jesús díaz barrero jdiaz@paloaltonetworks

Palo Alto Networks

Cómo securizar redes multigigabit a nivel de aplicación sin morir en el intento

Jesús Díaz Barrero

jdiaz@paloaltonetworks.com

La problemática y el reto

3 | ©2012, Palo Alto Networks. Confidential and Proprietary.

Cumplir con las demandas de los entornos multigigabit es complicado

Seguridad = Compromiso Rendimiento o Seguridad Simplicidad o Funcionalidad Eficiencia o Visibilidad

Y no todas las redes y datacenters son iguales…

4 | ©2012, Palo Alto Networks. Confidential and Proprietary.

Los ataques modernos vulneran la seguridad tradicional

La seguridad del DC está diseñada para ofrecer gran rendimiento y repeler los ataques frontales

Los Ataques Modernos flanquean los sistemas actuales Atacantes más sofisticados Ataques a los usuarios (malware

moderno - APTs) Aplicaciones de administración

Necesidad de políticas consistentes, tanto para el perímetro como para las DMZs

5 | ©2012, Palo Alto Networks. Confidential and Proprietary.

Nueva estrategia de ataque al datacenter: APTs

Infección

Comando y control

Escalado

Exfiltración Exfiltración

Atacantes organizados

La empresa

6 | ©2012, Palo Alto Networks. Confidential and Proprietary.

Un ejemplo de infección por malware moderno

Se envía un correo especialmente

diseñado al usuario final

1

2El usuario hace click sobre un enlace a un

sitio con código malicioso

3El website malicioso explota una

vulnerabilidad en el lado del cliente

4Drive-by download del

payload malicioso

7 | ©2012, Palo Alto Networks. Confidential and Proprietary.

Red académica y de investigación

El problema es aún más complejo de resolver, dada la flexibilidad

que requiere la red académica así como la laxitud que normalmente

impera en las políticas de seguridad.

Una carta a los Reyes Magos

9 | ©2012, Palo Alto Networks. Confidential and Proprietary.

Objetivo: habilitación segura en redes multigigabit

Pensamiento Tradicional

✔ Bloquear … o No

Pensamiento Innovador

✔ Habilitar y Controlar

Cuando el mundo era simple

• Dos aplicaciones: browsing e email

• Con comportamiento predecible

• En un entorno de amenazas básico

El protocolo Stateful Inspection resuelve:

Puerto80

Puerto25

10 | ©2012, Palo Alto Networks. Confidential and Proprietary.

Cloud + SaaS

Móvil + BYOD Ataques más sofisticados

Social + Consumerización

Pero el mundo es mucho más complejo hoy día

11 | ©2012, Palo Alto Networks. Confidential and Proprietary.

El nuevo paradigma: habilitación segura de las aplicaciones

• Identificar, controlar y habilitar de modo seguro todas las aplicaciones por usuario. Inspeccionar los contenidos en búsqueda de amenazas en tiempo real

• Alto throughput y performance

• Simplificar la infraestructura y reducir TCO

• Habilitar diversos escenarios de red

Nueva aproximación:

12 | ©2012, Palo Alto Networks. Confidential and Proprietary.

13 | ©2012, Palo Alto Networks. Confidential and Proprietary.

Fuente: Forrester Research, Inc.

También en entornos de diseño de DCs tipo Zero Trust

Una propuesta de solución

15 | ©2012, Palo Alto Networks. Confidential and Proprietary.

Aproximación a la soluciónEs necesario trabajar en tres áreas fundamentales que se integran y cooperan entre sí:

Diseño del firmware Diseño del hardware Tecnologías de apoyo externas

16 | ©2012, Palo Alto Networks. Confidential and Proprietary.

Diseño del firmware: identificación de la aplicación• Ve todo el tráfico, todos los puertos

• Escalable y extensible

• Siempre on, primera acción

• Inteligencia integrada

Mucho más que una simple firma…

17 | ©2012, Palo Alto Networks. Confidential and Proprietary.

Diseño del firmware: identificación del usuario• Averiguar usuario y rol (grupo)

• Transparente si es posible

• Extensible a todos los usuarios

• Integrable con sistemas externos

18 | ©2012, Palo Alto Networks. Confidential and Proprietary.

Diseño del firmware: inspección del contenido• Herencia de info sobre app. y user

• Todos los mecanismos activos

• Protección de users y servers

• Simplificación del tuning y gestión

19 | ©2012, Palo Alto Networks. Confidential and Proprietary.

Firmware: por qué visibilidad y control han de estar integrados en el FW

Política decisión por puerto

Política decisión por App Ctrl

El control de apps. es un ‘parche’• FW basado en puertos + App Ctrl (IPS) = dos políticas • Las aplicaciones se tratan como amenazas; solo

bloqueas lo que buscas expresamente (lógica negativa)

Implicaciones• La decisión sobre el acceso de red se realiza sin

información• No es posible habilitar de manera segura las

aplicaciones

IPS

Aplicaciones

FirewallPuertoTráfico

Firewall IPS

Política decisión por App Ctrl

Escanear la aplicaciónbuscando amenazas

Aplicaciones

AplicaciónTráfico

Control de aplicaciones en un NGFW • El control de apps está en el fw = política unificada• Visibilidad sobre todos los puertos, para todo el tráfico,

todo el tiempo

Implicaciones• Las decisiones de acceso a la red se toman en base a

la identidad de la aplicación• Se habilita de manera segura el uso de las

aplicaciones

Diseño del hardware: estrategia Divide y Vencerás

20 | ©2012, Palo Alto Networks. Confidential and Proprietary.

Una sola iteración• Procesamiento una vez

por paquete- Clasificación del tráfico

(app identification)

- Mapeo Usuario/Grupo

- Análisis de contenidos – amenazas, URLs, info confidencial

• Una única política

Procesamiento paralelo• Motores paralelos

basados en hw específico, para funciones concretas

• Data/control planes separados

21 | ©2012, Palo Alto Networks. Confidential and Proprietary.

Tecnologías de apoyo externas: sandboxing• Envío de ficheros sospechosos

• Uso de sandbox en la nube

• Análisis de comportamiento

• Generación y distribución firmas

Conclusiones

23 | ©2012, Palo Alto Networks. Confidential and Proprietary.

Conclusiones

Detección de malware moderno

Identificación de la aplicación

Inspección y limpieza del contenido

Identificación del usuario y su rol

1. Reducir la superficie de ataque proactivamente

2. Controlar los vectores de propagación basados en aplicaciones

3. Utilizar la información del usuario y su rol

4. Proteger frente a las amenazas de modo integral (en el contexto)

5. Utilizar hardware de propósito específico y procesamiento paralelo