Este webinar tiene como objetivo principal explicar como dado los cambios tecnológicos que han sufrido la seguridad perimetral y en el Data Center, debido a la forma en la cuál han cambiado las aplicaciones y la interacción que tienen los usuarios con las mismas, surge el concepto de Firewall de Nueva Generación con el que se busca contar con visibilidad y control de acceso granular de la red, con el objetivo de mitigar los riesgos tecnológicos asociados a las aplicaciones críticas para el negocio.
El temario que se engloba es el siguiente:
¿Cómo han cambiado/evolucionado las aplicaciones y cuál es el reto actual de la seguridad en redes?
¿Cómo identificar y controlar aplicaciones sin importar el protocolo, puerto, técnicas evasivas, cifradas? ¿Qué usuarios están haciendo usos de dichas aplicaciones?
Enterprise 2.0- Habilitar aplicaciones de forma segura
¿Cómo proteger mi negocio ante las amenazas embebidas a través de las aplicaciones?
2. GRUPO SMARTEKH
Información General
Miguel Ángel Chávez Cervantes
Ingeniero en Electrónica y Comunicaciones
• 10 años de experiencia en el área de Networking y Diplomado en
Seguridad en tecnologías de la Información
• Ingeniero certificado en diferentes marcas y tecnologías
Juniper Networks
PaloAlto Networks
Trend Micro
Barracuda
Infoblox
• Consultor en el área de Seguridad en redes
• Premio al mejor Ingeniero Juniper Networks 2010 en la región
Latinoamérica
• Experiencia en Pent testing y análisis de riesgos.
Jazmin Ortiz López
Licenciatura en Ciencias de la Informática
• 4 años de experiencia en soporte e implementación de soluciones de
seguridad a nivel end-point, gateway y de redes.
• Marcas: Trend Micro, Juniper, Palo Alto, Fatpipe
• Implementación de metodologías de servicios (MOF, COBIT, ITIL) de
soporte técnico e implementación- Gobierno de TI.
• Responsable del área de Service Desk
• Actualmente Consultor técnico en el área de Seguridad en
Networking
3. Firewall de Nueva Generación
Agenda
1. Uso de aplicaciones en las
Organizaciones
2. Tipos de firewall
3. Firewall de Nueva Generación
4. Análisis de la Industria
5. Conclusiones
6. Firewall de Nueva Generación
Reporte de Uso de Aplicaciones
Históricamente los datos indican que el consumo de ancho de banda utilizado por
otras aplicaciones que no son parte de Streaming media o de fotos, es
insignificante, sin embargo esto ha cambiado.
América
7. Firewall de Nueva Generación
Reporte de Uso de Aplicaciones
Facebook y Twitter siguen mostrando consistencia cómo líderes en el mercado, sin
embargo los usuarios están haciendo más navegación que publicación.
Nuevas aplicaciones de redes sociales están consumiendo más ancho de banda
que otras pre-existentes.
• Del total de las 84 aplicaciones de redes sociales identificadas, 74 variantes
fueron identificadas durante un periodo de seis meses.
• Al menos una aplicación de red social fue detectado en el 97% de las
organizaciones participantes.
9. Firewall de Nueva Generación
Antecedentes: Tipos de Firewall
Firewalls – Se iniciaron con los ruteadores
Aplicaciones tradicionales Aplicaciones dinámicas Antecedentes
• DNS • FTP • Aparecen a mediados de los
• Gopher • RPC 1980’s
• SMTP • Java/RMI
• HTTP • Multimedia • Típicamente incluidos en los
ruteadores
• Clasifican los paquetes
individuales en base al
numero de puerto (ACL’s)
Desafío
• No soportan aplicaciones
dinámicas
Internet
10. Firewall de Nueva Generación
Antecedentes: Tipos de Firewall
Pero los ruteadores no se pueden adaptar a las nuevas aplicaciones
Aplicaciones tradicionales Aplicaciones dinámicas Antecedentes
• DNS • FTP • Aparecen a mediados de los
• Gopher • RPC
• SMTP • Java/RMI 1980’s
• HTTP • Multimedia • Típicamente incluidos en los
ruteadores
• Clasifican los paquetes
individuales en base al numero
de puerto
Desafío
• No soportan aplicaciones
dinámicas
• La solución dudosa es abrir
grandes grupos de puertos
• Abiertos a ataques a toda la red
Internet
11. Firewall de Nueva Generación
Antecedentes: Tipos de Firewall
La inspección Stateful mejoro la protección
Aplicaciones tradicionales Aplicaciones dinámicas
Dynamic Applications Antecedentes
• DNS •• FTP
FTP • Creada por Nir Zuk y Check
• Gopher •• RPC
RPC
• SMTP •• Java/RMI
Java/RMI Point en 1994
• HTTP •• Multimedia
Multimedia • Tabla fija del estado de los
paquetes limitados filtrados
• Clasificación del trafico con
base en los números de
puertos en el contexto del flujo
Desafío
• Esto ayudo, pero las
aplicaciones continuaron
evolucionando
Internet
12. Firewall de Nueva Generación
Antecedentes: Tipos de Firewall
Pero los Firewalls tradicionales aun no tienen visibilidad
Aplicaciones tradicionales Aplicaciones dinámicas Desafío
• DNS • FTP • No pueden identificar
• Gopher • RPC aplicaciones evasivas
• SMTP • Java/RMI • Incrustados dentro de
• HTTP • Multimedia productos de seguridad
existentes
• No puede corregir
Apls Evasivas retroactivamente
• Encriptadas
• Web 2.0
• P2P / Musica
Veredicto
• IM / Skype • Los firewalls tradicionales
• Video / juegos han llegado al fin de sus
• Desktop Apps limites de vida útil
• Spyware • Este problema se pondrá
• Crimeware cada vez peor
Internet
13. Firewall de Nueva Generación
Antecedentes: Tipos de Firewall
Las Aplicaciones han Cambiado– La seguridad No
Colaboración / Media Personal
SaaS
• El gateway en la frontera
es el lugar adecuado para
reforzar las políticas de
control
- Ve todo el trafico
- Define los limites de
confianza
• PERO.. Las Aplicaciones Han
Cambiado
- Puertos ≠ Aplicaciones
- Direcciones IP ≠ Usuarios
- Paquetes ≠ Contenido
Necesita restablecer la visibilidad y control en la red
16. Firewall de Nueva Generación
Firewall de Nueva Generación
Suficiente….Es tiempo de cambiar el concepto
Nuevos Requerimientos para el Firewall
1. Identificar aplicaciones sin importar el
puerto, protocolo, táctica evasiva o SSL
2. Identificar usuarios sin importar su
dirección IP
3. Visibilidad y control de políticas granular
sobre el acceso / funcionalidad de la
aplicación
4. Proteger en tiempo-real contra
amenazas embebidas a través de las
aplicaciones
5. Multi-gigabit, implementación in-line
sin degradación en el rendimiento
17. Firewall de Nueva Generación
Firewall de Nueva Generación
Clasificación del Tráfico de aplicaciones
- Visibilidad dentro de todo el contenido de flujo, para identificar cada aplicación
sin importar el puerto, protocolo o cifrado SSL
- Escaneo de todas las aplicaciones en todos los puertos sin degradar el
rendimiento
- Dinámicamente actualiza aplicaciones nuevas y ya conocidas
Lo que entra … Enfoque Céntrico de aplicaciones Es lo que ves …
Bittorrent
Clasificación Meebo
Oracle Control y
de
MSN
Salesforce 10 Gig
Visibilidad
Aplicaciones WebEx
Skype
18. Firewall de Nueva Generación
Firewall de Nueva Generación
Cambiando el Firewall… y el IPS
• Reconstruir el firewall desde la
base
Telnet
HTTP
SSH
FTP
IM
• Identifica tráfico a nivel
Aplicación
App-ID – Siempre arriba
Puerto Puerto Puerto Puerto Port – Siempre la primer acción
20 22 23 80 531
– En todos los puertos
• El control positivo es
recuperado,
independientemente del
puerto del tráfico en el que
• IPS trabaja de forma viaja
sistemática • El firewall realiza las funciones
• Aplicaciones evasivas no para las cuáles fue diseñado
evaden el IPS o el firewall originalmente
19. Firewall de Nueva Generación
Firewall de Nueva Generación
Prevención de Amenazas integrado
• El panorama de las
amenazas ha crecido
– Tradicional: Ataques/exploits
internos hacia los servidores Vulnerabilidades
– Hoy en día: Malware, Exploits
botnets, Aplicaciones
peligrosas, exploits a nivel
usuario final, URLs Tipos de archivo Botnets y
comprometidas, archivos peligrosos Malware
infectados, and exploits Integrative
Threat
tradicionales, todos Prevention
trabajando en conjunto
• Amenazas y vectores Páginas Web Amenazas
comprometidas deconocidas
múltiples trabajando en
conjunto
• Ejemplo: Aprovechar
Vulnerabilidad A de un
servidor inyección de
malware injection
APT’s
Aprovechar vulnerabilidad en
navegador infección a
nivel cliente
20. Firewall de Nueva Generación
Tecnologías/Arquitectura que transforman el Firewall
ID Technologies
21. Firewall de Nueva Generación
Firewall de Nueva Generación
¿Cuál es el tráfico ¿Permitir para este usuario ¿Qué riesgos o amenazas hay
y éste es permitido? y/o grupo específico? dentro del tráfico?
(App-ID) (User ID) (Content ID)
IPS
Facebook
Malware
Gbridge
HTTP
Gtalk
SSL
URL
Bloqueo de
sitios
maliciosos
Tipo archivo Incluir archivos
comprimidos
Proceso basado en políticas
Es la primera tarea que siempre se
Contenido CC#, SSN, etc.
ejecuta
Todo el tráfico, todos los puertos
Siempre activo
24. Firewall de Nueva Generación
Firewall de Nueva Generación
Control de Enterprise 2.0
• La visibilidad proporciona la habilidad de implementar políticas de acuerdo
ciertas necesidades
– Permitir
– Permitir, pero escanear
– Permitir ciertos usuarios Network Control
– Permitir ciertas funciones
– Denegar aplicaciones malas
conocidas
Bajo Alto
– Descifrar cuando sea
apropiado
– Calidad de Servicio (QoS)
– …cualquier combinación de las anteriores