Palo Alto Networks PA-2020 - Documentación para la preventa
←
→
Transcripción del contenido de la página
Si su navegador no muestra la página correctamente, lea el contenido de la página a continuación
Palo Alto Networks PA-2020 Documentación para la preventa
PA – 2020 – Documentación para la preventa
Página 2 de 100
INDICE
INTRODUCCIÓN ...................................................................................................4
OBJETO .......................................................................................................................... 4
ALCANCE........................................................................................................................ 4
RESUMEN ....................................................................................................................... 5
ARQUITECTURAS DE RED SOPORTADAS.......................................................9
MODO VISIBILIDAD .......................................................................................................... 9
MODO VIRTUAL WIRE .................................................................................................... 11
MODO ROUTING ............................................................................................................ 13
VIRTUALIZACIÓN ........................................................................................................... 14
ALTA DISPONIBILIDAD (HA) .......................................................................................... 16
EJEMPLO DE ARQUITECTURA MIXTA ............................................................................... 18
FUNCIONALIDADES FUNDAMENTALES DE PAN-OS....................................21
DETALLE DEL FUNCIONAMIENTO DE APP-ID................................................................... 21
Módulos ................................................................................................................................................ 23
Ejemplo del modo de trabajo de App-ID: Identificación de WebEx .................................................... 24
Categorización de las aplicaciones ...................................................................................................... 25
Actualizaciones periódicas ................................................................................................................... 27
Gestión de aplicaciones propietarias o desconocidas.......................................................................... 27
DETALLE DEL FUNCIONAMIENTO DE USER-ID................................................................. 28
Módulos ................................................................................................................................................ 28
Integración con el directorio activo de Microsoft a través de PAN-Agent .......................................... 31
Identificación de usuarios de Citrix y Microsoft Terminal Services .................................................... 35
Integración con el e-Directory de Novell a través de User-ID-Agent.................................................. 35
Otros directorios LDAP: API XML ...................................................................................................... 36
Integración de usuarios no pertenecientes al dominio: Captive Portal con NTLM............................. 38
Integración de usuarios no pertenecientes al dominio: Captive Portal con página web..................... 40
DETALLE DEL FUNCIONAMIENTO DE CONTENT-ID........................................................... 43
Prevención de amenazas (IPS) ............................................................................................................. 45
Prevención de ataques de DoS ............................................................................................................. 48
Prevención frente a escaneos de red .................................................................................................... 49
Anomalía de paquetes ........................................................................................................................... 50
Antivirus y Anti-Spyware ...................................................................................................................... 51
Filtrado de URLs .................................................................................................................................. 53
Prevención frente a la fuga de datos (DLP) ......................................................................................... 57
Actualizaciones periódicas y equipo I+D de Content-ID..................................................................... 59
OTROS ......................................................................................................................... 60
Seguridad basada en Zonas .................................................................................................................. 60
Routing y protocolos de red soportados ............................................................................................... 61
Reglas de Seguridad ............................................................................................................................. 61
NAT ....................................................................................................................................................... 62
Policy Based Forwarding ..................................................................................................................... 64
VPNs IPSec ........................................................................................................................................... 66
SSL VPNs .............................................................................................................................................. 67
QoS........................................................................................................................................................ 68
DISEÑO HARDWARE.........................................................................................72
ARQUITECTURA SINGLE PASS PARALLEL PROCESSING ................................................. 74
PA – 2020 – Documentación para la preventa
Página 3 de 100
ARQUITECTURA HARDWARE DEL MODELO PA-2020....................................................... 76
GESTIÓN, VISIBILIDAD Y REPORTING ...........................................................78
GESTIÓN ....................................................................................................................... 78
REPORTING Y GENERACIÓN DE INFORMES ..................................................................... 83
Reporting .............................................................................................................................................. 83
Generación de Informes........................................................................................................................ 88
API XML DE REPORTING .............................................................................................. 91
PANORAMA: GESTIÓN CENTRALIZADA DE MÚLTIPLES DISPOSITIVOS ............................... 93
ANEXO A: CARACTERÍSTICAS TÉCNICAS DEL PA-2020 .............................96
ANEXO B: URLS DE INTERÉS........................................................................100
PA – 2020 – Documentación para la preventa
Página 4 de 100
Introducción
Objeto
El objeto fundamental de esta documentación es presentar a los preventas,
responsables de preparar y desarrollar soluciones de Palo Alto Networks -PAN de ahora
en adelante-, una visión sobre las características fundamentales que se encuentran en
los firewalls de Nueva Generación de PAN, tanto en lo que a plataformas hardware se
refiere, como a funcionalidades software y de gestión. Se incluye asimismo información
sobre los tipos de arquitecturas de red y despliegues soportados.
El fin es por tanto facilitar documentación en español que colabore en la correcta
realización de una oferta a un cliente final, intentando además simplificar las tareas de
preparación de las memorias técnicas para los integradores.
Hemos intentado dotar al documento asimismo de un carácter didáctico, que ayude a
comprender mejor las capacidades de las soluciones de PAN, por lo que su uso no está
restringido únicamente a integradores, sino que también puede ser ofrecido a clientes
finales, interesados en conocer mejor nuestras soluciones.
En cualquier caso el documento no está pensado ni escrito para sustituir a las guías de
configuración o technotes disponibles, por lo que remitimos a los usuarios a utilizar esa
documentación cuando deseen obtener información sobre cómo se configura cualquiera
de las funcionalidades aquí descritas.
Pretendemos asimismo mantenerlo como documento vivo, que se irá actualizando con
las novedades o plataformas que Palo Alto Networks lance al mercado.
Alcance
La documentación aquí presentada cubre las siguientes áreas fundamentales:
Introducción a las soluciones de PAN
Arquitecturas de red soportadas
Diseño y funcionalidades de PAN-OS (en general sobre las versiones 3.1.x)
Diseño hardware
Especificaciones y capacidades del modelo PA - 2020
PA – 2020 – Documentación para la preventa
Página 5 de 100
Resumen
Hoy día los departamentos de TI se enfrentan a una problemática creciente, con
usuarios –tanto externos como internos- que utilizan una nueva generación de
aplicaciones, capaces de evadir la detección que ofrecen los firewalls tradicionales.
Las soluciones actuales de cortafuegos – firewalls – permiten establecer políticas de
seguridad basadas fundamentalmente en puertos y protocolos. Hasta hace no mucho,
esta aproximación era válida pues lo normal era que por el puerto 80 pasara sólo la
navegación web y por el puerto 443, el tráfico SSL. Sin embargo, las nuevas
aplicaciones de la Web 2.0 tales como Facebook, YouSendIt, SalesForce, Messenger,
Skype, etc… se han convertido en un verdadero fenómeno social y su uso se ha
extendido tanto en ámbitos privados como profesionales. Muchas de estas aplicaciones
utilizan técnicas evasivas como port hopping, tunelización/emulación de otras
aplicaciones, etc… para burlarse de las reglas tradicionales, basadas en puertos y
protocolos. Muchas de ellas se esconden incluso bajo tráfico cifrado para ocultar su
identidad.
Como resultado de todo ello, los responsables de TI no pueden identificar o controlar las
aplicaciones que están corriendo realmente en la red y esta falta de visibilidad y control
impacta negativamente en el negocio, generando:
Incumplimiento de regulaciones y políticas internas
Fuga de datos
Incremento del consumo de ancho de banda
Aumento de las amenazas (virus, spyware, worms y otras vulnerabilidades)
Desaprovechamiento de los recursos (tanto humanos como de equipamiento)
Los responsables de TI necesitan por tanto una nueva aproximación, que les permita
identificar con precisión las aplicaciones actuales, y no solamente los puertos que usan,
a través de una inspección completa del tráfico.
La siguiente figura, Figura 1, muestra un ejemplo de la cantidad de aplicaciones de
propósito muy diferente, que pueden circular a través de los puertos tradicionales (80 y
443). La mayoría de estas aplicaciones son “invisibles” para los firewalls de primera
generación, que consideran que todo lo que llega por el puerto 80 se corresponde con
tráfico HTTP (de navegación) y todo lo que circula por el 443 es SSL (navegación
segura):
PA – 2020 – Documentación para la preventa
Página 6 de 100
Figura 1.- Ejemplo de diversas aplicaciones sobre puertos 80 y/ó 443
Palo Alto Networks redefine el concepto de Firewall aportando un control y visibilidad sin
precedentes, sobre todo el tráfico IP en las redes corporativas. Para conseguir este
objetivo, se decidió diseñar un producto completamente nuevo, orientado desde el
comienzo en sus especificaciones hardware y software para cubrir los siguientes
requisitos:
Identificación de las aplicaciones, independientemente del puerto o protocolo
de base que utilicen, incluso aunque vayan codificadas bajo SSL o empleen
alguna táctica evasiva.
Identificación de los usuarios en base a su rol en la corporación,
independientemente de qué dirección IP puedan tener en un momento
determinado.
Protección en tiempo real frente a los ataques y al software malicioso,
embebido en el tráfico de las aplicaciones.
Facilidad en la gestión de las políticas con herramientas de visualización
potentes y un editor de políticas unificado.
Rendimiento multi-gigabit sin degradación al utilizarlo en línea.
La siguiente figura, Figura 2, esquematiza los cuatro pilares básicos sobre los que se
sustentan los firewalls de nueva generación de Palo Alto Networks:
PA – 2020 – Documentación para la preventa
Página 7 de 100
Figura 2.- Pilares básicos de los firewalls de PAN
Aunque en los capítulos posteriores del presente documento se detallarán las
funcionalidades de cada módulo básico, a continuación se ofrece un resumen
introductorio de todos ellos:
App-ID es una tecnología de clasificación del tráfico, que detecta con precisión
qué aplicaciones están corriendo en la red a través de diversas técnicas de
identificación. La identidad de la aplicación sirve de base para todas las
decisiones relativas a la política como la utilización apropiada y la inspección de
contenidos. Es por tanto la tecnología base que utilizan los firewalls de PAN, en
contraposición a la tecnología stateful inspection que utilizan otros fabricantes, y
que desde PAN consideramos totalmente insuficiente para categorizar y
proteger el panorama actual de aplicaciones.
La tecnología User-ID de Palo Alto Networks se integra con el directorio
corporativo, para vincular dinámicamente la dirección IP con la información de
usuario y de grupo (rol corporativo). Si las empresas tienen acceso a la actividad
del usuario, pueden supervisar y controlar las aplicaciones y los contenidos que
recorren la red, de una forma mucho más efectiva que por una simple dirección
IP (que normalmente es además cambiante –DHCP, movilidad…).
PA – 2020 – Documentación para la preventa
Página 8 de 100
Control de los contenidos: La tecnología Content-ID de Palo Alto Networks
combina un motor de prevención de amenazas en tiempo real con una base de
datos URL integral y elementos de identificación de aplicaciones, para limitar las
transferencias de archivos sin autorización, detectar y bloquear gran número de
amenazas y controlar la navegación por Internet no relacionada con el trabajo.
Content ID funciona en coordinación con App-ID lo que mejora la eficacia del
proceso de identificación de los contenidos.
La arquitectura SP3 – Single Pass Parallel Architecture – ofrece un
rendimiento no conocido hasta la fecha gracias a la utilización de hardware
paralelo, de modo que cada paquete es analizado una única vez a través de
todos los módulos de la política de seguridad. A diferencia de muchas
soluciones actuales, que utilizan una única CPU o una combinación de ASICs y
CPUs, los firewalls de PAN utilizan una arquitectura construida a propósito, y
desde cero, con procesamiento dedicado para la prevención de amenazas junto
con procesamiento específico y memoria dedicada para las tareas de red,
seguridad y gestión. La utilización de cuatro tipos diferentes de procesadores
implica que las funcionalidades clave no compiten por ciclos de reloj con otras
funciones de seguridad, como ocurre en el caso de equipos monoprocesador. El
resultado final es una latencia muy baja y un gran throughput, con todos los
servicios de seguridad habilitados.
Un potente conjunto de herramientas de visualización facilita a los
administradores información completa sobre las aplicaciones que recorren la
red, quién las utiliza y el impacto que pueden tener sobre la seguridad de la
corporación.
PA – 2020 – Documentación para la preventa
Página 9 de 100
Arquitecturas de red soportadas
Los equipos de Palo Alto Networks, pueden implantarse en la red con tres topologías
diferentes:
Modo Visibilidad (mirror o tap)
Modo Virtual Wire (bridge-IPS)
Modo Routing (incluyendo vlans)
Es especialmente interesante señalar, que los tres modos de implantación pueden
coexistir dentro de un mismo equipo, incluso dentro de un mismo firewall virtual.
Esta flexibilidad ofrece capacidades de diseño e implantación prácticamente ilimitadas.
A continuación se detallan las características y capacidades de cada arquitectura de
red.
Modo Visibilidad
La siguiente figura, Figura 3, muestra un diagrama lógico de este tipo de diseño:
Figura 3.- Arquitectura en modo visibilidad (mirror)
Este modo de implantación es no intrusivo, y recibe el nombre de Tap en la
configuración de PAN. El equipo recibe el tráfico a través de elementos que lo copian
PA – 2020 – Documentación para la preventa
Página 10 de 100
(switches con mirrors, port spans, taps, …). Presenta la gran ventaja de que no es
necesario provocar ningún corte en la red, para poder insertarlo; de este modo, esta
topología es ideal para realizar pruebas de concepto.
Es importante señalar que es perfectamente posible configurar varios puertos en modo
tap, para copiar el tráfico desde múltiples orígenes; de esta forma es posible analizar el
comportamiento de diferentes redes simultáneamente.
A continuación se detallan las funcionalidades principales que se obtienen, con el
equipo configurado en modo visibilidad:
Identificación y visibilidad de las aplicaciones que circulan por la red.
Identificación de las amenazas detectadas sobre las aplicaciones (antivirus, anti-
spyware, URL Filtering y análisis de vulnerabilidades).
Análisis del contenido (DLP – Data Loss Prevention- sobre patrones a buscar en
documentos e identificación de los ficheros que circulan por la red, tanto en
entrada como en salida).
Identificación de los usuarios, en relación con el directorio corporativo (User-ID).
Generación de informes detallados sobre la utilización y la actividad.
Análisis de tráfico cifrado con SSL (sólo en entrada).
Respecto a las funcionalidades que no se obtienen en modo visibilidad, en general hay
que señalar que son todas aquellas que requieren que el equipo se encuentre en línea
(routing, NAT, Policy Based Forwarding, bloqueo del tráfico o los ataques, VPNs, …).
Finalmente también es interesante reseñar que, aunque es una arquitectura de red muy
empleada durante las pruebas de concepto, también ofrece ventajas interesantes en
entornos en producción. Puesto que las tres topologías se pueden mezclar sobre un
mismo equipo o sistema virtual, muchos clientes se reservan algunos puertos de los
firewalls de PAN para utilizarlos en modo visibilidad. Normalmente se utilizan para
realizar monitorizaciones puntuales de redes que no están segmentadas (y cuyo tráfico
no pasa por tanto a través del cortafuegos), cuando se detecta algún problema en las
mismas. Puesto que basta con configurar un mirror en el switch que da servicio a esa
red, es muy sencillo implantar el equipo en modo visibilidad obteniendo información muy
detallada y valiosa sobre el comportamiento de la red, así como identificar la posible
causa del problema.PA – 2020 – Documentación para la preventa
Página 11 de 100
Modo Virtual Wire
La siguiente figura, Figura 4, muestra un diagrama lógico de este tipo de diseño:
Figura 4.- Arquitectura en modo Virtual Wire (bridge-IPS)
Este modo de implantación es el primero en el que el equipo está en línea y recibe el
nombre de Virtual Wire dentro de la terminología de PAN. Puesto que está en línea, el
equipo puede tomar medidas de bloqueo sobre el tráfico que se considere pernicioso.
Tal y como muestra la Figura 4, el equipo se inserta dentro de la red como si se tratara
de un bridge, sin dirección IP ni dirección MAC. Está configurado por tanto en modo
transparente, lo que facilita el despliegue en la red (no se requiere segmentación de
nivel 3), así como la protección del propio equipo al no ser detectable (no dispone de IP
ni dirección MAC).
A continuación se detallan las funcionalidades que se obtienen con esta arquitectura de
red:
Identificación y visibilidad de las aplicaciones que circulan por la red.
Identificación de las amenazas detectadas sobre las aplicaciones (antivirus, anti-
spyware, URL Filtering y análisis de vulnerabilidades).PA – 2020 – Documentación para la preventa
Página 12 de 100
Análisis del contenido (DLP – Data Loss Prevention- sobre patrones a buscar en
documentos e identificación de los ficheros que circulan por la red, tanto en
entrada como en salida).
Identificación de los usuarios, en relación con el directorio corporativo (User-ID).
Generación de informes detallados sobre la utilización y la actividad.
Análisis del tráfico cifrado con SSL (sólo en entrada).
Bloqueo del tráfico que se considera no acorde a la política corporativa.
Bloqueo de las amenazas detectadas (antivirus, anti-spyware y
vulnerabilidades).
Control y bloqueo de las URLs no permitidas.
QoS (Calidad de Servicio).
Respecto a las funcionalidades que no se obtienen en modo Virtual Wire, en general
hay que señalar que son todas aquellas que requieren que el equipo realice funciones
de nivel 3 (routing, NAT, Policy Based Forwarding, VPNs, …). El siguiente modo de
configuración (modo routing), incorpora todas las funcionalidades al completo que
integran los cortafuegos de PAN.
Finalmente, es interesante señalar que es posible configurar múltiples segmentos en
modo Virtual Wire ó IPS sobre un mismo equipo (uno por cada pareja de puertos), así
como mezclar esta topología de red con cualquiera de las otras dos existentes. En un
punto posterior se muestra un diseño de arquitectura avanzada, en el que se mezclan
diferentes tipos de topologías – incluyendo IPS- para conseguir una solución de mayor
seguridad utilizando un mismo equipamiento.PA – 2020 – Documentación para la preventa
Página 13 de 100
Modo Routing
La siguiente figura, Figura 5, muestra un diagrama lógico de este tipo de diseño:
Figura 5.- Arquitectura en modo Routing (también con soporte a vlans)
Tal y como muestra la Figura 5, en el modo routing el equipo se instala con sus
interfaces configurados a nivel 3, pudiendo actuar por tanto como gateway de las redes
a las que se encuentra conectado.
En este modo de trabajo el equipo ofrece la posibilidad de utilizar todas sus
capacidades, entre las que destacan las siguientes:
Identificación y visibilidad de las aplicaciones que circulan por la red.
Identificación de las amenazas detectadas sobre las aplicaciones (antivirus, anti-
spyware, URL Filtering y análisis de vulnerabilidades).
Análisis del contenido (DLP – Data Loss Prevention- sobre patrones a buscar en
documentos e identificación de los ficheros que circulan por la red, tanto en
entrada como en salida).PA – 2020 – Documentación para la preventa
Página 14 de 100
Identificación de los usuarios, en relación con el directorio corporativo (User-ID).
Generación de informes detallados sobre la utilización y la actividad.
Análisis del tráfico cifrado con SSL (entrada y salida).
Bloqueo del tráfico que se considera no acorde a la política corporativa.
Bloqueo de las amenazas detectadas (antivirus, anti-spyware y
vulnerabilidades).
Control y bloqueo de las URLs no permitidas.
QoS
Routing estático
Routing dinámico: RIP, OSPF y BGP
VPNs IPSec
VPNs SSL
Policy Routing (Policy Based Forwarding)
De nuevo, hay que señalar que los equipos de PAN pueden trabajar de forma híbrida,
mezclando por tanto topologías de los tres modos anteriormente descritos, lo que ofrece
una gran versatilidad a la hora de realizar despliegues sobre redes complejas.
Virtualización
Los equipos de PAN de la serie 2000 y 4000 soportan la capacidad de ser virtualizados.
En el caso concreto del modelo PA-2020, el equipo soporta hasta 5 firewalls virtuales, a
través de la adquisición de una licencia opcional.
Durante la definición de la virtualización, el administrador asigna los interfaces que
desea a cada firewall virtual, que pasa a comportarse a partir de este momento como un
sistema totalmente independiente del resto de sistemas virtuales. De esta forma es
posible administrar independientemente los sistemas virtuales, o generar informes para
cada uno de ellos.
Además, también es posible mezclar las tres topologías de red vistas anteriormente, en
cada firewall virtual. Así pues, por ejemplo, es posible tener dos sistemas virtuales sobre
una única plataforma, cada uno de ellos con cinco interfaces asignados. Dentro de cada
sistema virtual podemos tener tres puertos configurados en modo routing y otros dos en
modo IPS.PA – 2020 – Documentación para la preventa
Página 15 de 100
Además, y a partir de las versiones de PAN-OS 3.1.x, es posible configurar Virtual
System Shared Gateways, entre distintos sistemas virtuales. Cada sistema virtual es, en
principio, totalmente independiente de los demás. Esta funcionalidad permite que un
interfaz pertenezca a múltiples sistemas virtuales. La utilización más común de esta
funcionalidad, es disponer de un interfaz común entre múltiples sistemas virtuales, de tal
modo que solamente sea ese interfaz el que esté cara a Internet, dando servicio a todas
las redes y sistemas virtuales que se encuentran por detrás. La siguiente figura, Figura
6, muestra un ejemplo de arquitectura con múltiples sistemas virtuales, cada uno con
una conexión independiente hacia el exterior (sin utilizar por tanto Virtual System
Shared Gateways):
Figura 6.- Conexión independiente de múltiples sistemas virtuales
Tal y como se observa, es necesario que cada sistema virtual disponga de una o varias
IPs públicas, para poder ofrecer conectividad hacia y desde el exterior.
Por el contrario, la siguiente figura, Figura 7, muestra un ejemplo de configuración en la
que se utiliza la funcionalidad de Shared Gateway, entre múltiples sistemas virtuales.
Obsérvese que en este caso hay un único gateway, compartido entre todos los
sistemas, y que por tanto la gestión es más simple y el gasto de IPs públicas menor:PA – 2020 – Documentación para la preventa
Página 16 de 100
Figura 7.- Conexión a Internet con Shared Gateway entre sistemas virtuales
Nota: También es posible realizar configuraciones similares, con el objetivo de permitir
el tráfico entre algunos de los sistemas virtuales si es necesario.
Alta Disponibilidad (HA)
Todos los equipos de PAN tienen la posibilidad de trabajar en configuraciones de alta
disponibilidad, en el que el fallo de uno de los equipos no supone pérdida de servicio.
En las versiones 3.1.x, la configuración de alta disponibilidad soportada es Activo-
Pasivo. A partir de las versiones 4.x se incluirá también soporte a topologías Activo-
Activo.
Es importante señalar que las configuraciones de HA requieren que ambos
modelos sean idénticos, así como que dispongan exactamente del mismo nivel de
licencias software y versión de firmware.
La conmutación de un nodo al otro se produce si falla algún interfaz de red
(configuración Link Monitoring) o incluso si falla algún otro elemento, que se está
monitorizando expresamente (Path Monitoring).
Para la configuración de la sincronización, se utilizan dos puertos dedicados,
denominados HA1 y HA2. HA1 es obligatorio y HA2 opcional, aunque recomendable. En
los equipos de la serie 4000 estos interfaces están preasignados de fábrica; en las
series 500 y 2000 el administrador ha de seleccionar qué puertos quiere utilizar para
cada propósito.PA – 2020 – Documentación para la preventa
Página 17 de 100
El interfaz HA1 dispone de direccionamiento IP, y es el que se emplea para sincronizar
las configuraciones. El interfaz HA2 es un interfaz de nivel 2 (sin IP por tanto) y se utiliza
para sincronizar la tabla de sesiones activas, evitando de este modo al máximo la
pérdida de servicio en caso de conmutación de un nodo al otro.
A continuación se detalla la operativa de la alta disponibilidad y el comportamiento en
caso de fallo de los interfaces de HA:
El firewall activo, monitoriza continuamente su configuración y la información de
las sesiones con el firewall pasivo a través de los interfaces de HA.
Si el firewall activo falla, entonces el pasivo detecta que se han perdido los
heartbeats y automáticamente se vuelve activo.
Si falla el interfaz de HA2 (sincronización de sesiones) no se realiza esta tarea,
pero el cluster se mantiene igual. Si por el contrario falla el interfaz HA1
(sincronización de configuraciones), entonces fallan los heartbeats y ambos
firewalls se vuelven activos.
A continuación se resumen las ventajas de operar con arquitecturas montadas en alta
disponibilidad:
Disponibilidad del servicio, incluso aunque falle el equipo principal.
Simplicidad en el diseño, al no requerir elementos extras para garantizar la
disponibilidad.
Garantía en el mantenimiento de las sesiones (las sesiones se sincronizan entre
master y backup).
Posibilidad de monitorizar varios elementos en la red (routers, servidores, salida
a Internet, ...), para tomar la decisión de conmutación más adecuada en cada
momento (link monitoring y path monitoring).
Posibilidad de montar una solución redundada entre CPDs separados
geográficamente.
Sencillez en la gestión (la configuración se realiza en el master y
automáticamente se propaga al de backup, sin necesidad de intervención
humana).
Posibilidad de utilizar un modelo de HA activo-activo (a partir de la versión 4.0).
PA – 2020 – Documentación para la preventa
Página 18 de 100
Ejemplo de arquitectura mixta
Para concluir con el capítulo de arquitecturas, a continuación presentamos una que nos
parece interesante porque ejemplifica las capacidades de mezclar diferentes topologías,
junto con la funcionalidad de firewalls virtuales sobre un hipotético caso real. La
siguiente figura, Figura 8, muestra el diseño lógico de la red:
Figura 8.- Diseño de red con firewalls virtuales en diferentes topologías
La idea de la arquitectura es utilizar la clásica doble barrera de cortafuegos, compuesta
por equipamiento de dos fabricantes diferentes con el fin de mejorar la seguridad.
En estos escenarios es común que el cliente se pregunte dónde ubicar mejor el
equipamiento de PAN: en la zona externa (Internet) o en la zona interna (LAN). Sobre la
zona externa el equipo ofrece funcionalidades de seguridad y calidad de servicio muy
interesantes (como filtrado IPS o QoS), mientras que en la zona interna también incluyePA – 2020 – Documentación para la preventa
Página 19 de 100
capacidades muy significativas orientadas al control de los usuarios internos
(integración con el directorio corporativo, filtrado de URLs, Antivirus o AntiSpyware).
La arquitectura propuesta en la Figura 8, resuelve esta cuestión haciendo uso de la
funcionalidad de firewalls virtuales y la capacidad de trabajar en entornos de
arquitecturas mixtas. Así, se han creado tres sistemas virtuales sobre los equipos de
PAN, que ofrecen los siguientes servicios:
Cluster – 1: Funcionalidades de IPS y QoS (entrada a Internet).
Cluster – 2: Funcionalidades de VPNs IPSec y SSL-VPN.
Cluster – 3: Cortafuegos interno, integrado con el directorio corporativo.
El cluster virtual de entrada, configurado en modo Virtual Wire, ofrece funcionalidades
de IPS y QoS, orientadas fundamentalmente a la protección y garantía de la calidad de
las aplicaciones críticas del cliente. Puesto que el equipo se integra en modo bridge, es
transparente en la arquitectura y no requiere realizar ningún tipo de segmentación IP
extra.
Tras el cluster de PAN de entrada, se encuentra el cluster de cortafuegos de otro
fabricante, que ofrece segmentación y protección a la zona de VPNs y DMZs, como
cortafuegos de perímetro.
En la zona de DMZs se ha propuesto utilizar otro cluster virtual de PAN, que se
encargará de dar servicio a las VPNs IPSec y SSL-VPN, para controlar el acceso de los
usuarios remotos. Este cluster virtual está configurado a nivel 3 - routing.
Finalmente, y en la zona interna, se añade un tercer cluster virtual (también en modo
routing), para el control de los usuarios y los servicios internos. Como servicios
fundamentales además de los típicos de cortafuegos, se propone integrar las
funcionalidades de visibilidad y control de usuarios (User-ID), así como los servicios de
URL Filtering y protección frente a viruses y spyware (Antivirus y AntiSpyware
respectivamente). También es posible habilitar las funcionalidades de DLP (Data Loss
Prevention), que auditarán y controlarán los contenidos que los usuarios pueden
descargar o enviar hacia el exterior.
Es interesante señalar que el resto de interfaces no utilizados, se pueden emplear en
futuros sistemas virtuales o también emplearlos en modo visibilidad (tap o mirror), para
obtener visibilidad a nivel de aplicación de redes internas, no segmentadas, en el caso
de que surja algún problema en las mismas.PA – 2020 – Documentación para la preventa Página 20 de 100 Nota: Para realizar el correcto dimensionamiento del equipo, hay que tener en cuenta que hay determinados tipos de tráfico que pueden atravesar el equipo varias veces, duplicando por tanto su consumo en lo que a cálculo de throughput se refiere. Por ejemplo una sesión de navegación interna atravesará el Cluster 3 (LAN), así como el Cluster 1 (IPS). Si el tráfico desde las redes internas hacia el exterior representa por ejemplo 100 Mbps, habrá de evaluarse como 200 Mbps para calcular adecuadamente la plataforma a seleccionar (ver Anexo-A, con descripción de las capacidades de la plataforma).
PA – 2020 – Documentación para la preventa
Página 21 de 100
Funcionalidades fundamentales de PAN-OS
En el presente capítulo se detallan las funcionalidades principales que ofrecen los
firewalls de nueva generación de Palo Alto Networks, a través de su sistema operativo
llamado PAN-OS, tomando como base las versiones 3.1.x. Haremos especial hincapié
en aquellas características que consideramos capitales en el producto y que lo hacen
realmente diferenciador en el mercado actual de la seguridad.
Detalle del funcionamiento de App-ID
App-ID es una tecnología de identificación de aplicaciones, pendiente
de patente, capaz de identificar más de 1050 aplicaciones. Es la
tecnología core dentro del producto, encargada de realizar la
clasificación de todo el tráfico que el equipo gestiona. A continuación se
resumen las ventajas fundamentales que ofrece el uso de la tecnología
App-ID, dentro de los firewalls de Palo Alto:
Facilita una comprensión más completa del valor del negocio, así como de los
riesgos asociados a las aplicaciones que circulan por la red.
Permite la creación de políticas, basadas en el uso apropiado de las
aplicaciones.
Ofrece visibilidad a nivel de aplicación y devuelve el control de la seguridad al
firewall, de donde nunca debió salir.
Haciendo una comparativa con los cortafuegos tradicionales (primera generación), App-
ID sería el equivalente al protocolo Stateful Inspection que utilizan la mayoría de los
fabricantes, pero realizando las tareas a nivel de aplicación (nivel 7) en vez de a nivel de
por puerto/protocolo como hace Stateful Inspection (nivel 4). Su misión principal
consiste en identificar el tráfico, indendientemente del puerto, protocolo, táctica
evasiva o cifrado SSL que la aplicación pueda utilizar.
Es crucial señalar que la aproximación que PAN ofrece a la seguridad se basa, gracias
al uso de App-ID, en la lógica positiva. Esto significa que el equipo es capaz de
inspeccionar el tráfico e identificarlo positivamente, porque entiende cómo operan las
aplicaciones. El reflejo de esta operativa en la gestión de las políticas de seguridad,
supone que los administradores han únicamente de habilitar aquellas aplicaciones que
consideran útiles y necesarias para el desarrollo del negocio. Por el contrario, losPA – 2020 – Documentación para la preventa
Página 22 de 100
modelos de seguridad tradicionales, basados en lógica negativa, no pueden identificar
el tráfico y por tanto la seguridad que ofrecen se basa en la búsqueda, “a ciegas”, de
patrones de comportamiento que se consideran perniciosos. Esto significa que ofrecen
una visibilidad muy limitada y en muchos casos errónea, además de incurrir con mayor
facilidad en la generación de falsos positivos (detección errónea de ataques sobre
tráfico legítimo) o falsos negativos (no detección de ataques, cuando realmente lo son).
Además de los aspectos relacionados únicamente con la seguridad, App-ID ofrece una
visibilidad sin precedentes puesto que muestra realmente las aplicaciones que circulan
por las redes, así como su comportamiento. Usada además junto con User-ID, los
administradores pueden saber quién está utilizando la aplicación en base a su identidad
corporativa, y no solamente por la dirección IP (ver capítulo posterior para encontrar
información detallada sobre User-ID).
App-ID es además capaz no solamente de identificar las aplicaciones base, sino
diferentes subaplicaciones dentro de la misma aplicación padre, que pueden ofrecer
capacidades y comportamientos diversos (por ejemplo WebEx base para realizar
conferencias, frente a WebEx Desktop Sharing para compartir escritorios). Con estas
armas, los administradores pueden utilizar un modelo positivo para bloquear las
aplicaciones malignas, mientras que se permiten, inspeccionan y gestionan aquellas
que están permitidas. Este punto es crucial, porque la respuesta en muchas ocasiones
no es solamente permitir o bloquear, sino que hay que habilitar aplicaciones, que aun
conllevando riesgos, son útiles para la operativa corporativa. App-ID permite
precisamente realizar esta habilitación controlada de las aplicaciones.
La identificación adecuada de la aplicación, es el primer paso para entender mejor el
tráfico que circula por la red. Saber lo que la aplicación hace, los puertos que utiliza, su
tecnología subyacente y las características de comportamiento, son la base para tomar
una decisión mejor informada sobre cómo gestionar la aplicación. Una vez que se
dispone de esta información, las organizaciones pueden tomar medidas más granulares
que un simple “permitir” o “bloquear”, como por ejemplo:
Permitir o bloquear
Permitir pero analizar en búsqueda de exploits, viruses, …
Permitir en base al horario, los usuarios o los grupos
Descifrar e inspeccionar
Aplicar QoSPA – 2020 – Documentación para la preventa
Página 23 de 100
Aplicar Policy Based Routing en función de la aplicación
Permitir algunas funciones de la aplicación en vez de todas
Cualquier combinación de las anteriores
Módulos
App-ID cuenta con cuatro módulos diferentes de operación, tal y como muestra la
siguiente figura, Figura 9:
Figura 9.- Módulos principales de App-ID
El número de técnicas de identificación que se emplean, puede ser variable en función
de cada aplicación y sus condiciones particulares de transporte. Asimismo, el orden en
el que las técnicas se aplican también puede cambiar de una aplicación a otra. No
obstante, el flujo general es el siguiente:
Application Signatures: Se trata de la utilización de firmas basadas en
contexto, que se emplean en primer lugar para buscar propiedades únicas y
características relacionadas con las transacciones, que permitirán identificar la
aplicación independientemente del protocolo y puerto usados. Las firmas
también determinan si la aplicación está siendo utilizada por su puerto por
defecto, o si por el contrario está utilizando un puerto no estándar (por ejemplo,
RDP a través del puerto 80 en vez del puerto 3389, que es su puerto estándar).
SSL Decryption: Si App-ID determina que se está empleando cifrado SSL (y
existe una política de descifrado en la configuración), el tráfico se descifra y se
envía a los siguientes módulos de identificación, según sea necesario. Es
posible realizar inspección SSL tanto en tráfico entrante como saliente. En elPA – 2020 – Documentación para la preventa
Página 24 de 100
caso del descifrado del tráfico entrante (por ejemplo contra los servidores web),
el equipo no actúa activamente en la negociación SSL, y por tanto inspecciona el
tráfico de modo transparente (necesita solamente tener una copia del certificado
y clave privada utilizados). Si se detecta un ataque o tráfico maligno, realiza un
reset de la sesión. Por otra parte, y para la inspección del tráfico SSL de salida
(por ejemplo la navegación web de los usuarios internos), el equipo establece
una sesión SSL con el cliente y otra con el destino real; se comporta por tanto de
modo activo. En este caso, una vez que la aplicación se identifica y es aceptada
por la política de seguridad, se aplican los perfiles de protección frente a
amenazas configurados y el tráfico es posteriormente reencriptado y enviado a
su destino original.
Application Protocol Decoding: Si se necesita, los decodificadores de
protocolo se emplean para averiguar si la aplicación está utilizando el protocolo
como su transporte natural (por ejemplo HTTP como transporte de la navegación
web), o si por el contrario solamente se utiliza como una técnica de ofuscación,
para ocultar la aplicación real (por ejemplo Yahoo! Instant Messenger sobre
HTTP). Los decodificadores de protocolo ayudan asimismo a afinar el rango
posible de aplicaciones, proporcionando información valiosa sobre el contexto a
las firmas así como a la identificación de ficheros u otros contenidos sensibles,
que deben ser analizados por otros módulos (por ejemplo IPS o DLP).
Heuristics. En ciertos casos (aproximadamente el 1% de todas las aplicaciones
reconocidas), las tácticas evasivas que se emplean no pueden ser identificadas,
a pesar del análisis avanzado de firmas y protocolos descrito anteriormente. En
estas situaciones, se necesita utilizar técnicas heurísticas adicionales, o análisis
del comportamiento, para identificar ciertas aplicaciones que utilizan
mecanismos de cifrado propietarios (por ejemplo aplicaciones peer-to-peer, de
VoIP –como Skype- o de proxies personales –como Ultrasurf). Las técnicas
heurísticas se emplean, junto con el resto de técnicas revisadas en App-ID, para
ofrecer visibilidad y control sobre aplicaciones que podrían de otro modo eludir la
identificación positiva.
Ejemplo del modo de trabajo de App-ID: Identificación de WebEx
Cuando un usuario inicia una session WebEx, la conexión inicial tiene lugar bajo SSL.
App-ID ve el tráfico y las firmas determinan que se está empleando cifrado SSL. ElPA – 2020 – Documentación para la preventa
Página 25 de 100
módulo de descifrado y los descodificadores de protocolo actúan entonces, para
descifrar el tráfico SSL y detectar que se está empleando HTTP como protocolo de
base. Una vez que el decodificador tiene el stream HTTP, el sistema puede aplicar
entonces firmas adecuadas a ese contexto y detectar que la aplicación en uso es
WebEx. A partir de ese momento se reporta el uso de WebEx, que puede ser además
controlado a través de las políticas de seguridad.
Si el usuario final inicia además una sesión de WebEx Desktop Sharing, WebEx cambia
el modo de trabajo, de conferencia a aplicación de acceso remoto. En este escenario,
las características de WebEx han cambiado y las firmas de aplicación detectan este
nuevo comportamiento. De nuevo tanto el módulo de reporting como el de control
mostrarán esta subaplicación, independientemente del protocolo de conferencia –
WebEx base - que podrá ser controlada según sea necesario.
La siguiente figura, Figura 10, muestra un ejemplo del browser de App-ID, en el que se
observan diversas aplicaciones y sus subcategorías, en base al ejemplo de WebEx que
acabamos de revisar (obsérvese WebEx base frente a WebEx Desktop Sharing):
Figura 10.- WebEx con diversas subaplicaciones y control con App-ID
Categorización de las aplicaciones
La base de datos de aplicaciones de Palo Alto, se divide en 5 categorías principales y
25 subcategorías, que pueden utilizarse para crear filtros en la generación de políticas.
Además de la categoría y subcategoría, también se incluyen las características de
comportamiento y la tecnología base para cada aplicación. Del mismo modo también se
incluye una categorización del riesgo (1 a 5), asociado a cada aplicación. El valor dePA – 2020 – Documentación para la preventa
Página 26 de 100
riesgo es asignado por los ingenieros de PAN y puede ser modificado por el cliente, si lo
considera necesario.
Gracias al uso granular que se puede hacer de este modo de categorización, los
administradores pueden crear las políticas de seguridad en base a la lógica del negocio,
de manera simple y efectiva.
A continuación se listan la categoría, subcategoría, características y tecnología
subyacente que utilizan los equipos de PAN:
Categoría y Subcategoría:
Business: Servicios de autenticación, bases de datos, ERP, gestión general,
programas de oficina, software updates, almacenamiento / backup
General Internet: Compartición de ficheros, utilidades de Internet (web-
browsing, toolbars, etc)
Collaboration: Email, instant messaging, Internet conferencing, redes sociales,
VoIP-video, web-posting
Media: Audio-streaming, juegos, foto-video
Networking: Túneles cifrados, infraestructura, protocolos-IP, proxy, acceso
remoto, routing
Características de las aplicaciones:
Es capaz de transferir ficheros de una red a otra
Es utilizada para propagar malware
Consume 1 Mbps o más regularmente, en uso normal
Evade la de detección a través del uso a propósito de un protocolo o puerto, que
originalmente está diseñado para otro propósito
Tiene una implantación amplia
Hay vulnerabilidades conocidas para esa aplicación
Es propensa a ser mal utilizada, o es fácilmente configurable para exponer más
información de la que se pretende
Tuneliza otras aplicaciones
Tecnología subyacente:
Client-server based
Browser-basedPA – 2020 – Documentación para la preventa
Página 27 de 100
Peer-to-peer based
Network protocol
Actualizaciones periódicas
La lista de aplicaciones que App-ID detecta crece rápidamente, con una media de entre
3 y 5 nuevas aplicaciones añadidas semanalmente, en base a la información recibida de
los clientes, partners y las tendencias del mercado. La actualización de la base de datos
de App-ID se realiza automáticamente desde el equipo, y puede programarse como una
tarea recurrente (con opción de instalarla o solamente de descargarla para ser revisada
antes de proceder a la instalación).
Gestión de aplicaciones propietarias o desconocidas
Aquellos clientes que tengan aplicaciones de propósito general no identificadas en su
red, pueden tomar una captura de tráfico y enviar dicha información a Palo Alto
Networks, para que se desarrollen los mecanismos necesarios para identificarla
adecuadamente. App-ID categoriza estas aplicaciones desconocidas como “unknown-
tcp” ó “unknown-udp”.
Una vez que un nuevo decoder o firma es desarrollado y chequeado en nuestros
laboratorios, se añade a la lista como parte de las actualizaciones periódicas
semanales, disponibles a partir de ese momento para todos los clientes.
Si la aplicación es interna o propietaria, los administradores tienen entonces dos
posibilidades para categorizarla:
• Application Override: Este mecanismo permite definir qué puertos utiliza la
aplicación y caracterizarla únicamente en base a éstos parámetros.
• Firmas de aplicación personalizables: Si la aplicación trabaja sobre HTTP ó SSL,
los administradores pueden crear firmas personales de identificación, que
trabajan a nivel 7 a través del uso de un potente motor basado en expresiones
regulares.PA – 2020 – Documentación para la preventa
Página 28 de 100
Detalle del funcionamiento de User-ID
User-ID permite integrar de modo transparente los firewalls de
PAN con los servicios de directorio corporativo tales como
Active Directory, eDirectory ó LDAP (en éste último caso
normalmente a través del uso de una API XML). Esto permite a
los administradores enlazar la actividad de red con la
información de usuarios y grupos, en vez de únicamente con
las direcciones IP. Además, cuando User-ID se utiliza junto con las tecnología App-ID y
Content-ID, las organizaciones pueden utilizar la información de usuario y grupo para
obtener visibilidad, crear políticas de seguridad, hacer análisis forense y gestionar las
amenazas, la navegación web y la actividad asociada a las transferencias de datos.
Esta capacidad es especialmente interesante en las redes actuales, donde los usuarios
están dotados de movilidad (cable, WI-FI, 3G, …), con diferentes ubicaciones
geográficas posibles, y donde además se suele utilizar direccionamiento dinámico
(DHCP), lo que hace complicado identificar de forma simple y rápida al usuario con la IP
que tiene en un momento determinado. El resultado es que intentar utilizar la dirección
IP como método de identificación de un usuario, es a día de hoy inadecuado, o cuando
menos muy complejo.
A continuación se enumeran algunos de los beneficios fundamentales que se obtienen a
través del uso de User-ID:
Analizar las aplicaciones, amenazas y navegación web en base a usuarios
individuales o grupos, en contraposición a utilizar únicamente direcciones IP.
Identificar a los usuarios de Citrix y Microsoft Terminal Services y aplicar
políticas sobre sus respectivos usos de las aplicaciones.
Construir políticas para habilitar la utilización positiva de aplicaciones para
grupos específicos de usuarios, como marketing, TI o ventas.
Obtener visibilidad en tiempo real sobre la utilización que los usuarios hacen de
los recursos, así como identificar rápidamente qué usuarios pueden suponer una
amenaza o sufren algún tipo de vulnerabilidad (infección por virus, spyware, …)
Módulos
User-ID cuenta con diversos mecanismos para proceder a la identificación de los
usuarios, tal y como muestra la siguiente figura, Figura 11:También puede leer
