Firewall de Nueva Generación

Agosto 2012

Información General

GR

UP

O SM

AR

TEKH

Miguel Ángel Chávez Cervantes Ingeniero en Electrónica y Comunicaciones • 10 años de experiencia en el área de Networking y Diplomado en

Seguridad en tecnologías de la Información • Ingeniero certificado en diferentes marcas y tecnologías

Juniper Networks PaloAlto Networks Trend Micro Barracuda Infoblox

• Consultor en el área de Seguridad en redes • Premio al mejor Ingeniero Juniper Networks 2010 en la región

Latinoamérica • Experiencia en Pent testing y análisis de riesgos.

Jazmin Ortiz López Licenciatura en Ciencias de la Informática • 4 años de experiencia en soporte e implementación de soluciones de

seguridad a nivel end-point, gateway y de redes. • Marcas: Trend Micro, Juniper, Palo Alto, Fatpipe • Implementación de metodologías de servicios (MOF, COBIT, ITIL) de

soporte técnico e implementación- Gobierno de TI. • Responsable del área de Service Desk • Actualmente Consultor técnico en el área de Seguridad en

Networking

Fire

wall d

e N

ueva G

enera

ció

n

Agenda

1. Uso de aplicaciones en las

Organizaciones

2. Tipos de firewall

3. Firewall de Nueva Generación

4. Análisis de la Industria

5. Conclusiones

Reporte de Uso de Aplicaciones y de Riesgos

© 2008 Palo Alto Networks. Proprietary and Confidential. Page 5 |

Lo

s

Usu

ario

s

Fin

ale

s

de

la

Em

pre

sa

ha

c

en

lo

qu

e

qu

i

ere

n

• El Informe de uso de Aplicaciones y riesgo de Palo Alto Networks proporciona una

visión global del uso de aplicaciones empresariales por medio de una evaluación

realizada en 2,036 organizaciones alrededor del mundo entre Noviembre 2011 y

Mayo 2012:

- Tráfico de video consume el 13% del total del ancho de banda

- Filesharing P2P se eleva a 700% en consumo de ancho de banda.

- Las redes sociales continúan definiéndose a sí mismas.: Tumblr y Pinterest.

- El tráfico atraviesa todos los puertos: basadas en web, cliente-servidor o p2p

Fire

wall d

e N

ueva G

enera

ció

n

Reporte de Uso de Aplicaciones

Fire

wall d

e N

ueva G

enera

ció

n

Reporte de Uso de Aplicaciones

Históricamente los datos indican que el consumo de ancho de banda utilizado por

otras aplicaciones que no son parte de Streaming media o de fotos, es

insignificante, sin embargo esto ha cambiado.

América

Fire

wall d

e N

ueva G

enera

ció

n

Reporte de Uso de Aplicaciones

Facebook y Twitter siguen mostrando consistencia cómo líderes en el mercado, sin

embargo los usuarios están haciendo más navegación que publicación.

Nuevas aplicaciones de redes sociales están consumiendo más ancho de banda

que otras pre-existentes.

• Del total de las 84 aplicaciones de redes sociales identificadas, 74 variantes

fueron identificadas durante un periodo de seis meses.

• Al menos una aplicación de red social fue detectado en el 97% de las

organizaciones participantes.

Tipos de Firewall

Internet

Aplicaciones dinámicas

• FTP

• RPC

• Java/RMI

• Multimedia

Firewalls – Se iniciaron con los ruteadores

Aplicaciones tradicionales

• DNS

• Gopher

• SMTP

• HTTP

Antecedentes

• Aparecen a mediados de los

1980’s

• Típicamente incluidos en los

ruteadores

• Clasifican los paquetes

individuales en base al

numero de puerto (ACL’s)

Desafío

• No soportan aplicaciones

dinámicas

Antecedentes: Tipos de Firewall F

irew

all d

e N

ueva G

enera

ció

n

Pero los ruteadores no se pueden adaptar a las nuevas aplicaciones

Internet

Aplicaciones tradicionales

• DNS

• Gopher

• SMTP

• HTTP

Aplicaciones dinámicas

• FTP

• RPC

• Java/RMI

• Multimedia

Antecedentes

• Aparecen a mediados de los

1980’s

• Típicamente incluidos en los

ruteadores

• Clasifican los paquetes

individuales en base al numero

de puerto

Desafío

• No soportan aplicaciones

dinámicas

• La solución dudosa es abrir

grandes grupos de puertos

• Abiertos a ataques a toda la red

Antecedentes: Tipos de Firewall F

irew

all d

e N

ueva G

enera

ció

n

Internet

La inspección Stateful mejoro la protección

Antecedentes

• Creada por Nir Zuk y Check

Point en 1994

• Tabla fija del estado de los

paquetes limitados filtrados

• Clasificación del trafico con

base en los números de

puertos en el contexto del flujo

Desafío

• Esto ayudo, pero las

aplicaciones continuaron

evolucionando

Dynamic Applications

• FTP

• RPC

• Java/RMI

• Multimedia

Aplicaciones tradicionales

• DNS

• Gopher

• SMTP

• HTTP

Aplicaciones dinámicas

• FTP

• RPC

• Java/RMI

• Multimedia

Antecedentes: Tipos de Firewall F

irew

all d

e N

ueva G

enera

ció

n

Internet

Pero los Firewalls tradicionales aun no tienen visibilidad

Desafío • No pueden identificar

aplicaciones evasivas • Incrustados dentro de

productos de seguridad existentes

• No puede corregir retroactivamente

Veredicto • Los firewalls tradicionales

han llegado al fin de sus limites de vida útil

• Este problema se pondrá cada vez peor

Apls Evasivas

• Encriptadas

• Web 2.0

• P2P / Musica

• IM / Skype

• Video / juegos

• Desktop Apps

• Spyware

• Crimeware

Aplicaciones tradicionales

• DNS

• Gopher

• SMTP

• HTTP

Aplicaciones dinámicas

• FTP

• RPC

• Java/RMI

• Multimedia

Antecedentes: Tipos de Firewall F

irew

all d

e N

ueva G

enera

ció

n

Las Aplicaciones han Cambiado– La seguridad No

• El gateway en la frontera es el lugar adecuado para reforzar las políticas de control - Ve todo el trafico - Define los limites de

confianza

Necesita restablecer la visibilidad y control en la red

Colaboración / Media SaaS Personal

• PERO.. Las Aplicaciones Han Cambiado - Puertos ≠ Aplicaciones - Direcciones IP ≠ Usuarios - Paquetes ≠ Contenido

Antecedentes: Tipos de Firewall F

irew

all d

e N

ueva G

enera

ció

n

¿Qué hacer?...

Firewall de Nueva Generación

Suficiente….Es tiempo de cambiar el concepto

Nuevos Requerimientos para el Firewall

1. Identificar aplicaciones sin importar el puerto, protocolo, táctica evasiva o SSL

2. Identificar usuarios sin importar su dirección IP

3. Visibilidad y control de políticas granular sobre el acceso / funcionalidad de la aplicación

4. Proteger en tiempo-real contra amenazas embebidas a través de las aplicaciones

5. Multi-gigabit, implementación in-line sin degradación en el rendimiento

Firewall de Nueva Generación F

irew

all d

e N

ueva G

enera

ció

n

Firewall de Nueva Generación

Enfoque Céntrico de aplicaciones

10 Gig

Control y

Visibilidad

Bittorrent

Meebo

Oracle

MSN

Salesforce

WebEx Skype

Clasificación

de

Aplicaciones

Es lo que ves … Lo que entra …

Clasificación del Tráfico de aplicaciones

- Visibilidad dentro de todo el contenido de flujo, para identificar cada aplicación sin importar el puerto, protocolo o cifrado SSL

- Escaneo de todas las aplicaciones en todos los puertos sin degradar el rendimiento

- Dinámicamente actualiza aplicaciones nuevas y ya conocidas

Fire

wall d

e N

ueva G

enera

ció

n

• Reconstruir el firewall desde la

base

• Identifica tráfico a nivel

Aplicación

– Siempre arriba

– Siempre la primer acción

– En todos los puertos

• El control positivo es

recuperado,

independientemente del

puerto del tráfico en el que

viaja

• El firewall realiza las funciones

para las cuáles fue diseñado

originalmente

Puerto

22

Puerto

23

Port

531

FT

P

SS

H

Teln

et

HT

TP

IM

Puerto

20

Puerto

80

App-ID

• IPS trabaja de forma

sistemática

• Aplicaciones evasivas no

evaden el IPS o el firewall

Firewall de Nueva Generación

Cambiando el Firewall… y el IPS

Fire

wall d

e N

ueva G

enera

ció

n

• El panorama de las

amenazas ha crecido – Tradicional: Ataques/exploits

internos hacia los servidores

– Hoy en día: Malware,

botnets, Aplicaciones

peligrosas, exploits a nivel

usuario final, URLs

comprometidas, archivos

infectados, and exploits

tradicionales, todos

trabajando en conjunto

• Amenazas y vectores

múltiples trabajando en

conjunto • Ejemplo: Aprovechar

Vulnerabilidad A de un

servidor inyección de

malware injection

Aprovechar vulnerabilidad en

navegador infección a

nivel cliente

Amenazas deconocidas

Botnets y Malware

Vulnerabilidades Exploits

Páginas Web comprometidas

Tipos de archivo peligrosos

Integrative Threat

Prevention

Firewall de Nueva Generación

Prevención de Amenazas integrado

Fire

wall d

e N

ueva G

enera

ció

n

APT’s

Tecnologías/Arquitectura que transforman el Firewall F

irew

all d

e N

ueva G

enera

ció

n

ID Technologies

IPS

Malware

URL

Tipo archivo

Contenido

¿Cuál es el tráfico

y éste es permitido?

(App-ID)

¿Permitir para este usuario

y/o grupo específico?

(User ID)

¿Qué riesgos o amenazas hay

dentro del tráfico?

(Content ID)

Bloqueo de

sitios

maliciosos

Incluir archivos

comprimidos

CC#, SSN, etc.

SS

L

HT

TP

Gta

lk

Gb

rid

ge

Fa

ceb

oo

k

Proceso basado en políticas

Es la primera tarea que siempre se

ejecuta

Todo el tráfico, todos los puertos

Siempre activo

Firewall de Nueva Generación F

irew

all d

e N

ueva G

enera

ció

n

© 2008 Palo Alto Networks. Proprietary and Confidential. Page 22 |

Vis

i

bilid

ad

en

la

Ap

li

ca

ci

ón

,

Usu

ario

s y

Co

nte

nid

o

Remover Skype para

expandir la vista del usuario

hzielinski

Filtro en Skype

y el Usuario hzielinski Filtro en Skype

Visibilidad en la Aplicación, Usuarios y Contenido F

irew

all d

e N

ueva G

enera

ció

n

© 2008 Palo Alto Networks. Proprietary and Confidential. Page 23 |

© 2008 Palo Alto Networks. Proprietary and Confidential. Page 23 |

Pe

r

mite

la

vis

i

bilid

ad

de

las

apli

ca

ci

one

s,

usu

ario

s y

co

nt

enid

os

• La visibilidad proporciona la habilidad de implementar políticas de acuerdo

ciertas necesidades

– Permitir

– Permitir, pero escanear

– Permitir ciertos usuarios

– Permitir ciertas funciones

– Denegar aplicaciones malas

conocidas

– Descifrar cuando sea

apropiado

– Calidad de Servicio (QoS)

– …cualquier combinación de las anteriores

Bajo Alto

Network Control

Firewall de Nueva Generación

Control de Enterprise 2.0

Fire

wall d

e N

ueva G

enera

ció

n

Análisis de la Industria

Análisis de la Industria F

irew

all d

e N

ueva G

enera

ció

n

Análisis de la Industria F

irew

all d

e N

ueva G

enera

ció

n

Preguntas

* Correo electrónico:

mchavez@smartekh.com

jortiz@smartekh.com

www.smartekh.com

Fire

wall d

e N

ueva G

enera

ció

n

ww

w.s

marte

kh.c

om

Tu seguridad informática es nuestra pasión