Firewalls de Siguiente Generación Expandiendo la seguridad a Nivel aplicación, usuario y contenido

Tamaño: px

Comenzar la demostración a partir de la página:

Download "Firewalls de Siguiente Generación Expandiendo la seguridad a Nivel aplicación, usuario y contenido"

Enrique Carmona Tebar
hace 6 años
Vistas:

1 Firewalls de Siguiente Generación Expandiendo la seguridad a Nivel aplicación, usuario y contenido Leticia Gammill Gerente Regional, Caribe y CentroAmérica

2 Agenda Stateful Inspection + Modulos ( IPS, AV, AC ) NGFW Que hace un NGFW ( APP-ID, Content-ID )? Malware Moderno / Bonets por comportamiento Visibilidad

000 Utilidades $255 $119 $49 $13 FY09 FY10 FY11 FY12 Clientes 10.000 Equipo de trabajo y tecnologia con experiencia 8.000 6.000 4.

3 Palo Alto Networks Características Empresa Fundada en 2005 Seguridad en aplicaciones Posibilidad de atender todas las necesidades de seguridad Habilidad para proveer soporte global a los clientes $MM $300 $250 $200 $150 $100 $50 $0 FYE July Utilidades $255 $119 $49 $13 FY09 FY10 FY11 FY12 Clientes Equipo de trabajo y tecnologia con experiencia Mas de 1000 empleados alrededor del mundo Jul-10 Jul-11 Oct , Palo Alto Networks. Confidential and Proprietary.

4 Hoy en día el Firewall no es suficiente Las políticas de seguridad son enforzadas en el firewall Definen límites Establecen accesos Los Firewalls tradicionales ya no funcionan hoy en día , Palo Alto Networks. Confidential and Proprietary.

5 Aplicaciones pasan a través de las aplicaciones: Amenazas Amenazas en las aplicaciones Usan vectores de ataque Explotacion de vulnerabilidades especificas de aplicaciones , Palo Alto Networks. Confidential and Proprietary.

6 Aplicaciones pasan a través de las aplicaciones: Exfiltración Aplicaciones proveen exfiltración Comunicación de amenazas Datos confidenciales , Palo Alto Networks. Confidential and Proprietary.

7 Aplicaciones pasan a través del Firewall: Cifrado Que pasa si el tráfico está encriptado? SSL Encripción propia , Palo Alto Networks. Confidential and Proprietary.

Descripción Técnica Wiki Stateful Inpection: En computo un stateful firewall (cualquier firewall que realiza stateful packet

de comunicación TCP,UDP) que lo atraviesan.

Solo los paquetes que concuerdan con las conexiones activas son lo que seran permitidos por el firewall, otros paquetes

8 Descripción Técnica Wiki Stateful Inpection: En computo un stateful firewall (cualquier firewall que realiza stateful packet inspection (SPI) o stateful inspection) es un firewall que mantiene rastreando el estado de las conexiones de red ( flujos de comunicación TCP,UDP) que lo atraviesan. Este tipo de firewall esta programado para distinguir paquetes legitimos para diferentes tipos de conexiones. Solo los paquetes que concuerdan con las conexiones activas son lo que seran permitidos por el firewall, otros paquetes serán rechazados Ver Hdr Len Service Type Total Length Identification Flags Fragment Offset Time To Live Protocol Header Checksum Source IP Address Destination IP Address IP Options (If Any) Padding Data

9 Que siguió? la solución UTM IPS Política AV Política URL Filtering Política IPS Signatures AV Signatures Firewall Política HTTP Decoder IPS Decoder AV Decoder & Proxy Port/Protocol-based ID Port/Protocol-based ID Port/Protocol-based ID Port/Protocol-based ID L2/L3 Networking, HA, Config Management, Reportin g L2/L3 Networking, HA, Config Management, Reportin g L2/L3 Networking, HA, Config Management, Reportin g L2/L3 Networking, HA, Config Management, Reportin g Page Palo Alto Networks. Proprietary and Confidential

10 Más cajas no solucionan el problema Los ayudantes del Firewall tienen visibilidad incompleta Compleja y costosa de mantener No resuelve los retos del control de aplicaciones UTM Internet IPS DLP IM AV URL Proxy Red Empresarial , Palo Alto Networks. Confidential and Proprietary.

11 Las aplicaciones han cambiado.. y el FW NO El Firewall es el punto indicado para hacer el control de aplicaciones Ve todo el tráfico El firewall es un punto de control de lógica positiva PERO las aplicaciones cambiaron y el Firewall? Ports Applications IP Addresses Users Packets Content Necesitamos reestabelecer visibilidad y control al firewall

Corresponde al Firewall habilitar la seguridad Traffic Firewall Port Policy Decision Port IPS Applications App Ctrl Policy Decision Application Control as an Add-on Port-based FW

enable applications NGFW Application Control Application control is in the firewall = single policy Traffic Application Visibility across all ports, for all traffic, all the time

12 Corresponde al Firewall habilitar la seguridad Traffic Firewall Port Policy Decision Port IPS Applications App Ctrl Policy Decision Application Control as an Add-on Port-based FW + App Ctrl (IPS) = two policies Applications are threats; only block what you expressly look for Implications Network access decision is made with no information Cannot safely enable applications NGFW Application Control Application control is in the firewall = single policy Traffic Application Visibility across all ports, for all traffic, all the time Implications Network access decision is made based on application identity Safely enable application usage Firewall Applications App Ctrl Policy Decision IPS Scan Application for Threats

App-ID = Habilitador de Aplicaciones Es un solo mecanismo ; Un habilitador basado en políticas App-ID Traffic App1 App2 App3 App4 Siempre es la primera accion, siempre habilitado,

13 App-ID = Habilitador de Aplicaciones Es un solo mecanismo ; Un habilitador basado en políticas App-ID Traffic App1 App2 App3 App4 Siempre es la primera accion, siempre habilitado, siempre rastreando el estado, en TODO el trafico, en TODAS las aplicaciones, en TODOS los puertos Identificando la aplicación como paso inicial es la única forma de habilitar aplicaciones

14 Tecnologias que diferencian a un NGFW App-ID Identify the application User-ID Identify the user Content-ID Scan the content

URLs, informaci ón confidencial One policy Procesamiento Paralelo Motores de HW específicos para el

15 Arquitectura Single-Pass Parallel Processing (SP3) Hasta 20Gbps, Baja Latencia Single Pass Se revisa el paquete una vez Clasificación de tráfico (app identification) Relacionar Usuarios/grupos Revisión de contenido amenazas, URLs, informaci ón confidencial One policy Procesamiento Paralelo Motores de HW específicos para el procesamiento paralelo Separación de los planos de control y datos , Palo Alto Networks. Confidential and Proprietary.

16 Que alcanzas a ver con un FW basado en puertos + Application Control Add-on

17 Cuando deberias de estar viendo lo que un verdadero Next- Generation Firewall puede ver

Control en la superficie de analisis de la Red Solamente permitimos las aplicaciones necesarias Limipiamos el trafico que por todas las amenzas en un solo paso»universo de aplicaciones»trafico

18 Control en la superficie de analisis de la Red Solamente permitimos las aplicaciones necesarias Limipiamos el trafico que por todas las amenzas en un solo paso»universo de aplicaciones»trafico limitado a las aplicaciones aprobadas por la empresa basadas en APP y Usuario.»Superficie de ataque reducida»biblioteca de amenazas completa sin tener puntos ciegos. Bi-directional inspection Scans inside of SSL Scans inside compressed files Scans inside proxies and tunnels

19 Estrategia en Malware Moderno Infection Escalation Remote Control Malware provee un punto de expasión y vulnerabilidad claro en las redes.

20 Métodos de control de amenazas Encrypted Traffic Inspect within SSL Circumventors and Tunnels Encryption (e.g. SSL) Proxies Common user-driven evasion Remote Desktop Increasingly popular tool for endusers Proxies (e.g CGIProxy) Compression (e.g. GZIP) Outbound C&C Traffic Compressed Content ZIP files and compressed HTTP (GZIP) Encrypted Tunnels Hamachi, Ultrasurf, Tor Purpose-built to avoid security 2012 Palo Alto Networks. Proprietary and Confidential

Amenazas desconocidas NGFW clasifica todo el trafico conocido

como aplicación desconocida para ser investigado Usado para encontrar

Automáticamente correlaciona comportamiento con usuario final Unknown

Contacto con DNS recientemente registrados, etc Encontrar al usuario en

0.0.24 192.168.1.5 10.1.1.16 192.168.124.5 10.1.1.56 10.1.1.34 10.1.1.277 192.

21 Amenazas desconocidas NGFW clasifica todo el trafico conocido Personalización App-IDs Cualquier otro tráfico se debe de investigado como aplicación desconocida para ser investigado Usado para encontrar botnets o amenazas desconocidas Behavioral Botnet Report Automáticamente correlaciona comportamiento con usuario final Unknown TCP and UDP, Dynamic DNS, Repetición/Intentos de download files, Contacto con DNS recientemente registrados, etc Encontrar al usuario en especifico que potencialmente esta comprometido por un Bot Jeff.Martin Page Palo Alto Networks. Proprietary and Confidential.

22 WildFire Centro de Análisis WildFire Análisis basado en Sandbox- busca más de 80 comportamientos maliciosos Genera reporte forense detallado Crea firmas de antivirus y C&C Protección enviada a los firewalls de clientes Envío de archivos por política Archivos potencialmente maliciosos del Internet Page 22

24 Reportes por usuario/aplicacion/contenido Consolidado

25 Manejo de incidentes de seguridad

26 Reportes NGFW

Identificar y controlar usuarios independiente de IP, ubicación o dispositivo 3.

27 La solución? Que el Firewall vuelva a hacer su trabajo 1. Identificar aplicaciones independiente de puerto, protocolo, táctica evasiva o SSL 2. Identificar y controlar usuarios independiente de IP, ubicación o dispositivo 3. Proteger contra amenazas conocidas y desconocidas 4. Visibilidad granulary control de políticas sobre el acceso a aplicaciones y su funcionalidad 5. Multi-gigabit, baja latencia, implementación en línea , Palo Alto Networks. Confidential and Proprietary.

28 Gartner Enterprise Network Firewall Market Magic Quadrant Magic Quadrant , Palo Alto Networks. Confidential and Proprietary.

29 Gracias! Page Palo Alto Networks. Proprietary and Confidential

Documentos relacionados

Firewalls de Siguiente Generación Expandiendo la seguridad a Nivel aplicación, usuario y contenido. Vicente Monarque vmonarque@paloaltonetworks.

Firewalls de Siguiente Generación Expandiendo la seguridad a Nivel aplicación, usuario y contenido Vicente Monarque vmonarque@paloaltonetworks.com Agenda Stateful Inspection + Modulos ( IPS, AV, AC ) NGFW