Resumen del firewall de nueva generación

Transcripción

1 Resumen del firewall de nueva generación Los recientes cambios en el comportamiento de las aplicaciones y en los patrones de uso han ido mermando de manera continua la protección que antes proporcionaba el firewall tradicional. Los usuarios acceden a cualquier aplicación, desde cualquier ubicación, en muchas ocasiones, para hacer su trabajo. Muchas de estas aplicaciones utilizan puertos no estándar, puertos intermedios, o utilizan codificación para simplificar y facilitar el acceso del usuario y evitar el firewall. Los ciberdelincuentes aprovechan al máximo este uso sin restricciones de las aplicaciones para difundir una nueva clase de moderno software malicioso con objetivos muy específicos. El resultado es que el firewall tradicional, que se apoyaba en puertos y protocolos, ya no puede identificar ni controlar las aplicaciones y las amenazas que circulan por la red. Los intentos de recuperar el control sobre el uso de las aplicaciones y de proteger los activos digitales para todos los usuarios han producido políticas de seguridad duplicadas, locales y remotas, con el apoyo de un sector de ayudantes de firewall integrados autónomos o alternativos de terceras partes. Este enfoque introduce incoherencia entre políticas y no resuelve los problemas de visibilidad y control debido a una clasificación del tráfico imprecisa o incompleta, una gestión complicada y varios procesos de exploración provocados por la latencia. El restablecimiento de la visibilidad y del control requiere un enfoque nuevo, renovado y completo para la habilitación segura de aplicaciones que solo puede ofrecer un firewall de nueva generación. Requisitos clave que deben cumplir los firewalls de nueva generación: Identificación de aplicaciones, no de puertos. Identificación de las aplicaciones, independientemente del protocolo, la codificación o la táctica evasiva y uso de la identidad como base para todas las políticas de seguridad. Identificación de usuarios y no de direcciones IP. Aprovechar la información de usuarios y grupos almacenada en los directorios de empresa para la visibilidad, creación de políticas, generación de informes e investigación forense, con independencia de dónde se encuentre el usuario. Bloqueo de las amenazas en tiempo real. Protección del ciclo de vida completo frente a ataques, incluyendo aplicaciones peligrosas, vulnerabilidades, software malicioso, URL de alto riesgo y una amplia gama de archivos y contenidos maliciosos. Simplificar la gestión de políticas. Habilitación segura de las aplicaciones con herramientas gráficas fáciles de usar y un editor de políticas unificado. Habilitación de un perímetro lógico. Garantizar a todos los usuarios, incluidos los que viajan y los teletrabajadores, una seguridad constante que se extienda del perímetro físico al perímetro lógico. Proporcionar un rendimiento multi-gigabit. Combinar hardware y software creados especialmente para permitir un rendimiento multi-gigabit de baja latencia con todos los servicios activados. Los firewalls de nueva generación de Palo Alto Networks permiten una visibilidad y un control sin precedentes de las aplicaciones, los usuarios y el contenido gracias a tres tecnologías de identificación exclusivas: App-ID TM, User-ID e Content-ID. Estas tecnologías de identificación, que se encuentran en todos los firewalls empresariales de Palo Alto Networks, permiten a las empresas habilitar el uso de aplicaciones de forma segura, al tiempo que se reduce significativamente el coste total de propiedad gracias a la consolidación de dispositivos.

2 App-ID: Clasificación de todas las aplicaciones, de todos los puertos, en todo momento La clasificación precisa del tráfico es la clave de cualquier firewall y en ello se basará la política de seguridad. Los firewalls tradicionales clasifican el tráfico por puerto y protocolo, lo que, en un momento dado, era un mecanismo satisfactorio para asegurar la red. Actualmente, las aplicaciones pueden esquivar con facilidad un firewall basado en puertos mediante su evasión, el uso de SSL y SSH, el acceso a través del puerto 80 o el uso de puertos no estándar. App-ID hace frente a las limitaciones de visibilidad en la clasificación del tráfico que afectan a los firewalls tradicionales mediante la aplicación de varios mecanismos de clasificación al flujo de tráfico, tan pronto como lo detecta el firewall, para determinar la identidad exacta de las aplicaciones que recorren la red. A diferencia de las ofertas adicionales que se basan únicamente en firmas IPS, implementadas tras la clasificación basada en puertos, cada App-ID utiliza automáticamente hasta cuatro mecanismos diferentes de clasificación de tráfico para identificar la aplicación. App-ID supervisa continuamente el estado de la aplicación, reclasificando el tráfico e identificando las diferentes funciones que se están utilizando. La política de seguridad determina cómo tratar la aplicación: bloquear, permitir o habilitar de forma segura (explorar y bloquear amenazas, inspeccionar la transferencia no autorizada de archivos y patrones de datos o moldear el tráfico mediante QoS (Quality of Service o calidad de servicio). Detección y descodificación del protocolo de aplicaciones Descodificación del protocolo de aplicaciones Firma de la aplicación Heurística La información de los usuarios se puede recoger de directorios empresariales (Microsoft Active Directory, edirectory y Open LDAP) y de ofertas de servicios de terminal (Citrix y Microsoft Terminal Services), mientras que la integración con Microsoft Exchange, un Portal cautivo y una API XML permite a las organizaciones extender la política a usuarios de Apple Mac OS X, Apple ios y UNIX que residen habitualmente fuera del dominio Supervisión de conexión Sondeo de terminal User-ID Detección de función Portal cautivo Paul I Ingeniería Grupo financiero Steve I Financiero Nancy I Marketing Content-ID: Protección del tráfico permitido Muchas de las aplicaciones actuales proporcionan ventajas significativas, pero también se están utilizando como herramienta de entrega para moderno software malicioso y amenazas. Content-ID, junto con App-ID, proporciona a los administradores una solución de dos frentes para proteger la red. Después de utilizar App-ID para identificar y bloquear aplicaciones no deseadas, los administradores pueden habilitar de manera segura las aplicaciones autorizadas evitando que exploits de vulnerabilidad, software malicioso moderno, virus, botnets y otros tipos de software malicioso se propaguen a través de la red, todo ello independientemente del puerto, el protocolo o el método de evasión. Como complemento de los elementos de control que ofrece Content-ID, existe una extensa base de datos URL para controlar la navegación por Internet y las funciones de filtrado de datos. User-ID: Habilitación de aplicaciones por usuarios y grupos Tradicionalmente, las políticas de seguridad se aplicaban en función de las direcciones IP, pero la naturaleza cada vez más dinámica de los usuarios y la informática implica que las direcciones IP por sí solas han dejado de ser un mecanismo eficaz para supervisar y controlar la actividad del usuario. User-ID permite que las organizaciones extiendan políticas de habilitación de aplicaciones basadas en usuarios o en grupos entre usuarios de Microsoft Windows, Apple Mac OS X, Apple ios y Linux. DATOS N.º de tarjeta de crédito N.º de la Seguridad Social Archivos AMENAZAS Exploits de vulnerabilidad Virus Spyware Content-ID Filtrado de Internet URL PÁGINA 2

3 Habilitación segura de aplicaciones La perfecta integración de App-ID, User-ID y Content-ID permite a las organizaciones establecer políticas coherentes de habilitación de aplicaciones, hasta el nivel funcional de la aplicación en muchos casos, que van más allá de la autorización o la denegación básicas. Con GlobalProtect, las mismas políticas que protegen a los usuarios dentro de la sede corporativa se extienden a todos los usuarios, con independencia de dónde se encuentren, con lo que se establece un perímetro lógico para los usuarios fuera de la red. Las políticas de habilitación segura se inician con la determinación, por parte de App-ID, de la identidad de la aplicación, que se asigna entonces al usuario asociado con User-ID, mientras que Content-ID explora el contenido del tráfico en busca de amenazas, archivos, patrones de datos y actividad de Internet. Estos resultados se muestran en Application Command Center (ACC), donde el administrador puede conocer, casi en tiempo real, lo que sucede en la red. A continuación, en el editor de políticas, la información que se ve en ACC sobre aplicaciones, usuarios y contenido se pueden convertir en políticas de seguridad adecuadas que bloquean las aplicaciones no deseadas, al tiempo que permiten y habilitan otras de forma segura. Por último, cualquier análisis detallado, generación de informes o investigación forense se puede realizar, de nuevo, a partir de aplicaciones, usuarios y contenido. Application Command Center: La información es poder Application Command Center (ACC) resume gráficamente la base de datos de registro para resaltar las aplicaciones que recorren la red, quién las utiliza y el impacto que pueden tener en la seguridad. ACC se actualiza dinámicamente, utilizando la continua clasificación del tráfico que realiza App-ID; si una aplicación cambia los puertos o el comportamiento, App-ID sigue observando el tráfico y muestra los resultados en ACC. Las aplicaciones nuevas o desconocidas que aparecen en ACC se pueden investigar rápidamente con un solo clic que mostrará una descripción de la aplicación, sus funciones clave, sus características de comportamiento y quién la está utilizando. La visibilidad adicional de las categorías de URL, las amenazas y los datos proporciona un panorama completo y detallado de la actividad de la red. Con ACC, los administradores pueden obtener de forma rápida información adicional sobre el tráfico que recorre la red y, después, convertir dicha información en una política de seguridad con mayor fundamento. Editor de políticas: Conversión de la información en políticas de habilitación segura La información sobre qué aplicaciones recorren la red, quién las utiliza cuáles son los riesgos potenciales de seguridad, permite a los administradores desplegar rápidamente políticas de habilitación de aplicaciones, funciones de aplicaciones y funciones basadas en puertos de una manera sistemática y controlada. Las políticas incluyen respuestas que pueden ir desde abiertas (permitir), pasando por moderadas (habilitación de ciertas aplicaciones o funciones), hasta cerradas (denegar). Algunos ejemplos serían: Proteger una base de datos Oracle con una limitación de acceso a grupos financieros, forzando el tráfico a través de los puertos estándar, e inspeccionar el tráfico en busca de vulnerabilidades de aplicaciones. Permitir sólo al grupo de TI el uso de un conjunto establecido de aplicaciones remotas de gestión (ej., SSH, RDP, Telnet) a través de sus puertos estándar. Definir e imponer una política corporativa que permita e inspeccione el uso específico de webmail y mensajería instantánea pero bloquee sus respectivas funciones de transferencia de archivos. Permitir el uso de Microsoft SharePoint Administration solo al equipo de administración, y permitir el acceso a Microsoft SharePoint Documents a todos los demás usuarios. Visibilidad de aplicaciones Visualice la actividad de la aplicación en un formato claro e inteligible. Añada y elimine filtros para obtener información adicional sobre la aplicación, sus funciones y quién las utiliza. PÁGINA 3

4 Editor de políticas unificado Su aspecto familiar permite crear y desplegar de forma rápida políticas que controlen las aplicaciones, los usuarios y el contenido. Desplegar políticas de habilitación web que permitan y exploren el tráfico a sitios web relacionados con el trabajo mientras se bloquea el acceso a sitios web obviamente no relacionados con el trabajo, y controlar el acceso a otras mediante páginas de bloqueo personalizadas. Implementar políticas de QoS (Quality of Service o calidad de servicio) que permitan tanto el uso de aplicaciones como de sitios web que hagan un uso intensivo del ancho de banda pero que limiten su impacto en aplicaciones VoIP. Descodificar el tráfico SSL a redes sociales y sitios de webmail, y explorarlo para detectar software malicioso y exploits. No permitir las descargas de archivos ejecutables procedentes de sitios web sin clasificar si la autorización del usuario, para evitar descargas ocultas mediante exploits de día cero. Denegar todo el tráfico procedente de determinados países o bloquear aplicaciones no deseadas, como el uso compartido de archivos P2P, circumventors y proxies externos. La perfecta integración del control de aplicaciones, basado en usuarios y grupos, y la capacidad de explorar el tráfico permitido para detectar un gran número de amenazas, permite a las organizaciones reducir drásticamente el número de políticas desplegadas junto con el número de incorporaciones, movimientos y cambios de empleados que pueden ocurrir a diario. Editor de políticas: Protección de aplicaciones habilitadas La habilitación de aplicaciones de forma segura significa permitir el acceso a las aplicaciones y, a continuación, aplicar la prevención de amenazas específicas y políticas de filtrado de archivos, datos o URL. Cada uno de los elementos incluidos en Content-ID se puede configurar aplicación por aplicación. Sistema de prevención de intrusiones (IPS): La protección de vulnerabilidades integra un completo conjunto de funciones del sistema de prevención de intrusiones (Intrusion Prevention System, IPS) para bloquear exploits de vulnerabilidad en la capa de aplicación y en la red, desbordamientos en la memoria intermedia, ataques DoS y exploraciones de puertos. Antivirus de red: La protección frente a virus basada en flujos protege frente a millones de variantes de software malicioso, incluidos virus en PDF y software malicioso oculto en archivos comprimidos o tráfico de Internet (HTTP/HTTPS comprimido). La descodificación SSL basada en políticas permite a las organizaciones protegerse frente al software malicioso que se desplaza a través de las aplicaciones con codificación SSL. Filtrado de URL: Una base de datos de filtrado de URL personalizable y totalmente integrada permite a los administradores aplicar políticas granulares de navegación por Internet, complementar la visibilidad de las aplicaciones y las políticas de control, además de proteger a la empresa de todo un espectro de riesgos legales, reguladores y de productividad. Filtrado de archivos y datos: Las funciones de filtrado de datos permiten a los administradores implementar políticas que reduzcan los riesgos asociados a las transferencias de archivos y datos. Las transferencias y descargas de archivos se pueden controlar observando el interior del archivo (en lugar de observar simplemente la extensión del archivo), para determinar si se debe permitir o no. Los archivos ejecutables, que por lo general se encuentran en descargas ocultas, se pueden bloquear para proteger la red de la propagación de software malicioso oculto. Por último, las funciones de filtrado de datos pueden detectar y controlar el flujo de patrones de datos confidenciales (números de tarjetas de crédito o de la Seguridad Social). PÁGINA 4

5 Visibilidad de contenido y amenazas Visualice la URL, la amenaza y la actividad de transferencia de datos o archivos en un formato claro e inteligible. Añada y elimine filtros para obtener información adicional sobre elementos individuales. Detección y prevención de software malicioso moderno El software malicioso ha evolucionado para convertirse en una aplicación que puede extenderse en la red con un nivel de acceso y control sin precedentes dentro de la red objetivo. A medida que la potencia del software malicioso moderno aumenta, resulta crítico que las empresas puedan detectar inmediatamente estas amenazas, incluso antes de que la amenaza tenga una firma definida. Los firewalls de nueva generación de Palo Alto Networks ofrecen a las organizaciones un enfoque con varias facetas, basado en el análisis directo tanto de los archivos ejecutables como del tráfico de red, para proteger sus redes incluso antes de que estén disponibles las firmas. WildFire : Utilizando un enfoque basado en la nube, WildFire expone archivos de software malicioso nunca antes vistos observando su comportamiento en un entorno virtualizado seguro. WildFire busca acciones maliciosas dentro de archivos ejecutables de Microsoft Windows, tales como el cambio de valores del registro o de archivos del sistema operativo, la desactivación de mecanismos de seguridad, o la inyección de código en procesos en funcionamiento. Este análisis directo identifica con rapidez y precisión el software malicioso aunque no haya ningún mecanismo de protección disponible. Los resultados se entregan inmediatamente al administrador para responder de la manera adecuada y, automáticamente, se genera y se entrega una firma a todos los clientes en la próxima actualización de contenido disponible. Detección de botnet basada en comportamiento: App-ID clasifica todo el tráfico en el nivel de aplicación, exponiendo así cualquier tráfico desconocido en la red, que con frecuencia es una indicación de software malicioso u otra actividad de amenaza. El informe de botnet basado en comportamiento analiza el comportamiento de la red que indica una infección por botnet, tal como la visita repetida a sitios de software malicioso, el uso de DNS dinámico, IRC y otros comportamientos potencialmente sospechosos. Los resultados se muestran en forma de una lista de hosts potencialmente infectados que pueden investigarse como posibles miembros de una botnet. Supervisión del tráfico: Análisis, generación de informes e investigación forense Las prácticas recomendadas sobre seguridad establecen que los administradores deben mantener un equilibrio entre una actitud proactiva, mediante el aprendizaje y la adaptación continuos para proteger los activos corporativos, y una reactiva, mediante la investigación, el análisis y la generación de informes sobre incidentes de seguridad. ACC y el editor de políticas se pueden utilizar para aplicar de forma proactiva políticas de habilitación de aplicaciones, al mismo tiempo que un completo conjunto de herramientas de supervisión y generación de informes proporciona a las organizaciones los medios necesarios para analizar e informar sobre la aplicación, los usuarios y el contenido que fluye a través del firewall de nueva generación de Palo Alto Networks. App-Scope: Para complementar la vista en tiempo real de aplicaciones y contenido proporcionada por ACC, App-Scope ofrece una vista de la aplicación dinámica que el usuario puede personalizar, así como la actividad del tráfico y las amenazas a lo largo de un periodo de tiempo. Generación de informes: Los informes predefinidos se pueden utilizar tal como están, o bien pueden personalizarse o agruparse en un solo informe con el fin de adaptarse a los requisitos específicos. Todos los informes se pueden exportar a formato CSV o PDF y se pueden ejecutar y enviar por correo electrónico de forma programada. Generación de registros: El filtrado de registros en tiempo real facilita la rápida investigación forense de cada sesión que recorre la red. Los resultados del filtro de registro pueden exportarse a un archivo CSV o enviarse a un servidor syslog para poder archivarlos fuera de línea o realizar análisis adicionales. Herramienta de seguimiento de sesión: Acelera la investigación forense o de incidentes con una vista centralizada y correlacionada a través de todos los registros de tráfico, amenazas, URL y aplicaciones relacionadas con una sesión individual. PÁGINA 5

6 GlobalProtect: Seguridad coherente en todos sitios Las aplicaciones no son las únicas fuerzas de cambio en la empresa. Cada vez más, los usuarios finales esperan, simplemente, conectarse y trabajar desde cualquier ubicación, con cualquier dispositivo que elijan. Como resultado, los equipos de TI se esfuerzan por extender la seguridad a estos dispositivos y estas ubicaciones, que pueden estar claramente fuera del perímetro tradicional de la empresa. GlobalProtect afronta este desafío mediante la extensión de políticas de seguridad coherentes a todos los usuarios independientemente de su ubicación y su dispositivo. Además, GlobalProtect puede aplicar controles adicionales sobre la base del estado del dispositivo del usuario final. Por ejemplo, un usuario podría ver denegado su acceso a determinadas aplicaciones o áreas sensibles de la red si el dispositivo tuviera un antivirus caducado o no tuviera la codificación de disco activada. Esto permite que TI habilite la aplicación de manera segura en diversos tipos de dispositivo de usuario final, al tiempo que se mantiene un enfoque coherente de nueva generación para la seguridad. En primer lugar, GlobalProtect garantiza la conectividad segura para todos los usuarios con una VPN transparente que admite diversos dispositivos, entre los que se incluyen Microsoft Windows, Apple Mac OS X, y Apple ios. Una vez conectado, el firewall clasifica todo el tráfico, se aplican políticas de habilitación, se explora el tráfico para detectar amenazas, y se protege la red y el usuario. Road Warrior (usuario remoto) Usuario en sede central GlobalProtect Aplique políticas coherentes de habilitación segura de aplicaciones para todos los usuarios, con independencia de dónde se encuentren. Usuario en sucursal Usuario en despacho 3300 Olcott Street Santa Clara, CA Central: Ventas: Soporte: Copyright 2011, Palo Alto Networks, Inc. Todos los derechos reservados. Palo Alto Networks, el logotipo de Palo Alto Networks, PAN-OS, App-ID y Panorama son marcas comerciales de Palo Alto Networks, Inc. Todas las especificaciones están sujetas a modificaciones sin previo aviso. Palo Alto Networks no se hace responsable de las imprecisiones que pudiera contener este documento ni asume ninguna obligación de actualizar la información del mismo. Palo Alto Networks se reserva el derecho a cambiar, modificar, transferir o revisar de alguna otra forma esta publicación sin previo aviso. PAN_DS_FFOV_090111