de ancho de banda Aumento de las amenazas (virus, spyware, worms y otras vulnerabilidades) Desaprovechamiento de los recursos (tanto humanos como de equipamiento) Los responsables de TI necesitan por tanto una nueva aproximación, que les permita identificar con precisión las aplicaciones actuales, y no solamente los puertos que usan, a través de una inspección completa del tráfico. La siguiente figura, Figura 1, muestra un ejemplo de la cantidad de aplicaciones de propósito muy diferente, que pueden circular a través de los puertos tradicionales (80 y 443). La mayoría de estas aplicaciones son invisibles para los firewalls de primera generación, que consideran que todo lo que llega por el puerto 80 se corresponde con tráfico HTTP (de navegación) y todo lo que circula por el 443 es SSL (navegación segura):

6 Página 6 de 100 Figura 1.- Ejemplo de diversas aplicaciones sobre puertos 80 y/ó 443 Palo Alto Networks redefine el concepto de Firewall aportando un control y visibilidad sin precedentes, sobre todo el tráfico IP en las redes corporativas. Para conseguir este objetivo, se decidió diseñar un producto completamente nuevo, orientado desde el comienzo en sus especificaciones hardware y software para cubrir los siguientes requisitos: Identificación de las aplicaciones, independientemente del puerto o protocolo de base que utilicen, incluso aunque vayan codificadas bajo SSL o empleen alguna táctica evasiva. Identificación de los usuarios en base a su rol en la corporación, independientemente de qué dirección IP puedan tener en un momento determinado. Protección en tiempo real frente a los ataques y al software malicioso, embebido en el tráfico de las aplicaciones. Facilidad en la gestión de las políticas con herramientas de visualización potentes y un editor de políticas unificado. Rendimiento multi-gigabit sin degradación al utilizarlo en línea. La siguiente figura, Figura 2, esquematiza los cuatro pilares básicos sobre los que se sustentan los firewalls de nueva generación de Palo Alto Networks:

7 Página 7 de 100 Figura 2.- Pilares básicos de los firewalls de PAN Aunque en los capítulos posteriores del presente documento se detallarán las funcionalidades de cada módulo básico, a continuación se ofrece un resumen introductorio de todos ellos: App-ID es una tecnología de clasificación del tráfico, que detecta con precisión qué aplicaciones están corriendo en la red a través de diversas técnicas de identificación. La identidad de la aplicación sirve de base para todas las decisiones relativas a la política como la utilización apropiada y la inspección de contenidos. Es por tanto la tecnología base que utilizan los firewalls de PAN, en contraposición a la tecnología stateful inspection que utilizan otros fabricantes, y que desde PAN consideramos totalmente insuficiente para categorizar y proteger el panorama actual de aplicaciones. La tecnología User-ID de Palo Alto Networks se integra con el directorio corporativo, para vincular dinámicamente la dirección IP con la información de usuario y de grupo (rol corporativo). Si las empresas tienen acceso a la actividad del usuario, pueden supervisar y controlar las aplicaciones y los contenidos que recorren la red, de una forma mucho más efectiva que por una simple dirección IP (que normalmente es además cambiante DHCP, movilidad ).

8 Página 8 de 100 Control de los contenidos: La tecnología Content-ID de Palo Alto Networks combina un motor de prevención de amenazas en tiempo real con una base de datos URL integral y elementos de identificación de aplicaciones, para limitar las transferencias de archivos sin autorización, detectar y bloquear gran número de amenazas y controlar la navegación por Internet no relacionada con el trabajo. Content ID funciona en coordinación con App-ID lo que mejora la eficacia del proceso de identificación de los contenidos. La arquitectura SP3 Single Pass Parallel Architecture ofrece un rendimiento no conocido hasta la fecha gracias a la utilización de hardware paralelo, de modo que cada paquete es analizado una única vez a través de todos los módulos de la política de seguridad. A diferencia de muchas soluciones actuales, que utilizan una única CPU o una combinación de ASICs y CPUs, los firewalls de PAN utilizan una arquitectura construida a propósito, y desde cero, con procesamiento dedicado para la prevención de amenazas junto con procesamiento específico y memoria dedicada para las tareas de red, seguridad y gestión. La utilización de cuatro tipos diferentes de procesadores implica que las funcionalidades clave no compiten por ciclos de reloj con otras funciones de seguridad, como ocurre en el caso de equipos monoprocesador. El resultado final es una latencia muy baja y un gran throughput, con todos los servicios de seguridad habilitados. Un potente conjunto de herramientas de visualización facilita a los administradores información completa sobre las aplicaciones que recorren la red, quién las utiliza y el impacto que pueden tener sobre la seguridad de la corporación.

9 Página 9 de 100 Arquitecturas de red soportadas Los equipos de Palo Alto Networks, pueden implantarse en la red con tres topologías diferentes: Modo Visibilidad (mirror o tap) Modo Virtual Wire (bridge-ips) Modo Routing (incluyendo vlans) Es especialmente interesante señalar, que los tres modos de implantación pueden coexistir dentro de un mismo equipo, incluso dentro de un mismo firewall virtual. Esta flexibilidad ofrece capacidades de diseño e implantación prácticamente ilimitadas. A continuación se detallan las características y capacidades de cada arquitectura de red. Modo Visibilidad La siguiente figura, Figura 3, muestra un diagrama lógico de este tipo de diseño: Figura 3.- Arquitectura en modo visibilidad (mirror) Este modo de implantación es no intrusivo, y recibe el nombre de Tap en la configuración de PAN. El equipo recibe el tráfico a través de elementos que lo copian

10 Página 10 de 100 (switches con mirrors, port spans, taps, ). Presenta la gran ventaja de que no es necesario provocar ningún corte en la red, para poder insertarlo; de este modo, esta topología es ideal para realizar pruebas de concepto. Es importante señalar que es perfectamente posible configurar varios puertos en modo tap, para copiar el tráfico desde múltiples orígenes; de esta forma es posible analizar el comportamiento de diferentes redes simultáneamente. A continuación se detallan las funcionalidades principales que se obtienen, con el equipo configurado en modo visibilidad: Identificación y visibilidad de las aplicaciones que circulan por la red. Identificación de las amenazas detectadas sobre las aplicaciones (antivirus, antispyware, URL Filtering y análisis de vulnerabilidades). Análisis del contenido (DLP Data Loss Prevention- sobre patrones a buscar en documentos e identificación de los ficheros que circulan por la red, tanto en entrada como en salida). Identificación de los usuarios, en relación con el directorio corporativo (User-ID). Generación de informes detallados sobre la utilización y la actividad. Análisis de tráfico cifrado con SSL (sólo en entrada). Respecto a las funcionalidades que no se obtienen en modo visibilidad, en general hay que señalar que son todas aquellas que requieren que el equipo se encuentre en línea (routing, NAT, Policy Based Forwarding, bloqueo del tráfico o los ataques, VPNs, ). Finalmente también es interesante reseñar que, aunque es una arquitectura de red muy empleada durante las pruebas de concepto, también ofrece ventajas interesantes en entornos en producción. Puesto que las tres topologías se pueden mezclar sobre un mismo equipo o sistema virtual, muchos clientes se reservan algunos puertos de los firewalls de PAN para utilizarlos en modo visibilidad. Normalmente se utilizan para realizar monitorizaciones puntuales de redes que no están segmentadas (y cuyo tráfico no pasa por tanto a través del cortafuegos), cuando se detecta algún problema en las mismas. Puesto que basta con configurar un mirror en el switch que da servicio a esa red, es muy sencillo implantar el equipo en modo visibilidad obteniendo información muy detallada y valiosa sobre el comportamiento de la red, así como identificar la posible causa del problema.

11 Página 11 de 100 Modo Virtual Wire La siguiente figura, Figura 4, muestra un diagrama lógico de este tipo de diseño: Figura 4.- Arquitectura en modo Virtual Wire (bridge-ips) Este modo de implantación es el primero en el que el equipo está en línea y recibe el nombre de Virtual Wire dentro de la terminología de PAN. Puesto que está en línea, el equipo puede tomar medidas de bloqueo sobre el tráfico que se considere pernicioso. Tal y como muestra la Figura 4, el equipo se inserta dentro de la red como si se tratara de un bridge, sin dirección IP ni dirección MAC. Está configurado por tanto en modo transparente, lo que facilita el despliegue en la red (no se requiere segmentación de nivel 3), así como la protección del propio equipo al no ser detectable (no dispone de IP ni dirección MAC). A continuación se detallan las funcionalidades que se obtienen con esta arquitectura de red: Identificación y visibilidad de las aplicaciones que circulan por la red. Identificación de las amenazas detectadas sobre las aplicaciones (antivirus, antispyware, URL Filtering y análisis de vulnerabilidades).

12 Página 12 de 100 Análisis del contenido (DLP Data Loss Prevention- sobre patrones a buscar en documentos e identificación de los ficheros que circulan por la red, tanto en entrada como en salida). Identificación de los usuarios, en relación con el directorio corporativo (User-ID). Generación de informes detallados sobre la utilización y la actividad. Análisis del tráfico cifrado con SSL (sólo en entrada). Bloqueo del tráfico que se considera no acorde a la política corporativa. Bloqueo de las amenazas detectadas (antivirus, anti-spyware y vulnerabilidades). Control y bloqueo de las URLs no permitidas. QoS (Calidad de Servicio). Respecto a las funcionalidades que no se obtienen en modo Virtual Wire, en general hay que señalar que son todas aquellas que requieren que el equipo realice funciones de nivel 3 (routing, NAT, Policy Based Forwarding, VPNs, ). El siguiente modo de configuración (modo routing), incorpora todas las funcionalidades al completo que integran los cortafuegos de PAN. Finalmente, es interesante señalar que es posible configurar múltiples segmentos en modo Virtual Wire ó IPS sobre un mismo equipo (uno por cada pareja de puertos), así como mezclar esta topología de red con cualquiera de las otras dos existentes. En un punto posterior se muestra un diseño de arquitectura avanzada, en el que se mezclan diferentes tipos de topologías incluyendo IPS- para conseguir una solución de mayor seguridad utilizando un mismo equipamiento.

13 Página 13 de 100 Modo Routing La siguiente figura, Figura 5, muestra un diagrama lógico de este tipo de diseño: Figura 5.- Arquitectura en modo Routing (también con soporte a vlans) Tal y como muestra la Figura 5, en el modo routing el equipo se instala con sus interfaces configurados a nivel 3, pudiendo actuar por tanto como gateway de las redes a las que se encuentra conectado. En este modo de trabajo el equipo ofrece la posibilidad de utilizar todas sus capacidades, entre las que destacan las siguientes: Identificación y visibilidad de las aplicaciones que circulan por la red. Identificación de las amenazas detectadas sobre las aplicaciones (antivirus, antispyware, URL Filtering y análisis de vulnerabilidades). Análisis del contenido (DLP Data Loss Prevention- sobre patrones a buscar en documentos e identificación de los ficheros que circulan por la red, tanto en entrada como en salida).

14 Página 14 de 100 Identificación de los usuarios, en relación con el directorio corporativo (User-ID). Generación de informes detallados sobre la utilización y la actividad. Análisis del tráfico cifrado con SSL (entrada y salida). Bloqueo del tráfico que se considera no acorde a la política corporativa. Bloqueo de las amenazas detectadas (antivirus, anti-spyware y vulnerabilidades). Control y bloqueo de las URLs no permitidas. QoS Routing estático Routing dinámico: RIP, OSPF y BGP VPNs IPSec VPNs SSL Policy Routing (Policy Based Forwarding) De nuevo, hay que señalar que los equipos de PAN pueden trabajar de forma híbrida, mezclando por tanto topologías de los tres modos anteriormente descritos, lo que ofrece una gran versatilidad a la hora de realizar despliegues sobre redes complejas. Virtualización Los equipos de PAN de la serie 2000 y 4000 soportan la capacidad de ser virtualizados. En el caso concreto del modelo PA-4060, el equipo incluye en el precio de base una licencia para crear hasta 25 sistemas virtuales, que puede ser actualizada a través de una licencia de upgrade a 75 y 125. Durante la definición de la virtualización, el administrador asigna los interfaces que desea a cada firewall virtual, que pasa a comportarse a partir de este momento como un sistema totalmente independiente del resto de sistemas virtuales. De esta forma es posible administrar independientemente los sistemas virtuales, o generar informes para cada uno de ellos. Además, también es posible mezclar las tres topologías de red vistas anteriormente, en cada firewall virtual. Así pues, por ejemplo, es posible tener dos sistemas virtuales sobre una única plataforma, cada uno de ellos con cinco interfaces asignados. Dentro de cada sistema virtual podemos tener tres puertos configurados en modo routing y otros dos en modo IPS.

15 Página 15 de 100 Además, y a partir de las versiones de PAN-OS 3.1.x, es posible configurar Virtual System Shared Gateways, entre distintos sistemas virtuales. Cada sistema virtual es, en principio, totalmente independiente de los demás. Esta funcionalidad permite que un interfaz pertenezca a múltiples sistemas virtuales. La utilización más común de esta funcionalidad, es disponer de un interfaz común entre múltiples sistemas virtuales, de tal modo que solamente sea ese interfaz el que esté cara a Internet, dando servicio a todas las redes y sistemas virtuales que se encuentran por detrás. La siguiente figura, Figura 6, muestra un ejemplo de arquitectura con múltiples sistemas virtuales, cada uno con una conexión independiente hacia el exterior (sin utilizar por tanto Virtual System Shared Gateways): Figura 6.- Conexión independiente de múltiples sistemas virtuales Tal y como se observa, es necesario que cada sistema virtual disponga de una o varias IPs públicas, para poder ofrecer conectividad hacia y desde el exterior. Por el contrario, la siguiente figura, Figura 7, muestra un ejemplo de configuración en la que se utiliza la funcionalidad de Shared Gateway, entre múltiples sistemas virtuales. Obsérvese que en este caso hay un único gateway, compartido entre todos los sistemas, y que por tanto la gestión es más simple y el gasto de IPs públicas menor:

16 Página 16 de 100 Figura 7.- Conexión a Internet con Shared Gateway entre sistemas virtuales Nota: También es posible realizar configuraciones similares, con el objetivo de permitir el tráfico entre algunos de los sistemas virtuales si es necesario. Alta Disponibilidad (HA) Todos los equipos de PAN tienen la posibilidad de trabajar en configuraciones de alta disponibilidad, en el que el fallo de uno de los equipos no supone pérdida de servicio. En las versiones 3.1.x, la configuración de alta disponibilidad soportada es Activo- Pasivo. A partir de las versiones 4.x se incluirá también soporte a topologías Activo- Activo. Es importante señalar que las configuraciones de HA requieren que ambos modelos sean idénticos, así como que dispongan exactamente del mismo nivel de licencias software y versión de firmware. La conmutación de un nodo al otro se produce si falla algún interfaz de red (configuración Link Monitoring) o incluso si falla algún otro elemento, que se está monitorizando expresamente (Path Monitoring). Para la configuración de la sincronización, se utilizan dos puertos dedicados, denominados HA1 y HA2. HA1 es obligatorio y HA2 opcional, aunque recomendable. En los equipos de la serie 4000 estos interfaces están preasignados de fábrica; en las series 500 y 2000 el administrador ha de seleccionar qué puertos quiere utilizar para cada propósito.

17 Página 17 de 100 El interfaz HA1 dispone de direccionamiento IP, y es el que se emplea para sincronizar las configuraciones. El interfaz HA2 es un interfaz de nivel 2 (sin IP por tanto) y se utiliza para sincronizar la tabla de sesiones activas, evitando de este modo al máximo la pérdida de servicio en caso de conmutación de un nodo al otro. A continuación se detalla la operativa de la alta disponibilidad y el comportamiento en caso de fallo de los interfaces de HA: El firewall activo, monitoriza continuamente su configuración y la información de las sesiones con el firewall pasivo a través de los interfaces de HA. Si el firewall activo falla, entonces el pasivo detecta que se han perdido los heartbeats y automáticamente se vuelve activo. Si falla el interfaz de HA2 (sincronización de sesiones) no se realiza esta tarea, pero el cluster se mantiene igual. Si por el contrario falla el interfaz HA1 (sincronización de configuraciones), entonces fallan los heartbeats y ambos firewalls se vuelven activos. A continuación se resumen las ventajas de operar con arquitecturas montadas en alta disponibilidad: Disponibilidad del servicio, incluso aunque falle el equipo principal. Simplicidad en el diseño, al no requerir elementos extras para garantizar la disponibilidad. Garantía en el mantenimiento de las sesiones (las sesiones se sincronizan entre master y backup). Posibilidad de monitorizar varios elementos en la red (routers, servidores, salida a Internet,...), para tomar la decisión de conmutación más adecuada en cada momento (link monitoring y path monitoring). Posibilidad de montar una solución redundada entre CPDs separados geográficamente. Sencillez en la gestión (la configuración se realiza en el master y automáticamente se propaga al de backup, sin necesidad de intervención humana). Posibilidad de utilizar un modelo de HA activo-activo (a partir de la versión 4.0).

18 Página 18 de 100 Ejemplo de arquitectura mixta Para concluir con el capítulo de arquitecturas, a continuación presentamos una que nos parece interesante porque ejemplifica las capacidades de mezclar diferentes topologías, junto con la funcionalidad de firewalls virtuales sobre un hipotético caso real. La siguiente figura, Figura 8, muestra el diseño lógico de la red: Figura 8.- Diseño de red con firewalls virtuales en diferentes topologías La idea de la arquitectura es utilizar la clásica doble barrera de cortafuegos, compuesta por equipamiento de dos fabricantes diferentes con el fin de mejorar la seguridad. En estos escenarios es común que el cliente se pregunte dónde ubicar mejor el equipamiento de PAN: en la zona externa (Internet) o en la zona interna (LAN). Sobre la zona externa el equipo ofrece funcionalidades de seguridad y calidad de servicio muy interesantes (como filtrado IPS o QoS), mientras que en la zona interna también incluye

19 Página 19 de 100 capacidades muy significativas orientadas al control de los usuarios internos (integración con el directorio corporativo, filtrado de URLs, Antivirus o AntiSpyware). La arquitectura propuesta en la Figura 8, resuelve esta cuestión haciendo uso de la funcionalidad de firewalls virtuales y la capacidad de trabajar en entornos de arquitecturas mixtas. Así, se han creado tres sistemas virtuales sobre los equipos de PAN, que ofrecen los siguientes servicios: Cluster 1: Funcionalidades de IPS y QoS (entrada a Internet). Cluster 2: Funcionalidades de VPNs IPSec y SSL-VPN. Cluster 3: Cortafuegos interno, integrado con el directorio corporativo. El cluster virtual de entrada, configurado en modo Virtual Wire, ofrece funcionalidades de IPS y QoS, orientadas fundamentalmente a la protección y garantía de la calidad de las aplicaciones críticas del cliente. Puesto que el equipo se integra en modo bridge, es transparente en la arquitectura y no requiere realizar ningún tipo de segmentación IP extra. Tras el cluster de PAN de entrada, se encuentra el cluster de cortafuegos de otro fabricante, que ofrece segmentación y protección a la zona de VPNs y DMZs, como cortafuegos de perímetro. En la zona de DMZs se ha propuesto utilizar otro cluster virtual de PAN, que se encargará de dar servicio a las VPNs IPSec y SSL-VPN, para controlar el acceso de los usuarios remotos. Este cluster virtual está configurado a nivel 3 - routing. Finalmente, y en la zona interna, se añade un tercer cluster virtual (también en modo routing), para el control de los usuarios y los servicios internos. Como servicios fundamentales además de los típicos de cortafuegos, se propone integrar las funcionalidades de visibilidad y control de usuarios (User-ID), así como los servicios de URL Filtering y protección frente a viruses y spyware (Antivirus y AntiSpyware respectivamente). También es posible habilitar las funcionalidades de DLP (Data Loss Prevention), que auditarán y controlarán los contenidos que los usuarios pueden descargar o enviar hacia el exterior. Es interesante señalar que el resto de interfaces no utilizados, se pueden emplear en futuros sistemas virtuales o también emplearlos en modo visibilidad (tap o mirror), para obtener visibilidad a nivel de aplicación de redes internas, no segmentadas, en el caso de que surja algún problema en las mismas.

20 Página 20 de 100 Nota: Para realizar el correcto dimensionamiento del equipo, hay que tener en cuenta que hay determinados tipos de tráfico que pueden atravesar el equipo varias veces, duplicando por tanto su consumo en lo que a cálculo de throughput se refiere. Por ejemplo una sesión de navegación interna atravesará el Cluster 3 (LAN), así como el Cluster 1 (IPS). Si el tráfico desde las redes internas hacia el exterior representa por ejemplo 100 Mbps, habrá de evaluarse como 200 Mbps para calcular adecuadamente la plataforma a seleccionar (ver Anexo-A, con descripción de las capacidades de la plataforma).

21 Página 21 de 100 Funcionalidades fundamentales de PAN-OS En el presente capítulo se detallan las funcionalidades principales que ofrecen los firewalls de nueva generación de Palo Alto Networks, a través de su sistema operativo llamado PAN-OS, tomando como base las versiones 3.1.x. Haremos especial hincapié en aquellas características que consideramos capitales en el producto y que lo hacen realmente diferenciador en el mercado actual de la seguridad. Detalle del funcionamiento de App-ID App-ID es una tecnología de identificación de aplicaciones, pendiente de patente, capaz de identificar más de 1050 aplicaciones. Es la tecnología core dentro del producto, encargada de realizar la clasificación de todo el tráfico que el equipo gestiona. A continuación se resumen las ventajas fundamentales que ofrece el uso de la tecnología App-ID, dentro de los firewalls de Palo Alto: Facilita una comprensión más completa del valor del negocio, así como de los riesgos asociados a las aplicaciones que circulan por la red. Permite la creación de políticas, basadas en el uso apropiado de las aplicaciones. Ofrece visibilidad a nivel de aplicación y devuelve el control de la seguridad al firewall, de donde nunca debió salir. Haciendo una comparativa con los cortafuegos tradicionales (primera generación), App- ID sería el equivalente al protocolo Stateful Inspection que utilizan la mayoría de los fabricantes, pero realizando las tareas a nivel de aplicación (nivel 7) en vez de a nivel de por puerto/protocolo como hace Stateful Inspection (nivel 4). Su misión principal consiste en identificar el tráfico, indendientemente del puerto, protocolo, táctica evasiva o cifrado SSL que la aplicación pueda utilizar. Es crucial señalar que la aproximación que PAN ofrece a la seguridad se basa, gracias al uso de App-ID, en la lógica positiva. Esto significa que el equipo es capaz de inspeccionar el tráfico e identificarlo positivamente, porque entiende cómo operan las aplicaciones. El reflejo de esta operativa en la gestión de las políticas de seguridad, supone que los administradores han únicamente de habilitar aquellas aplicaciones que consideran útiles y necesarias para el desarrollo del negocio. Por el contrario, los

22 Página 22 de 100 modelos de seguridad tradicionales, basados en lógica negativa, no pueden identificar el tráfico y por tanto la seguridad que ofrecen se basa en la búsqueda, a ciegas, de patrones de comportamiento que se consideran perniciosos. Esto significa que ofrecen una visibilidad muy limitada y en muchos casos errónea, además de incurrir con mayor facilidad en la generación de falsos positivos (detección errónea de ataques sobre tráfico legítimo) o falsos negativos (no detección de ataques, cuando realmente lo son). Además de los aspectos relacionados únicamente con la seguridad, App-ID ofrece una visibilidad sin precedentes puesto que muestra realmente las aplicaciones que circulan por las redes, así como su comportamiento. Usada además junto con User-ID, los administradores pueden saber quién está utilizando la aplicación en base a su identidad corporativa, y no solamente por la dirección IP (ver capítulo posterior para encontrar información detallada sobre User-ID). App-ID es además capaz no solamente de identificar las aplicaciones base, sino diferentes subaplicaciones dentro de la misma aplicación padre, que pueden ofrecer capacidades y comportamientos diversos (por ejemplo WebEx base para realizar conferencias, frente a WebEx Desktop Sharing para compartir escritorios). Con estas armas, los administradores pueden utilizar un modelo positivo para bloquear las aplicaciones malignas, mientras que se permiten, inspeccionan y gestionan aquellas que están permitidas. Este punto es crucial, porque la respuesta en muchas ocasiones no es solamente permitir o bloquear, sino que hay que habilitar aplicaciones, que aun conllevando riesgos, son útiles para la operativa corporativa. App-ID permite precisamente realizar esta habilitación controlada de las aplicaciones. La identificación adecuada de la aplicación, es el primer paso para entender mejor el tráfico que circula por la red. Saber lo que la aplicación hace, los puertos que utiliza, su tecnología subyacente y las características de comportamiento, son la base para tomar una decisión mejor informada sobre cómo gestionar la aplicación. Una vez que se dispone de esta información, las organizaciones pueden tomar medidas más granulares que un simple permitir o bloquear, como por ejemplo: Permitir o bloquear Permitir pero analizar en búsqueda de exploits, viruses, Permitir en base al horario, los usuarios o los grupos Descifrar e inspeccionar Aplicar QoS

23 Página 23 de 100 Aplicar Policy Based Routing en función de la aplicación Permitir algunas funciones de la aplicación en vez de todas Cualquier combinación de las anteriores Módulos App-ID cuenta con cuatro módulos diferentes de operación, tal y como muestra la siguiente figura, Figura 9: Figura 9.- Módulos principales de App-ID El número de técnicas de identificación que se emplean, puede ser variable en función de cada aplicación y sus condiciones particulares de transporte. Asimismo, el orden en el que las técnicas se aplican también puede cambiar de una aplicación a otra. No obstante, el flujo general es el siguiente: Application Signatures: Se trata de la utilización de firmas basadas en contexto, que se emplean en primer lugar para buscar propiedades únicas y características relacionadas con las transacciones, que permitirán identificar la aplicación independientemente del protocolo y puerto usados. Las firmas también determinan si la aplicación está siendo utilizada por su puerto por defecto, o si por el contrario está utilizando un puerto no estándar (por ejemplo, RDP a través del puerto 80 en vez del puerto 3389, que es su puerto estándar). SSL Decryption: Si App-ID determina que se está empleando cifrado SSL (y existe una política de descifrado en la configuración), el tráfico se descifra y se envía a los siguientes módulos de identificación, según sea necesario. Es posible realizar inspección SSL tanto en tráfico entrante como saliente. En el

24 Página 24 de 100 caso del descifrado del tráfico entrante (por ejemplo contra los servidores web), el equipo no actúa activamente en la negociación SSL, y por tanto inspecciona el tráfico de modo transparente (necesita solamente tener una copia del certificado y clave privada utilizados). Si se detecta un ataque o tráfico maligno, realiza un reset de la sesión. Por otra parte, y para la inspección del tráfico SSL de salida (por ejemplo la navegación web de los usuarios internos), el equipo establece una sesión SSL con el cliente y otra con el destino real; se comporta por tanto de modo activo. En este caso, una vez que la aplicación se identifica y es aceptada por la política de seguridad, se aplican los perfiles de protección frente a amenazas configurados y el tráfico es posteriormente reencriptado y enviado a su destino original. Application Protocol Decoding: Si se necesita, los decodificadores de protocolo se emplean para averiguar si la aplicación está utilizando el protocolo como su transporte natural (por ejemplo HTTP como transporte de la navegación web), o si por el contrario solamente se utiliza como una técnica de ofuscación, para ocultar la aplicación real (por ejemplo Yahoo! Instant Messenger sobre HTTP). Los decodificadores de protocolo ayudan asimismo a afinar el rango posible de aplicaciones, proporcionando información valiosa sobre el contexto a las firmas así como a la identificación de ficheros u otros contenidos sensibles, que deben ser analizados por otros módulos (por ejemplo IPS o DLP). Heuristics. En ciertos casos (aproximadamente el 1% de todas las aplicaciones reconocidas), las tácticas evasivas que se emplean no pueden ser identificadas, a pesar del análisis avanzado de firmas y protocolos descrito anteriormente. En estas situaciones, se necesita utilizar técnicas heurísticas adicionales, o análisis del comportamiento, para identificar ciertas aplicaciones que utilizan mecanismos de cifrado propietarios (por ejemplo aplicaciones peer-to-peer, de VoIP como Skype- o de proxies personales como Ultrasurf). Las técnicas heurísticas se emplean, junto con el resto de técnicas revisadas en App-ID, para ofrecer visibilidad y control sobre aplicaciones que podrían de otro modo eludir la identificación positiva. Ejemplo del modo de trabajo de App-ID: Identificación de WebEx Cuando un usuario inicia una session WebEx, la conexión inicial tiene lugar bajo SSL. App-ID ve el tráfico y las firmas determinan que se está empleando cifrado SSL. El

25 Página 25 de 100 módulo de descifrado y los descodificadores de protocolo actúan entonces, para descifrar el tráfico SSL y detectar que se está empleando HTTP como protocolo de base. Una vez que el decodificador tiene el stream HTTP, el sistema puede aplicar entonces firmas adecuadas a ese contexto y detectar que la aplicación en uso es WebEx. A partir de ese momento se reporta el uso de WebEx, que puede ser además controlado a través de las políticas de seguridad. Si el usuario final inicia además una sesión de WebEx Desktop Sharing, WebEx cambia el modo de trabajo, de conferencia a aplicación de acceso remoto. En este escenario, las características de WebEx han cambiado y las firmas de aplicación detectan este nuevo comportamiento. De nuevo tanto el módulo de reporting como el de control mostrarán esta subaplicación, independientemente del protocolo de conferencia WebEx base - que podrá ser controlada según sea necesario. La siguiente figura, Figura 10, muestra un ejemplo del browser de App-ID, en el que se observan diversas aplicaciones y sus subcategorías, en base al ejemplo de WebEx que acabamos de revisar (obsérvese WebEx base frente a WebEx Desktop Sharing): Figura 10.- WebEx con diversas subaplicaciones y control con App-ID Categorización de las aplicaciones La base de datos de aplicaciones de Palo Alto, se divide en 5 categorías principales y 25 subcategorías, que pueden utilizarse para crear filtros en la generación de políticas. Además de la categoría y subcategoría, también se incluyen las características de comportamiento y la tecnología base para cada aplicación. Del mismo modo también se incluye una categorización del riesgo (1 a 5), asociado a cada aplicación. El valor de

26 Página 26 de 100 riesgo es asignado por los ingenieros de PAN y puede ser modificado por el cliente, si lo considera necesario. Gracias al uso granular que se puede hacer de este modo de categorización, los administradores pueden crear las políticas de seguridad en base a la lógica del negocio, de manera simple y efectiva. A continuación se listan la categoría, subcategoría, características y tecnología subyacente que utilizan los equipos de PAN: Categoría y Subcategoría: Business: Servicios de autenticación, bases de datos, ERP, gestión general, programas de oficina, software updates, almacenamiento / backup General Internet: Compartición de ficheros, utilidades de Internet (webbrowsing, toolbars, etc) Collaboration: , instant messaging, Internet conferencing, redes sociales, VoIP-video, web-posting Media: Audio-streaming, juegos, foto-video Networking: Túneles cifrados, infraestructura, protocolos-ip, proxy, acceso remoto, routing Características de las aplicaciones: Es capaz de transferir ficheros de una red a otra Es utilizada para propagar malware Consume 1 Mbps o más regularmente, en uso normal Evade la de detección a través del uso a propósito de un protocolo o puerto, que originalmente está diseñado para otro propósito Tiene una implantación amplia Hay vulnerabilidades conocidas para esa aplicación Es propensa a ser mal utilizada, o es fácilmente configurable para exponer más información de la que se pretende Tuneliza otras aplicaciones Tecnología subyacente: Client-server based Browser-based

27 Página 27 de 100 Peer-to-peer based Network protocol Actualizaciones periódicas La lista de aplicaciones que App-ID detecta crece rápidamente, con una media de entre 3 y 5 nuevas aplicaciones añadidas semanalmente, en base a la información recibida de los clientes, partners y las tendencias del mercado. La actualización de la base de datos de App-ID se realiza automáticamente desde el equipo, y puede programarse como una tarea recurrente (con opción de instalarla o solamente de descargarla para ser revisada antes de proceder a la instalación). Gestión de aplicaciones propietarias o desconocidas Aquellos clientes que tengan aplicaciones de propósito general no identificadas en su red, pueden tomar una captura de tráfico y enviar dicha información a Palo Alto Networks, para que se desarrollen los mecanismos necesarios para identificarla adecuadamente. App-ID categoriza estas aplicaciones desconocidas como unknowntcp ó unknown-udp. Una vez que un nuevo decoder o firma es desarrollado y chequeado en nuestros laboratorios, se añade a la lista como parte de las actualizaciones periódicas semanales, disponibles a partir de ese momento para todos los clientes. Si la aplicación es interna o propietaria, los administradores tienen entonces dos posibilidades para categorizarla: Application Override: Este mecanismo permite definir qué puertos utiliza la aplicación y caracterizarla únicamente en base a éstos parámetros. Firmas de aplicación personalizables: Si la aplicación trabaja sobre HTTP ó SSL, los administradores pueden crear firmas personales de identificación, que trabajan a nivel 7 a través del uso de un potente motor basado en expresiones regulares.

28 Página 28 de 100 Detalle del funcionamiento de User-ID User-ID permite integrar de modo transparente los firewalls de PAN con los servicios de directorio corporativo tales como Active Directory, edirectory ó LDAP (en éste último caso normalmente a través del uso de una API XML). Esto permite a los administradores enlazar la actividad de red con la información de usuarios y grupos, en vez de únicamente con las direcciones IP. Además, cuando User-ID se utiliza junto con las tecnología App-ID y Content-ID, las organizaciones pueden utilizar la información de usuario y grupo para obtener visibilidad, crear políticas de seguridad, hacer análisis forense y gestionar las amenazas, la navegación web y la actividad asociada a las transferencias de datos. Esta capacidad es especialmente interesante en las redes actuales, donde los usuarios están dotados de movilidad (cable, WI-FI, 3G, ), con diferentes ubicaciones geográficas posibles, y donde además se suele utilizar direccionamiento dinámico (DHCP), lo que hace complicado identificar de forma simple y rápida al usuario con la IP que tiene en un momento determinado. El resultado es que intentar utilizar la dirección IP como método de identificación de un usuario, es a día de hoy inadecuado, o cuando menos muy complejo. A continuación se enumeran algunos de los beneficios fundamentales que se obtienen a través del uso de User-ID: Analizar las aplicaciones, amenazas y navegación web en base a usuarios individuales o grupos, en contraposición a utilizar únicamente direcciones IP. Identificar a los usuarios de Citrix y Microsoft Terminal Services y aplicar políticas sobre sus respectivos usos de las aplicaciones. Construir políticas para habilitar la utilización positiva de aplicaciones para grupos específicos de usuarios, como marketing, TI o ventas. Obtener visibilidad en tiempo real sobre la utilización que los usuarios hacen de los recursos, así como identificar rápidamente qué usuarios pueden suponer una amenaza o sufren algún tipo de vulnerabilidad (infección por virus, spyware, ) Módulos User-ID cuenta con diversos mecanismos para proceder a la identificación de los usuarios, tal y como muestra la siguiente figura, Figura 11:

29 Página 29 de 100 Figura 11.- Módulos de identificación de usuarios en User-ID El módulo de Login Monitoring se encarga, a través de un agente que se instala en un PC de la red, de monitorizar la actividad de logging de los usuarios. El módulo de Role Discovery se encarga, también a través del agente, de correlar la información sobre la pertenencia de usuarios a grupos. El módulo de End Station Polling es el encargado de monitorizar la actividad de cada PC que está vivo en la red, para comprobar la dirección IP y usuario, y garantizar la coherencia de la información cuando los usuarios se mueven en la red, sin reautenticarse en el dominio. Finalmente Captive Portal ofrece una solución para autenticar a usuarios que no pertenecen al dominio, a través de una página web que incluye servicios de autenticación, o a través del uso de autenticación basada en NTLM. La potencia de User-ID se vuelve evidente cuando un administrador encuentra una aplicación en la red cuyo uso le resulta extraño (revelada a través de la tecnología App- ID). Entonces, y a través simplemente de unos cuantos clicks de ratón, puede determinar qué usuario o grupo de usuarios están utilizando esa aplicación. El administrador no ve solamente los usuarios de un determinado aplicativo, sino también el consumo de ancho de banda, el número de sesiones, los orígenes y destinos del tráfico así como cualquier posible amenaza asociada con dicha aplicación. También es factible, de nuevo de forma muy simple, investigar otras aplicaciones que ese usuario está empleando en un momento determinado.

30 Página 30 de 100 La siguiente figura, Figura 12, muestra un ejemplo de este tipo de análisis y visibilidad, para un usuario que está empleando Facebook base y cuyo uso nos llama la atención. Obsérvese que el administrador en primer lugar hace click sobre Facebook base para filtrar la información asociada a esta aplicación; posteriormente hace click sobre el usuario Ginger Poppe que está empleando Facebook base y finalmente obtiene todas las aplicaciones que este usuario está utilizando, junto con el uso de sesiones, ancho de banda consumido, posibles amenazas, (el dominio en este ejemplo es pancademo ): Ejemplo de visibilidad de la actividad de los usuarios Figura 12.- Ejemplo de la visibilidad de aplicaciones obtenida para un usuario concreto De modo similar al ejemplo anterior, la siguiente figura, Figura 13, muestra cómo es posible utilizar User-ID no únicamente con fines de obtención de visibilidad, sino también para establecer políticas de control en base a usuarios concretos o grupos de usuarios del directorio corporativo. Obsérvese que en la columna Source User se definen distintos usuarios para cada una de las políticas configuradas en este ejemplo:

31 Página 31 de 100 Ejemplo de control por usuario o grupo de usuarios Figura 13.- Ejemplo de control por usuarios y grupos con User-ID Obtener visibilidad en la actividad de las aplicaciones a nivel del usuario, y no sólo de la IP, es un paso necesario para retomar el control sobre las aplicaciones que circulan por la red. Los administradores pueden entonces alinear el uso de las aplicaciones con los requisitos de la unidad de negocio, y si fuera necesario, advertir al usuario sobre una posible violación de la política corporativa de uso, o tomar medidas más directas como bloquear el uso de determinadas aplicaciones a determinados usuarios. En los capítulos siguientes se analizará más en detalle las capacidades de configuración de User-ID. Integración con el directorio activo de Microsoft a través de PAN-Agent La integración de los firewalls de PAN con el directorio activo de Microsoft Active Directory- se realiza a través de la utilización de un agente específico, denominado Pan Agent. Este agente ha de instalarse sobre cualquier PC que pertenezca al dominio, siendo posible instalarlo sobre diferentes PCs si se desea dotar al servicio de redundancia. Es importante señalar que aunque es posible instalar el agente sobre los controladores de dominio Domain Controllers-, no es una práctica recomendable puesto que estos servidores son críticos y el único beneficio obtenido es un pequeño ahorro en el tráfico de red, que normalmente es conmutado además a través de redes LAN. Asimismo es importante señalar, que un único agente puede interpelar a múltiples controladores para un mismo dominio. Sin embargo, si es necesario gestionar varios dominios diferentes, es necesario instalar al menos un agente para cada uno de ellos.

32 Página 32 de 100 Por el contrario, un único firewall de PAN puede gestionar la información de múltiples dominios (que recibirá por tanto de diferentes agentes). La siguiente figura, Figura 14, muestra el flujo general que sufre una sesión desde que el usuario se identifica en el Directorio Activo, hasta que la información se integra dentro del cortafuegos de PAN: Figura 14.- Flujo general en la identificación de usuarios Una vez instalado el agente, que se comporta como un servicio de Windows, es necesario asignar un usuario a dicho servicio que tenga permisos para hacer logon en el dominio es decir que pertenezca al grupo Builtin/Users- y que pueda leer los logs de auditoría de seguridad de Windows - Manage auditing and security log-. Normalmente los administradores de dominio tienen asignado este permiso por defecto, por lo que resulta sencillo crear un usuario para éste propósito que pertenezca al grupo de administradores. No obstante, y si esto no es posible, es factible configurar un usuario que no pertenezca al grupo de administradores y al que se le puede otorgar manualmente el permiso requerido. Una vez que el agente está instalado y configurado, se encarga de obtener automáticamente la información sobre los usuarios y sus IPs actuales, así como su

33 Página 33 de 100 pertenencia a grupos. El agente envía, a través de una conexión vía SSL, toda esta información al firewall que es el encargado de actualizarla en su base de datos interna. En caso de que haya varios agentes dispersos por la red (por motivos de redundancia), el cortafuegos se encarga también de correlar la posible información duplicada que recibe de cada agente. La siguiente figura, Figura 15, muestra el detalle de la comunicación entre firewall, agente y controlador de dominio: Figura 15.- Detalle de la comunicación entre los diversos elementos que intervienen en la identificación de usuarios Todas las actualizaciones de usuarios son enviadas al firewall a través de su interfaz de gestión vía SSL (es posible definir qué puerto TCP se quiere emplear); también es posible configurar otro interfaz, si así se desea, para éste propósito. El agente PAN- Agent, además de monitorizar los logs y tablas de sesiones del Directorio Activo de Microsoft, también puede opcionalmente realizar consultas directamente a las estaciones de los clientes por NetBIOS ó WMI (para equipos de clientes que utilizan Windows Vista o Windows 7).