PROTECCIÓN AL SERVICIO DE SU NEGOCIO

Un cortafuegos con bloqueo de amenazas no es más que el principio…

10 funciones útiles que su cortafuegos debería ofrecer

Tabla de contenido

La evolución del cortafuegos 1

Los cortafuegos de aplicación 2

1ª función útil: Gestión de la transmisión de vídeo 3

2ª función útil: Gestión del ancho de banda por grupos 4

3ª función útil: Control del correo webmail saliente 5

4ª función útil: Refuerzo del uso de las aplicaciones 6

5ª función útil: Denegación de cargas FTP 7

6ª función útil: Control de las aplicaciones P2P 8

7ª función útil: Gestión de la transmisión de música 9

8ª función útil: Asignar ancho de banda prioritario a aplicaciones importantes 10

9ª función útil: Bloqueo de documentos confi denciales 11

10ª función útil: Bloqueo de archivos prohibidos y envío de notifi caciones 12

Si sumamos todas las funciones… 13

PROTECCIÓN AL SERVICIO DE SU NEGOCIO

Los cortafuegos tradicionales se centran en el bloqueo de amenazas

e intrusiones sencillas.

Los cortafuegos de clase empresarial han añadido servicios UTM

(Gestión unifi cada de amenazas), como antivirus, anti-spyware, preven-

ción de intrusiones, fi ltrado de contenido e incluso algunos servicios

antispam para ofrecer una mayor protección contra amenazas.

La evolución del cortafuegos

1

... pero el bloqueo de amenazas no es más que el principio

La mayor parte del tráfi co que pasa a

través de un cortafuegos no constituye

una amenaza, sino que se trata de apli-

caciones y datos. Por este motivo se creó

Application Firewall (cortafuegos de

aplicación), capaz de gestionar y contro-

lar los datos y las aplicaciones que pasan

a través del cortafuegos.

¿Qué es lo que hace?

El cortafuegos de aplicación ofrece gestión y control

del ancho de banda, controles de acceso a nivel de

aplicación, funciones de control de fi ltración de datos,

restricciones en la transferencia de archivos y

documentos específi cos, y mucho más.

¿Cómo funciona?

El cortafuegos de aplicación permite implementar

controles de acceso personalizados basados en los

usuarios, las aplicaciones, la programación o la subred

IP. Gracias a ello, los administradores pueden crear

políticas dirigidas a toda la variedad de aplicaciones

disponibles, al tiempo que reciben por primera vez la

oportunidad de gestionarlas.

2

El cortafuegos de aplicación

Le permite clasifi car, controlar y gestionar las aplicaciones y los datos que pasan a través de su cortafuegos.

Tráfi co inofensivo

■ Tráfi co protegido■ Tráfi co productivo

Amenazas

■ Tráfi co comprometido■ Tráfi co no deseado

Datos y aplicaciones

Aunque la posibilidad de acceder a sitios de transmisión de vídeo, como p.ej. youtube.com,

en ocasiones puede resultar útil, a menudo se abusa de ello. Bloquear la página podría

resultar efi caz, pero la mejor solución podría ser limitar el ancho de banda disponible

para las páginas de transmisión de vídeo.

Cree una política para limitar la transmisión de vídeo ■ Utilice el motor de inspección profunda de paquetes para buscar Host HTTP =

www.youtube.com en el encabezado HTTP

■ Aplique restricciones de ancho de banda al tráfi co que tenga este encabezado

1ª función útil: Gestión de la transmisión de vídeo

3

Puede limitar el ancho de banda para las aplicaciones durante determinadas horas del día, p.ej. desde las 9:00 hasta las 17:00 h.

Ancho de banda deseado para la

transmisión de vídeoAncho de banda proporcionado para la transmisión de vídeo

La primera función que acabamos de presentar servía para restringir el ancho de banda de

páginas de transmisión de vídeo como youtube.com. Ahora, imagínese que su CEO y su CFO se

quejan de que los "vídeos de noticias económicas" que ven a diario van demasiado lentos. La

solución podría ser reducir las restricciones de ancho de banda para todos los empleados. Sin

embargo, ahora hay una solución mejor: la gestión del ancho de banda por grupos.

Cree una política para no limitar la transmisión de vídeo para los ejecutivos ■ Aplique esta política al grupo "ejecutivos" que puede importar desde su servidor LDAP

■ Utilice el motor de inspección profunda de paquetes para buscar

Host HTTP = www.youtube.com en el encabezado HTTP

■ Aplique la garantía de ancho de banda al tráfi co con ese encabezado

2ª función útil: Gestión del ancho de banda por grupos

4

Ancho de banda deseado para la

transmisión de vídeo

Ancho de banda para la transmisión de vídeo proporcionado a los ejecutivos

Ancho de banda para la transmisión de vídeo proporcionado a los demás empleados

3ª función útil: Control del correo webmail saliente

Posiblemente, su sistema de protección antispam actual sea capaz de de-

tectar y bloquear mensajes salientes normales que contengan "información

confi dencial de la empresa".

Pero, ¿qué ocurre si un empleado utiliza un servicio de correo Web como

Yahoo® o Gmail® para enviar "información confi dencial de la empresa"?

Cree una política para bloquear el correo electrónico "confi dencial

de la empresa" ■ El motor de inspección profunda de paquetes busca Cuerpo del

correo electrónico = "Información confi dencial de la empresa"

■ Bloquee el mensaje y notifi que al remitente que el mensaje contiene

"información confi dencial de la empresa"

5

De: usuariomalo@su_empresa.comPara: usuariomalo@competidor.comAsunto: Diseñar hoja de rutaAquí está la hoja de rutaEnero 09 – Versión 7.0Este documento contiene

“información confi dencial de la empresa”

STOP

De: usuariobueno@su_empresa.comPara: usuariobueno @partner.comAsunto: Aprobación de tarjeta de control de horario de JuanApruebo las horas de tu tarjeta de control de horario de esta semana.Carlos

GO

4ª función útil: Refuerzo del uso de las aplicaciones

Su jefe: quiere que Internet Explorer (IE) 7.0 se utilice como navegador estándar.

Su misión: asegurarse de que todos los sistemas de la empresa utilicen IE 7.0, y ningún

otro navegador.

Posibles soluciones

1. Comprobar físicamente a diario los sistemas de todos los usuarios en busca de

navegadores diferentes a IE 7.0.

2. Crear algún tipo de script para comprobar los sistemas de todos los empelados en busca

de otros navegadores y asegurarse de que comprueba todos los sistemas cada día.

3. Establecer una política en el cortafuegos de aplicación y no preocuparse más.

Cree una política de "tengo cosas mejores que hacer"■ El motor de inspección profunda de paquetes busca

Agente de usuario = MSIE 7.0 en el encabezado HTTP

■ Permite el tráfi co de IE 7.0 y bloquea los demás navegadores

6

5ª función útil: Denegación de cargas FTP

Supongamos que crea una página FTP para el intercambio de archivos de gran tamaño

con uno de sus partners de negocio y quiere que tan solo el jefe del proyecto de la em-

presa del partner pueda cargar archivos.

Cree una política para permitir cargas FTP solo para determinadas personas

■ El motor de inspección profunda de paquetes busca Comando FTP = PUT

■ El motor de inspección profunda de paquetes busca

Nombre de usuario autenticado = "partner_gestión proyectos"

■ Si ambos son verdaderos, autorizar PUT

También puede anular cualquier comando FTP que considere "innecesario" para un determinado servidor FTP

partner_ventas: put fi le

partner_markteting: put fi le

partner_ventas: put fi le

partner_gestión

proyectos: put fi le

7

6ª función útil: Control de las aplicaciones P2P

Problema 1: Las aplicaciones punto a punto (P2P) como BitTorrent pueden acaparar ancho

de banda e infectar el sistema con todo tipo de archivos maliciosos.

Problema 2: Continuamente se crean nuevas aplicaciones P2P o simplemente se modifi -

can las existentes (p.ej. cambios del número de versión).

Cree una política para detectar aplicaciones P2P

El motor de inspección profunda de paquetes busca una defi nición de aplicación P2P en

la lista de defi niciones de IPS

Las aplicaciones P2P se pueden bloquear o simplemente limitar mediante restricciones de ancho de banda y de tiempo

Lista de defi niciones de IPS

BitTorrent-6.1BitTorrent-6.0.3BitTorrent-6.0.2BitTorrent-6.0.1… y cientos más

Lista de defi niciones de IPS

Se reciben y aplican las actualizaciones

de SonicWALL

Lista de defi niciones de IPS

BitTorrent-6.1.1

BitTorrent-6.1BitTorrent-6.0.3BitTorrent-6.0.2… y cientos más

+ =

Los resultados■ Puede gestionar y controlar las

aplicaciones P2P

■ No tiene que invertir tiempo en la actualización de las reglas

de las defi niciones de IPS

8

7ª función útil: Gestión de la transmisión de música

Las páginas de transmisión de audio y de radio consumen ancho de banda valioso. Sin

embargo, puede haber motivos legítimos, relacionados con el trabajo, que justifi can el

acceso a estás páginas. Existen dos modos de enfrentarse a este reto.

Control según la página Web

Cree una lista de páginas de audio que desea controlar

Cree una política para detectar páginas de audio

■ Utilice el motor de inspección profunda de paquetes para buscar

Host HTTP = Lista de bloqueo de páginas de audio en el encabezado HTTP

Control por extensión de archivo

Cree una lista de extensiones de archivo de audio que desea controlar

Cree una política para detectar contenido de audio

■ Utilice el motor de inspección profunda de paquetes para buscar Extensión de

archivo = Lista de bloqueo de extensiones de audio en el encabezado HTTP

Una vez "detectada" la transmisión de audio, puede bloquearla o simplemente gestionar el ancho de banda.

9

8ª función útil: Asignar ancho de banda prioritario a aplicaciones importantes

Hoy en día, muchas aplicaciones críticas, como p.ej. SAP®, Salesforce.com® y SharePoint®,

están basadas en nubes o se ejecutan en redes esparcidas geográfi camente. Garantizar que

estas aplicaciones tengan prioridad a la hora de recibir el ancho de banda que necesitan,

puede aumentar la productividad del negocio.

Cree una política para asignar ancho de banda prioritario a la aplicación SAP ■ El motor de inspección profunda de paquetes busca la defi nición o

el nombre de la aplicación

■ Asigne una mayor prioridad en la distribución del ancho de banda a la aplicación SAP

La prioridad de las aplicaciones puede estar basada en de-terminadas fechas (p.ej. se puede dar prioridad a las aplicaciones de ventas al fi nal del trimestre)

SAPSalesforce.comSharePoint

Otros

10

Esto también puede aplicarse al contenido basado en FTP.

En algunas empresas, el sistema de seguridad de correo electrónico o bien no examina el correo

saliente o no examina el contenido de los archivos adjuntos. En ambos casos, es fácil que algún

archivo adjunto con "información confi dencial de la empresa" salga de la organización.

Puesto que el tráfi co saliente pasa a través de su cortafuegos, puede detectar

y bloquear estos "datos en movimiento".

Cree una política para bloquear los archivos adjuntos de

correo electrónico que contienen la marca de agua

"Información confi dencial de la empresa"■ El motor de inspección profunda de paquetes busca

Contenido de correo electrónico = "Información confi dencial de la empresa" y

Contenido de correo electrónico = "Propiedad de la empresa" y

Contenido de correo electrónico = "Propiedad privada" y …

9ª función útil: Bloqueo de documentos confi denciales

11

10ª función útil: Bloqueo de archivos prohibidos y envío de notifi caciones

DESCARGAR

Riesgo de seguridad

Actividad: Está intentando des-cargar o recibir un archivo con una extensión prohibida (.exe, .pif, .src o .vbs). Acción: Este archivo ha sido blo-queado de acuerdo con la política corporativa.Más información: Si desea ver una lista completa de los archivos pro-hibidos, vaya a la sección de seguri-dad del intranet corporativo.

Correo electrónico

FTP

Página Web

Archivo .pif peligroso

FTP

Archivo .vbs peligroso

Archivo .exe peligroso

SonicWALL NSA con

Application Firewall

Cree una lista de extensiones de archivo prohibidas

Cree una política para bloquear las extensiones de archivo prohibidas

■ El motor de inspección profunda de paquetes busca

Extensión de archivo en HTTP, archivo adjunto a mensaje de correo

electrónico o FTP = Extensiones de archivo prohibidas

Si el archivo está bloqueado, enviar notifi cación

12

¿Su cortafuegos es capaz de bloquear alguna de las siguientes acciones?

■ Descargar un archivo EXE desde una página Web

■ Recibir un archivo EXE adjunto a un correo electrónico

■ Transferir un archivo EXE vía FTP

¿Y los archivos PIF, SRC o VBS?

Si sumamos todas las funciones

13

Cortafuegos de alto rendimiento

+ Gestión unifi cada de amenazas

+ Cortafuegos de aplicación

SonicWALL Network Security Appliance

Rendimiento, protección y control detallado

©2008 SonicWALL y el logo de SonicWALL son marcas registradas de SonicWALL, Inc. Los demás nombres de productos aquí mencionados pueden ser marcas registradas y/o marcas comerciales registradas de sus respectivos propietarios. Las especifi caciones y las descripciones están sujetas a modifi cación sin previo aviso. 10/08 SW 466

Obtenga más información■ Si desea ver una comparación de los modelos SonicWALL NSA que incluyen el cortafuegos de aplicación, visite: http://www.sonicwall.com/us/products/NSA_Series.html

■ Descargue la fi cha técnica en: http://www.sonicwall.com/downloads/NSA_Series_DS_US.pdf

■ Vea ejemplos prácticos del cortafuegos de aplicación con ejemplos de productos: http://www.sonicwall.com/downloads/SonicOS_Application_Firewall_Practical_Examples_Guide_technote.pdf

■ Guía de utilización de Application Firewall: http://www.sonicwall.com/downloads/Application_Firewall_5.1e_Feature_Module.pdf

Envíe sus comentarios sobre este libro electrónico o sobre cualquier otro libro electrónico o libro blanco de SonicWALL a la siguiente dirección de correo electrónico: feedback@sonicwall.com

Acerca de SonicWALLSonicWALL es un líder reconocido en el mercado de las soluciones integrales de seguridad de la información. Estas soluciones incluyen software, hardware y servicios dinámicos inteligentes que permiten operar una red empresarial de alto rendimiento sin el riesgo, el coste y la complejidad habituales. Si desea obtener más información, visite nuestra página Web en www.sonicwall.com.

PROTECCIÓN AL SERVICIO DE SU NEGOCIO