Firewalls de Siguiente Generación Expandiendo la seguridad a Nivel aplicación, usuario y contenido Leticia Gammill Gerente Regional, Caribe y CentroAmérica
Agenda Stateful Inspection + Modulos ( IPS, AV, AC ) NGFW Que hace un NGFW ( APP-ID, Content-ID )? Malware Moderno / Bonets por comportamiento Visibilidad
Palo Alto Networks Características Empresa Fundada en 2005 Seguridad en aplicaciones Posibilidad de atender todas las necesidades de seguridad Habilidad para proveer soporte global a los clientes $MM $300 $250 $200 $150 $100 $50 $0 FYE July 12.000 10.000 Utilidades $255 $119 $49 $13 FY09 FY10 FY11 FY12 Clientes 10.000 Equipo de trabajo y tecnologia con experiencia 8.000 6.000 4.700 Mas de 1000 empleados alrededor del mundo 4.000 2.000 0 1.800 Jul-10 Jul-11 Oct-12 3 2013, Palo Alto Networks. Confidential and Proprietary.
Hoy en día el Firewall no es suficiente Las políticas de seguridad son enforzadas en el firewall Definen límites Establecen accesos Los Firewalls tradicionales ya no funcionan hoy en día 4 2012, Palo Alto Networks. Confidential and Proprietary.
Aplicaciones pasan a través de las aplicaciones: Amenazas Amenazas en las aplicaciones Usan vectores de ataque Explotacion de vulnerabilidades especificas de aplicaciones 5 2012, Palo Alto Networks. Confidential and Proprietary.
Aplicaciones pasan a través de las aplicaciones: Exfiltración Aplicaciones proveen exfiltración Comunicación de amenazas Datos confidenciales 6 2012, Palo Alto Networks. Confidential and Proprietary.
Aplicaciones pasan a través del Firewall: Cifrado Que pasa si el tráfico está encriptado? SSL Encripción propia 7 2012, Palo Alto Networks. Confidential and Proprietary.
Descripción Técnica Wiki Stateful Inpection: En computo un stateful firewall (cualquier firewall que realiza stateful packet inspection (SPI) o stateful inspection) es un firewall que mantiene rastreando el estado de las conexiones de red ( flujos de comunicación TCP,UDP) que lo atraviesan. Este tipo de firewall esta programado para distinguir paquetes legitimos para diferentes tipos de conexiones. Solo los paquetes que concuerdan con las conexiones activas son lo que seran permitidos por el firewall, otros paquetes serán rechazados. 0 7 8 15 16 23 24 31 Ver Hdr Len Service Type Total Length Identification Flags Fragment Offset Time To Live Protocol Header Checksum Source IP Address Destination IP Address IP Options (If Any) Padding Data
Que siguió? la solución UTM IPS Política AV Política URL Filtering Política IPS Signatures AV Signatures Firewall Política HTTP Decoder IPS Decoder AV Decoder & Proxy Port/Protocol-based ID Port/Protocol-based ID Port/Protocol-based ID Port/Protocol-based ID L2/L3 Networking, HA, Config Management, Reportin g L2/L3 Networking, HA, Config Management, Reportin g L2/L3 Networking, HA, Config Management, Reportin g L2/L3 Networking, HA, Config Management, Reportin g Page 9 2008 Palo Alto Networks. Proprietary and Confidential
Más cajas no solucionan el problema Los ayudantes del Firewall tienen visibilidad incompleta Compleja y costosa de mantener No resuelve los retos del control de aplicaciones UTM Internet IPS DLP IM AV URL Proxy Red Empresarial 10 2012, Palo Alto Networks. Confidential and Proprietary.
Las aplicaciones han cambiado.. y el FW NO El Firewall es el punto indicado para hacer el control de aplicaciones Ve todo el tráfico El firewall es un punto de control de lógica positiva PERO las aplicaciones cambiaron y el Firewall? Ports Applications IP Addresses Users Packets Content Necesitamos reestabelecer visibilidad y control al firewall
Corresponde al Firewall habilitar la seguridad Traffic Firewall Port Policy Decision Port IPS Applications App Ctrl Policy Decision Application Control as an Add-on Port-based FW + App Ctrl (IPS) = two policies Applications are threats; only block what you expressly look for Implications Network access decision is made with no information Cannot safely enable applications NGFW Application Control Application control is in the firewall = single policy Traffic Application Visibility across all ports, for all traffic, all the time Implications Network access decision is made based on application identity Safely enable application usage Firewall Applications App Ctrl Policy Decision IPS Scan Application for Threats
App-ID = Habilitador de Aplicaciones Es un solo mecanismo ; Un habilitador basado en políticas App-ID Traffic App1 App2 App3 App4 Siempre es la primera accion, siempre habilitado, siempre rastreando el estado, en TODO el trafico, en TODAS las aplicaciones, en TODOS los puertos Identificando la aplicación como paso inicial es la única forma de habilitar aplicaciones
Tecnologias que diferencian a un NGFW App-ID Identify the application User-ID Identify the user Content-ID Scan the content
Arquitectura Single-Pass Parallel Processing (SP3) Hasta 20Gbps, Baja Latencia Single Pass Se revisa el paquete una vez Clasificación de tráfico (app identification) Relacionar Usuarios/grupos Revisión de contenido amenazas, URLs, informaci ón confidencial One policy Procesamiento Paralelo Motores de HW específicos para el procesamiento paralelo Separación de los planos de control y datos 15 2012, Palo Alto Networks. Confidential and Proprietary.
Que alcanzas a ver con un FW basado en puertos + Application Control Add-on
Cuando deberias de estar viendo lo que un verdadero Next- Generation Firewall puede ver
Control en la superficie de analisis de la Red Solamente permitimos las aplicaciones necesarias Limipiamos el trafico que por todas las amenzas en un solo paso»universo de aplicaciones»trafico limitado a las aplicaciones aprobadas por la empresa basadas en APP y Usuario.»Superficie de ataque reducida»biblioteca de amenazas completa sin tener puntos ciegos. Bi-directional inspection Scans inside of SSL Scans inside compressed files Scans inside proxies and tunnels
Estrategia en Malware Moderno Infection Escalation Remote Control Malware provee un punto de expasión y vulnerabilidad claro en las redes.
Métodos de control de amenazas Encrypted Traffic Inspect within SSL Circumventors and Tunnels Encryption (e.g. SSL) Proxies Common user-driven evasion Remote Desktop Increasingly popular tool for endusers Proxies (e.g CGIProxy) Compression (e.g. GZIP) Outbound C&C Traffic Compressed Content ZIP files and compressed HTTP (GZIP) Encrypted Tunnels Hamachi, Ultrasurf, Tor Purpose-built to avoid security 2012 Palo Alto Networks. Proprietary and Confidential
Amenazas desconocidas NGFW clasifica todo el trafico conocido Personalización App-IDs Cualquier otro tráfico se debe de investigado como aplicación desconocida para ser investigado Usado para encontrar botnets o amenazas desconocidas Behavioral Botnet Report Automáticamente correlaciona comportamiento con usuario final Unknown TCP and UDP, Dynamic DNS, Repetición/Intentos de download files, Contacto con DNS recientemente registrados, etc Encontrar al usuario en especifico que potencialmente esta comprometido por un Bot 10.1.1.101 10.0.0.24 192.168.1.5 10.1.1.16 192.168.124.5 10.1.1.56 10.1.1.34 10.1.1.277 192.168.1.4 192.168.1.47 Jeff.Martin Page 21 2010 Palo Alto Networks. Proprietary and Confidential.
WildFire Centro de Análisis WildFire Análisis basado en Sandbox- busca más de 80 comportamientos maliciosos Genera reporte forense detallado Crea firmas de antivirus y C&C Protección enviada a los firewalls de clientes Envío de archivos por política Archivos potencialmente maliciosos del Internet Page 22
Reportes por usuario/aplicacion/contenido Consolidado
Manejo de incidentes de seguridad
Reportes NGFW
La solución? Que el Firewall vuelva a hacer su trabajo 1. Identificar aplicaciones independiente de puerto, protocolo, táctica evasiva o SSL 2. Identificar y controlar usuarios independiente de IP, ubicación o dispositivo 3. Proteger contra amenazas conocidas y desconocidas 4. Visibilidad granulary control de políticas sobre el acceso a aplicaciones y su funcionalidad 5. Multi-gigabit, baja latencia, implementación en línea 27 2012, Palo Alto Networks. Confidential and Proprietary.
Gartner Enterprise Network Firewall Market Magic Quadrant - 2011 Magic Quadrant - 2013 28 2012, Palo Alto Networks. Confidential and Proprietary.
Gracias! Page 29 2007 Palo Alto Networks. Proprietary and Confidential