Professional Documents
Culture Documents
GUA PARA
EL COMPRADOR
DE FIREWALL
Prlogo
Informe sobre la Gua para el comprador de firewall de Palo
Alto Networks
Las amenazas a las que se enfrentan los departamentos de
redes y seguridad evolucionan a gran velocidad, y los productos
que estos implantan son determinantes para el resultado de
la estrategia global de seguridad de la empresa. Desde hace
aos, el firewall es la piedra angular de la seguridad de una
red, pero dada la velocidad a la que cambian las necesidades
de la empresa, este ha de seguir evolucionando para afrontar
los retos que se plantean en un entorno tan dinmico como
el actual. Palo Alto Networks solicit a IANS Research, una
empresa informtica independiente dedicada a la investigacin
sobre seguridad, riesgos y homologaciones, que estableciese
el contexto de la presente Gua para el comprador de firewall
mediante la observacin de cmo estn cambiando las
operaciones se seguridad, el comportamiento de los usuarios
y la complejidad de las amenazas, con el fin de plantear los
cambios que se han de realizar en el papel del firewall para
no ceder terreno.
El firewall se considera como uno de los controles de seguridad fundamentales de una red. En las dos ltimas dcadas, el firewall
ha pasado de un sencillo dispositivo de filtrado a un complejo sistema capaz de supervisar el estado de varias sesiones de trfico
al mismo tiempo. Pero aun teniendo prestaciones ms avanzadas y un rendimiento an mayor, los firewall sufren hoy una crisis de
identidad: las amenazas se desarrollan a gran velocidad, y el filtrado tradicional por puerto o direccin IP ya no sirve para frenarlas. Las
redes corporativas son cada vez ms complejas y albergan una gran cantidad de servicios y aplicaciones que han de ser identificadas
y controladas convenientemente por los departamentos de redes y seguridad. En este documento se estudia el estado actual de la
tecnologa firewall y se plantean los nuevos requisitos necesarios para garantizar la seguridad de la red corporativa.
Mayor visibilidad frente a mayor sofisticacin
El terreno de las aplicaciones ha cambiado de forma notable. Cada vez son menos las aplicaciones que muestran patrones de trfico
tradicionales, mediante protocolos estndar como FTP, SMTP y SMB, mientras siguen aumentando aquellas que emplean HTTP como
principal mtodo de comunicacin: hoy, desde sitios web sencillos hasta enormes infraestructuras de servicios, casi todas las aplicaciones
usan XML, SOAP y AJAX. Actualmente los usuarios acceden al correo personal y al profesional mediante HTTP, las aplicaciones de
intercambio de archivos usan HTTP, o saltan de un puerto a otro, ya existe trfico de voz que emplea HTTP adems de SIP y protocolos VoIP
tradicionales. Aunque todo esto supone una revolucin en trminos de colaboracin y desarrollo, tambin supone una gran desventaja en
lo que respecta a la seguridad. Las amenazas a las que se enfrentan las empresas hoy da son mucho ms avanzadas y difusas que antes.
Los robos de informacin confidencial estn a la orden del da: Citi perdi datos de 360.000 titulares de tarjetas de crdito; Sony padeci
diversos incidentes que afectaron a ms de 100 millones de usuarios registrados.
En muchos de estos robos, los delincuentes emplearon mtodos sofisticados de ingeniera social y manipulacin del software cliente que
provocaron una sigilosa filtracin de datos muy difcil o imposible de detectar con las herramientas de seguridad tradicionales. Gran parte
del trfico de salida de los delincuentes usaba los puertos 80, 443 y otros, los cuales resultan muy difciles de inspeccionar a fondo dado
el volumen de informacin online que los usuarios internos generan constantemente. De hecho, este tipo de trfico se mezcla entre la
multitud de aplicaciones web de tal manera que el sistema de seguridad ni siquiera sabe que se encuentra ah.
Ser capaces de relacionar determinados patrones de uso y comportamiento para detectar cualquier actividad nociva es fundamental para
afrontar las amenazas de hoy da, las cuales dejan poco rastro ms all del volumen de trfico y la fecha de transferencia. Asimismo, la
capacidad para descifrar qu trfico (en el nivel de paquetes) entra y, ms importante an, qu trfico sale de la empresa es el pilar sobre
el que se sustenta la gestin avanzada de amenazas. Muchas de las variantes de bots ms nocivas que afectan a las empresas emulan los
tipos de trfico ms comunes para evitar la deteccin de los canales de Control y Mando (CC) que los conectan a los controladores. Team
Cymru, un gabinete especializado en seguridad, ya revel en 2008 un ejemplo relativamente inocuo de este tipo de actividad, al descubrir
que los terminales infectados se comunicaban con un servidor por medio de segmentos cifrados con Base64 como el siguiente:
GET
/cgi-bin/get.cgi?data=dmVyPTUmdWlkPTE4MDczMzM2NSZjb25uPSZvcz1YUCZzb2Nrcz0xNTczJmlwPTE5Mi4xNjguMTk3
En este segmento se incluye informacin sobre la direccin IP del terminal infectado, el sistema operativo y los datos de acceso del
usuario. Los ltimos bots, como Zeus y la familia TDL de botnets, tambin emplean tcnicas similares de codificacin y cifrado. La familia TDL utiliza cifrado con SSL y codifica el trfico de control y comando con Base64. Los siguientes segmentos URL son tambin muy
comunes a este tipo de botnet:
/data/www/dm_engine/library/classes/DBase.php
/data/www/dm_engine/library/models/mSystems.php
/data/www/dm_engine/public/enginestatusn.php
/data/www/dm_engine/public/index.php
En la misma medida en la que aumenta en la empresa el uso personal y profesional de aplicaciones web, herramientas sociales y
el intercambio de archivos, aumenta el riesgo de que se haga un uso o apropiacin indebidos de la informacin que se maneja. El
nico mtodo eficaz de vigilancia y control de los usuarios internos se basa en la observacin minuciosa de toda la informacin que se
intercambia desde dentro y fuera de la red. El problema surge cuando esta tarea se realiza mediante proxy o herramientas de filtrado de
contenidos, pues para eludirlas basta con puentear el filtro a proxys externos, cifrar el contenido u ocultarlo con aplicaciones del tipo Tor.
Adems, las herramientas tradicionales de filtrado e inspeccin no son las ms apropiadas para detectar tcnicas sencillas de ofuscacin
y cifrado, pues estas solo resultan fciles de identificar mediante el anlisis de distintos patrones de comportamiento.
La complejidad y las exigencias de la empresa
La tecnologa tradicional de firewall se centra en los puertos TCP y UDP como factor principal de identificacin a la hora de filtrar el trfico
de una red. Dada la proliferacin de servicios y aplicaciones web tanto internas como externas, esta tcnica esttica de identificacin
del trfico empieza a resultar demasiado rgida, con la perdida de visibilidad ante el posible trfico nocivo que pudiera circular oculto
entre aquellas aplicaciones. Por otro lado, son muchas las consolas gestoras de aplicaciones y dispositivos que emplean funcionalidad
web a travs de puertos estndar; por motivos evidentes, estas aplicaciones tambin han de cubrirse, como muchas otras. Este es uno de
los elementos cruciales que caracterizan la situacin actual de la seguridad de redes: facilitar la actividad del propio negocio tiene una
importancia vital, pero los departamentos de seguridad carecen del nivel de visibilidad y control necesario para facilitar el negocio sin
dejar de bloquear el trfico nocivo que no se ajusta a las polticas de uso de la red.
Mientras crece la lista de aplicaciones y menguan los departamentos de IT, cada vez resulta ms difcil gestionar las diferentes polticas
de seguridad a lo largo de toda la plataforma de red y encontrar especialistas capaces de coordinar todos los elementos defensivos.
Muchas empresas llevan aos acumulando reglas y polticas de firewall, y carecen de documentacin e incluso justificacin para el
mantenimiento de muchas de ellas. El aumento de la complejidad en la poltica y del volumen de reglas en el firewall tiene diversas
consecuencias. En primer lugar, los conflictos y contrasentidos en las propias reglas pueden provocar problemas de disponibilidad o
bloqueos involuntarios de trfico que es necesario para el negocio. Esto no se puede tolerar, y como suele acarrear duras crticas contra
los equipos de redes y seguridad, estos suelen ser reacios a efectuar cambios que afecten a los dispositivos o a la poltica que los rigen.
El segundo problema que surge en la presente situacin es la reduccin de la seguridad en general, pues los apaos y las polticas
temporales terminan perpetundose en el tiempo.
Los encargados de la seguridad de la red hacen cada vez ms cosas y con menos medios. Y desgraciadamente, la complejidad del
panorama de aplicaciones y amenazas est creando dos tendencias principales en seguridad de redes. En primer lugar, la presin
competitiva y los cambios ocurridos en el panorama de aplicaciones han obligado a numerosos fabricantes de dispositivos de seguridad
a aadir a sus productos la inspeccin de aplicaciones y avanzadas funciones anti-malware. Aunque en algunos casos se trata de
funcionalidades bien diseadas e integradas, en muchos otros dan lugar a nuevos problemas. Es posible que estas funciones aumenten
la complejidad de la administracin y el mantenimiento de los sistemas, lo cual aumenta a su vez el tiempo dedicado a solucionar
problemas. Por otro lado, muchas de estas funciones tampoco funcionan tal y como se anuncian; de hecho, apenas se diferencian de la
funcionalidad tradicional para la prevencin de intrusos basada en firmas. Aunque pudiera sonar atractivo, el impacto que provoca en el
rendimiento del dispositivo llega a ser notable, lo que obliga a los administradores a desactivarlo.
La segunda tendencia consiste en la proliferacin de tecnologas separadas cuya funcin es muy limitada en lo que respecta a la
seguridad. Este tipo de soluciones puntuales funcionan correctamente, pero el crecimiento de distintos sistemas aumenta las tareas
de administracin, los costes y la complejidad de la infraestructura hasta un punto que quiz resulte excesivo para la empresa. Aunque
el uso de controles separados puede parecer sntoma de una postura afianzada de defensa en profundidad, muchas empresas sern
incapaces de administrar todos estos productos, muchos de los cuales acabarn en la estantera sin ser usados y dejando en la red un
vaco de seguridad considerable.
Mejores operaciones: en primer lugar, el firewall ha de simplificar las operaciones de redes y seguridad mediante la consolidacin de las funciones que actualmente realizan diversos
controles de seguridad y la reduccin de los tiempos de administracin y mantenimiento. En segundo lugar, el propio firewall ha
de rendir sin fallos y a gran velocidad sin dejar de realizar una
inspeccin meticulosa de cada aplicacin.
Revolucin, no evolucin
Existe demasiado trfico, demasiadas aplicaciones y muy poca tolerancia a los recortes de
rendimiento como para que sigamos aadiendo dispositivos y mdulos de software que
nos ayuden a analizar el trfico.
Conclusin
Los firewall de ayer estn perdiendo rpidamente la capacidad
defensiva frente a las amenazas modernas. Dada la proliferacin
de ataques web, la sofisticacin del malware que usa protocolos
de alto volumen y el riesgo cada vez mayor de filtraciones, se
necesitan soluciones de filtrado para redes que estn a la altura.
Y sin la capacidad para escrutar e identificar diversos tipos de
trfico de aplicaciones, se trata de una batalla perdida. Existe
demasiado trfico, demasiadas aplicaciones y muy poca tolerancia
a los recortes de rendimiento como para que sigamos aadiendo
dispositivos y mdulos de software que nos ayuden a analizar
el trfico. Y por si fuera poco, los departamentos de seguridad y
redes se encuentran con el agua al cuello en cuanto a tareas y
responsabilidades, as que cada nueva herramienta supone una
inversin en tiempo de formacin que debiera dedicarse al diseo
de polticas, actualizaciones y dems tareas que requieren cierta
regularidad. La nueva generacin de herramientas de filtrado para
redes habr de reunir todas estas funciones y algunas ms que
allanen el terreno para la construccin de una arquitectura segura
que resulte ms eficaz y fcil de administrar que la actual.
Acerca de IANS
IANS es lder en la realizacin de informes de seguridad a travs
de sus departamentos de investigacin y consultora. A travs
de la interactuacin entre el personal de IANS y el usuario final,
IANS asesora a sus clientes en materia de seguridad, gestin de
riesgos y homologaciones. IANS fomenta decisiones tcnicas
y administrativas mejores y ms rpidas gracias a la asesora a
travs de la experiencia.
http://www.team-cymru.com/ReadingRoom/Whitepapers/2008/http-botnets.pdf
http://www.securelist.com/en/analysis/204792131/TDSS#9
http://www.sans.org/reading_room/whitepapers/malicious/analysis-simple-http-bot_33573
Contenidos
Introduccin 9
Factores a tener en cuenta sobre el modelo de seguridad y la arquitectura.
El trfico se clasifica mejor en el firewall
10
11
14
15
17
17
Administracin
18
Rendimiento
18
18
19
19
Prevencin de amenazas
20
20
Administracin
21
21
21
Introduccin
Gran parte de los esfuerzos realizados en materia de seguridad de
redes estn dirigidos a lograr mtodos fiables de visibilidad y control
de las aplicaciones. La razn es evidente: las aplicaciones eluden
con cierta facilidad los firewall basado/s en puerto tradicionales. Y
las ventajas tambin: los trabajadores utilizan cualquier aplicacin
que les facilite su trabajo, y no se paran a pensar en los riesgos
potenciales que supone para la empresa. Casi todos los fabricantes de
sistemas de seguridad para redes coinciden en sealar que el control
de las aplicaciones es cada vez ms importante. Aunque como bien
dice Gartner, un firewall de nueva generacin es un dispositivo nuevo,
distinto y orientado a la empresa, muchos fabricantes de sistemas de
seguridad insisten en destacar que los firewall de nueva generacin
son un conjunto de varias funciones(UTM, IPS...). La mayora de los
fabricantes tradicionales logran mayor visibilidad y control sobre las
aplicaciones al usar un nmero limitado de firmas autorizadas en su
IPS u otra base de datos externa. Pero se trata siempre de soluciones
mal integradas en un sistema que todava se basa en tecnologa de
bloqueo basado en puerto y carece de tecnologa de nueva generacin.
En cualquier caso, estos fabricantes han errado al enfocar el problema,
pues no se trata de bloquear aplicaciones, sino de activarlas con
seguridad. Por desgracia, ofrecen una gran variedad de productos sin
conocer realmente el uso que hacen sus clientes de las aplicaciones,
por lo que difcilmente pueden garantizar la seguridad de las mismas.
Est claro que un firewall de nueva generacin es un tipo de producto
diferente y revolucionario, y es tal es inters que ha generado entre
las empresas, que los fabricantes de productos tradicionales intentan
ahora atraer la atencin de los departamentos de seguridad ofreciendo
productos que se parecen a un firewall de nueva generacin.
2.
3.
Su prximo firewall ha de servir para descifrar canales SSL de
salida.
Caso prctico: Hoy, las aplicaciones que emplean SSL en cualquiera
de sus variantes representan el 25% del trfico que circula por las
redes corporativas, segn indica el Estudio sobre usos y riesgos
de aplicaciones (mayo 2011). En algunos sectores, como en el de
servicios financieros, ese porcentaje sube hasta el 50%. Con el uso
cada vez ms extendido de HTTPS en las aplicaciones de mayor
riesgo (Gmail, Facebook), y la facilidad de los usuarios para forzar
el SSL en numerosos sitios web, los departamentos de seguridad
se encuentran con un ngulo muerto en el que se ven incapaces
de descifrar, clasificar, controlar ni escanear el trfico encriptado
con SSL que circula por su red. Un firewall de nueva generacin
debe ser suficientemente flexible para que determinados tipos
de trfico encriptado con SSL (servicios financieros, servicios de
salud) puedan circular libremente mientras otros tipos de trfico
sean sometidos a todos los controles que contemple su poltica de
seguridad.
4.
Su prximo firewall ha de identificar y controlar las aplicaciones
que comparten la misma conexin.
Caso prctico: las aplicaciones comparten las sesiones. Para
asegurarse de que los usuarios utilizan constantemente un
nicoandn para acceder a las aplicaciones, ya sea Google,
Facebook, Microsoft, Salesforce.com, LinkedIn o Yahoo, los
desarrolladores de aplicaciones integran diversas aplicaciones con
diversos perfiles de riesgo y valor comercial. Por ejemplo, cuando
se usa Gmail, se puede pasar a Google Talk, que es una aplicacin
con caractersticas completamente diferentes, as que su prximo
firewall ha de ser capaz de reconocer ese paso y activar la poltica
de seguridad correspondiente en cada caso.
Requisitos: la clasificacin simple de la plataforma o el sitio web
de la aplicacin no sirve. En otras palabras, no conviene tomar
atajos, pues la clasificacin esttica no sirve para ordenar las
aplicaciones que comparten una misma sesin. Se ha de evaluar
el trfico constantemente para comprender el funcionamiento de
cada aplicacin y los cambios que se producen (vase el punto
5) al pasar de una a otra durante una misma sesin, y aplicar los
controles correspondientes. Por ejemplo, en el ejemplo anterior
con Gmail/Google Talk: por omisin, Gmail utiliza HTTPS (vase el
punto 3), as que se ha de descifrar todo el trfico continuamente,
pues el usuario puede abrir en cualquier momento una funcin
paralela que tenga sus propias directrices en la poltica de
seguridad corporativa.
5.
Su prximo firewall ha de servir para controlar cada una de las
funciones de cada aplicacin (es decir, SharePoint Admin vs.
SharePoint Docs).
6.
7.
8.
9.
10.
Permitir:
Denegar.
en funcin de la aplicacin.
Puede el motor de prevencin escanear contenido comprimido
(ZIP o GZIP)?
Prevencin de amenazas
Las amenazas van asociadas a numerosas aplicaciones tanto
en forma de vector infeccioso como de comando en dispositivos
infectados. Por este motivo, los analistas recomiendan una y
otra vez que las empresas consoliden sus tecnologas IPS y de
prevencin de riesgos como parte del firewall de nueva generacin.
A continuacin figuran las preguntas y fundamentos propios de un
RFP sobre firewall de nueva generacin.
Descripcin de todos los mecanismos de prevencin de
amenazas en uso (IPS, anti-malware, filtro URL, prevencin de
prdida de datos, etc.).
Administracin
La administracin juega un papel fundamental a la hora de
garantizar la seguridad de una red. Uno de los objetivos que se
han de lograr al cambiar a un firewall de nueva generacin es la
simplificacin de los mecanismos de seguridad, lo cual solo es
posible si se aumenta la visibilidad y el control de las aplicaciones.
A continuacin figuran las preguntas y fundamentos propios de un
RFP sobre firewall de nueva generacin.
Se necesita un servidor o dispositivo extra para la
administracin del firewall?
Rendimiento
El rendimiento en el mundo real es uno de los aspectos
fundamentales a tener en cuenta antes de instalar un sistema
de seguridad. El control de las aplicaciones requiere de una
inspeccin del trfico ms all del simple firewall basado en
puerto y, por tanto, demanda una mayor capacidad de proceso. Si
se aade la inspeccin en busca de amenazas a las funciones de
seguridad del sistema, solamente se lograr saturar el firewall.
Lo ms importante es determinar el rendimiento de la red cuando
estn habilitadas todas las funciones de seguridad. A continuacin
figuran las preguntas y fundamentos propios de un RFP sobre
firewall de nueva generacin.
Comprobacin del producto: software, servidor OEM o
dispositivo integrado.
Prevencin de amenazas
Para garantizar la seguridad de la red, es igual de importante
controlar de forma estricta la exposicin a las amenazas como
prevenir las amenazas presentes en el trfico permitido. Se
ha de comprobar la capacidad del dispositivo en pruebas para
garantizar la seguridad sin mermar el rendimiento en un entorno
real caracterizado por amenazas que acceden comprimidas por
puertos alternativos.
Verificacin de que las tcnicas de prevencin de amenazas (filtro
de IPS, malware, y contenido) se aplican de forma consistente
incluso en los puertos alternativos. Quiere esto decir que el
dispositivo en pruebas no solo ha de controlar las aplicaciones
que entran por puertos alternativos, sino tambin detener las
amenazas que pueden circular por esos mismos puertos.
2011 Palo Alto Networks, Inc. Todos los derechos reservados. Palo Alto Networks y el logotipo de Palo Alto Networks son marcas registradas propiedad de Palo Alto Networks, Inc. Otras empresas y nombres comerciales pudieran ser marcas registradas de sus respectivos propietarios. Especificaciones sujetas a cambios sin previo aviso.
PALO ALTO NETWORKS