jesús díaz barrero jdiaz@paloaltonetworks

Palo Alto Networks

Cómo securizar redes multigigabit a nivel de aplicación sin morir en el intento

Jesús Díaz Barrero

[email protected]

mailto:[email protected]

La problemática y el reto

3 | ©2012, Palo Alto Networks. Confidential and Proprietary.

Cumplir con las demandas de los entornos multigigabit es complicado

Seguridad = Compromiso Rendimiento o Seguridad Simplicidad o Funcionalidad Eficiencia o Visibilidad

Y no todas las redes y datacenters son iguales…


Los ataques modernos vulneran la seguridad tradicional

La seguridad del DC está diseñada para ofrecer gran rendimiento y repeler los ataques frontales

Los Ataques Modernos flanquean los sistemas actuales Atacantes más sofisticados Ataques a los usuarios (malware

moderno - APTs) Aplicaciones de administración

Necesidad de políticas consistentes, tanto para el perímetro como para las DMZs


Nueva estrategia de ataque al datacenter: APTs

Infección

Comando y control

Escalado

Exfiltración Exfiltración

Atacantes organizados

La empresa


Un ejemplo de infección por malware moderno

Se envía un correo especialmente

diseñado al usuario final

1

2El usuario hace click sobre un enlace a un

sitio con código malicioso

3El website malicioso explota una

vulnerabilidad en el lado del cliente

4Drive-by download del

payload malicioso


Red académica y de investigación

El problema es aún más complejo de resolver, dada la flexibilidad

que requiere la red académica así como la laxitud que normalmente

impera en las políticas de seguridad.

Una carta a los Reyes Magos


Objetivo: habilitación segura en redes multigigabit

Pensamiento Tradicional

✔ Bloquear … o No

Pensamiento Innovador

✔ Habilitar y Controlar

Cuando el mundo era simple

• Dos aplicaciones: browsing e email

• Con comportamiento predecible

• En un entorno de amenazas básico

El protocolo Stateful Inspection resuelve:

Puerto80

Puerto25


Cloud + SaaS

Móvil + BYOD Ataques más sofisticados

Social + Consumerización

Pero el mundo es mucho más complejo hoy día


El nuevo paradigma: habilitación segura de las aplicaciones

• Identificar, controlar y habilitar de modo seguro todas las aplicaciones por usuario. Inspeccionar los contenidos en búsqueda de amenazas en tiempo real

• Alto throughput y performance

• Simplificar la infraestructura y reducir TCO

• Habilitar diversos escenarios de red

Nueva aproximación:



Fuente: Forrester Research, Inc.

También en entornos de diseño de DCs tipo Zero Trust

Una propuesta de solución


Aproximación a la soluciónEs necesario trabajar en tres áreas fundamentales que se integran y cooperan entre sí:

Diseño del firmware Diseño del hardware Tecnologías de apoyo externas


Diseño del firmware: identificación de la aplicación• Ve todo el tráfico, todos los puertos

• Escalable y extensible

• Siempre on, primera acción

• Inteligencia integrada

Mucho más que una simple firma…


Diseño del firmware: identificación del usuario• Averiguar usuario y rol (grupo)

• Transparente si es posible

• Extensible a todos los usuarios

• Integrable con sistemas externos


Diseño del firmware: inspección del contenido• Herencia de info sobre app. y user

• Todos los mecanismos activos

• Protección de users y servers

• Simplificación del tuning y gestión


Firmware: por qué visibilidad y control han de estar integrados en el FW

Política decisión por puerto

Política decisión por App Ctrl

El control de apps. es un ‘parche’• FW basado en puertos + App Ctrl (IPS) = dos políticas • Las aplicaciones se tratan como amenazas; solo

bloqueas lo que buscas expresamente (lógica negativa)

Implicaciones• La decisión sobre el acceso de red se realiza sin

información• No es posible habilitar de manera segura las

aplicaciones

IPS

Aplicaciones

FirewallPuertoTráfico

Firewall IPS

Política decisión por App Ctrl

Escanear la aplicaciónbuscando amenazas

Aplicaciones

AplicaciónTráfico

Control de aplicaciones en un NGFW • El control de apps está en el fw = política unificada• Visibilidad sobre todos los puertos, para todo el tráfico,

todo el tiempo

Implicaciones• Las decisiones de acceso a la red se toman en base a

la identidad de la aplicación• Se habilita de manera segura el uso de las

aplicaciones

Diseño del hardware: estrategia Divide y Vencerás


Una sola iteración• Procesamiento una vez

por paquete- Clasificación del tráfico

(app identification)

- Mapeo Usuario/Grupo

- Análisis de contenidos – amenazas, URLs, info confidencial

• Una única política

Procesamiento paralelo• Motores paralelos

basados en hw específico, para funciones concretas

• Data/control planes separados


Tecnologías de apoyo externas: sandboxing• Envío de ficheros sospechosos

• Uso de sandbox en la nube

• Análisis de comportamiento

• Generación y distribución firmas

Conclusiones


Conclusiones

Detección de malware moderno

Identificación de la aplicación

Inspección y limpieza del contenido

Identificación del usuario y su rol

1. Reducir la superficie de ataque proactivamente

2. Controlar los vectores de propagación basados en aplicaciones

3. Utilizar la información del usuario y su rol

4. Proteger frente a las amenazas de modo integral (en el contexto)

5. Utilizar hardware de propósito específico y procesamiento paralelo

jesús díaz barrero jdiaz@paloaltonetworks

Documents