Documentos de Académico
Documentos de Profesional
Documentos de Cultura
PA 2050 Preventa Ago2010
PA 2050 Preventa Ago2010
INDICE
INTRODUCCIÓN ...................................................................................................4
OBJETO .......................................................................................................................... 4
ALCANCE........................................................................................................................ 4
RESUMEN ....................................................................................................................... 5
ARQUITECTURAS DE RED SOPORTADAS.......................................................9
MODO VISIBILIDAD .......................................................................................................... 9
MODO VIRTUAL WIRE .................................................................................................... 11
MODO ROUTING ............................................................................................................ 13
VIRTUALIZACIÓN ........................................................................................................... 14
ALTA DISPONIBILIDAD (HA) .......................................................................................... 16
EJEMPLO DE ARQUITECTURA MIXTA ............................................................................... 18
FUNCIONALIDADES FUNDAMENTALES DE PAN-OS....................................21
DETALLE DEL FUNCIONAMIENTO DE APP-ID................................................................... 21
Módulos ................................................................................................................................................ 23
Ejemplo del modo de trabajo de App-ID: Identificación de WebEx .................................................... 24
Categorización de las aplicaciones ...................................................................................................... 25
Actualizaciones periódicas ................................................................................................................... 27
Gestión de aplicaciones propietarias o desconocidas.......................................................................... 27
DETALLE DEL FUNCIONAMIENTO DE USER-ID................................................................. 28
Módulos ................................................................................................................................................ 28
Integración con el directorio activo de Microsoft a través de PAN-Agent .......................................... 31
Identificación de usuarios de Citrix y Microsoft Terminal Services .................................................... 35
Integración con el e-Directory de Novell a través de User-ID-Agent.................................................. 35
Otros directorios LDAP: API XML ...................................................................................................... 36
Integración de usuarios no pertenecientes al dominio: Captive Portal con NTLM............................. 38
Integración de usuarios no pertenecientes al dominio: Captive Portal con página web..................... 40
DETALLE DEL FUNCIONAMIENTO DE CONTENT-ID........................................................... 43
Prevención de amenazas (IPS) ............................................................................................................. 45
Prevención de ataques de DoS ............................................................................................................. 48
Prevención frente a escaneos de red .................................................................................................... 49
Anomalía de paquetes ........................................................................................................................... 50
Antivirus y Anti-Spyware ...................................................................................................................... 51
Filtrado de URLs .................................................................................................................................. 53
Prevención frente a la fuga de datos (DLP) ......................................................................................... 57
Actualizaciones periódicas y equipo I+D de Content-ID..................................................................... 59
OTROS ......................................................................................................................... 60
Seguridad basada en Zonas .................................................................................................................. 60
Routing y protocolos de red soportados ............................................................................................... 61
Reglas de Seguridad ............................................................................................................................. 61
NAT ....................................................................................................................................................... 62
Policy Based Forwarding ..................................................................................................................... 64
VPNs IPSec ........................................................................................................................................... 66
SSL VPNs .............................................................................................................................................. 67
QoS........................................................................................................................................................ 68
DISEÑO HARDWARE.........................................................................................72
ARQUITECTURA SINGLE PASS PARALLEL PROCESSING ................................................. 74
PA – 2050 – Documentación para la preventa
Página 3 de 100
Introducción
Objeto
El objeto fundamental de esta documentación es presentar a los preventas,
responsables de preparar y desarrollar soluciones de Palo Alto Networks -PAN de ahora
en adelante-, una visión sobre las características fundamentales que se encuentran en
los firewalls de Nueva Generación de PAN, tanto en lo que a plataformas hardware se
refiere, como a funcionalidades software y de gestión. Se incluye asimismo información
sobre los tipos de arquitecturas de red y despliegues soportados.
En cualquier caso el documento no está pensado ni escrito para sustituir a las guías de
configuración o technotes disponibles, por lo que remitimos a los usuarios a utilizar esa
documentación cuando deseen obtener información sobre cómo se configura cualquiera
de las funcionalidades aquí descritas.
Pretendemos asimismo mantenerlo como documento vivo, que se irá actualizando con
las novedades o plataformas que Palo Alto Networks lance al mercado.
Alcance
La documentación aquí presentada cubre las siguientes áreas fundamentales:
Diseño hardware
Resumen
Hoy día los departamentos de TI se enfrentan a una problemática creciente, con
usuarios –tanto externos como internos- que utilizan una nueva generación de
aplicaciones, capaces de evadir la detección que ofrecen los firewalls tradicionales.
Como resultado de todo ello, los responsables de TI no pueden identificar o controlar las
aplicaciones que están corriendo realmente en la red y esta falta de visibilidad y control
impacta negativamente en el negocio, generando:
Los responsables de TI necesitan por tanto una nueva aproximación, que les permita
identificar con precisión las aplicaciones actuales, y no solamente los puertos que usan,
a través de una inspección completa del tráfico.
Palo Alto Networks redefine el concepto de Firewall aportando un control y visibilidad sin
precedentes, sobre todo el tráfico IP en las redes corporativas. Para conseguir este
objetivo, se decidió diseñar un producto completamente nuevo, orientado desde el
comienzo en sus especificaciones hardware y software para cubrir los siguientes
requisitos:
La siguiente figura, Figura 2, esquematiza los cuatro pilares básicos sobre los que se
sustentan los firewalls de nueva generación de Palo Alto Networks:
PA – 2050 – Documentación para la preventa
Página 7 de 100
App-ID es una tecnología de clasificación del tráfico, que detecta con precisión
qué aplicaciones están corriendo en la red a través de diversas técnicas de
identificación. La identidad de la aplicación sirve de base para todas las
decisiones relativas a la política como la utilización apropiada y la inspección de
contenidos. Es por tanto la tecnología base que utilizan los firewalls de PAN, en
contraposición a la tecnología stateful inspection que utilizan otros fabricantes, y
que desde PAN consideramos totalmente insuficiente para categorizar y
proteger el panorama actual de aplicaciones.
La tecnología User-ID de Palo Alto Networks se integra con el directorio
corporativo, para vincular dinámicamente la dirección IP con la información de
usuario y de grupo (rol corporativo). Si las empresas tienen acceso a la actividad
del usuario, pueden supervisar y controlar las aplicaciones y los contenidos que
recorren la red, de una forma mucho más efectiva que por una simple dirección
IP (que normalmente es además cambiante –DHCP, movilidad…).
PA – 2050 – Documentación para la preventa
Página 8 de 100
Modo Visibilidad
La siguiente figura, Figura 3, muestra un diagrama lógico de este tipo de diseño:
(switches con mirrors, port spans, taps, …). Presenta la gran ventaja de que no es
necesario provocar ningún corte en la red, para poder insertarlo; de este modo, esta
topología es ideal para realizar pruebas de concepto.
Finalmente también es interesante reseñar que, aunque es una arquitectura de red muy
empleada durante las pruebas de concepto, también ofrece ventajas interesantes en
entornos en producción. Puesto que las tres topologías se pueden mezclar sobre un
mismo equipo o sistema virtual, muchos clientes se reservan algunos puertos de los
firewalls de PAN para utilizarlos en modo visibilidad. Normalmente se utilizan para
realizar monitorizaciones puntuales de redes que no están segmentadas (y cuyo tráfico
no pasa por tanto a través del cortafuegos), cuando se detecta algún problema en las
mismas. Puesto que basta con configurar un mirror en el switch que da servicio a esa
red, es muy sencillo implantar el equipo en modo visibilidad obteniendo información muy
detallada y valiosa sobre el comportamiento de la red, así como identificar la posible
causa del problema.
PA – 2050 – Documentación para la preventa
Página 11 de 100
Tal y como muestra la Figura 4, el equipo se inserta dentro de la red como si se tratara
de un bridge, sin dirección IP ni dirección MAC. Está configurado por tanto en modo
transparente, lo que facilita el despliegue en la red (no se requiere segmentación de
nivel 3), así como la protección del propio equipo al no ser detectable (no dispone de IP
ni dirección MAC).
Análisis del contenido (DLP – Data Loss Prevention- sobre patrones a buscar en
documentos e identificación de los ficheros que circulan por la red, tanto en
entrada como en salida).
Identificación de los usuarios, en relación con el directorio corporativo (User-ID).
Generación de informes detallados sobre la utilización y la actividad.
Análisis del tráfico cifrado con SSL (sólo en entrada).
Bloqueo del tráfico que se considera no acorde a la política corporativa.
Bloqueo de las amenazas detectadas (antivirus, anti-spyware y
vulnerabilidades).
Control y bloqueo de las URLs no permitidas.
QoS (Calidad de Servicio).
Modo Routing
La siguiente figura, Figura 5, muestra un diagrama lógico de este tipo de diseño:
Tal y como muestra la Figura 5, en el modo routing el equipo se instala con sus
interfaces configurados a nivel 3, pudiendo actuar por tanto como gateway de las redes
a las que se encuentra conectado.
De nuevo, hay que señalar que los equipos de PAN pueden trabajar de forma híbrida,
mezclando por tanto topologías de los tres modos anteriormente descritos, lo que ofrece
una gran versatilidad a la hora de realizar despliegues sobre redes complejas.
Virtualización
Los equipos de PAN de la serie 2000 y 4000 soportan la capacidad de ser virtualizados.
En el caso concreto del modelo PA-2050, el equipo soporta hasta 5 firewalls virtuales, a
través de la adquisición de una licencia opcional.
Además, también es posible mezclar las tres topologías de red vistas anteriormente, en
cada firewall virtual. Así pues, por ejemplo, es posible tener dos sistemas virtuales sobre
una única plataforma, cada uno de ellos con cinco interfaces asignados. Dentro de cada
sistema virtual podemos tener tres puertos configurados en modo routing y otros dos en
modo IPS.
PA – 2050 – Documentación para la preventa
Página 15 de 100
Tal y como se observa, es necesario que cada sistema virtual disponga de una o varias
IPs públicas, para poder ofrecer conectividad hacia y desde el exterior.
Figura 7.- Conexión a Internet con Shared Gateway entre sistemas virtuales
Nota: Para realizar el correcto dimensionamiento del equipo, hay que tener en cuenta
que hay determinados tipos de tráfico que pueden atravesar el equipo varias veces,
duplicando por tanto su consumo en lo que a cálculo de throughput se refiere. Por
ejemplo una sesión de navegación interna atravesará el Cluster 3 (LAN), así como el
Cluster 1 (IPS). Si el tráfico desde las redes internas hacia el exterior representa por
ejemplo 100 Mbps, habrá de evaluarse como 200 Mbps para calcular adecuadamente la
plataforma a seleccionar (ver Anexo-A, con descripción de las capacidades de la
plataforma).
PA – 2050 – Documentación para la preventa
Página 21 de 100
Facilita una comprensión más completa del valor del negocio, así como de los
riesgos asociados a las aplicaciones que circulan por la red.
Permite la creación de políticas, basadas en el uso apropiado de las
aplicaciones.
Ofrece visibilidad a nivel de aplicación y devuelve el control de la seguridad al
firewall, de donde nunca debió salir.
Haciendo una comparativa con los cortafuegos tradicionales (primera generación), App-
ID sería el equivalente al protocolo Stateful Inspection que utilizan la mayoría de los
fabricantes, pero realizando las tareas a nivel de aplicación (nivel 7) en vez de a nivel de
por puerto/protocolo como hace Stateful Inspection (nivel 4). Su misión principal
consiste en identificar el tráfico, indendientemente del puerto, protocolo, táctica
evasiva o cifrado SSL que la aplicación pueda utilizar.
Es crucial señalar que la aproximación que PAN ofrece a la seguridad se basa, gracias
al uso de App-ID, en la lógica positiva. Esto significa que el equipo es capaz de
inspeccionar el tráfico e identificarlo positivamente, porque entiende cómo operan las
aplicaciones. El reflejo de esta operativa en la gestión de las políticas de seguridad,
supone que los administradores han únicamente de habilitar aquellas aplicaciones que
consideran útiles y necesarias para el desarrollo del negocio. Por el contrario, los
PA – 2050 – Documentación para la preventa
Página 22 de 100
Además de los aspectos relacionados únicamente con la seguridad, App-ID ofrece una
visibilidad sin precedentes puesto que muestra realmente las aplicaciones que circulan
por las redes, así como su comportamiento. Usada además junto con User-ID, los
administradores pueden saber quién está utilizando la aplicación en base a su identidad
corporativa, y no solamente por la dirección IP (ver capítulo posterior para encontrar
información detallada sobre User-ID).
Permitir o bloquear
Permitir pero analizar en búsqueda de exploits, viruses, …
Permitir en base al horario, los usuarios o los grupos
Descifrar e inspeccionar
Aplicar QoS
PA – 2050 – Documentación para la preventa
Página 23 de 100
Módulos
App-ID cuenta con cuatro módulos diferentes de operación, tal y como muestra la
siguiente figura, Figura 9:
caso del descifrado del tráfico entrante (por ejemplo contra los servidores web),
el equipo no actúa activamente en la negociación SSL, y por tanto inspecciona el
tráfico de modo transparente (necesita solamente tener una copia del certificado
y clave privada utilizados). Si se detecta un ataque o tráfico maligno, realiza un
reset de la sesión. Por otra parte, y para la inspección del tráfico SSL de salida
(por ejemplo la navegación web de los usuarios internos), el equipo establece
una sesión SSL con el cliente y otra con el destino real; se comporta por tanto de
modo activo. En este caso, una vez que la aplicación se identifica y es aceptada
por la política de seguridad, se aplican los perfiles de protección frente a
amenazas configurados y el tráfico es posteriormente reencriptado y enviado a
su destino original.
Application Protocol Decoding: Si se necesita, los decodificadores de
protocolo se emplean para averiguar si la aplicación está utilizando el protocolo
como su transporte natural (por ejemplo HTTP como transporte de la navegación
web), o si por el contrario solamente se utiliza como una técnica de ofuscación,
para ocultar la aplicación real (por ejemplo Yahoo! Instant Messenger sobre
HTTP). Los decodificadores de protocolo ayudan asimismo a afinar el rango
posible de aplicaciones, proporcionando información valiosa sobre el contexto a
las firmas así como a la identificación de ficheros u otros contenidos sensibles,
que deben ser analizados por otros módulos (por ejemplo IPS o DLP).
Heuristics. En ciertos casos (aproximadamente el 1% de todas las aplicaciones
reconocidas), las tácticas evasivas que se emplean no pueden ser identificadas,
a pesar del análisis avanzado de firmas y protocolos descrito anteriormente. En
estas situaciones, se necesita utilizar técnicas heurísticas adicionales, o análisis
del comportamiento, para identificar ciertas aplicaciones que utilizan
mecanismos de cifrado propietarios (por ejemplo aplicaciones peer-to-peer, de
VoIP –como Skype- o de proxies personales –como Ultrasurf). Las técnicas
heurísticas se emplean, junto con el resto de técnicas revisadas en App-ID, para
ofrecer visibilidad y control sobre aplicaciones que podrían de otro modo eludir la
identificación positiva.
Si el usuario final inicia además una sesión de WebEx Desktop Sharing, WebEx cambia
el modo de trabajo, de conferencia a aplicación de acceso remoto. En este escenario,
las características de WebEx han cambiado y las firmas de aplicación detectan este
nuevo comportamiento. De nuevo tanto el módulo de reporting como el de control
mostrarán esta subaplicación, independientemente del protocolo de conferencia –
WebEx base - que podrá ser controlada según sea necesario.
La siguiente figura, Figura 10, muestra un ejemplo del browser de App-ID, en el que se
observan diversas aplicaciones y sus subcategorías, en base al ejemplo de WebEx que
acabamos de revisar (obsérvese WebEx base frente a WebEx Desktop Sharing):
riesgo es asignado por los ingenieros de PAN y puede ser modificado por el cliente, si lo
considera necesario.
Gracias al uso granular que se puede hacer de este modo de categorización, los
administradores pueden crear las políticas de seguridad en base a la lógica del negocio,
de manera simple y efectiva.
Categoría y Subcategoría:
Tecnología subyacente:
Client-server based
Browser-based
PA – 2050 – Documentación para la preventa
Página 27 de 100
Peer-to-peer based
Network protocol
Actualizaciones periódicas
La lista de aplicaciones que App-ID detecta crece rápidamente, con una media de entre
3 y 5 nuevas aplicaciones añadidas semanalmente, en base a la información recibida de
los clientes, partners y las tendencias del mercado. La actualización de la base de datos
de App-ID se realiza automáticamente desde el equipo, y puede programarse como una
tarea recurrente (con opción de instalarla o solamente de descargarla para ser revisada
antes de proceder a la instalación).
Esta capacidad es especialmente interesante en las redes actuales, donde los usuarios
están dotados de movilidad (cable, WI-FI, 3G, …), con diferentes ubicaciones
geográficas posibles, y donde además se suele utilizar direccionamiento dinámico
(DHCP), lo que hace complicado identificar de forma simple y rápida al usuario con la IP
que tiene en un momento determinado. El resultado es que intentar utilizar la dirección
IP como método de identificación de un usuario, es a día de hoy inadecuado, o cuando
menos muy complejo.
Módulos
User-ID cuenta con diversos mecanismos para proceder a la identificación de los
usuarios, tal y como muestra la siguiente figura, Figura 11:
PA – 2050 – Documentación para la preventa
Página 29 de 100
Finalmente Captive Portal ofrece una solución para autenticar a usuarios que no
pertenecen al dominio, a través de una página web que incluye servicios de
autenticación, o a través del uso de autenticación basada en NTLM.
La siguiente figura, Figura 12, muestra un ejemplo de este tipo de análisis y visibilidad,
para un usuario que está empleando Facebook base y cuyo uso nos llama la atención.
Obsérvese que el administrador en primer lugar hace click sobre Facebook base para
filtrar la información asociada a esta aplicación; posteriormente hace click sobre el
usuario “Ginger Poppe” que está empleando Facebook base y finalmente obtiene todas
las aplicaciones que este usuario está utilizando, junto con el uso de sesiones, ancho de
banda consumido, posibles amenazas, … (el dominio en este ejemplo es “pancademo”):
Ejemplo de visibilidad de la
actividad de los usuarios
De modo similar al ejemplo anterior, la siguiente figura, Figura 13, muestra cómo es
posible utilizar User-ID no únicamente con fines de obtención de visibilidad, sino
también para establecer políticas de control en base a usuarios concretos o grupos de
usuarios del directorio corporativo. Obsérvese que en la columna Source User se
definen distintos usuarios para cada una de las políticas configuradas en este ejemplo:
PA – 2050 – Documentación para la preventa
Página 31 de 100
La siguiente figura, Figura 14, muestra el flujo general que sufre una sesión desde que
el usuario se identifica en el Directorio Activo, hasta que la información se integra dentro
del cortafuegos de PAN:
pertenencia a grupos. El agente envía, a través de una conexión vía SSL, toda esta
información al firewall que es el encargado de actualizarla en su base de datos interna.
En caso de que haya varios agentes dispersos por la red (por motivos de redundancia),
el cortafuegos se encarga también de correlar la posible información duplicada que
recibe de cada agente.
El método preferible y más eficaz para identificar a los usuarios es a través del agente
trabajando contra el Directorio Activo. No obstante, aunque el agente verá los nuevos
usuarios según se autentican y podrá confirmarlos cuando utilizan recursos de red, es
posible que no vea cuando se desconectan (log off). El motivo es que el DA de
Microsoft no registra este tipo de actividad. La pruebas por NetBIOS ó WMI confirman
que un usuario previamente activo se sigue manteniendo activo en su puesto de trabajo.
Hay tres factores que pueden desaconsejar el uso de NetBIOS:
Ancho de banda que se requiere para la utilización de las pruebas, sobre todo si
se trata de un entorno WAN (no tan importante sobre entornos LAN).
Recursos de CPU necesarios para la realización de las pruebas desde el PC
que incorpora el agente.
Equipos que puedan no responder a las consultas NetBIOS a causa de la
utilización de firewalls personales, que no permitan este tipo de tráfico.
Así pues, es recomendable tener en cuenta estos factores durante la fase de diseño,
para implementar la topología más adecuada en cada escenario.
Para finalizar con este capítulo, la siguiente figura, Figura 16, muestra un ejemplo de la
configuración del agente contra un Directorio Activo (en general la configuración es
sencilla y se completa en unos pocos minutos):
Figura 16.- Ejemplo de configuración del agente de PAN contra Directorio Activo
de Microsoft
PA – 2050 – Documentación para la preventa
Página 35 de 100
Otro punto importante a señalar, es que el agente para el directorio de Novell es capaz
únicamente de obtener la información sobre los usuarios y sus IPs, pero no la de los
grupos de usuarios a los que pertenecen. A partir de las versiones 3.1.x los firewalls de
PAN son capaces de conectarse directamente contra el directorio a través de LDAP,
obteniendo de este modo la información sobre los grupos y la pertenencia de los
usuarios a los mismos. Así pues, parte de la configuración de autenticación contra e-
Directory requiere configurar, además del agente, la comunicación LDAP entre
cortafuegos y repositorio corporativo.
La siguiente figura, Figura 17, muestra un ejemplo de configuración del agente contra
un controlador e-Directory de Novell:
PA – 2050 – Documentación para la preventa
Página 36 de 100
Para finalizar con este capítulo, señalar que el flujo de comunicación entre el agente y el
cortafuegos es similar al mostrado anteriormente en el punto de integración del agente
contra el Directorio Activo de Microsoft.
<uid-response>
<version>1.0</version>
<code>0</code>
<message>ok</message>
</uid-response>
En caso de no ser correcto, el código de error será “1” en lugar de “0” y se incluye
además un mensaje descriptivo sobre el origen del mismo.
En general es preferible utilizar la autenticación por NTLM, más elegante, puesto que el
usuario no es presentado con ninguna página web, sino que se le solicita la
autenticación directamente según se conecta a cualquier sitio.
PAN-OS utiliza las cabeceras HTTP mostradas en la Figura 18, junto con una
redirección HTTP (código 302, redirección temporal) para autenticar a los usuarios.
La siguiente figura, Figura 19, muestra el proceso de validación. Tal y como se observa
hay tres fases distintas, que se corresponden con tres conexiones TCP diferentes: la
petición original del cliente interceptada; la autenticación NTLM entre cliente y
PA – 2050 – Documentación para la preventa
Página 39 de 100
La siguiente figura, Figura 20, muestra el detalle del proceso de autenticación NTLM
entre el usuario y el directorio. Nótese que el tráfico circula por cuatro equipos en total,
porque la autenticación final la ha de hacer el controlador de dominio, y la comunicación
del cortafuegos con él es a través del agente (Pan Agent, visto anteriormente).
PA – 2050 – Documentación para la preventa
Página 40 de 100
Notas:
figura, Figura 20, muestra un ejemplo de la página que se muestra a los usuarios que se
autentican por este método. La imagen que mostramos se corresponde con la página
por defecto, pero es posible personalizar la apariencia de esta página, a través de los
menús de configuración del firewall:
La siguiente figura, Figura 21, muestra el flujo del proceso de autenticación. Nótese que
aunque se hace referencia a la autenticación vía RADIUS, también es posible, a partir
de la versión 3.1 de PAN-OS, utilizar autenticación por LDAP (contra un directorio
activo, por ejemplo).
El proceso de autenticación, tiene lugar a través de HTTPs. Para ello el firewall utiliza
un certificado que se puede generar dentro del propio equipo, o importar desde el
exterior. Para que el usuario sea interceptado y autenticado, debe en primer lugar iniciar
una sesión HTTP hacia algún recurso externo. Una vez que la autenticación tiene éxito,
el usuario es redirigido transparentemente hacia el recurso original, que solicitó desde
su navegador. Asimismo, una vez identificado, la validación del usuario contra las
políticas se realiza para cualquier tipo de tráfico IP y no solamente para el tráfico Web.
El uso de Content-ID, junto con las tecnologías App-ID y User-ID vistas anteriormente,
devuelve el control al departamento de TI sobre las aplicaciones, los usuarios y las
amenazas relacionadas, ofreciendo además una visibilidad sin precedentes desde un
punto central (el cortafuegos corporativo).
La siguiente figura, Figura 23, muestra el resumen de las capacidades que se integran
dentro de Content-ID:
PA – 2050 – Documentación para la preventa
Página 44 de 100
Nota: Content-ID se comercializa a través de dos licencias que los clientes pueden
adquirir opcionalmente al comprar un equipo de PAN: una de ellas se denomina Threat
Prevention e incluye el análisis de vulnerabilidades (IPS), antivirus y anti-spyware. La
segunda licencia, denominada URL Filtering, incluye las capacidades de filtrado de
URLs.
Ambas licencias son independientes y pueden adquirirse de forma separada, según sea
necesario. En ambos casos la licencia va ligada al equipo y no al volumen de
usuarios, lo que hace que económicamente la solución sea más rentable.
En los capítulos siguientes, analizamos con mayor detalle cada una de las
funcionalidades y capacidades que ofrece Content-ID.
PA – 2050 – Documentación para la preventa
Página 45 de 100
La tecnología clave que permite a Content-ID identificar y bloquear con mayor certeza
los ataques, es el decodificador de aplicación (ver punto anterior, sobre App-ID, para
encontrar más información al respecto). Content-ID toma streams de los datos de las
aplicaciones, que ya han sido analizados y reensamblados por el decodificador, para
inspeccionarlos en busca de amenazas.
En cuanto a las medidas que utiliza el IPS para ofrecer la prevención, a continuación se
detallan las más significativas junto con una explicación sobre su utilización:
Ejemplo de configuración de
Content-ID por perfiles
En ambos casos es posible excluir aquellas firmas que no nos interesen como
excepciones. Esta configuración también es posible realizarla directamente desde la
ventana de análisis de logs.
Es posible configurar diferentes perfiles para cada zona, en función de los requisitos de
tráfico que pueda existir en cada una de ellas. En concreto, este mecanismo ofrece
protección frente a los siguientes ataques de DoS:
PA – 2050 – Documentación para la preventa
Página 49 de 100
Ataques de SYN Flood. Se puede utilizar SYN Cookies o RED (Random Early
Drop). Es recomendable utilizar SYN Cookies.
Ataques basados en inundaciones UDP.
Ataques basados en inundaciones ICMP.
Otros tipos de ataques basados en inundaciones IP.
Escaneos TCP
Escaneos UDP
Host Sweep
Anomalía de paquetes
Al igual que la protección frente a ataques de DoS, la detección y prevención de
paquetes anómalos se configura en la protección de cada zona. De nuevo es posible
utilizar perfiles diferentes en función de los requisitos de cada una.
Spoofing de direcciones IP
Bloqueo de tráfico fragmentado
Tráfico ICMP con ID 0
PA – 2050 – Documentación para la preventa
Página 51 de 100
Antivirus y Anti-Spyware
El motor de antivirus/anti-spyware en línea saca también partido de los patrones de
firmas uniformes mencionados anteriormente, así como de un motor de inspección
basado en stream, para proteger frente a millones de variantes de malware.
Las firmas del motor de antivirus se obtienen a través del análisis de millones de
patrones reales, que son enviados a los ingenieros de PAN a través de terceras
empresas, líderes en el mercado de investigación y búsqueda de malware. El
equipo de desarrollo de PAN analiza y elimina la información duplicada o
redundante y genera las firmas (utilizando el patrón uniforme para ello), que son
ofrecidas a los clientes diariamente o bajo actualizaciones de emergencia.
También es crucial señalar, que el análisis basado en stream permite proteger la red sin
introducir una latencia significativa – que es el problema tradicional con las soluciones
de antivirus que se basan en proxies. Las soluciones basadas en proxies han carecido
históricamente de los requisitos de rendimiento necesarios cuando se hacen
despliegues en línea, en entornos con necesidades en tiempo real (por ej. aplicaciones
web), porque necesitan ubicar el fichero al completo en memoria antes de que el
proceso de análisis pueda comenzar. Por el contrario los motores basados en stream,
como el de PAN, inspeccionan el tráfico tan pronto como el primer paquete del fichero
llega al equipo, eliminando los problemas de rendimiento y latencia asociados con la
aproximación basada en proxies.
Filtrado de URLs
La base de datos para la gestión y filtrado de URLs,
totalmente integrada en la solución, permite establecer
políticas de control sobre la actividad de la navegación
web, complementando de este modo la visibilidad a
nivel de aplicación y control que los firewalls de nueva
generación de Palo Alto Networks ofrecen.
Una vez que han controlado, gracias a App-ID, las aplicaciones que se permite utilizar,
los administradores de seguridad pueden implementar políticas de filtrado URL para
extender el control sobre la actividad de red. Las políticas se pueden habilitar en base a
la combinación de los siguientes mecanismos:
Utilizar una base de datos distribuida en Internet, con más de 180 millones de
URLs, para todas aquellas que no están incluidas en la base de datos local.
Crear una lista personal, a través del uso de listas negras y listas blancas, que
soportan el uso de comodines en su definición.
Especificar políticas por usuarios y grupos, con diferentes niveles de permiso
(gracias a User-ID).
Crear políticas de navegación basadas en horario.
Determinar qué categorías de URLs han de descifrarse y cuales no (junto con la
funcionalidad de SSL decryption vista anteriormente).
Tal y como se ha comentado, es posible utilizar una base de datos local de 20 millones
de registros, así como una distribuida en Internet de unos 180 millones de registros. Si
se habilita esta funcionalidad, cuando una URL no se encuentra en la base de datos
local, se realiza una búsqueda en la base de datos distribuida. Una vez que la URL ha
sido categorizada, se cachea en otra base de datos local paralela (con capacidad de 1
millón de registros), para evitar que realizar nuevas consultas externas si algún usuario
vuelve a demandarla.
URL filtering continue: Cuando el usuario accede a una página que viola la
política establecida, se les muestra una página de advertencia con un botón que
le permite continuar en caso de que el acceso a la URL sea realmente necesario
para su trabajo.
URL filtering override: El usuario ha de introducir una contraseña que le permite
eludir la página de bloqueo y acceder por tanto al contenido solicitado.
La siguiente figura, Figura 31, muestra un ejemplo de una de las páginas de bloqueo
que se sirven y que pueden ser personalizadas:
PA – 2050 – Documentación para la preventa
Página 55 de 100
La configuración del filtrado de URLs sigue los mismos principios vistos anteriormente
en la configuración de otros mecanismos de Content-ID, y se basa por tanto en la
PA – 2050 – Documentación para la preventa
Página 56 de 100
Para finalizar con este punto, es importante señalar que el modelo de licenciamiento de
PAN para el módulo de URL filtering se basa en la obtención de una licencia por
equipo y no por usuario. Este modelo de licenciamiento supone que el número de
usuarios que pueden utilizar el servicio es virtualmente ilimitado, a la par que ofrece un
ahorro importante frente a soluciones que requieren una licencia por usuario.
PA – 2050 – Documentación para la preventa
Página 57 de 100
Como características más notables de la solución de DLP, caben resaltar las que se
mencionan a continuación:
Además de recibir información sobre las vulnerabilidades detectadas por terceros, Palo
Alto Networks realiza su propia investigación continua, y ha sido acreditado como
descubridor de múltiples vulnerabilidades de carácter crítico y alto dentro de los
sistemas operativos de Microsoft o de su suite de aplicaciones. Del mismo modo se
trabaja activamente con otros fabricantes, donde también se han descubierto y
reportado vulnerabilidades críticas (como por ejemplo Adobe).
Otros
En el presente capítulo se detallan otras funcionalidades y capacidades de los equipos
de PAN, que no han sido aún descritas en capítulos anteriores.
La siguiente figura, Figura 35, muestra los diferentes tipos de interfaces y zonas y su
relación en la creación de políticas:
Routing estático
Routing dinámico basdo en RIP
Routing dinámico basado en OSPF
Routing dinámico basado en BGP
Vlan tagging (802.1q)
Soporte a Jumbo Frames
Soporte a PPPoE (a partir de la versión 3.1.3)
DHCP server y DHCP relay
Soporte a IPv6 (en modo Virtual Wire)
Reglas de Seguridad
Los reglas de seguridad en los cortafuegos de Palo Alto Networks se configuran a
través de un potente y sencillo interfaz gráfico. La estrategia que se sigue en su
evaluación es top-down, lo que significa que el tráfico se evalúa contra ellas en orden de
arriba hacia abajo. Cuando el tráfico hace match contra una regla, se aplican las
acciones correspondientes y se deja de evaluar el resto de la política. Existe asimismo
una regla implícita –no mostrada en la política- en la última posición de cada política
que se encarga de denegar todo el tráfico que no haya sido procesado por reglas
anteriores. Si se desea obtener logging de este tipo de tráfico, es necesario configurar
en último lugar una regla explícita para ello con el logging activado.
La siguiente figura, Figura 36, muestra un ejemplo de una política configurada desde el
gestor gráfico:
NAT
Los cortafuegos de PAN también incorporan funcionalidades de NAT. Es posible
traducir tanto las direcciones IP y puertos de origen como los de destino. Las reglas de
NAT suponen una entidad diferente a las políticas de seguridad vistas en el capítulo
anterior. Las reglas de NAT permiten configurar los siguientes campos:
Puede haber múltiples reglas de NAT. Al igual que con las políticas de seguridad éstas
son evaluadas de arriba abajo. Cuando se hace match con una regla se aplican las
acciones correspondientes y se deja de evaluar la política. Así pues las reglas más
específicas han de estar al comienzo de la lista. La siguiente figura, Figura 38, muestra
el flujo del tráfico en relación con la aplicación de NAT. Por motivos de simplicidad del
diagrama se han excluido los procesos asociados a App-ID, User-ID y Content-ID:
Tal y como muestra la Figura 38, las direcciones traducidas se determinan después de
que un paquete haga match sobre una regla de NAT. Asimismo es importante señalar
que la traducción de las direcciones IP ocurre únicamente cuando el paquete sale del
firewall. Así pues, las reglas de NAT y las reglas de seguridad siempre hacen referencia
a las IP originales en el paquete y no a las traducidas.
Asimismo cuando el equipo determina que el address pool está en el mismo interfaz de
entrada/salida que la dirección IP de NAT, el equipo realiza automáticamente proxy arp.
En caso contrario se utiliza routing.
Source NAT
o IP y puertos dinámicos (se puede emplear como IP de NAT una del
interfaz del firewall)
o IP dinámica
o NAT estático
Destination NAT
o NAT estático
o IP y puerto
o PAT (Port Address Translation. NAT sobre una misma IP, pero en la que
el puerto de destino identifica equipos de destino diferentes).
Tal y como se ha descrito anteriormente, es posible realizar PBF por usuario o grupo de
usuarios, e incluso por aplicación (a nivel 7). También es especialmente interesante la
parte de monitorización, que permite chequear un elemento a través de ping
(normalmente el next hop) y deshabilitar la regla en caso de que el elemento chequeado
falle. Esto permite que una regla de PBF posterior, con un camino de backup para el
mismo tipo de tráfico, tome efecto.
VPNs IPSec
Los firewalls de PAN incluyen soporte a VPNs IPSec y VPNs SSL (revisadas en el
capítulo siguiente).
Las redes privadas virtuales (VPNs), permiten a los sistemas conectarse de forma
segura a través de redes públicas, como si lo estuvieran haciendo a través de una red
de área local (LAN). El conjunto de protocolos IP Security (IPSec) es utilizado para
establecer un túnel seguro para el tráfico de la VPN. La información privada de los
paquetes se cifra cuando se envía a través de un túnel IPSec.
La siguiente figura, Figura 40, muestra un ejemplo de un túnel IPSec estándar entre dos
equipos:
La configuración del túnel puede incluir un monitor en cada extremo del mismo, para
alertar al administrador de un fallo y proporcionar un camino alternativo
automáticamente. Se recomienda por tanto definir monitores de túneles, si se desea
proporcionar HA para las VPNs IPSec a través de otro interfaz.
Las VPNs IPSec proporcionadas con los equipos de PAN están basadas en routing. Se
soporta tanto la integración con equipos remotos de PAN, como con cualquier otro
fabricante que también utilice IPSec. Gracias al uso de las VPNs basadas en routing,
los cortafuegos de PAN toman una decisión de routing basándose en la dirección IP de
destino de las sesiones. Si el tráfico se enruta a través de un túnel VPN, es entonces
automáticamente cifrado. No es necesario por tanto definir ninguna regla especial o
hacer referencia explícita a ún túnel VPN; la decisión se toma automáticamente en base
a la dirección IP de destino.
PA – 2050 – Documentación para la preventa
Página 67 de 100
En cada extremo se definen las asociaciones IPSec Security Associations (SAs), que
gestionan por completo el cifrado y la autenticación de los datos. Los parámetros
necesarios para la configuración de una SA son:
SSL VPNs
Además de las VPNs IPSec vistas anteriormente, también se soportan VPNs basadas
en SSL. El objetivo fundamental es ofrecer a los usuarios remotos un mecanismo
seguro para conectarse a los recursos corporativos internos. En concreto se soportan
los siguientes sistemas operativos en los clientes remotos:
Windows XP
Windows Vista
Windows7
Mac OSX (aún en fase beta)
PA – 2050 – Documentación para la preventa
Página 68 de 100
La gran ventaja de las VPNs SSL frente a las basadas en IPSec, es que los usuarios
pueden acceder a la VPN a través simplemente de un navegador web, sin necesidad de
preinstalar ningún cliente sobre sus equipos.
Para configurar una VPN SSL, es necesario definir un perfil y añadirlo a un interfaz
físico como interfaz virtual sobre el firewall. El interfaz virtual SSL VPN es mapeado a
una zona de seguridad, sobre la que por supuesto se pueden aplicar políticas de
seguridad. El interfaz físico ha de ser de nivel 3.
La primera vez que el usuario se conecta al portal SSL VPN del cortafuegos, se le pide
que se autentique. Una vez correctamente validado, se descarga e instala un cliente
ligero, que será el encargado de gestionar la VPN. Cuando la instalación finaliza se
establece el túnel que se intentará primero realizar vía IPSec y, si no es posible, a
través de SSL.
QoS
Los equipos de PAN también incluyen soporte para realizar tareas de gestión y calidad
de servicio en el tráfico. Es posible aplicar políticas de QoS tanto para tráfico claro,
como para tráfico cifrado (VPNs).
Además de soportar DCSP, también es posible crear políticas granulares que sacan
provecho de las funcionalidades de App-ID y User-ID ya descritas. La gestión del QoS
en PAN se basa en la utilización de colas.
Así pues es posible generar perfiles de QoS que se aplican de modo generalista sobre
un interfaz o también utilizar el gestor de políticas para crear restricciones más
granulares sobre el tráfico.
Una vez definidos los perfiles, hay que aplicarlos sobre los interfaces correspondientes.
Es importante señalar, a la hora de determinar sobre qué interfaz aplicar un perfil, que
los firewalls de PAN realizan las tareas de QoS sobre tráfico saliente y no entrante. Así
pues, y para un ejemplo en el que se desea controlar la navegación de los usuarios, es
necesario aplicar el perfil sobre el interfaz del firewall que está en la LAN de usuarios (y
que es el que entregará el tráfico a los mismos, en salida).
PA – 2050 – Documentación para la preventa
Página 70 de 100
Según se mencionó anteriormente, una vez definidos los perfiles y aplicados sobre los
interfaces correspondientes, es también posible utilizar un gestor de políticas de QoS,
que ofrece mayor granularidad en el diseño de la estrategia de QoS. El gestor de
políticas de QoS permite definir los siguientes campos:
QoS Bandwidth: Muestra en tiempo real gráficos de ancho de banda para los
nodos y clases seleccionados. La información se actualiza cada dos segundos.
Session Browser: Lista las sesiones activas del nodo y la clase seleccionados
Application View: Muestra todas las aplicaciones activas para el nodo y clase
seleccionados.
Diseño hardware
En este capítulo se detalla el diseño hardware de las plataformas de Palo Alto
Networks, conocida como Single Pass Parallel Processing – SP3 de ahora en
adelante, así como la descripción detallada de la arquitectura presente en el modelo
PA-2050.
La arquitectura single pass de PAN solventa todas estas problemáticas y hace realidad
el sueño de aunar diversas funcionalidades de seguridad en el firewall, sin sacrificar el
throughput o añadiendo mucha latencia.
Si bien el enfoque de realizar todas las tareas en una única pasada puede resultar obvio
o trivial, la arquitectura SP3 es realmente única en Palo Alto Networks. El objetivo de la
arquitectura es por tanto conseguir que cada tarea fundamental se realice una única
vez. La siguiente figura, Figura 44, muestra el concepto de la arquitectura a través de
un ejemplo del flujo general que sigue un paquete al atravesar el equipo. Obsérvese
que cada paquete es inspeccionado efectivamente una única vez por cada módulo:
Por el contrario la siguiente figura, Figura 45, muestra el flujo que sigue un paquete en
una solución UTM en el peor caso. Puesto que se parte de un análisis inicial erróneo (a
nivel 4), es necesario reenviar el paquete múltiples veces a diversos módulos diferentes
para intentar obtener el conocimiento necesario, que permita aplicar después
mecanismos de protección de la aplicación a nivel 7. El resultado, como se mencionó
anteriormente, es que la latencia aumenta significativamente a la par que el throughput
PA – 2050 – Documentación para la preventa
Página 74 de 100
Tal y como se observa la parte de gestión del equipo – Control Plane- y la parte de
operación – Data Plane- se encuentran efectivamente separadas. La parte de control
cuenta con sus propios recursos de memoria y disco, y es donde se realizan todas las
tareas de gestión del equipo. Esta dualidad entre control y datos, permite que las CPUs
de control puedan estar saturadas, por ejemplo generando un reporte muy pesado,
mientras que la parte de datos no se ve afectada, puesto que utiliza recursos
independientes.
La mayoría de las tareas es posible realizarlas a través del interfaz gráfico (GUI), lo que
simplifica mucho las labores de administración. El único elemento que necesita el
administrador es un browser para iniciar una sesión http/https contra el equipo, sin
necesidad de utilizar ningún otro equipo o herramienta externa. Además, los tiempos de
respuesta del GUI son muy buenos gracias al uso de la arquitectura SP3 descrita con
anterioridad, que reserva y segmenta los recursos para cada tarea diferente.
Todos los equipos de PAN cuentan con un disco duro interno encargado de almacenar
los diferentes tipos de logs y reportes. Además, es posible externalizar los logs hacia
terceras herramientas mediante los siguientes mecanismos:
Syslog
Correo electrónico (alertas)
FTP
Panorama (descrito posteriormente)
Gestión
Las tareas fundamentales de gestión, incluyen múltiples capacidades. Revisar todas
ellas queda fuera del alcance de este documento, por lo que revisaremos únicamente
algunas de las tareas más significativas, a modo de ejemplo, entre las que cabe
PA – 2050 – Documentación para la preventa
Página 79 de 100
La gestión de las configuraciones también es una herramienta muy potente, que permite
validarlas antes de implantarlas en producción, salvarlas, exportarlas, ir a una
configuración guardada anterior o posterior, … Es interesante señalar que el formato
que se emplea para salvar las configuraciones es a través de un fichero de texto, con la
configuración en formato XML.
El sistema de control de accesos basado en roles (Role Base Access Control – RBAC)
es también una herramienta visual muy potente. Permite establecer controles
prácticamente para todos los elementos de la configuración, así como asignar permisos
de escritura o lectura, en aquellos elementos que afectan a la configuración (por
ejemplo la generación de políticas). Es importante señalar que el interfaz gráfico ha sido
diseñado para que un usuario con menores accesos no note ninguna deformación del
PA – 2050 – Documentación para la preventa
Página 81 de 100
Networks. La siguiente figura, Figura 52, muestra un ejemplo de la gestión de este tipo
de tareas:
Para finalizar con este punto, señalar que la obtención de ficheros de soporte, gestión
de licencias, … también se realiza desde la gestión gráfica. La siguiente figura, Figura
53, muestra un ejemplo:
aplicación dinámica que el usuario puede personalizar, así como la actividad del tráfico
y las amenazas a lo largo de un periodo de tiempo. Permite hacer análisis comparativos
entre diferentes horas o fechas y obtener también información geográfica sobre el
origen/destino del tráfico o las amenazas. Las siguientes figuras, Figura 55 y Figura 56,
muestran un ejemplo de las diversas vistas que ofrece App-Scope:
La gestión de los logs detallados también es una funcionalidad muy interesante dentro
de los equipos de PAN. Existen los siguientes seis tipos de logs detallados:
Asimismo existe un potente mecanismo de filtrado de los logs, que permite generar
filtros en base a simples clicks de ratón o utilizando potentes expresiones regulares. La
siguiente figura, Figura 57, muestra un ejemplo de filtrado del log de tráfico. Obsérvese
que se está filtrando por usuario, “Margot Lemaire”, y también por todo el tipo de tráfico
de “Margot” que no es “web-browsing”:
También es posible configurar el equipo para que tome capturas en formato PCAP, por
ejemplo de la evidencia de una amenaza, que después es posible ver o exportar. En
este sentido, es importante señalar que a través del CLI es posible realizar capturas de
múltiples tipos, que también se pueden exportar o ver en el equipo. La siguiente figura,
Figura 59, muestra un ejemplo de una captura mostrada a través del GUI:
Finalmente decir que también existe un Dashboard central donde se muestra, a modo
de resumen, la información más relevante del equipo. Es posible personalizar la
configuración de los elementos que muestra el Dashboard, así como su disposición
general en la vista. La siguiente figura, Figura 61, muestra un ejemplo de Dashboard:
Generación de Informes
Al igual que con el módulo de reporting y logging vistos anteriormente, la generación de
informes cuenta con multiples herramientas y posibilidades. Además de la generación
de informes, el equipo también permite la programación y envío de los mismos (a
diferentes destinatarios si es necesario), en función del tipo de informe que se genere.
Automáticamente el equipo genera todos los días un informe tipo, con información
ejecutiva sobre la actividad observada el día anterior. La siguiente figura, Figura 62,
muestra un ejemplo de este tipo de reports ejecutivos, automáticamente generados
todos los días:
Application Reports
Threat Reports
URL Filtering Reports
Traffic Reports
PA – 2050 – Documentación para la preventa
Página 90 de 100
La siguiente figura, Figura 64, muestra un ejemplo de este tipo de informes o vistas,
para las 50 Top Connections de un día en concreto (obsérvese que los resultados son
exportables en formato PDF ó Excel):
Al igual que ocurría con los informes ejecutivos, es posible crear nuevos informes
además de los ya preconfigurados. Para ello disponemos nuevamente de una potente
herramienta gráfica, que permite utilizar además expresiones regulares para filtrar los
contenidos que deseamos ver. La siguiente figura, Figura 65, muestra un ejemplo de
generación con esta herramienta:
Tal y como se observa se ha decidido generar un informe con los campos “URL
Category”, “URL”, “Repeat Count”, “Application”, “App Subcategory” y “Destination
Address” (se pueden añadir más, o eliminar y también ordenar). Además se ha hecho
uso de una funcionalidad interesante, denominada reportes multidimensionales, que
permite utilizar varias tablas en la generación de los informes. En este caso se ha
utilizado como base de datos fundamental para generar el informe la de URLs, y se ha
PA – 2050 – Documentación para la preventa
Página 91 de 100
decidido obtener un informe que incluya las 5 URLs más visitadas de los 5 usuarios más
activos en un período de tiempo (en concreto la última hora). La siguiente figura, Figura
66, muestra el resultado tras ejecutar el reporte:
Una vez que se dispone de la clave, ya es posible realizar consultas a la API en las que
es obligatorio incluir dicha clave de sesión.
Para los reports relacionados con los informes, es posible solicitar los siguientes tres
tipos:
Tal y como se observa en la Figura 67, es posible gestionar diferentes tipos y modelos
de equipos, todos desde la misma ubicación central donde se instala Panorama.
Figura 68.- Ejemplo de políticas compartidas con Panorama (Pre y Post rules)
Para finalizar, señalar que también es posible centralizar otras tareas de gestión en
Panorama, como puede ser por ejemplo la gestión de licencias, actualizaciones de
contenidos (App-ID, Content-ID) o la generación de reportes e informes. Además es
posible obtener vistas globales, que incluyan todos los equipos gestionados, o
particulares para uno en concreto.
PA – 2050 – Documentación para la preventa
Página 96 de 100
Especificaciones Hardware:
Especificaciones de Capacidad:
Especificaciones de Gestión:
Especificaciones de Networking:
Support site (requiere login, con cuenta diferente a la del partner site):
https://support.paloaltonetworks.com/pa-portal/index.php
Applipedia (lista todos los App-IDs soportados. Existe una versión gratuita
disponible para iPhone en el Apple Store):
http://ww2.paloaltonetworks.com/applipedia/