Firewalls de Siguiente Generación Expandiendo la

Transcripción

“Firewalls de Siguiente Generación
Expandiendo la seguridad
a Nivel aplicación, usuario y
contenido”
Leticia Gammill
Gerente Regional,
Caribe y CentroAmérica
Agenda
 Stateful Inspection + Modulos ( IPS, AV, AC ) ≠ NGFW
 Que hace un NGFW ( APP-ID , Content-ID ) ?
 Malware Moderno / Bonets por comportamiento
 Visibilidad
Palo Alto Networks
Características Empresa
Utilidades
$MM
Fundada en 2005
$300
$255
$250
$200
$119
$150
Seguridad en aplicaciones
$100
$49
$50
$13
$0
Posibilidad de atender todas las necesidades de
seguridad
FY09
FY10
FY11
FY12
FYE July
Clientes
Habilidad para proveer soporte global a los clientes
12.000
10.000
10.000
Equipo de trabajo y tecnologia con experiencia
8.000
6.000
4.700
4.000
Mas de 1000 empleados alrededor del mundo
3 | ©2013, Palo Alto Networks. Confidential and Proprietary.
2.000
0
1.800
Jul-10
Jul-11
Oct-12
Hoy en día el Firewall no es suficiente
Las políticas de seguridad son
enforzadas en el firewall
•
•
Definen límites
Establecen accesos
Los Firewalls tradicionales ya no
funcionan hoy en día
Aplicaciones pasan a través de las aplicaciones:
Amenazas
Amenazas en las aplicaciones
•
•
Usan vectores de ataque
Explotacion de vulnerabilidades
especificas de aplicaciones
Aplicaciones pasan a través de las aplicaciones:
Exfiltración
Aplicaciones proveen
exfiltración
•
•
Comunicación de amenazas
Datos confidenciales
Aplicaciones pasan a través del Firewall: Cifrado
Que pasa si el tráfico está
encriptado?
•
•
SSL
Encripción propia
Descripción Técnica
 Wiki Stateful Inpection:
En computo un stateful firewall (cualquier
firewall que realiza stateful packet
inspection (SPI) o stateful inspection) es
un firewall que mantiene rastreando el
estado de las conexiones de red ( flujos de
comunicación TCP ,UDP) que lo atraviesan.
Este tipo de firewall esta programado para
distinguir paquetes legitimos para diferentes
tipos de conexiones. Solo los paquetes que
concuerdan con las conexiones activas son
lo que seran permitidos por el firewall, otros
paquetes serán rechazados.
0
7 8
15 16
Hdr Len
Service Type
Identification
Flags
Time To Live
Protocol
Source IP Address
Destination IP Address
IP Options (If Any)
Data
…
Ver
23 24
Total Length
Fragment Offset
Header Checksum
Padding
31
Que siguió? la solución “UTM”
IPS Política
AV Política
URL Filtering Política
IPS Signatures
AV Signatures
Firewall Política
HTTP Decoder
IPS Decoder
AV Decoder & Proxy
Port/Protocol-based ID
L2/L3
Networking, HA, Config
Management, Reportin
g
L2/L3
g
L2/L3
g
L2/L3
g
Page 9 |
© 2008 Palo Alto Networks. Proprietary and Confidential
Más cajas no solucionan el problema
•
Los “ayudantes” del Firewall tienen visibilidad
incompleta
•
Compleja y costosa de mantener
•
No resuelve los retos del control de
aplicaciones
UTM
Internet
IPS
DLP
IM
AV
URL
Proxy
Red
Empresarial
Las aplicaciones han cambiado .. y el FW NO
• El Firewall es el punto
indicado para hacer el
control de aplicaciones
• Ve todo el tráfico
• El firewall es un punto
de control de lógica
positiva
PERO … las aplicaciones cambiaron y el
Firewall?
• Ports ≠ Applications
• IP Addresses ≠ Users
• Packets ≠ Content
Necesitamos reestabelecer visibilidad y control al firewall
Corresponde al Firewall habilitar la seguridad
Application Control as an Add-on
Traffic
Port
Firewall
IPS
Applications
Port Policy
Decision
App Ctrl Policy
Decision
•
Port-based FW + App Ctrl (IPS) = two policies
•
Applications are threats; only block what you
expressly look for
Implications
•
Network access decision is made with no
information
•
Cannot safely enable applications
NGFW Application Control
•
Application control is in the firewall = single
policy
•
Visibility across all ports, for all traffic, all the
time
Implications
•
Network access decision is made based on
application identity
•
Safely enable application usage
Traffic
Application
Firewall
IPS
Applications
App Ctrl Policy
Decision
Scan Application
for Threats
App-ID = Habilitador de Aplicaciones
Es un solo mecanismo ; Un habilitador basado en políticas
App-ID
App1
App2
App3
App4
Traffic
•
Siempre es la primera accion, siempre habilitado, siempre
rastreando el estado , en TODO el trafico, en TODAS las
aplicaciones, en TODOS los puertos
Identificando la aplicación como paso inicial es la única
forma de habilitar aplicaciones
Tecnologias que diferencian a un NGFW
•App-ID™
•Identify the application
•User-ID™
•Identify the user
•Content-ID™
•Scan the content
Arquitectura Single-Pass Parallel Processing™ (SP3)
Single Pass

Se revisa el paquete una vez



Clasificación de tráfico (app
identification)
Relacionar Usuarios/grupos
Revisión de contenido –
amenazas, URLs, informaci
ón confidencial
One policy

Procesamiento Paralelo

Motores de HW específicos
para el procesamiento
paralelo
Separación de los planos de
control y datos
Hasta 20Gbps, Baja Latencia
Que alcanzas a ver…con un FW basado en puertos +
Application Control Add-on
Cuando deberias de estar viendo lo que un verdadero NextGeneration Firewall puede ver
Control en la superficie de analisis de la Red
» Universo de aplicaciones
Solamente
permitimos
las aplicaciones
necesarias
Limipiamos el trafico
que por todas las
amenzas en un solo
paso
» Trafico limitado a las
» Biblioteca de amenazas
aplicaciones
aprobadas por la
empresa basadas en
APP y Usuario.
» Superficie de ataque
reducida
completa sin tener puntos
ciegos.
Bi-directional inspection
Scans inside of SSL
Scans inside compressed
files
Scans inside proxies and
tunnels
Estrategia en Malware Moderno
Infection
Escalation
Remote Control
Malware provee un punto de expasión y vulnerabilidad claro
en las redes.
Métodos de control de amenazas
Encrypted Traffic
Inspect within SSL
Circumventors and Tunnels
Encryption (e.g. SSL)
Proxies
Common user-driven evasion
Remote Desktop
Increasingly popular tool for endusers
Proxies (e.g CGIProxy)
Compression (e.g. GZIP)
 Outbound C&C Traffic
Compressed Content
ZIP files and compressed HTTP (GZIP)
Encrypted Tunnels
Hamachi, Ultrasurf, Tor
Purpose-built to avoid security
Amenazas desconocidas
 NGFW clasifica todo el trafico
conocido
 Personalización App-IDs
 Cualquier otro tráfico se debe de
investigado como aplicación
desconocida para ser investigado
 Usado para encontrar botnets o amenazas
desconocidas
 Behavioral Botnet Report
 Automáticamente correlaciona comportamiento
con usuario final
 Unknown TCP and UDP, Dynamic
DNS, Repetición/Intentos de download
files, Contacto con DNS recientemente
registrados, etc
Page 21 |
© 2010 Palo Alto Networks. Proprietary and Confidential.
Encontrar al usuario en
especifico que
potencialmente esta
comprometido por un
Bot
10.1.1.101
10.1.1.56
10.0.0.24
192.168.1.5
10.1.1.34
10.1.1.16
192.168.1.4
192.168.124.5
192.168.1.47
10.1.1.277
Jeff.Martin
WildFire
Centro de Análisis WildFire
• Análisis basado en Sandbox- busca más
de 80 comportamientos maliciosos
• Genera reporte forense detallado
Protección enviada a
los firewalls de
clientes
• Crea firmas de antivirus y C&C
Envío de archivos por
política
✓
Archivos
potencialmente
maliciosos del
Internet
Page 22 |
✓
✓
Reportes por usuario/aplicacion/Contenido Consolidado
Manejo de incidentes de seguridad
Reportes NGFW
La solución? Que el Firewall vuelva a hacer su trabajo
1. Identificar aplicaciones independiente de puerto, protocolo, táctica evasiva o
SSL
2. Identificar y controlar usuarios independiente de IP, ubicación o dispositivo
3. Proteger contra amenazas conocidas y desconocidas
4. Visibilidad granulary control de políticas sobre el acceso a aplicaciones y su
funcionalidad
5. Multi-gigabit, baja latencia, implementación en línea
Gartner Enterprise Network Firewall Market
Magic Quadrant - 2011
Magic Quadrant - 2013
Gracias !
Page 29 |

Firewalls de Siguiente Generación Expandiendo la

Transcripción

Documentos relacionados

Ubicaciones de red Dominio

Nuevo - Popular

Next Generation Network Security Platform for SCADA and Industrial