Firewalls de Siguiente Generación Expandiendo la
Transcripción
Firewalls de Siguiente Generación Expandiendo la
“Firewalls de Siguiente Generación Expandiendo la seguridad a Nivel aplicación, usuario y contenido” Leticia Gammill Gerente Regional, Caribe y CentroAmérica Agenda Stateful Inspection + Modulos ( IPS, AV, AC ) ≠ NGFW Que hace un NGFW ( APP-ID , Content-ID ) ? Malware Moderno / Bonets por comportamiento Visibilidad Palo Alto Networks Características Empresa Utilidades $MM Fundada en 2005 $300 $255 $250 $200 $119 $150 Seguridad en aplicaciones $100 $49 $50 $13 $0 Posibilidad de atender todas las necesidades de seguridad FY09 FY10 FY11 FY12 FYE July Clientes Habilidad para proveer soporte global a los clientes 12.000 10.000 10.000 Equipo de trabajo y tecnologia con experiencia 8.000 6.000 4.700 4.000 Mas de 1000 empleados alrededor del mundo 3 | ©2013, Palo Alto Networks. Confidential and Proprietary. 2.000 0 1.800 Jul-10 Jul-11 Oct-12 Hoy en día el Firewall no es suficiente Las políticas de seguridad son enforzadas en el firewall • • Definen límites Establecen accesos Los Firewalls tradicionales ya no funcionan hoy en día 4 | ©2012, Palo Alto Networks. Confidential and Proprietary. Aplicaciones pasan a través de las aplicaciones: Amenazas Amenazas en las aplicaciones • • Usan vectores de ataque Explotacion de vulnerabilidades especificas de aplicaciones 5 | ©2012, Palo Alto Networks. Confidential and Proprietary. Aplicaciones pasan a través de las aplicaciones: Exfiltración Aplicaciones proveen exfiltración • • Comunicación de amenazas Datos confidenciales 6 | ©2012, Palo Alto Networks. Confidential and Proprietary. Aplicaciones pasan a través del Firewall: Cifrado Que pasa si el tráfico está encriptado? • • SSL Encripción propia 7 | ©2012, Palo Alto Networks. Confidential and Proprietary. Descripción Técnica Wiki Stateful Inpection: En computo un stateful firewall (cualquier firewall que realiza stateful packet inspection (SPI) o stateful inspection) es un firewall que mantiene rastreando el estado de las conexiones de red ( flujos de comunicación TCP ,UDP) que lo atraviesan. Este tipo de firewall esta programado para distinguir paquetes legitimos para diferentes tipos de conexiones. Solo los paquetes que concuerdan con las conexiones activas son lo que seran permitidos por el firewall, otros paquetes serán rechazados. 0 7 8 15 16 Hdr Len Service Type Identification Flags Time To Live Protocol Source IP Address Destination IP Address IP Options (If Any) Data … Ver 23 24 Total Length Fragment Offset Header Checksum Padding 31 Que siguió? la solución “UTM” IPS Política AV Política URL Filtering Política IPS Signatures AV Signatures Firewall Política HTTP Decoder IPS Decoder AV Decoder & Proxy Port/Protocol-based ID Port/Protocol-based ID Port/Protocol-based ID Port/Protocol-based ID L2/L3 Networking, HA, Config Management, Reportin g L2/L3 Networking, HA, Config Management, Reportin g L2/L3 Networking, HA, Config Management, Reportin g L2/L3 Networking, HA, Config Management, Reportin g Page 9 | © 2008 Palo Alto Networks. Proprietary and Confidential Más cajas no solucionan el problema • Los “ayudantes” del Firewall tienen visibilidad incompleta • Compleja y costosa de mantener • No resuelve los retos del control de aplicaciones UTM Internet IPS DLP IM AV URL Proxy Red Empresarial 10 | ©2012, Palo Alto Networks. Confidential and Proprietary. Las aplicaciones han cambiado .. y el FW NO • El Firewall es el punto indicado para hacer el control de aplicaciones • Ve todo el tráfico • El firewall es un punto de control de lógica positiva PERO … las aplicaciones cambiaron y el Firewall? • Ports ≠ Applications • IP Addresses ≠ Users • Packets ≠ Content Necesitamos reestabelecer visibilidad y control al firewall Corresponde al Firewall habilitar la seguridad Application Control as an Add-on Traffic Port Firewall IPS Applications Port Policy Decision App Ctrl Policy Decision • Port-based FW + App Ctrl (IPS) = two policies • Applications are threats; only block what you expressly look for Implications • Network access decision is made with no information • Cannot safely enable applications NGFW Application Control • Application control is in the firewall = single policy • Visibility across all ports, for all traffic, all the time Implications • Network access decision is made based on application identity • Safely enable application usage Traffic Application Firewall IPS Applications App Ctrl Policy Decision Scan Application for Threats App-ID = Habilitador de Aplicaciones Es un solo mecanismo ; Un habilitador basado en políticas App-ID App1 App2 App3 App4 Traffic • Siempre es la primera accion, siempre habilitado, siempre rastreando el estado , en TODO el trafico, en TODAS las aplicaciones, en TODOS los puertos Identificando la aplicación como paso inicial es la única forma de habilitar aplicaciones Tecnologias que diferencian a un NGFW •App-ID™ •Identify the application •User-ID™ •Identify the user •Content-ID™ •Scan the content Arquitectura Single-Pass Parallel Processing™ (SP3) Single Pass Se revisa el paquete una vez Clasificación de tráfico (app identification) Relacionar Usuarios/grupos Revisión de contenido – amenazas, URLs, informaci ón confidencial One policy Procesamiento Paralelo Motores de HW específicos para el procesamiento paralelo Separación de los planos de control y datos Hasta 20Gbps, Baja Latencia 15 | ©2012, Palo Alto Networks. Confidential and Proprietary. Que alcanzas a ver…con un FW basado en puertos + Application Control Add-on Cuando deberias de estar viendo lo que un verdadero NextGeneration Firewall puede ver Control en la superficie de analisis de la Red » Universo de aplicaciones Solamente permitimos las aplicaciones necesarias Limipiamos el trafico que por todas las amenzas en un solo paso » Trafico limitado a las » Biblioteca de amenazas aplicaciones aprobadas por la empresa basadas en APP y Usuario. » Superficie de ataque reducida completa sin tener puntos ciegos. Bi-directional inspection Scans inside of SSL Scans inside compressed files Scans inside proxies and tunnels Estrategia en Malware Moderno Infection Escalation Remote Control Malware provee un punto de expasión y vulnerabilidad claro en las redes. Métodos de control de amenazas Encrypted Traffic Inspect within SSL Circumventors and Tunnels Encryption (e.g. SSL) Proxies Common user-driven evasion Remote Desktop Increasingly popular tool for endusers Proxies (e.g CGIProxy) Compression (e.g. GZIP) Outbound C&C Traffic Compressed Content ZIP files and compressed HTTP (GZIP) Encrypted Tunnels Hamachi, Ultrasurf, Tor Purpose-built to avoid security © 2012 Palo Alto Networks. Proprietary and Confidential Amenazas desconocidas NGFW clasifica todo el trafico conocido Personalización App-IDs Cualquier otro tráfico se debe de investigado como aplicación desconocida para ser investigado Usado para encontrar botnets o amenazas desconocidas Behavioral Botnet Report Automáticamente correlaciona comportamiento con usuario final Unknown TCP and UDP, Dynamic DNS, Repetición/Intentos de download files, Contacto con DNS recientemente registrados, etc Page 21 | © 2010 Palo Alto Networks. Proprietary and Confidential. Encontrar al usuario en especifico que potencialmente esta comprometido por un Bot 10.1.1.101 10.1.1.56 10.0.0.24 192.168.1.5 10.1.1.34 10.1.1.16 192.168.1.4 192.168.124.5 192.168.1.47 10.1.1.277 Jeff.Martin WildFire Centro de Análisis WildFire • Análisis basado en Sandbox- busca más de 80 comportamientos maliciosos • Genera reporte forense detallado Protección enviada a los firewalls de clientes • Crea firmas de antivirus y C&C Envío de archivos por política ✓ Archivos potencialmente maliciosos del Internet Page 22 | ✓ ✓ Reportes por usuario/aplicacion/Contenido Consolidado Manejo de incidentes de seguridad Reportes NGFW La solución? Que el Firewall vuelva a hacer su trabajo 1. Identificar aplicaciones independiente de puerto, protocolo, táctica evasiva o SSL 2. Identificar y controlar usuarios independiente de IP, ubicación o dispositivo 3. Proteger contra amenazas conocidas y desconocidas 4. Visibilidad granulary control de políticas sobre el acceso a aplicaciones y su funcionalidad 5. Multi-gigabit, baja latencia, implementación en línea 27 | ©2012, Palo Alto Networks. Confidential and Proprietary. Gartner Enterprise Network Firewall Market Magic Quadrant - 2011 28 | ©2012, Palo Alto Networks. Confidential and Proprietary. Magic Quadrant - 2013 Gracias ! © 2007 Palo Alto Networks. Proprietary and Confidential Page 29 |