Este webinar tiene como objetivo principal, dar a conocer las ventajas y desventajas al adquirir un firewall de nueva generación.
El tamario que engloba es el siguiente:
El uso de aplicaciones en Universidades
Tipos de firewall
Firewall de Nueva Generación
Análisis de la Industria
2. GRUPO SMARTEKH
Información General
Miguel Ángel Chávez Cervantes
Ingeniero en Electrónica y Comunicaciones
• 10 años de experiencia en el área de Networking y Diplomado en
Seguridad en tecnologías de la Información
• Ingeniero certificado en diferentes marcas y tecnologías
Juniper Networks
PaloAlto Networks
Trend Micro
Barracuda
Infoblox
• Consultor en el área de Seguridad en redes
• Premio al mejor Ingeniero Juniper Networks 2010 en la región
Latinoamérica
• Experiencia en Pent testing y análisis de riesgos.
Jazmin Ortiz López
Licenciatura en Ciencias de la Informática
• 4 años de experiencia en soporte e implementación de soluciones de
seguridad a nivel end-point, gateway y de redes.
• Marcas: Trend Micro, Juniper, Palo Alto, Fatpipe
• Implementación de metodologías de servicios (MOF, COBIT, ITIL) de
soporte técnico e implementación- Gobierno de TI.
• Responsable del área de Service Desk
• Actualmente Consultor técnico en el área de Seguridad en
Networking
3. Firewall de Nueva Generación
Agenda
1. El uso de aplicaciones en
Universidades
2. Tipos de firewall
3. Firewall de Nueva Generación
4. Análisis de la Industria
5. Conclusiones
5. Firewall de Nueva Generación
Uso de aplicaciones en las Universidades
Los estudiantes encontrarán la manera…
97%
incidencias
65%
incidencias
6. Firewall de Nueva Generación
Uso de aplicaciones en las Universidades
El uso de filesharing es excesivo
94%
incidencias
96%
incidencias
7. Firewall de Nueva Generación
Uso de aplicaciones en las Universidades
Acceso remoto: IT, soporte o estudiantes?
96% incidencias
8. Firewall de Nueva Generación
Uso de aplicaciones en las Universidades
¿Dónde está el ancho de banda?
48% consume 86%
9. Firewall de Nueva Generación
Uso de aplicaciones en las Universidades
Equilibrio delicado entre libertad y caos
¿Por qué?
10. Firewall de Nueva Generación
Antecedentes: Tipos de Firewall
Firewalls – Se iniciaron con los ruteadores
Aplicaciones tradicionales Aplicaciones dinámicas Antecedentes
• DNS • FTP • Aparecen a mediados de los
• Gopher • RPC 1980’s
• SMTP • Java/RMI
• HTTP • Multimedia • Típicamente incluidos en los
ruteadores
• Clasifican los paquetes
individuales en base al
numero de puerto
Desafío
• No soportan aplicaciones
dinámicas
Internet
11. Firewall de Nueva Generación
Antecedentes: Tipos de Firewall
Pero los ruteadores no se pueden adaptar a las nuevas aplicaciones
Aplicaciones tradicionales Aplicaciones dinámicas Antecedentes
• DNS • FTP • Aparecen a mediados de los
• Gopher • RPC
• SMTP • Java/RMI 1980’s
• HTTP • Multimedia • Típicamente incluidos en los
ruteadores
• Clasifican los paquetes
individuales en base al numero
de puerto
Desafío
• No soportan aplicaciones
dinámicas
• La solución dudosa es abrir
grandes grupos de puertos
• Abiertos a ataques a toda la red
Internet
12. Firewall de Nueva Generación
Antecedentes: Tipos de Firewall
La inspección Stateful mejoro la protección
Aplicaciones tradicionales Aplicaciones dinámicas
Dynamic Applications Antecedentes
• DNS •• FTP
FTP • Creada por Nir Zuk y Check
• Gopher •• RPC
RPC
• SMTP •• Java/RMI
Java/RMI Point en 1994
• HTTP •• Multimedia
Multimedia • Tabla fija del estado de los
paquetes limitados filtrados
• Clasificación del trafico en
base a los números de
puertos en el contexto del flujo
Desafío
• Esto ayudo, pero las
aplicaciones continuaron
evolucionando
Internet
13. Firewall de Nueva Generación
Antecedentes: Tipos de Firewall
Pero los Firewalls tradicionales aun no tienen visibilidad
Aplicaciones tradicionales Aplicaciones dinámicas Desafío
• DNS • FTP • No pueden identificar
• Gopher • RPC aplicaciones evasivas
• SMTP • Java/RMI • Incrustados dentro de
• HTTP • Multimedia productos de seguridad
existentes
• No puede corregir
Apls Evasivas retroactivamente
• Encriptadas
• Web 2.0
• P2P / Musica
Veredicto
• IM / Skype • Los firewalls tradicionales
• Video / juegos han llegado al fin de sus
• Desktop Apps limites de vida útil
• Spyware • Este problema se pondrá
• Crimeware cada ves peor
Internet
14. Firewall de Nueva Generación
Antecedentes: Tipos de Firewall
Las Aplicaciones han Cambiado– La seguridad No
Colaboración / Media Personal
SaaS
• El gateway en la frontera
es el lugar adecuado para
reforzar las políticas de
control
- Ve todo el trafico
- Define los limites de
confianza
• PERO.. Las Aplicaciones Han
Cambiado
- Puertos ≠ Aplicaciones
- Direcciones IP ≠ Usuarios
- Paquetes ≠ Contenido
Necesita restablecer la visibilidad y control en la red
15. Firewall de Nueva Generación
Firewall de Nueva Generación
Suficiente….Es tiempo de cambiar el concepto
Nuevos Requerimientos para el Firewall
1. Identificar aplicaciones sin importar el
puerto, protocolo, táctica evasiva o SSL
2. Identificar usuarios sin importar su
dirección IP
3. Visibilidad y control de políticas granular
sobre el acceso / funcionalidad de la
aplicación
4. Proteger en tiempo-real contra
amenazas embebidas a través de las
aplicaciones
5. Multi-gigabit, implementación in-line
sin degradación en el rendimiento
16. Firewall de Nueva Generación
Firewall de Nueva Generación
Clasificación del Tráfico de aplicaciones
- Visibilidad dentro de todo el contenido de flujo, para identificar cada aplicación
sin importar el puerto, protocolo o encriptación SSL
- Escaneo de todas las aplicaciones en todos los puertos sin degradar el
rendimiento
- Dinámicamente actualiza aplicaciones nuevas y ya conocidas
Lo que entra … Enfoque Céntrico de aplicaciones Es lo que ves …
Bittorrent
Clasificación Meebo
Oracle Control y
de
MSN
Salesforce 10 Gig
Visibilidad
Aplicaciones WebEx
Skype
17. Firewall de Nueva Generación
Firewall de Nueva Generación
App-ID: Visibilidad Completa de las Aplicaciones
• Control basado en Políticas. Aplicaciones distribuidas a través de categorías y
subcategorías
• Combinación balanceada de aplicaciones de red, negocios e internet, y protocolos de
red
18. Firewall de Nueva Generación
Firewall de Nueva Generación
Cambiando el Firewall… y el IPS
• Reconstruir el firewall desde la
base
Telnet
HTTP
SSH
FTP
IM
• Identifica tráfico a nivel
Aplicación
App-ID – Siempre arriba
Puerto Puerto Puerto Puerto Port – Siempre la primer acción
20 22 23 80 531
– En todos los puertos
• El control positivo es
recuperado,
independientemente del
puerto del tráfico en el que
• IPS trabaja de forma viaja
sistemática • El firewall realiza las funciones
• Aplicaciones evasivas no para las cuáles fue diseñado
evaden el IPS o el firewall originalmente
19. Firewall de Nueva Generación
Firewall de Nueva Generación
Prevención de Amenazas integrado
• El panorama de las
amenazas ha crecido
– Tradicional: Ataques/exploits
internos hacia los servidores Vulnerabilidades
– Hoy en día: Malware, Exploits
botnets, Aplicaciones
peligrosas, exploits a nivel
usuario final, URLs Tipos de archivo Botnets y
comprometidas, archivos peligrosos Malware
infectados, and exploits Integrative
Threat
tradicionales, todos Prevention
trabajando en conjunto
• Amenazas y vectores Páginas Web Amenazas
comprometidas deconocidas
múltiples trabajando en
conjunto
• Ejemplo: Aprovechar
Vulnerabilidad A de un
servidor inyección de
malware injection
Aprovechar vulnerabilidad en
navegador infección a
nivel cliente
20. Firewall de Nueva Generación
Firewall de Nueva Generación
Content-ID: Análisis de Contenido en Tiempo-Real
• Detectar y bloquear un amplio rango de amenazas, limitar transferencias de archivos
no autorizadas y controlar la navegación web no relacionada con el trabajo
– Basado en el flujo de datos, no en el archivo, para un rendimiento en tiempo real
• Motor de firma uniforme analiza un amplio rango de amenazas en una sola
pasada
• Vulnerabilidades y exploits (IPS), virus, y spyware (tanto descargas como phone-
home)
– Bloquear la transferencia de datos sensibles y transferencias de archivos por tipo
• Buscar #TC y patrones de NSS
• Buscar dentro del archivo para determinar el tipo – no esta basado en
extensiones
– Filtrado Web a través de una base de datos completamente integrada
21. Firewall de Nueva Generación
Firewall de Nueva Generación
User-ID: Integración al Directorio Empresarial
• Los usuarios ya no se definen únicamente por su dirección IP
– Aprovechar la infraestructura existente de Active Directory
• Entender el comportamiento de aplicaciones y amenazas de los
usuarios basado en su usuario de AD, no solo la IP
• Administrar y reforzar las políticas con base en usuarios y/o grupos
de AD
• Investigar incidentes de seguridad, generar reportes
personalizados
22. Firewall de Nueva Generación
Firewall de Nueva Generación
¿Cuál es el tráfico ¿Permitir para este usuario ¿Qué riesgos o amenazas hay
y éste es permitido? y/o grupo específico? dentro del tráfico?
(App-ID) (User ID) (Content ID)
IPS
Facebook
Malware
Gbridge
HTTP
Gtalk
SSL
URL
Bloqueo de
sitios
maliciosos
Tipo archivo Incluir archivos
comprimidos
Proceso basado en políticas
Es la primera tarea que siempre se
Contenido CC#, SSN, etc.
ejecuta
Todo el tráfico, todos los puertos
Siempre activo
23. Firewall de Nueva Generación
Firewall de Nueva Generación
Decidir los niveles de políticas de control
• La visibilidad proporciona la habilidad de implementar políticas de acuerdo
ciertas necesidades
– Permitir
– Permitir, pero escanear
– Permitir ciertos usuarios Network Control
– Permitir ciertas funciones
– Denegar aplicaciones malas
conocidas
Bajo Alto
– Descifrar cuando sea
apropiado
– Calidad de Servicio (QoS)
– …cualquier combinación de las anteriores
26. Firewall de Nueva Generación
Conclusiones
Permitir libertad académica, pero minimizar el caos
• Identificar aplicaciones, incluyendo aquellas que son P2P, que
ejecutan técnicas de “encrypted tunneling” y proxies
• Determinar y visualizar quien está haciendo uso de dichas
aplicaciones, a través de la integración de servicios de directorio.
• Aplicar políticas de firewall para el monitoreo y registro de eventos,
aplicar Calidad de servicio (QoS) o bloqueo por aplicación
• Inspeccionar y proteger el tráfico de aplicación con prevención de
ataques
27. Firewall de Nueva Generación
Preguntas
* Correo electrónico:
mchavez@smartekh.com
jortiz@smartekh.com
www.smartekh.com