1 | GUA PARA COMPRADORES DE FIREWALLS

GUA PARA
COMPRADORES
DE FIREWALLS
La gua denitiva para la evaluacin de los rewalls para redes de empresas.
PALO ALTO NETWORKS | 2 3 | GUA PARA COMPRADORES DE FIREWALLS
Sin lugar a dudas, las redes son ahora ms complejas que nunca. Sus empleados
tienen acceso a todas las aplicaciones que deseen, utilizando dispositivos tanto para el
trabajo como para uso personal. Muchas veces estas aplicaciones se usan tanto para
asuntos personales como en relacin con el trabajo, pero con frecuencia los riesgos
para el negocio y para la seguridad no son tenidos en cuenta. Los nuevos empleados
potenciales preguntan acerca de las polticas de uso de aplicaciones antes de aceptar
sus nuevos trabajos. La incorporacin de una nueva capa de complejidad es la
preocupacin subyacente sobre la ecacia de su postura acerca de la ciberseguridad.
Est amenazado su negocio? Es una cuestin de cundo, en lugar de "y si..."?
Yse encuentra usted lo sucientemente preparado? La complejidad de su red y su
infraestructura de seguridad puede limitar o reducir su capacidad para responder a
estos y a otros problemas de ciberseguridad.
Al aumentar los lmites de complejidad o retardar el proceso de toma de decisiones, en
la mayora de los casos es conveniente centrarse en lo fundamental como medio de
hacer frente a la situacin actual de una manera ms ecaz. Con esta forma de ver las
cosas nos recordamos a nosotros mismos las tres funciones fundamentales para las
que se dise su rewall:
1. Operar como el ncleo de la infraestructura de seguridad de la red.
2. Actuar como punto de control de acceso para todo el trco, permitiendo o
denegando el trco en la red en funcin de polticas.
3. Eliminar el riesgo de lo "desconocido" usando un modelo de control positivo que
se limita a establecer una estrategia del tipo "permitir lo que desea y denegar
implcitamente todo lo dems".
Con el tiempo, las funciones fundamentales que ejecutaba su rewall han sido
anuladas por el propio trco que tenan que controlar. Las aplicaciones han
evolucionado hasta un punto donde el rewall, la base de su infraestructura de
seguridad, tiene problemas para ejecutar los niveles de control que necesita para
proteger sus activos digitales.
Introduccin
El cambio propicia la innovacin
Incluso con las caractersticas ms
avanzadas y con el mayor rendimiento nunca
antes logrado, los firewalls estn sufriendo
una crisis de identidad. Las amenazas
estn cambiando rpidamente y el filtrado
tradicional basado en puertos y direcciones
IP ya no es suficiente para detenerlas.
PALO ALTO NETWORKS | 4 5 | GUA PARA COMPRADORES DE FIREWALLS
Las tcticas de evasin basadas en el salto de puerto, el uso de puertos no estndar
y el uso del cifrado son algunas de las formas mediante las cuales las aplicaciones
se han vuelto ms accesibles. Estas mismas tcnicas tambin las usan los atacantes
cibernticos tanto directamente, en las ciberamenazas que crean, como indirectamente,
ocultando las amenazas dentro del trco de las aplicaciones. Para complicar an ms
los retos que suponen estas aplicaciones modernas, sus empleados probablemente
estn usando dichas aplicaciones para poder realizar su trabajo. Veamos algunos
ejemplos de las aplicaciones y amenazas encontradas en su red.
n Aplicaciones comunes de usuario final: son aplicaciones de redes sociales,
comparticin de archivos, vdeos, mensajera instantnea y correo electrnico. En
conjunto representan aproximadamente el 25% de las aplicaciones de su red y el
20% del ancho de banda
1
. Los empleados pueden usar algunas de ellas con nes
laborales; en otros casos ser para uso estrictamente personal. Estas aplicaciones
suelen tener una gran capacidad de extensin y con frecuencia incluyen funciones
que pueden introducir riesgos injusticados. Estas aplicaciones representan tanto
riesgos empresariales como de seguridad y su desafo ser cmo lograr el equilibrio
bloqueando algunas y habilitando otras de forma segura.
n Aplicaciones empresariales esenciales: se trata de las aplicaciones que permiten
que su empresa funcione y albergan sus activos ms preciados (bases de datos,
servicios de archivos e impresin y directorios). Este grupo de aplicaciones suelen
ser blanco de los atacantes cibernticos que usan ataques polifacticos y su reto
ser encontrar la mejor manera de aislarlas y protegerlas de ataques furtivos que
burlan fcilmente su rewall y su IPS mediante tcnicas de evasin comunes.
n Aplicaciones personalizadas y de infraestructura: este grupo de aplicaciones
representa aplicaciones de infraestructura centrales, como SSL, SSH y DNS, as
como aplicaciones desarrolladas internamente, personalizadas o desconocidas.
Estas aplicaciones se usan a menudo para enmascarar trco de mando y control
generado por bots y otros tipos de malware. Curiosamente, muchas de estas
aplicaciones usan una amplia variedad de puertos no estndar. 85 de las 356
aplicaciones que usan SSL nunca usan el puerto 443 ni puertos denidos para SSL
(37 saltan de puerto, 28 usan tcp/80, 20 usan puertos que no son tcp/443).
Para tratar de responder a estos desafos ha habido un incremento en el foco de qu es
lo fundamental del rewall y todos los proveedores de rewalls de red han rediseado
su forma de identicar y controlar el trco basndose en la propia aplicacin en lugar
de hacerlo solo en el puerto y el protocolo. En conjunto, los rewalls que son capaces
de ejercer un control basado en aplicaciones se conocen como "de nueva generacin" y
todos los proveedores de rewalls admiten que el control de aplicaciones es un aspecto
cada vez ms importante en la seguridad de redes.
Hay dos razones obvias para este nuevo inters en lo fundamental. En primer lugar,
las aplicaciones y las amenazas asociadas pueden eludir fcilmente los rewalls
basados en puertos y elementos de prevencin de amenazas aadidos. En segundo
lugar, el rewall es el nico lugar que ve uir todo el trco de su red y sigue siendo
la ubicacin ms lgica para implantar polticas de control de acceso. El valor de este
enfoque renovado es evidente: debe mejorar su enfoque de seguridad a la vez que debe
reducirse o, como mnimo mantenerse constante, el esfuerzo administrativo asociado a
la gestin del rewall y la respuesta ante incidencias.
Revolucin, no evolucin
Hay demasiado trfico, demasiadas
aplicaciones y demasiada poca tolerancia
ante impactos de consecuencias negativas
para seguir aadiendo dispositivos y nuevos
"mdulos" de software que puedan ayudar
a analizar el trfico.
1
Palo Alto Networks, Informe de amenazas y uso de aplicaciones, enero de 2013
PALO ALTO NETWORKS | 6 7 | GUA PARA COMPRADORES DE FIREWALLS
Gartner dene los rewalls de nueva generacin como algo nuevo y orientado a la
empresa, "que incorpora inspeccin en toda la pila para la prevencin de intrusiones,
inspeccin a nivel de aplicacin y polticas de control granular. La mayora de
proveedores de seguridad de red ofrecen ya visibilidad y control de aplicaciones
aadiendo rmas de aplicaciones a su motor IPS u ofreciendo una licencia
complementaria para un mdulo de control de aplicaciones. En cualquier caso, estas
opciones se aaden a un rewall basado en puertos y no le ayudan mucho a centrarse
en las tareas fundamentales que su rewall tiene que llevar a cabo.
La ecacia con la que funcione su empresa depender en gran medida de las
aplicaciones que usen sus empleados y el contenido que lleven las propias
aplicaciones. El mero hecho de permitir algunas y bloquear otras puede afectar a su
negocio. Si su equipo de seguridad est buscando funciones y capacidades de rewalls
de nueva generacin, lo ms importante a tener en cuenta es si el rewall de nueva
generacin les ayudar a habilitar de forma segura aplicaciones en benecio de la
empresa. Tenga en cuenta lo siguiente:
n El rewall de nueva generacin aumentar la visibilidad y la comprensin del
trco de aplicaciones en su red?
n Las opciones de respuesta de la poltica de control del trco permitirn hacer
ms cosas que simplemente permitir o denegar?
n Su red estar protegida de amenazas y ataques cibernticos, tanto conocidos como
desconocidos?
n Puede identicar y gestionar sistemticamente el trco desconocido?
n Puede implementar las polticas de seguridad que desea sin poner en peligro
elrendimiento?
n Se reducirn los esfuerzos administrativos que dedica su equipo a la gestin
delrewall?
n Su trabajo de gestin de riesgos ser ms fcil y ecaz?
n Las polticas que habilite podrn contribuir al fondo del negocio?
Si la respuesta a las preguntas anteriores es s, entonces su decisin de realizar la
transicin de rewalls antiguos a rewalls de nueva generacin es fcil de justicar.
El siguiente paso es tener en cuenta las soluciones alternativas que ofrecen los
proveedores de rewalls. A la hora de evaluar las alternativas disponibles, es
importante tener en cuenta las diferencias arquitectnicas entre las ofertas de
rewalls de nueva generacin y las consecuencias asociadas en cuanto a funciones y
caractersticas, operaciones y rendimientos reales.
Firewalls de nueva generacin
1. Identifican las aplicaciones independientemente del puerto, el protocolo, la tctica
evasiva o el cifrado.
2. Identifican los usuarios independientemente del dispositivo o de la direccin IP.
3. Protegen en tiempo real frente a las amenazas conocidas y desconocidas incluidas en
las aplicaciones.
4. Proporcionan visibilidad y polticas de control sin fisuras sobre las aplicaciones, los
usuarios y el contenido.
5. Proporcionan una implementacin en lnea multi-gigabit fiable.
Denicin de
los rewalls de
nuevageneracin
PALO ALTO NETWORKS | 8 9 | GUA PARA COMPRADORES DE FIREWALLS
A la hora de crear rewalls de nueva generacin, los proveedores de seguridad han
seguido uno de estos dos enfoques arquitectnicos:
1. Incluir la identicacin de aplicaciones dentro del rewall como motor de
clasicacin primario.
2. Aadir un motor de reconocimiento de patrones con rma de aplicaciones a un
rewall basado en puertos.
Ambos enfoques pueden reconocer aplicaciones, pero con diferentes grados de xito,
usabilidad y relevancia. Lo ms importante es que estos enfoques arquitectnicos
dictan un modelo de seguridad especco para polticas de aplicaciones que pueden
ser positivas (denen lo que se permite y deniegan todo lo dems) o negativas (denen
lo que se bloquea y permiten todo lo dems).
n Un modelo de seguridad positivo (rewall u otro) le permite escribir polticas que
permitan aplicaciones o funciones concretas (por ejemplo, WebEx, SharePoint, Gmail)
y as todo lo dems se deniega de forma implcita. Para alcanzar este nivel de control,
todo el trco tiene que ser clasicado proactivamente en el rewall (no despus) para
asegurarse de que se permite el trco deseado y se deniega el resto. Al establecer
visibilidad completa en todo el trco, las empresas pueden reducir el esfuerzo
administrativo asociado a la obtencin de visibilidad en la actividad de red, la gestin
de polticas y la investigacin de incidentes. Las implicaciones de seguridad pueden
incluir una mejor proteccin ante ataques cibernticos conocidos y desconocidos,
incluso aunque pueda estar permitiendo una gama ms amplia de aplicaciones en la
red, adems de un mayor control frente a las aplicaciones desconocidas mediante la
premisa "denegar todo lo dems" que proporciona un rewall.
n Un modelo de seguridad negativo (IPS, AV, etc.) le permite buscar y bloquear
amenazas o aplicaciones no deseadas especcamente y permitir todo lo dems.
Esto signica que no necesariamente se clasica todo el trco, sino solo el
suciente para completar la lista de bloqueos deseada. Esta tcnica puede ser
suciente para encontrar y bloquear amenazas o aplicaciones no deseadas de
forma selectiva, pero un modelo de seguridad negativo no es una buena opcin
para convertirse en el medio principal de control de todo el trco de su red; por lo
tanto, este enfoque queda relegado como un mero ayudante de un rewall basado en
puertos.
El impacto empresarial de un modelo de seguridad negativo incluye el incremento
en el esfuerzo administrativo asociado a la gestin de mltiples polticas y bases de
datos de logs duplicadas.
El resto de esta Gua del Comprador se divide en tres secciones distintas. La primera
seccin presenta las 10 cosas que su prximo rewall debe hacer; estas ideas deben
utilizarse como pruebas de que la arquitectura y el modelo de control descritos
anteriormente son crticos para cumplir la promesa de identicar y permitir de
forma segura las aplicaciones en el rewall. Las secciones que quedan profundizan
en la manera en que se deben usar estas 10 cosas para seleccionar un proveedor
mediante el proceso Solicitud de Propuesta (RFP) y la manera en que se debe evaluar
fsicamente la solucin del rewall.
Consideraciones arquitectnicas para
laclasicacin del trco del rewall
PALO ALTO NETWORKS | 10 11 | GUA PARA COMPRADORES DE FIREWALLS
Los criterios de seleccin del rewall normalmente se centran en tres reas: funciones
de seguridad, operaciones y rendimiento. Los elementos funcionales de seguridad
se corresponden con la ecacia de los controles de seguridad y la capacidad de su
equipo para gestionar los riesgos asociados a las aplicaciones que pasan por su red.
Desde una perspectiva de operaciones, la gran pregunta es: dnde reside la poltica
de aplicacin y cul es la complejidad de gestin para su equipo? La diferencia de
rendimiento es sencilla: el rewall puede hacer lo que se supone que tiene que hacer
con la capacidad que necesita su negocio? Aunque cada empresa tiene sus propios
requisitos y prioridades dentro de los tres criterios de seleccin, las 10 cosas que su
prximo rewall debe hacer son:
1. Identificar y controlar las aplicaciones en cualquier puerto
2. Identificar y controlar la evasin
3. Descifrar el trfico SSL saliente y controlar el SSH
4. Proporcionar control funcional de las aplicaciones
5. Administrar sistemticamente el trfico desconocido
6. Explorar en busca de virus y malware todas las aplicaciones y todos
los puertos
7. Permitir la misma visibilidad de aplicaciones y el mismo control para
todos los usuarios y dispositivos
8. Simplificar la seguridad de redes en lugar de hacerla ms compleja,
aadiendo el control de aplicaciones
9. Ofrecer la misma capacidad y rendimiento con un control total de
aplicaciones
10. Soportar las mismas funciones de firewall, tanto en formato
hardware como virtual
Su prximo firewall tiene que identificar y controlar aplicaciones en todos los
puertos, en todo momento.
Modelo de negocio: los desarrolladores de aplicaciones ya no adoptan el estndar de
mapeo puerto/protocolo/aplicacin. Cada vez ms aplicaciones en su red son capaces
de funcionar en puertos no estndar o pueden saltar de puerto (por ejemplo, las
aplicaciones de mensajera instantnea, de intercambio de archivos P2P o de VoIP).
Adems, los usuarios ya tienen los conocimientos sucientes como para forzar que
las aplicaciones se ejecuten a travs de puertos no estndar (por ejemplo, RDPo
SSH). Con el n de hacer cumplir las polticas especcas de la aplicacin donde
los puertos son cada vez ms irrelevantes, su prximo rewall debe asumir que
cualquier aplicacin puede ejecutarse en cualquier puerto. El concepto de "cualquier
aplicacin en cualquier puerto" es uno de los cambios fundamentales en el panorama
de aplicaciones que est impulsando la migracin de rewalls basados en puertos
a rewalls de nueva generacin. La estrategia "cualquier aplicacin en cualquier
puerto" tambin pone de maniesto por qu un modelo de control negativo no puede
solucionar el problema. Si una aplicacin puede trasladarse a cualquier puerto, un
producto basado en control negativo necesitara contar con conocimientos previos o
ejecutar todas las rmas en todos los puertos constantemente.
Requisitos: este es sencillo. Tiene que asumir que cualquier aplicacin se puede
ejecutar en cualquier puerto y que su prximo rewall debe clasicar el trco por
aplicacin en todos los puertos en todo momento, de manera predeterminada. La
clasicacin del trco en todos los puertos ser un tema recurrente en todos los
puntos que quedan; de lo contrario, los controles basados en puertos seguirn siendo
burlados por las mismas tcnicas que los han atormentado durante aos.
Las 10 cosas que su prximo rewall
debe hacer
1.
PALO ALTO NETWORKS | 12 13 | GUA PARA COMPRADORES DE FIREWALLS
Su prximo firewall tiene que identificar y controlar las herramientas de evasin de
la seguridad.
Modelo de negocio: un nmero reducido de las aplicaciones de su red puede utilizarse
para evadir intencionadamente las propias polticas de seguridad que usted tenga
implantadas para proteger los activos digitales de su empresa. Hay dos clases de
aplicaciones que son herramientas de evasin de la seguridad: aquellas diseadas
expresamente para evadir la seguridad (proxies externos, tneles cifrados no
relacionados con VPN) y aquellas que se pueden adaptar para lograr fcilmente el
mismo objetivo (herramientas de administracin de servidor/escritorio remoto).
n Los proxies externos y las aplicaciones de tneles cifrados no relacionados con VPN
se usan especcamente para eludir los controles de seguridad existentes mediante
varias tcnicas de evasin. Estas aplicaciones no tienen valor comercial para su
red, ya que estn diseadas para eludir la seguridad, introduciendo riesgos para el
negocio sin precedentes.
n Las herramientas de administracin de servidor/escritorio remoto, como RDP y
Teamviewer, suelen ser empleadas por los profesionales de soporte y TI para trabajar
de manera ms ecaz. Tambin las usan con frecuencia empleados para eludir el
rewall y establecer conexiones con su ordenador personal u otro ordenador situado
fuera de la red. Los atacantes cibernticos saben que estas aplicaciones se usan con
frecuencia y hay casos documentados pblicamente en el Verizon Data Breach Report
(DBIR) y el informe Mandiant en los que estas herramientas de acceso remoto han sido
ejecutadas en una o ms de las fases del ataque.
Para ser claros, no todas estas aplicaciones conllevan los mismos riesgos: las
aplicaciones de acceso remoto tienen usos legtimos, igual que muchas aplicaciones
de tnel cifrado. Sin embargo, estas mismas herramientas son utilizadas cada vez con
ms frecuencia por los atacantes como parte de ataques persistentes continuados. Sin
la capacidad de controlar estas herramientas de evasin de la seguridad, las empresas
no pueden aplicar sus polticas de seguridad y por tanto se exponen a los mismos
riesgos que pensaban que sus controles estaban deteniendo.
Requisitos: hay diferentes tipos de aplicaciones de evasin y cada una usa tcnicas
ligeramente diferentes. Existen proxies externos tanto pblicos como privados
(consulte proxy.org para ver una extensa base de datos de proxies pblicos) que
pueden usar tanto HTTP como HTTPS. Los proxies privados a menudo se conguran
en direcciones IP no clasicadas (como ordenadores personales) con aplicaciones
como PHProxy o CGIProxy. Las aplicaciones de acceso remoto como RDP, Teamviewer
o GoToMyPC tienen usos legtimos, pero debido al riesgo asociado deben ser
administradas con mayor vigilancia. La mayor parte del resto de evasores (Ultrasurf,
Tor, Hamachi), no tienen ninguna utilidad comercial en su red. Sea cual sea su poltica
de seguridad, su prximo rewall debe incluir tcnicas especcas para identicar y
controlar todas estas aplicaciones, independientemente del puerto, el protocolo, el
cifrado u otras tcticas evasivas. Una consideracin ms: las aplicaciones que habilitan
la evasin se actualizan peridicamente para que sean ms difciles de detectar y
controlar. Por lo tanto, es importante no solo entender que su prximo rewall pueda
identicar estas aplicaciones de elusin, sino tambin saber con qu frecuencia se
actualiza y mantiene la inteligencia de las aplicaciones del rewall.
2.
PALO ALTO NETWORKS | 14 15 | GUA PARA COMPRADORES DE FIREWALLS
Su prximo firewall tiene que proporcionar control funcional de aplicaciones.
Modelo de negocio: los desarrolladores de plataformas de aplicaciones tales como
Google, Facebook, Salesforce.com o Microsoft ofrecen a los usuarios un amplio
conjunto de caractersticas y funciones que ayudan a asegurar la delizacin del
usuario, pero que pueden representar perles de riesgo muy distintos. Por ejemplo,
permitir Webex es una herramienta valiosa en su empresa, pero utilizar Webex Desktop
Sharing para tomar el control del escritorio de sus empleados desde un origen externo
puede ser una infraccin en el cumplimiento de normas internas o reglamentarias.
Otro ejemplo puede ser el correo de Google (Gmail) y la aplicacin Google Talk (Gtalk).
Una vez que un usuario inicia sesin en Gmail, que puede estar permitido por las
polticas, puede cambiar fcilmente el contexto a Gtalk, que no se puede permitir. Su
prximo rewall debe ser capaz de reconocer y gestionar caractersticas y funciones
individuales, de modo que se pueda implementar una poltica apropiada.
Requisitos: su prximo rewall debe clasicar continuamente cada aplicacin y
realizar un seguimiento de los cambios que puedan indicar que se est utilizando una
funcin diferente en este momento. El concepto de clasicacin de trco sobre la
premisa "crear una regla estricta segn la primera vez" no es una opcin, ya que pasa
por alto el hecho de que estas aplicaciones de uso general comparten sesiones y dan
soporte a mltiples funciones. Si se introduce una funcin o caracterstica diferente
en la sesin, el rewall debe guardarla dentro de las tablas de estado y realizar una
comprobacin de polticas. La supervisin continua del estado para comprender
las diferentes funciones que cada aplicacin puede admitir, y los diferentes riesgos
asociados, es un requisito fundamental que debe cumplir su prximo rewall.
Habilitacin segura de aplicaciones
Para habilitar de forma segura aplicaciones
y tecnologas, as como las operaciones
empresariales basadas en ellas, los
equipos de seguridad de red tienen que
poner en prctica las polticas adecuadas
que controlan su uso, pero tambin los
controles capaces de aplicarlas.
Su prximo firewall tiene que descifrar e inspeccionar SSL y controlar SSH.
Modelo de negocio: actualmente el 26% de las aplicaciones utilizan SSL una manera
u otra en las redes corporativas de hoy da
2
. Dada la adopcin cada vez ms frecuente
de HTTPS para muchas aplicaciones de usuario nal de alto riesgo y alta recompensa
(Gmail, Facebook, etc.) y la capacidad de los usuarios para habilitar manualmente SSL
en muchos sitios web, su equipo de seguridad se encuentra con un extenso y creciente
ngulo muerto si no es capaz de descifrar, clasicar, controlar y explorar el trco
cifrado con SSL. Un rewall de nueva generacin tiene que ser lo sucientemente
exible para que ciertos tipos de trco cifrado con SSL puedan ser pasados por alto
(por ejemplo, trco web de empresas de servicios nancieros o asistencia sanitaria),
mientras que otros tipos (por ejemplo, SSL en puertos no estndar, HTTPS de sitios
web no clasicados en Europa del Este) puedan ser descifrados mediante una poltica.
SSH se usa prcticamente en todas partes y puede ser congurado fcilmente por
los usuarios nales con nes no laborales similares a las herramientas de escritorio
remoto. El hecho de que SSH est cifrado lo convierte tambin en una herramienta til
para ocultar la actividad no relacionada con el trabajo.
Requisitos: la capacidad de descifrar el trco SSL es un elemento fundamental,
no solo porque es un porcentaje cada vez ms signicativo del trco empresarial,
sino tambin porque habilita unas cuantas funciones claves ms que resultaran
incompletas o inecaces sin la capacidad de descifrar SSL. Los elementos clave
necesarios son el reconocimiento y descifrado de SSL en cualquier puerto, tanto
de entrada como de salida; polticas de control sobre el descifrado y los elementos
hardware y software necesarios para realizar el descifrado SSL en decenas de miles
de conexiones SSL simultneas con rendimiento predecible. Otro de los requisitos
adicionales que deber tener en cuenta es la capacidad para identicar y controlar el
uso de SSH. En concreto, el control de SSH debe incluir la capacidad de determinar si
se est utilizando como un redireccionador de puertos (local, remoto, X11) o para uso
nativo (SCP, SFTP y acceso a la shell). Una vez que se conoce cmo se est utilizando
el SSH se pueden crear polticas de seguridad apropiadas.
3. 4.
2
Palo Alto Networks, Informe de amenazas y uso de aplicaciones, enero de 2013
PALO ALTO NETWORKS | 16 17 | GUA PARA COMPRADORES DE FIREWALLS
Su prximo firewall tiene que gestionar sistemticamente el trfico desconocido.
Modelo de negocio: existe trco desconocido en pequeas cantidades en todas
las redes; sin embargo, para usted y para su organizacin, representa riesgos
signicativos. Hay varios elementos importantes a tener en cuenta con el trco
desconocido. Si se encuentra clasicado, puede minimizar el trco desconocido
mediante polticas de control? Puede su rewall clasicar fcilmente las aplicaciones
personalizadas para que sean "conocidas" dentro de sus polticas de seguridad? Por
ltimo: le ayuda su rewall a determinar si el trco desconocido es una amenaza?
El trco desconocido tambin est fuertemente ligado a las amenazas de la red. Los
atacantes a menudo se ven obligados a modicar un protocolo con el n de explotar
una aplicacin de destino. Por ejemplo, para atacar a un servidor web un atacante
puede que tenga que modicar tanto la cabecera HTTP que el trco resultante ya no
se identique como trco web. Dicha anomala puede ser una indicacin temprana de
un ataque. Del mismo modo, el malware suele utilizar protocolos personalizados como
parte de su modelo de mando y control, permitiendo a los equipos de seguridad acabar
con cualquier infeccin de malware desconocido.
Requisitos: su prximo rewall debe clasicar de manera predeterminada todo
el trco en todos los puertos. Esta es un rea donde el debate anterior sobre la
arquitectura y el modelo de control de la seguridad juega un papel muy importante.
Los modelos positivos (denegar de forma predeterminada) lo clasican todo; los
modelos negativos (permitir de forma predeterminada) clasican solo aquello que
se les dice que deben clasicar. Clasicarlo todo es solo una pequea parte del reto
que representa el trco desconocido. Su prximo rewall debe darle la capacidad de
ver todo el trco desconocido, en todos los puertos, en una consola de gestin nica
y analizar rpidamente el trco para determinar si (1) es una aplicacin interna o
personalizada, (2) si es una aplicacin comercial sin una rma o (3) es una amenaza.
Adems, su prximo rewall debe proporcionarle las herramientas necesarias, no
solo para ver el trco desconocido, sino tambin para gestionarlo sistemticamente
controlndolo mediante polticas, creando rmas personalizadas, enviando un PCAP
de las aplicaciones comerciales para su posterior anlisis o realizando investigaciones
forenses para determinar si se trata de una amenaza.
Su prximo firewall debe buscar amenazas en todas las aplicaciones, en todos
lospuertos.
Modelo de negocio: las empresas adoptan una amplia gama de aplicaciones para
el desarrollo del negocio, bien alojadas internamente o fuera de su ubicacin
fsica. Tanto si se trata de servicios alojados de SharePoint, Box.com, Google Docs,
MicrosoftOfce365, como de una aplicacin de extranet alojada por uno de sus
socios, muchas organizaciones tienen la necesidad de utilizar alguna aplicacin que
pueda usar puertos no estndar, que utilice SSL o que comparta archivos. En otras
palabras, estas aplicaciones hacen posible el desarrollo del negocio, pero tambin
pueden actuar como un vector de amenazas cibernticas. Por otra parte, algunas de
estas aplicaciones (por ejemplo, SharePoint) se basan en tecnologas soporte que son
objetivos habituales de los exploits (por ejemplo, IIS, SQL Server). El bloqueo de la
aplicacin no es adecuado, pero tampoco lo es permitir ciegamente aplicaciones que
representen riesgos potenciales para el negocio y la seguridad ciberntica.
Esta tendencia a utilizar puertos no estndar se acenta signicativamente en
el mundo del malware. Dado que el malware reside en la red y la mayora de las
comunicaciones implican un cliente malicioso (el malware) que se comunica con un
servidor malicioso (mando y control), entonces el atacante tiene plena libertad para
utilizar cualquier combinacin de puerto y protocolo que elija. De hecho, en un reciente
anlisis de tres meses, el 97% de todo el malware desconocido liberado a travs de
FTP utiliza puertos no estndar.
Requisitos: parte de la habilitacin segura es permitir una aplicacin y rastrearla
en busca de amenazas. Estas aplicaciones pueden comunicarse a travs de una
combinacin de protocolos (por ejemplo, SharePoint utiliza CIFS, HTTP y HTTPS, y
requiere de una poltica de rewall ms sosticada que nicamente la de "bloquear la
aplicacin"). El primer paso es identicar la aplicacin (independientemente del puerto
o el cifrado), determinar las funciones que quiera permitir o denegar y, a continuacin,
analizar los componentes permitidos buscando cualquiera de las amenazas (exploits,
virus/malware o spyware...) o incluso informacin condencial o sensible.
5. 6.
PALO ALTO NETWORKS | 18 19 | GUA PARA COMPRADORES DE FIREWALLS
Su prximo firewall debe realizar controles constantes de todos los usuarios,
independientemente de su ubicacin o tipo de dispositivo.
Modelo de negocio: cada vez ms usuarios se encuentran fuera de las cuatro paredes
de la empresa, y muchas veces acceden a la red corporativa mediante telfonos
inteligentes o tabletas. Hoy en da una parte importante de su fuerza de trabajo externa
trabaja de forma remota. Ya sea trabajando desde un cibercaf, desde casa, o desde
las instalaciones del cliente, los usuarios esperan poder conectarse a sus aplicaciones
a travs de la WiFi, la banda ancha inalmbrica o por cualquier medio disponible.
Independientemente de dnde se encuentre el usuario, o incluso de dnde est la
aplicacin que estn utilizando, se debe aplicar siempre el mismo nivel de control
por parte del rewall. Si su prximo rewall permite la visibilidad de aplicaciones y el
control del trco dentro de las cuatro paredes de la empresa pero no en el exterior,
dejar de tener control sobre el trco con mayor riesgo potencial.
Requisitos: conceptualmente esto es bastante simple: su prximo rewall debe
tener visibilidad y control de trco constantes, con independencia del lugar donde
se encuentre el usuario. Esto no signica que la organizacin tenga las mismas
polticas para ambos; por ejemplo, puede que algunas organizaciones quieran que los
empleados utilicen Skype cuando se encuentren de viaje, pero no dentro de la sede,
mientras que otros pueden tener una poltica para que si se est fuera de la ocina,
los usuarios no puedan descargar archivos adjuntos de Salesforce.com a menos que
tengan activado el cifrado del disco duro. Su prximo rewall debera poder realizar
esto sin ralentizar signicativamente la actividad del usuario nal o suponer una
molestia operativa injusticada para el administrador, o un coste signicativo para la
organizacin.
Su prximo firewall debe simplificar la seguridad de la red incorporando control
deaplicaciones.
Modelo de negocio: muchas empresas se afanan en incorporar ms canales de
informacin, ms polticas y ms administracin en procesos y en personal de
seguridad que ya sufren una sobrecarga. En otras palabras, si su equipo no puede
gestionar lo que ya tiene, el hecho de aadir ms dispositivos, interfaces de gestin,
junto con las polticas y la informacin asociadas, no ayudar a reducir el esfuerzo
administrativo de su equipo, ni reducir el tiempo de respuesta ante incidencias.
Cuanto ms distribuidas estn las polticas (por ejemplo, un rewall que permite
el trco en el puerto 80, un IPS que busca y/o bloquea amenazas y aplicaciones,
una puerta de enlace web segura que aplica ltrado de URL), ms difcil ser
administrarlas. Qu poltica utiliza su equipo de seguridad para habilitar el uso de
WebEx? Cmo determinar y resolver los conictos de polticas en los diferentes
dispositivos? Las instalaciones tpicas de rewall basadas en puertos tienen polticas
con reglas que incluyen miles de ellas, aadiendo adems miles de rmas de
aplicaciones en decenas de miles de puertos, lo que provoca un considerable aumento
de la complejidad.
Requisitos: su negocio se basa en las aplicaciones, los usuarios y el contenido, y su
prximo rewall debe permitir que usted construya polticas que apoyen directamente
sus iniciativas empresariales. El uso de un contexto compartido de aplicacin, usuario
y contenido en todos los aspectos (visibilidad, polticas de control, logging y reporting)
le ayudar a simplicar su infraestructura de seguridad de manera signicativa.
Las polticas de rewall basadas en direccin IP y puerto, adems de las polticas
separadas para el control de aplicaciones, IPS y antimalware slo complicarn el
proceso de gestin de polticas y pueden incluso llegar a obstaculizar la actividad del
negocio.
8. 7.
PALO ALTO NETWORKS | 20 21 | GUA PARA COMPRADORES DE FIREWALLS
Su prximo firewall debe ofrecer la misma capacidad y rendimiento con un control
total de aplicaciones.
Modelo de negocio: muchas organizaciones se esfuerzan por hallar un equilibrio
entre rendimiento y seguridad. Con demasiada frecuencia, activar determinadas
caractersticas de seguridad en su rewall acarrea aceptar una disminucin
signicativa de la capacidad y el rendimiento. Si su rewall de nueva generacin est
diseado correctamente, este compromiso no es necesario.
Requisitos: la importancia de la arquitectura es evidente tambin en este caso, de una
manera diferente. Improvisar un rewall basado en puertos junto con otras funciones
de seguridad de diferentes orgenes tecnolgicos, implica por lo general la existencia
de capas de red, motores de anlisis y polticas redundantes, lo que nalmente se
traduce en un rendimiento deciente. Desde el punto de vista del software, el rewall
debe estar diseado para hacer esto desde el principio. Adems, dada la necesidad
de realizar tareas de procesamiento intensivas (como por ejemplo, identicacin de la
aplicacin, prevencin de amenazas en todos los puertos, etc.) ejecutadas sobre altos
volmenes de trco y con baja tolerancia a la latencia asociada con la infraestructura
crtica, su prximo rewall debe tener tambin un hardware diseado para dichas
tareas, es decir, un sistema especco dedicado para networking, seguridad y anlisis
de contenidos.
Su prximo firewall debe ofrecer las mismas funciones propias de un firewall,
tanto en forma de hardware como virtualizada.
Modelo de negocio: el crecimiento exponencial de la virtualizacin y de la
computacin en la nube introduce nuevos retos de seguridad que son difciles o
imposibles de gestionar con ecacia por parte de los rewalls antiguos debido a su
funcionalidad inconsistente, a la disparidad en la gestin y a la falta de puntos de
integracin con el entorno de virtualizacin. Con el n de proteger el trco que entra
y sale del centro de datos, as como dentro de sus entornos virtualizados, su prximo
rewall debe ser compatible con las mismas funcionalidades tanto en formato
hardware como virtual.
Requisitos: la creacin y eliminacin dinmica de aplicaciones dentro de un centro
de datos virtualizado agrava los problemas de identicacin y control de aplicaciones
de un enfoque centrado en la direccin IP y el puerto. Adems de ofrecer las
caractersticas ya descritas en la gua de las 10 cosas que su prximo rewall debe
hacer tanto en formato hardware como virtual, es imprescindible que su prximo
rewall proporcione una integracin profunda con el entorno de virtualizacin para
simplicar la creacin de polticas basadas en aplicaciones a medida que se abren
y se cierran nuevas mquinas virtuales y aplicaciones. Esta es la nica manera de
asegurarse de que es capaz de dar soporte a la evolucin de las arquitecturas de
centros de datos con exibilidad operativa mientras que hace frente a los riesgos y a
los requisitos de cumplimiento de normativas.
10. 9.
PALO ALTO NETWORKS | 22 23 | GUA PARA COMPRADORES DE FIREWALLS
Sus usuarios continan adoptando nuevas aplicaciones y tecnologas, a menudo para
poder desempear su trabajo, pero sin demasiada consideracin con los posibles
riesgos en la seguridad y en su negocio. En algunos casos, si su equipo de seguridad
bloquea estas aplicaciones, se podrn producir problemas para el desarrollo del
negocio.
Las aplicaciones son la forma en la que los empleados realizan su trabajo y mantienen
la productividad equilibrando las distintas prioridades personales y profesionales. Por
este motivo, la habilitacin segura de aplicaciones es la mejor forma de establecer
correctamente las polticas. Para habilitar de forma segura aplicaciones y tecnologas
en su red, as como las operaciones empresariales basadas en ellas, los equipos de
seguridad de red tienen que poner en prctica las polticas adecuadas que gobiernan
su uso y tambin los controles capaces de aplicarlas.
En la gua de las 10 cosas que su prximo rewall debe hacer se describen las
capacidades fundamentales que permitirn a las organizaciones habilitar el uso de
aplicaciones de forma segura y, en denitiva, hacer posible el desarrollo de su negocio.
El siguiente paso es traducir esos requisitos en hechos; seleccionar un proveedor a
travs de un proceso de Solicitud de Propuesta (RFP) y evaluar formalmente las ofertas
de solucin, lo que deriva en ltima instancia en la adquisicin e implementacin de un
rewall de nueva generacin.
Normalmente, cuando se selecciona un rewall, IPS u otro componente crtico de la
infraestructura de seguridad, las organizaciones utilizan una Solicitud de Propuesta
(RFP) como medio para garantizar que se aborden las necesidades especcas. Segn
el informe Magic Quadrant for Enterprise Firewalls realizado por la empresa consultora
Gartner, los cambios en las condiciones de las amenazas, en las empresas y en los
procesos de TI impulsarn a los administradores de seguridad de las redes a buscar
rewalls con capacidades de nueva generacin en su prximo ciclo de actualizacin
de equipos de seguridad e IPS. A medida que se produzcan nuevas oportunidades
de implementacin, las organizaciones debern ampliar sus criterios de seleccin
de Solicitud de Propuesta (RFP) para que incluyan la visibilidad y el control de
aplicaciones que ofrecen las alternativas de nueva generacin. En la seccin anterior
se establecieron los 10 requisitos clave que su prximo rewall tiene que hacer. En
esta seccin esos requisitos se traducirn en herramientas que puede utilizar para
identicar y seleccionar un rewall de nueva generacin.
Consideraciones sobre el modelo de control y la arquitectura del firewall
Hay muchos elementos a tener en cuenta a la hora de evaluar la ecacia con la que
un proveedor puede ofrecer visibilidad y control de aplicaciones en un rewall. La
arquitectura del rewall, en concreto su motor de clasicacin del trco, determinar
la ecacia con la que identica y controla las aplicaciones, en lugar de solo los puertos
y protocolos. Tal y como se ha mencionado anteriormente, lo primero que un nuevo
rewall de cualquier tipo tiene que hacer es identicar con precisin el trco y luego
usar ese resultado como base para todas las decisiones de las polticas de seguridad.
En este modelo, las polticas de rewall son de control positivo tradicional (bloquear
todo, excepto lo que se decide permitir expresamente). Un modelo positivo signica que
usted puede controlar y habilitar aplicaciones, lo cual es un requisito fundamental en
el mbito corporativo de hoy en da permanentemente conectado. Aadir elementos
similares a un IPS, que realizan bsquedas de aplicaciones, signica la utilizacin de
un modelo de control negativo (permitir todo, excepto lo que es negado expresamente
por el IPS). Un modelo negativo signica que solo se pueden bloquear aplicaciones. Las
diferencias son anlogas a encender las luces de una habitacin para ver y controlar
todo (positivo) contra el uso de una linterna en una habitacin para ver y controlar
slo lo que se est buscando (negativo). El uso de este complemento para identicar y
bloquear eventos "malos" no es ms que un parche y no supone una solucin completa,
ya que est diseado para que busque solo en un conjunto parcial de la totalidad del
trco para no tener un impacto en el rendimiento, y no puede abarcar la amplitud de
los ataques cibernticos y aplicaciones.
Los rewalls deben poder habilitar
aplicaciones de forma segura para
elfuncionamiento del negocio
Utilizacin del proceso de Solicitud de
Propuesta (RFP) para seleccionar un
rewall de prxima generacin
Desarrollo de su negocio
En el entorno permanentemente conectado
de la actualidad, el control de las
aplicaciones es algo ms que simplemente
permitir o denegar. Se trata de habilitar
aplicaciones de forma segura para mejorar
el negocio.
PALO ALTO NETWORKS | 24 25 | GUA PARA COMPRADORES DE FIREWALLS
Control y visibilidad de aplicaciones
El proceso de Solicitud de Propuesta (RFP) debe determinar los detalles sobre cmo
la arquitectura del rewall lleva a cabo la identicacin y el control de todo el espectro
de aplicaciones, incluidas las corporativas, personales, etc., as como los protocolos
(independientemente del puerto), el cifrado SSL u otras tcnicas evasivas que estn
en uso. Considere las siguientes preguntas y armaciones al emitir una Solicitud de
Propuesta (RFP) para rewalls de nueva generacin.
n Muchas aplicaciones pueden evitar ser detectadas utilizando puertos no estndar,
salto de puertos, o siendo conguradas para ejecutarse en un puerto diferente.
n Son los mecanismos de identicacin de aplicaciones parte del ncleo de
la clasicacin del trco del rewall (es decir, estn habilitados de manera
predeterminada)?
n Son los mecanismos de identicacin de aplicaciones dependientes del puerto
estndar de la aplicacin?
n Se pueden aplicar las rmas a todos los puertos y el proceso se congura de
forma automtica o manual?
n Cuando el trco llega al dispositivo en primer lugar, se clasica inicialmente en
funcin del puerto (si se trata del puerto 80, se supone que es HTTP) o aplicacin (en
caso de Gmail)?
n Describir de forma detallada cmo el rewall puede identicar con precisin las
aplicaciones.
n Qu mecanismos, adems de las rmas, se utilizan para clasicar el trco?
n Describir la magnitud de uso del decodicador de protocolo y de las aplicaciones.
n Cmo se han implementado el control y el descifrado SSH y SSL?
n Los mecanismos de clasicacin de trco se han aplicado por igual a todos los
puertos?
n Qu mecanismos se han utilizado para detectar deliberadamente aplicaciones
evasivas como UltraSurf o P2P cifrado?
n La identicacin de aplicaciones se lleva a cabo realmente en el rewall, o se
realiza en un proceso secundario, despus de la clasicacin basada en puertos?
n Cules son las tres principales ventajas del enfoque de la arquitectura
soportada?
n Se realiza un seguimiento del estado de las aplicaciones? Y, si es as, cmo
se utiliza para asegurar el control constante de las aplicaciones y las funciones
secundarias asociadas?
n Proporcionar tres ejemplos de cmo se utiliza el estado de las aplicaciones en el
control de polticas.
n Es la identidad de la aplicacin la base de las polticas de seguridad del rewall, o
el control de aplicaciones se trata como un elemento secundario de las polticas?
n Con qu frecuencia se actualiza la base de datos de aplicaciones? Es una
actualizacin dinmica o una actualizacin que necesita reiniciar el sistema?
n En entornos virtualizados, describir cmo se clasica el trco en la mquina virtual
al completo (este/oeste, norte/sur).
n Describir los puntos de integracin dentro del entorno virtual.
n Describir el proceso de creacin de polticas de seguridad para mquinas virtuales
nuevas.
n Describir las caractersticas disponibles para realizar un seguimiento de los
movimientos, incorporaciones y cambios de las mquinas virtuales.
n Describir las caractersticas disponibles para la integracin con sistemas de
automatizacin y orquestacin.
PALO ALTO NETWORKS | 26 27 | GUA PARA COMPRADORES DE FIREWALLS
Control de aplicaciones evasivas, SSL y SSH
Se puede utilizar una amplia gama de aplicaciones para eludir los controles de
seguridad. Algunas de ellas, como los proxies externos y los tneles cifrados no
relacionados con VPN, estn diseadas con la evasin como objetivo. Otros, como las
herramientas de administracin de escritorios y servidores remotos, han evolucionado
hasta el punto de que empleados que no son de departamentos de TI ni de soporte
tcnico las usan para eludir los mecanismos de control. Como medio de seguridad,
el SSL se est convirtiendo en una conguracin estndar para muchas aplicaciones
de usuario nal; sin embargo, el problema surge cuando el uso del SSL puede
estar enmascarando amenazas entrantes o de transferencia de datos salientes.
Actualmente, aproximadamente el 26% de las aplicaciones que atraviesan la red
son capaces de usar SSL
3
de alguna forma. Por lo tanto, es importante conocer a
los fabricantes de rewalls de nueva generacin que se ocupan de esta categora de
aplicaciones. Considere las siguientes preguntas y armaciones al emitir una Solicitud
de Propuesta (RFP) para rewalls de nueva generacin.
n Describir el proceso por el cual las aplicaciones cifradas con SSL se identican en
todos los puertos, incluidos los puertos no estndar.
n Qu controles de polticas hay disponibles para descifrar, inspeccionar y controlar
selectivamente aplicaciones que estn utilizando SSL?
n Se da soporte a la identicacin, el descifrado y la inspeccin SSL bidireccional?
n Es el descifrado SSL una caracterstica estndar o es un coste adicional?
Serequiere algn dispositivo dedicado?
n SSH es una herramienta de uso comn en departamentos de TI, soporte tcnico y
por parte de empleados conocedores de la tecnologa como medio para acceder a
dispositivos remotos.
n Se admite el control SSH y, en caso armativo, describe la profundidad del
sistema de control?
n Qu mecanismos se han utilizado para identicar deliberadamente aplicaciones
evasivas como UltraSurf o Tor?
n Describir cmo el producto puede identicar automticamente un evasor que est
utilizando un puerto no estndar.
Habilitacin de aplicaciones basada en polticas
En los entornos permanentemente conectados de la actualidad, el control de las
aplicaciones es algo ms que permitir o denegar. Se trata de habilitar aplicaciones
de forma segura para mejorar el negocio. Muchas "plataformas" (Google, Facebook,
Microsoft) tienen diferentes aplicaciones disponibles para los usuarios registrados.
Es imperativo determinar cmo el proveedor del rewall supervisa el estado de las
aplicaciones, detecta cambios en ellas y clasica los cambios de estado. Considere las
siguientes preguntas y armaciones al emitir una Solicitud de Propuesta (RFP) para
rewalls de nueva generacin.
n Se realiza la clasicacin stateful-inspection del trco por separado, antes de la
identicacin de la aplicacin? En caso armativo, describir cmo, una vez que se
identica una aplicacin, se realiza el control, seguimiento y utilizacin dentro de las
polticas de los cambios en el estado de dicha aplicacin.
n Describir cmo la jerarqua de base de datos de la aplicacin (plana, multinivel u
otra) expone las funciones dentro de la aplicacin principal para unas polticas de
habilitacin ms granulares.
n Describir los niveles de control que se pueden ejercer sobre las aplicaciones
individuales y sus respectivas funciones:
n permitir;
n permitir en base a la aplicacin, funcin de la aplicacin, categora, subcategora,
tecnologa o factor de riesgo;
n permitir en funcin del programa, usuario, grupo, puerto;
n permitir y rastrear en busca de virus, exploits de aplicaciones, spyware, descargas
drive-by download;
n permitir y anar/aplicar controles de calidad de servicio;
n denegar.
3
Palo Alto Networks, Informe de amenazas y uso de aplicaciones, enero de 2013
PALO ALTO NETWORKS | 28 29 | GUA PARA COMPRADORES DE FIREWALLS
n Se pueden implementar controles basados en puertos para todas las aplicaciones
en la base de datos de aplicaciones, de modo que un administrador pueda aplicar,
por polticas, la relacin entre aplicacin y puerto? Por ejemplo:
n Forzar a los desarrolladores de bases de datos de Oracle a que utilicen un puerto
especco o un rango de puertos.
n Garantizar que los miembros del personal de TI sean los nicos autorizados para
utilizar SSH y RDP.
n Detectar y bloquear el malware dentro de la aplicacin, incluso en un puerto no
estndar.
n Crear un listado de todos los repositorios de identidad empresarial soportados para
los controles basados en usuarios.
n Hay una API disponible para la integracin de la infraestructura de identidad
personalizada o no estndar?
n Describir cmo los controles basados en polticas se implementan para los usuarios
y grupos en entornos de Terminal Services.
n Describir las diferencias existentes en las opciones de habilitacin de aplicaciones
para entornos tanto en formato hardware como virtuales.
Administracin sistemtica de aplicaciones desconocidas
Cada red tendr algo de trco de aplicaciones desconocidas. El origen tpico es una
aplicacin interna o personalizada, pero tambin puede ser una aplicacin comercial
no identicada, y en el peor de los casos, cdigo malicioso. Los elementos clave para
determinar a travs del proceso de evaluacin y de una Solicitud de Propuesta (RFP)
son una descripcin especca de la forma en que el proveedor le permite administrar
de forma sistemtica el trco desconocido, lo que representa un alto riesgo para la
seguridad y para la empresa. Considere las siguientes preguntas y armaciones al
emitir una Solicitud de Propuesta (RFP) para rewalls de nueva generacin.
n Proporcionar una descripcin detallada de cmo se identica el trco desconocido
para su anlisis.
n Son los mecanismos utilizados para el anlisis parte del conjunto de caractersticas
estndar, o son productos secundarios o complementarios?
n Qu acciones se pueden tomar respecto al trco desconocido (permitir, denegar,
inspeccionar, moldear, etc.)?
n Describir las mejores prcticas recomendadas para la administracin del trco de
aplicaciones desconocidas.
n Puede ser controlado mediante polticas, de la misma manera que una aplicacin
soportada ocialmente (por ejemplo, permitir, denegar, inspeccionar, moldear,
controlar por usuario, zona, etc.)?
n Se puede "cambiar el nombre" del trco interno?
n Se puede crear una rma de aplicaciones personalizada?
n Cul es el proceso para el envo de solicitudes de rmas de aplicaciones nuevas o
actualizadas?
n Una vez que se enva una solicitud, cul es el tiempo de respuesta del SLA?
n De qu mecanismos se dispone para determinar si el trco desconocido es cdigo
malicioso?
PALO ALTO NETWORKS | 30 31 | GUA PARA COMPRADORES DE FIREWALLS
Prevencin de amenazas
Las amenazas estn cada vez ms vinculadas a una variedad de aplicaciones y se
utilizan como vectores para la explotacin y la infeccin, as como para el posterior
mando y control de los dispositivos infectados. Por esta razn, los analistas
recomiendan constantemente que las empresas consoliden IPS tradicionales y
tecnologas de prevencin de amenazas como un componente de los rewalls de nueva
generacin. Considere las siguientes preguntas y armaciones al emitir una Solicitud
de Propuesta (RFP) para rewalls de nueva generacin.
n Describir todos los mecanismos de prevencin de amenazas en uso (IPS, antivirus,
antispyware, ltrado de URL, ltrado de datos, etc.)
n Cmo se conceden las licencias de estos mecanismos de prevencin de amenazas?
n Describir qu mecanismos de prevencin de amenaza son desarrollados localmente
u obtenidos travs de un tercero o de un servicio.
n Cmo se previenen las amenazas que estn incrustadas dentro de aplicaciones en
puertos no estndar?
n La informacin de identicacin de aplicaciones se encuentra integrada o
compartida con las tecnologas de prevencin de amenazas? Si es as, describir el
nivel de integracin.
n Describir qu disciplinas de prevencin de amenazas (IPS, antivirus, etc.) estn
basadas en puertos en lugar de en aplicaciones.
n Puede el motor de prevencin de amenazas rastrear dentro de contenido
comprimido, como ZIP o GZIP?
n Puede el motor de prevencin de amenazas rastrear dentro de contenido cifrado SSL?
n Describir cmo puede el rewall detectar y defenderse contra el malware
personalizado o polimrco.
n Qu mecanismos se utilizan para bloquear el malware?
n Describir el proceso de investigacin y desarrollo de prevencin de amenazas.
Proteccin de usuarios remotos
Los usuarios de red modernos dan por sentada la capacidad de conectarse y trabajar
desde muchos lugares fuera del permetro tradicional de la red. Estos usuarios deben
permanecer protegidos incluso si estn fuera del permetro de la red, utilizando un
PC, un telfono inteligente o una tableta. El objetivo de esta seccin es determinar qu
funciones estn disponibles para proteger a estos usuarios remotos y si este nivel de
proteccin es distinto cuando el usuario se encuentra dentro o fuera de la red fsica.
Considere las siguientes preguntas y armaciones al emitir una Solicitud de Propuesta
(RFP) para rewalls de nueva generacin.
n Proporcionar una descripcin detallada, con todos los componentes necesarios, de
las opciones disponibles para proteger a los usuarios remotos.
n Si se incluye un componente de cliente, cmo se distribuye?
n Describir los requisitos de tamao. Cuntos usuarios se admiten
concurrentemente?
n Es transparente para el cliente el conjunto de caractersticas de seguridad del
usuario remoto?
n Describir cmo se aplican las polticas de control sobre los usuarios remotos (por
ejemplo, en polticas del rewall, en una poltica o dispositivo separado, otros).
n Enumerar todas las caractersticas y protecciones previstas para las capacidades
remotas (SSL, control de aplicaciones, IPS, etc.).
n Puede su rewall mantener a los usuarios conectados con el n de garantizar la
aplicacin de polticas coherentes, independientemente de la ubicacin?
n Cmo abordar el tema de los usuarios de dispositivos mviles? Va a poder
proporcionar la aplicacin de polticas coherentes cuando los usuarios estn tanto en
redes externas como en redes inalmbricas internas?
n Puede el rewall abordar cuestiones BYOD (Traer su propia tecnologa, por sus
siglas en ingls) tales como proporcionar una manera de habilitar de forma segura
ordenadores porttiles corporativos y de propiedad personal, telfonos y tabletas?
PALO ALTO NETWORKS | 32 33 | GUA PARA COMPRADORES DE FIREWALLS
Administracin
La administracin es un elemento crtico para la implementacin de una seguridad
efectiva en la red. Al pasar a su prximo rewall, un objetivo clave debe ser simplicar
la administracin de la seguridad siempre que sea posible, incorporando control y
visibilidad de aplicaciones. Considere las siguientes preguntas y armaciones al emitir
una Solicitud de Propuesta (RFP) para rewalls de nueva generacin.
n La administracin de dispositivos requiere de un servidor o dispositivo separado?
n Describir todas las opciones de administracin que sean compatibles: Interfaz de
lnea de comandos (CLI)? Navegador? Cliente de software? Servidor centralizado?
n Para cada una de las alternativas de administracin admitidas, describir cunto
esfuerzo se requiere para pasar de una tcnica de administracin a otra.
n Describir la arquitectura de administracin centralizada y las opciones de
implementacin.
n Qu herramientas de visibilidad, aparte del visor de logs y de la creacin de
informes, estn disponibles para obtener una visin clara de las aplicaciones,
usuarios y contenidos que pasan por la red?
n Estn incluidas las herramientas de visibilidad como parte de la funcionalidad
bsica, o son un coste adicional o licencias aadidas?
n Las herramientas de visibilidad estn implementadas de forma nativa o son un
dispositivo o aplicacin por separado?
n Proporcionar una descripcin detallada de los esfuerzos y los pasos necesarios para
comenzar a "tener una visin global de todo el trco de aplicaciones" en la red.
n Pueden los controles de polticas de aplicacin, los controles de polticas de rewall
y las caractersticas de prevencin de amenazas estar habilitados en una sola regla
en el editor de polticas del rewall?
n Describir las funciones de creacin de logs y generacin de informes. Estn
incluidas de forma nativa? Y si es as, cul es la degradacin del rendimiento
cuando se habilita la creacin de logs?
n Est el anlisis completo de logs disponible de forma nativa, o se trata de un
coste extra o licencia adicional o dispositivo separado?
n Son las herramientas de generacin de informes completamente personalizables
para entender cmo se est utilizando la red y sealar los cambios en la utilizacin
de la red?
n Suponen un coste extra o licencia adicional o dispositivo separado?
n Describir cmo se garantiza el acceso a la administracin cuando el dispositivo est
bajo una carga pesada de trco.
n Describir la relacin entre dispositivo individual y la administracin centralizada de
mltiples dispositivos.
n Describir las diferencias en la administracin entre instancias de hardware e
instancias virtuales.
PALO ALTO NETWORKS | 34 35 | GUA PARA COMPRADORES DE FIREWALLS
Rendimiento
El rendimiento en el mundo real es un componente crtico en una implementacin
de seguridad. El control de aplicaciones requiere de una investigacin mucho ms
profunda del trco que los rewalls basados en puertos y, por tanto, es una tarea que
genera mucha ms carga de proceso. La incorporacin de la inspeccin de amenazas
y el control de polticas para el mismo trco se suman a la carga de procesamiento
correspondiente al rewall. Es fundamental determinar el rendimiento en la red
cuando estn habilitadas todas las funciones de seguridad y se est analizando trco
real de distinta naturaleza. Considere las siguientes preguntas y armaciones al emitir
una Solicitud de Propuesta (RFP) para rewalls de nueva generacin.
n Comprobar si el producto es un dispositivo basado en software, un servidor OEM o
un dispositivo especialmente diseado.
n Investigar la arquitectura hardware para conrmar si tiene suciente potencia de
procesamiento para la clasicacin y la inspeccin continuadas de trco al nivel de
aplicacin.
n Describir la combinacin de trco empleada para producir la mtrica de
rendimiento publicada para:
n Firewall + creacin de logs
n Firewall + control de aplicaciones
n Firewall + control de aplicaciones + prevencin de amenazas
n Cul es el rendimiento nominal para:
n Firewall + creacin de logs
n Firewall + control de aplicaciones
n Firewall + control de aplicaciones + prevencin de amenazas
Consideraciones adicionales del proceso de Solicitud de Propuesta (RFP)
Cada organizacin tendr distintas necesidades adems de los elementos que se
enumeran en este documento. Los ejemplos pueden incluir la viabilidad del ofertante,
referencias de clientes, la facilidad de implementacin, as como el soporte para redes
y enrutamiento. Las mejores prcticas recomendadas para una Solicitud de Propuesta
(RFP) aconsejan ser muy sistemticos para que los proveedores demuestren que
efectivamente su oferta proporciona las funcionalidades que arman ofrecer.
El rendimiento es importante
Es fundamental determinar el rendimiento
en la red cuando estn habilitadas todas las
funciones de seguridad y se est analizando
trfico real de distinta naturaleza.
PALO ALTO NETWORKS | 36 37 | GUA PARA COMPRADORES DE FIREWALLS
Una vez que el distribuidor nal, o la "lista acotada" de proveedores, ha sido
seleccionada mediante la Solicitud de Propuesta (RFP), el siguiente paso es evaluar
fsicamente el rewall utilizando patrones de trco, objetos y polticas que sean
representaciones exactas del negocio de la organizacin. Esta seccin ofrece algunas
recomendaciones sobre cmo evaluar fsicamente un rewall de nueva generacin. La
evaluacin le dar la posibilidad de ver, en un entorno real, el nivel de ecacia de un
proveedor de rewalls respecto a los requisitos clave. Tenga en cuenta que las pruebas
sugeridas a continuacin representan una muestra de las funciones demandadas en
un rewall de nueva generacin y se ofrecen como directrices a partir de las cuales
desarrollar un plan de pruebas ms preciso y detallado.
Control y visibilidad de aplicaciones
El objetivo de esta seccin es triple. En primer lugar, determinar que la primera tarea
que el dispositivo en pruebas (DUT) realice sea la clasicacin del trco basado en
la identidad de las aplicaciones, no en el puerto de red. En segundo lugar, determinar
que el dispositivo en pruebas clasique las aplicaciones al margen de tcticas evasivas
como el salto de puertos, la utilizacin de puertos no estndar, u otras tcnicas
evasivas, como medio para mejorar la accesibilidad. En tercer lugar, determinar que
la identidad de la aplicacin se convierta en la base de las polticas del rewall, en
contraposicin a un elemento dentro de una poltica secundaria.
Identicacin de aplicaciones
n Conrmar que el rewall puede identicar una diversidad de aplicaciones. La forma
ideal para realizar esta prueba es implementar el dispositivo en pruebas en modo
Tap o transparente en la red de destino.
n Comprobar que el dispositivo en pruebas identica correctamente el trco de
las aplicaciones utilizando grcamente tanto herramientas de resumen, como
herramientas de investigacin forense.
n Determinar la cantidad de esfuerzo administrativo asociado a esta tarea.
n Evaluar los pasos necesarios para habilitar inicialmente la identicacin de
aplicaciones. Con qu rapidez puede un usuario establecer una poltica y comenzar
a "ver" el trco de aplicaciones? Hay pasos adicionales necesarios para ganar
visibilidad en las aplicaciones que utilizan salto de puertos o puertos no estndar?
Identicar aplicaciones que realizan salto de puertos o utilizan puertos no estndar
n Comprobar que el rewall puede identicar y controlar las aplicaciones que se
ejecutan en puertos que no sean el puerto predeterminado de la aplicacin. Por
ejemplo, SSH en el puerto 80 y Telnet en el puerto 25.
n Conrmar que el rewall puede identicar las aplicaciones que realizan salto de
puertos utilizando aplicaciones conocidas para ello, como Skype, AIM o una de las
mltiples aplicaciones P2P.
Identidad de aplicaciones como base de la poltica de seguridad del rewall
n Conrmar que cuando se crea una poltica de rewall, se utiliza la aplicacin y no el
puerto como el elemento principal de dicha poltica.
n La poltica de control de aplicaciones requiere en primer lugar de una regla en
base a puertos?
n El elemento de control de aplicaciones es un editor de polticas totalmente
independiente?
n Crear una poltica para permitir ciertas aplicaciones y bloquear otras y comprobar
que las aplicaciones se controlan tal y como estaba previsto.
n Admite la poltica basada en aplicaciones la premisa de "negar todo excepto" en la
que se basa un rewall?
Identicar y controlar evasores
n Conrmar que el dispositivo en pruebas puede identicar y controlar una amplia
gama de aplicaciones que se utilizan para eludir los controles de seguridad. Las
aplicaciones que se incluyen en este grupo incluyen proxies externos (PhProxy,
KProxy), acceso a escritorio remoto (RDP, LogMeIn!, TeamViewer, GoToMyPC) y
tneles cifrados no relacionados con VPN (Tor, Hamachi, UltraSurf).
n Conrmar que cada uno de los evasores se identica con precisin durante la prueba.
n Comprobar que todos los evasores pueden ser bloqueados, incluso cuando estn
habilitados en un puerto no estndar.
Evaluacin de los rewalls de nueva
generacin mediante pruebas formales
PALO ALTO NETWORKS | 38 39 | GUA PARA COMPRADORES DE FIREWALLS
Identicacin y control de aplicaciones con SSL o SSH
Con ms y ms aplicaciones que utilizan cifrado SSL y el uso de SSH para otros nes,
es necesario evaluar la capacidad de identicar y controlar las aplicaciones que utilizan
SSL y SSH.
n Comprobar que el dispositivo en pruebas puede identicar y descifrar las
aplicaciones de las cuales se sabe que usan cifrado SSL.
n Conrmar que el dispositivo en pruebas puede identicar, descifrar y aplicar polticas
de seguridad a la aplicacin descifrada.
n Validar que si la aplicacin descifrada es "permitida", se cifrar y se reenviar de
nuevo para que llegue a su destino.
n Conrmar la capacidad de realizar descifrado e inspeccin entrante y saliente de SSL.
n Comprobar que se identica el SSH con precisin, independientemente del puerto.
n Validar que el control de SSH delimita el redireccionado de puertos (local, remoto,
X11) y el uso nativo (SCP, SFTP y acceso a la shell).
Identicar y controlar aplicaciones que comparten la misma conexin
Determinar si los mecanismos de clasicacin de aplicaciones supervisan
continuamente el estado de las aplicaciones, buscando cambios en ellas y, lo
ms importante, si los cambios de estado se clasican correctamente. Muchas
"plataformas" (Google, Facebook, Microsoft) habilitan diferentes aplicaciones una
vez que el usuario inicia sesin por primera vez. El seguimiento de dichos cambios
en el estado de las aplicaciones es un componente crtico en un rewall de nueva
generacin.
n Usando una aplicacin como WebEx o SharePoint, comprobar en primer lugar que el
dispositivo en pruebas identica la solicitud inicial (como WebEx o SharePoint).
n Sin salir de la aplicacin, cambiar a una funcin separada (WebEx Desktop Sharing,
SharePoint Admin, SharePoint Docs) y validar que se detecta el cambio de estado y
que la nueva aplicacin o funcin se identica correctamente.
n Validar las polticas de control e inspeccin sobre la funcin de la aplicacin.
Control de funcin de la aplicacin
Determinar la capacidad del dispositivo en pruebas para identicar y controlar
funciones especcas dentro de una aplicacin. El control a nivel de funcin es
fundamental para habilitar el uso de una aplicacin, incluso ejercer algn tipo de
control para hacer frente a los riesgos asociados de seguridad y para su negocio. La
transferencia de archivos es un ejemplo muy comn, pero existen otros ejemplos que
pueden incluir funciones administrativas, funciones de VoIP, publicacin en redes
sociales y capacidades de chat dentro de una aplicacin principal.
n Conrmar que el dispositivo en pruebas proporciona visibilidad en la jerarqua de las
aplicaciones (tanto en aplicaciones esenciales como en funciones aadidas).
n Comprobar el control de la funcin de transferencia de archivos mediante la
identicacin y el control de una aplicacin que admita transferencia de archivos.
n Conrmar la capacidad del dispositivo en pruebas para bloquear la carga y descarga
de archivos por aplicacin y tipo de archivo. Por ejemplo, la capacidad de evitar que
un usuario transera un documento de Word utilizando una aplicacin de correo
electrnico basada en web.
PALO ALTO NETWORKS | 40 41 | GUA PARA COMPRADORES DE FIREWALLS
Administrar sistemticamente el trco desconocido
Todas las redes tendrn una pequea cantidad de trco desconocido y usted
necesitar determinar con qu rapidez puede saber cul es el trco desconocido y
llevar a cabo las acciones apropiadas.
n Validar que la visibilidad del trco desconocido est disponible y que incluya, como
mnimo:
n El volumen de trco
n Usuario y/o direcciones IP
n El puerto en uso
n El contenido asociado: archivo, amenaza, otros.
n Cul es el nivel de esfuerzo asociado a la investigacin de trco desconocido?
n Se puede establecer una poltica de rewall (permitir, bloquear, inspeccionar, etc.)
del trco desconocido?
n Conrmar las opciones disponibles para identicar y controlar el trco de
aplicaciones desconocidas con mayor precisin.
n Se puede "cambiar el nombre" del trco?
n Puede el usuario crear un mecanismo de identicacin personalizado?
n Proporcionar el proveedor un mecanismo de identicacin personalizado y, si es
as, con qu rapidez?
Prevencin de amenazas
Para proteger su red necesitar controlar de forma estricta la exposicin a las
amenazas y prevenir de forma able las amenazas conocidas y desconocidas
presentes en el trco de aplicaciones permitido. Es necesario estimar la capacidad
del dispositivo en pruebas para aplicar la seguridad en un entorno de mundo real,
incluidas las amenazas desconocidas, las amenazas llevadas a cabo por aplicaciones
que se ejecutan en puertos no estndar y las amenazas encubiertas por la compresin,
mientras se siguen cumpliendo los requisitos de rendimiento de la empresa.
n Conrmar la granularidad de los perles de prevencin de amenazas, si son globales
(solamente) o se pueden ajustar individualmente segn el trco, amenazas, por
usuario, etc.
n Comprobar que las tcnicas de prevencin de amenazas (IPS, malware, ltrado de
contenido) se aplican de manera sistemtica a las aplicaciones (y a las amenazas)
que puedan utilizar puertos no estndar. Esto signica que el dispositivo en
pruebas no solo debe controlar las aplicaciones en puertos no estndar, sino que la
prevencin de amenazas tambin debe ser capaz de detener las que viajan a travs
de puertos no estndar.
n Comprobar que el dispositivo en pruebas detecta archivos de malware y no
aprobados aunque estn comprimidos con ZIP o GZIP.
n Determinar el procedimiento para identicar y bloquear malware desconocido.
n Comprobar el rendimiento del dispositivo en pruebas con la prevencin de amenazas
activada al completo para garantizar la aplicabilidad en el mundo real de las
caractersticas de prevencin de amenazas.
Reduccin de la superficie de ataque
Para proteger su red necesitar controlar
de forma estricta la exposicin a amenazas
y prevenir de forma fiable las amenazas
presentes en el trfico de aplicaciones
permitido.
PALO ALTO NETWORKS | 42 43 | GUA PARA COMPRADORES DE FIREWALLS
Proteccin de usuarios remotos
En primer lugar, determinar si el dispositivo en pruebas puede proteger a usuarios
remotos con las mismas polticas utilizadas internamente; en segundo lugar,
determinar el esfuerzo de administracin y la complejidad de implementacin.
n Comprobar que el dispositivo en pruebas puede proteger a los usuarios remotos que
utilizan ms de una conexin VPN SSL o una conexin de red de retorno.
n Conrmar la facilidad de implementacin y de administracin mediante el
establecimiento de un grupo remoto de usuarios e implementando polticas de prueba.
n Puede el dispositivo en pruebas proporcionar polticas basadas en el tipo de
dispositivo?
n Puede el dispositivo en pruebas proteger del malware para mviles y de las
vulnerabilidades de los sistemas operativos mviles?
n Puede el dispositivo en pruebas proporcionar control de aplicaciones para
aplicaciones mviles?
n Cerrar la prueba mediante la supervisin de usuarios remotos a travs del visor de logs.
Administracin
Usted debe observar la complejidad de la administracin del dispositivo en pruebas en
trminos de dispositivos separados, as como la dicultad (nmero de pasos, claridad
de la interfaz de usuario, etc.) de la tarea en cuestin.
n Conrme la metodologa de gestin del dispositivo en pruebas. La administracin
del dispositivo individual requiere un dispositivo separado o un servidor? Y puede
el dispositivo en pruebas gestionarse a travs de un navegador o es necesario un
"cliente pesado"?
n Comprobar la disponibilidad de herramientas de visualizacin que proporcionen
inteligencia de red a travs de una vista resumida de las aplicaciones, las amenazas y
las direcciones URL en la red.
n Estn los logs almacenados de manera centralizada o estn en bases de
datos separadas por nivel de funcin superior (por ejemplo, rewall, control de
aplicaciones, IPS)?
n Medir el esfuerzo administrativo asociado con el anlisis de logs, tanto para nes
de visibilidad como de investigacin forense y de incidencias.
n Validar que los controles de polticas de aplicaciones, los controles de polticas del
rewall y las caractersticas de prevencin de amenazas pueden habilitarse en el
mismo editor de directivas.
n Se crean y aplican en el rewall con anterioridad las reglas basadas en puertos al
control de nivel de aplicacin?
n Si se utilizan mltiples polticas (por ejemplo, rewall, control de aplicaciones,
IPS), existen herramientas de reconciliacin de polticas para encontrar posibles
agujeros en las polticas?
Rendimiento con servicios habilitados
El control de aplicaciones es mucho ms exigente a nivel de carga de procesamiento
que los rewalls tradicionales basados en puertos, por lo que es fundamental validar
que el dispositivo en pruebas pueda tener un rendimiento adecuado en la identicacin
y control de aplicaciones.
n Comprobar si el dispositivo en pruebas est basado en software, un servidor OEM o
es un dispositivo especialmente diseado.
n Si se trata de un aparato, investigar la arquitectura de hardware para conrmar
que la potencia de procesamiento sea la adecuada y que est cumpliendo con los
requisitos de rendimiento de su red cuando se habilitan los servicios.
n Prubelo! Evale el rendimiento real en un entorno de pruebas utilizando patrones
de trco que sean representativos del entorno de red de destino.
Consideraciones para entornos de hardware y virtualizados
Si la implementacin nal es un centro de datos con sistemas virtuales, entonces
debe escoger y elegir las pruebas anteriores para asegurarse de que la funcionalidad
del rewall en un entorno virtualizado est probado adecuadamente. Para entornos
virtualizados se deben incluir las siguientes consideraciones adicionales:
n Cul es el proceso de administracin de polticas para la instancia de la mquina
virtual? Cuntos pasos hay involucrados?
PALO ALTO NETWORKS | 44 45 | GUA PARA COMPRADORES DE FIREWALLS
n Se pueden crear el mismo tipo de polticas para las instancias tanto fsicas como
virtuales?
n Tienen soporte exactamente las mismas caractersticas tanto en instancias
hardware como virtualizadas?
n Comprobar que el dispositivo en pruebas (DUT) puede proteger todo el trco entre
las mquinas virtuales que hay dentro del mismo servidor virtualizado.
n Comprobar que el dispositivo en pruebas puede ofrecer polticas de usuario,
contenido y aplicaciones en la misma instancia virtual.
n Comprobar que el dispositivo en pruebas puede seguir aplicando polticas incluso en
migraciones de mquinas virtuales de invitado.
n Conrmar y validar la interaccin con el sistema de gestin de la plataforma de
virtualizacin.
n Conrmar y validar la interaccin con los sistemas de automatizacin y orquestacin.
Consideraciones adicionales de evaluacin
El proceso de evaluacin y pruebas de los productos de seguridad de red puede variar
de una organizacin a otra, y en casi todos los casos ir ms all del alcance de este
documento. Los ejemplos pueden incluir la facilidad de implementacin (modo Tap,
modo transparente, otros), redes (capa 2, capa 3, modo mixto) y enrutamiento (RIP,
OSPF, BGP). Las prcticas recomendadas para la correcta evaluacin de un rewall
recomiendan la creacin de un conjunto especco de criterios de valoracin y someter
a cada dispositivo a todo el conjunto de pruebas documentando con todo detalle los
resultados, de modo que la seleccin nal se pueda hacer de una manera sistemtica.
Hace tiempo, la idea de permitir que un empleado usara una aplicacin externa o
personal para nes relacionados con el trabajo era algo inaudito. Hoy en da, los
empleados estn siempre en lnea y utilizan continuamente las ltimas aplicaciones,
fusionando a menudo el uso personal y el laboral. El bloqueo extensivo de estas
aplicaciones es equivalente a bloquear el negocio.
La gua "10 cosas que su prximo rewall debe hacer" valida el hecho de que el mejor
lugar para ejecutar la habilitacin segura de aplicaciones es el rewall utilizando
la identidad de aplicaciones y el modelo tradicional de polticas de control positivo
(rewall) que permitan a los administradores denir, en funcin del negocio, qu
aplicaciones estn habilitadas y cules estn denegadas. Despus de usar las
herramientas de este documento, debe quedar claro que tratar de habilitar de forma
segura las aplicaciones utilizando un modelo de control negativo especco, tipo IPS,
no es realista.
Habilitacin segura de aplicaciones
con rewalls de nueva generacin
PALO ALTO NETWORKS | 46 47 | GUA PARA COMPRADORES DE FIREWALLS
Palo Alto Networks

es la compaa lder de seguridad en red

de nueva generacin. Su innovadora plataforma permite a las
empresas, a los proveedores de servicios y a las entidades
gubernamentales proteger sus redes mediante la habilitacin de
forma segura de un nmero cada vez mayor y ms complejo de
aplicaciones que se ejecutan en sus redes y ofreciendo prevencin
ante amenazas cibernticas. El ncleo de la plataforma de
Palo Alto Networks son sus rewalls de nueva generacin, que
ofrecen visibilidad y control de las aplicaciones, los usuarios y
los contenidos de manera integrada en el rewall mediante su
arquitectura exclusiva de hardware y software. Los productos y
servicios de Palo Alto Networks pueden abordar una amplia gama
de los requisitos de seguridad de las redes, desde los centros
de datos hasta el permetro de la red, as como en empresas
distribuidas, incluidas las ocinas y un creciente nmero de
dispositivos mviles. Los productos de Palo Alto Networks son
utilizados por ms de 12.500 clientes en ms 100 pases.
Para obtener ms informacin, visitewww.paloaltonetworks.com.
Acerca de Palo Alto Networks
PALO ALTO NETWORKS | 48
www.paloaltonetworks.com
2013 Palo Alto Networks, Inc. Reservados todos los derechos. Palo Alto Networks y el logotipo de Palo Alto Networks
son marcas comerciales o marcas comerciales registradas de Palo Alto Networks, Inc. Otros nombres de compaas y
productos pueden ser marcas comerciales de sus respectivos propietarios. Las especicaciones estn sujetas a cambios
sin previo aviso. PAN_BG_090513_ES