Guia Firewalls

20112012
GUA PARA
EL COMPRADOR
DE FIREWALL
La gua definitiva para evaluar el firewall de la red corporativa.
WITH FOREWORD BY IANS
Palo Alto Networks: 2011-2012 Gua para el comprador de firewall

Prlogo
Informe sobre la Gua para el comprador de firewall de Palo
Alto Networks
Las amenazas a las que se enfrentan los departamentos de
redes y seguridad evolucionan a gran velocidad, y los productos
que estos implantan son determinantes para el resultado de
la estrategia global de seguridad de la empresa. Desde hace
aos, el firewall es la piedra angular de la seguridad de una
red, pero dada la velocidad a la que cambian las necesidades
de la empresa, este ha de seguir evolucionando para afrontar
los retos que se plantean en un entorno tan dinmico como
el actual. Palo Alto Networks solicit a IANS Research, una
empresa informtica independiente dedicada a la investigacin
sobre seguridad, riesgos y homologaciones, que estableciese
el contexto de la presente Gua para el comprador de firewall
mediante la observacin de cmo estn cambiando las
operaciones se seguridad, el comportamiento de los usuarios
y la complejidad de las amenazas, con el fin de plantear los
cambios que se han de realizar en el papel del firewall para
no ceder terreno.
PALO ALTO NETWORKS
2 | 20112012 GUA PARA EL COMPRADOR DE FIREWALL

El firewall se considera como uno de los controles de seguridad fundamentales de una red. En las dos ltimas dcadas, el firewall
ha pasado de un sencillo dispositivo de filtrado a un complejo sistema capaz de supervisar el estado de varias sesiones de trfico
al mismo tiempo. Pero aun teniendo prestaciones ms avanzadas y un rendimiento an mayor, los firewall sufren hoy una crisis de
identidad: las amenazas se desarrollan a gran velocidad, y el filtrado tradicional por puerto o direccin IP ya no sirve para frenarlas. Las
redes corporativas son cada vez ms complejas y albergan una gran cantidad de servicios y aplicaciones que han de ser identificadas
y controladas convenientemente por los departamentos de redes y seguridad. En este documento se estudia el estado actual de la
tecnologa firewall y se plantean los nuevos requisitos necesarios para garantizar la seguridad de la red corporativa.
Mayor visibilidad frente a mayor sofisticacin
El terreno de las aplicaciones ha cambiado de forma notable. Cada vez son menos las aplicaciones que muestran patrones de trfico
tradicionales, mediante protocolos estndar como FTP, SMTP y SMB, mientras siguen aumentando aquellas que emplean HTTP como
principal mtodo de comunicacin: hoy, desde sitios web sencillos hasta enormes infraestructuras de servicios, casi todas las aplicaciones
usan XML, SOAP y AJAX. Actualmente los usuarios acceden al correo personal y al profesional mediante HTTP, las aplicaciones de
intercambio de archivos usan HTTP, o saltan de un puerto a otro, ya existe trfico de voz que emplea HTTP adems de SIP y protocolos VoIP
tradicionales. Aunque todo esto supone una revolucin en trminos de colaboracin y desarrollo, tambin supone una gran desventaja en
lo que respecta a la seguridad. Las amenazas a las que se enfrentan las empresas hoy da son mucho ms avanzadas y difusas que antes.
Los robos de informacin confidencial estn a la orden del da: Citi perdi datos de 360.000 titulares de tarjetas de crdito; Sony padeci
diversos incidentes que afectaron a ms de 100 millones de usuarios registrados.
En muchos de estos robos, los delincuentes emplearon mtodos sofisticados de ingeniera social y manipulacin del software cliente que
provocaron una sigilosa filtracin de datos muy difcil o imposible de detectar con las herramientas de seguridad tradicionales. Gran parte
del trfico de salida de los delincuentes usaba los puertos 80, 443 y otros, los cuales resultan muy difciles de inspeccionar a fondo dado
el volumen de informacin online que los usuarios internos generan constantemente. De hecho, este tipo de trfico se mezcla entre la
multitud de aplicaciones web de tal manera que el sistema de seguridad ni siquiera sabe que se encuentra ah.
Ser capaces de relacionar determinados patrones de uso y comportamiento para detectar cualquier actividad nociva es fundamental para
afrontar las amenazas de hoy da, las cuales dejan poco rastro ms all del volumen de trfico y la fecha de transferencia. Asimismo, la
capacidad para descifrar qu trfico (en el nivel de paquetes) entra y, ms importante an, qu trfico sale de la empresa es el pilar sobre
el que se sustenta la gestin avanzada de amenazas. Muchas de las variantes de bots ms nocivas que afectan a las empresas emulan los
tipos de trfico ms comunes para evitar la deteccin de los canales de Control y Mando (CC) que los conectan a los controladores. Team
Cymru, un gabinete especializado en seguridad, ya revel en 2008 un ejemplo relativamente inocuo de este tipo de actividad, al descubrir
que los terminales infectados se comunicaban con un servidor por medio de segmentos cifrados con Base64 como el siguiente:
GET
/cgi-bin/get.cgi?data=dmVyPTUmdWlkPTE4MDczMzM2NSZjb25uPSZvcz1YUCZzb2Nrcz0xNTczJmlwPTE5Mi4xNjguMTk3
En este segmento se incluye informacin sobre la direccin IP del terminal infectado, el sistema operativo y los datos de acceso del
usuario. Los ltimos bots, como Zeus y la familia TDL de botnets, tambin emplean tcnicas similares de codificacin y cifrado. La familia TDL utiliza cifrado con SSL y codifica el trfico de control y comando con Base64. Los siguientes segmentos URL son tambin muy
comunes a este tipo de botnet:
/data/www/dm_engine/library/classes/DBase.php
/data/www/dm_engine/library/models/mSystems.php
/data/www/dm_engine/public/enginestatusn.php
/data/www/dm_engine/public/index.php
PALO ALTO NETWORKS

El cambio genera innovacin

Aun teniendo prestaciones ms avanzadas
y un rendimiento an mayor, los firewall
sufren hoy una crisis de identidad: las
amenazas se desarrollan a gran velocidad,
y el filtrado tradicional por puerto o direccin IP ya no sirve para frenarlas.
En la misma medida en la que aumenta en la empresa el uso personal y profesional de aplicaciones web, herramientas sociales y
el intercambio de archivos, aumenta el riesgo de que se haga un uso o apropiacin indebidos de la informacin que se maneja. El
nico mtodo eficaz de vigilancia y control de los usuarios internos se basa en la observacin minuciosa de toda la informacin que se
intercambia desde dentro y fuera de la red. El problema surge cuando esta tarea se realiza mediante proxy o herramientas de filtrado de
contenidos, pues para eludirlas basta con puentear el filtro a proxys externos, cifrar el contenido u ocultarlo con aplicaciones del tipo Tor.
Adems, las herramientas tradicionales de filtrado e inspeccin no son las ms apropiadas para detectar tcnicas sencillas de ofuscacin
y cifrado, pues estas solo resultan fciles de identificar mediante el anlisis de distintos patrones de comportamiento.
La complejidad y las exigencias de la empresa
La tecnologa tradicional de firewall se centra en los puertos TCP y UDP como factor principal de identificacin a la hora de filtrar el trfico
de una red. Dada la proliferacin de servicios y aplicaciones web tanto internas como externas, esta tcnica esttica de identificacin
del trfico empieza a resultar demasiado rgida, con la perdida de visibilidad ante el posible trfico nocivo que pudiera circular oculto
entre aquellas aplicaciones. Por otro lado, son muchas las consolas gestoras de aplicaciones y dispositivos que emplean funcionalidad
web a travs de puertos estndar; por motivos evidentes, estas aplicaciones tambin han de cubrirse, como muchas otras. Este es uno de
los elementos cruciales que caracterizan la situacin actual de la seguridad de redes: facilitar la actividad del propio negocio tiene una
importancia vital, pero los departamentos de seguridad carecen del nivel de visibilidad y control necesario para facilitar el negocio sin
dejar de bloquear el trfico nocivo que no se ajusta a las polticas de uso de la red.
Mientras crece la lista de aplicaciones y menguan los departamentos de IT, cada vez resulta ms difcil gestionar las diferentes polticas
de seguridad a lo largo de toda la plataforma de red y encontrar especialistas capaces de coordinar todos los elementos defensivos.
Muchas empresas llevan aos acumulando reglas y polticas de firewall, y carecen de documentacin e incluso justificacin para el
mantenimiento de muchas de ellas. El aumento de la complejidad en la poltica y del volumen de reglas en el firewall tiene diversas
consecuencias. En primer lugar, los conflictos y contrasentidos en las propias reglas pueden provocar problemas de disponibilidad o
bloqueos involuntarios de trfico que es necesario para el negocio. Esto no se puede tolerar, y como suele acarrear duras crticas contra
los equipos de redes y seguridad, estos suelen ser reacios a efectuar cambios que afecten a los dispositivos o a la poltica que los rigen.
El segundo problema que surge en la presente situacin es la reduccin de la seguridad en general, pues los apaos y las polticas
temporales terminan perpetundose en el tiempo.
Los encargados de la seguridad de la red hacen cada vez ms cosas y con menos medios. Y desgraciadamente, la complejidad del
panorama de aplicaciones y amenazas est creando dos tendencias principales en seguridad de redes. En primer lugar, la presin
competitiva y los cambios ocurridos en el panorama de aplicaciones han obligado a numerosos fabricantes de dispositivos de seguridad
a aadir a sus productos la inspeccin de aplicaciones y avanzadas funciones anti-malware. Aunque en algunos casos se trata de
funcionalidades bien diseadas e integradas, en muchos otros dan lugar a nuevos problemas. Es posible que estas funciones aumenten
la complejidad de la administracin y el mantenimiento de los sistemas, lo cual aumenta a su vez el tiempo dedicado a solucionar
problemas. Por otro lado, muchas de estas funciones tampoco funcionan tal y como se anuncian; de hecho, apenas se diferencian de la
funcionalidad tradicional para la prevencin de intrusos basada en firmas. Aunque pudiera sonar atractivo, el impacto que provoca en el
rendimiento del dispositivo llega a ser notable, lo que obliga a los administradores a desactivarlo.
La segunda tendencia consiste en la proliferacin de tecnologas separadas cuya funcin es muy limitada en lo que respecta a la
seguridad. Este tipo de soluciones puntuales funcionan correctamente, pero el crecimiento de distintos sistemas aumenta las tareas
de administracin, los costes y la complejidad de la infraestructura hasta un punto que quiz resulte excesivo para la empresa. Aunque
el uso de controles separados puede parecer sntoma de una postura afianzada de defensa en profundidad, muchas empresas sern
incapaces de administrar todos estos productos, muchos de los cuales acabarn en la estantera sin ser usados y dejando en la red un
vaco de seguridad considerable.
PALO ALTO NETWORKS

Se necesita un nuevo enfoque para afrontar nuevos desafos

Dada la complejidad de las amenazas con las que han de lidiar las
empresas, muchas se conforman con una mezcla de herramientas
tanto tradicionales como punteras para proteger el permetro de
la red. Cada nueva pieza que se aade a la infraestructura con
nuevos beneficios potenciales supone la necesidad de encontrar
especialistas que sepan utilizarlas y tiempo para hacerlo. Y no
conviene olvidar que cada una de estas piezas representa un nuevo
eslabn en la cadena, lo que la hace ms dbil. La infraestructura
de convergencia ofrece un nico punto para auditora, aplicacin
y actualizacin de las polticas de seguridad. Entre las ventajas
colaterales, destacan la disminucin del coste operativo a corto
plazo y menores gasto de capital y coste de mantenimiento a largo
plazo. Esta convergencia podra suponer un ahorro considerable
en cuanto al tiempo que se dedica al desarrollo, aplicacin y
mantenimiento de las polticas de seguridad.
En un entorno en el que las amenazas son cada vez ms
sofisticadas, los actores ms capaces y las polticas ms complejas
y mayores en nmero, el papel del firewall como piedra angular de
la proteccin de datos y brazo ejecutor de la poltica de seguridad
es ms protagonista que nunca. Sin embargo, una gran parte de
la tecnologa firewall actual no ofrece la funcionalidad necesaria
para prevenir y detectar las filtraciones de datos (nocivas y
desapercibidas), la infeccin por malware y los sofisticados
ataques provenientes del exterior y el interior de la red. Para que
se produzca una evolucin real de los sistemas de seguridad y
que los firewall se adapten a unos entornos de red cada vez ms
complejos, es preciso aportar nueva funcionalidad.
Y esta nueva funcionalidad ha de evolucionar en tres categoras:
n
Identificacin y control de las aplicaciones: conlleva el diseo y

desarrollo de polticas as como el anlisis sintctico y la interpretacin dinmica del trfico para evaluar las normas y aplicarlas de forma uniforme a medida que cambia el entorno.
Mayor visibilidad del trfico interno y remoto: los delincuentes
son inteligentes, y han creado malware y juegos de herramientas
que utilizan canales cifrados como SSL para transportar comandos e informacin sensible. Adems, muchas de las aplicaciones
fundamentales para la empresa requerirn leves variaciones de
poltica para los distintos tipos de funcionalidad, por lo que el
firewall ha de ser capaz de comprender las sutilezas de estas
aplicaciones para tomar las decisiones adecuadas.
PALO ALTO NETWORKS
Mejores operaciones: en primer lugar, el firewall ha de simplificar las operaciones de redes y seguridad mediante la consolidacin de las funciones que actualmente realizan diversos
controles de seguridad y la reduccin de los tiempos de administracin y mantenimiento. En segundo lugar, el propio firewall ha
de rendir sin fallos y a gran velocidad sin dejar de realizar una
inspeccin meticulosa de cada aplicacin.
Actualmente, la mayora de las infraestructuras de seguridad

realizan algunas de estas funciones. Sin embargo, muchas de las
herramientas que emplean las empresas aportan funcionalidad de
forma orgnica, al ir creando nuevos mdulos para el dispositivo
original. El caso es que ni los mdulos, ni el hardware sobre el que
operan, han sido diseados expresamente para analizar y clasificar el
trfico de aplicaciones de alta velocidad, por lo que la simple activacin
de los mismos afecta notablemente al rendimiento de los dispositivos,
pudiendo provocar problemas de disponibilidad en la red.
Requisito fundamental: Identificacin y control de las aplicaciones
El trfico que generan las aplicaciones (web o de otro tipo) abarca
la mayor parte del trnsito que se produce en una red corporativa.
Dada la proliferacin generalizada de aplicaciones web y dems
aplicaciones y protocolos, cules son las nuevas funciones que
necesita un firewall para mejorar el control y la supervisin del
trfico? En primer lugar, el firewall ha de ser capaz de identificar
las caractersticas principales de las aplicaciones que se utilizan
ms all de los puertos TCP y UDP. Por ejemplo, la aplicacin de
acceso remoto Secure Shell (SSH) suele utilizar el puerto TCP 22,
aunque con una simple manipulacin se pueden puentear los controles de acceso basados en puerto y crear un tnel cifrado. Cada
vez son ms las variantes de malware que usan HTTP y HTTPS en
sus canales de control y mando, como ya dijimos anteriormente.
En un informe de SANS titulado Anlisis de un bot HTTP sencillo,
Daryl Ashley describe el comportamiento de un bot HTTP que utiliza un cifrado sencillo para su lnea de comando. Lo que hace el bot
es fijar el encabezado User-Agent en el valor inter easy, tras lo
cual recibe un comando cifrado con Base64 que significa reposo:
<!-- 2upczxAX.3:
Este mensaje pasara sin problemas cualquier control de seguridad,
pues se asemeja al trfico caracterstico de las aplicaciones web.
En cambio, con un firewall capaz de analizar todo el trfico HTTP
y HTTPS, y de advertir cualquier anomala que se produzca en el
mismo (ya sea de comportamiento o de comunicacin), el mensaje
resultara bloqueado. El caso es que casi todos los dispositivos que
existen para la prevencin y deteccin de intrusos funcionan con
mtodos estndar de anlisis de firmas, y estos son fciles de eludir.

Otro requisito primordial para la deteccin y el anlisis de las

aplicaciones es la capacidad para identificar proxys annimos
y dems tcnicas de puenteo. Aparte de para simplemente
bloquear aquellos dominios y direcciones IP que alberguen proxys
en Internet, un firewall debe servir tambin para identificar
herramientas comunes para el acceso remoto como Remote
Desktop, proxys como PHProxy y otros, y aplicaciones alojadas
como GoToMyPC. Todas estas herramientas dejan firmas fciles de
identificar si se realiza la inspeccin de las aplicaciones en mayor
profundidad. Asimismo, existen muchas aplicaciones comerciales
legtimas con determinadas funciones que deberan ser
desactivadas por motivos de seguridad. Supongamos una empresa
que utiliza WebEx para hacer reuniones online con sus empleados,
socios y proveedores. Pues bien, aunque la funcionalidad estndar
es perfectamente legtima y su uso est permitido, la opcin WebEx
Desktop Sharing puede dejar va libre para que cualquier persona
presente en la reunin acceda a informacin confidencial alojada
en el sistema o, an peor, para que algn programa de malware
la deje activada de forma clandestina. Los controles de seguridad
de la red han de estar preparados para diferenciar las distintas
funciones de WebEx y decidir cules estn permitidas y cules no.
Por ltimo, los nuevos firewall han de servir para la deteccin
del malware que puede circular escondido entre las funciones
aprobadas de las aplicaciones. Por ejemplo, SharePoint de
Microsoft facilita el intercambio sencillo de documentos con
los protocolos HTTPS y CIFS, y estos pueden verse infectados
por malware. Por eso, el firewall ha de ser capaz de detectar y
bloquear la transferencia de documentos sin tener que recurrir a
tecnologas de seguridad basadas en red, las cuales solo aumentan
la complejidad y el mantenimiento del entorno.
Requisito fundamental: visibilidad del trfico cifrado y desconocido
Uno de los requisitos imprescindibles para garantizar la seguridad
de la red en este momento es la inspeccin del trfico cifrado sin
que ello merme el rendimiento de la red. Aunque muchas empresas
ya estn utilizando sistemas de control del trfico por SSL (desde
proxys y balanceadores de carga hasta dispositivos especializados
para firewall y dems sistemas), estas herramientas no suelen
aplicar las polticas de seguridad ni inspeccionar ni analizar el
trfico en profundidad. El trfico SSL representa entre el 15% y el
50% del trfico que se genera en la empresa; trfico seguro para
la recepcin y envo de datos sin correr riesgos de robo o prdida.
PALO ALTO NETWORKS
Sin embargo, el uso de SSL tambin supone una carencia patente

para los equipos de seguridad: la incapacidad de inspeccionar y
analizar ese trfico en busca de amenazas. Los delincuentes
ms avezados lo saben, y eso explica la enorme proliferacin de
canales de control y mando que usan HTTPS. Existe la sospecha
generalizada de que la informacin sustrada en algunos de los
robos ms sonados hasta la fecha (Heartland Payments y TJX,
por ejemplo) se extrajo a travs de canales cifrados para evitar la
deteccin. Los firewall deben servir para descifrar e inspeccionar
en nativo todo el trfico SSL cualquiera que sean los puertos en
uso (pues aunque se suele emplear el puerto TCP 443, se puede
cambiar fcilmente). Una vez descifrado, se ha de someter el
trfico al anlisis en profundidad segn la poltica corporativa,
poniendo especial atencin a la bsqueda de filtraciones y
canales de comunicacin de malware. El trfico que generan las
aplicaciones es cada vez ms complejo, pero los firewall apenas
acaban de salir del modelo clsico de negacin por omisin que
ha caracterizado las ltimas dcadas. Este modelo funciona por
medio de una lista blanca en la que se registra todo el trfico
permitido y que descarta todo lo dems. Se trata de un modelo
que, en teora, bloquea la entrada y salida de cualquier amenaza
desconocida. Pero la realidad demuestra que se trata tambin de
un modelo anticuado, pues ya no sirve al usar las capas OSI 3 y 4,
en las que las direcciones IP y los puertos TCP y UDP definen lo
que es aceptable y lo que no lo es. La capacidad de inspeccin de
los firewall ha de ampliarse mucho ms an con el fin de analizar
e identificar el trfico antes de incluirlo en la lista blanca. Esto
afecta a las aplicaciones hechas a medida, a la mayora de las
aplicaciones comerciales y a conocidos servicios y protocolos como
DNS y FTP, pues todos dejan un tipo de firma muy particular que se
puede usar para clasificar y distribuir el trfico legtimo.
Dada la cantidad creciente de aplicaciones web totales y
multifuncionales, un firewall est forzado a evaluar distintos tipos
de trfico y a usar casos durante las mismas sesiones iniciadas
por los mismos usuarios. Por ejemplo, un usuario de Gmail
puede iniciar una llamada Google Talk por VoIP y al mismo tiempo
mantener una charla en Google Chat, y ambas funciones figurarn
para el navegador en el contexto de una nica sesin online. Para
un firewall tradicional, todo esto es el mismo tipo de trfico HTTP
o HTTPS dirigido a los servidores de Google. Sin embargo, se trata
de dos tipos de comunicacin muy diferentes que posiblemente
requieran distintos anlisis en poltica de seguridad, as que el
firewall debe servir para distinguir entre ambos tipos y aplicar
despus la poltica adecuada.

Revolucin, no evolucin
Existe demasiado trfico, demasiadas aplicaciones y muy poca tolerancia a los recortes de
rendimiento como para que sigamos aadiendo dispositivos y mdulos de software que
nos ayuden a analizar el trfico.
Finalmente, el firewall tambin debe ser capaz de aplicar tcnicas

analticas de inspeccin en profundidad para todos los usuarios,
tanto para los que se encuentran en la sede como los que acceden a
travs de VPN u otra aplicacin de acceso a distancia. Al aumentar
la movilidad de la mano de obra, cada vez son ms los empleados
que se conectan a la red corporativa desde aeropuertos, cafs o
desde sus hogares. Para estos casos, se pueden disear polticas
corporativas en las que se permita que un empleado pueda usar
determinadas aplicaciones solo cuando se encuentre fuera de la
oficina, por lo que el firewall deber servir para analizar el trfico
de conexin a distancia, autorizar el que sea de carcter corporativo
y descartar el que no lo sea.
Requisito fundamental: rendimiento y eficacia operativa
Los departamentos de IT se encuentran ms presionados cada da,
con ms tareas y responsabilidades derivadas de las reducciones
de personal y los recortes de presupuesto. Desde un punto de
vista operativo, no resulta prctica la adicin de ms herramientas
y controles de seguridad a una infraestructura que ya resulta
suficientemente compleja. A menudo, las nuevas herramientas son
instaladas con una configuracin bsica por el fabricante, y no pasa
mucho tiempo antes de que el equipo operativo incurra en retrasos
a la hora de actualizar y ajustar dichas herramientas. Y adems se
trata de herramientas de muy difcil configuracin y mantenimiento,
por lo que suelen producirse errores que repercuten en problemas
de disponibilidad o de saturacin del trfico.
Por desgracia, dada la rapidez a la que evoluciona el panorama
de amenazas, los equipos de seguridad y redes han de estar
ms alerta cada da, y necesitan herramientas que les ayuden
a identificar y controlar TODO el trfico que circula por su
entorno. Pero no parece probable que la clasificacin de las
aplicaciones y del trfico que generan vaya a convertirse en
una prioridad sin ayuda, lo cual indica que los dispositivos de
filtrado han de facilitar y simplificar el diseo de polticas y su
aplicacin con flexibilidad.
Conclusin
Los firewall de ayer estn perdiendo rpidamente la capacidad
defensiva frente a las amenazas modernas. Dada la proliferacin
de ataques web, la sofisticacin del malware que usa protocolos
de alto volumen y el riesgo cada vez mayor de filtraciones, se
necesitan soluciones de filtrado para redes que estn a la altura.
Y sin la capacidad para escrutar e identificar diversos tipos de
trfico de aplicaciones, se trata de una batalla perdida. Existe
demasiado trfico, demasiadas aplicaciones y muy poca tolerancia
a los recortes de rendimiento como para que sigamos aadiendo
dispositivos y mdulos de software que nos ayuden a analizar
el trfico. Y por si fuera poco, los departamentos de seguridad y
redes se encuentran con el agua al cuello en cuanto a tareas y
responsabilidades, as que cada nueva herramienta supone una
inversin en tiempo de formacin que debiera dedicarse al diseo
de polticas, actualizaciones y dems tareas que requieren cierta
regularidad. La nueva generacin de herramientas de filtrado para
redes habr de reunir todas estas funciones y algunas ms que
allanen el terreno para la construccin de una arquitectura segura
que resulte ms eficaz y fcil de administrar que la actual.
Acerca de IANS
IANS es lder en la realizacin de informes de seguridad a travs
de sus departamentos de investigacin y consultora. A travs
de la interactuacin entre el personal de IANS y el usuario final,
IANS asesora a sus clientes en materia de seguridad, gestin de
riesgos y homologaciones. IANS fomenta decisiones tcnicas
y administrativas mejores y ms rpidas gracias a la asesora a
travs de la experiencia.
Tampoco conviene olvidar que la adicin de funciones de

inspeccin para aplicaciones no debe afectar a la circulacin del
trfico de entrada y salida. Al generalizarse entre las empresas el
uso de redes de 10 GB, se necesitan productos de filtrado en lnea
que realicen las tareas de inspeccin, cada vez ms complejas y
sofisticadas, a la misma velocidad a la que circula el trfico y en
varios interfaces al mismo tiempo.
1
2
3
PALO ALTO NETWORKS
http://www.team-cymru.com/ReadingRoom/Whitepapers/2008/http-botnets.pdf
http://www.securelist.com/en/analysis/204792131/TDSS#9
http://www.sans.org/reading_room/whitepapers/malicious/analysis-simple-http-bot_33573

Contenidos
Introduccin 9
Factores a tener en cuenta sobre el modelo de seguridad y la arquitectura.
El trfico se clasifica mejor en el firewall
10
10 funciones que debe tener su nuevo firewall
11
Un firewall debe facilitar las aplicaciones y el negocio
14
Uso del proceso RFP para elegir un firewall de nueva generacin
15
Factores a tener en cuenta sobre la arquitectura del firewall y el modelo de control 15

Prevencin de amenazas
17
Controles de seguridad para el acceso a distancia
17
Administracin
18
Rendimiento
18
Ms factores a tener en cuenta sobre RFP
18
Evaluacin formal de los firewall de nueva generacin
19
Visibilidad y control de las aplicaciones
19
20
20
Administracin
21
Rendimiento con servicios habilitados
21
Otras factores a tener en cuenta para la evaluacin
21
Cmo activar aplicaciones con seguridad en un firewall de nueva generacin 21
PALO ALTO NETWORKS

Introduccin
Gran parte de los esfuerzos realizados en materia de seguridad de
redes estn dirigidos a lograr mtodos fiables de visibilidad y control
de las aplicaciones. La razn es evidente: las aplicaciones eluden
con cierta facilidad los firewall basado/s en puerto tradicionales. Y
las ventajas tambin: los trabajadores utilizan cualquier aplicacin
que les facilite su trabajo, y no se paran a pensar en los riesgos
potenciales que supone para la empresa. Casi todos los fabricantes de
sistemas de seguridad para redes coinciden en sealar que el control
de las aplicaciones es cada vez ms importante. Aunque como bien
dice Gartner, un firewall de nueva generacin es un dispositivo nuevo,
distinto y orientado a la empresa, muchos fabricantes de sistemas de
seguridad insisten en destacar que los firewall de nueva generacin
son un conjunto de varias funciones(UTM, IPS...). La mayora de los
fabricantes tradicionales logran mayor visibilidad y control sobre las
aplicaciones al usar un nmero limitado de firmas autorizadas en su
IPS u otra base de datos externa. Pero se trata siempre de soluciones
mal integradas en un sistema que todava se basa en tecnologa de
bloqueo basado en puerto y carece de tecnologa de nueva generacin.
En cualquier caso, estos fabricantes han errado al enfocar el problema,
pues no se trata de bloquear aplicaciones, sino de activarlas con
seguridad. Por desgracia, ofrecen una gran variedad de productos sin
conocer realmente el uso que hacen sus clientes de las aplicaciones,
por lo que difcilmente pueden garantizar la seguridad de las mismas.
Est claro que un firewall de nueva generacin es un tipo de producto
diferente y revolucionario, y es tal es inters que ha generado entre
las empresas, que los fabricantes de productos tradicionales intentan
ahora atraer la atencin de los departamentos de seguridad ofreciendo
productos que se parecen a un firewall de nueva generacin.
La pregunta ms importante que ha de hacer una empresa

interesada en adquirir un firewall de nueva generacin es: servir
esta nueva tecnologa para que el departamento de seguridad
pueda activar con seguridad las aplicaciones que beneficien a la
empresa? Y en mayor profundidad:
n
Aumentar la visibilidad del trfico de las aplicaciones?

Ofrece ms opciones de supervisin aparte de
permitir/denegar acceso?
Ayuda en la prevencin de amenazas?
No obliga a elegir entre rendimiento o seguridad?
Servir para reducir costes?
Facilitar las tareas de administracin?
Si la respuesta a estas preguntas es s, entonces merece la pena

dar el paso.
Existen diferencias sustanciales entre un firewall de nueva
generacin y un dispositivo de tipo UTM, tanto en trminos
corporativos como en trminos de diseo y seguridad. Estas
diferencias traen consigo cambios notables en cuanto a las
funciones/caractersticas, operaciones y rendimiento, las cuales
figuran a continuacin en el apartado 10 funciones que debe tener
su nuevo firewall.
Definicin: firewall de nueva generacin

Cinco requisitos fundamentales
1. Identificacin de las aplicaciones cualquiera que sea el puerto,
protocolo, tctica evasiva o SSL
2. Identificacin de los usuarios cualquiera que sea la direccin IP
3. Proteccin en tiempo real frente a amenazas incrustadas
en aplicaciones
4. Visibilidad ptima y supervisin del acceso y la funcionalidad de
las aplicaciones
5. Instalacin multi-gigabit en lnea sin mermas de rendimiento
PALO ALTO NETWORKS

Factores a tener en cuenta

sobre el modelo de seguridad y
la arquitectura. El trfico se
clasifica mejor en el firewall
Para el diseo del firewall de nueva generacin, los fabricantes han
optado por uno de los siguientes planteamientos arquitectura:
1. Convertir el firewall en el primer motor de identificacin y
clasificacin de las aplicaciones.
2. Registrar las firmas de las aplicaciones en un motor IPS o
similar e incluir este en el firewall basado en puerto.
Ambos modelos sirven para el reconocimiento de aplicaciones,
pero con diferentes grados xito, usabilidad y eficacia. Y ambos
suponen la asuncin por omisin de una poltica de seguridad:
positiva (denegar acceso) o negativa (permitir acceso).
Los firewall funcionan con el modelo positivo de seguridad, tambin
llamado de negacin por omisin. Este consiste en que los
administradores disean polticas en las que se permite el trfico
de determinadas aplicaciones (permitir WebEx, por ejemplo) y
se bloquea o deniega el acceso de todo lo dems. Las polticas
negativas (bloquear Limewire, por ejemplo) se pueden emplear
con este modelo, pero teniendo en cuenta que el final de cualquier
poltica de modelo positivo dice, denegar todo lo dems. Como
consecuencia de esto, todo el trfico ha de ser clasificado antes
de permitir o negar accesos, lo que significa que la visibilidad es
total para la activacin segura de las aplicaciones. Otro resultado
que conlleva este modelo es que todo el trfico desconocido es
bloqueado premeditadamente. En otras palabras, el mejor firewall
PALO ALTO NETWORKS
de nueva generacin es un firewall.

La mayora de los sistemas de prevencin de intrusos (IPS)
funcionan con el modelo negativo de seguridad, que permite el
acceso por omisin, lo que significa que se identifica y se bloquea
el resto del trfico que circula (amenazas generalmente). Lo
que estn haciendo los fabricantes de sistemas tradicionales es
aadir la firma de aplicaciones a un motor de tipo IPS y volcarlo
despus sobre un firewall basado en puerto tradicional, con lo cual
se obtiene un sistema de prevencin de aplicaciones. El control
de las aplicaciones se realiza a partir de un modelo negativo; es
decir, el control no se lleva a cabo desde el firewall. Consecuencia:
solamente se logra ver aquello que se busca, y se permite el acceso
del trfico desconocido.
El resto del presente documento se centra en tres apartados
diferenciados. En el primero se describen las 10 funciones que
debe tener su nuevo firewall, las cuales actan como prueba de la
importancia de que la arquitectura y el modelo de control descritos
faciliten la identificacin y la activacin segura de las aplicaciones
en el firewall. Los otros dos apartados comparten el mismo
formato y describen cmo usar esas 10 funciones para elegir el
fabricante mediante el proceso de solicitud de presupuesto (RFP) y
para evaluar fsicamente la solucin.

10 funciones que debe

tener su nuevo firewall
1.
Los criterios para la eleccin de un firewall se engloban en tres
reas bsicas: funciones de seguridad, operaciones y rendimiento.
Los elementos funcionales de seguridad se corresponden
con la eficacia de los controles de seguridad y la capacidad de
las empresas para gestionar el riesgo inherente al trfico de
aplicaciones por la red. En lo que respecta a las operaciones, la
cuestin es en qu consiste la poltica de aplicaciones y cmo se
gestiona. La diferencia de rendimiento es muy simple, y se centra
en si el firewall realiza las funciones apropiadas a la velocidad
adecuada. Aunque cada empresa tiene sus propias prioridades en
cada una de estas reas, las 10 funciones que debe tener su nuevo
firewall son:
1. Identificacin y control de las aplicaciones en cualquier puerto

2. Identificacin y control de aplicaciones evasivas
3. Descifrado de SSL saliente
4. Identificacin y control de las aplicaciones que comparten un
misma conexin
5. Control de las funciones de cada aplicacin
6. Administracin del trfico segn polticas
7. Escaneado en busca de virus y malware en las aplicaciones admitidas
8. Visibilidad y control de las aplicaciones para usuarios remotos
9. Hacer ms sencilla la poltica de seguridad aun aadiendo
visibilidad de aplicaciones
10. Igual nivel de rendimiento con el control de aplicaciones activado
PALO ALTO NETWORKS
Su prximo firewall ha de servir para identificar y controlar

las aplicaciones en cualquier puerto y no solo en los estndar
(incluidas las aplicaciones que usan HTTP y otros protocolos).
Caso prctico: los desarrolladores de aplicaciones ya no se limitan
a los puertos/protocolos/aplicaciones estndar. Cada vez hay ms
aplicaciones capaces de operar en puertos alternativos o de saltar
de uno a otro (aplicaciones de mensajera instantnea, intercambio
de archivos p2p, VOIP). Adems, los usuarios ya saben cmo cambiar
de puerto una aplicacin (MS RDP, SSH). Con el fin de garantizar el
cumplimiento de la normativa especfica sobre aplicaciones, en la que
el puerto va perdiendo importancia, su siguiente firewall ha de partir
de la base en la que cualquier aplicacin puede usar cualquier puerto.
Este es uno de los cambios fundamentales que se han producido en
la tecnologa y que han provocado la aparicin del firewall de nueva
generacin. De hecho, este cambio es responsable del declive del
firewall basado en puerto tradicional, pues pone de manifiesto la
incapacidad para resolver el problema con un modelo de control
negativo; puesto que ahora las aplicaciones se pueden desviar a otro
puerto, un producto que utilice el modelo negativo tendra que filtrar
todas las firmas en docenas de miles de puertos.
Requisitos: simplemente se ha de tener claro que todas las aplicaciones
pueden utilizar todos los puertos, y que el siguiente firewall que
adquiera deber servir para clasificar el trfico, por aplicaciones, en
todos los puertos y en todo momento. Esta clasificacin permanente
es el requisito general de ahora en adelante, pues es la diferencia
fundamental con respecto a los controles basado/s en puerto y la
manera de acabar con las amenazas tradicionales.
2.
Su prximo firewall ha de servir para identificar y controlar

aplicaciones evasivas: proxys y aplicaciones encriptadas y sin
VPN de acceso remoto.
Caso prctico: la mayora de las empresas tienen su propia poltica de
seguridad y sus propios controles para garantizar el cumplimiento
de la misma. Los proxys y las aplicaciones encriptadas y de acceso
remoto se usan expresamente para eludir controles de seguridad
a travs de firewall, filtrado por URL, IPS y puertas web seguras.
Sin la capacidad para controlar estas aplicaciones evasivas, la
empresa es incapaz de garantizar el cumplimiento de su poltica
de seguridad, y queda de nuevo expuesta a las amenazas que crea
controladas. En otras palabras, las aplicaciones de este tipo no son
iguales entre s: las aplicaciones de acceso a distancia tienen usos
legtimos, al igual que algunas aplicaciones de tnel cifrado.

En cambio, los proxys annimos externos que se comunican a travs

de SSL en puertos elegidos aleatoriamente, o las aplicaciones
como Ultrasurf y Tor, tienen un nico objetivo: evadir los controles
de seguridad.
Requisitos: existen varios tipos de aplicaciones de evasin, cada
uno con sus respectivas tcnicas. Existen proxys externos, tanto
pblicos como privados (ver lista completa en proxy.org), que se
comunican a travs de HTTP y HTTPS. Los proxys privados se
suelen configurar con direcciones IP desclasificadas (ordenadores
domsticos, por ejemplo) con aplicaciones como PHProxy o
CGIProxy. Las aplicaciones para el acceso a distancia como MS RDP
o GoToMyPC pueden tener uso legtimo, pero dado el riesgo que
conlleva, conviene gestionarlas igualmente. El resto de aplicaciones
evasivas (Ultrasurf, Tor, Hamachi, etc.) carecen de uso comercial.
Cualquiera que sea la poltica de su empresa, el prximo firewall ha
de conocer las tcnicas precisas para tratar este tipo de aplicaciones
en cualquier puerto, protocolo, cifrado o dems tcticas evasivas.
Una reflexin ms: las aplicaciones con capacidad de evasin se
suelen actualizar peridicamente para evitar su deteccin, por lo
que no solamente se ha de identificar este tipo de aplicaciones, sino
tambin conocer con qu periodicidad se actualiza y se configura la
inteligencia de las mismas.
3.
Su prximo firewall ha de servir para descifrar canales SSL de
salida.
Caso prctico: Hoy, las aplicaciones que emplean SSL en cualquiera
de sus variantes representan el 25% del trfico que circula por las
redes corporativas, segn indica el Estudio sobre usos y riesgos
de aplicaciones (mayo 2011). En algunos sectores, como en el de
servicios financieros, ese porcentaje sube hasta el 50%. Con el uso
cada vez ms extendido de HTTPS en las aplicaciones de mayor
riesgo (Gmail, Facebook), y la facilidad de los usuarios para forzar
el SSL en numerosos sitios web, los departamentos de seguridad
se encuentran con un ngulo muerto en el que se ven incapaces
de descifrar, clasificar, controlar ni escanear el trfico encriptado
con SSL que circula por su red. Un firewall de nueva generacin
debe ser suficientemente flexible para que determinados tipos
de trfico encriptado con SSL (servicios financieros, servicios de
salud) puedan circular libremente mientras otros tipos de trfico
sean sometidos a todos los controles que contemple su poltica de
seguridad.
PALO ALTO NETWORKS
Requisitos: la capacidad para descifrar el trfico SSL de salida es

fundamental; no solo por el porcentaje que representa, sino tambin
porque facilita otras funciones bsicas que quedaran inservibles
sin esa cualidad. Las funciones bsicas y el equipamiento que
debe incluir un firewall son el reconocimiento y descifrado de SSL
en cualquier puerto, control de dicho descifrado, y el hardware y
software que se necesitan para descifrar el SSL en docenas de
miles de conexiones simultneamente sin merma al rendimiento
de la red. Otros requisitos complementarios incluyen el descifrado
e inspeccin del trfico SSL de entrada, y la identificacin y control
del uso de SSH, tanto para el reenvo por puertos (local, a distancia,
x11) como para uso en nativo (SCP, SFTP).
4.
Su prximo firewall ha de identificar y controlar las aplicaciones
que comparten la misma conexin.
Caso prctico: las aplicaciones comparten las sesiones. Para
asegurarse de que los usuarios utilizan constantemente un
nicoandn para acceder a las aplicaciones, ya sea Google,
Facebook, Microsoft, Salesforce.com, LinkedIn o Yahoo, los
desarrolladores de aplicaciones integran diversas aplicaciones con
diversos perfiles de riesgo y valor comercial. Por ejemplo, cuando
se usa Gmail, se puede pasar a Google Talk, que es una aplicacin
con caractersticas completamente diferentes, as que su prximo
firewall ha de ser capaz de reconocer ese paso y activar la poltica
de seguridad correspondiente en cada caso.
Requisitos: la clasificacin simple de la plataforma o el sitio web
de la aplicacin no sirve. En otras palabras, no conviene tomar
atajos, pues la clasificacin esttica no sirve para ordenar las
aplicaciones que comparten una misma sesin. Se ha de evaluar
el trfico constantemente para comprender el funcionamiento de
cada aplicacin y los cambios que se producen (vase el punto
5) al pasar de una a otra durante una misma sesin, y aplicar los
controles correspondientes. Por ejemplo, en el ejemplo anterior
con Gmail/Google Talk: por omisin, Gmail utiliza HTTPS (vase el
punto 3), as que se ha de descifrar todo el trfico continuamente,
pues el usuario puede abrir en cualquier momento una funcin
paralela que tenga sus propias directrices en la poltica de
seguridad corporativa.

Cmo dar permisos con seguridad
Para no correr riesgos al permitir el uso de

ciertas tecnologasy aplicaciones para los
fines comerciales a las que estn destinadas,
los departamentos de seguridad han de
adecuar la poltica de seguridad que gobierna
su uso, pero tambin los controles que
emplean para ejercer la vigilancia.
5.
Su prximo firewall ha de servir para controlar cada una de las
funciones de cada aplicacin (es decir, SharePoint Admin vs.
SharePoint Docs).
el trfico desconocido (se logra inmunidad ante lo desconocido),

mientras que con un modelo negativo se da acceso a todo el trfico
desconocido (se muestra vulnerabilidad).
Caso prctico: son muchas las aplicaciones que ofrecen funciones

muy diferentes entre s y que suponen distintos riesgos y
beneficios, tanto para el usuario como para la empresa. Buenos
ejemplos de estas aplicaciones son: WebEx y su funcin WebEx
Desktop Sharing; Yahoo Instant Messaging y la funcin para la
transferencia de archivos; y la funcin de Gmail para el envo de
archivos adjuntos. Tanto en entornos regulados como en aquellas
empresas que dependen directamente de la propiedad intelectual,
esto supone un problema grave.
Por ejemplo, muchas botnet usan el puerto 53 (DNS) para

comunicarse con sus servidores de control. Si su prximo firewall
no es capaz de ver y controlar todo el trfico desconocido, estar
dejando va libre a la entrada de bots.
Requisitos: clasificacin continua y estudio pormenorizado de

cada aplicacin. Su prximo firewall ha de evaluar continuamente
el trfico en busca de cambios; si aparece una nueva funcin dentro
de una sesin, el firewall ha de detectarla y examinarla de acuerdo
a la poltica de seguridad. Conocer bien las distintas funciones de
cada aplicacin, as como los distintos riesgos inherentes a cada
una de ellas, es tambin fundamental. Desafortunadamente,
muchos firewall hoy en da clasifican el trfico una vez y, a partir
de ese momento, le dejan va libre (es decir, no vuelven a revisarlo)
para que no merme el rendimiento de la red.
6.
Su prximo firewall ha de manejar el trfico desconocido siempre

de acuerdo a su poltica de seguridad.
Caso prctico: siempre va a circular trfico desconocido y este
siempre va a suponer un riesgo considerable para la empresa.
Existen tres puntos fundamentales a cumplir para aliviar el riesgo
que entraa el trfico desconocido, y consisten en limitarlo al
mximo, caracterizar de forma sencilla las aplicaciones a medida
(de forma que se identifiquen como trfico conocido en la poltica
de seguridad, y lograr una visibilidad y un control absoluto del
trfico que permanece como desconocido.
Requisitos: en primer lugar, y por omisin, su prximo firewall ha de
intentar clasificar todo el trfico que circula por la red, y aqu cobra
importancia el apartado anterior sobre arquitectura y seguridad
de la red. En primer lugar, los modelos positivos (prohibicin por
omisin) lo clasifican todo, mientras que los modelos negativos
(permiso por omisin) solo clasifican aquello que se les indica.
En segundo lugar, cuando se trata de aplicaciones desarrolladas
a medida, se ha de encontrar una forma de desarrollar tambin
una identificacin a medida, de forma que el trfico que genere
se reconozca como conocido. Por ltimo, y volviendo al modelo
de seguridad, con un modelo positivo se deniega el acceso a todo
PALO ALTO NETWORKS
7.
Su prximo firewall ha de escanear la red en busca de amenazas

implcitas a las aplicaciones de intercambio (SharePoint, Box.net,
Microsoft Office Live).
Caso prctico: las empresas siguen adoptando aplicaciones de
intercambio alojadas fuera de su entorno local. Ya sea SharePoint,
Box.net, Google Docs o Microsoft Office
Live, o incluso una aplicacin de la extranet alojada en el servidor
de un socio, las empresas estn obligadas a usar aplicaciones de
intercambio que entraan un riesgo notable para la red corporativa.
Dentro de estas aplicaciones de intercambio se almacenan multitud
de documentos infectados junto a multitud de documentos sensibles
(datos personales de los usuarios, por ejemplo). Por otro lado,
algunas de estas aplicaciones (SharePoint, por ejemplo) funcionan
a base de tecnologas de apoyo que suelen ser objeto de numerosos
ataques (IIS, SQL Server). Bloquear este tipo de aplicaciones no es
la solucin, pero tampoco lo es permitir ciegamente el uso de las
mismas dado el riesgo (potencial) que suponen.
Requisitos: para permitir el uso de este tipo de aplicaciones se
ha de realizar antes una revisin bien a fondo de las mismas en
busca de amenazas. Se trata de aplicaciones que se comunican
a travs de numerosos protocolos (SharePoint usa CIFS y HTTPS,
por ejemplo) y, por tanto, precisan de una poltica que vaya ms
all del simple bloqueo. En primer lugar se han de identificar las
aplicaciones (cualquiera que sea el puerto o el mtodo de cifrado) y,
a continuacin, permitir el acceso y revisarlas en busca de posibles
riesgos y amenazas (virus, malware, spyware o informacin
sensible, legislada o confidencial).
8.
Su prximo firewall ha de facilitar la misma visibilidad y control

tanto para los usuarios presentes en la oficina como para los que
acceden a distancia.
Caso prctico: cada vez son ms los usuarios que acceden a a
distancia a sus redes corporativas. Ya sea desde un caf, desde
casa o desde una tienda, los usuarios se conectan a travs de WiFi

o cualquier otro medio disponible. Dondequiera que se encuentre

el usuario, o incluso la aplicacin que est utilizando, se han de
aplicar los mismos estndares de vigilancia. Si su prximo firewall
facilita una buena visibilidad y control sobre el trfico que circula
por dentro de las cuatro paredes de la oficina, pero no sobre el
exterior, le perder el rastro a gran parte de los riesgos y amenazas.
Requisitos: la teora es muy sencilla, pues se reduce a que su prximo
firewall ha de facilitar la misma visibilidad y control sobre todo el
trfico con independencia de dnde se encuentre el usuario, dentro o
fuera de la oficina. Aunque esto no significa que todas las empresas
vayan a compartir la misma poltica de seguridad en ambos casos:
a algunas les interesar que sus empleados tengan acceso a Skype
cuando estn de viaje, pero no desde la oficina, mientras a otras quiz
les convenga bloquear cualquier descarga desde salesforce.com
a cualquier usuario que se encuentre fuera de la oficina y no tenga
activada la funcin de cifrado para disco duro. Su prximo firewall ha
de ser capaz de hacer esto sin provocar una latencia excesiva para el
usuario, ni demasiado trabajo y gasto para la empresa.
9.
Su prximo firewall ha de facilitar la seguridad de la red, no

complicarla aadiendo controles.
Caso prctico: muchas empresas se complican la vida al incorporar
cada vez ms polticas y fuentes de informacin que suponen cada
vez ms trabajo para los ya de por s saturados equipos y procesos
de seguridad. En otras palabras: si un equipo apenas da abasto con
las tareas que ya tiene asignadas, no sirve de nada seguir dndole
tareas, polticas e informacin. Por otro lado, cuanto ms distribuida
est la poltica de seguridad (por ejemplo, el firewall basado en
puerto controla el trfico del puerto 80, IPS se encarga de buscar/
bloquear amenazas, el control de acceso a la navegacin filtra las
URL), ms difcil resultar de administrar. Qu hay que hacer
para permitir el uso de WebEx? Cmo se resuelve un conflicto
de polticas entre distintos dispositivos? Si tenemos en cuenta que
la poltica que regula una instalacin tpica de firewall basado en
puerto cuenta con miles de reglas, al aadir las firmas de miles
de aplicaciones a docenas de miles de puertos (vase el punto 3)
solamente se lograr complicar la administracin sobremanera.
Requisitos: la poltica del firewall ha de girar en torno a los usuarios
y las aplicaciones. El anlisis consecuente de contenidos se puede
realizar sobre el trfico permitido, pero el control bsico de accesos
ha de basarse en elementos relevantes (es decir, en las aplicaciones
y en los usuarios y grupos). El efecto simplificador que tiene esta
variante es notable, pues las polticas de firewall basadas en puerto
PALO ALTO NETWORKS
y direccin IP, con el consiguiente anlisis de cada aplicacin, hara

las cosas an ms complicadas de lo que estn.
10.
Su prximo firewall ha de rendir al mismo nivel al activar el

control total para aplicaciones.
Caso prctico: muchas empresas estn obligadas a elegir entre
rendimiento y seguridad para sus redes, pues suele ocurrir que,
al activar las funciones de seguridad en el entorno de la red, el
rendimiento y la capacidad de sta caen notablemente. Si su
prximo firewall est fabricado correctamente, no ser necesario
sacrificar ni la una ni el otro.
Requisitos: en este caso tambin es evidente la importancia de la
arquitectura, aunque de otra forma. Al complementar un firewall
basado en puerto tradicional con dems funciones de seguridad
de otras tecnologas, inevitablemente se producen redundancias
(capas, motores de revisin, polticas) que se traducen en prdidas
de rendimiento. En lo que respecta al software, el firewall ha de estar
diseado para realizar todas las funciones por s solo. Adems, dado
el nivel exigible para realizar tareas intensivas (como la identificacin
de las aplicaciones, por ejemplo) en volmenes de trfico denso, y la
escasa tolerancia a la latencia que se asocia a las infraestructuras
ms crticas, su prximo firewall tambin ha de resultar autnomo
en lo que respecta al hardware; es decir, debe ofrecer procesamiento
exclusivo para redes, seguridad y escaneado.
Un firewall debe facilitar las aplicaciones y el negocio.
Los usuarios no cesan de adoptar nuevas aplicaciones y tecnologas;
as como los riesgos y amenazas asociadas a las mismas. Algunas
empresas no pueden permitirse bloquear el acceso a las nuevas
tecnologas, pues ello afectara directamente a su crecimiento
comercial. Por este motivo, garantizar la seguridad a la hora de
adoptar nuevas tecnologas es fundamental, pero para ello los equipos
de seguridad han de elaborar las polticas adecuadas y establecer los
controles de seguridad oportunos para velar por dichas polticas.
En Las10 funciones que debe tener su prximo firewall se
describen los requisitos fundamentales que se han de cumplir
en la red de la empresa para poder garantizar la seguridad en el
uso de las aplicaciones. Solo queda convertir esos requisitos en
medidas a tomar: seleccionar el fabricante adecuado mediante
un proceso RFP, evaluar las alternativas y comprar e instalar el
firewall de nueva generacin apropiado.

Uso del proceso RFP para elegir

un firewall de nueva generacin
Por lo general, para elegir un firewall o cualquier otro componente
para la infraestructura de seguridad de la red, las empresas
recurren a un RFP para asegurarse de que se cumplen los requisitos
especficos en cada caso. Segn Gartner, las condiciones actuales
de amenazas tan variables como los propios negocios obligarn
a los responsables de seguridad a buscar las funciones de nueva
generacin en su prximo ciclo de renovacin. En la misma
medida en la que crecen las posibilidades de instalacin deberan
crecer los criterios de seleccin RFP para dar cabida a la visibilidad
y el control que permiten las alternativas de nueva generacin. En
el apartado anterior vimos las 10 funciones que debe reunir su
prximo firewall. En esta veremos cmo convertir esos requisitos
en herramientas que nos sirvan para identificar y elegir un firewall
de nueva generacin.
Factores a tener en cuenta sobre la arquitectura del firewall y el
modelo de control
Son muchos los factores a tener en cuenta a la hora de evaluar la
eficacia con la que un fabricante puede dar ms visibilidad y control
a un firewall. La arquitectura del firewall, concretamente el motor
de clasificacin, es la que dictamina la efectividad con la que se
identifican y se controlan las aplicaciones, no solo los puertos y
los protocolos. Como ya dijimos antes, lo primero para lo que
debe servir un firewall de cualquier tipo es para determinar con
precisin el tipo de trfico que circula por la red y usarlo como base
sobre la cual tomar todas las decisiones sobre seguridad.
En este modelo, las polticas de firewall suelen ser de control positivo
(se bloquea toda aquella aplicacin que no haya sido autorizada
previamente). Con un modelo positivo se pueden controlar y habilitar
las aplicaciones, lo cual es fundamental para satisfacer las actuales
necesidades de conectividad permanente. La derivacin hacia
elementos tipo IPS de bsqueda de aplicaciones implica el uso del
modelo negativo (se habilita toda aquella aplicacin que el IPS no
haya bloqueado previamente). Con un modelo negativo lo nico que
se puede hacer es bloquear las aplicaciones. Las diferencias entre
un modelo y otro son parecidas a lo que ocurre cuando se enciende
la luz en una habitacin para ver y controlar todo (positivo) o se usa
una linterna para ver y controlar solamente aquello que se alumbra
(negativo). Este complemento de identificacin y bloqueo del trfico
nocivo no es ms que un parche que se ha diseado para observar
nicamente una porcin del trfico para no mermar el rendimiento
de la red, y adems no basta para abarcar la enorme cantidad de
amenazas y aplicaciones disponibles.
PALO ALTO NETWORKS
Visibilidad o control de las aplicaciones

El proceso RFP ha de facilitar las pautas sobre las que la arquitectura
del firewall facilitar la visibilidad y el control del amplio espectro de
aplicaciones que se usan en la empresa, sean para uso profesional
o personal, as como de todos los protocolos cualquiera que sea el
puerto, cifrado SSL o dems mtodos evasivos que se empleen. A
continuacin figuran las preguntas y fundamentos propios de un
RFP sobre firewall de nueva generacin.
Muchas aplicaciones eluden los controles de seguridad por
medio de puertos alternativos, saltando de uno a otro, o a
base de configuraciones trucadas. Conviene determinar si
la identificacin de las aplicaciones se va a realizar o no en
funcin de los puertos de las aplicaciones. Dependen todas las
firmas de un mismo puerto o nmero de puertos, o se aplican
automticamente a todos los puertos y en todo momento?
Al alcanzar el dispositivo por primera vez, se clasifica el trfico

en funcin del puerto (si se trata del puerto 80, entonces es
HTTP) o la aplicacin (esto es Gmail)?
Se ha de hacer una descripcin pormenorizada de cmo el

firewall va a identificar las aplicaciones. Solamente en funcin
de las firmas o se van a usar otros elementos tales como
descodificadores o mtodos heursticos?
Qu mecanismos se emplean para detectar aplicaciones

evasivas del tipo UltraSurf o P2P cifrado?
La identificacin de las aplicaciones, se realiza directamente

en el firewall o mediante un proceso secundario posterior a la
clasificacin por puerto?
Cules son las tres ventajas principales del enfoque de arquitectura?
Se lleva un seguimiento del estado de cada aplicacin? Y en

ese caso, cmo se emplea para garantizar el control? Dar tres
ejemplos de cmo se usa el estado de las aplicaciones en el
control de la red.
Se basa la poltica de seguridad en la identidad de las

aplicaciones, o es el control de las aplicaciones un elemento
secundario?
Con qu frecuencia se actualiza la base de datos de

aplicaciones? Se actualiza de forma dinmica o cada vez que
se reinicia el sistema?

Cmo facilitar el negocio

Dada la necesidad actual de estar permanentemente conectados, el control de las
aplicaciones no solo consiste en permitir o
denegar su uso, sino en averiguar cmo habilitarlas de manera que mejoren el negocio.
Cmo controlar aplicaciones evasivas, SSL y SSH

Son muchas las aplicaciones que sirven para eludir los controles
de seguridad. Algunas, como los proxys externos y los tneles
cifrados, estn diseadas especficamente para lograr dicho
objetivo. Otras, como las que dan acceso al escritorio a distancia,
han evolucionado hasta quedar al alcance de usuarios ajenos a
los departamentos de IT y seguridad para eludir los controles de
seguridad.
el negocio. Muchas plataformas (Google, Facebook, Microsoft)

habilitan diversas aplicaciones cuando el usuario se registra, por
lo que es imprescindible determinar de qu forma evala cada
producto el estado de las aplicaciones en busca de cambios y,
ms importante an, si la clasificacin se realiza correctamente.
A continuacin figuran las preguntas y fundamentos propios de un
Descripcin de cmo la jerarquizacin de la base de datos (plana,
multinivel y dems) expone las funciones dentro de la aplicacin
maestra para facilitar la habilitacin granular.
Como medida de proteccin, SSL se est convirtiendo en el tipo de

configuracin estndar para los desarrolladores, pero el problema
surge cuando se usa SSL para enmascarar amenazas de entrada
o transferencias de salida. En cualquiera de los dos casos, es
importante determinar de qu forma gestionan los fabricantes
potenciales este tipo de aplicaciones. Los datos obtenidos en
nuestro Informe sobre uso y riesgos de aplicaciones (mayo 2011)
muestran que el 25% de las aplicaciones analizadas pueden
funcionar en SSL de alguna manera u otra. A continuacin figuran
las preguntas y fundamentos propios de un RFP sobre firewall de
nueva generacin.
Descripcin del proceso mediante el cual se identifican las
aplicaciones y los protocolos en todos los puertos, no solo en los
estndar.
Qu mecanismos se emplean para identificar las aplicaciones

eminentemente evasivas como UltraSurf o Tor?
Se realiza la clasificacin del trfico antes de la identificacin

de las aplicaciones? En ese caso, describir de qu forma, tras
identificarse la aplicacin, se revisa el estado de la misma y cmo
se usa.
Descripcin de los niveles de control que se pueden ejercer sobre

cada aplicacin y sus correspondientes funciones:
Permitir:
n Permitir en funcin de la aplicacin, sus funciones, categora,

tecnologa y factor de riesgo;
Permitir segn calendario, usuario, grupo, puerto;
Permitir con calidad de servicio;
Denegar.
Descripcin de cmo identifica el producto automticamente

aplicacin evasiva si usa un puerto alternativo.
Qu controles existen para descifrar, inspeccionar y controlar

de forma selectiva las aplicaciones que usan SSL?
Permitir y revisar en busca de virus, spyware, descargas ocultas;
Es posible implantar en la base de datos los controles por puerto

para todas las aplicaciones de manera que el administrador
pueda, por ejemplo, obligar a los desarrolladores de Oracle a
usar un puerto o tipo especfico?
Hay posibilidad de realizar identificaciones, descifrados e

inspecciones bidireccionales?
La funcin para descifrar SSL, se incluye de serie o tiene algn

coste adicional? Se necesita algn dispositivo especfico?
SSH es la herramienta ms utilizada por los empleados de IT y

servicio tcnico para acceder a los equipos a distancia.
Tiene funciones de control SSH? En qu grado?
Cmo habilitar aplicaciones desde el manejo de la poltica

Dada la necesidad actual de estar permanentemente conectados,
el control de las aplicaciones no solo consiste en permitir o denegar
su uso, sino en averiguar cmo habilitarlas de manera que mejoren
PALO ALTO NETWORKS
Listado de los repositorios con los que cuenta la empresa para el

control de usuarios.
Dispone de API para la integracin alternativa o a medida de

los repositorios?
Descripcin de cmo se implantan los controles segn polticas

para cada usuario o grupo en entornos Terminal Server.

Administracin sistemtica de las aplicaciones desconocidas

En las redes siempre va a circular una porcin de trfico desconocido.
Este puede provenir de alguna aplicacin interna hecha a medida,
pero tambin de aplicaciones comerciales sin identificar o, peor an,
de algn programa nocivo. La clave para evaluar y determinar a travs
de un RFP el trfico desconocido pasa por averiguar de qu forma el
firewall permite a los usuarios administrar sistemticamente dicho
trfico, pues en l radican los riesgos de seguridad y comerciales.
Especificar de qu forma se identifica y se administra el
trfico desconocido.
Qu acciones se pueden realizar (permitir, denegar,

inspeccionar, dar forma, etc.) sobre el trfico desconocido?
Descripcin de los mtodos ms recomendados para

administrar el trfico de aplicaciones desconocido?
Cmo se previenen las amenazas que circulan por puertos

alternativos?
Los datos de identidad de las aplicaciones se encuentran

integrados por medio de tecnologas preventivas? Si es as,
describir el grado de integracin.
Descripcin de las disciplinas preventivas (IPS, AV, etc.) se

aplican en funcin del puerto y cules
en funcin de la aplicacin.
Puede el motor de prevencin escanear contenido comprimido
(ZIP o GZIP)?
Puede el motor de prevencin escanear contenido cifrado

(SSL)?
Descripcin de cmo se controlan las vulnerabilidades y el

malware desconocidos.
Se pueden crear firmas de aplicaciones a medida?
Cul es el proceso a seguir para enviar solicitudes de

renovacin o actualizacin de firmas?
Tras enviarse una aplicacin, cul es el tiempo de

respuesta (SLA)?
Qu mecanismos de respuesta existen en el supuesto en el

que se identifique el trfico desconocido como cdigo nocivo?
Las amenazas van asociadas a numerosas aplicaciones tanto
en forma de vector infeccioso como de comando en dispositivos
infectados. Por este motivo, los analistas recomiendan una y
otra vez que las empresas consoliden sus tecnologas IPS y de
prevencin de riesgos como parte del firewall de nueva generacin.
Descripcin de todos los mecanismos de prevencin de
amenazas en uso (IPS, anti-malware, filtro URL, prevencin de
prdida de datos, etc.).
Descripcin del proceso de investigacin y desarrollo del

mecanismo preventivo.
Listado de las amenazas identificadas en los ltimos 12 meses.

Los usuarios de redes modernas dan por hecha la posibilidad
de conectarse y trabajar desde cualquier lugar ms all del
permetro tradicional de las mismas. Es preciso garantizar la
seguridad de estos usuarios, por lo que hay que determinar las
funciones disponibles para lograrlo y la manera en la que difieren
de las funciones propias de la red fsica. A continuacin figuran
las preguntas y fundamentos propios de un RFP sobre firewall de
nueva generacin.
Descripcin al detalle de las opciones disponibles para proteger
los accesos a distancia e indicar todos los componentes que se
necesitan.
Al incluir un componente cliente, cmo se distribuye?
Cuntos usuarios se pueden proteger simultneamente?
Se trata de un producto transparente para el cliente?
Qu tipo de licencias tienen dichos mecanismos?
Descripcin de cmo se garantiza el rendimiento para los

usuarios a distancia.
Descripcin de los mecanismos de prevencin desarrollados de

forma interna y los obtenidos a travs de terceros.
PALO ALTO NETWORKS

El rendimiento importa
Lo ms importante es determinar el rendimiento de la red cuando estn habilitadas
todas las funciones de seguridad.
Descripcin de cmo se implanta el control para los usuarios a

distancia (en la poltica del firewall, en una poltica aparte, etc.).
Listado de todas las funciones y medios de proteccin

disponibles (SSL, control de aplicaciones, IPS, etc.).
Administracin
La administracin juega un papel fundamental a la hora de
garantizar la seguridad de una red. Uno de los objetivos que se
han de lograr al cambiar a un firewall de nueva generacin es la
simplificacin de los mecanismos de seguridad, lo cual solo es
posible si se aumenta la visibilidad y el control de las aplicaciones.
Se necesita un servidor o dispositivo extra para la
administracin del firewall?
Descripcin de las opciones de administracin disponibles: CLI,

navegador, cliente pesado, servidor centralizado.
Descripcin de las herramientas de visibilidad, adems del

visor de accesos, disponibles para ofrecer una imagen ntida de
todo el trfico que circula por la red.
Estas herramientas de visibilidad, se incluyen de serie o

tienen algn coste adicional?
Estas herramientas de visibilidad, estn integradas o se
incluyen en otro dispositivo aparte?
Descripcin al detalle de las tareas y los pasos a tomar para

empezar a ver el trfico de aplicaciones en la red.
Es posible habilitar los controles de la poltica de aplicaciones,

los de la poltica de firewall y las funciones de prevencin de
amenazas, mediante una nica regla en el editor?
Descripcin de las funciones de informe y registro. Estn

integradas? En ese caso, cul es la merma de rendimiento de
la red al habilitar determinadas aplicaciones como BitTorrent.
SharePoint y MS-Exchange.
La funcin de anlisis total, se incluye de serie o tiene

algn coste/licencia/dispositivo adicional?
Hay herramientas de informe disponibles para comprender el

uso de la red y resaltar los cambios que se produzcan?
Se incluye de serie o tiene algn coste/licencia/dispositivo

adicional?
PALO ALTO NETWORKS
Descripcin de cmo se garantiza la administracin de accesos

en los momentos de mayor densidad de trfico.
Descripcin de la relacin entre los dispositivos individuales y la
administracin centralizada de varios dispositivos.
Rendimiento
El rendimiento en el mundo real es uno de los aspectos
fundamentales a tener en cuenta antes de instalar un sistema
de seguridad. El control de las aplicaciones requiere de una
inspeccin del trfico ms all del simple firewall basado en
puerto y, por tanto, demanda una mayor capacidad de proceso. Si
se aade la inspeccin en busca de amenazas a las funciones de
seguridad del sistema, solamente se lograr saturar el firewall.
Lo ms importante es determinar el rendimiento de la red cuando
estn habilitadas todas las funciones de seguridad. A continuacin
figuran las preguntas y fundamentos propios de un RFP sobre
firewall de nueva generacin.
Comprobacin del producto: software, servidor OEM o
dispositivo integrado.
Investigacin de la arquitectura del hardware, si se trata de

un dispositivo, para confirmar que se aplica la capacidad de
procesamiento adecuada para la tarea a realizar. El uso de
servidores multifuncionales limita el rendimiento de la red al
habilitar los servicios de seguridad.
Evaluacin del rendimiento en un entorno de pruebas que se

asemeje al entorno definitivo del sistema.
Medicin del caudal.
Medicin del caudal en una mezcla virtual de trfico con el

control de aplicaciones habilitado.

control de aplicaciones habilitado o deshabilitado.

control de aplicaciones y las opciones preventivas habilitadas.
Ms factores a tener en cuenta sobre RFP

Cada empresa tendr sus propios requisitos incluso ms all
de los incluidos en este documento, entre otros: viabilidad de la
empresa, referencias de clientes, facilidad de instalacin. A la
hora de realizar un RFP se recomienda ser muy sistemtico para
lograr de los fabricantes la demostracin de que su oferta contiene
realmente la funcionalidad que anuncia.

Evaluacin formal de los

firewall de nueva generacin
Tras seleccionar mediante un RFP el fabricante o fabricantes
finalistas, se ha de evaluar fsicamente el firewall con la ayuda de
polticas, objetos y patrones de trfico que se asemejen lo ms posible
al entorno real de la empresa. En este apartado se incluyen diversas
recomendaciones sobre cmo evaluar fsicamente un firewall de
nueva generacin. Esta evaluacin servir para comprobar hasta
qu punto se satisfacen los requisitos reales. Tngase en cuenta que
las pruebas que aqu se recomiendan conforman una muestra de las
funciones exigibles a un firewall de nueva generacin, y que actan
como pautas sobre las cuales elaborar una prueba ms meticulosa.
Visibilidad y control de las aplicaciones
El objetivo de este apartado es triple. Por un lado, hay que comprobar
que el dispositivo que se est probando realiza la clasificacin
del trfico segn la identidad de las aplicaciones y no segn el
puerto. En segundo lugar, verificar que el dispositivo clasifica las
aplicaciones cualquiera que sea el puerto por el que entren, incluso
si cambian de puerto o usan puertos alternativos o cualquier otra
tctica evasiva. Por ltimo, conviene asegurarse de que la identidad
de las aplicaciones se convierte en la base de la poltica del firewall.
Identificacin de las aplicaciones
n Confirmacin de que el dispositivo puede identificar diversas
aplicaciones. La mejor forma de comprobarlo es instalando el
firewall en modo transparente en la red.
Confirmacin de que el dispositivo puede identificar el trfico de
aplicaciones tanto con herramientas de visibilidad y anlisis de
alto nivel como con herramientas de bajo nivel.
Evaluacin de los pasos a dar para habilitar la identificacin de

aplicaciones por primera vez. Cunto se tarda en establecer
una poltica y empezar a ver el trfico de aplicaciones? Es
preciso dar algn otro paso para aumentar la visibilidad de las
aplicaciones que cambian de puerto o usan otros alternativos?
La identidad de las aplicaciones ha de ser la base de la poltica

de firewall
n Confirmacin de que al crear la poltica de firewall se toma la
aplicacin y no el puerto como elemento principal. En otras
palabras, requiere la poltica de control de aplicaciones de
alguna norma basada en puertos? Es el controlador de las
aplicaciones un editor de polticas separado?
Creacin de una poltica para permitir algunas aplicaciones
y bloquear otras y verificacin de que las aplicaciones son
controladas como cabe esperar.
Identificacin y control de las aplicaciones evasivas

Confirmacin de que el dispositivo en pruebas es capaz de
identificar y controlar una variedad de aplicaciones que se emplean
para evadir los controles de seguridad. Entre las aplicaciones
de este tipo destacan los proxys externos (PHproxy, Kproxy),
aplicaciones de acceso a distancia (RDP, Logmein!, Teamviewer,
GotomyPC) y tneles cifrados (Tor, Hamachi, UltraSurf).
Confirmacin de que cada uno de las aplicaciones evasivas

resulta correctamente identificada durante la prueba.
Verificacin de que todas las aplicaciones evasivas se pueden

bloquear, incluso si se encuentran en algn puerto alternativo.
Identificacin y control de las aplicaciones con SSL o SSH

Cada vez son ms las aplicaciones que usan el cifrado SSL o
SSH para usos alternativos. Es preciso evaluar la capacidad del
dispositivo para identificar y controlar este tipo de aplicaciones.
Verificacin de que el dispositivo en pruebas es capaz de
identificar y descifrar aplicaciones que emplean cifrado SSL
Confirmacin de que el dispositivo es capaz de identificar, descifrar

y aplicar la poltica de seguridad sobre las aplicaciones descifradas.
Comprobacin de que la aplicacin descifrada es aceptada, recifrada y reenviada.
Identificacin de las aplicaciones que cambian de puerto o usan

otros alternativos
n Verificacin de que el firewall es capaz de identificar y controlar
aplicaciones que entren por puertos distintos a los que tienen
asignados por omisin. Por ejemplo, SSH por el puerto 80 y
Telnet por el puerto 25.
Confirmacin de que el firewall es capaz de identificar
aplicaciones que pasan de un puerto a otro gracias a aplicaciones
como Skype, AIM o aplicaciones P2P.
PALO ALTO NETWORKS
Confirmacin de que el descifrado SSL funciona con trfico de

entrada y de salida.
Verificacin de que se identifica el SSH correctamente, cualquiera

que sea el puerto.
Comprobacin de que el control SSH cambia de reenvo de

puertos (local, a distancia, x11) a uso en nativo (SCP, SFTP y
acceso con shell).

Reduccin de la superficie de ataque

Para garantizar la seguridad de la red, es
igual de importante controlar de forma
estricta la exposicin a las amenazas como
prevenir las amenazas presentes en el
trfico permitido.
Identificacin y control de aplicaciones que comparten la

misma conexin
Es preciso tambin determinar que los mecanismos de
clasificacin de aplicaciones comprueban constantemente el
estado de las mismas en busca de cambios, y ms importante an,
que clasifican los cambios correctamente. Muchas plataformas
(Google, Facebook, Microsoft) habilitan varias funciones cuando el
usuario se registra por primera vez, por lo que es fundamental que
el firewall garantice el seguimiento de esos cambios.
Uso de aplicaciones como Gmail o SharePoint para confirmar que el
dispositivo en pruebas identifica correctamente la aplicacin inicial.
Sin salir de la aplicacin, abrir una nueva funcin (Google

Docs, Google Chat, SharePoint Admin, SharePoint Docs) y
comprobar que se hace un seguimiento del cambio de estado
y se identifica correctamente.
Validacin del control e inspeccin para las funciones de

las aplicaciones.
Control de las funciones de las aplicaciones

Igualmente se ha de determinar la capacidad del dispositivo en
pruebas para identificar y controlar las funciones especficas de
cada aplicacin. El control al nivel funcional es fundamental para
habilitar el uso de las aplicaciones sin correr riesgos comerciales
o de seguridad. La transferencia de archivos sirve de ejemplo, pero
tambin las funciones administrativas, VoIP, correo, blogs y chat
contenidas en la aplicacin maestra.
Confirmacin de que el dispositivo en pruebas ofrece visibilidad
sobre toda la jerarqua de la aplicacin (desde la aplicacin
bsica hasta las funciones adicionales).
Verificacin del control de la funcin de transferencia de archivos

mediante la identificacin y control de una aplicacin que incluya
dicha funcin.
Confirmacin de la capacidad del dispositivo para bloquear la

carga/descarga de archivos segn el tipo de aplicacin y archivo.
Es decir, que sea posible evitar que un usuario transfiera un
documento mediante una aplicacin de correo web.
Administracin sistemtica del trfico desconocido

Todas las redes tienen siempre una porcin de trfico desconocido, y
es preciso comprobar cmo lo administra el dispositivo en pruebas.
Verificacin, por medio de una aplicacin interna y direcciones IP

conocidas, de que el trfico se identifica como desconocido.
Confirmacin de las opciones disponibles para identificacin y

control del trfico desconocido. Se puede renombrar el trfico?
Se puede crear un mecanismo de identificacin a medida?
Ofrece el fabricante mecanismos de identificacin a medida?
Para garantizar la seguridad de la red, es igual de importante
controlar de forma estricta la exposicin a las amenazas como
prevenir las amenazas presentes en el trfico permitido. Se
ha de comprobar la capacidad del dispositivo en pruebas para
garantizar la seguridad sin mermar el rendimiento en un entorno
real caracterizado por amenazas que acceden comprimidas por
puertos alternativos.
Verificacin de que las tcnicas de prevencin de amenazas (filtro
de IPS, malware, y contenido) se aplican de forma consistente
incluso en los puertos alternativos. Quiere esto decir que el
dispositivo en pruebas no solo ha de controlar las aplicaciones
que entran por puertos alternativos, sino tambin detener las
amenazas que pueden circular por esos mismos puertos.
Comprobacin de que el dispositivo en pruebas es capaz de

detectar malware y archivos sin autorizacin aun comprimidos
con ZIP o GZIP.
Verificacin del rendimiento del dispositivo en pruebas con todas

las funciones preventivas habilitadas para garantizar la validez
de estas en el entorno real.

En primer lugar, se ha de averiguar si el dispositivo en pruebas sirve
para garantizar los accesos a distancia segn la misma poltica
empleada para accesos internos y, en segundo lugar, determinar
las tareas de administracin y la complejidad de la instalacin.
Comprobacin de que el dispositivo sirve para garantizar la
seguridad de las accesos a distancia por medio de ms de una
conexin SSL VPN.
Confirmacin de la facilidad de instalacin y administracin

mediante la formacin de un grupo de usuarios a distancia.
Finalizacin de la prueba y supervisin de los accesos a distancia

con el visor de accesos.
Comprobacin de la visibilidad del trfico desconocido (usuarios,

direcciones IP, etc.) y de las funciones de control (permiso,
bloqueo, inspeccin, etc.).
PALO ALTO NETWORKS

Cmo activar aplicaciones

con seguridad en un firewall
de nueva generacin
Administracin
Se ha de analizar la complejidad administrativa del dispositivo en
pruebas y la dificultad (pasos a dar, claridad de la interfaz, etc.) de
la tarea a realizar.
Confirmacin de la metodologa administrativa del dispositivo
en pruebas. Se necesita otro servidor para la administracin
individual de cada dispositivo? Se puede administrar a travs
de un navegador o se necesita un cliente pesado?
Comprobacin de la disponibilidad de las herramientas de

visualizacin mediante el repaso de las aplicaciones, amenazas
y direcciones URL de la red.
Comprobacin de que los controles de seguridad de

aplicaciones, controles de firewall y funciones preventivas se
pueden habilitar desde un mismo editor.
Hubo un tiempo en el que ni se hablaba de la posibilidad de uso de

aplicaciones externas o personales para el acceso a la red. Pero
hoy en da, los empleados estn permanentemente conectados y
haciendo uso de aplicaciones en las que mezclan lo personal con
lo profesional. Bloquear el uso de este tipo de aplicaciones es igual
que bloquear el negocio.
En el apartado 10 funciones que debe tener su prximo firewall
queda claro que el mejor sitio para la habilitacin segura de las
aplicaciones es el propio firewall. Para ello se emplea la identidad
de las aplicaciones y el modelo de control positivo que permite a
los administradores definir, segn los intereses de la empresa,
qu aplicaciones conviene habilitar y cules conviene denegar. Si
se emplean las herramientas incluidas en este documento, queda
igualmente claro que es intil intentar lograr la habilitacin segura
de las aplicaciones mediante el modelo de control negativo.
Rendimiento con los servicios habilitados

El control de las aplicaciones conlleva una carga de recursos
mucho mayor que la propia de un firewall basado en puerto
tradicional, por lo que es esencial comprobar que el dispositivo
en pruebas rinde convenientemente durante la identificacin y el
control de las aplicaciones.
Comprobacin del producto: software, servidor OEM o
dispositivo integrado.
Investigacin de la arquitectura del hardware, si se trata de

un dispositivo, para confirmar que se aplica la capacidad de
procesamiento adecuada para la tarea a realizar. El uso de
servidores multifuncionales limita el rendimiento de la red al
habilitar los servicios de seguridad.
Evaluacin del rendimiento en un entorno de pruebas que se

asemeje al entorno definitivo del sistema.
Otras factores a tener en cuenta para la evaluacin

El proceso de evaluacin y prueba para productos de seguridad de
redes vara de una empresa a otra, y normalmente incluir aspectos
que van ms all del alcance de este documento. Por ejemplo, la
facilidad de instalacin (modo opaco, modo transparente y otros),
los servicios de red (capa 2, capa 3, modo mixto) y las funciones de
routing (RIP, OSPF, BGP). Para evaluar correctamente un firewall se
recomienda elaborar un conjunto de criterios de evaluacin y someter
a cada dispositivo a todas las pruebas establecidas. Los resultados se
han de documentar de forma que faciliten la decisin final.
PALO ALTO NETWORKS

Acerca de Palo Alto Networks

Palo Alto Networks es la empresa de seguridad de redes.
Sus firewall de nueva generacin ofrecen una visibilidad y
un control de las aplicaciones y el contenido (por usuario,
no solo por direccin IP) sin precedentes a hasta 20 Gb/s sin
mermas de rendimiento. Gracias a la tecnologa de patente
en trmite App-ID, los firewall de Palo Alto Networks facilitan la identificacin y el control de las aplicaciones (cualquiera que sea el puerto, protocolo, tctica evasiva o cifrado
SSL) y permiten escanear el contenido para prevenir amenazas y filtraciones. Las empresas ya pueden adaptarse a la
web 2.0 y conservar una visibilidad y control total, as como
reducir el coste total por propiedad a travs de la consolidacin de sus dispositivos. Palo Alto Networks ha ampliado
recientemente la cobertura de proteccin al garantizar las
conexiones de los usuarios a distancia con el lanzamiento
de GlobalProtect.
Reinventamos la seguridad de redes | www.paloaltonetworks.com
2011 Palo Alto Networks, Inc. Todos los derechos reservados. Palo Alto Networks y el logotipo de Palo Alto Networks son marcas registradas propiedad de Palo Alto Networks, Inc. Otras empresas y nombres comerciales pudieran ser marcas registradas de sus respectivos propietarios. Especificaciones sujetas a cambios sin previo aviso.
PALO ALTO NETWORKS

Guia Firewalls

Uploaded by

Document Information

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Guia Firewalls

Uploaded by

Copyright:

Available Formats

20112012

La gua definitiva para evaluar el firewall de la red corporativa.

WITH FOREWORD BY IANS

Palo Alto Networks: 2011-2012 Gua para el comprador de firewall

PALO ALTO NETWORKS

2 | 20112012 GUA PARA EL COMPRADOR DE FIREWALL

Palo Alto Networks: 2011-2012 Gua para el comprador de firewall

PALO ALTO NETWORKS

3 | 20112012 GUA PARA EL COMPRADOR DE FIREWALL

Palo Alto Networks: 2011-2012 Gua para el comprador de firewall

El cambio genera innovacin

PALO ALTO NETWORKS

4 | 20112012 GUA PARA EL COMPRADOR DE FIREWALL

Palo Alto Networks: 2011-2012 Gua para el comprador de firewall

Se necesita un nuevo enfoque para afrontar nuevos desafos

Identificacin y control de las aplicaciones: conlleva el diseo y

PALO ALTO NETWORKS

Actualmente, la mayora de las infraestructuras de seguridad

Palo Alto Networks: 2011-2012 Gua para el comprador de firewall

Otro requisito primordial para la deteccin y el anlisis de las

PALO ALTO NETWORKS

Sin embargo, el uso de SSL tambin supone una carencia patente

6 | 20112012 GUA PARA EL COMPRADOR DE FIREWALL

Palo Alto Networks: 2011-2012 Gua para el comprador de firewall

Finalmente, el firewall tambin debe ser capaz de aplicar tcnicas

Tampoco conviene olvidar que la adicin de funciones de

PALO ALTO NETWORKS

7 | 20112012 GUA PARA EL COMPRADOR DE FIREWALL

Palo Alto Networks: 2011-2012 Gua para el comprador de firewall

10 funciones que debe tener su nuevo firewall

Un firewall debe facilitar las aplicaciones y el negocio

Uso del proceso RFP para elegir un firewall de nueva generacin

Factores a tener en cuenta sobre la arquitectura del firewall y el modelo de control 15

Controles de seguridad para el acceso a distancia

Ms factores a tener en cuenta sobre RFP

Evaluacin formal de los firewall de nueva generacin

Visibilidad y control de las aplicaciones

Controles de seguridad para el acceso a distancia

Rendimiento con servicios habilitados

Otras factores a tener en cuenta para la evaluacin

Cmo activar aplicaciones con seguridad en un firewall de nueva generacin 21

PALO ALTO NETWORKS

8 | 20112012 GUA PARA EL COMPRADOR DE FIREWALL

Palo Alto Networks: 2011-2012 Gua para el comprador de firewall

La pregunta ms importante que ha de hacer una empresa

Aumentar la visibilidad del trfico de las aplicaciones?

Ayuda en la prevencin de amenazas?

No obliga a elegir entre rendimiento o seguridad?

Servir para reducir costes?

Facilitar las tareas de administracin?

Si la respuesta a estas preguntas es s, entonces merece la pena

Definicin: firewall de nueva generacin

9 | 20112012 GUA PARA EL COMPRADOR DE FIREWALL

Palo Alto Networks: 2011-2012 Gua para el comprador de firewall

Factores a tener en cuenta

PALO ALTO NETWORKS

de nueva generacin es un firewall.

10 | 20112012 GUA PARA EL COMPRADOR DE FIREWALL

Palo Alto Networks: 2011-2012 Gua para el comprador de firewall

10 funciones que debe

1. Identificacin y control de las aplicaciones en cualquier puerto

PALO ALTO NETWORKS

Su prximo firewall ha de servir para identificar y controlar

Su prximo firewall ha de servir para identificar y controlar