“Firewalls de Siguiente Generación Expandiendo la seguridad a Nivel aplicación, usuario y contenido” Leticia Gammill Gerente Regional, Caribe y CentroAmérica
“Firewalls de Siguiente Generación
Expandiendo la seguridad
a Nivel aplicación, usuario y
contenido”
Leticia Gammill
Gerente Regional,
Caribe y CentroAmérica
Agenda
Stateful Inspection + Modulos ( IPS, AV, AC ) ≠ NGFW
Que hace un NGFW ( APP-ID , Content-ID ) ?
Malware Moderno / Bonets por comportamiento
Visibilidad
Palo Alto Networks at a glance
Corporate highlights
Founded in 2005; first customer shipment in 2007
Safely enabling applications
Able to address all network security needs
Exceptional ability to support global customers
Experienced technology and management team
900+ employees globallyJul-10 Jul-11
Revenue
Enterprise customers
$MM
FYE July
Oct-12
3 | ©2013, Palo Alto Networks. Confidential and Proprietary.
Applications Get Through the Firewall
4 | ©2012, Palo Alto Networks. Confidential and Proprietary.
Network security policy is enforced
at the firewall• Sees all traffic
• Defines boundary
• Enables access
Traditional firewalls don’t work any
more
Applications Get Through the Firewall: Threats
5 | ©2012, Palo Alto Networks. Confidential and Proprietary.
Threats target applications• Used as a threat vector
• Application specific exploits
Applications Get Through the Firewall: Exfiltration
Applications provide exfiltration• Threat communication
• Confidential data
6 | ©2012, Palo Alto Networks. Confidential and Proprietary.
Applications Get Through the Firewall: Encryption
What happens traffic is encrypted?• SSL
• Proprietary encryption
7 | ©2012, Palo Alto Networks. Confidential and Proprietary.
Descripción Técnica
Wiki Stateful Inpection:
En computo un stateful firewall (cualquier
firewall que realiza stateful packet
inspection (SPI) o stateful inspection) es
un firewall que mantiene rastreando el
estado de las conexiones de red ( flujos de
comunicación TCP ,UDP) que lo atraviesan.
Este tipo de firewall esta programado para
distinguir paquetes legitimos para diferentes
tipos de conexiones. Solo los paquetes que
concuerdan con las conexiones activas son
lo que seran permitidos por el firewall, otros
paquetes serán rechazados.
0 7 8 15 16 23 24 31
Ver Hdr Len Service Type Total Length
Identification Flags Fragment Offset
Time To Live Protocol
Destination IP Address
Header Checksum
IP Options (If Any) Padding
Source IP Address
Data
…
Que siguió? la solución “UTM”
Port/Protocol-based ID
L2/L3 Networking, HA, Config Management, Reporting
Port/Protocol-based ID
HTTP Decoder
L2/L3 Networking, HA, Config Management, Reporting
URL Filtering Política
Port/Protocol-based ID
IPS Signatures
L2/L3 Networking, HA, Config Management, Reporting
IPS Política
Port/Protocol-based ID
AV Signatures
L2/L3 Networking, HA, Config Management, Reporting
AV Política
Firewall Política IPS Decoder AV Decoder & Proxy
Page 9 | © 2008 Palo Alto Networks. Proprietary and Confidential
Technology Sprawl and Creep Aren’t the Answer
Enterprise Network
• “More stuff” doesn’t solve the problem
• Firewall “helpers” have limited view of traffic
• Complex and costly to buy and maintain
• Doesn’t address application control challenges
10 | ©2012, Palo Alto Networks. Confidential and Proprietary.
IMDLPIPS ProxyURLAV
UTM
Internet
Las aplicaciones han cambiado .. y el FW NO
Necesitamos reestabelecer visibilidad y control al firewall
PERO … las aplicaciones cambiaron y el Firewall?
• Ports ≠ Applications
• IP Addresses ≠ Users
• Packets ≠ Content
• El Firewall es el punto indicado para hacer el control de aplicaciones
• Ve todo el tráfico
• El firewall es un punto de control de lógica positiva
Corresponde al Firewall habilitar la seguridad
Firewall IPS
App Ctrl PolicyDecision
Scan Applicationfor Threats
Applications
ApplicationTraffic
NGFW Application Control • Application control is in the firewall = single
policy
• Visibility across all ports, for all traffic, all the time
Implications • Network access decision is made based on
application identity
• Safely enable application usage
Port PolicyDecision
App Ctrl PolicyDecision
Application Control as an Add-on• Port-based FW + App Ctrl (IPS) = two policies
• Applications are threats; only block what you expressly look for
Implications • Network access decision is made with no
information
• Cannot safely enable applications
IPS
Applications
Firewall
PortTraffic
App-ID = Habilitador de Aplicaciones
• Siempre es la primera accion, siempre habilitado, siempre
rastreando el estado , en TODO el trafico, en TODAS las
aplicaciones, en TODOS los puertos
App-ID
Traffic
App1App2App3App4
Es un solo mecanismo ; Un habilitador basado en políticas
Identificando la aplicación como paso inicial es la única forma de habilitar aplicaciones
Tecnologias que diferencian a un NGFW
•App-ID™
•Identify the application
•User-ID™
•Identify the user
•Content-ID™
•Scan the content
Arquitectura SP3 Arquitectura de un solo paso en paralelo (SP3)
Un paso
Proceso de un paso para:
- Clasificación de trafico (app identification)
- Mapeo de Usuario/grupo
- Búsqueda de contenido – amenazas, URLs, DLP, etc.
Una Política
Proceso en paralelo
Motores de función especifica en hardware
Proceso Multi-core para seguridad
Planos de datos/control separados
Hasta 20Gbps, baja latencia
Que alcanzas a ver…con un FW basado en puertos + Application Control Add-on
Cuando deberias de estar viendo lo que un verdadero Next-Generation Firewall puede ver
Control en la superficie de analisis de la Red
»Universo de aplicaciones
»Trafico limitado a las aplicaciones aprobadas por la empresa basadas en APP y Usuario.
»Superficie de ataque reducida
»Biblioteca de amenazas completa sin tener puntos ciegos. Bi-directional inspectionScans inside of SSLScans inside compressed
filesScans inside proxies and
tunnels
Solamente permitimoslas aplicacionesnecesarias
Limipiamos el trafico que por todas las amenzas en un solo paso
Estrategia en Malware Moderno
Infection
Escalation
Remote Control
Malware provee un punto de expasión y vulnerabilidad claro en las redes.
Amenazas desconocidas
NGFW clasifica todo el trafico
conocido Personalización App-IDs
Cualquier otro tráfico se debe de
investigado como aplicación
desconocida para ser investigado Usado para encontrar botnets o amenazas
desconocidas
Behavioral Botnet Report Automáticamente correlaciona comportamiento
con usuario final
Unknown TCP and UDP, Dynamic
DNS, Repetición/Intentos de download
files, Contacto con DNS recientemente
registrados, etc
© 2010 Palo Alto Networks. Proprietary and Confidential.Page 20 |
10.1.1.56
10.1.1.34
10.1.1.277
192.168.1.4
192.168.1.47
10.1.1.101
10.0.0.24192.168.1.5
10.1.1.16
192.168.124.5
Encontrar al usuario en especifico que potencialmente esta comprometido por un Bot
Jeff.Martin
Reportes por usuario/aplicacion/Contenido Consolidado
Manejo de incidentes de seguridad
Reportes NGFW
Cual es la Respuesta?
25 | ©2012, Palo Alto Networks. Confidential and Proprietary.
Nuevos requerimientos para el Firewall1. Identificar aplicaciones sin importar puerto, protocolo, táctica evasiva o SSL
2. Identificar los usuario independientemente de la dirección IP
3. Visibilidad granular y políticas de control sobre acceso a aplicaciones / funcionalidad
4. Protección en tiempo real contra amenazas incrustadas entre las aplicaciones
5. Multi-gigabit, implementación en-línea sin degradación del rendimiento
26 | ©2012, Palo Alto Networks. Confidential and Proprietary.
Magic Quadrant - 2011 Magic Quadrant - 2013
Gartner Enterprise Network Firewall Market
© 2007 Palo Alto Networks. Proprietary and ConfidentialPage 27 |
Gracias !