Post on 02-Aug-2022
PROTECCIÓN AL SERVICIO DE SU NEGOCIO
Un cortafuegos con bloqueo de amenazas no es más que el principio…
10 funciones útiles que su cortafuegos debería ofrecer
Tabla de contenido
La evolución del cortafuegos 1
Los cortafuegos de aplicación 2
1ª función útil: Gestión de la transmisión de vídeo 3
2ª función útil: Gestión del ancho de banda por grupos 4
3ª función útil: Control del correo webmail saliente 5
4ª función útil: Refuerzo del uso de las aplicaciones 6
5ª función útil: Denegación de cargas FTP 7
6ª función útil: Control de las aplicaciones P2P 8
7ª función útil: Gestión de la transmisión de música 9
8ª función útil: Asignar ancho de banda prioritario a aplicaciones importantes 10
9ª función útil: Bloqueo de documentos confi denciales 11
10ª función útil: Bloqueo de archivos prohibidos y envío de notifi caciones 12
Si sumamos todas las funciones… 13
PROTECCIÓN AL SERVICIO DE SU NEGOCIO
Los cortafuegos tradicionales se centran en el bloqueo de amenazas
e intrusiones sencillas.
Los cortafuegos de clase empresarial han añadido servicios UTM
(Gestión unifi cada de amenazas), como antivirus, anti-spyware, preven-
ción de intrusiones, fi ltrado de contenido e incluso algunos servicios
antispam para ofrecer una mayor protección contra amenazas.
La evolución del cortafuegos
1
... pero el bloqueo de amenazas no es más que el principio
La mayor parte del tráfi co que pasa a
través de un cortafuegos no constituye
una amenaza, sino que se trata de apli-
caciones y datos. Por este motivo se creó
Application Firewall (cortafuegos de
aplicación), capaz de gestionar y contro-
lar los datos y las aplicaciones que pasan
a través del cortafuegos.
¿Qué es lo que hace?
El cortafuegos de aplicación ofrece gestión y control
del ancho de banda, controles de acceso a nivel de
aplicación, funciones de control de fi ltración de datos,
restricciones en la transferencia de archivos y
documentos específi cos, y mucho más.
¿Cómo funciona?
El cortafuegos de aplicación permite implementar
controles de acceso personalizados basados en los
usuarios, las aplicaciones, la programación o la subred
IP. Gracias a ello, los administradores pueden crear
políticas dirigidas a toda la variedad de aplicaciones
disponibles, al tiempo que reciben por primera vez la
oportunidad de gestionarlas.
2
El cortafuegos de aplicación
Le permite clasifi car, controlar y gestionar las aplicaciones y los datos que pasan a través de su cortafuegos.
Tráfi co inofensivo
■ Tráfi co protegido■ Tráfi co productivo
Amenazas
■ Tráfi co comprometido■ Tráfi co no deseado
Datos y aplicaciones
Aunque la posibilidad de acceder a sitios de transmisión de vídeo, como p.ej. youtube.com,
en ocasiones puede resultar útil, a menudo se abusa de ello. Bloquear la página podría
resultar efi caz, pero la mejor solución podría ser limitar el ancho de banda disponible
para las páginas de transmisión de vídeo.
Cree una política para limitar la transmisión de vídeo ■ Utilice el motor de inspección profunda de paquetes para buscar Host HTTP =
www.youtube.com en el encabezado HTTP
■ Aplique restricciones de ancho de banda al tráfi co que tenga este encabezado
1ª función útil: Gestión de la transmisión de vídeo
3
Puede limitar el ancho de banda para las aplicaciones durante determinadas horas del día, p.ej. desde las 9:00 hasta las 17:00 h.
Ancho de banda deseado para la
transmisión de vídeoAncho de banda proporcionado para la transmisión de vídeo
La primera función que acabamos de presentar servía para restringir el ancho de banda de
páginas de transmisión de vídeo como youtube.com. Ahora, imagínese que su CEO y su CFO se
quejan de que los "vídeos de noticias económicas" que ven a diario van demasiado lentos. La
solución podría ser reducir las restricciones de ancho de banda para todos los empleados. Sin
embargo, ahora hay una solución mejor: la gestión del ancho de banda por grupos.
Cree una política para no limitar la transmisión de vídeo para los ejecutivos ■ Aplique esta política al grupo "ejecutivos" que puede importar desde su servidor LDAP
■ Utilice el motor de inspección profunda de paquetes para buscar
Host HTTP = www.youtube.com en el encabezado HTTP
■ Aplique la garantía de ancho de banda al tráfi co con ese encabezado
2ª función útil: Gestión del ancho de banda por grupos
4
Ancho de banda deseado para la
transmisión de vídeo
Ancho de banda para la transmisión de vídeo proporcionado a los ejecutivos
Ancho de banda para la transmisión de vídeo proporcionado a los demás empleados
3ª función útil: Control del correo webmail saliente
Posiblemente, su sistema de protección antispam actual sea capaz de de-
tectar y bloquear mensajes salientes normales que contengan "información
confi dencial de la empresa".
Pero, ¿qué ocurre si un empleado utiliza un servicio de correo Web como
Yahoo® o Gmail® para enviar "información confi dencial de la empresa"?
Cree una política para bloquear el correo electrónico "confi dencial
de la empresa" ■ El motor de inspección profunda de paquetes busca Cuerpo del
correo electrónico = "Información confi dencial de la empresa"
■ Bloquee el mensaje y notifi que al remitente que el mensaje contiene
"información confi dencial de la empresa"
5
De: usuariomalo@su_empresa.comPara: usuariomalo@competidor.comAsunto: Diseñar hoja de rutaAquí está la hoja de rutaEnero 09 – Versión 7.0Este documento contiene
“información confi dencial de la empresa”
STOP
De: usuariobueno@su_empresa.comPara: usuariobueno @partner.comAsunto: Aprobación de tarjeta de control de horario de JuanApruebo las horas de tu tarjeta de control de horario de esta semana.Carlos
GO
4ª función útil: Refuerzo del uso de las aplicaciones
Su jefe: quiere que Internet Explorer (IE) 7.0 se utilice como navegador estándar.
Su misión: asegurarse de que todos los sistemas de la empresa utilicen IE 7.0, y ningún
otro navegador.
Posibles soluciones
1. Comprobar físicamente a diario los sistemas de todos los usuarios en busca de
navegadores diferentes a IE 7.0.
2. Crear algún tipo de script para comprobar los sistemas de todos los empelados en busca
de otros navegadores y asegurarse de que comprueba todos los sistemas cada día.
3. Establecer una política en el cortafuegos de aplicación y no preocuparse más.
Cree una política de "tengo cosas mejores que hacer"■ El motor de inspección profunda de paquetes busca
Agente de usuario = MSIE 7.0 en el encabezado HTTP
■ Permite el tráfi co de IE 7.0 y bloquea los demás navegadores
6
5ª función útil: Denegación de cargas FTP
Supongamos que crea una página FTP para el intercambio de archivos de gran tamaño
con uno de sus partners de negocio y quiere que tan solo el jefe del proyecto de la em-
presa del partner pueda cargar archivos.
Cree una política para permitir cargas FTP solo para determinadas personas
■ El motor de inspección profunda de paquetes busca Comando FTP = PUT
■ El motor de inspección profunda de paquetes busca
Nombre de usuario autenticado = "partner_gestión proyectos"
■ Si ambos son verdaderos, autorizar PUT
También puede anular cualquier comando FTP que considere "innecesario" para un determinado servidor FTP
partner_ventas: put fi le
partner_markteting: put fi le
partner_ventas: put fi le
partner_gestión
proyectos: put fi le
7
6ª función útil: Control de las aplicaciones P2P
Problema 1: Las aplicaciones punto a punto (P2P) como BitTorrent pueden acaparar ancho
de banda e infectar el sistema con todo tipo de archivos maliciosos.
Problema 2: Continuamente se crean nuevas aplicaciones P2P o simplemente se modifi -
can las existentes (p.ej. cambios del número de versión).
Cree una política para detectar aplicaciones P2P
El motor de inspección profunda de paquetes busca una defi nición de aplicación P2P en
la lista de defi niciones de IPS
Las aplicaciones P2P se pueden bloquear o simplemente limitar mediante restricciones de ancho de banda y de tiempo
Lista de defi niciones de IPS
BitTorrent-6.1BitTorrent-6.0.3BitTorrent-6.0.2BitTorrent-6.0.1… y cientos más
Lista de defi niciones de IPS
Se reciben y aplican las actualizaciones
de SonicWALL
Lista de defi niciones de IPS
BitTorrent-6.1.1
BitTorrent-6.1BitTorrent-6.0.3BitTorrent-6.0.2… y cientos más
+ =
Los resultados■ Puede gestionar y controlar las
aplicaciones P2P
■ No tiene que invertir tiempo en la actualización de las reglas
de las defi niciones de IPS
8
7ª función útil: Gestión de la transmisión de música
Las páginas de transmisión de audio y de radio consumen ancho de banda valioso. Sin
embargo, puede haber motivos legítimos, relacionados con el trabajo, que justifi can el
acceso a estás páginas. Existen dos modos de enfrentarse a este reto.
Control según la página Web
Cree una lista de páginas de audio que desea controlar
Cree una política para detectar páginas de audio
■ Utilice el motor de inspección profunda de paquetes para buscar
Host HTTP = Lista de bloqueo de páginas de audio en el encabezado HTTP
Control por extensión de archivo
Cree una lista de extensiones de archivo de audio que desea controlar
Cree una política para detectar contenido de audio
■ Utilice el motor de inspección profunda de paquetes para buscar Extensión de
archivo = Lista de bloqueo de extensiones de audio en el encabezado HTTP
Una vez "detectada" la transmisión de audio, puede bloquearla o simplemente gestionar el ancho de banda.
9
8ª función útil: Asignar ancho de banda prioritario a aplicaciones importantes
Hoy en día, muchas aplicaciones críticas, como p.ej. SAP®, Salesforce.com® y SharePoint®,
están basadas en nubes o se ejecutan en redes esparcidas geográfi camente. Garantizar que
estas aplicaciones tengan prioridad a la hora de recibir el ancho de banda que necesitan,
puede aumentar la productividad del negocio.
Cree una política para asignar ancho de banda prioritario a la aplicación SAP ■ El motor de inspección profunda de paquetes busca la defi nición o
el nombre de la aplicación
■ Asigne una mayor prioridad en la distribución del ancho de banda a la aplicación SAP
La prioridad de las aplicaciones puede estar basada en de-terminadas fechas (p.ej. se puede dar prioridad a las aplicaciones de ventas al fi nal del trimestre)
SAPSalesforce.comSharePoint
Otros
10
Esto también puede aplicarse al contenido basado en FTP.
En algunas empresas, el sistema de seguridad de correo electrónico o bien no examina el correo
saliente o no examina el contenido de los archivos adjuntos. En ambos casos, es fácil que algún
archivo adjunto con "información confi dencial de la empresa" salga de la organización.
Puesto que el tráfi co saliente pasa a través de su cortafuegos, puede detectar
y bloquear estos "datos en movimiento".
Cree una política para bloquear los archivos adjuntos de
correo electrónico que contienen la marca de agua
"Información confi dencial de la empresa"■ El motor de inspección profunda de paquetes busca
Contenido de correo electrónico = "Información confi dencial de la empresa" y
Contenido de correo electrónico = "Propiedad de la empresa" y
Contenido de correo electrónico = "Propiedad privada" y …
9ª función útil: Bloqueo de documentos confi denciales
11
10ª función útil: Bloqueo de archivos prohibidos y envío de notifi caciones
DESCARGAR
Riesgo de seguridad
Actividad: Está intentando des-cargar o recibir un archivo con una extensión prohibida (.exe, .pif, .src o .vbs). Acción: Este archivo ha sido blo-queado de acuerdo con la política corporativa.Más información: Si desea ver una lista completa de los archivos pro-hibidos, vaya a la sección de seguri-dad del intranet corporativo.
Correo electrónico
FTP
Página Web
Archivo .pif peligroso
FTP
Archivo .vbs peligroso
Archivo .exe peligroso
SonicWALL NSA con
Application Firewall
Cree una lista de extensiones de archivo prohibidas
Cree una política para bloquear las extensiones de archivo prohibidas
■ El motor de inspección profunda de paquetes busca
Extensión de archivo en HTTP, archivo adjunto a mensaje de correo
electrónico o FTP = Extensiones de archivo prohibidas
Si el archivo está bloqueado, enviar notifi cación
12
¿Su cortafuegos es capaz de bloquear alguna de las siguientes acciones?
■ Descargar un archivo EXE desde una página Web
■ Recibir un archivo EXE adjunto a un correo electrónico
■ Transferir un archivo EXE vía FTP
¿Y los archivos PIF, SRC o VBS?
Si sumamos todas las funciones
13
Cortafuegos de alto rendimiento
+ Gestión unifi cada de amenazas
+ Cortafuegos de aplicación
SonicWALL Network Security Appliance
Rendimiento, protección y control detallado
©2008 SonicWALL y el logo de SonicWALL son marcas registradas de SonicWALL, Inc. Los demás nombres de productos aquí mencionados pueden ser marcas registradas y/o marcas comerciales registradas de sus respectivos propietarios. Las especifi caciones y las descripciones están sujetas a modifi cación sin previo aviso. 10/08 SW 466
Obtenga más información■ Si desea ver una comparación de los modelos SonicWALL NSA que incluyen el cortafuegos de aplicación, visite: http://www.sonicwall.com/us/products/NSA_Series.html
■ Descargue la fi cha técnica en: http://www.sonicwall.com/downloads/NSA_Series_DS_US.pdf
■ Vea ejemplos prácticos del cortafuegos de aplicación con ejemplos de productos: http://www.sonicwall.com/downloads/SonicOS_Application_Firewall_Practical_Examples_Guide_technote.pdf
■ Guía de utilización de Application Firewall: http://www.sonicwall.com/downloads/Application_Firewall_5.1e_Feature_Module.pdf
Envíe sus comentarios sobre este libro electrónico o sobre cualquier otro libro electrónico o libro blanco de SonicWALL a la siguiente dirección de correo electrónico: feedback@sonicwall.com
Acerca de SonicWALLSonicWALL es un líder reconocido en el mercado de las soluciones integrales de seguridad de la información. Estas soluciones incluyen software, hardware y servicios dinámicos inteligentes que permiten operar una red empresarial de alto rendimiento sin el riesgo, el coste y la complejidad habituales. Si desea obtener más información, visite nuestra página Web en www.sonicwall.com.
PROTECCIÓN AL SERVICIO DE SU NEGOCIO