Firewall Buyers Guide Es

1 | GUA PARA COMPRADORES DE FIREWALLS

GUA PARA COMPRADORES DE FIREWALLS

La gua definitiva para la evaluacin de los firewalls para redes de empresas.

PALO ALTO NETWORKS | 2 3 | GUA PARA COMPRADORES DE FIREWALLS

Sin lugar a dudas, las redes son ahora ms complejas que nunca. Sus empleados tienen acceso a todas las aplicaciones que deseen, utilizando dispositivos tanto para el trabajo como para uso personal. Muchas veces estas aplicaciones se usan tanto para asuntos personales como en relacin con el trabajo, pero con frecuencia los riesgos para el negocio y para la seguridad no son tenidos en cuenta. Los nuevos empleados potenciales preguntan acerca de las polticas de uso de aplicaciones antes de aceptar sus nuevos trabajos. La incorporacin de una nueva capa de complejidad es la preocupacin subyacente sobre la eficacia de su postura acerca de la ciberseguridad. Est amenazado su negocio? Es una cuestin de cundo, en lugar de "y si..."? Yse encuentra usted lo suficientemente preparado? La complejidad de su red y su infraestructura de seguridad puede limitar o reducir su capacidad para responder a estos y a otros problemas de ciberseguridad.

Al aumentar los lmites de complejidad o retardar el proceso de toma de decisiones, en la mayora de los casos es conveniente centrarse en lo fundamental como medio de hacer frente a la situacin actual de una manera ms eficaz. Con esta forma de ver las cosas nos recordamos a nosotros mismos las tres funciones fundamentales para las que se dise su firewall:

1. Operar como el ncleo de la infraestructura de seguridad de la red.

2. Actuar como punto de control de acceso para todo el trfico, permitiendo o denegando el trfico en la red en funcin de polticas.

3. Eliminar el riesgo de lo "desconocido" usando un modelo de control positivo que se limita a establecer una estrategia del tipo "permitir lo que desea y denegar implcitamente todo lo dems".

Con el tiempo, las funciones fundamentales que ejecutaba su firewall han sido anuladas por el propio trfico que tenan que controlar. Las aplicaciones han evolucionado hasta un punto donde el firewall, la base de su infraestructura de seguridad, tiene problemas para ejecutar los niveles de control que necesita para proteger sus activos digitales.

Introduccin

El cambio propicia la innovacinIncluso con las caractersticas ms avanzadas y con el mayor rendimiento nunca antes logrado, los firewalls estn sufriendo una crisis de identidad. Las amenazas estn cambiando rpidamente y el filtrado tradicional basado en puertos y direcciones IP ya no es suficiente para detenerlas.


Las tcticas de evasin basadas en el salto de puerto, el uso de puertos no estndar y el uso del cifrado son algunas de las formas mediante las cuales las aplicaciones se han vuelto ms accesibles. Estas mismas tcnicas tambin las usan los atacantes cibernticos tanto directamente, en las ciberamenazas que crean, como indirectamente, ocultando las amenazas dentro del trfico de las aplicaciones. Para complicar an ms los retos que suponen estas aplicaciones modernas, sus empleados probablemente estn usando dichas aplicaciones para poder realizar su trabajo. Veamos algunos ejemplos de las aplicaciones y amenazas encontradas en su red.

n Aplicaciones comunes de usuario final: son aplicaciones de redes sociales, comparticin de archivos, vdeos, mensajera instantnea y correo electrnico. En conjunto representan aproximadamente el 25% de las aplicaciones de su red y el 20% del ancho de banda1. Los empleados pueden usar algunas de ellas con fines laborales; en otros casos ser para uso estrictamente personal. Estas aplicaciones suelen tener una gran capacidad de extensin y con frecuencia incluyen funciones que pueden introducir riesgos injustificados. Estas aplicaciones representan tanto riesgos empresariales como de seguridad y su desafo ser cmo lograr el equilibrio bloqueando algunas y habilitando otras de forma segura.

n Aplicaciones empresariales esenciales: se trata de las aplicaciones que permiten que su empresa funcione y albergan sus activos ms preciados (bases de datos, servicios de archivos e impresin y directorios). Este grupo de aplicaciones suelen ser blanco de los atacantes cibernticos que usan ataques polifacticos y su reto ser encontrar la mejor manera de aislarlas y protegerlas de ataques furtivos que burlan fcilmente su firewall y su IPS mediante tcnicas de evasin comunes.

n Aplicaciones personalizadas y de infraestructura: este grupo de aplicaciones representa aplicaciones de infraestructura centrales, como SSL, SSH y DNS, as como aplicaciones desarrolladas internamente, personalizadas o desconocidas. Estas aplicaciones se usan a menudo para enmascarar trfico de mando y control generado por bots y otros tipos de malware. Curiosamente, muchas de estas aplicaciones usan una amplia variedad de puertos no estndar. 85 de las 356 aplicaciones que usan SSL nunca usan el puerto 443 ni puertos definidos para SSL (37 saltan de puerto, 28 usan tcp/80, 20 usan puertos que no son tcp/443).

Para tratar de responder a estos desafos ha habido un incremento en el foco de qu es lo fundamental del firewall y todos los proveedores de firewalls de red han rediseado su forma de identificar y controlar el trfico basndose en la propia aplicacin en lugar de hacerlo solo en el puerto y el protocolo. En conjunto, los firewalls que son capaces de ejercer un control basado en aplicaciones se conocen como "de nueva generacin" y todos los proveedores de firewalls admiten que el control de aplicaciones es un aspecto cada vez ms importante en la seguridad de redes.

Hay dos razones obvias para este nuevo inters en lo fundamental. En primer lugar, las aplicaciones y las amenazas asociadas pueden eludir fcilmente los firewalls basados en puertos y elementos de prevencin de amenazas aadidos. En segundo lugar, el firewall es el nico lugar que ve fluir todo el trfico de su red y sigue siendo la ubicacin ms lgica para implantar polticas de control de acceso. El valor de este enfoque renovado es evidente: debe mejorar su enfoque de seguridad a la vez que debe reducirse o, como mnimo mantenerse constante, el esfuerzo administrativo asociado a la gestin del firewall y la respuesta ante incidencias.

Revolucin, no evolucinHay demasiado trfico, demasiadas aplicaciones y demasiada poca tolerancia ante impactos de consecuencias negativas para seguir aadiendo dispositivos y nuevos "mdulos" de software que puedan ayudar a analizar el trfico.

1 Palo Alto Networks, Informe de amenazas y uso de aplicaciones, enero de 2013


Gartner define los firewalls de nueva generacin como algo nuevo y orientado a la empresa, "que incorpora inspeccin en toda la pila para la prevencin de intrusiones, inspeccin a nivel de aplicacin y polticas de control granular. La mayora de proveedores de seguridad de red ofrecen ya visibilidad y control de aplicaciones aadiendo firmas de aplicaciones a su motor IPS u ofreciendo una licencia complementaria para un mdulo de control de aplicaciones. En cualquier caso, estas opciones se aaden a un firewall basado en puertos y no le ayudan mucho a centrarse en las tareas fundamentales que su firewall tiene que llevar a cabo.

La eficacia con la que funcione su empresa depender en gran medida de las aplicaciones que usen sus empleados y el contenido que lleven las propias aplicaciones. El mero hecho de permitir algunas y bloquear otras puede afectar a su negocio. Si su equipo de seguridad est buscando funciones y capacidades de firewalls de nueva generacin, lo ms importante a tener en cuenta es si el firewall de nueva generacin les ayudar a habilitar de forma segura aplicaciones en beneficio de la empresa. Tenga en cuenta lo siguiente:

n El firewall de nueva generacin aumentar la visibilidad y la comprensin del trfico de aplicaciones en su red?

n Las opciones de respuesta de la poltica de control del trfico permitirn hacer ms cosas que simplemente permitir o denegar?

n Su red estar protegida de amenazas y ataques cibernticos, tanto conocidos como desconocidos?

n Puede identificar y gestionar sistemticamente el trfico desconocido?

n Puede implementar las polticas de seguridad que desea sin poner en peligro elrendimiento?

n Se reducirn los esfuerzos administrativos que dedica su equipo a la gestin delfirewall?

n Su trabajo de gestin de riesgos ser ms fcil y eficaz?

n Las polticas que habilite podrn contribuir al fondo del negocio?

Si la respuesta a las preguntas anteriores es s, entonces su decisin de realizar la transicin de firewalls antiguos a firewalls de nueva generacin es fcil de justificar. El siguiente paso es tener en cuenta las soluciones alternativas que ofrecen los proveedores de firewalls. A la hora de evaluar las alternativas disponibles, es importante tener en cuenta las diferencias arquitectnicas entre las ofertas de firewalls de nueva generacin y las consecuencias asociadas en cuanto a funciones y caractersticas, operaciones y rendimientos reales.

Firewalls de nueva generacin

1. Identifican las aplicaciones independientemente del puerto, el protocolo, la tctica evasiva o el cifrado.

2. Identifican los usuarios independientemente del dispositivo o de la direccin IP.

3. Protegen en tiempo real frente a las amenazas conocidas y desconocidas incluidas en las aplicaciones.

4. Proporcionan visibilidad y polticas de control sin fisuras sobre las aplicaciones, los usuarios y el contenido.

5. Proporcionan una implementacin en lnea multi-gigabit fiable.

Definicin de los firewalls de nuevageneracin


A la hora de crear firewalls de nueva generacin, los proveedores de seguridad han seguido uno de estos dos enfoques arquitectnicos:

1. Incluir la identificacin de aplicaciones dentro del firewall como motor de clasificacin primario.

2. Aadir un motor de reconocimiento de patrones con firma de aplicaciones a un firewall basado en puertos.

Ambos enfoques pueden reconocer aplicaciones, pero con diferentes grados de xito, usabilidad y relevancia. Lo ms importante es que estos enfoques arquitectnicos dictan un modelo de seguridad especfico para polticas de aplicaciones que pueden ser positivas (definen lo que se permite y deniegan todo lo dems) o negativas (definen lo que se bloquea y permiten todo lo dems).

n Un modelo de seguridad positivo (firewall u otro) le permite escribir polticas que permitan aplicaciones o funciones concretas (por ejemplo, WebEx, SharePoint, Gmail) y as todo lo dems se deniega de forma implcita. Para alcanzar este nivel de control, todo el trfico tiene que ser clasificado proactivamente en el firewall (no despus) para asegurarse de que se permite el trfico deseado y se deniega el resto. Al establecer visibilidad completa en todo el trfico, las empresas pueden reducir el esfuerzo administrativo asociado a la obtencin de visibilidad en la actividad de red, la gestin de polticas y la investigacin de incidentes. Las implicaciones de seguridad pueden incluir una mejor proteccin ante ataques cibernticos conocidos y desconocidos, incluso aunque pueda estar permitiendo una gama ms amplia de aplicaciones en la red, adems de un mayor control frente a las aplicaciones desconocidas mediante la premisa "denegar todo lo dems" que proporciona un firewall.

n Un modelo de seguridad negativo (IPS, AV, etc.) le permite buscar y bloquear amenazas o aplicaciones no deseadas especficamente y permitir todo lo dems. Esto significa que no necesariamente se clasifica todo el trfico, sino solo el suficiente para completar la lista de bloqueos deseada. Esta tcnica puede ser suficiente para encontrar y bloquear amenazas o aplicaciones no deseadas de forma selectiva, pero un modelo de seguridad negativo no es una buena opcin para convertirse en el medio principal de control de todo el trfico de su red; por lo tanto, este enfoque queda relegado como un mero ayudante de un firewall basado en puertos.

El impacto empresarial de un modelo de seguridad negativo incluye el incremento en el esfuerzo administrativo asociado a la gestin de mltiples polticas y bases de datos de logs duplicadas.

El resto de esta Gua del Comprador se divide en tres secciones distintas. La primera seccin presenta las 10 cosas que su prximo firewall debe hacer; estas ideas deben utilizarse como pruebas de que la arquitectura y el modelo de control descritos anteriormente son crticos para cumplir la promesa de identificar y permitir de forma segura las aplicaciones en el firewall. Las secciones que quedan profundizan en la manera en que se deben usar estas 10 cosas para seleccionar un proveedor mediante el proceso Solicitud de Propuesta (RFP) y la manera en que se debe evaluar fsicamente la solucin del firewall.

Consideraciones arquitectnicas para laclasificacin del trfico del firewall


Los criterios de seleccin del firewall normalmente se centran en tres reas: funciones de seguridad, operaciones y rendimiento. Los elementos funcionales de seguridad se corresponden con la eficacia de los controles de seguridad y la capacidad de su equipo para gestionar los riesgos asociados a las aplicaciones que pasan por su red. Desde una perspectiva de operaciones, la gran pregunta es: dnde reside la poltica de aplicacin y cul es la complejidad de gestin para su equipo? La diferencia de rendimiento es sencilla: el firewall puede hacer lo que se supone que tiene que hacer con la capacidad que necesita su negocio? Aunque cada empresa tiene sus propios requisitos y prioridades dentro de los tres criterios de seleccin, las 10 cosas que su prximo firewall debe hacer son:

1. Identificar y controlar las aplicaciones en cualquier puerto

2. Identificar y controlar la evasin

3. Descifrar el trfico SSL saliente y controlar el SSH

4. Proporcionar control funcional de las aplicaciones

5. Administrar sistemticamente el trfico desconocido

6. Explorar en busca de virus y malware todas las aplicaciones y todos los puertos

7. Permitir la misma visibilidad de aplicaciones y el mismo control para todos los usuarios y dispositivos

8. Simplificar la seguridad de redes en lugar de hacerla ms compleja, aadiendo el control de aplicaciones

9. Ofrecer la misma capacidad y rendimiento con un control total de aplicaciones

10. Soportar las mismas funciones de firewall, tanto en formato hardware como virtual

Su prximo firewall tiene que identificar y controlar aplicaciones en todos los puertos, en todo momento.

Modelo de negocio: los desarrolladores de aplicaciones ya no adoptan el estndar de mapeo puerto/protocolo/aplicacin. Cada vez ms aplicaciones en su red son capaces de funcionar en puertos no estndar o pueden saltar de puerto (por ejemplo, las aplicaciones de mensajera instantnea, de intercambio de archivos P2P o de VoIP). Adems, los usuarios ya tienen los conocimientos suficientes como para forzar que las aplicaciones se ejecuten a travs de puertos no estndar (por ejemplo, RDPo SSH). Con el fin de hacer cumplir las polticas especficas de la aplicacin donde los puertos son cada vez ms irrelevantes, su prximo firewall debe asumir que cualquier aplicacin puede ejecutarse en cualquier puerto. El concepto de "cualquier aplicacin en cualquier puerto" es uno de los cambios fundamentales en el panorama de aplicaciones que est impulsando la migracin de firewalls basados en puertos a firewalls de nueva generacin. La estrategia "cualquier aplicacin en cualquier puerto" tambin pone de manifiesto por qu un modelo de control negativo no puede solucionar el problema. Si una aplicacin puede trasladarse a cualquier puerto, un producto basado en control negativo necesitara contar con conocimientos previos o ejecutar todas las firmas en todos los puertos constantemente.

Requisitos: este es sencillo. Tiene que asumir que cualquier aplicacin se puede ejecutar en cualquier puerto y que su prximo firewall debe clasificar el trfico por aplicacin en todos los puertos en todo momento, de manera predeterminada. La clasificacin del trfico en todos los puertos ser un tema recurrente en todos los puntos que quedan; de lo contrario, los controles basados en puertos seguirn siendo burlados por las mismas tcnicas que los han atormentado durante aos.

Las 10 cosas que su prximo firewall debe hacer

1.


Su prximo firewall tiene que identificar y controlar las herramientas de evasin de la seguridad.

Modelo de negocio: un nmero reducido de las aplicaciones de su red puede utilizarse para evadir intencionadamente las propias polticas de seguridad que usted tenga implantadas para proteger los activos digitales de su empresa. Hay dos clases de aplicaciones que son herramientas de evasin de la seguridad: aquellas diseadas expresamente para evadir la seguridad (proxies externos, tneles cifrados no relacionados con VPN) y aquellas que se pueden adaptar para lograr fcilmente el mismo objetivo (herramientas de administracin de servidor/escritorio remoto).

n Los proxies externos y las aplicaciones de tneles cifrados no relacionados con VPN se usan especficamente para eludir los controles de seguridad existentes mediante varias tcnicas de evasin. Estas aplicaciones no tienen valor comercial para su red, ya que estn diseadas para eludir la seguridad, introduciendo riesgos para el negocio sin precedentes.

n Las herramientas de administracin de servidor/escritorio remoto, como RDP y Teamviewer, suelen ser empleadas por los profesionales de soporte y TI para trabajar de manera ms eficaz. Tambin las usan con frecuencia empleados para eludir el firewall y establecer conexiones con su ordenador personal u otro ordenador situado fuera de la red. Los atacantes cibernticos saben que estas aplicaciones se usan con frecuencia y hay casos documentados pblicamente en el Verizon Data Breach Report (DBIR) y el informe Mandiant en los que estas herramientas de acceso remoto han sido ejecutadas en una o ms de las fases del ataque.

Para ser claros, no todas estas aplicaciones conllevan los mismos riesgos: las aplicaciones de acceso remoto tienen usos legtimos, igual que muchas aplicaciones de tnel cifrado. Sin embargo, estas mismas herramientas son utilizadas cada vez con ms frecuencia por los atacantes como parte de ataques persistentes continuados. Sin la capacidad de controlar estas herramientas de evasin de la seguridad, las empresas no pueden aplicar sus polticas de seguridad y por tanto se exponen a los mismos riesgos que pensaban que sus controles estaban deteniendo.

Requisitos: hay diferentes tipos de aplicaciones de evasin y cada una usa tcnicas ligeramente diferentes. Existen proxies externos tanto pblicos como privados (consulte proxy.org para ver una extensa base de datos de proxies pblicos) que pueden usar tanto HTTP como HTTPS. Los proxies privados a menudo se configuran en direcciones IP no clasificadas (como ordenadores personales) con aplicaciones como PHProxy o CGIProxy. Las aplicaciones de acceso remoto como RDP, Teamviewer o GoToMyPC tienen usos legtimos, pero debido al riesgo asociado deben ser administradas con mayor vigilancia. La mayor parte del resto de evasores (Ultrasurf, Tor, Hamachi), no tienen ninguna utilidad comercial en su red. Sea cual sea su poltica de seguridad, su prximo firewall debe incluir tcnicas especficas para identificar y controlar todas estas aplicaciones, independientemente del puerto, el protocolo, el cifrado u otras tcticas evasivas. Una consideracin ms: las aplicaciones que habilitan la evasin se actualizan peridicamente para que sean ms difciles de detectar y controlar. Por lo tanto, es importante no solo entender que su prximo firewall pueda identificar estas aplicaciones de elusin, sino tambin saber con qu frecuencia se actualiza y mantiene la inteligencia de las aplicaciones del firewall.

2.


Su prximo firewall tiene que proporcionar control funcional de aplicaciones.

Modelo de negocio: los desarrolladores de plataformas de aplicaciones tales como Google, Facebook, Salesforce.com o Microsoft ofrecen a los usuarios un amplio conjunto de caractersticas y funciones que ayudan a asegurar la fidelizacin del usuario, pero que pueden representar perfiles de riesgo muy distintos. Por ejemplo, permitir Webex es una herramienta valiosa en su empresa, pero utilizar Webex Desktop Sharing para tomar el control del escritorio de sus empleados desde un origen externo puede ser una infraccin en el cumplimiento de normas internas o reglamentarias. Otro ejemplo puede ser el correo de Google (Gmail) y la aplicacin Google Talk (Gtalk). Una vez que un usuario inicia sesin en Gmail, que puede estar permitido por las polticas, puede cambiar fcilmente el contexto a Gtalk, que no se puede permitir. Su prximo firewall debe ser capaz de reconocer y gestionar caractersticas y funciones individuales, de modo que se pueda implementar una poltica apropiada.

Requisitos: su prximo firewall debe clasificar continuamente cada aplicacin y realizar un seguimiento de los cambios que puedan indicar que se est utilizando una funcin diferente en este momento. El concepto de clasificacin de trfico sobre la premisa "crear una regla estricta segn la primera vez" no es una opcin, ya que pasa por alto el hecho de que estas aplicaciones de uso general comparten sesiones y dan soporte a mltiples funciones. Si se introduce una funcin o caracterstica diferente en la sesin, el firewall debe guardarla dentro de las tablas de estado y realizar una comprobacin de polticas. La supervisin continua del estado para comprender las diferentes funciones que cada aplicacin puede admitir, y los diferentes riesgos asociados, es un requisito fundamental que debe cumplir su prximo firewall.

Habilitacin segura de aplicacionesPara habilitar de forma segura aplicaciones y tecnologas, as como las operaciones empresariales basadas en ellas, los equipos de seguridad de red tienen que poner en prctica las polticas adecuadas que controlan su uso, pero tambin los controles capaces de aplicarlas.

Su prximo firewall tiene que descifrar e inspeccionar SSL y controlar SSH.

Modelo de negocio: actualmente el 26% de las aplicaciones utilizan SSL una manera u otra en las redes corporativas de hoy da2. Dada la adopcin cada vez ms frecuente de HTTPS para muchas aplicaciones de usuario final de alto riesgo y alta recompensa (Gmail, Facebook, etc.) y la capacidad de los usuarios para habilitar manualmente SSL en muchos sitios web, su equipo de seguridad se encuentra con un extenso y creciente ngulo muerto si no es capaz de descifrar, clasificar, controlar y explorar el trfico cifrado con SSL. Un firewall de nueva generacin tiene que ser lo suficientemente flexible para que ciertos tipos de trfico cifrado con SSL puedan ser pasados por alto (por ejemplo, trfico web de empresas de servicios financieros o asistencia sanitaria), mientras que otros tipos (por ejemplo, SSL en puertos no estndar, HTTPS de sitios web no clasificados en Europa del Este) puedan ser descifrados mediante una poltica. SSH se usa prcticamente en todas partes y puede ser configurado fcilmente por los usuarios finales con fines no laborales similares a las herramientas de escritorio remoto. El hecho de que SSH est cifrado lo convierte tambin en una herramienta til para ocultar la actividad no relacionada con el trabajo.

Requisitos: la capacidad de descifrar el trfico SSL es un elemento fundamental, no solo porque es un porcentaje cada vez ms significativo del trfico empresarial, sino tambin porque habilita unas cuantas funciones claves ms que resultaran incompletas o ineficaces sin la capacidad de descifrar SSL. Los elementos clave necesarios son el reconocimiento y descifrado de SSL en cualquier puerto, tanto de entrada como de salida; polticas de control sobre el descifrado y los elementos hardware y software necesarios para realizar el descifrado SSL en decenas de miles de conexiones SSL simultneas con rendimiento predecible. Otro de los requisitos adicionales que deber tener en cuenta es la capacidad para identificar y controlar el uso de SSH. En concreto, el control de SSH debe incluir la capacidad de determinar si se est utilizando como un redireccionador de puertos (local, remoto, X11) o para uso nativo (SCP, SFTP y acceso a la shell). Una vez que se conoce cmo se est utilizando el SSH se pueden crear polticas de seguridad apropiadas.

3. 4.



Su prximo firewall tiene que gestionar sistemticamente el trfico desconocido.

Modelo de negocio: existe trfico desconocido en pequeas cantidades en todas las redes; sin embargo, para usted y para su organizacin, representa riesgos significativos. Hay varios elementos importantes a tener en cuenta con el trfico desconocido. Si se encuentra clasificado, puede minimizar el trfico desconocido mediante polticas de control? Puede su firewall clasificar fcilmente las aplicaciones personalizadas para que sean "conocidas" dentro de sus polticas de seguridad? Por ltimo: le ayuda su firewall a determinar si el trfico desconocido es una amenaza?

El trfico desconocido tambin est fuertemente ligado a las amenazas de la red. Los atacantes a menudo se ven obligados a modificar un protocolo con el fin de explotar una aplicacin de destino. Por ejemplo, para atacar a un servidor web un atacante puede que tenga que modificar tanto la cabecera HTTP que el trfico resultante ya no se identifique como trfico web. Dicha anomala puede ser una indicacin temprana de un ataque. Del mismo modo, el malware suele utilizar protocolos personalizados como parte de su modelo de mando y control, permitiendo a los equipos de seguridad acabar con cualquier infeccin de malware desconocido.

Requisitos: su prximo firewall debe clasificar de manera predeterminada todo el trfico en todos los puertos. Esta es un rea donde el debate anterior sobre la arquitectura y el modelo de control de la seguridad juega un papel muy importante. Los modelos positivos (denegar de forma predeterminada) lo clasifican todo; los modelos negativos (permitir de forma predeterminada) clasifican solo aquello que se les dice que deben clasificar. Clasificarlo todo es solo una pequea parte del reto que representa el trfico desconocido. Su prximo firewall debe darle la capacidad de ver todo el trfico desconocido, en todos los puertos, en una consola de gestin nica y analizar rpidamente el trfico para determinar si (1) es una aplicacin interna o personalizada, (2) si es una aplicacin comercial sin una firma o (3) es una amenaza. Adems, su prximo firewall debe proporcionarle las herramientas necesarias, no solo para ver el trfico desconocido, sino tambin para gestionarlo sistemticamente controlndolo mediante polticas, creando firmas personalizadas, enviando un PCAP de las aplicaciones comerciales para su posterior anlisis o realizando investigaciones forenses para determinar si se trata de una amenaza.

Su prximo firewall debe buscar amenazas en todas las aplicaciones, en todos lospuertos.

Modelo de negocio: las empresas adoptan una amplia gama de aplicaciones para el desarrollo del negocio, bien alojadas internamente o fuera de su ubicacin fsica. Tanto si se trata de servicios alojados de SharePoint, Box.com, Google Docs, MicrosoftOffice365, como de una aplicacin de extranet alojada por uno de sus socios, muchas organizaciones tienen la necesidad de utilizar alguna aplicacin que pueda usar puertos no estndar, que utilice SSL o que comparta archivos. En otras palabras, estas aplicaciones hacen posible el desarrollo del negocio, pero tambin pueden actuar como un vector de amenazas cibernticas. Por otra parte, algunas de estas aplicaciones (por ejemplo, SharePoint) se basan en tecnologas soporte que son objetivos habituales de los exploits (por ejemplo, IIS, SQL Server). El bloqueo de la aplicacin no es adecuado, pero tampoco lo es permitir ciegamente aplicaciones que representen riesgos potenciales para el negocio y la seguridad ciberntica.

Esta tendencia a utilizar puertos no estndar se acenta significativamente en el mundo del malware. Dado que el malware reside en la red y la mayora de las comunicaciones implican un cliente malicioso (el malware) que se comunica con un servidor malicioso (mando y control), entonces el atacante tiene plena libertad para utilizar cualquier combinacin de puerto y protocolo que elija. De hecho, en un reciente anlisis de tres meses, el 97% de todo el malware desconocido liberado a travs de FTP utiliza puertos no estndar.

Requisitos: parte de la habilitacin segura es permitir una aplicacin y rastrearla en busca de amenazas. Estas aplicaciones pueden comunicarse a travs de una combinacin de protocolos (por ejemplo, SharePoint utiliza CIFS, HTTP y HTTPS, y requiere de una poltica de firewall ms sofisticada que nicamente la de "bloquear la aplicacin"). El primer paso es identificar la aplicacin (independientemente del puerto o el cifrado), determinar las funciones que quiera permitir o denegar y, a continuacin, analizar los componentes permitidos buscando cualquiera de las amenazas (exploits, virus/malware o spyware...) o incluso informacin confidencial o sensible.

5. 6.


Su prximo firewall debe realizar controles constantes de todos los usuarios, independientemente de su ubicacin o tipo de dispositivo.

Modelo de negocio: cada vez ms usuarios se encuentran fuera de las cuatro paredes de la empresa, y muchas veces acceden a la red corporativa mediante telfonos inteligentes o tabletas. Hoy en da una parte importante de su fuerza de trabajo externa trabaja de forma remota. Ya sea trabajando desde un cibercaf, desde casa, o desde las instalaciones del cliente, los usuarios esperan poder conectarse a sus aplicaciones a travs de la WiFi, la banda ancha inalmbrica o por cualquier medio disponible. Independientemente de dnde se encuentre el usuario, o incluso de dnde est la aplicacin que estn utilizando, se debe aplicar siempre el mismo nivel de control por parte del firewall. Si su prximo firewall permite la visibilidad de aplicaciones y el control del trfico dentro de las cuatro paredes de la empresa pero no en el exterior, dejar de tener control sobre el trfico con mayor riesgo potencial.

Requisitos: conceptualmente esto es bastante simple: su prximo firewall debe tener visibilidad y control de trfico constantes, con independencia del lugar donde se encuentre el usuario. Esto no significa que la organizacin tenga las mismas polticas para ambos; por ejemplo, puede que algunas organizaciones quieran que los empleados utilicen Skype cuando se encuentren de viaje, pero no dentro de la sede, mientras que otros pueden tener una poltica para que si se est fuera de la oficina, los usuarios no puedan descargar archivos adjuntos de Salesforce.com a menos que tengan activado el cifrado del disco duro. Su prximo firewall debera poder realizar esto sin ralentizar significativamente la actividad del usuario final o suponer una molestia operativa injustificada para el administrador, o un coste significativo para la organizacin.

Su prximo firewall debe simplificar la seguridad de la red incorporando control deaplicaciones.

Modelo de negocio: muchas empresas se afanan en incorporar ms canales de informacin, ms polticas y ms administracin en procesos y en personal de seguridad que ya sufren una sobrecarga. En otras palabras, si su equipo no puede gestionar lo que ya tiene, el hecho de aadir ms dispositivos, interfaces de gestin, junto con las polticas y la informacin asociadas, no ayudar a reducir el esfuerzo administrativo de su equipo, ni reducir el tiempo de respuesta ante incidencias. Cuanto ms distribuidas estn las polticas (por ejemplo, un firewall que permite el trfico en el puerto 80, un IPS que busca y/o bloquea amenazas y aplicaciones, una puerta de enlace web segura que aplica filtrado de URL), ms difcil ser administrarlas. Qu poltica utiliza su equipo de seguridad para habilitar el uso de WebEx? Cmo determinar y resolver los conflictos de polticas en los diferentes dispositivos? Las instalaciones tpicas de firewall basadas en puertos tienen polticas con reglas que incluyen miles de ellas, aadiendo adems miles de firmas de aplicaciones en decenas de miles de puertos, lo que provoca un considerable aumento de la complejidad.

Requisitos: su negocio se basa en las aplicaciones, los usuarios y el contenido, y su prximo firewall debe permitir que usted construya polticas que apoyen directamente sus iniciativas empresariales. El uso de un contexto compartido de aplicacin, usuario y contenido en todos los aspectos (visibilidad, polticas de control, logging y reporting) le ayudar a simplificar su infraestructura de seguridad de manera significativa. Las polticas de firewall basadas en direccin IP y puerto, adems de las polticas separadas para el control de aplicaciones, IPS y antimalware slo complicarn el proceso de gestin de polticas y pueden incluso llegar a obstaculizar la actividad del negocio.

8.7.


Su prximo firewall debe ofrecer la misma capacidad y rendimiento con un control total de aplicaciones.

Modelo de negocio: muchas organizaciones se esfuerzan por hallar un equilibrio entre rendimiento y seguridad. Con demasiada frecuencia, activar determinadas caractersticas de seguridad en su firewall acarrea aceptar una disminucin significativa de la capacidad y el rendimiento. Si su firewall de nueva generacin est diseado correctamente, este compromiso no es necesario.

Requisitos: la importancia de la arquitectura es evidente tambin en este caso, de una manera diferente. Improvisar un firewall basado en puertos junto con otras funciones de seguridad de diferentes orgenes tecnolgicos, implica por lo general la existencia de capas de red, motores de anlisis y polticas redundantes, lo que finalmente se traduce en un rendimiento deficiente. Desde el punto de vista del software, el firewall debe estar diseado para hacer esto desde el principio. Adems, dada la necesidad de realizar tareas de procesamiento intensivas (como por ejemplo, identificacin de la aplicacin, prevencin de amenazas en todos los puertos, etc.) ejecutadas sobre altos volmenes de trfico y con baja tolerancia a la latencia asociada con la infraestructura crtica, su prximo firewall debe tener tambin un hardware diseado para dichas tareas, es decir, un sistema especfico dedicado para networking, seguridad y anlisis de contenidos.

Su prximo firewall debe ofrecer las mismas funciones propias de un firewall, tanto en forma de hardware como virtualizada.

Modelo de negocio: el crecimiento exponencial de la virtualizacin y de la computacin en la nube introduce nuevos retos de seguridad que son difciles o imposibles de gestionar con eficacia por parte de los firewalls antiguos debido a su funcionalidad inconsistente, a la disparidad en la gestin y a la falta de puntos de integracin con el entorno de virtualizacin. Con el fin de proteger el trfico que entra y sale del centro de datos, as como dentro de sus entornos virtualizados, su prximo firewall debe ser compatible con las mismas funcionalidades tanto en formato hardware como virtual.

Requisitos: la creacin y eliminacin dinmica de aplicaciones dentro de un centro de datos virtualizado agrava los problemas de identificacin y control de aplicaciones de un enfoque centrado en la direccin IP y el puerto. Adems de ofrecer las caractersticas ya descritas en la gua de las 10 cosas que su prximo firewall debe hacer tanto en formato hardware como virtual, es imprescindible que su prximo firewall proporcione una integracin profunda con el entorno de virtualizacin para simplificar la creacin de polticas basadas en aplicaciones a medida que se abren y se cierran nuevas mquinas virtuales y aplicaciones. Esta es la nica manera de asegurarse de que es capaz de dar soporte a la evolucin de las arquitecturas de centros de datos con flexibilidad operativa mientras que hace frente a los riesgos y a los requisitos de cumplimiento de normativas.

10.9.


Sus usuarios continan adoptando nuevas aplicaciones y tecnologas, a menudo para poder desempear su trabajo, pero sin demasiada consideracin con los posibles riesgos en la seguridad y en su negocio. En algunos casos, si su equipo de seguridad bloquea estas aplicaciones, se podrn producir problemas para el desarrollo del negocio.

Las aplicaciones son la forma en la que los empleados realizan su trabajo y mantienen la productividad equilibrando las distintas prioridades personales y profesionales. Por este motivo, la habilitacin segura de aplicaciones es la mejor forma de establecer correctamente las polticas. Para habilitar de forma segura aplicaciones y tecnologas en su red, as como las operaciones empresariales basadas en ellas, los equipos de seguridad de red tienen que poner en prctica las polticas adecuadas que gobiernan su uso y tambin los controles capaces de aplicarlas.

En la gua de las 10 cosas que su prximo firewall debe hacer se describen las capacidades fundamentales que permitirn a las organizaciones habilitar el uso de aplicaciones de forma segura y, en definitiva, hacer posible el desarrollo de su negocio. El siguiente paso es traducir esos requisitos en hechos; seleccionar un proveedor a travs de un proceso de Solicitud de Propuesta (RFP) y evaluar formalmente las ofertas de solucin, lo que deriva en ltima instancia en la adquisicin e implementacin de un firewall de nueva generacin.

Normalmente, cuando se selecciona un firewall, IPS u otro componente crtico de la infraestructura de seguridad, las organizaciones utilizan una Solicitud de Propuesta (RFP) como medio para garantizar que se aborden las necesidades especficas. Segn el informe Magic Quadrant for Enterprise Firewalls realizado por la empresa consultora Gartner, los cambios en las condiciones de las amenazas, en las empresas y en los procesos de TI impulsarn a los administradores de seguridad de las redes a buscar firewalls con capacidades de nueva generacin en su prximo ciclo de actualizacin de equipos de seguridad e IPS. A medida que se produzcan nuevas oportunidades de implementacin, las organizaciones debern ampliar sus criterios de seleccin de Solicitud de Propuesta (RFP) para que incluyan la visibilidad y el control de aplicaciones que ofrecen las alternativas de nueva generacin. En la seccin anterior se establecieron los 10 requisitos clave que su prximo firewall tiene que hacer. En esta seccin esos requisitos se traducirn en herramientas que puede utilizar para identificar y seleccionar un firewall de nueva generacin.

Consideraciones sobre el modelo de control y la arquitectura del firewall

Hay muchos elementos a tener en cuenta a la hora de evaluar la eficacia con la que un proveedor puede ofrecer visibilidad y control de aplicaciones en un firewall. La arquitectura del firewall, en concreto su motor de clasificacin del trfico, determinar la eficacia con la que identifica y controla las aplicaciones, en lugar de solo los puertos y protocolos. Tal y como se ha mencionado anteriormente, lo primero que un nuevo firewall de cualquier tipo tiene que hacer es identificar con precisin el trfico y luego usar ese resultado como base para todas las decisiones de las polticas de seguridad.

En este modelo, las polticas de firewall son de control positivo tradicional (bloquear todo, excepto lo que se decide permitir expresamente). Un modelo positivo significa que usted puede controlar y habilitar aplicaciones, lo cual es un requisito fundamental en el mbito corporativo de hoy en da permanentemente conectado. Aadir elementos similares a un IPS, que realizan bsquedas de aplicaciones, significa la utilizacin de un modelo de control negativo (permitir todo, excepto lo que es negado expresamente por el IPS). Un modelo negativo significa que solo se pueden bloquear aplicaciones. Las diferencias son anlogas a encender las luces de una habitacin para ver y controlar todo (positivo) contra el uso de una linterna en una habitacin para ver y controlar slo lo que se est buscando (negativo). El uso de este complemento para identificar y bloquear eventos "malos" no es ms que un parche y no supone una solucin completa, ya que est diseado para que busque solo en un conjunto parcial de la totalidad del trfico para no tener un impacto en el rendimiento, y no puede abarcar la amplitud de los ataques cibernticos y aplicaciones.

Los firewalls deben poder habilitar aplicaciones de forma segura para elfuncionamiento del negocio

Utilizacin del proceso de Solicitud de Propuesta (RFP) para seleccionar un firewall de prxima generacin

Desarrollo de su negocioEn el entorno permanentemente conectado de la actualidad, el control de las aplicaciones es algo ms que simplemente permitir o denegar. Se trata de habilitar aplicaciones de forma segura para mejorar el negocio.


Control y visibilidad de aplicaciones

El proceso de Solicitud de Propuesta (RFP) debe determinar los detalles sobre cmo la arquitectura del firewall lleva a cabo la identificacin y el control de todo el espectro de aplicaciones, incluidas las corporativas, personales, etc., as como los protocolos (independientemente del puerto), el cifrado SSL u otras tcnicas evasivas que estn en uso. Considere las siguientes preguntas y afirmaciones al emitir una Solicitud de Propuesta (RFP) para firewalls de nueva generacin.

n Muchas aplicaciones pueden evitar ser detectadas utilizando puertos no estndar, salto de puertos, o siendo configuradas para ejecutarse en un puerto diferente.

n Son los mecanismos de identificacin de aplicaciones parte del ncleo de la clasificacin del trfico del firewall (es decir, estn habilitados de manera predeterminada)?

n Son los mecanismos de identificacin de aplicaciones dependientes del puerto estndar de la aplicacin?

n Se pueden aplicar las firmas a todos los puertos y el proceso se configura de forma automtica o manual?

n Cuando el trfico llega al dispositivo en primer lugar, se clasifica inicialmente en funcin del puerto (si se trata del puerto 80, se supone que es HTTP) o aplicacin (en caso de Gmail)?

n Describir de forma detallada cmo el firewall puede identificar con precisin las aplicaciones.

n Qu mecanismos, adems de las firmas, se utilizan para clasificar el trfico?

n Describir la magnitud de uso del decodificador de protocolo y de las aplicaciones.

n Cmo se han implementado el control y el descifrado SSH y SSL?

n Los mecanismos de clasificacin de trfico se han aplicado por igual a todos los puertos?

n Qu mecanismos se han utilizado para detectar deliberadamente aplicaciones evasivas como UltraSurf o P2P cifrado?

n La identificacin de aplicaciones se lleva a cabo realmente en el firewall, o se realiza en un proceso secundario, despus de la clasificacin basada en puertos?

n Cules son las tres principales ventajas del enfoque de la arquitectura soportada?

n Se realiza un seguimiento del estado de las aplicaciones? Y, si es as, cmo se utiliza para asegurar el control constante de las aplicaciones y las funciones secundarias asociadas?

n Proporcionar tres ejemplos de cmo se utiliza el estado de las aplicaciones en el control de polticas.

n Es la identidad de la aplicacin la base de las polticas de seguridad del firewall, o el control de aplicaciones se trata como un elemento secundario de las polticas?

n Con qu frecuencia se actualiza la base de datos de aplicaciones? Es una actualizacin dinmica o una actualizacin que necesita reiniciar el sistema?

n En entornos virtualizados, describir cmo se clasifica el trfico en la mquina virtual al completo (este/oeste, norte/sur).

n Describir los puntos de integracin dentro del entorno virtual.

n Describir el proceso de creacin de polticas de seguridad para mquinas virtuales nuevas.

n Describir las caractersticas disponibles para realizar un seguimiento de los movimientos, incorporaciones y cambios de las mquinas virtuales.

n Describir las caractersticas disponibles para la integracin con sistemas de automatizacin y orquestacin.


Control de aplicaciones evasivas, SSL y SSH

Se puede utilizar una amplia gama de aplicaciones para eludir los controles de seguridad. Algunas de ellas, como los proxies externos y los tneles cifrados no relacionados con VPN, estn diseadas con la evasin como objetivo. Otros, como las herramientas de administracin de escritorios y servidores remotos, han evolucionado hasta el punto de que empleados que no son de departamentos de TI ni de soporte tcnico las usan para eludir los mecanismos de control. Como medio de seguridad, el SSL se est convirtiendo en una configuracin estndar para muchas aplicaciones de usuario final; sin embargo, el problema surge cuando el uso del SSL puede estar enmascarando amenazas entrantes o de transferencia de datos salientes. Actualmente, aproximadamente el 26% de las aplicaciones que atraviesan la red son capaces de usar SSL3 de alguna forma. Por lo tanto, es importante conocer a los fabricantes de firewalls de nueva generacin que se ocupan de esta categora de aplicaciones. Considere las siguientes preguntas y afirmaciones al emitir una Solicitud de Propuesta (RFP) para firewalls de nueva generacin.

n Describir el proceso por el cual las aplicaciones cifradas con SSL se identifican en todos los puertos, incluidos los puertos no estndar.

n Qu controles de polticas hay disponibles para descifrar, inspeccionar y controlar selectivamente aplicaciones que estn utilizando SSL?

n Se da soporte a la identificacin, el descifrado y la inspeccin SSL bidireccional?

n Es el descifrado SSL una caracterstica estndar o es un coste adicional? Serequiere algn dispositivo dedicado?

n SSH es una herramienta de uso comn en departamentos de TI, soporte tcnico y por parte de empleados conocedores de la tecnologa como medio para acceder a dispositivos remotos.

n Se admite el control SSH y, en caso afirmativo, describe la profundidad del sistema de control?

n Qu mecanismos se han utilizado para identificar deliberadamente aplicaciones evasivas como UltraSurf o Tor?

n Describir cmo el producto puede identificar automticamente un evasor que est utilizando un puerto no estndar.

Habilitacin de aplicaciones basada en polticas

En los entornos permanentemente conectados de la actualidad, el control de las aplicaciones es algo ms que permitir o denegar. Se trata de habilitar aplicaciones de forma segura para mejorar el negocio. Muchas "plataformas" (Google, Facebook, Microsoft) tienen diferentes aplicaciones disponibles para los usuarios registrados. Es imperativo determinar cmo el proveedor del firewall supervisa el estado de las aplicaciones, detecta cambios en ellas y clasifica los cambios de estado. Considere las siguientes preguntas y afirmaciones al emitir una Solicitud de Propuesta (RFP) para firewalls de nueva generacin.

n Se realiza la clasificacin stateful-inspection del trfico por separado, antes de la identificacin de la aplicacin? En caso afirmativo, describir cmo, una vez que se identifica una aplicacin, se realiza el control, seguimiento y utilizacin dentro de las polticas de los cambios en el estado de dicha aplicacin.

n Describir cmo la jerarqua de base de datos de la aplicacin (plana, multinivel u otra) expone las funciones dentro de la aplicacin principal para unas polticas de habilitacin ms granulares.

n Describir los niveles de control que se pueden ejercer sobre las aplicaciones individuales y sus respectivas funciones:

n permitir;

n permitir en base a la aplicacin, funcin de la aplicacin, categora, subcategora, tecnologa o factor de riesgo;

n permitir en funcin del programa, usuario, grupo, puerto;

n permitir y rastrear en busca de virus, exploits de aplicaciones, spyware, descargas drive-by download;

n permitir y afinar/aplicar controles de calidad de servicio;

n denegar.



n Se pueden implementar controles basados en puertos para todas las aplicaciones en la base de datos de aplicaciones, de modo que un administrador pueda aplicar, por polticas, la relacin entre aplicacin y puerto? Por ejemplo:

n Forzar a los desarrolladores de bases de datos de Oracle a que utilicen un puerto especfico o un rango de puertos.

n Garantizar que los miembros del personal de TI sean los nicos autorizados para utilizar SSH y RDP.

n Detectar y bloquear el malware dentro de la aplicacin, incluso en un puerto no estndar.

n Crear un listado de todos los repositorios de identidad empresarial soportados para los controles basados en usuarios.

n Hay una API disponible para la integracin de la infraestructura de identidad personalizada o no estndar?

n Describir cmo los controles basados en polticas se implementan para los usuarios y grupos en entornos de Terminal Services.

n Describir las diferencias existentes en las opciones de habilitacin de aplicaciones para entornos tanto en formato hardware como virtuales.

Administracin sistemtica de aplicaciones desconocidas

Cada red tendr algo de trfico de aplicaciones desconocidas. El origen tpico es una aplicacin interna o personalizada, pero tambin puede ser una aplicacin comercial no identificada, y en el peor de los casos, cdigo malicioso. Los elementos clave para determinar a travs del proceso de evaluacin y de una Solicitud de Propuesta (RFP) son una descripcin especfica de la forma en que el proveedor le permite administrar de forma sistemtica el trfico desconocido, lo que representa un alto riesgo para la seguridad y para la empresa. Considere las siguientes preguntas y afirmaciones al emitir una Solicitud de Propuesta (RFP) para firewalls de nueva generacin.

n Proporcionar una descripcin detallada de cmo se identifica el trfico desconocido para su anlisis.

n Son los mecanismos utilizados para el anlisis parte del conjunto de caractersticas estndar, o son productos secundarios o complementarios?

n Qu acciones se pueden tomar respecto al trfico desconocido (permitir, denegar, inspeccionar, moldear, etc.)?

n Describir las mejores prcticas recomendadas para la administracin del trfico de aplicaciones desconocidas.

n Puede ser controlado mediante polticas, de la misma manera que una aplicacin soportada oficialmente (por ejemplo, permitir, denegar, inspeccionar, moldear, controlar por usuario, zona, etc.)?

n Se puede "cambiar el nombre" del trfico interno?

n Se puede crear una firma de aplicaciones personalizada?

n Cul es el proceso para el envo de solicitudes de firmas de aplicaciones nuevas o actualizadas?

n Una vez que se enva una solicitud, cul es el tiempo de respuesta del SLA?

n De qu mecanismos se dispone para determinar si el trfico desconocido es cdigo malicioso?


Prevencin de amenazas

Las amenazas estn cada vez ms vinculadas a una variedad de aplicaciones y se utilizan como vectores para la explotacin y la infeccin, as como para el posterior mando y control de los dispositivos infectados. Por esta razn, los analistas recomiendan constantemente que las empresas consoliden IPS tradicionales y tecnologas de prevencin de amenazas como un componente de los firewalls de nueva generacin. Considere las siguientes preguntas y afirmaciones al emitir una Solicitud de Propuesta (RFP) para firewalls de nueva generacin.

n Describir todos los mecanismos de prevencin de amenazas en uso (IPS, antivirus, antispyware, filtrado de URL, filtrado de datos, etc.)

n Cmo se conceden las licencias de estos mecanismos de prevencin de amenazas?

n Describir qu mecanismos de prevencin de amenaza son desarrollados localmente u obtenidos travs de un tercero o de un servicio.

n Cmo se previenen las amenazas que estn incrustadas dentro de aplicaciones en puertos no estndar?

n La informacin de identificacin de aplicaciones se encuentra integrada o compartida con las tecnologas de prevencin de amenazas? Si es as, describir el nivel de integracin.

n Describir qu disciplinas de prevencin de amenazas (IPS, antivirus, etc.) estn basadas en puertos en lugar de en aplicaciones.

n Puede el motor de prevencin de amenazas rastrear dentro de contenido comprimido, como ZIP o GZIP?

n Puede el motor de prevencin de amenazas rastrear dentro de contenido cifrado SSL?

n Describir cmo puede el firewall detectar y defenderse contra el malware personalizado o polimrfico.

n Qu mecanismos se utilizan para bloquear el malware?

n Describir el proceso de investigacin y desarrollo de prevencin de amenazas.

Proteccin de usuarios remotos

Los usuarios de red modernos dan por sentada la capacidad de conectarse y trabajar desde muchos lugares fuera del permetro tradicional de la red. Estos usuarios deben permanecer protegidos incluso si estn fuera del permetro de la red, utilizando un PC, un telfono inteligente o una tableta. El objetivo de esta seccin es determinar qu funciones estn disponibles para proteger a estos usuarios remotos y si este nivel de proteccin es distinto cuando el usuario se encuentra dentro o fuera de la red fsica. Considere las siguientes preguntas y afirmaciones al emitir una Solicitud de Propuesta (RFP) para firewalls de nueva generacin.

n Proporcionar una descripcin detallada, con todos los componentes necesarios, de las opciones disponibles para proteger a los usuarios remotos.

n Si se incluye un componente de cliente, cmo se distribuye?

n Describir los requisitos de tamao. Cuntos usuarios se admiten concurrentemente?

n Es transparente para el cliente el conjunto de caractersticas de seguridad del usuario remoto?

n Describir cmo se aplican las polticas de control sobre los usuarios remotos (por ejemplo, en polticas del firewall, en una poltica o dispositivo separado, otros).

n Enumerar todas las caractersticas y protecciones previstas para las capacidades remotas (SSL, control de aplicaciones, IPS, etc.).

n Puede su firewall mantener a los usuarios conectados con el fin de garantizar la aplicacin de polticas coherentes, independientemente de la ubicacin?

n Cmo abordar el tema de los usuarios de dispositivos mviles? Va a poder proporcionar la aplicacin de polticas coherentes cuando los usuarios estn tanto en redes externas como en redes inalmbricas internas?

n Puede el firewall abordar cuestiones BYOD (Traer su propia tecnologa, por sus siglas en ingls) tales como proporcionar una manera de habilitar de forma segura ordenadores porttiles corporativos y de propiedad personal, telfonos y tabletas?


Administracin

La administracin es un elemento crtico para la implementacin de una seguridad efectiva en la red. Al pasar a su prximo firewall, un objetivo clave debe ser simplificar la administracin de la seguridad siempre que sea posible, incorporando control y visibilidad de aplicaciones. Considere las siguientes preguntas y afirmaciones al emitir una Solicitud de Propuesta (RFP) para firewalls de nueva generacin.

n La administracin de dispositivos requiere de un servidor o dispositivo separado?

n Describir todas las opciones de administracin que sean compatibles: Interfaz de lnea de comandos (CLI)? Navegador? Cliente de software? Servidor centralizado?

n Para cada una de las alternativas de administracin admitidas, describir cunto esfuerzo se requiere para pasar de una tcnica de administracin a otra.

n Describir la arquitectura de administracin centralizada y las opciones de implementacin.

n Qu herramientas de visibilidad, aparte del visor de logs y de la creacin de informes, estn disponibles para obtener una visin clara de las aplicaciones, usuarios y contenidos que pasan por la red?

n Estn incluidas las herramientas de visibilidad como parte de la funcionalidad bsica, o son un coste adicional o licencias aadidas?

n Las herramientas de visibilidad estn implementadas de forma nativa o son un dispositivo o aplicacin por separado?

n Proporcionar una descripcin detallada de los esfuerzos y los pasos necesarios para comenzar a "tener una visin global de todo el trfico de aplicaciones" en la red.

n Pueden los controles de polticas de aplicacin, los controles de polticas de firewall y las caractersticas de prevencin de amenazas estar habilitados en una sola regla en el editor de polticas del firewall?

n Describir las funciones de creacin de logs y generacin de informes. Estn incluidas de forma nativa? Y si es as, cul es la degradacin del rendimiento cuando se habilita la creacin de logs?

n Est el anlisis completo de logs disponible de forma nativa, o se trata de un coste extra o licencia adicional o dispositivo separado?

n Son las herramientas de generacin de informes completamente personalizables para entender cmo se est utilizando la red y sealar los cambios en la utilizacin de la red?

n Suponen un coste extra o licencia adicional o dispositivo separado?

n Describir cmo se garantiza el acceso a la administracin cuando el dispositivo est bajo una carga pesada de trfico.

n Describir la relacin entre dispositivo individual y la administracin centralizada de mltiples dispositivos.

n Describir las diferencias en la administracin entre instancias de hardware e instancias virtuales.


Rendimiento

El rendimiento en el mundo real es un componente crtico en una implementacin de seguridad. El control de aplicaciones requiere de una investigacin mucho ms profunda del trfico que los firewalls basados en puertos y, por tanto, es una tarea que genera mucha ms carga de proceso. La incorporacin de la inspeccin de amenazas y el control de polticas para el mismo trfico se suman a la carga de procesamiento correspondiente al firewall. Es fundamental determinar el rendimiento en la red cuando estn habilitadas todas las funciones de seguridad y se est analizando trfico real de distinta naturaleza. Considere las siguientes preguntas y afirmaciones al emitir una Solicitud de Propuesta (RFP) para firewalls de nueva generacin.

n Comprobar si el producto es un dispositivo basado en software, un servidor OEM o un dispositivo especialmente diseado.

n Investigar la arquitectura hardware para confirmar si tiene suficiente potencia de procesamiento para la clasificacin y la inspeccin continuadas de trfico al nivel de aplicacin.

n Describir la combinacin de trfico empleada para producir la mtrica de rendimiento publicada para:

n Firewall + creacin de logs

n Firewall + control de aplicaciones

n Firewall + control de aplicaciones + prevencin de amenazas

n Cul es el rendimiento nominal para:

n Firewall + creacin de logs

n Firewall + control de aplicaciones

n Firewall + control de aplicaciones + prevencin de amenazas

Consideraciones adicionales del proceso de Solicitud de Propuesta (RFP)

Cada organizacin tendr distintas necesidades adems de los elementos que se enumeran en este documento. Los ejemplos pueden incluir la viabilidad del ofertante, referencias de clientes, la facilidad de implementacin, as como el soporte para redes y enrutamiento. Las mejores prcticas recomendadas para una Solicitud de Propuesta (RFP) aconsejan ser muy sistemticos para que los proveedores demuestren que efectivamente su oferta proporciona las funcionalidades que afirman ofrecer.

El rendimiento es importanteEs fundamental determinar el rendimiento en la red cuando estn habilitadas todas las funciones de seguridad y se est analizando trfico real de distinta naturaleza.


Una vez que el distribuidor final, o la "lista acotada" de proveedores, ha sido seleccionada mediante la Solicitud de Propuesta (RFP), el siguiente paso es evaluar fsicamente el firewall utilizando patrones de trfico, objetos y polticas que sean representaciones exactas del negocio de la organizacin. Esta seccin ofrece algunas recomendaciones sobre cmo evaluar fsicamente un firewall de nueva generacin. La evaluacin le dar la posibilidad de ver, en un entorno real, el nivel de eficacia de un proveedor de firewalls respecto a los requisitos clave. Tenga en cuenta que las pruebas sugeridas a continuacin representan una muestra de las funciones demandadas en un firewall de nueva generacin y se ofrecen como directrices a partir de las cuales desarrollar un plan de pruebas ms preciso y detallado.

Control y visibilidad de aplicaciones

El objetivo de esta seccin es triple. En primer lugar, determinar que la primera tarea que el dispositivo en pruebas (DUT) realice sea la clasificacin del trfico basado en la identidad de las aplicaciones, no en el puerto de red. En segundo lugar, determinar que el dispositivo en pruebas clasifique las aplicaciones al margen de tcticas evasivas como el salto de puertos, la utilizacin de puertos no estndar, u otras tcnicas evasivas, como medio para mejorar la accesibilidad. En tercer lugar, determinar que la identidad de la aplicacin se convierta en la base de las polticas del firewall, en contraposicin a un elemento dentro de una poltica secundaria.

Identificacin de aplicaciones

n Confirmar que el firewall puede identificar una diversidad de aplicaciones. La forma ideal para realizar esta prueba es implementar el dispositivo en pruebas en modo Tap o transparente en la red de destino.

n Comprobar que el dispositivo en pruebas identifica correctamente el trfico de las aplicaciones utilizando grficamente tanto herramientas de resumen, como herramientas de investigacin forense.

n Determinar la cantidad de esfuerzo administrativo asociado a esta tarea.

n Evaluar los pasos necesarios para habilitar inicialmente la identificacin de aplicaciones. Con qu rapidez puede un usuario establecer una poltica y comenzar a "ver" el trfico de aplicaciones? Hay pasos adicionales necesarios para ganar visibilidad en las aplicaciones que utilizan salto de puertos o puertos no estndar?

Identificar aplicaciones que realizan salto de puertos o utilizan puertos no estndar

n Comprobar que el firewall puede identificar y controlar las aplicaciones que se ejecutan en puertos que no sean el puerto predeterminado de la aplicacin. Por ejemplo, SSH en el puerto 80 y Telnet en el puerto 25.

n Confirmar que el firewall puede identificar las aplicaciones que realizan salto de puertos utilizando aplicaciones conocidas para ello, como Skype, AIM o una de las mltiples aplicaciones P2P.

Identidad de aplicaciones como base de la poltica de seguridad del firewall

n Confirmar que cuando se crea una poltica de firewall, se utiliza la aplicacin y no el puerto como el elemento principal de dicha poltica.

n La poltica de control de aplicaciones requiere en primer lugar de una regla en base a puertos?

n El elemento de control de aplicaciones es un editor de polticas totalmente independiente?

n Crear una poltica para permitir ciertas aplicaciones y bloquear otras y comprobar que las aplicaciones se controlan tal y como estaba previsto.

n Admite la poltica basada en aplicaciones la premisa de "negar todo excepto" en la que se basa un firewall?

Identificar y controlar evasores

n Confirmar que el dispositivo en pruebas puede identificar y controlar una amplia gama de aplicaciones que se utilizan para eludir los controles de seguridad. Las aplicaciones que se incluyen en este grupo incluyen proxies externos (PhProxy, KProxy), acceso a escritorio remoto (RDP, LogMeIn!, TeamViewer, GoToMyPC) y tneles cifrados no relacionados con VPN (Tor, Hamachi, UltraSurf).

n Confirmar que cada uno de los evasores se identifica con precisin durante la prueba.

n Comprobar que todos los evasores pueden ser bloqueados, incluso cuando estn habilitados en un puerto no estndar.

Evaluacin de los firewalls de nueva generacin mediante pruebas formales


Identificacin y control de aplicaciones con SSL o SSH

Con ms y ms aplicaciones que utilizan cifrado SSL y el uso de SSH para otros fines, es necesario evaluar la capacidad de identificar y controlar las aplicaciones que utilizan SSL y SSH.

n Comprobar que el dispositivo en pruebas puede identificar y descifrar las aplicaciones de las cuales se sabe que usan cifrado SSL.

n Confirmar que el dispositivo en pruebas puede identificar, descifrar y aplicar polticas de seguridad a la aplicacin descifrada.

n Validar que si la aplicacin descifrada es "permitida", se cifrar y se reenviar de nuevo para que llegue a su destino.

n Confirmar la capacidad de realizar descifrado e inspeccin entrante y saliente de SSL.

n Comprobar que se identifica el SSH con precisin, independientemente del puerto.

n Validar que el control de SSH delimita el redireccionado de puertos (local, remoto, X11) y el uso nativo (SCP, SFTP y acceso a la shell).

Identificar y controlar aplicaciones que comparten la misma conexin

Determinar si los mecanismos de clasificacin de aplicaciones supervisan continuamente el estado de las aplicaciones, buscando cambios en ellas y, lo ms importante, si los cambios de estado se clasifican correctamente. Muchas "plataformas" (Google, Facebook, Microsoft) habilitan diferentes aplicaciones una vez que el usuario inicia sesin por primera vez. El seguimiento de dichos cambios en el estado de las aplicaciones es un componente crtico en un firewall de nueva generacin.

n Usando una aplicacin como WebEx o SharePoint, comprobar en primer lugar que el dispositivo en pruebas identifica la solicitud inicial (como WebEx o SharePoint).

n Sin salir de la aplicacin, cambiar a una funcin separada (WebEx Desktop Sharing, SharePoint Admin, SharePoint Docs) y validar que se detecta el cambio de estado y que la nueva aplicacin o funcin se identifica correctamente.

n Validar las polticas de control e inspeccin sobre la funcin de la aplicacin.

Control de funcin de la aplicacin

Determinar la capacidad del dispositivo en pruebas para identificar y controlar funciones especficas dentro de una aplicacin. El control a nivel de funcin es fundamental para habilitar el uso de una aplicacin, incluso ejercer algn tipo de control para hacer frente a los riesgos asociados de seguridad y para su negocio. La transferencia de archivos es un ejemplo muy comn, pero existen otros ejemplos que pueden incluir funciones administrativas, funciones de VoIP, publicacin en redes sociales y capacidades de chat dentro de una aplicacin principal.

n Confirmar que el dispositivo en pruebas proporciona visibilidad en la jerarqua de las aplicaciones (tanto en aplicaciones esenciales como en funciones aadidas).

n Comprobar el control de la funcin de transferencia de archivos mediante la identificacin y el control de una aplicacin que admita transferencia de archivos.

n Confirmar la capacidad del dispositivo en pruebas para bloquear la carga y descarga de archivos por aplicacin y tipo de archivo. Por ejemplo, la capacidad de evitar que un usuario transfiera un documento de Word utilizando una aplicacin de correo electrnico basada en web.


Administrar sistemticamente el trfico desconocido

Todas las redes tendrn una pequea cantidad de trfico desconocido y usted necesitar determinar con qu rapidez puede saber cul es el trfico desconocido y llevar a cabo las acciones apropiadas.

n Validar que la visibilidad del trfico desconocido est disponible y que incluya, como mnimo:

n El volumen de trfico

n Usuario y/o direcciones IP

n El puerto en uso

n El contenido asociado: archivo, amenaza, otros.

n Cul es el nivel de esfuerzo asociado a la investigacin de trfico desconocido?

n Se puede establecer una poltica de firewall (permitir, bloquear, inspeccionar, etc.) del trfico desconocido?

n Confirmar las opciones disponibles para identificar y controlar el trfico de aplicaciones desconocidas con mayor precisin.

n Se puede "cambiar el nombre" del trfico?

n Puede el usuario crear un mecanismo de identificacin personalizado?

n Proporcionar el proveedor un mecanismo de identificacin personalizado y, si es as, con qu rapidez?

Prevencin de amenazas

Para proteger su red necesitar controlar de forma estricta la exposicin a las amenazas y prevenir de forma fiable las amenazas conocidas y desconocidas presentes en el trfico de aplicaciones permitido. Es necesario estimar la capacidad del dispositivo en pruebas para aplicar la seguridad en un entorno de mundo real, incluidas las amenazas desconocidas, las amenazas llevadas a cabo por aplicaciones que se ejecutan en puertos no estndar y las amenazas encubiertas por la compresin, mientras se siguen cumpliendo los requisitos de rendimiento de la empresa.

n Confirmar la granularidad de los perfiles de prevencin de amenazas, si son globales (solamente) o se pueden ajustar individualmente segn el trfico, amenazas, por usuario, etc.

n Comprobar que las tcnicas de prevencin de amenazas (IPS, malware, filtrado de contenido) se aplican de manera sistemtica a las aplicaciones (y a las amenazas) que puedan utilizar puertos no estndar. Esto significa que el dispositivo en pruebas no solo debe controlar las aplicaciones en puertos no estndar, sino que la prevencin de amenazas tambin debe ser capaz de detener las que viajan a travs de puertos no estndar.

n Comprobar que el dispositivo en pruebas detecta archivos de malware y no aprobados aunque estn comprimidos con ZIP o GZIP.

n Determinar el procedimiento para identificar y bloquear malware desconocido.

n Comprobar el rendimiento del dispositivo en pruebas con la prevencin de amenazas activada al completo para garantizar la aplicabilidad en el mundo real de las caractersticas de prevencin de amenazas.

Reduccin de la superficie de ataquePara proteger su red necesitar controlar de forma estricta la exposicin a amenazas y prevenir de forma fiable las amenazas presentes en el trfico de aplicaciones permitido.


Proteccin de usuarios remotos

En primer lugar, determinar si el dispositivo en pruebas puede proteger a usuarios remotos con las mismas polticas utilizadas internamente; en segundo lugar, determinar el esfuerzo de administracin y la complejidad de implementacin.

n Comprobar que el dispositivo en pruebas puede proteger a los usuarios remotos que utilizan ms de una conexin VPN SSL o una conexin de red de retorno.

n Confirmar la facilidad de implementacin y de administracin mediante el establecimiento de un grupo remoto de usuarios e implementando polticas de prueba.

n Puede el dispositivo en pruebas proporcionar polticas basadas en el tipo de dispositivo?

n Puede el dispositivo en pruebas proteger del malware para mviles y de las vulnerabilidades de los sistemas operativos mviles?

n Puede el dispositivo en pruebas proporcionar control de aplicaciones para aplicaciones mviles?

n Cerrar la prueba mediante la supervisin de usuarios remotos a travs del visor de logs.

Administracin

Usted debe observar la complejidad de la administracin del dispositivo en pruebas en trminos de dispositivos separados, as como la dificultad (nmero de pasos, claridad de la interfaz de usuario, etc.) de la tarea en cuestin.

n Confirme la metodologa de gestin del dispositivo en pruebas. La administracin del dispositivo individual requiere un dispositivo separado o un servidor? Y puede el dispositivo en pruebas gestionarse a travs de un navegador o es necesario un "cliente pesado"?

n Comprobar la disponibilidad de herramientas de visualizacin que proporcionen inteligencia de red a travs de una vista resumida de las aplicaciones, las amenazas y las direcciones URL en la red.

n Estn los logs almacenados de manera centralizada o estn en bases de datos separadas por nivel de funcin superior (por ejemplo, firewall, control de aplicaciones, IPS)?

n Medir el esfuerzo administrativo asociado con el anlisis de logs, tanto para fines de visibilidad como de investigacin forense y de incidencias.

n Validar que los controles de polticas de aplicaciones, los controles de polticas del firewall y las caractersticas de prevencin de amenazas pueden habilitarse en el mismo editor de directivas.

n Se crean y aplican en el firewall con anterioridad las reglas basadas en puertos al control de nivel de aplicacin?

n Si se utilizan mltiples polticas (por ejemplo, firewall, control de aplicaciones, IPS), existen herramientas de reconciliacin de polticas para encontrar posibles agujeros en las polticas?

Rendimiento con servicios habilitados

El control de aplicaciones es mucho ms exigente a nivel de carga de procesamiento que los firewalls tradicionales basados en puertos, por lo que es fundamental validar que el dispositivo en pruebas pueda tener un rendimiento adecuado en la identificacin y control de aplicaciones.

n Comprobar si el dispositivo en pruebas est basado en software, un servidor OEM o es un dispositivo especialmente diseado.

n Si se trata de un aparato, investigar la arquitectura de hardware para confirmar que la potencia de procesamiento sea la adecuada y que est cumpliendo con los requisitos de rendimiento de su red cuando se habilitan los servicios.

n Prubelo! Evale el rendimiento real en un entorno de pruebas utilizando patrones de trfico que sean representativos del entorno de red de destino.

Consideraciones para entornos de hardware y virtualizados

Si la implementacin final es un centro de datos con sistemas virtuales, entonces debe escoger y elegir las pruebas anteriores para asegurarse de que la funcionalidad del firewall en un entorno virtualizado est probado adecuadamente. Para entornos virtualizados se deben incluir las siguientes consideraciones adicionales:

n Cul es el proceso de administracin de polticas para la instancia de la mquina virtual? Cuntos pasos hay involucrados?


n Se pueden crear el mismo tipo de polticas para las instancias tanto fsicas como virtuales?

n Tienen soporte exactamente las mismas caractersticas tanto en instancias hardware como virtualizadas?

n Comprobar que el dispositivo en pruebas (DUT) puede proteger todo el trfico entre las mquinas virtuales que hay dentro del mismo servidor virtualizado.

n Comprobar que el dispositivo en pruebas puede ofrecer polticas de usuario, contenido y aplicaciones en la misma instancia virtual.

n Comprobar que el dispositivo en pruebas puede seguir aplicando polticas incluso en migraciones de mquinas virtuales de invitado.

n Confirmar y validar la interaccin con el sistema de gestin de la plataforma de virtualizacin.

n Confirmar y validar la interaccin con los sistemas de automatizacin y orquestacin.

Consideraciones adicionales de evaluacin

El proceso de evaluacin y pruebas de los productos de seguridad de red puede variar de una organizacin a otra, y en casi todos los casos ir ms all del alcance de este documento. Los ejemplos pueden incluir la facilidad de implementacin (modo Tap, modo transparente, otros), redes (capa 2, capa 3, modo mixto) y enrutamiento (RIP, OSPF, BGP). Las prcticas recomendadas para la correcta evaluacin de un firewall recomiendan la creacin de un conjunto especfico de criterios de valoracin y someter a cada dispositivo a todo el conjunto de pruebas documentando con todo detalle los resultados, de modo que la seleccin final se pueda hacer de una manera sistemtica.

Hace tiempo, la idea de permitir que un empleado usara una aplicacin externa o personal para fines relacionados con el trabajo era algo inaudito. Hoy en da, los empleados estn siempre en lnea y utilizan continuamente las ltimas aplicaciones, fusionando a menudo el uso personal y el laboral. El bloqueo extensivo de estas aplicaciones es equivalente a bloquear el negocio.

La gua "10 cosas que su prximo firewall debe hacer" valida el hecho de que el mejor lugar para ejecutar la habilitacin segura de aplicaciones es el firewall utilizando la identidad de aplicaciones y el modelo tradicional de polticas de control positivo (firewall) que permitan a los administradores definir, en funcin del negocio, qu aplicaciones estn habilitadas y cules estn denegadas. Despus de usar las herramientas de este documento, debe quedar claro que tratar de habilitar de forma segura las aplicaciones utilizando un modelo de control negativo especfico, tipo IPS, no es realista.

Habilitacin segura de aplicaciones con firewalls de nueva generacin


Palo Alto Networks es la compaa lder de seguridad en red

de nueva generacin. Su innovadora plataforma permite a las

empresas, a los proveedores de servicios y a las entidades

gubernamentales proteger sus redes mediante la habilitacin de

forma segura de un nmero cada vez mayor y ms complejo de

aplicaciones que se ejecutan en sus redes y ofreciendo prevencin

ante amenazas cibernticas. El ncleo de la plataforma de

Palo Alto Networks son sus firewalls de nueva generacin, que

ofrecen visibilidad y control de las aplicaciones, los usuarios y

los contenidos de manera integrada en el firewall mediante su

arquitectura exclusiva de hardware y software. Los productos y

servicios de Palo Alto Networks pueden abordar una amplia gama

de los requisitos de seguridad de las redes, desde los centros

de datos hasta el permetro de la red, as como en empresas

distribuidas, incluidas las oficinas y un creciente nmero de

dispositivos mviles. Los productos de Palo Alto Networks son

utilizados por ms de 12.500 clientes en ms 100 pases.

Para obtener ms informacin, visitewww.paloaltonetworks.com.

Acerca de Palo Alto Networks

PALO ALTO NETWORKS | 48

www.paloaltonetworks.com

2013 Palo Alto Networks, Inc. Reservados todos los derechos. Palo Alto Networks y el logotipo de Palo Alto Networks son marcas comerciales o marcas comerciales registradas de Palo Alto Networks, Inc. Otros nombres de compaas y productos pueden ser marcas comerciales de sus respectivos propietarios. Las especificaciones estn sujetas a cambios sin previo aviso. PAN_BG_090513_ES

Firewall Buyers Guide Es

Documents

Transcript of Firewall Buyers Guide Es