[WEBINAR] Control de aplicaciones y amenazas afectando a la Red.
-
Upload
grupo-smartekh -
Category
Technology
-
view
414 -
download
4
description
Transcript of [WEBINAR] Control de aplicaciones y amenazas afectando a la Red.
Firewall de Nueva Generación
Agosto 2012
Información General
GR
UP
O SM
AR
TEKH
Miguel Ángel Chávez Cervantes Ingeniero en Electrónica y Comunicaciones • 10 años de experiencia en el área de Networking y Diplomado en
Seguridad en tecnologías de la Información • Ingeniero certificado en diferentes marcas y tecnologías
Juniper Networks PaloAlto Networks Trend Micro Barracuda Infoblox
• Consultor en el área de Seguridad en redes • Premio al mejor Ingeniero Juniper Networks 2010 en la región
Latinoamérica • Experiencia en Pent testing y análisis de riesgos.
Jazmin Ortiz López Licenciatura en Ciencias de la Informática • 4 años de experiencia en soporte e implementación de soluciones de
seguridad a nivel end-point, gateway y de redes. • Marcas: Trend Micro, Juniper, Palo Alto, Fatpipe • Implementación de metodologías de servicios (MOF, COBIT, ITIL) de
soporte técnico e implementación- Gobierno de TI. • Responsable del área de Service Desk • Actualmente Consultor técnico en el área de Seguridad en
Networking
Fire
wall d
e N
ueva G
enera
ció
n
Agenda
1. Uso de aplicaciones en las
Organizaciones
2. Tipos de firewall
3. Firewall de Nueva Generación
4. Análisis de la Industria
5. Conclusiones
Reporte de Uso de Aplicaciones y de Riesgos
© 2008 Palo Alto Networks. Proprietary and Confidential. Page 5 |
Lo
s
Usu
ario
s
Fin
ale
s
de
la
Em
pre
sa
ha
c
en
lo
qu
e
qu
i
ere
n
• El Informe de uso de Aplicaciones y riesgo de Palo Alto Networks proporciona una
visión global del uso de aplicaciones empresariales por medio de una evaluación
realizada en 2,036 organizaciones alrededor del mundo entre Noviembre 2011 y
Mayo 2012:
- Tráfico de video consume el 13% del total del ancho de banda
- Filesharing P2P se eleva a 700% en consumo de ancho de banda.
- Las redes sociales continúan definiéndose a sí mismas.: Tumblr y Pinterest.
- El tráfico atraviesa todos los puertos: basadas en web, cliente-servidor o p2p
Fire
wall d
e N
ueva G
enera
ció
n
Reporte de Uso de Aplicaciones
Fire
wall d
e N
ueva G
enera
ció
n
Reporte de Uso de Aplicaciones
Históricamente los datos indican que el consumo de ancho de banda utilizado por
otras aplicaciones que no son parte de Streaming media o de fotos, es
insignificante, sin embargo esto ha cambiado.
América
Fire
wall d
e N
ueva G
enera
ció
n
Reporte de Uso de Aplicaciones
Facebook y Twitter siguen mostrando consistencia cómo líderes en el mercado, sin
embargo los usuarios están haciendo más navegación que publicación.
Nuevas aplicaciones de redes sociales están consumiendo más ancho de banda
que otras pre-existentes.
• Del total de las 84 aplicaciones de redes sociales identificadas, 74 variantes
fueron identificadas durante un periodo de seis meses.
• Al menos una aplicación de red social fue detectado en el 97% de las
organizaciones participantes.
Tipos de Firewall
Internet
Aplicaciones dinámicas
• FTP
• RPC
• Java/RMI
• Multimedia
Firewalls – Se iniciaron con los ruteadores
Aplicaciones tradicionales
• DNS
• Gopher
• SMTP
• HTTP
Antecedentes
• Aparecen a mediados de los
1980’s
• Típicamente incluidos en los
ruteadores
• Clasifican los paquetes
individuales en base al
numero de puerto (ACL’s)
Desafío
• No soportan aplicaciones
dinámicas
Antecedentes: Tipos de Firewall F
irew
all d
e N
ueva G
enera
ció
n
Pero los ruteadores no se pueden adaptar a las nuevas aplicaciones
Internet
Aplicaciones tradicionales
• DNS
• Gopher
• SMTP
• HTTP
Aplicaciones dinámicas
• FTP
• RPC
• Java/RMI
• Multimedia
Antecedentes
• Aparecen a mediados de los
1980’s
• Típicamente incluidos en los
ruteadores
• Clasifican los paquetes
individuales en base al numero
de puerto
Desafío
• No soportan aplicaciones
dinámicas
• La solución dudosa es abrir
grandes grupos de puertos
• Abiertos a ataques a toda la red
Antecedentes: Tipos de Firewall F
irew
all d
e N
ueva G
enera
ció
n
Internet
La inspección Stateful mejoro la protección
Antecedentes
• Creada por Nir Zuk y Check
Point en 1994
• Tabla fija del estado de los
paquetes limitados filtrados
• Clasificación del trafico con
base en los números de
puertos en el contexto del flujo
Desafío
• Esto ayudo, pero las
aplicaciones continuaron
evolucionando
Dynamic Applications
• FTP
• RPC
• Java/RMI
• Multimedia
Aplicaciones tradicionales
• DNS
• Gopher
• SMTP
• HTTP
Aplicaciones dinámicas
• FTP
• RPC
• Java/RMI
• Multimedia
Antecedentes: Tipos de Firewall F
irew
all d
e N
ueva G
enera
ció
n
Internet
Pero los Firewalls tradicionales aun no tienen visibilidad
Desafío • No pueden identificar
aplicaciones evasivas • Incrustados dentro de
productos de seguridad existentes
• No puede corregir retroactivamente
Veredicto • Los firewalls tradicionales
han llegado al fin de sus limites de vida útil
• Este problema se pondrá cada vez peor
Apls Evasivas
• Encriptadas
• Web 2.0
• P2P / Musica
• IM / Skype
• Video / juegos
• Desktop Apps
• Spyware
• Crimeware
Aplicaciones tradicionales
• DNS
• Gopher
• SMTP
• HTTP
Aplicaciones dinámicas
• FTP
• RPC
• Java/RMI
• Multimedia
Antecedentes: Tipos de Firewall F
irew
all d
e N
ueva G
enera
ció
n
Las Aplicaciones han Cambiado– La seguridad No
• El gateway en la frontera es el lugar adecuado para reforzar las políticas de control - Ve todo el trafico - Define los limites de
confianza
Necesita restablecer la visibilidad y control en la red
Colaboración / Media SaaS Personal
• PERO.. Las Aplicaciones Han Cambiado - Puertos ≠ Aplicaciones - Direcciones IP ≠ Usuarios - Paquetes ≠ Contenido
Antecedentes: Tipos de Firewall F
irew
all d
e N
ueva G
enera
ció
n
¿Qué hacer?...
Firewall de Nueva Generación
Suficiente….Es tiempo de cambiar el concepto
Nuevos Requerimientos para el Firewall
1. Identificar aplicaciones sin importar el puerto, protocolo, táctica evasiva o SSL
2. Identificar usuarios sin importar su dirección IP
3. Visibilidad y control de políticas granular sobre el acceso / funcionalidad de la aplicación
4. Proteger en tiempo-real contra amenazas embebidas a través de las aplicaciones
5. Multi-gigabit, implementación in-line sin degradación en el rendimiento
Firewall de Nueva Generación F
irew
all d
e N
ueva G
enera
ció
n
Firewall de Nueva Generación
Enfoque Céntrico de aplicaciones
10 Gig
Control y
Visibilidad
Bittorrent
Meebo
Oracle
MSN
Salesforce
WebEx Skype
Clasificación
de
Aplicaciones
Es lo que ves … Lo que entra …
Clasificación del Tráfico de aplicaciones
- Visibilidad dentro de todo el contenido de flujo, para identificar cada aplicación sin importar el puerto, protocolo o cifrado SSL
- Escaneo de todas las aplicaciones en todos los puertos sin degradar el rendimiento
- Dinámicamente actualiza aplicaciones nuevas y ya conocidas
Fire
wall d
e N
ueva G
enera
ció
n
• Reconstruir el firewall desde la
base
• Identifica tráfico a nivel
Aplicación
– Siempre arriba
– Siempre la primer acción
– En todos los puertos
• El control positivo es
recuperado,
independientemente del
puerto del tráfico en el que
viaja
• El firewall realiza las funciones
para las cuáles fue diseñado
originalmente
Puerto
22
Puerto
23
Port
531
FT
P
SS
H
Teln
et
HT
TP
IM
Puerto
20
Puerto
80
App-ID
• IPS trabaja de forma
sistemática
• Aplicaciones evasivas no
evaden el IPS o el firewall
Firewall de Nueva Generación
Cambiando el Firewall… y el IPS
Fire
wall d
e N
ueva G
enera
ció
n
• El panorama de las
amenazas ha crecido – Tradicional: Ataques/exploits
internos hacia los servidores
– Hoy en día: Malware,
botnets, Aplicaciones
peligrosas, exploits a nivel
usuario final, URLs
comprometidas, archivos
infectados, and exploits
tradicionales, todos
trabajando en conjunto
• Amenazas y vectores
múltiples trabajando en
conjunto • Ejemplo: Aprovechar
Vulnerabilidad A de un
servidor inyección de
malware injection
Aprovechar vulnerabilidad en
navegador infección a
nivel cliente
Amenazas deconocidas
Botnets y Malware
Vulnerabilidades Exploits
Páginas Web comprometidas
Tipos de archivo peligrosos
Integrative Threat
Prevention
Firewall de Nueva Generación
Prevención de Amenazas integrado
Fire
wall d
e N
ueva G
enera
ció
n
APT’s
Tecnologías/Arquitectura que transforman el Firewall F
irew
all d
e N
ueva G
enera
ció
n
ID Technologies
IPS
Malware
URL
Tipo archivo
Contenido
¿Cuál es el tráfico
y éste es permitido?
(App-ID)
¿Permitir para este usuario
y/o grupo específico?
(User ID)
¿Qué riesgos o amenazas hay
dentro del tráfico?
(Content ID)
Bloqueo de
sitios
maliciosos
Incluir archivos
comprimidos
CC#, SSN, etc.
SS
L
HT
TP
Gta
lk
Gb
rid
ge
Fa
ceb
oo
k
Proceso basado en políticas
Es la primera tarea que siempre se
ejecuta
Todo el tráfico, todos los puertos
Siempre activo
Firewall de Nueva Generación F
irew
all d
e N
ueva G
enera
ció
n
© 2008 Palo Alto Networks. Proprietary and Confidential. Page 22 |
Vis
i
bilid
ad
en
la
Ap
li
ca
ci
ón
,
Usu
ario
s y
Co
nte
nid
o
Remover Skype para
expandir la vista del usuario
hzielinski
Filtro en Skype
y el Usuario hzielinski Filtro en Skype
Visibilidad en la Aplicación, Usuarios y Contenido F
irew
all d
e N
ueva G
enera
ció
n
© 2008 Palo Alto Networks. Proprietary and Confidential. Page 23 |
© 2008 Palo Alto Networks. Proprietary and Confidential. Page 23 |
Pe
r
mite
la
vis
i
bilid
ad
de
las
apli
ca
ci
one
s,
usu
ario
s y
co
nt
enid
os
• La visibilidad proporciona la habilidad de implementar políticas de acuerdo
ciertas necesidades
– Permitir
– Permitir, pero escanear
– Permitir ciertos usuarios
– Permitir ciertas funciones
– Denegar aplicaciones malas
conocidas
– Descifrar cuando sea
apropiado
– Calidad de Servicio (QoS)
– …cualquier combinación de las anteriores
Bajo Alto
Network Control
Firewall de Nueva Generación
Control de Enterprise 2.0
Fire
wall d
e N
ueva G
enera
ció
n
Análisis de la Industria
Análisis de la Industria F
irew
all d
e N
ueva G
enera
ció
n
Análisis de la Industria F
irew
all d
e N
ueva G
enera
ció
n
Preguntas
* Correo electrónico:
www.smartekh.com
Fire
wall d
e N
ueva G
enera
ció
n
ww
w.s
marte
kh.c
om
Tu seguridad informática es nuestra pasión