Resumen del firewall de nueva generación

Transcripción

1 Resumen del firewall de nueva generación Los avances empresariales y tecnológicos han ido mermando de manera continua la protección que proporcionaba el firewall tradicional. Los usuarios ya esperan poder trabajar desde cualquier lugar que deseen, ya sea la oficina, su casa, una habitación de hotel o una cafetería, lo que deja obsoleto el concepto tradicional de perímetro. Además, las aplicaciones esquivan con facilidad los tradicionales firewalls basados en puertos mediante el salto de puertos, el uso de SSL y SSH, el acceso a través del puerto 80 o el uso de puertos no estándar. Los intentos de restablecer la visibilidad y el control han generado políticas de seguridad duplicadas para los usuarios locales y remotos. La política local incluye el despliegue de ayudantes de firewall, ya sea de forma independiente o mediante la integración de soluciones alternativas de terceras partes, mientras que la política de usuario remoto se proporciona a través de ofertas de punto final paralelas. Estos enfoques introducen incoherencia entre políticas y no resuelven el problema de visibilidad y control debido a una clasificación del tráfico imprecisa o incompleta, una gestión complicada y varios procesos de exploración provocados por la latencia. La restauración de la visibilidad y el control requiere un enfoque nuevo, renovado y completo. Por tanto, es necesario un firewall de nueva generación que unifique las políticas de seguridad para todos los usuarios y todas las aplicaciones, tanto locales como remotos. Requisitos clave que deben cumplir los firewalls de nueva generación: Identificar aplicaciones y no solo puertos: Identificar con exactitud qué aplicación es, en todos los puertos, independientemente del protocolo, la codificación (SSL o SSH) o la táctica evasiva. La identidad de la aplicación se convierte en la base para todas las políticas de seguridad. Identificar usuarios y no solo direcciones IP: Aprovechar la información de usuarios y grupos almacenada en los directorios de empresa para la visibilidad, creación de políticas, generación de informes e investigación forense, con independencia de dónde se encuentre el usuario. Identificar el contenido en tiempo real: Proteger la red de los exploits de vulnerabilidad y del software malicioso incrustado en el tráfico de aplicaciones, con independencia del origen. Simplificar la gestión de políticas: Proporcionar de forma segura a las aplicaciones herramientas gráficas fáciles de usar que les permita compartir una política unificada. Habilitar un perímetro lógico: Garantizar a todos los usuarios, incluidos los que viajan y los teletrabajadores, una seguridad constante que se extienda del perímetro físico al perímetro lógico. Proporcionar un rendimiento multi-gigabit: Combinar hardware y software creados especialmente para permitir un rendimiento multi-gigabit de baja latencia con todos los servicios activados. Los firewalls de nueva generación de Palo Alto Networks permiten una visibilidad y un control sin precedentes de las aplicaciones, los usuarios y el contenido (no solo de los puertos, las direcciones IP y los paquetes) gracias a tres tecnologías de identificación exclusivas: App-ID, User-ID y Content-ID. Estas tecnologías de identificación, que se encuentran en todos los firewalls empresariales de Palo Alto Networks, permiten a las empresas adoptar la Web 2.0, y mantener una visibilidad y un control completos, al tiempo que se reduce significativamente el coste total de propiedad gracias a la consolidación de dispositivos.

2 App-ID: Clasificación de aplicaciones, de todos los puertos, en todo momento La clasificación precisa del tráfico es la clave de cualquier firewall y en ello se basará la política de seguridad. Los firewalls tradicionales clasifican el tráfico por puerto y protocolo, lo que, en un momento dado, era un mecanismo satisfactorio para asegurar el perímetro. Actualmente, las aplicaciones pueden esquivar con facilidad un firewall basado en puertos mediante el salto de puertos, el uso de SSL y SSH, el acceso a través del puerto 80 o el uso de puertos no estándar. App-ID TM hace frente a las limitaciones de visibilidad en la clasificación del tráfico que afectan a los firewalls tradicionales mediante la aplicación de varios mecanismos de clasificación al flujo de tráfico, tan pronto como lo detecta el dispositivo, para determinar la identidad exacta de las aplicaciones que recorren la red. A diferencia de las ofertas adicionales que se basan únicamente en firmas IPS, implementadas tras la clasificación basada en puertos, cada App-ID utiliza automáticamente hasta cuatro mecanismos diferentes de clasificación de tráfico para determinar la identidad exacta de la aplicación. No es necesario aplicar ajustes específicos a una determinada aplicación, App-ID clasifica el tráfico de forma continua, con el mecanismo de identificación apropiado, lo que tiene como resultado la identificación coherente y precisa de las aplicaciones, en todos los puertos, para todo el tráfico, todo el tiempo, hasta un nivel funcional en muchos casos. Detección y descodificación del protocolo de aplicaciones Descodificación del protocolo de aplicaciones Firma de la aplicación Heurística Mientras las aplicaciones se identifican mediante mecanismos sucesivos, la comprobación de políticas determina cómo tratarlas: bloquear, permitir o habilitar de forma segura (explorar y bloquear amenazas incrustadas, inspeccionar la transferencia no autorizada de archivos y patrones de datos o moldear el tráfico mediante QoS (Quality of Service o calidad de servicio). empresariales del mercado: Active Directory, edirectory, Open LDAP, Citrix, Microsoft Terminal Server y XenWorks. Una API XML y un portal cautivo completan la gama de mecanismos que permiten a las organizaciones incorporar información del usuario en sus políticas de seguridad. Un agente de User-ID basado en la red se comunica con el controlador de dominio y asigna la información del usuario a la dirección IP que se utiliza en un momento determinado Supervisión de conexión Sondeo de terminal User-ID Detección de función Portal cautivo Paul I Engineering Grupo financiero La información de usuario y grupo proporcionada por User- ID predomina en todas las funciones del firewall de nueva generación de Palo Alto Networks, incluidos Application Command Center, el editor de informes, y la generación de registros e informes. Content-ID: Protección del tráfico permitido En la actualidad, los empleados utilizan cualquier aplicación que deseen tanto para fines laborales como personales; al mismo tiempo, los atacantes aprovechan este uso sin restricciones para lograr sus objetivos. Content-ID, junto con App-ID, proporciona a los administradores una solución de dos frentes para proteger sus activos de red. Nancy I App-ID se puede utilizar para identificar y controlar las aplicaciones en la red, lo que permite el uso de aplicaciones específicas. Después, mediante Content-ID, se pueden aplicar políticas específicas a cada aplicación para bloquear ataques, y limitar la transferencia de archivos y datos sensibles no autorizados. Como complemento de los elementos de control que ofrece Content-ID, existe una extensa base de datos URL para controlar la navegación por Internet. User-ID: Habilitación de aplicaciones por usuarios y grupos Tradicionalmente, las políticas de seguridad se aplicaban en función de las direcciones IP, pero la naturaleza cada vez más dinámica de los usuarios y la informática implica que las direcciones IP por sí solas han dejado de ser un mecanismo eficaz para supervisar y controlar la actividad del usuario. User-ID integra perfectamente los firewalls de nueva generación de Palo Alto Networks con la más amplia gama de directorios DATOS N.º de tarjeta de crédito N.º de la Seguridad Social Archivos AMENAZAS Exploits de vulnerabilidad Virus Spyware Content-ID Filtrado de Internet URL PÁGINA 2

3 Content-ID utiliza un motor de exploración basada en el flujo y un formato de firma uniforme para buscar y bloquear un gran número de ataques, incluidos exploits de vulnerabilidad, virus, spyware y gusanos. El concepto de exploración basada en el flujo significa que la prevención de amenazas comienza tan pronto como se explora el primer paquete mientras que el formato de firma uniforme elimina los procesos redundantes comunes a varias soluciones de motor de exploración (reensamblaje de TCP, búsqueda de política, inspección, etc.). El resultado es una reducción de la latencia y una mejora del rendimiento. Habilitación segura de aplicaciones La perfecta integración de App-ID, User-ID y Content-ID permite a las organizaciones establecer políticas coherentes de habilitación de aplicaciones, hasta el nivel funcional en muchos casos, que abarcan el espectro de la permisividad, desde permitir hasta denegar. Las mismas políticas que protegen a los usuarios dentro de la sede corporativa se pueden extender a todos los usuarios, con independencia de dónde se encuentren, con lo que se establece un perímetro lógico para los usuarios fuera de la empresa. Las políticas de habilitación segura comienzan con la identidad de la aplicación, determinada por App-ID, tan pronto como el tráfico alcanza el dispositivo. A continuación, la identidad de la aplicación se asigna al usuario asociado con User-ID, mientras que Content-ID explora el contenido del tráfico en busca de amenazas, archivos, patrones de datos y actividad de Internet. Estos resultados se muestran en Application Command Center (ACC), donde el administrador puede conocer, casi en tiempo real, lo que sucede en la red. A continuación, en el editor de políticas, los puntos de datos extraídos de ACC sobre aplicaciones, usuarios y contenido se pueden convertir en políticas de seguridad adecuadas que bloquean las aplicaciones no deseadas, al tiempo que permiten y habilitan otras de forma segura. Por último, cualquier análisis detallado, generación de informes o investigación forense se puede realizar, de nuevo, a partir de aplicaciones, usuarios y contenido. Application Command Center: La información es poder Application Command Center (ACC) utiliza un subconjunto de la base de datos de registro para mostrar gráficamente un importante resumen de las aplicaciones que recorren la red, quién las utiliza y el impacto que pueden tener en la seguridad. ACC se actualiza dinámicamente, ya que aprovecha la continua clasificación del tráfico que realiza App-ID; si una aplicación cambia los puertos, App-ID sigue observando el tráfico y muestra los resultados en App- ID. No hay ajustes que modificar, ni firmas que habilitar o configurar. Las aplicaciones nuevas o desconocidas que aparecen en ACC se pueden investigar rápidamente con un solo clic que mostrará una descripción de la aplicación, sus funciones clave, sus características de comportamiento y quién la está utilizando. La información adicional sobre las categorías de URL, las amenazas y los datos proporciona un panorama completo y detallado de la actividad de la red. Con ACC, los administradores pueden obtener de forma rápida información adicional sobre el tráfico que recorre la red y, después, convertir dicha información en una política de seguridad con mayor fundamento. Visibilidad de aplicaciones Visualice la actividad de la aplicación en un formato claro e inteligible. Añada y elimine filtros para obtener información adicional sobre la aplicación, sus funciones y quién las utiliza. PÁGINA 3

4 Creación de políticas Su aspecto familiar permite crear y desplegar de forma rápida políticas que controlen las aplicaciones, los usuarios y el contenido. Editor de políticas: Conversión de la información en políticas de habilitación segura El acceso inmediato a la información sobre qué aplicaciones recorren la red, quién las utiliza y el riesgo potencial de seguridad permite a los administradores desplegar rápidamente políticas de habilitación de aplicaciones, funciones de aplicaciones y basadas en puertos de una manera sistemática y controlada. Las políticas incluyen respuestas que pueden ir desde abiertas (permitir), pasando por moderadas (habilitación de ciertas aplicaciones o funciones, a continuación explorar, o moldear, programa, etc.), hasta cerradas (denegar). Algunos ejemplos serían: Aprovechar la información de usuario y grupo para asignar a los grupos de ventas y marketing acceso a Salesforce.com. Proteger los datos de la base de datos Oracle con una limitación de acceso a grupos financieros, forzando el tráfico a través de los puertos estándar, e inspeccionar el tráfico en busca de vulnerabilidades de aplicaciones. Permitir sólo al grupo de TI el uso de un conjunto establecido de aplicaciones de gestión a través de sus puertos estándar. Definir e imponer una política corporativa que permita e inspeccione el uso específico de webmail y mensajería instantánea. Permitir el uso de MSN y Google Talk, pero bloquear el uso de sus respectivas funciones de transferencia de archivos. Permitir el uso de SharePoint Admin solo al equipo de administración de SharePoint, y permitir el acceso a SharePoint Docs a todos los demás usuarios. Implementar políticas de QoS (Quality of Service o calidad de servicio) que permitan aplicaciones multimedia y otras aplicaciones de uso intensivo del ancho de banda pero que limiten su impacto en aplicaciones VoIP. Identificar la transferencia de información confidencial, como los números de tarjetas de crédito o de la Seguridad Social, en formato de texto o archivo. Desplegar políticas de filtrado de URL que bloqueen el acceso a páginas obviamente no relacionadas con el trabajo, supervisar las páginas cuestionables y controlar el acceso a otras mediante páginas de bloque personalizables. Denegar todo el tráfico procedente de determinados países o bloquear aplicaciones no deseadas, como el uso compartido de archivos P2P, circumventors y proxies externos. La perfecta integración del control de aplicaciones, basado en usuarios y grupos, y la capacidad de explorar el tráfico permitido para detectar un gran número de amenazas, permite a las organizaciones reducir drásticamente el número de políticas desplegadas junto con el número de incorporaciones, movimientos y cambios de empleados que pueden ocurrir a diario. PÁGINA 4

5 Visibilidad de contenido y amenazas Visualice la URL, la amenaza y la actividad de transferencia de datos o archivos en un formato claro e inteligible. Añada y elimine filtros para obtener información adicional sobre elementos individuales. Editor de políticas: Protección de aplicaciones habilitadas La habilitación de aplicaciones de forma segura significa permitir el acceso a las aplicaciones y, a continuación, aplicar la prevención de amenazas específicas y las políticas de bloqueo de archivos, datos o tráfico de Internet con Content- ID. Cada uno de los elementos incluidos en Content-ID se puede configurar en función de la aplicación o la función de la aplicación, lo que permite a los administradores ser muy precisos en sus esfuerzos de prevención. Sistema de prevención de intrusiones (IPS): La protección de vulnerabilidades integra un completo conjunto de funciones del sistema de prevención de intrusiones (Intrusion Prevention System, IPS) para bloquear exploits de vulnerabilidad, tanto conocidos como desconocidos, en la capa de aplicación y en la red, desbordamientos en la memoria intermedia, ataques DoS y exploraciones de puertos. Antivirus de red: La protección frente a virus basada en flujo protege frente a millones de variantes de software malicioso, incluidos virus en PDF y software malicioso oculto en archivos comprimidos o tráfico de Internet (HTTP/HTTPS comprimido). La descodificación SSL basada en políticas permite a las organizaciones protegerse frente al software malicioso que se desplaza a través de las aplicaciones con codificación SSL. Filtrado de URL: Una base de datos de filtrado de URL personalizable y totalmente integrada de más de 20 millones de URL divididas en 76 categorías permite a los administradores aplicar políticas granulares de navegación por Internet, complementar la visibilidad de las aplicaciones y las políticas de control, además de proteger a la empresa de todo un espectro de riesgos legales, reguladores y de productividad. Filtrado de archivos y datos: Las funciones de filtrado de datos permiten a los administradores implementar políticas que reduzcan los riesgos asociados a las transferencias de archivos y datos. Las transferencias y descargas de archivos se pueden controlar observando el interior del archivo (en lugar de observar simplemente la extensión del archivo), para determinar si se permite o no. Los archivos ejecutables, que por lo general se encuentran en descargas ocultas, se pueden bloquear para proteger la red de la propagación de software malicioso oculto. Por último, las funciones de filtrado de datos pueden detectar y controlar el flujo de patrones de datos confidenciales (números de tarjetas de crédito o de la Seguridad Social). Supervisión del tráfico: Análisis, generación de informes e investigación forense Las prácticas recomendadas sobre seguridad establecen que los administradores deben mantener un equilibrio entre una actitud proactiva, mediante el aprendizaje y la adaptación continuos para proteger los activos corporativos, y una reactiva, mediante la investigación, el análisis y la generación de informes sobre incidentes de seguridad. ACC y el editor de políticas se pueden utilizar para aplicar de forma proactiva políticas de habilitación de aplicaciones, al mismo tiempo que un completo conjunto de herramientas de supervisión y generación de informes proporciona a las organizaciones los medios necesarios para analizar e informar sobre la aplicación, los usuarios y el contenido que fluye a través del firewall de nueva generación de Palo Alto Networks. App-Scope: para complementar la vista en tiempo real de aplicaciones y contenido proporcionada por ACC, App-Scope ofrece una vista de la aplicación dinámica que el usuario puede personalizar, así como la actividad del tráfico y las amenazas a lo largo de un periodo de tiempo. PÁGINA 5

6 Generación de informes: los informes predefinidos se pueden utilizar tal como están, o bien pueden personalizarse o agruparse en un solo informe con el fin de adaptarse a los requisitos específicos. Todos los informes se pueden exportar a formato CSV o PDF y se pueden ejecutar y enviar por correo electrónico de forma programada. Detección de botnet basada en comportamiento: Los datos relativos a aplicaciones desconocidas, tráfico IRC, páginas de software malicioso, DNS dinámico y dominios de nueva creación se analizan, y los resultados se muestran en la lista de host potencialmente infectados que pueden investigarse como miembros de una botnet. Generación de registros: El filtrado de registros en tiempo real facilita la rápida investigación forense de cada sesión que recorre la red. Los resultados del filtro de registro pueden exportarse a un archivo CSV o enviarse a un servidor syslog para poder archivarlos fuera de línea o realizar análisis adicionales. Herramienta de seguimiento de sesión: acelera la investigación forense o de incidentes con una vista centralizada y correlacionada a través de todos los registros de tráfico, amenazas, URL y aplicaciones relacionadas con una sesión individual. GlobalProtect: Extensión de control de políticas a todos los usuarios Para los usuarios que se encuentran dentro del perímetro físico, la aplicación de políticas de seguridad con un firewall de nueva generación es sencilla. El firewall clasifica el tráfico, se aplican políticas de habilitación, se explora el tráfico en busca de amenazas y la red está protegida. Sin embargo, el rápido ritmo de los negocios en la actualidad ha obligado a una abstracción de las aplicaciones, los usuarios y el contenido del perímetro físico, por lo que el despliegue y la aplicación de un conjunto coherente de políticas de seguridad resultan casi imposibles para los usuarios remotos. GlobalProtect extiende las mismas políticas basadas en firewall de nueva generación que se aplican dentro del perímetro físico a todos los usuarios, con independencia de dónde se encuentren. En la práctica, Global Protect establece un perímetro lógico que refleja el perímetro físico. Los empleados que trabajan desde casa, están en viaje de negocios o conectados desde una cafetería estarán protegidos por el perímetro lógico de la misma manera que lo estarían si estuvieran trabajando en su oficina. Global Protect ofrece una importante ventaja a las organizaciones: una política de seguridad basada en firewall coherente para todos los usuarios. Se elimina la creación y gestión de políticas independientes para firewalls y usuarios remotos, al igual que los esfuerzos de gestión asociados. El resultado es una infraestructura de seguridad optimizada y una política de seguridad más coherente. Road Warrior (usuario remoto) Usuario en sede central Global Protect Aplique políticas coherentes de habilitación segura de aplicaciones para todos los usuarios, con independencia de dónde se encuentren. Usuario en sucursal Usuario en despacho Palo Alto Networks 232 E. Java Drive Sunnyvale, CA Ventas Copyright 2011, Palo Alto Networks, Inc. Todos los derechos reservados. Palo Alto Networks, el logotipo de Palo Alto Networks, PAN-OS, App-ID y Panorama son marcas comerciales de Palo Alto Networks, Inc. Todas las especificaciones están sujetas a modificaciones sin previo aviso. Palo Alto Networks no se hace responsable de las imprecisiones que pudiera contener este documento ni asume ninguna obligación de actualizar la información del mismo. Palo Alto Networks se reserva el derecho a cambiar, modificar, transferir o revisar de alguna otra forma esta publicación sin previo aviso. PAN-OS 4.0, marzo de 2011.