Pa 500-preventa-ago2010

Palo Alto Networks PA-500

Documentación para la preventa

PA – 500 – Documentación para la preventa

Página 2 de 95

INDICE

INTRODUCCIÓN...................................................................................................4 OBJETO.......................................................................................................................... 4 ALCANCE........................................................................................................................ 4 RESUMEN ....................................................................................................................... 5

ARQUITECTURAS DE RED SOPORTADAS.......................................................9 MODO VISIBILIDAD .......................................................................................................... 9 MODO VIRTUAL WIRE.................................................................................................... 11 MODO ROUTING............................................................................................................ 13 ALTA DISPONIBILIDAD (HA) .......................................................................................... 14

FUNCIONALIDADES FUNDAMENTALES DE PAN-OS....................................16 DETALLE DEL FUNCIONAMIENTO DE APP-ID................................................................... 16

Módulos ................................................................................................................................................ 18 Ejemplo del modo de trabajo de App-ID: Identificación de WebEx .................................................... 19 Categorización de las aplicaciones ...................................................................................................... 20 Actualizaciones periódicas ................................................................................................................... 22 Gestión de aplicaciones propietarias o desconocidas.......................................................................... 22

DETALLE DEL FUNCIONAMIENTO DE USER-ID................................................................. 23 Módulos ................................................................................................................................................ 23 Integración con el directorio activo de Microsoft a través de PAN-Agent .......................................... 26 Identificación de usuarios de Citrix y Microsoft Terminal Services .................................................... 30 Integración con el e-Directory de Novell a través de User-ID-Agent.................................................. 30 Otros directorios LDAP: API XML ...................................................................................................... 31 Integración de usuarios no pertenecientes al dominio: Captive Portal con NTLM............................. 33 Integración de usuarios no pertenecientes al dominio: Captive Portal con página web..................... 35

DETALLE DEL FUNCIONAMIENTO DE CONTENT-ID........................................................... 38 Prevención de amenazas (IPS) ............................................................................................................. 40 Prevención de ataques de DoS ............................................................................................................. 43 Prevención frente a escaneos de red .................................................................................................... 44 Anomalía de paquetes ........................................................................................................................... 45 Antivirus y Anti-Spyware ...................................................................................................................... 46 Filtrado de URLs .................................................................................................................................. 48 Prevención frente a la fuga de datos (DLP) ......................................................................................... 52 Actualizaciones periódicas y equipo I+D de Content-ID..................................................................... 54

OTROS ......................................................................................................................... 55 Seguridad basada en Zonas .................................................................................................................. 55 Routing y protocolos de red soportados ............................................................................................... 56 Reglas de Seguridad ............................................................................................................................. 56 NAT ....................................................................................................................................................... 57 Policy Based Forwarding ..................................................................................................................... 59 VPNs IPSec ........................................................................................................................................... 61 SSL VPNs .............................................................................................................................................. 62 QoS........................................................................................................................................................ 63

DISEÑO HARDWARE.........................................................................................67 ARQUITECTURA SINGLE PASS PARALLEL PROCESSING ................................................. 69 ARQUITECTURA HARDWARE DEL MODELO PA-500......................................................... 71

GESTIÓN, VISIBILIDAD Y REPORTING ...........................................................73


Página 3 de 95

GESTIÓN....................................................................................................................... 73 REPORTING Y GENERACIÓN DE INFORMES..................................................................... 78

Reporting .............................................................................................................................................. 78 Generación de Informes........................................................................................................................ 83

API XML DE REPORTING .............................................................................................. 86 PANORAMA: GESTIÓN CENTRALIZADA DE MÚLTIPLES DISPOSITIVOS............................... 88

ANEXO A: CARACTERÍSTICAS TÉCNICAS DEL PA-500 ...............................91 ANEXO B: URLS DE INTERÉS..........................................................................95


Página 4 de 95

Introducción

Objeto El objeto fundamental de esta documentación es presentar a los preventas,

responsables de preparar y desarrollar soluciones de Palo Alto Networks -PAN de ahora

en adelante-, una visión sobre las características fundamentales que se encuentran en

los firewalls de Nueva Generación de PAN, tanto en lo que a plataformas hardware se

refiere, como a funcionalidades software y de gestión. Se incluye asimismo información

sobre los tipos de arquitecturas de red y despliegues soportados.

El fin es por tanto facilitar documentación en español que colabore en la correcta

realización de una oferta a un cliente final, intentando además simplificar las tareas de

preparación de las memorias técnicas para los integradores.

Hemos intentado dotar al documento asimismo de un carácter didáctico, que ayude a

comprender mejor las capacidades de las soluciones de PAN, por lo que su uso no está

restringido únicamente a integradores, sino que también puede ser ofrecido a clientes

finales, interesados en conocer mejor nuestras soluciones.

En cualquier caso el documento no está pensado ni escrito para sustituir a las guías de

configuración o technotes disponibles, por lo que remitimos a los usuarios a utilizar esa

documentación cuando deseen obtener información sobre cómo se configura cualquiera

de las funcionalidades aquí descritas.

Pretendemos asimismo mantenerlo como documento vivo, que se irá actualizando con

las novedades o plataformas que Palo Alto Networks lance al mercado.

Alcance La documentación aquí presentada cubre las siguientes áreas fundamentales:

Introducción a las soluciones de PAN

Arquitecturas de red soportadas

Diseño y funcionalidades de PAN-OS (en general sobre las versiones 3.1.x)

Diseño hardware

Especificaciones y capacidades del modelo PA - 500


Página 5 de 95

Resumen Hoy día los departamentos de TI se enfrentan a una problemática creciente, con

usuarios –tanto externos como internos- que utilizan una nueva generación de

aplicaciones, capaces de evadir la detección que ofrecen los firewalls tradicionales.

Las soluciones actuales de cortafuegos – firewalls – permiten establecer políticas de

seguridad basadas fundamentalmente en puertos y protocolos. Hasta hace no mucho,

esta aproximación era válida pues lo normal era que por el puerto 80 pasara sólo la

navegación web y por el puerto 443, el tráfico SSL. Sin embargo, las nuevas

aplicaciones de la Web 2.0 tales como Facebook, YouSendIt, SalesForce, Messenger,

Skype, etc… se han convertido en un verdadero fenómeno social y su uso se ha

extendido tanto en ámbitos privados como profesionales. Muchas de estas aplicaciones

utilizan técnicas evasivas como port hopping, tunelización/emulación de otras

aplicaciones, etc… para burlarse de las reglas tradicionales, basadas en puertos y

protocolos. Muchas de ellas se esconden incluso bajo tráfico cifrado para ocultar su

identidad.

Como resultado de todo ello, los responsables de TI no pueden identificar o controlar las

aplicaciones que están corriendo realmente en la red y esta falta de visibilidad y control

impacta negativamente en el negocio, generando:

Incumplimiento de regulaciones y políticas internas

Fuga de datos

Incremento del consumo de ancho de banda

Aumento de las amenazas (virus, spyware, worms y otras vulnerabilidades)

Desaprovechamiento de los recursos (tanto humanos como de equipamiento)

Los responsables de TI necesitan por tanto una nueva aproximación, que les permita

identificar con precisión las aplicaciones actuales, y no solamente los puertos que usan,

a través de una inspección completa del tráfico.

La siguiente figura, Figura 1, muestra un ejemplo de la cantidad de aplicaciones de

propósito muy diferente, que pueden circular a través de los puertos tradicionales (80 y

443). La mayoría de estas aplicaciones son “invisibles” para los firewalls de primera

generación, que consideran que todo lo que llega por el puerto 80 se corresponde con

tráfico HTTP (de navegación) y todo lo que circula por el 443 es SSL (navegación

segura):


Página 6 de 95

Figura 1.- Ejemplo de diversas aplicaciones sobre puertos 80 y/ó 443

Palo Alto Networks redefine el concepto de Firewall aportando un control y visibilidad sin

precedentes, sobre todo el tráfico IP en las redes corporativas. Para conseguir este

objetivo, se decidió diseñar un producto completamente nuevo, orientado desde el

comienzo en sus especificaciones hardware y software para cubrir los siguientes

requisitos:

Identificación de las aplicaciones, independientemente del puerto o protocolo

de base que utilicen, incluso aunque vayan codificadas bajo SSL o empleen

alguna táctica evasiva. Identificación de los usuarios en base a su rol en la corporación,

independientemente de qué dirección IP puedan tener en un momento

determinado.

Protección en tiempo real frente a los ataques y al software malicioso, embebido en el tráfico de las aplicaciones.

Facilidad en la gestión de las políticas con herramientas de visualización potentes y un editor de políticas unificado.

Rendimiento multi-gigabit sin degradación al utilizarlo en línea.

La siguiente figura, Figura 2, esquematiza los cuatro pilares básicos sobre los que se

sustentan los firewalls de nueva generación de Palo Alto Networks:


Página 7 de 95

Figura 2.- Pilares básicos de los firewalls de PAN

Aunque en los capítulos posteriores del presente documento se detallarán las

funcionalidades de cada módulo básico, a continuación se ofrece un resumen

introductorio de todos ellos:

App-ID es una tecnología de clasificación del tráfico, que detecta con precisión

qué aplicaciones están corriendo en la red a través de diversas técnicas de

identificación. La identidad de la aplicación sirve de base para todas las

decisiones relativas a la política como la utilización apropiada y la inspección de

contenidos. Es por tanto la tecnología base que utilizan los firewalls de PAN, en

contraposición a la tecnología stateful inspection que utilizan otros fabricantes, y

que desde PAN consideramos totalmente insuficiente para categorizar y

proteger el panorama actual de aplicaciones.

La tecnología User-ID de Palo Alto Networks se integra con el directorio

corporativo, para vincular dinámicamente la dirección IP con la información de

usuario y de grupo (rol corporativo). Si las empresas tienen acceso a la actividad

del usuario, pueden supervisar y controlar las aplicaciones y los contenidos que

recorren la red, de una forma mucho más efectiva que por una simple dirección

IP (que normalmente es además cambiante –DHCP, movilidad…).


Página 8 de 95

Control de los contenidos: La tecnología Content-ID de Palo Alto Networks

combina un motor de prevención de amenazas en tiempo real con una base de

datos URL integral y elementos de identificación de aplicaciones, para limitar las

transferencias de archivos sin autorización, detectar y bloquear gran número de

amenazas y controlar la navegación por Internet no relacionada con el trabajo.

Content ID funciona en coordinación con App-ID lo que mejora la eficacia del

proceso de identificación de los contenidos.

La arquitectura SP3 – Single Pass Parallel Architecture – ofrece un

rendimiento no conocido hasta la fecha gracias a la utilización de hardware

paralelo, de modo que cada paquete es analizado una única vez a través de todos los módulos de la política de seguridad. A diferencia de muchas

soluciones actuales, que utilizan una única CPU o una combinación de ASICs y

CPUs, los firewalls de PAN utilizan una arquitectura construida a propósito, y

desde cero, con procesamiento dedicado para la prevención de amenazas junto

con procesamiento específico y memoria dedicada para las tareas de red,

seguridad y gestión. La utilización de cuatro tipos diferentes de procesadores

implica que las funcionalidades clave no compiten por ciclos de reloj con otras

funciones de seguridad, como ocurre en el caso de equipos monoprocesador. El

resultado final es una latencia muy baja y un gran throughput, con todos los

servicios de seguridad habilitados.

Un potente conjunto de herramientas de visualización facilita a los

administradores información completa sobre las aplicaciones que recorren la

red, quién las utiliza y el impacto que pueden tener sobre la seguridad de la

corporación.


Página 9 de 95

Arquitecturas de red soportadas Los equipos de Palo Alto Networks, pueden implantarse en la red con tres topologías

diferentes:

Modo Visibilidad (mirror o tap)

Modo Virtual Wire (bridge-IPS)

Modo Routing (incluyendo vlans)

Es especialmente interesante señalar, que los tres modos de implantación pueden coexistir dentro de un mismo equipo. Esta flexibilidad ofrece capacidades de diseño

e implantación prácticamente ilimitadas.

A continuación se detallan las características y capacidades de cada arquitectura de

red.

Modo Visibilidad La siguiente figura, Figura 3, muestra un diagrama lógico de este tipo de diseño:

Figura 3.- Arquitectura en modo visibilidad (mirror)

Este modo de implantación es no intrusivo, y recibe el nombre de Tap en la

configuración de PAN. El equipo recibe el tráfico a través de elementos que lo copian


Página 10 de 95

(switches con mirrors, port spans, taps, …). Presenta la gran ventaja de que no es

necesario provocar ningún corte en la red, para poder insertarlo; de este modo, esta

topología es ideal para realizar pruebas de concepto.

Es importante señalar que es perfectamente posible configurar varios puertos en modo

tap, para copiar el tráfico desde múltiples orígenes; de esta forma es posible analizar el

comportamiento de diferentes redes simultáneamente.

A continuación se detallan las funcionalidades principales que se obtienen, con el

equipo configurado en modo visibilidad:

Identificación y visibilidad de las aplicaciones que circulan por la red.

Identificación de las amenazas detectadas sobre las aplicaciones (antivirus, anti-

spyware, URL Filtering y análisis de vulnerabilidades).

Análisis del contenido (DLP – Data Loss Prevention- sobre patrones a buscar en

documentos e identificación de los ficheros que circulan por la red, tanto en

entrada como en salida).

Identificación de los usuarios, en relación con el directorio corporativo (User-ID).

Generación de informes detallados sobre la utilización y la actividad.

Análisis de tráfico cifrado con SSL (sólo en entrada).

Respecto a las funcionalidades que no se obtienen en modo visibilidad, en general hay

que señalar que son todas aquellas que requieren que el equipo se encuentre en línea

(routing, NAT, Policy Based Forwarding, bloqueo del tráfico o los ataques, VPNs, …).

Finalmente también es interesante reseñar que, aunque es una arquitectura de red muy

empleada durante las pruebas de concepto, también ofrece ventajas interesantes en

entornos en producción. Puesto que las tres topologías se pueden mezclar sobre un

mismo equipo o sistema virtual, muchos clientes se reservan algunos puertos de los

firewalls de PAN para utilizarlos en modo visibilidad. Normalmente se utilizan para

realizar monitorizaciones puntuales de redes que no están segmentadas (y cuyo tráfico

no pasa por tanto a través del cortafuegos), cuando se detecta algún problema en las

mismas. Puesto que basta con configurar un mirror en el switch que da servicio a esa

red, es muy sencillo implantar el equipo en modo visibilidad obteniendo información muy

detallada y valiosa sobre el comportamiento de la red, así como identificar la posible

causa del problema.


Página 11 de 95

Modo Virtual Wire La siguiente figura, Figura 4, muestra un diagrama lógico de este tipo de diseño:

Figura 4.- Arquitectura en modo Virtual Wire (bridge-IPS)

Este modo de implantación es el primero en el que el equipo está en línea y recibe el

nombre de Virtual Wire dentro de la terminología de PAN. Puesto que está en línea, el

equipo puede tomar medidas de bloqueo sobre el tráfico que se considere pernicioso.

Tal y como muestra la Figura 4, el equipo se inserta dentro de la red como si se tratara

de un bridge, sin dirección IP ni dirección MAC. Está configurado por tanto en modo

transparente, lo que facilita el despliegue en la red (no se requiere segmentación de

nivel 3), así como la protección del propio equipo al no ser detectable (no dispone de IP

ni dirección MAC).

A continuación se detallan las funcionalidades que se obtienen con esta arquitectura de

red:





Página 12 de 95






Análisis del tráfico cifrado con SSL (sólo en entrada).

Bloqueo del tráfico que se considera no acorde a la política corporativa.

Bloqueo de las amenazas detectadas (antivirus, anti-spyware y

vulnerabilidades).

Control y bloqueo de las URLs no permitidas.

QoS (Calidad de Servicio).

Respecto a las funcionalidades que no se obtienen en modo Virtual Wire, en general

hay que señalar que son todas aquellas que requieren que el equipo realice funciones

de nivel 3 (routing, NAT, Policy Based Forwarding, VPNs, …). El siguiente modo de

configuración (modo routing), incorpora todas las funcionalidades al completo que

integran los cortafuegos de PAN.

Finalmente, es interesante señalar que es posible configurar múltiples segmentos en

modo Virtual Wire ó IPS sobre un mismo equipo (uno por cada pareja de puertos), así

como mezclar esta topología de red con cualquiera de las otras dos existentes.


Página 13 de 95

Modo Routing La siguiente figura, Figura 5, muestra un diagrama lógico de este tipo de diseño:

Figura 5.- Arquitectura en modo Routing (también con soporte a vlans)

Tal y como muestra la Figura 5, en el modo routing el equipo se instala con sus

interfaces configurados a nivel 3, pudiendo actuar por tanto como gateway de las redes

a las que se encuentra conectado.

En este modo de trabajo el equipo ofrece la posibilidad de utilizar todas sus

capacidades, entre las que destacan las siguientes:








Página 14 de 95



Análisis del tráfico cifrado con SSL (entrada y salida).

Bloqueo del tráfico que se considera no acorde a la política corporativa.

Bloqueo de las amenazas detectadas (antivirus, anti-spyware y

vulnerabilidades).

Control y bloqueo de las URLs no permitidas.

QoS

Routing estático

Routing dinámico: RIP, OSPF y BGP

VPNs IPSec

VPNs SSL

Policy Routing (Policy Based Forwarding)

De nuevo, hay que señalar que los equipos de PAN pueden trabajar de forma híbrida,

mezclando por tanto topologías de los tres modos anteriormente descritos, lo que ofrece

una gran versatilidad a la hora de realizar despliegues sobre redes complejas.

Alta Disponibilidad (HA) Todos los equipos de PAN tienen la posibilidad de trabajar en configuraciones de alta

disponibilidad, en el que el fallo de uno de los equipos no supone pérdida de servicio.

En las versiones 3.1.x, la configuración de alta disponibilidad soportada es Activo-

Pasivo. A partir de las versiones 4.x se incluirá también soporte a topologías Activo-

Activo.

Es importante señalar que las configuraciones de HA requieren que ambos modelos sean idénticos, así como que dispongan exactamente del mismo nivel de licencias software y versión de firmware.

La conmutación de un nodo al otro se produce si falla algún interfaz de red

(configuración Link Monitoring) o incluso si falla algún otro elemento, que se está

monitorizando expresamente (Path Monitoring).

Para la configuración de la sincronización, se utilizan dos puertos dedicados,

denominados HA1 y HA2. HA1 es obligatorio y HA2 opcional, aunque recomendable. En

los equipos de la serie 4000 estos interfaces están preasignados de fábrica; en las


Página 15 de 95

series 500 y 2000 el administrador ha de seleccionar qué puertos quiere utilizar para

cada propósito.

El interfaz HA1 dispone de direccionamiento IP, y es el que se emplea para sincronizar

las configuraciones. El interfaz HA2 es un interfaz de nivel 2 (sin IP por tanto) y se utiliza

para sincronizar la tabla de sesiones activas, evitando de este modo al máximo la

pérdida de servicio en caso de conmutación de un nodo al otro.

A continuación se detalla la operativa de la alta disponibilidad y el comportamiento en

caso de fallo de los interfaces de HA:

El firewall activo, monitoriza continuamente su configuración y la información de

las sesiones con el firewall pasivo a través de los interfaces de HA.

Si el firewall activo falla, entonces el pasivo detecta que se han perdido los

heartbeats y automáticamente se vuelve activo.

Si falla el interfaz de HA2 (sincronización de sesiones) no se realiza esta tarea,

pero el cluster se mantiene igual. Si por el contrario falla el interfaz HA1

(sincronización de configuraciones), entonces fallan los heartbeats y ambos

firewalls se vuelven activos.

A continuación se resumen las ventajas de operar con arquitecturas montadas en alta

disponibilidad:

Disponibilidad del servicio, incluso aunque falle el equipo principal.

Simplicidad en el diseño, al no requerir elementos extras para garantizar la

disponibilidad.

Garantía en el mantenimiento de las sesiones (las sesiones se sincronizan entre

master y backup).

Posibilidad de monitorizar varios elementos en la red (routers, servidores, salida

a Internet, ...), para tomar la decisión de conmutación más adecuada en cada

momento (link monitoring y path monitoring).

Posibilidad de montar una solución redundada entre CPDs separados

geográficamente.

Sencillez en la gestión (la configuración se realiza en el master y

automáticamente se propaga al de backup, sin necesidad de intervención

humana).

Posibilidad de utilizar un modelo de HA activo-activo (a partir de la versión 4.0).


Página 16 de 95

Funcionalidades fundamentales de PAN-OS En el presente capítulo se detallan las funcionalidades principales que ofrecen los

firewalls de nueva generación de Palo Alto Networks, a través de su sistema operativo

llamado PAN-OS, tomando como base las versiones 3.1.x. Haremos especial hincapié

en aquellas características que consideramos capitales en el producto y que lo hacen

realmente diferenciador en el mercado actual de la seguridad.

Detalle del funcionamiento de App-ID App-ID es una tecnología de identificación de aplicaciones, pendiente

de patente, capaz de identificar más de 1050 aplicaciones. Es la

tecnología core dentro del producto, encargada de realizar la

clasificación de todo el tráfico que el equipo gestiona. A continuación se

resumen las ventajas fundamentales que ofrece el uso de la tecnología

App-ID, dentro de los firewalls de Palo Alto:

Facilita una comprensión más completa del valor del negocio, así como de los

riesgos asociados a las aplicaciones que circulan por la red.

Permite la creación de políticas, basadas en el uso apropiado de las

aplicaciones.

Ofrece visibilidad a nivel de aplicación y devuelve el control de la seguridad al

firewall, de donde nunca debió salir.

Haciendo una comparativa con los cortafuegos tradicionales (primera generación), App-

ID sería el equivalente al protocolo Stateful Inspection que utilizan la mayoría de los

fabricantes, pero realizando las tareas a nivel de aplicación (nivel 7) en vez de a nivel de

por puerto/protocolo como hace Stateful Inspection (nivel 4). Su misión principal consiste en identificar el tráfico, indendientemente del puerto, protocolo, táctica evasiva o cifrado SSL que la aplicación pueda utilizar.

Es crucial señalar que la aproximación que PAN ofrece a la seguridad se basa, gracias

al uso de App-ID, en la lógica positiva. Esto significa que el equipo es capaz de

inspeccionar el tráfico e identificarlo positivamente, porque entiende cómo operan las

aplicaciones. El reflejo de esta operativa en la gestión de las políticas de seguridad,

supone que los administradores han únicamente de habilitar aquellas aplicaciones que

consideran útiles y necesarias para el desarrollo del negocio. Por el contrario, los


Página 17 de 95

modelos de seguridad tradicionales, basados en lógica negativa, no pueden identificar

el tráfico y por tanto la seguridad que ofrecen se basa en la búsqueda, “a ciegas”, de

patrones de comportamiento que se consideran perniciosos. Esto significa que ofrecen

una visibilidad muy limitada y en muchos casos errónea, además de incurrir con mayor

facilidad en la generación de falsos positivos (detección errónea de ataques sobre

tráfico legítimo) o falsos negativos (no detección de ataques, cuando realmente lo son).

Además de los aspectos relacionados únicamente con la seguridad, App-ID ofrece una

visibilidad sin precedentes puesto que muestra realmente las aplicaciones que circulan

por las redes, así como su comportamiento. Usada además junto con User-ID, los

administradores pueden saber quién está utilizando la aplicación en base a su identidad

corporativa, y no solamente por la dirección IP (ver capítulo posterior para encontrar

información detallada sobre User-ID).

App-ID es además capaz no solamente de identificar las aplicaciones base, sino

diferentes subaplicaciones dentro de la misma aplicación padre, que pueden ofrecer

capacidades y comportamientos diversos (por ejemplo WebEx base para realizar

conferencias, frente a WebEx Desktop Sharing para compartir escritorios). Con estas

armas, los administradores pueden utilizar un modelo positivo para bloquear las

aplicaciones malignas, mientras que se permiten, inspeccionan y gestionan aquellas

que están permitidas. Este punto es crucial, porque la respuesta en muchas ocasiones

no es solamente permitir o bloquear, sino que hay que habilitar aplicaciones, que aun

conllevando riesgos, son útiles para la operativa corporativa. App-ID permite

precisamente realizar esta habilitación controlada de las aplicaciones.

La identificación adecuada de la aplicación, es el primer paso para entender mejor el

tráfico que circula por la red. Saber lo que la aplicación hace, los puertos que utiliza, su

tecnología subyacente y las características de comportamiento, son la base para tomar

una decisión mejor informada sobre cómo gestionar la aplicación. Una vez que se

dispone de esta información, las organizaciones pueden tomar medidas más granulares

que un simple “permitir” o “bloquear”, como por ejemplo:

Permitir o bloquear

Permitir pero analizar en búsqueda de exploits, viruses, …

Permitir en base al horario, los usuarios o los grupos

Descifrar e inspeccionar

Aplicar QoS


Página 18 de 95

Aplicar Policy Based Routing en función de la aplicación

Permitir algunas funciones de la aplicación en vez de todas

Cualquier combinación de las anteriores

Módulos App-ID cuenta con cuatro módulos diferentes de operación, tal y como muestra la

siguiente figura, Figura 9:

Figura 9.- Módulos principales de App-ID

El número de técnicas de identificación que se emplean, puede ser variable en función

de cada aplicación y sus condiciones particulares de transporte. Asimismo, el orden en

el que las técnicas se aplican también puede cambiar de una aplicación a otra. No

obstante, el flujo general es el siguiente:

Application Signatures: Se trata de la utilización de firmas basadas en

contexto, que se emplean en primer lugar para buscar propiedades únicas y

características relacionadas con las transacciones, que permitirán identificar la

aplicación independientemente del protocolo y puerto usados. Las firmas

también determinan si la aplicación está siendo utilizada por su puerto por

defecto, o si por el contrario está utilizando un puerto no estándar (por ejemplo,

RDP a través del puerto 80 en vez del puerto 3389, que es su puerto estándar).

SSL Decryption: Si App-ID determina que se está empleando cifrado SSL (y

existe una política de descifrado en la configuración), el tráfico se descifra y se

envía a los siguientes módulos de identificación, según sea necesario. Es

posible realizar inspección SSL tanto en tráfico entrante como saliente. En el


Página 19 de 95

caso del descifrado del tráfico entrante (por ejemplo contra los servidores web),

el equipo no actúa activamente en la negociación SSL, y por tanto inspecciona el

tráfico de modo transparente (necesita solamente tener una copia del certificado

y clave privada utilizados). Si se detecta un ataque o tráfico maligno, realiza un

reset de la sesión. Por otra parte, y para la inspección del tráfico SSL de salida

(por ejemplo la navegación web de los usuarios internos), el equipo establece

una sesión SSL con el cliente y otra con el destino real; se comporta por tanto de

modo activo. En este caso, una vez que la aplicación se identifica y es aceptada

por la política de seguridad, se aplican los perfiles de protección frente a

amenazas configurados y el tráfico es posteriormente reencriptado y enviado a

su destino original.

Application Protocol Decoding: Si se necesita, los decodificadores de

protocolo se emplean para averiguar si la aplicación está utilizando el protocolo

como su transporte natural (por ejemplo HTTP como transporte de la navegación

web), o si por el contrario solamente se utiliza como una técnica de ofuscación,

para ocultar la aplicación real (por ejemplo Yahoo! Instant Messenger sobre

HTTP). Los decodificadores de protocolo ayudan asimismo a afinar el rango

posible de aplicaciones, proporcionando información valiosa sobre el contexto a

las firmas así como a la identificación de ficheros u otros contenidos sensibles,

que deben ser analizados por otros módulos (por ejemplo IPS o DLP).

Heuristics. En ciertos casos (aproximadamente el 1% de todas las aplicaciones

reconocidas), las tácticas evasivas que se emplean no pueden ser identificadas,

a pesar del análisis avanzado de firmas y protocolos descrito anteriormente. En

estas situaciones, se necesita utilizar técnicas heurísticas adicionales, o análisis

del comportamiento, para identificar ciertas aplicaciones que utilizan

mecanismos de cifrado propietarios (por ejemplo aplicaciones peer-to-peer, de

VoIP –como Skype- o de proxies personales –como Ultrasurf). Las técnicas

heurísticas se emplean, junto con el resto de técnicas revisadas en App-ID, para

ofrecer visibilidad y control sobre aplicaciones que podrían de otro modo eludir la

identificación positiva.

Ejemplo del modo de trabajo de App-ID: Identificación de WebEx Cuando un usuario inicia una session WebEx, la conexión inicial tiene lugar bajo SSL.

App-ID ve el tráfico y las firmas determinan que se está empleando cifrado SSL. El


Página 20 de 95

módulo de descifrado y los descodificadores de protocolo actúan entonces, para

descifrar el tráfico SSL y detectar que se está empleando HTTP como protocolo de

base. Una vez que el decodificador tiene el stream HTTP, el sistema puede aplicar

entonces firmas adecuadas a ese contexto y detectar que la aplicación en uso es

WebEx. A partir de ese momento se reporta el uso de WebEx, que puede ser además

controlado a través de las políticas de seguridad.

Si el usuario final inicia además una sesión de WebEx Desktop Sharing, WebEx cambia

el modo de trabajo, de conferencia a aplicación de acceso remoto. En este escenario,

las características de WebEx han cambiado y las firmas de aplicación detectan este

nuevo comportamiento. De nuevo tanto el módulo de reporting como el de control

mostrarán esta subaplicación, independientemente del protocolo de conferencia –

WebEx base - que podrá ser controlada según sea necesario.

La siguiente figura, Figura 10, muestra un ejemplo del browser de App-ID, en el que se

observan diversas aplicaciones y sus subcategorías, en base al ejemplo de WebEx que

acabamos de revisar (obsérvese WebEx base frente a WebEx Desktop Sharing):

Figura 10.- WebEx con diversas subaplicaciones y control con App-ID

Categorización de las aplicaciones La base de datos de aplicaciones de Palo Alto, se divide en 5 categorías principales y

25 subcategorías, que pueden utilizarse para crear filtros en la generación de políticas.

Además de la categoría y subcategoría, también se incluyen las características de

comportamiento y la tecnología base para cada aplicación. Del mismo modo también se

incluye una categorización del riesgo (1 a 5), asociado a cada aplicación. El valor de


Página 21 de 95

riesgo es asignado por los ingenieros de PAN y puede ser modificado por el cliente, si lo

considera necesario.

Gracias al uso granular que se puede hacer de este modo de categorización, los

administradores pueden crear las políticas de seguridad en base a la lógica del negocio,

de manera simple y efectiva.

A continuación se listan la categoría, subcategoría, características y tecnología

subyacente que utilizan los equipos de PAN:

Categoría y Subcategoría:

Business: Servicios de autenticación, bases de datos, ERP, gestión general,

programas de oficina, software updates, almacenamiento / backup

General Internet: Compartición de ficheros, utilidades de Internet (web-

browsing, toolbars, etc)

Collaboration: Email, instant messaging, Internet conferencing, redes sociales,

VoIP-video, web-posting

Media: Audio-streaming, juegos, foto-video

Networking: Túneles cifrados, infraestructura, protocolos-IP, proxy, acceso

remoto, routing

Características de las aplicaciones:

Es capaz de transferir ficheros de una red a otra

Es utilizada para propagar malware

Consume 1 Mbps o más regularmente, en uso normal

Evade la de detección a través del uso a propósito de un protocolo o puerto, que

originalmente está diseñado para otro propósito

Tiene una implantación amplia

Hay vulnerabilidades conocidas para esa aplicación

Es propensa a ser mal utilizada, o es fácilmente configurable para exponer más

información de la que se pretende

Tuneliza otras aplicaciones

Tecnología subyacente:

Client-server based Browser-based


Página 22 de 95

Peer-to-peer based Network protocol

Actualizaciones periódicas La lista de aplicaciones que App-ID detecta crece rápidamente, con una media de entre

3 y 5 nuevas aplicaciones añadidas semanalmente, en base a la información recibida de

los clientes, partners y las tendencias del mercado. La actualización de la base de datos

de App-ID se realiza automáticamente desde el equipo, y puede programarse como una

tarea recurrente (con opción de instalarla o solamente de descargarla para ser revisada

antes de proceder a la instalación).

Gestión de aplicaciones propietarias o desconocidas Aquellos clientes que tengan aplicaciones de propósito general no identificadas en su

red, pueden tomar una captura de tráfico y enviar dicha información a Palo Alto

Networks, para que se desarrollen los mecanismos necesarios para identificarla

adecuadamente. App-ID categoriza estas aplicaciones desconocidas como “unknown-

tcp” ó “unknown-udp”.

Una vez que un nuevo decoder o firma es desarrollado y chequeado en nuestros

laboratorios, se añade a la lista como parte de las actualizaciones periódicas

semanales, disponibles a partir de ese momento para todos los clientes.

Si la aplicación es interna o propietaria, los administradores tienen entonces dos

posibilidades para categorizarla:

• Application Override: Este mecanismo permite definir qué puertos utiliza la

aplicación y caracterizarla únicamente en base a éstos parámetros.

• Firmas de aplicación personalizables: Si la aplicación trabaja sobre HTTP ó SSL,

los administradores pueden crear firmas personales de identificación, que

trabajan a nivel 7 a través del uso de un potente motor basado en expresiones

regulares.


Página 23 de 95

Detalle del funcionamiento de User-ID User-ID permite integrar de modo transparente los firewalls de

PAN con los servicios de directorio corporativo tales como

Active Directory, eDirectory ó LDAP (en éste último caso

normalmente a través del uso de una API XML). Esto permite a

los administradores enlazar la actividad de red con la

información de usuarios y grupos, en vez de únicamente con

las direcciones IP. Además, cuando User-ID se utiliza junto con las tecnología App-ID y

Content-ID, las organizaciones pueden utilizar la información de usuario y grupo para

obtener visibilidad, crear políticas de seguridad, hacer análisis forense y gestionar las

amenazas, la navegación web y la actividad asociada a las transferencias de datos.

Esta capacidad es especialmente interesante en las redes actuales, donde los usuarios

están dotados de movilidad (cable, WI-FI, 3G, …), con diferentes ubicaciones

geográficas posibles, y donde además se suele utilizar direccionamiento dinámico

(DHCP), lo que hace complicado identificar de forma simple y rápida al usuario con la IP

que tiene en un momento determinado. El resultado es que intentar utilizar la dirección

IP como método de identificación de un usuario, es a día de hoy inadecuado, o cuando

menos muy complejo.

A continuación se enumeran algunos de los beneficios fundamentales que se obtienen a

través del uso de User-ID:

Analizar las aplicaciones, amenazas y navegación web en base a usuarios

individuales o grupos, en contraposición a utilizar únicamente direcciones IP.

Identificar a los usuarios de Citrix y Microsoft Terminal Services y aplicar

políticas sobre sus respectivos usos de las aplicaciones.

Construir políticas para habilitar la utilización positiva de aplicaciones para

grupos específicos de usuarios, como marketing, TI o ventas.

Obtener visibilidad en tiempo real sobre la utilización que los usuarios hacen de

los recursos, así como identificar rápidamente qué usuarios pueden suponer una

amenaza o sufren algún tipo de vulnerabilidad (infección por virus, spyware, …)

Módulos User-ID cuenta con diversos mecanismos para proceder a la identificación de los

usuarios, tal y como muestra la siguiente figura, Figura 11:


Página 24 de 95

Figura 11.- Módulos de identificación de usuarios en User-ID

El módulo de Login Monitoring se encarga, a través de un agente que se instala en un

PC de la red, de monitorizar la actividad de logging de los usuarios.

El módulo de Role Discovery se encarga, también a través del agente, de correlar la

información sobre la pertenencia de usuarios a grupos.

El módulo de End Station Polling es el encargado de monitorizar la actividad de cada

PC que está vivo en la red, para comprobar la dirección IP y usuario, y garantizar la

coherencia de la información cuando los usuarios se mueven en la red, sin

reautenticarse en el dominio.

Finalmente Captive Portal ofrece una solución para autenticar a usuarios que no

pertenecen al dominio, a través de una página web que incluye servicios de

autenticación, o a través del uso de autenticación basada en NTLM.

La potencia de User-ID se vuelve evidente cuando un administrador encuentra una

aplicación en la red cuyo uso le resulta extraño (revelada a través de la tecnología App-

ID). Entonces, y a través simplemente de unos cuantos clicks de ratón, puede

determinar qué usuario o grupo de usuarios están utilizando esa aplicación.

El administrador no ve solamente los usuarios de un determinado aplicativo, sino

también el consumo de ancho de banda, el número de sesiones, los orígenes y destinos

del tráfico así como cualquier posible amenaza asociada con dicha aplicación. También

es factible, de nuevo de forma muy simple, investigar otras aplicaciones que ese usuario

está empleando en un momento determinado.


Página 25 de 95

La siguiente figura, Figura 12, muestra un ejemplo de este tipo de análisis y visibilidad,

para un usuario que está empleando Facebook base y cuyo uso nos llama la atención.

Obsérvese que el administrador en primer lugar hace click sobre Facebook base para

filtrar la información asociada a esta aplicación; posteriormente hace click sobre el

usuario “Ginger Poppe” que está empleando Facebook base y finalmente obtiene todas

las aplicaciones que este usuario está utilizando, junto con el uso de sesiones, ancho de

banda consumido, posibles amenazas, … (el dominio en este ejemplo es “pancademo”):

Figura 12.- Ejemplo de la visibilidad de aplicaciones obtenida para un usuario concreto

De modo similar al ejemplo anterior, la siguiente figura, Figura 13, muestra cómo es

posible utilizar User-ID no únicamente con fines de obtención de visibilidad, sino

también para establecer políticas de control en base a usuarios concretos o grupos de

usuarios del directorio corporativo. Obsérvese que en la columna Source User se

definen distintos usuarios para cada una de las políticas configuradas en este ejemplo:

Ejemplo de visibilidad de la actividad de los usuarios


Página 26 de 95

Figura 13.- Ejemplo de control por usuarios y grupos con User-ID

Obtener visibilidad en la actividad de las aplicaciones a nivel del usuario, y no sólo de la

IP, es un paso necesario para retomar el control sobre las aplicaciones que circulan por

la red. Los administradores pueden entonces alinear el uso de las aplicaciones con los

requisitos de la unidad de negocio, y si fuera necesario, advertir al usuario sobre una

posible violación de la política corporativa de uso, o tomar medidas más directas como

bloquear el uso de determinadas aplicaciones a determinados usuarios.

En los capítulos siguientes se analizará más en detalle las capacidades de

configuración de User-ID.

Integración con el directorio activo de Microsoft a través de PAN-Agent La integración de los firewalls de PAN con el directorio activo de Microsoft –Active

Directory- se realiza a través de la utilización de un agente específico, denominado Pan

Agent.

Este agente ha de instalarse sobre cualquier PC que pertenezca al dominio, siendo

posible instalarlo sobre diferentes PCs si se desea dotar al servicio de redundancia. Es

importante señalar que aunque es posible instalar el agente sobre los controladores de

dominio –Domain Controllers-, no es una práctica recomendable puesto que estos

servidores son críticos y el único beneficio obtenido es un pequeño ahorro en el tráfico

de red, que normalmente es conmutado además a través de redes LAN.

Asimismo es importante señalar, que un único agente puede interpelar a múltiples

controladores para un mismo dominio. Sin embargo, si es necesario gestionar varios

dominios diferentes, es necesario instalar al menos un agente para cada uno de ellos.

Ejemplo de control por usuario o grupo de usuarios


Página 27 de 95

Por el contrario, un único firewall de PAN puede gestionar la información de múltiples

dominios (que recibirá por tanto de diferentes agentes).

La siguiente figura, Figura 14, muestra el flujo general que sufre una sesión desde que

el usuario se identifica en el Directorio Activo, hasta que la información se integra dentro

del cortafuegos de PAN:

Figura 14.- Flujo general en la identificación de usuarios

Una vez instalado el agente, que se comporta como un servicio de Windows, es

necesario asignar un usuario a dicho servicio que tenga permisos para hacer logon en

el dominio –es decir que pertenezca al grupo Builtin/Users- y que pueda leer los logs de

auditoría de seguridad de Windows - Manage auditing and security log-. Normalmente

los administradores de dominio tienen asignado este permiso por defecto, por lo que

resulta sencillo crear un usuario para éste propósito que pertenezca al grupo de

administradores. No obstante, y si esto no es posible, es factible configurar un usuario

que no pertenezca al grupo de administradores y al que se le puede otorgar

manualmente el permiso requerido.

Una vez que el agente está instalado y configurado, se encarga de obtener

automáticamente la información sobre los usuarios y sus IPs actuales, así como su


Página 28 de 95

pertenencia a grupos. El agente envía, a través de una conexión vía SSL, toda esta

información al firewall que es el encargado de actualizarla en su base de datos interna.

En caso de que haya varios agentes dispersos por la red (por motivos de redundancia),

el cortafuegos se encarga también de correlar la posible información duplicada que

recibe de cada agente.

La siguiente figura, Figura 15, muestra el detalle de la comunicación entre firewall,

agente y controlador de dominio:

Figura 15.- Detalle de la comunicación entre los diversos elementos que intervienen en la identificación de usuarios

Todas las actualizaciones de usuarios son enviadas al firewall a través de su interfaz de

gestión vía SSL (es posible definir qué puerto TCP se quiere emplear); también es

posible configurar otro interfaz, si así se desea, para éste propósito. El agente PAN-

Agent, además de monitorizar los logs y tablas de sesiones del Directorio Activo de

Microsoft, también puede opcionalmente realizar consultas directamente a las

estaciones de los clientes por NetBIOS ó WMI (para equipos de clientes que utilizan

Windows Vista o Windows 7).


Página 29 de 95

El método preferible y más eficaz para identificar a los usuarios es a través del agente

trabajando contra el Directorio Activo. No obstante, aunque el agente verá los nuevos

usuarios según se autentican y podrá confirmarlos cuando utilizan recursos de red, es

posible que no vea cuando se desconectan (log off). El motivo es que el DA de

Microsoft no registra este tipo de actividad. La pruebas por NetBIOS ó WMI confirman

que un usuario previamente activo se sigue manteniendo activo en su puesto de trabajo.

Hay tres factores que pueden desaconsejar el uso de NetBIOS:

Ancho de banda que se requiere para la utilización de las pruebas, sobre todo si

se trata de un entorno WAN (no tan importante sobre entornos LAN).

Recursos de CPU necesarios para la realización de las pruebas desde el PC

que incorpora el agente.

Equipos que puedan no responder a las consultas NetBIOS a causa de la

utilización de firewalls personales, que no permitan este tipo de tráfico.

Así pues, es recomendable tener en cuenta estos factores durante la fase de diseño,

para implementar la topología más adecuada en cada escenario.

Para finalizar con este capítulo, la siguiente figura, Figura 16, muestra un ejemplo de la

configuración del agente contra un Directorio Activo (en general la configuración es

sencilla y se completa en unos pocos minutos):

Figura 16.- Ejemplo de configuración del agente de PAN contra Directorio Activo de Microsoft


Página 30 de 95

Identificación de usuarios de Citrix y Microsoft Terminal Services En entornos donde la identidad del usuario es ocultada por una solución de Citrix o

Terminal Server, es posible también instalar un agente User-ID específico, para

determinar qué aplicaciones los usuarios están empleando. Si además hay un directorio

corporativo, la información sobre los usuarios y los grupos (no las direcciones IP)

también serán mostradas. Una vez que aplicaciones y usuarios han sido identificados,

se obtiene visibilidad y control completos de este tipo de usuarios, dentro de las

herramientas de logging, reporting y gestión de políticas integradas en los cortafuegos

de PAN.

El funcionamiento de este agente es similar al descrito en el apartado anterior, para el

Directorio Activo de Microsoft.

Integración con el e-Directory de Novell a través de User-ID-Agent A partir de las versiones 3.1.x de PAN-OS, es posible también utilizar un agente,

denominado User Agent, capaz de integrarse con directorios corporativos de Novell (e-

Directory).

La ventaja fundamental que ofrece el directorio de Novell, al igual que el de Microsoft,

es que almacena la dirección IP con la que el usuario se autentica junto con la hora. En

concreto en el directorio de Novell la IP se almacena, en un formato binario propietario,

en el campo networkAddress de la estructura LDAP. Este comportamiento no es en

general extrapolable a otros controladores de dominio basados en LDAP, en los que la

integración se hace por tanto más compleja al no almacenar la IP del usuario

autenticado (ver siguiente punto).

Otro punto importante a señalar, es que el agente para el directorio de Novell es capaz

únicamente de obtener la información sobre los usuarios y sus IPs, pero no la de los

grupos de usuarios a los que pertenecen. A partir de las versiones 3.1.x los firewalls de

PAN son capaces de conectarse directamente contra el directorio a través de LDAP,

obteniendo de este modo la información sobre los grupos y la pertenencia de los

usuarios a los mismos. Así pues, parte de la configuración de autenticación contra e-

Directory requiere configurar, además del agente, la comunicación LDAP entre

cortafuegos y repositorio corporativo.

La siguiente figura, Figura 17, muestra un ejemplo de configuración del agente contra

un controlador e-Directory de Novell:


Página 31 de 95

Figura 17.- Ejemplo de configuración de agente contra e-Directory de Novell

La configuración es de nuevo bastante simple, requiriendo únicamente la configuración

de la rama base del árbol LDAP por el que comenzar la búsqueda (en nuestro ejemplo

de la Figura 17 “lab”) y el usuario y password utilizado para conectarse al directorio (en

nuestro ejemplo “Admin”).

Para finalizar con este capítulo, señalar que el flujo de comunicación entre el agente y el

cortafuegos es similar al mostrado anteriormente en el punto de integración del agente

contra el Directorio Activo de Microsoft.

Otros directorios LDAP: API XML Para otros directorios diferentes, basados por ejemplo en OpenLDAP, la integración es

más compleja puesto que estos directorios no incluyen normalmente ningún campo en

su estructura que contenga la dirección IP del usuario autenticado.

En estos casos es aún posible realizar la identificación de usuarios, a través de la

utilización de una API XML que se ofrece sobre el mismo agente mostrado en el

capítulo de e-Directory.


Página 32 de 95

En estos casos será necesario realizar un pequeño desarrollo para extraer la

información sobre la dirección IP desde algún origen (por ejemplo servidor DHCP) y

alimentar la API con la dirección IP y nombre de usuario correspondiente. A

continuación se muestra un ejemplo del intercambio de mensajes necesario para la

correcta interactuación contra la API (para obtener más información al respecto, visitar

https://live.paloaltonetworks.com/docs/DOC-1348)

<uid-message>

<version>1.0</version>

<type>update</type>

<payload>

<login>

<entry name="domain\uid1" ip="10.1.1.1"/>



</login>

<logout>


</logout>

</payload>

</uid-message>

Como se observa es posible incuir varias actualizaciones (login ó logout) sobre el

mismo mensaje. Si el resultado es correcto, la API devolverá el siguiente tipo de

mensaje:

<uid-response>

<version>1.0</version>

<code>0</code>

<message>ok</message>

</uid-response>

En caso de no ser correcto, el código de error será “1” en lugar de “0” y se incluye

además un mensaje descriptivo sobre el origen del mismo.

Es interesante señalar que existen actualmente soluciones comerciales que ofrecen

este tipo de integración automáticamente contra los equipos de PAN. Un ejemplo de

ellas es AmigoPod (para más información visitar www.amigopod.com).


Página 33 de 95

Integración de usuarios no pertenecientes al dominio: Captive Portal con NTLM En el caso de que existan usuarios que no pertenecen al dominio (como por ejemplo

usuarios externos trabajando temporalmente), es aún posible identificarlos como

usuarios y no únicamente por su dirección IP. Para ello los cortafuegos de PAN ofrecen

la posibilidad de utilizar un portal cautivo, Captive Portal, que se encarga de realizar

esta tarea.

El portal cautivo puede utilizar con dos modos de trabajo diferentes:

Autenticación basada en NTLM

Autenticación basada en página web con formularios

En general es preferible utilizar la autenticación por NTLM, más elegante, puesto que el

usuario no es presentado con ninguna página web, sino que se le solicita la

autenticación directamente según se conecta a cualquier sitio.

Para la autenticación basada en NTLM, se utilizan las cabeceras de autenticación

HTTP. Es importante señalar que es necesario que el cliente utilice un navegador

compatible con este método de trabajo, como Internet Explorer o Firefox. La siguiente

figura, Figura 18, muestra el esquema general del flujo de una autenticación con NTLM:

Figura 18.- Flujo general de la autenticación vía NTLM

PAN-OS utiliza las cabeceras HTTP mostradas en la Figura 18, junto con una

redirección HTTP (código 302, redirección temporal) para autenticar a los usuarios.

La siguiente figura, Figura 19, muestra el proceso de validación. Tal y como se observa

hay tres fases distintas, que se corresponden con tres conexiones TCP diferentes: la

petición original del cliente interceptada; la autenticación NTLM entre cliente y


Página 34 de 95

cortafuegos y la petición original reenviada una vez que la autenticación ha sido

satisfactoria.

Figura 19.- Conexiones que tienen lugar en una autenticación NTLM

NTLM es un mecanismo de autenticación basado en desafío-respuesta, donde el cliente

debe obtener información nueva del servidor de autenticación, cuando formula su

contraseña en la respuesta. Puesto que el Directorio Activo es el único servidor capaz

de validar la respuesta NTLM del usuario, el servidor web integrado en el cortafuegos

actúa únicamente como conductor, enviando los desafíos y respuestas a través de los

agentes (Pan Agent), que interactúan con el directorio.

La siguiente figura, Figura 20, muestra el detalle del proceso de autenticación NTLM

entre el usuario y el directorio. Nótese que el tráfico circula por cuatro equipos en total,

porque la autenticación final la ha de hacer el controlador de dominio, y la comunicación

del cortafuegos con él es a través del agente (Pan Agent, visto anteriormente).


Página 35 de 95

Figura 20.- Flujo de la autenticación NTLM

Notas:

Aunque se soportan tanto NTLMv1 como NTLMv2, se recomienda configurar los

navegadores para que utilicen NTLMv2, puesto que es más seguro que

NTLMv1.

Si se desea utilizar además la información de los grupos a los que los usuarios

pertenecen, es posible configurar el cortafuegos para que obtenga esta

información directamente, a través del uso de LDAP (soportado a partir de PAN-

OS 3.1).

Integración de usuarios no pertenecientes al dominio: Captive Portal con página web En el caso de que la autenticación basada en NTLM no se pueda utilizar, o falle por

ejemplo porque el navegador que utiliza el cliente no soporta NTLM, aún es posible

autenticar a los usuarios haciendo uso de un portal cautivo que ofrecen los equipos de

PAN, que integra una página web con un formulario de autenticación. La siguiente


Página 36 de 95

figura, Figura 20, muestra un ejemplo de la página que se muestra a los usuarios que se

autentican por este método. La imagen que mostramos se corresponde con la página

por defecto, pero es posible personalizar la apariencia de esta página, a través de los

menús de configuración del firewall:

Figura 20.- Autenticación con portal cautivo basado en página web

La siguiente figura, Figura 21, muestra el flujo del proceso de autenticación. Nótese que

aunque se hace referencia a la autenticación vía RADIUS, también es posible, a partir

de la versión 3.1 de PAN-OS, utilizar autenticación por LDAP (contra un directorio

activo, por ejemplo).

Figura 21.- Autenticación con Captive Portal y formulario web


Página 37 de 95

El proceso de autenticación, tiene lugar a través de HTTPs. Para ello el firewall utiliza

un certificado que se puede generar dentro del propio equipo, o importar desde el

exterior. Para que el usuario sea interceptado y autenticado, debe en primer lugar iniciar

una sesión HTTP hacia algún recurso externo. Una vez que la autenticación tiene éxito,

el usuario es redirigido transparentemente hacia el recurso original, que solicitó desde

su navegador. Asimismo, una vez identificado, la validación del usuario contra las

políticas se realiza para cualquier tipo de tráfico IP y no solamente para el tráfico Web.

Durante la autenticación se utiliza nuevamente una redirección de tipo 302 (Temporarily

moved), pero de manera diferente a como se empleaba con la autenticación basada en

NTLM. En este caso al usuario se le envía el contenido como si viniera del sitio original,

pero redirigiéndolo hacia HTTPs y a través de otro puerto (TCP 6080). Esta redirección

sirve al firewall para interceptar la siguiente petición del navegador, donde se incluye el

formulario web de autenticación. Una vez que el usuario introduce la información de

autenticación, ésta es enviada hacia el servidor RADIUS o LDAP que valida finalmente

al usuario.

La siguiente figura, Figura 22, muestra el detalle de la autenticación en este caso:

Figura 22.- Detalle de la autenticación con portal cautivo y formulario web


Página 38 de 95

Detalle del funcionamiento de Content-ID Muchas de las nuevas aplicaciones que los usuarios se descargan hoy día contienen

amenazas, tales como viruses, troyanos, spyware, … Del mismo modo las aplicaciones

corporativas se ven amenazadas por ataques cada vez más sofisticados, que en

muchos casos van buscando un beneficio financiero, frente a la notoriedad del atacante.

Gran parte de las soluciones que se ofrecen hasta la fecha, se basan en el concepto de

que si se detecta una nueva brecha de seguridad, es necesario adquirir un nuevo

dispositivo que la cubra. Desafortunadamente, la falta de coordinación entre las distintas

funciones de cada equipo, los interfaces de gestión dispersos e inconsistentes y un

rendimiento pobre, han dado un resultado muy lejano del esperado. Aún más

importante, los modelos de seguridad basados en soluciones independientes, han

obviado el hecho de que los atacantes toman ventaja de los cientos de aplicaciones que

no se analizan y que los usuarios pueden descargar e instalar.

Content-ID es una solución de seguridad totalmente integrada dentro de las soluciones

de Palo Alto Networks, que pretende dar respuesta a todas las carencias de ese modelo

de aproximación a la seguridad, basado en la dispersión de recursos.

Se trata de un motor de exploración basado en flujo (stream based en contraposición a

soluciones basadas en proxies), que utiliza un formato de firma uniforme para la

prevención, detección y bloqueo de un gran número de amenazas. De igual modo, limita

la transferencia no autorizada de archivos y datos confidenciales, al tiempo que una

extensa base de datos de URLs controla la navegación por Internet no relacionada con

el trabajo.

El uso de Content-ID, junto con las tecnologías App-ID y User-ID vistas anteriormente,

devuelve el control al departamento de TI sobre las aplicaciones, los usuarios y las

amenazas relacionadas, ofreciendo además una visibilidad sin precedentes desde un

punto central (el cortafuegos corporativo).

La siguiente figura, Figura 23, muestra el resumen de las capacidades que se integran

dentro de Content-ID:


Página 39 de 95

Figura 23.- Funcionalidades integradas en Content-ID

Nota: Content-ID se comercializa a través de dos licencias que los clientes pueden

adquirir opcionalmente al comprar un equipo de PAN: una de ellas se denomina Threat

Prevention e incluye el análisis de vulnerabilidades (IPS), antivirus y anti-spyware. La

segunda licencia, denominada URL Filtering, incluye las capacidades de filtrado de

URLs.

Ambas licencias son independientes y pueden adquirirse de forma separada, según sea

necesario. En ambos casos la licencia va ligada al equipo y no al volumen de usuarios, lo que hace que económicamente la solución sea más rentable.

Como ventajas fundamentales de Content-ID, cabe destacar:

Integrado completamente dentro de la solución de PAN.

Protege frente a una gran variedad de amenazas, incluyendo exploits contra las

aplicaciones (IPS), viruses y spyware.

Analiza todo el tráfico una única vez, basándose en un modelo tipo stream. De

esta forma se elimina la necesidad de utilizar proxies para el tráfico o los

ficheros, lo que resulta en un rendimiento superior y una latencia reducida.

La utilización de una única política reduce significativamente la operativa

asociada a la creación de políticas para el control de las amenazas o de la

navegación web.

En los capítulos siguientes, analizamos con mayor detalle cada una de las

funcionalidades y capacidades que ofrece Content-ID.


Página 40 de 95

Prevención de amenazas (IPS) Es importante señalar, antes de avanzar más en el

detalle de las capacidades de prevención de

ataques, que todos los equipos de PAN se basan en

la utilización de App-ID, como tecnología base. Tal y

como se mencionó con anterioridad, App-ID utiliza

un mecanismo de lógica positiva en la identificación de las aplicaciones (nivel 7). Esto

significa que antes siquiera de comenzar a buscar posibles amenazas, el equipo

determina si la aplicación que está circulando por la red se corresponde realmente con

aquella que los administradores de seguridad han habilitado en sus políticas. La

identificación es posible realizarla incluso aunque el tráfico vaya cifrado bajo SSL. Si la

aplicación detectada no es acorde a la política de seguridad configurada, esa sesión

simplemente se elimina sin darle opción a que progrese y pueda incluir alguna

amenaza.

Gracias a la utilización de esta tecnología de base, es posible eliminar multitud de

amenazas basadas en la ofuscación o tunelización de unas aplicaciones sobre otras,

además de que también permite reducir drásticamente los falsos positivos.

La tecnología clave que permite a Content-ID identificar y bloquear con mayor certeza

los ataques, es el decodificador de aplicación (ver punto anterior, sobre App-ID, para

encontrar más información al respecto). Content-ID toma streams de los datos de las

aplicaciones, que ya han sido analizados y reensamblados por el decodificador, para

inspeccionarlos en busca de amenazas.

Además, en vez de utilizar un subconjunto independiente de motores de análisis y

firmas para cada tipo de amenaza, Content-ID emplea un motor de firmas uniformes,

lo que le permite detectar y bloquear en una única pasada diversos tipos de malware

(exploits, viruses, spyware, …). Esta capacidad es crítica para garantizar un rendimiento

muy alto a la par que una latencia mínima.

En lo referente a las amenazas contra las aplicaciones, la prevención se consigue a

través de un conjunto de medidas de tipo IPS (Intrusion Prevention System). Los tipos

de ataques generales, que es posible detectar se listan a continuación:

Exploits contra vulnerabilidades de red

Exploits contra vulnerabilidades de aplicación

Ataques de denegación de servicio (DoS y DDoS)


Página 41 de 95

Escaneo de puertos (horizontales y verticales)

En cuanto a las medidas que utiliza el IPS para ofrecer la prevención, a continuación se

detallan las más significativas junto con una explicación sobre su utilización:

Decodificadores de protocolo: Decodifican el protocolo y permiten

posteriormente aplicar firmas para detectar los ataques, en base al contexto real

de la aplicación.

Firmas contra vulnerabilidades: Buscan patrones que se corresponden con

intentos de intrusión. Actualmente existen unas 3000 diferentes.

Detección de anomalías: Detectan el uso de los protocolos cuando no es acorde

a las RFCs, tales como URIs inválidas o intentos de login en servicios FTP con

usuarios de gran longitud.

Stateful pattern matching: Detecta ataques distribuidos en varios paquetes,

tomando en cuenta elementos tales como el orden de llegada y la secuencia.

Detección de anomalías por estadísticas: Previene los ataques de denegación

de servicio (DoS y DDoS), basándose en el análisis del ratio de paquetes y

sesiones.

Análisis de comportamiento (heurístico): Detecta paquetes anómalos para

prevenir los intentos de escaneos de red.

Defragmentación IP y reensamblaje TCP: Permite detectar los ataques aun

cuando los atacantes pretenden utilizar tácticas evasivas contra sistemas IPS.

Firmas personalizables por los usuarios: Permite a los administradores extender

el rango de firmas disponibles, a través de la utilización de un potente motor

basado en expresiones regulares.

Es importante señalar que la configuración de todas estas medidas de protección, al

igual que ocurre con el resto de módulos de Content-ID, se realiza a través de la

utilización de perfiles, lo que permite crear políticas de un modo muy sencillo.

Además, es posible utilizar diferentes perfiles de Content-ID para cada regla de

seguridad del firewall, lo que ofrece una gran granularidad a la hora de establecer

las medidas de control.

La siguiente figura, Figura 24, muestra un ejemplo de la configuración de los perfiles

de Content-ID, ligado a cada una de las políticas que implementa el cortafuegos:


Página 42 de 95

Figura 24.- Ejemplo de gestión de políticas de Content-ID

La gestión de los perfiles de firmas es asimismo muy sencilla, pudiendo el administrador

trabajar en modo simple o modo avanzado.

En el modo simple solamente es necesario seleccionar qué acción se quiere tomar

contra un determinado tipo de amenaza, en base al riesgo –crítico, alto, medio, bajo o

informativo, para los ataques de cliente o servidor. La siguiente figura, Figura 25,

muestra un ejemplo de configuración simple:

Figura 25.- Ejemplo de configuración de firmas de IPS sencilla

Ejemplo de configuración de Content-ID por perfiles


Página 43 de 95

Por el contrario en el modo avanzado es posible configurar múltiples parámetros para

cada firma individualmente. La siguiente figura, Figura 26, muestra un ejemplo de

configuración avanzada:

Figura 26.- Ejemplo de configuración de firmas de IPS avanzada

En ambos casos es posible excluir aquellas firmas que no nos interesen como

excepciones. Esta configuración también es posible realizarla directamente desde la

ventana de análisis de logs.

Prevención de ataques de DoS La prevención frente a ataques de DoS y DDoS (ataques de denegación de servicio

distribuidos), se realiza a través de la detección basada en el análisis estadístico, según

se mencionó en el capítulo anterior.

Es posible configurar diferentes perfiles para cada zona, en función de los requisitos de

tráfico que pueda existir en cada una de ellas. En concreto, este mecanismo ofrece

protección frente a los siguientes ataques de DoS:


Página 44 de 95

Ataques de SYN Flood. Se puede utilizar SYN Cookies o RED (Random Early

Drop). Es recomendable utilizar SYN Cookies.

Ataques basados en inundaciones UDP.

Ataques basados en inundaciones ICMP.

Otros tipos de ataques basados en inundaciones IP.

La siguiente figura, Figura 27, muestra un ejemplo de configuración de un perfil en una

zona, para proteger dicha zona frente a ataques de denegación de servicio. Tal y como

se observa se ofrecen diferentes ratios, en base a los diferentes estados por los que

puede pasar un ataque de DoS (alerta, activación y máximo número de paquetes

permitidos):

Figura 27.- Ejemplo de configuración frente a ataques de DoS por zonas

Prevención frente a escaneos de red Aunque los intentos de escanear la red en busca de equipos o de servicios que

respondan, no suele considerarse un ataque como tal, sí que es importante ofrecer

mecanismos de protección frente a los mismos, porque suele ser la primera medida que

un atacante emplea, previa a la realización de un ataque en sí.


Página 45 de 95

Al igual que la protección frente a ataques de DoS, la detección y prevención de los

escaneos de red en las soluciones de PAN se realiza a través del análisis estadístico,

que se configura en la protección de cada zona. De nuevo es posible utilizar perfiles

diferentes en función de los requisitos de cada zona.

En concreto se ofrece protección frente a los siguientes tipos de escaneo (tanto

horizontales como verticales):

Escaneos TCP

Escaneos UDP

Host Sweep

La siguiente figura, Figura 28, muestra un ejemplo de configuración de un perfil frente a

los intentos de escaneo:

Figura 28.- Ejemplo de configuración frente a intentos de escaneo

Anomalía de paquetes Al igual que la protección frente a ataques de DoS, la detección y prevención de

paquetes anómalos se configura en la protección de cada zona. De nuevo es posible

utilizar perfiles diferentes en función de los requisitos de cada una.

En concreto se ofrece protección frente a los siguientes tipos de paquetes anómalos:

Spoofing de direcciones IP

Bloqueo de tráfico fragmentado

Tráfico ICMP con ID 0


Página 46 de 95

Tráfico ICMP fragmentado

Paquetes ICMP superiores a 1024 bytes

Supresión de ICMP TTL expired error

Supresión de ICMP NEEDFRAG

Eliminar los paquetes fuera de sesión (paquetes para los que no se ha visto el

SYN que marca el inicio de la sesión). Es importante deshabilitar esta medida de

protección si se trabaja en entornos donde es posible que exista tráfico

asimétrico.

La siguiente figura, Figura 29, muestra un ejemplo de configuración de un perfil frente a

paquetes anómalos:

Figura 29.- Protección frente a anomalías de paquete

Antivirus y Anti-Spyware El motor de antivirus/anti-spyware en línea saca también partido de los patrones de

firmas uniformes mencionados anteriormente, así como de un motor de inspección

basado en stream, para proteger frente a millones de variantes de malware.

A continuación se enumeran las capacidades clave de la solución de antivirus/anti-

spyware de PAN:

Protección frente un amplio rango de malware, como por ejemplo virus,

incluyendo aquellos que afectan a HTML y Javascript, downloads de spyware,

troyanos, etc.

Detección y prevención en línea de malware embebido en ficheros comprimidos

y contenido web.

Utiliza el motor de descifrado SSL de App-ID, para bloquear viruses sobre tráfico

SSL.


Página 47 de 95

Las firmas del motor de antivirus se obtienen a través del análisis de millones de

patrones reales, que son enviados a los ingenieros de PAN a través de terceras

empresas, líderes en el mercado de investigación y búsqueda de malware. El

equipo de desarrollo de PAN analiza y elimina la información duplicada o

redundante y genera las firmas (utilizando el patrón uniforme para ello), que son

ofrecidas a los clientes diariamente o bajo actualizaciones de emergencia.

También es crucial señalar, que el análisis basado en stream permite proteger la red sin

introducir una latencia significativa – que es el problema tradicional con las soluciones

de antivirus que se basan en proxies. Las soluciones basadas en proxies han carecido

históricamente de los requisitos de rendimiento necesarios cuando se hacen

despliegues en línea, en entornos con necesidades en tiempo real (por ej. aplicaciones

web), porque necesitan ubicar el fichero al completo en memoria antes de que el

proceso de análisis pueda comenzar. Por el contrario los motores basados en stream,

como el de PAN, inspeccionan el tráfico tan pronto como el primer paquete del fichero

llega al equipo, eliminando los problemas de rendimiento y latencia asociados con la

aproximación basada en proxies.

La siguiente Figura, Figura 30, muestra la comparativa entre un motor basado en

streaming frente a uno basado en proxies. Obsérvese la gran diferencia en la latencia

introducida por ambas soluciones, hasta que se entrega el tráfico al destino final:

Figura 30.- Comparativa entre la inspección basada en stream frente a proxy


Página 48 de 95

Filtrado de URLs La base de datos para la gestión y filtrado de URLs,

totalmente integrada en la solución, permite establecer

políticas de control sobre la actividad de la navegación

web, complementando de este modo la visibilidad a

nivel de aplicación y control que los firewalls de nueva

generación de Palo Alto Networks ofrecen.

A continuación se resumen las ventajas fundamentales que ofrece la solución:

Bloquea el acceso a sitios no deseables para reducir los riesgos de seguridad,

legales y regulatorios.

Reduce los incidentes asociados con el malware, al prohibir el acceso a sites

que ofrecen descargas que incluyen malware ó phising.

Ofrece políticas configurables, con listas blancas y negras y base de datos de

URLs personalizable.

Facilita las políticas de descifrado SSL, como por ejemplo: “no descifrar el tráfico

que vaya dirigido contra webs financieras”, pero “sí descifrar el tráfico que vaya

dirigido a sitios que contienen blogs”.

Las soluciones tradicionales de filtrado de URLs basadas en equipos independientes,

no son todo lo efectivas que debieran hoy día. Pueden ser en muchas ocasiones

fácilmente eludidas a través del uso de proxies externos (como PHproxy o CGIproxy),

proxies evasivos (como TOR, UltraSurf o Hamachi) y aplicaciones de acceso a

escritorios remotos (como Yoics!, RDP o SSH). Controlar la actividad de las

aplicaciones de los usuarios requiere una aproximación multidisciplinar, que incorpore

políticas para gestionar la actividad web así como las aplicaciones que utilizan

normalmente para eludir los mecanismos de seguridad tradicionales. Gracias al uso de

las tecnologías App-ID, User-ID junto con el filtrado de URLs, las soluciones de PAN

solventan esas carencias presentes en otras soluciones.

Una vez que han controlado, gracias a App-ID, las aplicaciones que se permite utilizar,

los administradores de seguridad pueden implementar políticas de filtrado URL para

extender el control sobre la actividad de red. Las políticas se pueden habilitar en base a

la combinación de los siguientes mecanismos:

Seleccionar entre 76 categorías y más de 20 millones de URLs, almacenadas en

una base de datos local al equipo.


Página 49 de 95

Utilizar una base de datos distribuida en Internet, con más de 180 millones de

URLs, para todas aquellas que no están incluidas en la base de datos local.

Crear una lista personal, a través del uso de listas negras y listas blancas, que

soportan el uso de comodines en su definición.

Especificar políticas por usuarios y grupos, con diferentes niveles de permiso

(gracias a User-ID).

Crear políticas de navegación basadas en horario.

Determinar qué categorías de URLs han de descifrarse y cuales no (junto con la

funcionalidad de SSL decryption vista anteriormente).

Tal y como se ha comentado, es posible utilizar una base de datos local de 20 millones

de registros, así como una distribuida en Internet de unos 180 millones de registros. Si

se habilita esta funcionalidad, cuando una URL no se encuentra en la base de datos

local, se realiza una búsqueda en la base de datos distribuida. Una vez que la URL ha

sido categorizada, se cachea en otra base de datos local paralela (con capacidad de 1

millón de registros), para evitar que realizar nuevas consultas externas si algún usuario

vuelve a demandarla.

Asimismo también es posible configurar la información que los usuarios recibirán

cuando están intentando visitar un sitio que está bloqueado, según la política

corporativa configurada. Para ello los administradores pueden utilizar una página web

cuyo contenido se puede personalizar. La página puede incluir además referencias al

nombre del usuario, la dirección IP, la URL a la que se está intentando acceder y la

categoría.

También es posible delegar parte de la responsabilidad de la navegación, de vuelta

sobre el usuario final. Para ello los administradores cuentan con las siguientes dos

herramientas:

URL filtering continue: Cuando el usuario accede a una página que viola la

política establecida, se les muestra una página de advertencia con un botón que

le permite continuar en caso de que el acceso a la URL sea realmente necesario

para su trabajo.

URL filtering override: El usuario ha de introducir una contraseña que le permite

eludir la página de bloqueo y acceder por tanto al contenido solicitado.

La siguiente figura, Figura 31, muestra un ejemplo de una de las páginas de bloqueo

que se sirven y que pueden ser personalizadas:


Página 50 de 95

Figura 31.- Ejemplo de página de bloque de acceso a una URL no permitida

Existen asimismo múltiples opciones a la hora de generar informes. El equipo ofrece un

conjunto de ellos predefinidos, y también ofrece la posibilidad al usuario para que se

genere otros personales. En general existen tres tipos de reportes diferentes que se

pueden obtener:

Reportes sobre la actividad de los usuarios: Permite generar informes muy

detallados sobre la actividad de un usuario o grupo. Se incluyen las aplicaciones

empleadas, las categorías de URL visitadas, los sitios web visitados y el detalle

de todas las URLs visitadas durante un período de tiempo configurable.

Reportes sobre la actividad de las URLs: Existen hasta 50 informes de este tipo,

donde se muestra la categoría de URL visitada, los usuarios más activos, las

categorías bloqueadas, los usuarios bloqueados, …

Logging en tiempo real: Los logs de las URLs pueden filtrarse fácilmente, para

obtener información detallada en línea (para obtener más información sobre este

punto, revisar por favor el capítulo de gestión del equipo que se detalla

posteriormente).

La configuración del filtrado de URLs sigue los mismos principios vistos anteriormente

en la configuración de otros mecanismos de Content-ID, y se basa por tanto en la


Página 51 de 95

utilización de perfiles. La siguiente figura, Figura 32, muestra un ejemplo de la definición

de estos perfiles:

Figura 32.- Ejemplo de definición de un perfil de filtrado de URLs

Para finalizar con este punto, es importante señalar que el modelo de licenciamiento de

PAN para el módulo de URL filtering se basa en la obtención de una licencia por equipo y no por usuario. Este modelo de licenciamiento supone que el número de

usuarios que pueden utilizar el servicio es virtualmente ilimitado, a la par que ofrece un

ahorro importante frente a soluciones que requieren una licencia por usuario.


Página 52 de 95

Prevención frente a la fuga de datos (DLP) La solución de filtrado de datos (Data Loss Prevention – DLP), permite a los

administradores implementar políticas que reducirán los riesgos asociados con la

transferencia ilícita de ficheros y datos no autorizados. Asimismo permite auditar los

tipos de contenido que circulan por la red.

Como características más notables de la solución de DLP, caben resaltar las que se

mencionan a continuación:

Bloqueo por tipo de fichero: Permite controlar el flujo de un amplio rango de

ficheros, inspeccionando a fondo el payload para identificar el tipo de fichero en

cuestión (frente a solamente mirar la extensión del archivo). Permite definir

políticas diferentes en el envío o la recepción, como por ejemplo bloquear todos

aquellos archivos cifrados que los usuarios se descarguen (y que por tanto no

pueden ser analizados por otros módulos, como por ejemplo el antivirus).

Filtrado de datos: Controla el envío de patrones de datos sensibles, como por

ejemplo números de tarjeta de crédito, a través del contenido de las aplicaciones

o los adjuntos. Utiliza además un mecanismo basado en pesos para minimizar

los falsos positivos.

Función para el control de la transferencia de ficheros: Permite controlar las

funcionalidades de transferencia de ficheros de una aplicación en concreto

(permitirlas, bloquearlas o auditarlas). Es importante señalar que es posible

bloquear la transferencia de archivos, pero permitir aún la ejecución de la

aplicación, eliminando por tanto únicamente las transferencias.

La siguiente figura, Figura 33, muestra un ejemplo de configuración de un perfil de

filtrado de datos, que analizará el contenido de las aplicaciones o de los adjuntos.

Obsérvese que el perfil detecta la aparición de tarjetas de crédito, números de la

seguridad social (ambos incluidos por defecto), así como la aparición también de dos

términos asignados por los administradores: “Teacher” y “Trinidad”. La definición de

estos patrones se realiza a través del uso de un potente motor de expresiones

regulares.


Página 53 de 95

Figura 33.- Ejemplo de perfil de filtrado de datos

La siguiente figura, Figura 34, muestra un ejemplo de configuración de un perfil de

gestión de ficheros. Según se muestra se han creado dos reglas, la primera que

bloquea la descarga (download) de cualquier fichero cifrado y la segunda que audita

todos ellos, tanto en upload como download:

Figura 34.- Ejemplo de perfil de control de ficheros


Página 54 de 95

Actualizaciones periódicas y equipo I+D de Content-ID El equipo del departamento de I+D de Palo Alto Networks, encargado de mantener y

actualizar las soluciones integradas en Content-ID, está formado por un grupo de

ingenieros de gran experiencia en el área del desarrollo de mecanismos de prevención

de amenazas.

Además de trabajar en la mejora y desarrollo de nuevas contramedidas, se trata de un

equipo altamente activo en la comunidad internacional de la seguridad. PAN es

miembro inaugural del programa MAPP de Microsoft (Microsoft Active Protection

Program), y como tal tiene acceso prioritario previo a la publicación de las

actualizaciones periódicas y de emergencia que Microsoft realiza. Esto nos permite

garantizar que nuestros clientes dispondrán de las contramedidas adecuadas, antes de

la publicación de los boletines de manera coordinada.

Además de recibir información sobre las vulnerabilidades detectadas por terceros, Palo

Alto Networks realiza su propia investigación continua, y ha sido acreditado como

descubridor de múltiples vulnerabilidades de carácter crítico y alto dentro de los

sistemas operativos de Microsoft o de su suite de aplicaciones. Del mismo modo se

trabaja activamente con otros fabricantes, donde también se han descubierto y

reportado vulnerabilidades críticas (como por ejemplo Adobe).

Las actualizaciones de firmas para el IPS se proveen generalmente una vez a la

semana (normalmente los miércoles en horario español). Además, cuando se detecta

alguna vulnerabilidad crítica, PAN provee a sus clientes de actualizaciones fuera del

ciclo habitual semanal.

En el caso concreto de la base de datos de URLs y antivirus/antispyware, la

actualización es diaria.


Página 55 de 95

Otros En el presente capítulo se detallan otras funcionalidades y capacidades de los equipos

de PAN, que no han sido aún descritas en capítulos anteriores.

Seguridad basada en Zonas La configuración de las reglas de seguridad del firewall de PAN, se basa en la definición

y uso de zonas de seguridad. Una zona de seguridad identifica uno o más interfaces de

origen o destino en el cortafuegos. Cuando se define una regla de seguridad en la

política, se deben especificar tanto la zona origen como la de destino del tráfico. Deben

configurarse zonas diferentes para cada tipo de interfaz (Tap, Nivel2, Nivel3 ó virtual

wire) y cada interfaz debe asociarse con una zona antes de que pueda procesar tráfico.

Las reglas de seguridad pueden definirse únicamente entre zonas del mismo tipo.

La ventaja fundamental de utilizar zonas es que es posible aplicar diferentes perfiles en

cada una (por ejemplo frente a ataques de DoS, escaneo de puertos o identificación de

usuarios) y que las políticas resultan ser más simples y fáciles de entender.

La siguiente figura, Figura 35, muestra los diferentes tipos de interfaces y zonas y su

relación en la creación de políticas:

Figura 35.- Zonas e interfaces


Página 56 de 95

Routing y protocolos de red soportados El routing en los equipos de PAN se configura a través de la definición de routers virtuales. La definición de estos routers virtuales permite asimismo utilizar protocolos

de routing dinámicos. Cada interfaz de tipo L3, loopback y VLAN definido en el firewall

debería estar asociado con un router virtual. Además, cada interfaz puede pertenecer a

un único virtual router.

A continuación se detallan los protocolos de red y de routing más significativos que

soportan los equipos de Palo Alto Networks:

Routing estático

Routing dinámico basdo en RIP

Routing dinámico basado en OSPF

Routing dinámico basado en BGP

Vlan tagging (802.1q)

Soporte a Jumbo Frames

Soporte a PPPoE (a partir de la versión 3.1.3)

DHCP server y DHCP relay

Soporte a IPv6 (en modo Virtual Wire)

Reglas de Seguridad Los reglas de seguridad en los cortafuegos de Palo Alto Networks se configuran a

través de un potente y sencillo interfaz gráfico. La estrategia que se sigue en su

evaluación es top-down, lo que significa que el tráfico se evalúa contra ellas en orden de

arriba hacia abajo. Cuando el tráfico hace match contra una regla, se aplican las

acciones correspondientes y se deja de evaluar el resto de la política. Existe asimismo

una regla implícita –no mostrada en la política- en la última posición de cada política

que se encarga de denegar todo el tráfico que no haya sido procesado por reglas

anteriores. Si se desea obtener logging de este tipo de tráfico, es necesario configurar

en último lugar una regla explícita para ello con el logging activado.

En la definición de las reglas de seguridad es posible configurar los siguientes campos:

Nombre de la regla (con posibilidad de añadir comentarios)

Zona origen del tráfico

Zona destino del tráfico

Dirección IP de origen


Página 57 de 95

Usuario de origen (en base a la integración que ofrece User-ID)

Dirección IP de destino

Aplicación (integración con App-ID, revisado anteriormente)

Servicio: se corresponde únicamente con el puerto TCP/UDP. Simula por tanto

un cortafuegos de primera generación. Su definición es opcional.

Acción: Aceptar o denegar el tráfico

Perfil de Seguridad: Permite asignar perfiles de Content-ID (IPS, Antivirus,

AntiSpyware, URL Filtering, Gestión de ficheros y Gestión de contenidos)

Opciones: Permite establecer las opciones de logging, reporte a terceros

sistemas, inspección en un único sentido, …

La siguiente figura, Figura 36, muestra un ejemplo de una política configurada desde el

gestor gráfico:

Figura 36.- Ejemplo de configuración de una política de seguridad

NAT Los cortafuegos de PAN también incorporan funcionalidades de NAT. Es posible

traducir tanto las direcciones IP y puertos de origen como los de destino. Las reglas de

NAT suponen una entidad diferente a las políticas de seguridad vistas en el capítulo

anterior. Las reglas de NAT permiten configurar los siguientes campos:




Interfaz de destino (opcional)



Servicio: Puerto TCP/UDP


Página 58 de 95

Traducción de origen (IP y puerto)

Traducción de destino (IP y puerto)

La siguiente figura, Figura 37, muestra un ejemplo de una política de NAT:

Figura 37.- Ejemplo de configuración de una política de NAT

Puede haber múltiples reglas de NAT. Al igual que con las políticas de seguridad éstas

son evaluadas de arriba abajo. Cuando se hace match con una regla se aplican las

acciones correspondientes y se deja de evaluar la política. Así pues las reglas más

específicas han de estar al comienzo de la lista. La siguiente figura, Figura 38, muestra

el flujo del tráfico en relación con la aplicación de NAT. Por motivos de simplicidad del

diagrama se han excluido los procesos asociados a App-ID, User-ID y Content-ID:

Figura 38.- Diagrama de flujo lógico en la aplicación de NAT


Página 59 de 95

Tal y como muestra la Figura 38, las direcciones traducidas se determinan después de

que un paquete haga match sobre una regla de NAT. Asimismo es importante señalar

que la traducción de las direcciones IP ocurre únicamente cuando el paquete sale del

firewall. Así pues, las reglas de NAT y las reglas de seguridad siempre hacen referencia

a las IP originales en el paquete y no a las traducidas.

La definición de las direcciones IP soporta incluir direcciones estáticas, redes y rangos

de direcciones IP, que se configuran como IP Address Objects.

Asimismo cuando el equipo determina que el address pool está en el mismo interfaz de

entrada/salida que la dirección IP de NAT, el equipo realiza automáticamente proxy arp.

En caso contrario se utiliza routing.

En general se soportan los siguientes tipos de NAT:

Source NAT

o IP y puertos dinámicos (se puede emplear como IP de NAT una del

interfaz del firewall)

o IP dinámica

o NAT estático

Destination NAT

o NAT estático

o IP y puerto

o PAT (Port Address Translation. NAT sobre una misma IP, pero en la que

el puerto de destino identifica equipos de destino diferentes).

Policy Based Forwarding A partir de las versiones 3.1.x de PAN-OS, se ha añadido a los cortafuegos la

capacidad de hacer Policy Routing, denominado Policy Based Forwarding (PBF) en

PAN.

Se trata de una herramienta potente, cuya definición de políticas se encuentra separada

de las vistas anteriormente. En concreto es posible definir los siguientes campos en una

regla de PBF:





Página 60 de 95




Servicio: Se corresponde únicamente con el puerto TCP/UDP

Acción: Puede ser no hacer PBF, encaminar ó descartar

Forwarding: Incluye los siguientes dos campos

o Interfaz de salida

o Next hop

Monitoring: Incluye los siguientes campos

o Perfil: Perfil de monitorización que se desea utilizar

o Destino: Destino de la monitorización

o Deshabilitar si falla: Si la monitorización falla, la regla no tiene efecto

Schedule: Permite programar la regla para que tenga efecto en base a una

definición de horario

Tal y como se ha descrito anteriormente, es posible realizar PBF por usuario o grupo de

usuarios, e incluso por aplicación (a nivel 7). También es especialmente interesante la

parte de monitorización, que permite chequear un elemento a través de ping

(normalmente el next hop) y deshabilitar la regla en caso de que el elemento chequeado

falle. Esto permite que una regla de PBF posterior, con un camino de backup para el

mismo tipo de tráfico, tome efecto.

La siguiente figura, Figura 39, muestra un ejemplo de configuración de Policy Based

Forwarding:

Figura 39.- Ejemplo de configuración de PBF


Página 61 de 95

VPNs IPSec Los firewalls de PAN incluyen soporte a VPNs IPSec y VPNs SSL (revisadas en el

capítulo siguiente).

Las redes privadas virtuales (VPNs), permiten a los sistemas conectarse de forma

segura a través de redes públicas, como si lo estuvieran haciendo a través de una red

de área local (LAN). El conjunto de protocolos IP Security (IPSec) es utilizado para

establecer un túnel seguro para el tráfico de la VPN. La información privada de los

paquetes se cifra cuando se envía a través de un túnel IPSec.

La siguiente figura, Figura 40, muestra un ejemplo de un túnel IPSec estándar entre dos

equipos:

Figura 40.- Ejemplo de túnel IPSec estándar

La configuración del túnel puede incluir un monitor en cada extremo del mismo, para

alertar al administrador de un fallo y proporcionar un camino alternativo

automáticamente. Se recomienda por tanto definir monitores de túneles, si se desea

proporcionar HA para las VPNs IPSec a través de otro interfaz.

Las VPNs IPSec proporcionadas con los equipos de PAN están basadas en routing. Se

soporta tanto la integración con equipos remotos de PAN, como con cualquier otro

fabricante que también utilice IPSec. Gracias al uso de las VPNs basadas en routing,

los cortafuegos de PAN toman una decisión de routing basándose en la dirección IP de

destino de las sesiones. Si el tráfico se enruta a través de un túnel VPN, es entonces

automáticamente cifrado. No es necesario por tanto definir ninguna regla especial o

hacer referencia explícita a ún túnel VPN; la decisión se toma automáticamente en base

a la dirección IP de destino.


Página 62 de 95

Para la conexión IPSec entre los firewalls, el paquete IP al completo (cabecera y

payload) es encapsulado dentro de otro payload IP al que se le añade una nueva

cabecera. La nueva cabecera utiliza la dirección IP del interfaz externo del firewall de

salida, como la IP origen. Como IP de destino se emplea la dirección IP externa del

firewall remoto, contra el que se configura el túnel. Cuando el paquete llega al otro

extremo del túnel, el cortafuegos remoto reconstruye el paquete original (eliminando por

tanto la cabecera y payload extras) y lo entrega a su destino original.

En cada extremo se definen las asociaciones IPSec Security Associations (SAs), que

gestionan por completo el cifrado y la autenticación de los datos. Los parámetros

necesarios para la configuración de una SA son:

Security Parameter Index (SPI)

Protocolo de seguridad a utilizar

Claves criptográficas

IP de destino

Cuando se definen las VPNs es importante entender correctamente la topología de red,

para saber cuántos túneles VPN es necesario definir. Cuando se define el túnel VPN,

hay que asociarlo al mismo router virtual que utiliza el tráfico de entrada (en claro, sin

cifrar), sobre ese mismo interfaz.

Respecto a la definición de la seguridad IPSec, PAN soporta los siguientes dos

mecanismos (han de configurarse de igual forma en ambos extremos del túnel):

Definición manual de las claves de seguridad

Utilización de IKE para la definición de las claves (método recomendado)

SSL VPNs Además de las VPNs IPSec vistas anteriormente, también se soportan VPNs basadas

en SSL. El objetivo fundamental es ofrecer a los usuarios remotos un mecanismo

seguro para conectarse a los recursos corporativos internos. En concreto se soportan

los siguientes sistemas operativos en los clientes remotos:

Windows XP

Windows Vista

Windows7

Mac OSX (aún en fase beta)


Página 63 de 95

La gran ventaja de las VPNs SSL frente a las basadas en IPSec, es que los usuarios

pueden acceder a la VPN a través simplemente de un navegador web, sin necesidad de

preinstalar ningún cliente sobre sus equipos.

Para configurar una VPN SSL, es necesario definir un perfil y añadirlo a un interfaz

físico como interfaz virtual sobre el firewall. El interfaz virtual SSL VPN es mapeado a

una zona de seguridad, sobre la que por supuesto se pueden aplicar políticas de

seguridad. El interfaz físico ha de ser de nivel 3.

La primera vez que el usuario se conecta al portal SSL VPN del cortafuegos, se le pide

que se autentique. Una vez correctamente validado, se descarga e instala un cliente

ligero, que será el encargado de gestionar la VPN. Cuando la instalación finaliza se

establece el túnel que se intentará primero realizar vía IPSec y, si no es posible, a

través de SSL.

Es importante señalar que se soporta split tunneling (configuración en el cliente), de

forma que únicamente el tráfico hacia la VPN se incluye por el túnel, mientras que el

resto se envía directamente a Internet.

Para finalizar, señalar que todas las funcionalidades de identificación de aplicaciones,

usuarios, … se soportan también sobre túneles VPN, con lo que es perfectamente

posible controlar también el tráfico de estos usuarios.

QoS Los equipos de PAN también incluyen soporte para realizar tareas de gestión y calidad

de servicio en el tráfico. Es posible aplicar políticas de QoS tanto para tráfico claro,

como para tráfico cifrado (VPNs).

Además de soportar DCSP, también es posible crear políticas granulares que sacan

provecho de las funcionalidades de App-ID y User-ID ya descritas. La gestión del QoS

en PAN se basa en la utilización de colas.

Así pues es posible generar perfiles de QoS que se aplican de modo generalista sobre

un interfaz o también utilizar el gestor de políticas para crear restricciones más

granulares sobre el tráfico.

La siguiente figura, Figura 41, muestra un ejemplo de la definición de un perfil de QoS

que se aplicará posteriormente sobre un interfaz del firewall:


Página 64 de 95

Figura 41.- Definición de un perfil de QoS

Tal y como se observa es posible definir anchos de banda mínimos –o garantizados-,

máximos (en caso de que otras políticas puedan prestarlos si no los necesitan), así

como la prioridad que se quiere otorgar a esa clase de tráfico (baja, media, alta y tiempo

real). La definición de la prioridad tiene sentido cuando se llega a una situación de

contención, en la que es necesario descartar tráfico. Para este propósito los firewalls de

PAN utilizan el algoritmo WRED (Weighted Random Early Drop), que elimina

aleatoriamente paquetes TCP en base al peso de cada clase (realmente no se

perderán, porque TCP tiene mecanismos para garantizar la retransimisión de los

mismos). Las clases configuradas con una prioridad más alta, tienen también un peso

más alto dentro de WRED y por tanto son menos susceptibles a sufrir la eliminación de

paquetes en caso de contención.

Una vez definidos los perfiles, hay que aplicarlos sobre los interfaces correspondientes.

Es importante señalar, a la hora de determinar sobre qué interfaz aplicar un perfil, que

los firewalls de PAN realizan las tareas de QoS sobre tráfico saliente y no entrante. Así

pues, y para un ejemplo en el que se desea controlar la navegación de los usuarios, es

necesario aplicar el perfil sobre el interfaz del firewall que está en la LAN de usuarios (y

que es el que entregará el tráfico a los mismos, en salida).


Página 65 de 95

La asociación de un perfil sobre un interfaz permite además establecer excepciones en

base al interfaz o IP de origen del tráfico. Para ello se pueden asociar en las

excepciones perfiles diferentes al general.

Según se mencionó anteriormente, una vez definidos los perfiles y aplicados sobre los

interfaces correspondientes, es también posible utilizar un gestor de políticas de QoS,

que ofrece mayor granularidad en el diseño de la estrategia de QoS. El gestor de

políticas de QoS permite definir los siguientes campos:








Servicio: Se corresponde únicamente con el puerto TCP/UDP

Clase: Cola sobre la que se desea ubicar este tipo de tráfico (1-8, representando

1 una mayor prioridad que 8)

Forwarding: Incluye los siguientes dos campos

o Interfaz de salida

o Next hop

Schedule: Permite programar la regla para que tenga efecto en base a una

definición de horario

La siguiente figura, Figura 42, muestra un ejemplo de una ventana de configuración de

las políticas de QoS:

Figura 42.- Ejemplo de configuración de políticas de QoS


Página 66 de 95

Finalmente, y según muestra la siguiente figura, Figura 43, es posible obtener

estadísticas en tiempo real sobre el uso de las políticas. En concreto se puede obtener

el siguiente tipo de información:

QoS Bandwidth: Muestra en tiempo real gráficos de ancho de banda para los

nodos y clases seleccionados. La información se actualiza cada dos segundos.

Session Browser: Lista las sesiones activas del nodo y la clase seleccionados

Application View: Muestra todas las aplicaciones activas para el nodo y clase

seleccionados.

Figura 43.- Ejemplo de estadísticas en tiempo real de QoS


Página 67 de 95

Diseño hardware En este capítulo se detalla el diseño hardware de las plataformas de Palo Alto

Networks, conocida como Single Pass Parallel Processing – SP3 de ahora en

adelante, así como la descripción detallada de la arquitectura presente en el modelo

PA-500.

Desde hace varios años existe la promesa de ofrecer servicios integrados de

prevención de amenazas dentro del firewall. Esta tendencia parece relativamente

natural ya que el cortafuegos se veía como un dispositivo de seguridad básico, que de

ser posible, podría aliviar la necesidad de añadir dispositivos extra de seguridad para

realizar funciones de IPS, antivirus de red y otras. Los diferentes intentos por lograr la

integración de la prevención de amenazas en el cortafuegos han recibido diversos

nombres – deep inspection, gestión unificada de amenazas (UTM), deep packet

inspection y otros. Sin embargo, lo que todos estos intentos comparten es un fracaso

común: el firewall puede actuar con alto rendimiento y baja latencia, mientras que las

funciones de seguridad añadidas se llevan a cabo muy lentamente, con bajo

rendimiento y alta latencia.

Básicamente el problema de todos estos intentos es que arrancan de dos puntos de

partida erróneos:

1. La base para la clasificación del tráfico es errónea. Las aproximaciones

tradicionales parten de la tecnología stateful inspection, que asume que un

puerto y protocolo se corresponden con una aplicación, lo que resulta incorrecto

generalmente. Cualquier análisis posterior está por tanto basado en una

clasificación inicial incorrecta, cuya corrección es además muy costosa: bien en

términos de rendimiento, o bien en términos de la calidad del resultado final. Las

soluciones de PAN parten de una premisa inicial totalmente diferente (App-ID).

2. El método de integración también es erróneo. La mayoría de las soluciones han

pretendido colapsar múltiples funcionalidades sobre un único sistema operativo y

chasis. Realmente esto no es integración, sino consolidación y la diferencia es

crítica. La consolidación simplemente toma diversos productos y los agrupa

dentro de un único equipo, donde ni la arquitectura ni los recursos están

preparados para gestionarlos.


Página 68 de 95

La arquitectura single pass de PAN solventa todas estas problemáticas y hace realidad

el sueño de aunar diversas funcionalidades de seguridad en el firewall, sin sacrificar el

throughput o añadiendo mucha latencia.

Si bien el enfoque de realizar todas las tareas en una única pasada puede resultar obvio

o trivial, la arquitectura SP3 es realmente única en Palo Alto Networks. El objetivo de la

arquitectura es por tanto conseguir que cada tarea fundamental se realice una única vez. La siguiente figura, Figura 44, muestra el concepto de la arquitectura a través de

un ejemplo del flujo general que sigue un paquete al atravesar el equipo. Obsérvese

que cada paquete es inspeccionado efectivamente una única vez por cada módulo:

Figura 44.- Flujo de un paquete en la arquitectura SP3

Por el contrario la siguiente figura, Figura 45, muestra el flujo que sigue un paquete en

una solución UTM en el peor caso. Puesto que se parte de un análisis inicial erróneo (a

nivel 4), es necesario reenviar el paquete múltiples veces a diversos módulos diferentes

para intentar obtener el conocimiento necesario, que permita aplicar después

mecanismos de protección de la aplicación a nivel 7. El resultado, como se mencionó

anteriormente, es que la latencia aumenta significativamente a la par que el throughput


Página 69 de 95

se ve reducido drásticamente, cuando se desea utilizar la solución para cualquier otra

cosa que no sea realizar un simple filtrado a nivel 4 (en muchos casos el detrimento del

throughput al habilitar funcionalidades de protección a nivel 7 cae más de un 95%,

comparado con el throughput potencial de la solución cuando se trabaja a nivel 4):

Figura 45.- Flujo de un paquete en un sistema UTM

Arquitectura Single Pass Parallel Processing La arquitectura SP3 representa un concepto revolucionario a la hora de diseñar

equipamiento dedicado a realizar tareas de seguridad. Ha sido concebida para cumplir

dos funciones clave dentro del firewall de nueva generación de Palo Alto Networks. En

primer lugar, la arquitectura single pass realiza todas las operaciones una vez por paquete. Según se procesa un paquete, el routing se realiza una vez, la búsqueda en la

política se realiza una vez, la identificación de la aplicación y la decodificación se realiza

una vez, y el análisis de las amenazas y los contenidos se realiza una vez. Esto reduce

significativamente la cantidad de sobrecarga de procesamiento necesaria para realizar

múltiples funciones. En segundo lugar, la arquitectura single pass utiliza firmas basadas

en patrones uniformes. En lugar de utilizar motores y conjuntos de firmas por


Página 70 de 95

separado (lo que requiere múltiples análisis en la exploración) y en lugar de utilizar

servidores proxy (lo que requiere la descarga completa de los archivos antes de

analizarlos), la arquitectura single pass escanea el tráfico de todas las firmas una única

vez y en forma de stream, para evitar introducir latencias.

La siguiente figura, Figura 46, esquematiza el concepto de la arquitectura SP3.

Figura 46.- Arquitectura SP3

Tal y como muestra la Figura 46, el equipo dispone de un backplane de control

separado del de datos. El backplane de control se utiliza para las tareas de gestión y

configuración del equipo y utiliza CPUs Intel Dual Core. El backplane de datos utiliza

las siguientes tecnologías:

Networking: Se utiliza un procesador de red dedicado, que es el encargado de

realizar las tareas de routing, búsqueda de flujos, NAT y otras funciones de red

similares.

User-ID, App-ID y la política de seguridad se ejecutan sobre un conjunto de 4 procesadores de contenidos dedicados, de tipo Cavium. Estos procesadores

incluyen aceleración hardware para realizar las tareas de cifrado, descifrado y

descompresión.


Página 71 de 95

Content-ID realiza su análisis a través de un motor software virtual. Este

motor, pionero en la industria, es capaz de buscar y bloquear todo tipo de

malware en una única pasada. Otras aproximaciones requieren dos y hasta tres

motores de inspección diferentes para realizar tareas similares. Los dos

conceptos claves que hacen que este motor funcione son la utilización de firmas

uniformes y el análisis tipo stream. Los patrones de firmas uniformes eliminan

muchos procesos redundantes (reensamblaje TCP, búsqueda, inspección, …) y

permiten que todas ellas estén activas sin degradar el rendimiento. El análisis

basado en streaming permite que los paquetes se comiencen a analizar y a

entregar a su destino final tan pronto llegan, sin necesidad de utilizar grandes

buffers.

Arquitectura hardware del modelo PA-500 La siguiente figura, Figura 47, muestra el detalle de la arquitectura hardware del modelo

PA-500.

Figura 47.- Arquitectura hardware del PA-500

Tal y como se observa la parte de gestión del equipo – Control Plane- y la parte de

operación – Data Plane- se encuentran efectivamente separadas. La parte de control

cuenta con sus propios recursos de memoria y disco, y es donde se realizan todas las

tareas de gestión del equipo. Esta dualidad entre control y datos, permite que las CPUs


Página 72 de 95

de control puedan estar saturadas, por ejemplo generando un reporte muy pesado,

mientras que la parte de datos no se ve afectada, puesto que utiliza recursos

independientes.


Página 73 de 95

Gestión, visibilidad y reporting La gestión en los equipos de Palo Alto Networks es otro punto clave en el diseño de la

solución. Gracias a la dilatada experiencia del equipo de desarrollo, se ha conseguido

una interfaz simple e intuitiva, a la par que potente, para facilitar al máximo las tareas de

gestión. En general los equipos de PAN se pueden gestionar a través de los siguientes

mecanismos:

CLI por consola

CLI por telnet

CLI por ssh

GUI por http

GUI por https

SNMP (lectura)

La mayoría de las tareas es posible realizarlas a través del interfaz gráfico (GUI), lo que

simplifica mucho las labores de administración. El único elemento que necesita el

administrador es un browser para iniciar una sesión http/https contra el equipo, sin

necesidad de utilizar ningún otro equipo o herramienta externa. Además, los tiempos de

respuesta del GUI son muy buenos gracias al uso de la arquitectura SP3 descrita con

anterioridad, que reserva y segmenta los recursos para cada tarea diferente.

Todos los equipos de PAN cuentan con un disco duro interno encargado de almacenar

los diferentes tipos de logs y reportes. Además, es posible externalizar los logs hacia

terceras herramientas mediante los siguientes mecanismos:

Syslog

Correo electrónico (alertas)

FTP

Panorama (descrito posteriormente)

A continuación revisamos algunas de las tareas fundamentales que es posible realizar

con las herramientas de gestión y reporte de los firewalls de PAN.

Gestión Las tareas fundamentales de gestión, incluyen múltiples capacidades. Revisar todas

ellas queda fuera del alcance de este documento, por lo que revisaremos únicamente

algunas de las tareas más significativas, a modo de ejemplo, entre las que cabe


Página 74 de 95

destacar la configuración básica del acceso al equipo, la gestión de versiones de

configuración, la auditoría de configuraciones y el acceso de administradores basado en

roles.

La siguiente figura, Figura 48, muestra un ejemplo de la pantalla de configuración

básica del acceso al equipo:

Figura 48.- Configuración de parámetros básicos de acceso al equipo

La gestión de las configuraciones también es una herramienta muy potente, que permite

validarlas antes de implantarlas en producción, salvarlas, exportarlas, ir a una

configuración guardada anterior o posterior, … Es interesante señalar que el formato

que se emplea para salvar las configuraciones es a través de un fichero de texto, con la

configuración en formato XML.

La siguiente figura, Figura 49, muestra el detalle de las operaciones de gestión de

configuraciones que es posible realizar con los equipos de PAN, a través del interfaz

gráfico:


Página 75 de 95

Figura 49.- Gestión de configuraciones

Otra herramienta muy interesante en la gestión de configuraciones es la herramienta de

auditoría. Nos permite comparar dos configuraciones cualesquiera de entre las que

están almacenadas en el equipo, señalando además las diferencias entre ambas para

que el administrador pueda comprobar qué partes de la configuración han cambiado

entre una versión y otra. La siguiente figura, Figura 50, muestra un ejemplo del uso de

la herramienta de auditoría (obsérvese en este ejemplo que en la configuración de la

derecha, el interfaz ethernet1/5 ha cambiado su configuración de tap a layer3 y que se

ha configurado la MTU a 1500 bytes):

Figura 50.- Herramienta de auditoría de configuraciones

El sistema de control de accesos basado en roles (Role Base Access Control – RBAC)

es también una herramienta visual muy potente. Permite establecer controles

prácticamente para todos los elementos de la configuración, así como asignar permisos

de escritura o lectura, en aquellos elementos que afectan a la configuración (por

ejemplo la generación de políticas). Es importante señalar que el interfaz gráfico ha sido

diseñado para que un usuario con menores accesos no note ninguna deformación del


Página 76 de 95

mismo. Simplemente se van añadiendo o eliminando pestañas, opciones, … de forma

dinámica y transparente al usuario, en función de sus permisos. También es posible

controlar si se ofrece o no acceso a la administración basada en CLI. La validación de

los usuarios puede realizarse a través de una base de datos local, o integrando la

autenticación contra un servidor externo RADIUS ó LDAP.

La siguiente figura, Figura 51, muestra un ejemplo de control de la configuración de

control de accesos:

Figura 51.- Ejemplo de configuración de control de accesos – RBAC

La gestión de las actualizaciones del equipo (tanto software como actualizaciones

periódicas de aplicaciones, amenazas, …) también se realiza a través del interfaz

gráfico. Para ello el puerto dedicado a la gestión ha de tener conectividad hacia Internet,

de modo que el equipo pueda alcanzar los servicios online que ofrece Palo Alto


Página 77 de 95

Networks. La siguiente figura, Figura 52, muestra un ejemplo de la gestión de este tipo

de tareas:

Figura 52.- Ejemplo de configuración de actualizaciones automáticas

Para finalizar con este punto, señalar que la obtención de ficheros de soporte, gestión

de licencias, … también se realiza desde la gestión gráfica. La siguiente figura, Figura

53, muestra un ejemplo:

Figura 53.- Ejemplo de gestión de soporte


Página 78 de 95

Reporting y Generación de Informes Reporting El reporting es otra herramienta clave dentro de las soluciones de Palo Alto Networks.

Existen múltitud de herramientas y posibilidades de personalización de informes. A

continuación revisamos solamente alguna de ellas a modo de ejemplo.

Una de las herramientas más utilizadas y potentes es ACC (Application Command

Center). ACC es una función estándar que no requiere configuración y que muestra

gráficamente abundante información sobre la actividad actual de la red, incluyendo

aplicaciones, categorías de URL, amenazas y datos. Si aparece una nueva aplicación

en ACC, un sólo clic muestra una descripción de la aplicación, sus funciones clave, sus

características de comportamiento, quién está utilizando la aplicación y qué reglas de

seguridad permiten que se utilice. Se pueden añadir más filtros para obtener

información adicional sobre el uso de la aplicación para usuarios individuales junto con

las amenazas detectadas en el tráfico de la aplicación. En cuestión de sólo unos

minutos, ACC proporciona a los administradores los datos necesarios para tomar

decisiones de política de seguridad más fundamentadas.

La siguiente figura, Figura 54, muestra un ejemplo de una vista de ACC:

Figura 54.- Ejemplo de vista de ACC

Otra herramienta muy interesante en el análisis del comportamiento de las aplicaciones

y la seguridad es App-Scope. Para complementar la vista en tiempo real de

aplicaciones y contenido proporcionada por ACC, App-Scope ofrece una vista de la


Página 79 de 95

aplicación dinámica que el usuario puede personalizar, así como la actividad del tráfico

y las amenazas a lo largo de un periodo de tiempo. Permite hacer análisis comparativos

entre diferentes horas o fechas y obtener también información geográfica sobre el

origen/destino del tráfico o las amenazas. Las siguientes figuras, Figura 55 y Figura 56,

muestran un ejemplo de las diversas vistas que ofrece App-Scope:

Figura 55.- Ejemplo de vista general de App-Scope

Figura 56.- Ejemplo de vista geográfica sobre el origen de los ataques


Página 80 de 95

La gestión de los logs detallados también es una funcionalidad muy interesante dentro

de los equipos de PAN. Existen los siguientes seis tipos de logs detallados:

Traffic: Muestra el log de tráfico, en base a las reglas del cortafuegos

Threats: Muestra todas las amenazas detectadas

URL Filtering: Muestra toda la actividad relativa al filtrado de URLs

Data Filtering: Incluye la información relativa a DLP

Configuration: Información sobre la configuración del equipo

System: Información y problemas referentes al sistema

Asimismo existe un potente mecanismo de filtrado de los logs, que permite generar

filtros en base a simples clicks de ratón o utilizando potentes expresiones regulares. La

siguiente figura, Figura 57, muestra un ejemplo de filtrado del log de tráfico. Obsérvese

que se está filtrando por usuario, “Margot Lemaire”, y también por todo el tipo de tráfico

de “Margot” que no es “web-browsing”:

Figura 57.- Ejemplo de log y filtrado

Asimismo es posible obtener vistas detalladas de un determinado tipo de log, donde el

equipo nos muestra además información correlada sobre el resto de logs que están

relacionados con esa misma sesión. Así pues, es posible ver el log de tráfico de una

sesión, junto con el de URL filtering asociada a la misma y el de amenazas. Esta

funcionalidad simplifica enromemente las labores de búsqueda minuciosa de un

determinado tipo de incidente. La siguiente figura, Figura 58, muestra un ejemplo de

este tipo de vista detallada y correlada, entre diferentes logs sobre una misma sesión:


Página 81 de 95

Figura 58.- Log de tráfico detallado y correlado con otros logs

También es posible configurar el equipo para que tome capturas en formato PCAP, por

ejemplo de la evidencia de una amenaza, que después es posible ver o exportar. En

este sentido, es importante señalar que a través del CLI es posible realizar capturas de

múltiples tipos, que también se pueden exportar o ver en el equipo. La siguiente figura,

Figura 59, muestra un ejemplo de una captura mostrada a través del GUI:

Figura 59.- Ejemplo de PCAP


Página 82 de 95

El sistema también incluye un Browser de sesiones, denominado Session Browser, que

permite seguir una sesión en tiempo real, analizando el detalle de flujos que emplea. La

siguiente figura, Figura 60, muestra un ejemplo del Session Browser:

Figura 60.- Ejemplo de vista con Session Browser

Finalmente decir que también existe un Dashboard central donde se muestra, a modo

de resumen, la información más relevante del equipo. Es posible personalizar la

configuración de los elementos que muestra el Dashboard, así como su disposición

general en la vista. La siguiente figura, Figura 61, muestra un ejemplo de Dashboard:

Figura 61.- Ejemplo de Dashboard


Página 83 de 95

Generación de Informes Al igual que con el módulo de reporting y logging vistos anteriormente, la generación de

informes cuenta con multiples herramientas y posibilidades. Además de la generación

de informes, el equipo también permite la programación y envío de los mismos (a

diferentes destinatarios si es necesario), en función del tipo de informe que se genere.

Automáticamente el equipo genera todos los días un informe tipo, con información

ejecutiva sobre la actividad observada el día anterior. La siguiente figura, Figura 62,

muestra un ejemplo de este tipo de reports ejecutivos, automáticamente generados

todos los días:

Figura 62.- Ejemplo de report ejecutivo


Página 84 de 95

Es posible personalizar la información que se incluye en este tipo de informes, gracias a

la utilización de una herramienta gráfica que nos permite seleccionar qué información

queremos incluir, así como la disposición de la misma. La siguiente figura, Figura 63,

muestra un ejemplo de generación personalizada de los informes ejecutivos de

actividad diaria. El usuario tiene únicamente que seleccionar los campos de las

diferentes bases de datos de logs que quiere incluir, así como su ubicación en el

reporte:

Figura 63.- Ejemplo de personalización de informes ejecutivos

El módulo de generación de informes incluye además la posibilidad de generar informes

detallados sobre la actividad de los usuarios –User Activity Report- donde aparece

información minuciosa sobre las aplicaciones, categorías, URLs, … que un usuario ha

visitado o utilizado a lo largo de un período de tiempo. También es posible crear grupos

de informes personalizados –Report Groups- donde incluir cualquier tipo de información

que se considere necesaria, así como programar su envío a través de correo

electrónico.

El módulo de generación de informés incluye también múltiples vistas, ya

preconfiguradas, con distintos tipos de reportes que se generan automáticamente con la

actividad del día anterior. Estos informes utilizan una vista similar a la de ACC vista

anteriormente y se ofrecen para las siguientes categorías (cada uno incluye diversos

informes sobre la categoría en cuestión):

Application Reports

Threat Reports

URL Filtering Reports

Traffic Reports


Página 85 de 95

La siguiente figura, Figura 64, muestra un ejemplo de este tipo de informes o vistas,

para las 50 Top Connections de un día en concreto (obsérvese que los resultados son exportables en formato PDF ó Excel):

Figura 64.- Ejemplo de reporte de las 50 Top Connections de un día

Al igual que ocurría con los informes ejecutivos, es posible crear nuevos informes

además de los ya preconfigurados. Para ello disponemos nuevamente de una potente

herramienta gráfica, que permite utilizar además expresiones regulares para filtrar los

contenidos que deseamos ver. La siguiente figura, Figura 65, muestra un ejemplo de

generación con esta herramienta:

Figura 65.- Ejemplo de generación de report personalizado

Tal y como se observa se ha decidido generar un informe con los campos “URL

Category”, “URL”, “Repeat Count”, “Application”, “App Subcategory” y “Destination

Address” (se pueden añadir más, o eliminar y también ordenar). Además se ha hecho

uso de una funcionalidad interesante, denominada reportes multidimensionales, que

permite utilizar varias tablas en la generación de los informes. En este caso se ha

utilizado como base de datos fundamental para generar el informe la de URLs, y se ha


Página 86 de 95

decidido obtener un informe que incluya las 5 URLs más visitadas de los 5 usuarios más

activos en un período de tiempo (en concreto la última hora). La siguiente figura, Figura

66, muestra el resultado tras ejecutar el reporte:

Figura 66.- Resultado de reporte multidimensional personalizado

Se observa que efectivamente el informe generado incluye información de la tabla de

URLs y también la de usuarios, de forma que se consigue obtener información

multidimensional (top 5 URLs por top 5 Users).

API XML de Reporting Para poder extraer la información que ofrece el módulo de reporting de los firewalls de

PAN hacia sistemas externos, los equipos cuentan también con una API XML,

denominada RESTful, que permite pedir un reporte cualquiera al sistema y obtener la

información en un fichero de texto, con formato XML.

La API acepta los siguientes tipos de consultas:

Generación de la clave de acceso: type=keygen

Configuración del equipo: type=config

Reporting: type=report

Antes de poder utilizarla es necesario generar una clave de sesión, a través de la

solicitud de una URL como la siguiente:

https://hostname/esp/restapi.esp?type=keygen&user=usuario&passwor

d=password


Página 87 de 95

El resultado debe ser un bloque XML similar al siguiente:

<response status="success"> <result> <key>k7J335J6hI7nBxIqyfa62sZugWx7ot%2BgzEA9UOnlZRg=</key> </result> </response>

Una vez que se dispone de la clave, ya es posible realizar consultas a la API en las que

es obligatorio incluir dicha clave de sesión.

La API permite obtener tanto información de configuración, como también de los

informes que almacena el equipo. A continuación se muestra un ejemplo de la URL de

solicitud de configuración y el resultado:

https://hostname/esp/restapi.esp?type=config&action=show&key=clave&xpath=devices/entry/vsys/entry/rulebase/security <response status="success" code="19"> <result total-count="1" count="1"> <security> <rules> <entry name="Do Not Traffic Log"> <from> <member admin="jstarr" time="2009/05/01 16:46:47">tapzone</member> </from> <to> <member admin="jstarr" time="2009/05/01 16:46:47">tapzone</member> </to> <source> <member admin="jstarr" time="2009/05/01 16:46:47">any</member> </source> <source-user> <member admin="jstarr" time="2009/05/01 16:46:47">any</member> </source-user> <destination> <member admin="jstarr" time="2009/05/01 16:46:47">LocalServers</member> </destination> <service> <member admin="jstarr" time="2009/05/01 16:46:47">any</member> </service> <application> <member admin="jstarr" time="2009/05/01 16:46:47">any</member> </application> <action admin="jstarr" time="2009/05/01 16:46:47">allow</action> <disabled admin="jstarr" time="2009/05/01 16:46:47">no</disabled> <negate-source admin="jstarr" time="2009/05/01 16:46:47">no</negate-source> <negate-destination admin="jstarr" time="2009/05/01 16:46:47">no</negate-destination> </entry> ... </rules> </security> </result> </response>

Para los reports relacionados con los informes, es posible solicitar los siguientes tres

tipos:

Reportes dinámicos (ACC): reporttype=dynamic


Página 88 de 95

Reportes predefinidos: reporttype=predefined

Reportes personalizados: reporttype=custom

Finalmente, a continuación se muestra un ejemplo de la URL de solicitud de un informe

y el resultado que ofrece la API (reporte dinámico –ACC-, de las 5 aplicaciones top

durante la última hora):

https://hostname/esp/restapi.esp?type=report&reporttype=dynamic&reportname=top-app-summary&period=last-hour&topn=5&key=clave <response status="success"> <report name="Top applications" logtype="trsum" start="2009/04/28 22:01:44" end="2009/04/28 23:01:43" generated-at=" <entry> <app>web-browsing</app> <risk-of-app>4</risk-of-app> <bytes>2217402093</bytes> <sessions>111991</sessions> </entry> <entry> <app>dns</app> <risk-of-app>4</risk-of-app> <bytes>40766771</bytes> <sessions>69377</sessions> </entry> <entry> <app>bittorrent</app> <risk-of-app>5</risk-of-app> <bytes>32287216</bytes> <sessions>30586</sessions> </entry> <entry> <app>azureus</app> <risk-of-app>5</risk-of-app> <bytes>62451289</bytes> <sessions>24603</sessions> </entry> <entry> <app>netbios-ns</app> <risk-of-app>2</risk-of-app> <bytes>1592712</bytes> <sessions>15751</sessions> </entry> </report> </response>

Panorama: Gestión centralizada de múltiples dispositivos Además de la propia gestión realizada contra el equipo, Palo Alto Networks también

ofrece a los clientes la posibilidad de adquirir una consola de gestión centralizada,

denominada Panorama. Se trata de una herramienta que utiliza el mismo formato de

consola que el de los equipos, y que permite gestionar desde un punto centralizado

multiples dispositivos, así como ampliar la capacidad de logging de los discos

integrados en los firewalls físicos.

Panorama proporciona visibilidad global y control sobre múltiples equipos de PAN, a

través de un interfaz web tan potente y sencillo como el de los propios equipos. Así

pues, no es necesario instalar ningún tipo de cliente dedicado para poder utilizar la

solución de gestión centralizada.


Página 89 de 95

Panorama se comercializa como virtual appliance y está disponible para sistemas

VMware Workstation (incluyendo el reproductor gratuito VMware player) o VMware ESX. La siguiente figura, Figura 67, muestra un ejemplo de diseño de red con

Panorama como estación central de gestión:

Figura 67.- Ejemplo de diseño de red con Panorama

Tal y como se observa en la Figura 67, es posible gestionar diferentes tipos y modelos

de equipos, todos desde la misma ubicación central donde se instala Panorama.

A continuación se detallan las capacidades más significativas de Panorma,

comparándolas con la gestión individual por máquina:

Capacidad Gestión con Panorama Gestión Web del equipo Gestión de múltiples equipos Sí No Visibilidad global de varios equipos Sí No Logging/reporting Global Sí No Application Command Center Sí Sí App-Scope Sí Sí Editor de Políticas Sí Sí Interfaz Web Sí Sí Políticas compartidas Sí No Role-based administration Sí Sí Requiere cliente dedicado No No


Página 90 de 95

La funcionalidad de políticas compartidas, permite distribuir políticas comunes entre

diferentes cortafuegos. Para ello se utiliza un conjunto de Pre y Post rules, que se

aplicarán en todos los equipos (antes o después de sus reglas particulares). Los

administradores locales en cada equipo podrán ver esas reglas, pero solamente un

administrador de Panorama puede modificarlas o eliminarlas. De este modo las políticas

compartidas permiten establecer a los administradores centrales una guía de política

base para todos los equipos gestionados, permitiendo reducir los esfuerzos en la

gestión de múltiples plataformas, así como posibles errores humanos. La siguiente

figura, Figura 68, muestra un ejemplo de las Pre y Post rules (marcadas en verde), que

se compartirán en todos los equipos. En este ejemplo se añaden dos reglas al final en

todos los equipos, que se encargarán de hacer drop del tráfico que no haya sido

permitido anteriormente, así como de registrarlo:

Figura 68.- Ejemplo de políticas compartidas con Panorama (Pre y Post rules)

Para finalizar, señalar que también es posible centralizar otras tareas de gestión en

Panorama, como puede ser por ejemplo la gestión de licencias, actualizaciones de

contenidos (App-ID, Content-ID) o la generación de reportes e informes. Además es

posible obtener vistas globales, que incluyan todos los equipos gestionados, o

particulares para uno en concreto.


Página 91 de 95

Anexo A: Características técnicas del PA-500 A continuación resumimos las características técnicas más importantes del modelo PA-

500 de Palo Alto Networks. Se dividen en diferentes categorías para facilitar la

búsqueda de datos:

Especificaciones Hardware:

Capacidad Valor (PA-500) Puertos Ethernet 10/100/1000 (integrados en cobre) 8 Disco duro >= 80 GB Puerto dedicado para gestión out of band Sí (cobre) Puerto de consola Sí (RJ-45) Arquitectura hardware separada para gestión y FW Sí CPU de gestión Intel Core 2 Duo (600 MHz) RAM de gestión 3 GB Flash de gestión 32 MB Dimensiones 1,75” x 10” x 17” (1 U) Peso 3,6 Kg Voltaje de entrada 110-240 VAC Frecuencia de entrada 50-60 Hz Corriente máxima (Inrush) 110A@230Vac; 51A@115Vac Máximo consumo de corriente 1 A Consumo (medio/máximo) 40W/75W Disipación de calor (medio/máximo) 137 BTUh/256 BTUh Nivel de ruido 52,2 dBA MTBF (Mean Time Between Failures) 10,16 años VCCI Clase A

Certificaciones UL, CUL, CB, FCC class A, CE

class A, VCCI class A, TUV Norma RoHS (Reduction of Hazardous Substances) Sí (clase 5 y clase 6) Condiciones de operación (temperatura) 0-50ºC Condiciones de operación (humedad) 10-90%

Especificaciones de Capacidad:


Página 92 de 95

Capacidad Valor (PA-500) Throughput Firewall (con AppID) Hasta 250 Mbps Throughput IPS + Antivirus + URL Filtering Hasta 100 Mbps Nuevas sesiones por segundo Hasta 7.500 Máximo número de sesiones 64.000 Throughput IPSec VPN Hasta 50 Mbps Número de túneles/interfaces IPSec VPN Hasta 250 Usuarios concurrentes SSL VPN Hasta 100 Latencia <= 1 ms

Especificaciones de Gestión:

Capacidad Valor (PA-500) Gestión por CLI Sí (consola, Telnet y SSH) Gestión gráfica (GUI) Sí (HTTP, HTTPs y Panorama) Soporte a SNMP Sí (lectura) API XML Sí Exportación de los logs Sí (Syslog, FTP, SCP y TFTP) Soporte a RBAC Sí Auditoría de configuraciones diferentes Sí Bloqueo de la cuenta de administrador Sí (varios intentos fallidos)

Especificaciones de Networking:

Capacidad Valor (PA-500) Routing estático Sí Routing dinámico Sí (RIP, OSPF y BGP) Soporte a Vlan tagging (802.1q) Sí Soporte de Jumbo Frames Sí Soporte a PPPoE Sí Policy Based Routing (PBF) Sí Soporte a NAT y PAT Sí Soporte a RBAC Sí VPNs Site to Site (IPSec) Sí DHCP Sí (Server y Relay) Routers virtuales Hasta 2 QoS (Calidad de Servicio) Sí Soporte a DCSP Sí


Página 93 de 95

Soporte a IPv6 Sí (en modo Virtual Wire) HA (Alta Disponibilidad) Sí

Capacidades de reconocimiento de aplicaciones (AppID):

Capacidad Valor (PA-500) Detección de aplicaciones a nivel 7 Sí (más de 1050) Subcategorización de las aplicaciones Sí Análisis de comportamiento de las aplicaciones Sí Identificación independiente del puerto Sí Identificación sobre TCP, UDP e ICMP Sí Asociación de riesgo de uso de la aplicación Sí (1-4) Uso múltiple de las aplicaciones identificadas Sí (seguridad, QoS, PBF…) Identificación de aplicaciones bajo SSL Sí (entrada y salida) Visibilidad de la aplicación Sí (múltiples informes) Capacidad de generar firmas personalizables para aplicaciones propietarias

Sí

Integración de aplicación con usuarios Sí (UserID) Actualización periódica automática Sí

Capacidades de integración con directorios de usuarios (UserID):

Capacidad Valor (PA-500) Visibilidad de logs en base a usuarios Sí (múltiples informes y logs) Gestión de políticas en base a usuarios/grupos Sí Integración con Microsoft Active Directory Sí Integración con Novell eDirectory Sí Integración con otros directorios LDAP Sí (API) Soporte a usuarios Citrix Sí Soporte a usuarios de Microsoft Terminal Server Sí Autenticación de usuarios vía RADIUS Sí Autenticación de usuarios vía LDAP Sí Portal cautivo con formulario de autenticación Sí Portal cautivo con autenticación transparente Sí (NTLM)

Capacidades de seguridad (ContentID):

Capacidad Valor (PA-500) Arquitectura de firewall basada en zonas Sí


Página 94 de 95

Modos de trabajo Tap, en línea (IPS), L2 y L3 Prevención de amenazas (IPS) Sí (también IDS) Prevención de virus Sí Prevención de spyware Sí Prevención de escaneos de red Sí (horizontales y verticales) Protección frente a ataques de DoS Sí Detección de anomalías de red Sí Detección de intentos de spoofing Sí Generación de filtros de seguridad personalizables

Sí

Compatible con CVE Sí Filtrado de URLs Sí Base de datos de URLs Sí (local y distribuida con caché) URLs manuales Sí Listas blancas/listas negras de URLs Sí Análisis de ficheros Sí (modo streaming) Gestión y control de ficheros (DLP) Sí Búsqueda de patrones en contenidos (DLP) Sí

Licenciamiento Por equipo y no por número de

usuarios Actualizaciones periódicas y automáticas Sí

Capacidades de generación de informes:

Capacidad Valor (PA-500) Análisis del estado de la red, usuarios, … Sí (ACC) Informes ejecutivos preconfigurados Sí Informes ejecutivos personalizables Sí Informes sobre actividad de usuarios Sí (UserID y URL filtering) Capacidad de combinar múltiples informes Sí Información sobre uso y tendencias Sí (AppScope) Información geográfica sobre ataques o tráfico Sí Informes sobre QoS Sí (tiempo real) Envío de informes Sí (correo electrónico) Requiere herramientas o servicios externos No


Página 95 de 95

Anexo B: URLs de interés A continuación mostramos algunas URLs donde es posible obtener información extra

interesante, sobre las soluciones de Palo Alto Networks:

Web official: http://www.paloaltonetworks.com

Partner site (requiere login): http://www.paloaltonetworks.com/partner/index.php

Support site (requiere login, con cuenta diferente a la del partner site):

https://support.paloaltonetworks.com/pa-portal/index.php

Knowledgebase (requiere login, puede ser el mismo que el de soporte):

https://live.paloaltonetworks.com/community/knowledgepoint

DevCenter (requiere login, puede ser el mismo que el de soporte):

https://live.paloaltonetworks.com/community/devcenter

Applipedia (lista todos los App-IDs soportados. Existe una versión gratuita

disponible para iPhone en el Apple Store):

http://ww2.paloaltonetworks.com/applipedia/

Consultas URL a Brightcloud: http://www.brightcloud.com/support/lookup.php

Herramienta de consolidación de costes y ahorros:

http://ww2.paloaltonetworks.com/tco/

Página de Palo Alto Networks en español: http://www.paloaltonetworks.es

Breve demo online del producto en español:

http://www.exclusive-networks.com/downloads2/es/Microsite_PAN/Anexos/Flash_Demo/index.html

Pa 500-preventa-ago2010

Engineering

Transcript of Pa 500-preventa-ago2010