PA 2050 Preventa Ago2010

Palo Alto Networks PA-2050
Documentación para la preventa

PA – 2050 – Documentación para la preventa
Página 2 de 100
INDICE
INTRODUCCIÓN ...................................................................................................4
OBJETO .......................................................................................................................... 4
ALCANCE........................................................................................................................ 4
RESUMEN ....................................................................................................................... 5
ARQUITECTURAS DE RED SOPORTADAS.......................................................9
MODO VISIBILIDAD .......................................................................................................... 9
MODO VIRTUAL WIRE .................................................................................................... 11
MODO ROUTING ............................................................................................................ 13
VIRTUALIZACIÓN ........................................................................................................... 14
ALTA DISPONIBILIDAD (HA) .......................................................................................... 16
EJEMPLO DE ARQUITECTURA MIXTA ............................................................................... 18
FUNCIONALIDADES FUNDAMENTALES DE PAN-OS....................................21
DETALLE DEL FUNCIONAMIENTO DE APP-ID................................................................... 21
Módulos ................................................................................................................................................ 23
Ejemplo del modo de trabajo de App-ID: Identificación de WebEx .................................................... 24
Categorización de las aplicaciones ...................................................................................................... 25
Actualizaciones periódicas ................................................................................................................... 27
Gestión de aplicaciones propietarias o desconocidas.......................................................................... 27
DETALLE DEL FUNCIONAMIENTO DE USER-ID................................................................. 28
Módulos ................................................................................................................................................ 28
Integración con el directorio activo de Microsoft a través de PAN-Agent .......................................... 31
Identificación de usuarios de Citrix y Microsoft Terminal Services .................................................... 35
Integración con el e-Directory de Novell a través de User-ID-Agent.................................................. 35
Otros directorios LDAP: API XML ...................................................................................................... 36
Integración de usuarios no pertenecientes al dominio: Captive Portal con NTLM............................. 38
Integración de usuarios no pertenecientes al dominio: Captive Portal con página web..................... 40
DETALLE DEL FUNCIONAMIENTO DE CONTENT-ID........................................................... 43
Prevención de amenazas (IPS) ............................................................................................................. 45
Prevención de ataques de DoS ............................................................................................................. 48
Prevención frente a escaneos de red .................................................................................................... 49
Anomalía de paquetes ........................................................................................................................... 50
Antivirus y Anti-Spyware ...................................................................................................................... 51
Filtrado de URLs .................................................................................................................................. 53
Prevención frente a la fuga de datos (DLP) ......................................................................................... 57
Actualizaciones periódicas y equipo I+D de Content-ID..................................................................... 59
OTROS ......................................................................................................................... 60
Seguridad basada en Zonas .................................................................................................................. 60
Routing y protocolos de red soportados ............................................................................................... 61
Reglas de Seguridad ............................................................................................................................. 61
NAT ....................................................................................................................................................... 62
Policy Based Forwarding ..................................................................................................................... 64
VPNs IPSec ........................................................................................................................................... 66
SSL VPNs .............................................................................................................................................. 67
QoS........................................................................................................................................................ 68
DISEÑO HARDWARE.........................................................................................72
ARQUITECTURA SINGLE PASS PARALLEL PROCESSING ................................................. 74
Página 3 de 100
ARQUITECTURA HARDWARE DEL MODELO PA-2050....................................................... 76

GESTIÓN, VISIBILIDAD Y REPORTING ...........................................................78
GESTIÓN ....................................................................................................................... 78
REPORTING Y GENERACIÓN DE INFORMES ..................................................................... 83
Reporting .............................................................................................................................................. 83
Generación de Informes........................................................................................................................ 88
API XML DE REPORTING .............................................................................................. 91
PANORAMA: GESTIÓN CENTRALIZADA DE MÚLTIPLES DISPOSITIVOS ............................... 93
ANEXO A: CARACTERÍSTICAS TÉCNICAS DEL PA-2050 .............................96
ANEXO B: URLS DE INTERÉS........................................................................100
Página 4 de 100
Introducción
Objeto
El objeto fundamental de esta documentación es presentar a los preventas,
responsables de preparar y desarrollar soluciones de Palo Alto Networks -PAN de ahora
en adelante-, una visión sobre las características fundamentales que se encuentran en
los firewalls de Nueva Generación de PAN, tanto en lo que a plataformas hardware se
refiere, como a funcionalidades software y de gestión. Se incluye asimismo información
sobre los tipos de arquitecturas de red y despliegues soportados.
El fin es por tanto facilitar documentación en español que colabore en la correcta

realización de una oferta a un cliente final, intentando además simplificar las tareas de
preparación de las memorias técnicas para los integradores.
Hemos intentado dotar al documento asimismo de un carácter didáctico, que ayude a

comprender mejor las capacidades de las soluciones de PAN, por lo que su uso no está
restringido únicamente a integradores, sino que también puede ser ofrecido a clientes
finales, interesados en conocer mejor nuestras soluciones.
En cualquier caso el documento no está pensado ni escrito para sustituir a las guías de
configuración o technotes disponibles, por lo que remitimos a los usuarios a utilizar esa
documentación cuando deseen obtener información sobre cómo se configura cualquiera
de las funcionalidades aquí descritas.
Pretendemos asimismo mantenerlo como documento vivo, que se irá actualizando con
las novedades o plataformas que Palo Alto Networks lance al mercado.
Alcance
La documentación aquí presentada cubre las siguientes áreas fundamentales:
 Introducción a las soluciones de PAN
 Arquitecturas de red soportadas
 Diseño y funcionalidades de PAN-OS (en general sobre las versiones 3.1.x)
 Diseño hardware
 Especificaciones y capacidades del modelo PA - 2050

Página 5 de 100
Resumen
Hoy día los departamentos de TI se enfrentan a una problemática creciente, con
usuarios –tanto externos como internos- que utilizan una nueva generación de
aplicaciones, capaces de evadir la detección que ofrecen los firewalls tradicionales.
Las soluciones actuales de cortafuegos – firewalls – permiten establecer políticas de

seguridad basadas fundamentalmente en puertos y protocolos. Hasta hace no mucho,
esta aproximación era válida pues lo normal era que por el puerto 80 pasara sólo la
navegación web y por el puerto 443, el tráfico SSL. Sin embargo, las nuevas
aplicaciones de la Web 2.0 tales como Facebook, YouSendIt, SalesForce, Messenger,
Skype, etc… se han convertido en un verdadero fenómeno social y su uso se ha
extendido tanto en ámbitos privados como profesionales. Muchas de estas aplicaciones
utilizan técnicas evasivas como port hopping, tunelización/emulación de otras
aplicaciones, etc… para burlarse de las reglas tradicionales, basadas en puertos y
protocolos. Muchas de ellas se esconden incluso bajo tráfico cifrado para ocultar su
identidad.
Como resultado de todo ello, los responsables de TI no pueden identificar o controlar las
aplicaciones que están corriendo realmente en la red y esta falta de visibilidad y control
impacta negativamente en el negocio, generando:
 Incumplimiento de regulaciones y políticas internas

 Fuga de datos
 Incremento del consumo de ancho de banda
 Aumento de las amenazas (virus, spyware, worms y otras vulnerabilidades)
 Desaprovechamiento de los recursos (tanto humanos como de equipamiento)
Los responsables de TI necesitan por tanto una nueva aproximación, que les permita
identificar con precisión las aplicaciones actuales, y no solamente los puertos que usan,
a través de una inspección completa del tráfico.
La siguiente figura, Figura 1, muestra un ejemplo de la cantidad de aplicaciones de

propósito muy diferente, que pueden circular a través de los puertos tradicionales (80 y
443). La mayoría de estas aplicaciones son “invisibles” para los firewalls de primera
generación, que consideran que todo lo que llega por el puerto 80 se corresponde con
tráfico HTTP (de navegación) y todo lo que circula por el 443 es SSL (navegación
segura):
Página 6 de 100
Figura 1.- Ejemplo de diversas aplicaciones sobre puertos 80 y/ó 443
Palo Alto Networks redefine el concepto de Firewall aportando un control y visibilidad sin
precedentes, sobre todo el tráfico IP en las redes corporativas. Para conseguir este
objetivo, se decidió diseñar un producto completamente nuevo, orientado desde el
comienzo en sus especificaciones hardware y software para cubrir los siguientes
requisitos:
 Identificación de las aplicaciones, independientemente del puerto o protocolo

de base que utilicen, incluso aunque vayan codificadas bajo SSL o empleen
alguna táctica evasiva.
 Identificación de los usuarios en base a su rol en la corporación,
independientemente de qué dirección IP puedan tener en un momento
determinado.
 Protección en tiempo real frente a los ataques y al software malicioso,
embebido en el tráfico de las aplicaciones.
 Facilidad en la gestión de las políticas con herramientas de visualización
potentes y un editor de políticas unificado.
 Rendimiento multi-gigabit sin degradación al utilizarlo en línea.
La siguiente figura, Figura 2, esquematiza los cuatro pilares básicos sobre los que se
sustentan los firewalls de nueva generación de Palo Alto Networks:
Página 7 de 100
Figura 2.- Pilares básicos de los firewalls de PAN
Aunque en los capítulos posteriores del presente documento se detallarán las

funcionalidades de cada módulo básico, a continuación se ofrece un resumen
introductorio de todos ellos:
 App-ID es una tecnología de clasificación del tráfico, que detecta con precisión
qué aplicaciones están corriendo en la red a través de diversas técnicas de
identificación. La identidad de la aplicación sirve de base para todas las
decisiones relativas a la política como la utilización apropiada y la inspección de
contenidos. Es por tanto la tecnología base que utilizan los firewalls de PAN, en
contraposición a la tecnología stateful inspection que utilizan otros fabricantes, y
que desde PAN consideramos totalmente insuficiente para categorizar y
proteger el panorama actual de aplicaciones.
 La tecnología User-ID de Palo Alto Networks se integra con el directorio
corporativo, para vincular dinámicamente la dirección IP con la información de
usuario y de grupo (rol corporativo). Si las empresas tienen acceso a la actividad
del usuario, pueden supervisar y controlar las aplicaciones y los contenidos que
recorren la red, de una forma mucho más efectiva que por una simple dirección
IP (que normalmente es además cambiante –DHCP, movilidad…).
Página 8 de 100
 Control de los contenidos: La tecnología Content-ID de Palo Alto Networks

combina un motor de prevención de amenazas en tiempo real con una base de
datos URL integral y elementos de identificación de aplicaciones, para limitar las
transferencias de archivos sin autorización, detectar y bloquear gran número de
amenazas y controlar la navegación por Internet no relacionada con el trabajo.
Content ID funciona en coordinación con App-ID lo que mejora la eficacia del
proceso de identificación de los contenidos.
 La arquitectura SP3 – Single Pass Parallel Architecture – ofrece un
rendimiento no conocido hasta la fecha gracias a la utilización de hardware
paralelo, de modo que cada paquete es analizado una única vez a través de
todos los módulos de la política de seguridad. A diferencia de muchas
soluciones actuales, que utilizan una única CPU o una combinación de ASICs y
CPUs, los firewalls de PAN utilizan una arquitectura construida a propósito, y
desde cero, con procesamiento dedicado para la prevención de amenazas junto
con procesamiento específico y memoria dedicada para las tareas de red,
seguridad y gestión. La utilización de cuatro tipos diferentes de procesadores
implica que las funcionalidades clave no compiten por ciclos de reloj con otras
funciones de seguridad, como ocurre en el caso de equipos monoprocesador. El
resultado final es una latencia muy baja y un gran throughput, con todos los
servicios de seguridad habilitados.
 Un potente conjunto de herramientas de visualización facilita a los
administradores información completa sobre las aplicaciones que recorren la
red, quién las utiliza y el impacto que pueden tener sobre la seguridad de la
corporación.
Página 9 de 100
Arquitecturas de red soportadas

Los equipos de Palo Alto Networks, pueden implantarse en la red con tres topologías
diferentes:
 Modo Visibilidad (mirror o tap)

 Modo Virtual Wire (bridge-IPS)
 Modo Routing (incluyendo vlans)
Es especialmente interesante señalar, que los tres modos de implantación pueden

coexistir dentro de un mismo equipo, incluso dentro de un mismo firewall virtual.
Esta flexibilidad ofrece capacidades de diseño e implantación prácticamente ilimitadas.
A continuación se detallan las características y capacidades de cada arquitectura de

red.
Modo Visibilidad
La siguiente figura, Figura 3, muestra un diagrama lógico de este tipo de diseño:
Figura 3.- Arquitectura en modo visibilidad (mirror)
Este modo de implantación es no intrusivo, y recibe el nombre de Tap en la

configuración de PAN. El equipo recibe el tráfico a través de elementos que lo copian
Página 10 de 100
(switches con mirrors, port spans, taps, …). Presenta la gran ventaja de que no es
necesario provocar ningún corte en la red, para poder insertarlo; de este modo, esta
topología es ideal para realizar pruebas de concepto.
Es importante señalar que es perfectamente posible configurar varios puertos en modo

tap, para copiar el tráfico desde múltiples orígenes; de esta forma es posible analizar el
comportamiento de diferentes redes simultáneamente.
A continuación se detallan las funcionalidades principales que se obtienen, con el

equipo configurado en modo visibilidad:
 Identificación y visibilidad de las aplicaciones que circulan por la red.

 Identificación de las amenazas detectadas sobre las aplicaciones (antivirus, anti-
spyware, URL Filtering y análisis de vulnerabilidades).
 Análisis del contenido (DLP – Data Loss Prevention- sobre patrones a buscar en
documentos e identificación de los ficheros que circulan por la red, tanto en
entrada como en salida).
 Identificación de los usuarios, en relación con el directorio corporativo (User-ID).
 Generación de informes detallados sobre la utilización y la actividad.
 Análisis de tráfico cifrado con SSL (sólo en entrada).
Respecto a las funcionalidades que no se obtienen en modo visibilidad, en general hay

que señalar que son todas aquellas que requieren que el equipo se encuentre en línea
(routing, NAT, Policy Based Forwarding, bloqueo del tráfico o los ataques, VPNs, …).
Finalmente también es interesante reseñar que, aunque es una arquitectura de red muy
empleada durante las pruebas de concepto, también ofrece ventajas interesantes en
entornos en producción. Puesto que las tres topologías se pueden mezclar sobre un
mismo equipo o sistema virtual, muchos clientes se reservan algunos puertos de los
firewalls de PAN para utilizarlos en modo visibilidad. Normalmente se utilizan para
realizar monitorizaciones puntuales de redes que no están segmentadas (y cuyo tráfico
no pasa por tanto a través del cortafuegos), cuando se detecta algún problema en las
mismas. Puesto que basta con configurar un mirror en el switch que da servicio a esa
red, es muy sencillo implantar el equipo en modo visibilidad obteniendo información muy
detallada y valiosa sobre el comportamiento de la red, así como identificar la posible
causa del problema.
Página 11 de 100
Modo Virtual Wire

Figura 4.- Arquitectura en modo Virtual Wire (bridge-IPS)
Este modo de implantación es el primero en el que el equipo está en línea y recibe el

nombre de Virtual Wire dentro de la terminología de PAN. Puesto que está en línea, el
equipo puede tomar medidas de bloqueo sobre el tráfico que se considere pernicioso.
Tal y como muestra la Figura 4, el equipo se inserta dentro de la red como si se tratara
de un bridge, sin dirección IP ni dirección MAC. Está configurado por tanto en modo
transparente, lo que facilita el despliegue en la red (no se requiere segmentación de
nivel 3), así como la protección del propio equipo al no ser detectable (no dispone de IP
ni dirección MAC).
A continuación se detallan las funcionalidades que se obtienen con esta arquitectura de

red:

Página 12 de 100
 Análisis del tráfico cifrado con SSL (sólo en entrada).
 Bloqueo del tráfico que se considera no acorde a la política corporativa.
 Bloqueo de las amenazas detectadas (antivirus, anti-spyware y
vulnerabilidades).
 Control y bloqueo de las URLs no permitidas.
 QoS (Calidad de Servicio).
Respecto a las funcionalidades que no se obtienen en modo Virtual Wire, en general

hay que señalar que son todas aquellas que requieren que el equipo realice funciones
de nivel 3 (routing, NAT, Policy Based Forwarding, VPNs, …). El siguiente modo de
configuración (modo routing), incorpora todas las funcionalidades al completo que
integran los cortafuegos de PAN.
Finalmente, es interesante señalar que es posible configurar múltiples segmentos en

modo Virtual Wire ó IPS sobre un mismo equipo (uno por cada pareja de puertos), así
como mezclar esta topología de red con cualquiera de las otras dos existentes. En un
punto posterior se muestra un diseño de arquitectura avanzada, en el que se mezclan
diferentes tipos de topologías – incluyendo IPS- para conseguir una solución de mayor
seguridad utilizando un mismo equipamiento.
Página 13 de 100
Modo Routing
Figura 5.- Arquitectura en modo Routing (también con soporte a vlans)
Tal y como muestra la Figura 5, en el modo routing el equipo se instala con sus
interfaces configurados a nivel 3, pudiendo actuar por tanto como gateway de las redes
a las que se encuentra conectado.
En este modo de trabajo el equipo ofrece la posibilidad de utilizar todas sus

capacidades, entre las que destacan las siguientes:

Página 14 de 100

 Análisis del tráfico cifrado con SSL (entrada y salida).
 Bloqueo del tráfico que se considera no acorde a la política corporativa.
 Bloqueo de las amenazas detectadas (antivirus, anti-spyware y
vulnerabilidades).
 Control y bloqueo de las URLs no permitidas.
 QoS
 Routing estático
 Routing dinámico: RIP, OSPF y BGP
 VPNs IPSec
 VPNs SSL
 Policy Routing (Policy Based Forwarding)
De nuevo, hay que señalar que los equipos de PAN pueden trabajar de forma híbrida,
mezclando por tanto topologías de los tres modos anteriormente descritos, lo que ofrece
una gran versatilidad a la hora de realizar despliegues sobre redes complejas.
Virtualización
Los equipos de PAN de la serie 2000 y 4000 soportan la capacidad de ser virtualizados.
En el caso concreto del modelo PA-2050, el equipo soporta hasta 5 firewalls virtuales, a
través de la adquisición de una licencia opcional.
Durante la definición de la virtualización, el administrador asigna los interfaces que

desea a cada firewall virtual, que pasa a comportarse a partir de este momento como un
sistema totalmente independiente del resto de sistemas virtuales. De esta forma es
posible administrar independientemente los sistemas virtuales, o generar informes para
cada uno de ellos.
Además, también es posible mezclar las tres topologías de red vistas anteriormente, en
cada firewall virtual. Así pues, por ejemplo, es posible tener dos sistemas virtuales sobre
una única plataforma, cada uno de ellos con cinco interfaces asignados. Dentro de cada
sistema virtual podemos tener tres puertos configurados en modo routing y otros dos en
modo IPS.
Página 15 de 100
Además, y a partir de las versiones de PAN-OS 3.1.x, es posible configurar Virtual

System Shared Gateways, entre distintos sistemas virtuales. Cada sistema virtual es, en
principio, totalmente independiente de los demás. Esta funcionalidad permite que un
interfaz pertenezca a múltiples sistemas virtuales. La utilización más común de esta
funcionalidad, es disponer de un interfaz común entre múltiples sistemas virtuales, de tal
modo que solamente sea ese interfaz el que esté cara a Internet, dando servicio a todas
las redes y sistemas virtuales que se encuentran por detrás. La siguiente figura, Figura
6, muestra un ejemplo de arquitectura con múltiples sistemas virtuales, cada uno con
una conexión independiente hacia el exterior (sin utilizar por tanto Virtual System
Shared Gateways):
Figura 6.- Conexión independiente de múltiples sistemas virtuales
Tal y como se observa, es necesario que cada sistema virtual disponga de una o varias
IPs públicas, para poder ofrecer conectividad hacia y desde el exterior.
Por el contrario, la siguiente figura, Figura 7, muestra un ejemplo de configuración en la

que se utiliza la funcionalidad de Shared Gateway, entre múltiples sistemas virtuales.
Obsérvese que en este caso hay un único gateway, compartido entre todos los
sistemas, y que por tanto la gestión es más simple y el gasto de IPs públicas menor:
Página 16 de 100
Figura 7.- Conexión a Internet con Shared Gateway entre sistemas virtuales
Nota: También es posible realizar configuraciones similares, con el objetivo de permitir

el tráfico entre algunos de los sistemas virtuales si es necesario.
Alta Disponibilidad (HA)

Todos los equipos de PAN tienen la posibilidad de trabajar en configuraciones de alta
disponibilidad, en el que el fallo de uno de los equipos no supone pérdida de servicio.
En las versiones 3.1.x, la configuración de alta disponibilidad soportada es Activo-
Pasivo. A partir de las versiones 4.x se incluirá también soporte a topologías Activo-
Activo.
Es importante señalar que las configuraciones de HA requieren que ambos

modelos sean idénticos, así como que dispongan exactamente del mismo nivel de
licencias software y versión de firmware.
La conmutación de un nodo al otro se produce si falla algún interfaz de red

(configuración Link Monitoring) o incluso si falla algún otro elemento, que se está
monitorizando expresamente (Path Monitoring).
Para la configuración de la sincronización, se utilizan dos puertos dedicados,

denominados HA1 y HA2. HA1 es obligatorio y HA2 opcional, aunque recomendable. En
los equipos de la serie 4000 estos interfaces están preasignados de fábrica; en las
series 500 y 2000 el administrador ha de seleccionar qué puertos quiere utilizar para
cada propósito.
Página 17 de 100
El interfaz HA1 dispone de direccionamiento IP, y es el que se emplea para sincronizar

las configuraciones. El interfaz HA2 es un interfaz de nivel 2 (sin IP por tanto) y se utiliza
para sincronizar la tabla de sesiones activas, evitando de este modo al máximo la
pérdida de servicio en caso de conmutación de un nodo al otro.
A continuación se detalla la operativa de la alta disponibilidad y el comportamiento en

caso de fallo de los interfaces de HA:
 El firewall activo, monitoriza continuamente su configuración y la información de

las sesiones con el firewall pasivo a través de los interfaces de HA.
 Si el firewall activo falla, entonces el pasivo detecta que se han perdido los
heartbeats y automáticamente se vuelve activo.
 Si falla el interfaz de HA2 (sincronización de sesiones) no se realiza esta tarea,
pero el cluster se mantiene igual. Si por el contrario falla el interfaz HA1
(sincronización de configuraciones), entonces fallan los heartbeats y ambos
firewalls se vuelven activos.
A continuación se resumen las ventajas de operar con arquitecturas montadas en alta

disponibilidad:
 Disponibilidad del servicio, incluso aunque falle el equipo principal.

 Simplicidad en el diseño, al no requerir elementos extras para garantizar la
disponibilidad.
 Garantía en el mantenimiento de las sesiones (las sesiones se sincronizan entre
master y backup).
 Posibilidad de monitorizar varios elementos en la red (routers, servidores, salida
a Internet, ...), para tomar la decisión de conmutación más adecuada en cada
momento (link monitoring y path monitoring).
 Posibilidad de montar una solución redundada entre CPDs separados
geográficamente.
 Sencillez en la gestión (la configuración se realiza en el master y
automáticamente se propaga al de backup, sin necesidad de intervención
humana).
 Posibilidad de utilizar un modelo de HA activo-activo (a partir de la versión 4.0).
Página 18 de 100
Ejemplo de arquitectura mixta

Para concluir con el capítulo de arquitecturas, a continuación presentamos una que nos
parece interesante porque ejemplifica las capacidades de mezclar diferentes topologías,
junto con la funcionalidad de firewalls virtuales sobre un hipotético caso real. La
siguiente figura, Figura 8, muestra el diseño lógico de la red:
Figura 8.- Diseño de red con firewalls virtuales en diferentes topologías
La idea de la arquitectura es utilizar la clásica doble barrera de cortafuegos, compuesta

por equipamiento de dos fabricantes diferentes con el fin de mejorar la seguridad.
En estos escenarios es común que el cliente se pregunte dónde ubicar mejor el

equipamiento de PAN: en la zona externa (Internet) o en la zona interna (LAN). Sobre la
zona externa el equipo ofrece funcionalidades de seguridad y calidad de servicio muy
interesantes (como filtrado IPS o QoS), mientras que en la zona interna también incluye
Página 19 de 100
capacidades muy significativas orientadas al control de los usuarios internos

(integración con el directorio corporativo, filtrado de URLs, Antivirus o AntiSpyware).
La arquitectura propuesta en la Figura 8, resuelve esta cuestión haciendo uso de la

funcionalidad de firewalls virtuales y la capacidad de trabajar en entornos de
arquitecturas mixtas. Así, se han creado tres sistemas virtuales sobre los equipos de
PAN, que ofrecen los siguientes servicios:
 Cluster – 1: Funcionalidades de IPS y QoS (entrada a Internet).

 Cluster – 2: Funcionalidades de VPNs IPSec y SSL-VPN.
 Cluster – 3: Cortafuegos interno, integrado con el directorio corporativo.
El cluster virtual de entrada, configurado en modo Virtual Wire, ofrece funcionalidades

de IPS y QoS, orientadas fundamentalmente a la protección y garantía de la calidad de
las aplicaciones críticas del cliente. Puesto que el equipo se integra en modo bridge, es
transparente en la arquitectura y no requiere realizar ningún tipo de segmentación IP
extra.
Tras el cluster de PAN de entrada, se encuentra el cluster de cortafuegos de otro

fabricante, que ofrece segmentación y protección a la zona de VPNs y DMZs, como
cortafuegos de perímetro.
En la zona de DMZs se ha propuesto utilizar otro cluster virtual de PAN, que se

encargará de dar servicio a las VPNs IPSec y SSL-VPN, para controlar el acceso de los
usuarios remotos. Este cluster virtual está configurado a nivel 3 - routing.
Finalmente, y en la zona interna, se añade un tercer cluster virtual (también en modo

routing), para el control de los usuarios y los servicios internos. Como servicios
fundamentales además de los típicos de cortafuegos, se propone integrar las
funcionalidades de visibilidad y control de usuarios (User-ID), así como los servicios de
URL Filtering y protección frente a viruses y spyware (Antivirus y AntiSpyware
respectivamente). También es posible habilitar las funcionalidades de DLP (Data Loss
Prevention), que auditarán y controlarán los contenidos que los usuarios pueden
descargar o enviar hacia el exterior.
Es interesante señalar que el resto de interfaces no utilizados, se pueden emplear en

futuros sistemas virtuales o también emplearlos en modo visibilidad (tap o mirror), para
obtener visibilidad a nivel de aplicación de redes internas, no segmentadas, en el caso
de que surja algún problema en las mismas.
Página 20 de 100
Nota: Para realizar el correcto dimensionamiento del equipo, hay que tener en cuenta
que hay determinados tipos de tráfico que pueden atravesar el equipo varias veces,
duplicando por tanto su consumo en lo que a cálculo de throughput se refiere. Por
ejemplo una sesión de navegación interna atravesará el Cluster 3 (LAN), así como el
Cluster 1 (IPS). Si el tráfico desde las redes internas hacia el exterior representa por
ejemplo 100 Mbps, habrá de evaluarse como 200 Mbps para calcular adecuadamente la
plataforma a seleccionar (ver Anexo-A, con descripción de las capacidades de la
plataforma).
Página 21 de 100
Funcionalidades fundamentales de PAN-OS

En el presente capítulo se detallan las funcionalidades principales que ofrecen los
firewalls de nueva generación de Palo Alto Networks, a través de su sistema operativo
llamado PAN-OS, tomando como base las versiones 3.1.x. Haremos especial hincapié
en aquellas características que consideramos capitales en el producto y que lo hacen
realmente diferenciador en el mercado actual de la seguridad.
Detalle del funcionamiento de App-ID

App-ID es una tecnología de identificación de aplicaciones, pendiente
de patente, capaz de identificar más de 1050 aplicaciones. Es la
tecnología core dentro del producto, encargada de realizar la
clasificación de todo el tráfico que el equipo gestiona. A continuación se
resumen las ventajas fundamentales que ofrece el uso de la tecnología
App-ID, dentro de los firewalls de Palo Alto:
 Facilita una comprensión más completa del valor del negocio, así como de los
riesgos asociados a las aplicaciones que circulan por la red.
 Permite la creación de políticas, basadas en el uso apropiado de las
aplicaciones.
 Ofrece visibilidad a nivel de aplicación y devuelve el control de la seguridad al
firewall, de donde nunca debió salir.
Haciendo una comparativa con los cortafuegos tradicionales (primera generación), App-
ID sería el equivalente al protocolo Stateful Inspection que utilizan la mayoría de los
fabricantes, pero realizando las tareas a nivel de aplicación (nivel 7) en vez de a nivel de
por puerto/protocolo como hace Stateful Inspection (nivel 4). Su misión principal
consiste en identificar el tráfico, indendientemente del puerto, protocolo, táctica
evasiva o cifrado SSL que la aplicación pueda utilizar.
Es crucial señalar que la aproximación que PAN ofrece a la seguridad se basa, gracias
al uso de App-ID, en la lógica positiva. Esto significa que el equipo es capaz de
inspeccionar el tráfico e identificarlo positivamente, porque entiende cómo operan las
aplicaciones. El reflejo de esta operativa en la gestión de las políticas de seguridad,
supone que los administradores han únicamente de habilitar aquellas aplicaciones que
consideran útiles y necesarias para el desarrollo del negocio. Por el contrario, los
Página 22 de 100
modelos de seguridad tradicionales, basados en lógica negativa, no pueden identificar

el tráfico y por tanto la seguridad que ofrecen se basa en la búsqueda, “a ciegas”, de
patrones de comportamiento que se consideran perniciosos. Esto significa que ofrecen
una visibilidad muy limitada y en muchos casos errónea, además de incurrir con mayor
facilidad en la generación de falsos positivos (detección errónea de ataques sobre
tráfico legítimo) o falsos negativos (no detección de ataques, cuando realmente lo son).
Además de los aspectos relacionados únicamente con la seguridad, App-ID ofrece una
visibilidad sin precedentes puesto que muestra realmente las aplicaciones que circulan
por las redes, así como su comportamiento. Usada además junto con User-ID, los
administradores pueden saber quién está utilizando la aplicación en base a su identidad
corporativa, y no solamente por la dirección IP (ver capítulo posterior para encontrar
información detallada sobre User-ID).
App-ID es además capaz no solamente de identificar las aplicaciones base, sino

diferentes subaplicaciones dentro de la misma aplicación padre, que pueden ofrecer
capacidades y comportamientos diversos (por ejemplo WebEx base para realizar
conferencias, frente a WebEx Desktop Sharing para compartir escritorios). Con estas
armas, los administradores pueden utilizar un modelo positivo para bloquear las
aplicaciones malignas, mientras que se permiten, inspeccionan y gestionan aquellas
que están permitidas. Este punto es crucial, porque la respuesta en muchas ocasiones
no es solamente permitir o bloquear, sino que hay que habilitar aplicaciones, que aun
conllevando riesgos, son útiles para la operativa corporativa. App-ID permite
precisamente realizar esta habilitación controlada de las aplicaciones.
La identificación adecuada de la aplicación, es el primer paso para entender mejor el

tráfico que circula por la red. Saber lo que la aplicación hace, los puertos que utiliza, su
tecnología subyacente y las características de comportamiento, son la base para tomar
una decisión mejor informada sobre cómo gestionar la aplicación. Una vez que se
dispone de esta información, las organizaciones pueden tomar medidas más granulares
que un simple “permitir” o “bloquear”, como por ejemplo:
 Permitir o bloquear
 Permitir pero analizar en búsqueda de exploits, viruses, …
 Permitir en base al horario, los usuarios o los grupos
 Descifrar e inspeccionar
 Aplicar QoS
Página 23 de 100
 Aplicar Policy Based Routing en función de la aplicación

 Permitir algunas funciones de la aplicación en vez de todas
 Cualquier combinación de las anteriores
Módulos
App-ID cuenta con cuatro módulos diferentes de operación, tal y como muestra la
siguiente figura, Figura 9:
Figura 9.- Módulos principales de App-ID
El número de técnicas de identificación que se emplean, puede ser variable en función

de cada aplicación y sus condiciones particulares de transporte. Asimismo, el orden en
el que las técnicas se aplican también puede cambiar de una aplicación a otra. No
obstante, el flujo general es el siguiente:
 Application Signatures: Se trata de la utilización de firmas basadas en

contexto, que se emplean en primer lugar para buscar propiedades únicas y
características relacionadas con las transacciones, que permitirán identificar la
aplicación independientemente del protocolo y puerto usados. Las firmas
también determinan si la aplicación está siendo utilizada por su puerto por
defecto, o si por el contrario está utilizando un puerto no estándar (por ejemplo,
RDP a través del puerto 80 en vez del puerto 3389, que es su puerto estándar).
 SSL Decryption: Si App-ID determina que se está empleando cifrado SSL (y
existe una política de descifrado en la configuración), el tráfico se descifra y se
envía a los siguientes módulos de identificación, según sea necesario. Es
posible realizar inspección SSL tanto en tráfico entrante como saliente. En el
Página 24 de 100
caso del descifrado del tráfico entrante (por ejemplo contra los servidores web),
el equipo no actúa activamente en la negociación SSL, y por tanto inspecciona el
tráfico de modo transparente (necesita solamente tener una copia del certificado
y clave privada utilizados). Si se detecta un ataque o tráfico maligno, realiza un
reset de la sesión. Por otra parte, y para la inspección del tráfico SSL de salida
(por ejemplo la navegación web de los usuarios internos), el equipo establece
una sesión SSL con el cliente y otra con el destino real; se comporta por tanto de
modo activo. En este caso, una vez que la aplicación se identifica y es aceptada
por la política de seguridad, se aplican los perfiles de protección frente a
amenazas configurados y el tráfico es posteriormente reencriptado y enviado a
su destino original.
 Application Protocol Decoding: Si se necesita, los decodificadores de
protocolo se emplean para averiguar si la aplicación está utilizando el protocolo
como su transporte natural (por ejemplo HTTP como transporte de la navegación
web), o si por el contrario solamente se utiliza como una técnica de ofuscación,
para ocultar la aplicación real (por ejemplo Yahoo! Instant Messenger sobre
HTTP). Los decodificadores de protocolo ayudan asimismo a afinar el rango
posible de aplicaciones, proporcionando información valiosa sobre el contexto a
las firmas así como a la identificación de ficheros u otros contenidos sensibles,
que deben ser analizados por otros módulos (por ejemplo IPS o DLP).
 Heuristics. En ciertos casos (aproximadamente el 1% de todas las aplicaciones
reconocidas), las tácticas evasivas que se emplean no pueden ser identificadas,
a pesar del análisis avanzado de firmas y protocolos descrito anteriormente. En
estas situaciones, se necesita utilizar técnicas heurísticas adicionales, o análisis
del comportamiento, para identificar ciertas aplicaciones que utilizan
mecanismos de cifrado propietarios (por ejemplo aplicaciones peer-to-peer, de
VoIP –como Skype- o de proxies personales –como Ultrasurf). Las técnicas
heurísticas se emplean, junto con el resto de técnicas revisadas en App-ID, para
ofrecer visibilidad y control sobre aplicaciones que podrían de otro modo eludir la
identificación positiva.
Ejemplo del modo de trabajo de App-ID: Identificación de WebEx

Cuando un usuario inicia una session WebEx, la conexión inicial tiene lugar bajo SSL.
App-ID ve el tráfico y las firmas determinan que se está empleando cifrado SSL. El
Página 25 de 100
módulo de descifrado y los descodificadores de protocolo actúan entonces, para

descifrar el tráfico SSL y detectar que se está empleando HTTP como protocolo de
base. Una vez que el decodificador tiene el stream HTTP, el sistema puede aplicar
entonces firmas adecuadas a ese contexto y detectar que la aplicación en uso es
WebEx. A partir de ese momento se reporta el uso de WebEx, que puede ser además
controlado a través de las políticas de seguridad.
Si el usuario final inicia además una sesión de WebEx Desktop Sharing, WebEx cambia
el modo de trabajo, de conferencia a aplicación de acceso remoto. En este escenario,
las características de WebEx han cambiado y las firmas de aplicación detectan este
nuevo comportamiento. De nuevo tanto el módulo de reporting como el de control
mostrarán esta subaplicación, independientemente del protocolo de conferencia –
WebEx base - que podrá ser controlada según sea necesario.
La siguiente figura, Figura 10, muestra un ejemplo del browser de App-ID, en el que se
observan diversas aplicaciones y sus subcategorías, en base al ejemplo de WebEx que
acabamos de revisar (obsérvese WebEx base frente a WebEx Desktop Sharing):
Figura 10.- WebEx con diversas subaplicaciones y control con App-ID
Categorización de las aplicaciones

La base de datos de aplicaciones de Palo Alto, se divide en 5 categorías principales y
25 subcategorías, que pueden utilizarse para crear filtros en la generación de políticas.
Además de la categoría y subcategoría, también se incluyen las características de
comportamiento y la tecnología base para cada aplicación. Del mismo modo también se
incluye una categorización del riesgo (1 a 5), asociado a cada aplicación. El valor de
Página 26 de 100
riesgo es asignado por los ingenieros de PAN y puede ser modificado por el cliente, si lo
considera necesario.
Gracias al uso granular que se puede hacer de este modo de categorización, los
administradores pueden crear las políticas de seguridad en base a la lógica del negocio,
de manera simple y efectiva.
A continuación se listan la categoría, subcategoría, características y tecnología

subyacente que utilizan los equipos de PAN:
Categoría y Subcategoría:
 Business: Servicios de autenticación, bases de datos, ERP, gestión general,

programas de oficina, software updates, almacenamiento / backup
 General Internet: Compartición de ficheros, utilidades de Internet (web-
browsing, toolbars, etc)
 Collaboration: Email, instant messaging, Internet conferencing, redes sociales,
VoIP-video, web-posting
 Media: Audio-streaming, juegos, foto-video
 Networking: Túneles cifrados, infraestructura, protocolos-IP, proxy, acceso
remoto, routing
Características de las aplicaciones:
 Es capaz de transferir ficheros de una red a otra

 Es utilizada para propagar malware
 Consume 1 Mbps o más regularmente, en uso normal
 Evade la de detección a través del uso a propósito de un protocolo o puerto, que
originalmente está diseñado para otro propósito
 Tiene una implantación amplia
 Hay vulnerabilidades conocidas para esa aplicación
 Es propensa a ser mal utilizada, o es fácilmente configurable para exponer más
información de la que se pretende
 Tuneliza otras aplicaciones
Tecnología subyacente:
 Client-server based
 Browser-based
Página 27 de 100
 Peer-to-peer based
 Network protocol
Actualizaciones periódicas
La lista de aplicaciones que App-ID detecta crece rápidamente, con una media de entre
3 y 5 nuevas aplicaciones añadidas semanalmente, en base a la información recibida de
los clientes, partners y las tendencias del mercado. La actualización de la base de datos
de App-ID se realiza automáticamente desde el equipo, y puede programarse como una
tarea recurrente (con opción de instalarla o solamente de descargarla para ser revisada
antes de proceder a la instalación).
Gestión de aplicaciones propietarias o desconocidas

Aquellos clientes que tengan aplicaciones de propósito general no identificadas en su
red, pueden tomar una captura de tráfico y enviar dicha información a Palo Alto
Networks, para que se desarrollen los mecanismos necesarios para identificarla
adecuadamente. App-ID categoriza estas aplicaciones desconocidas como “unknown-
tcp” ó “unknown-udp”.
Una vez que un nuevo decoder o firma es desarrollado y chequeado en nuestros

laboratorios, se añade a la lista como parte de las actualizaciones periódicas
semanales, disponibles a partir de ese momento para todos los clientes.
Si la aplicación es interna o propietaria, los administradores tienen entonces dos

posibilidades para categorizarla:
• Application Override: Este mecanismo permite definir qué puertos utiliza la

aplicación y caracterizarla únicamente en base a éstos parámetros.
• Firmas de aplicación personalizables: Si la aplicación trabaja sobre HTTP ó SSL,
los administradores pueden crear firmas personales de identificación, que
trabajan a nivel 7 a través del uso de un potente motor basado en expresiones
regulares.
Página 28 de 100
Detalle del funcionamiento de User-ID

User-ID permite integrar de modo transparente los firewalls de
PAN con los servicios de directorio corporativo tales como
Active Directory, eDirectory ó LDAP (en éste último caso
normalmente a través del uso de una API XML). Esto permite a
los administradores enlazar la actividad de red con la
información de usuarios y grupos, en vez de únicamente con
las direcciones IP. Además, cuando User-ID se utiliza junto con las tecnología App-ID y
Content-ID, las organizaciones pueden utilizar la información de usuario y grupo para
obtener visibilidad, crear políticas de seguridad, hacer análisis forense y gestionar las
amenazas, la navegación web y la actividad asociada a las transferencias de datos.
Esta capacidad es especialmente interesante en las redes actuales, donde los usuarios
están dotados de movilidad (cable, WI-FI, 3G, …), con diferentes ubicaciones
geográficas posibles, y donde además se suele utilizar direccionamiento dinámico
(DHCP), lo que hace complicado identificar de forma simple y rápida al usuario con la IP
que tiene en un momento determinado. El resultado es que intentar utilizar la dirección
IP como método de identificación de un usuario, es a día de hoy inadecuado, o cuando
menos muy complejo.
A continuación se enumeran algunos de los beneficios fundamentales que se obtienen a

través del uso de User-ID:
 Analizar las aplicaciones, amenazas y navegación web en base a usuarios

individuales o grupos, en contraposición a utilizar únicamente direcciones IP.
 Identificar a los usuarios de Citrix y Microsoft Terminal Services y aplicar
políticas sobre sus respectivos usos de las aplicaciones.
 Construir políticas para habilitar la utilización positiva de aplicaciones para
grupos específicos de usuarios, como marketing, TI o ventas.
 Obtener visibilidad en tiempo real sobre la utilización que los usuarios hacen de
los recursos, así como identificar rápidamente qué usuarios pueden suponer una
amenaza o sufren algún tipo de vulnerabilidad (infección por virus, spyware, …)
Módulos
User-ID cuenta con diversos mecanismos para proceder a la identificación de los
usuarios, tal y como muestra la siguiente figura, Figura 11:
Página 29 de 100
Figura 11.- Módulos de identificación de usuarios en User-ID
El módulo de Login Monitoring se encarga, a través de un agente que se instala en un

PC de la red, de monitorizar la actividad de logging de los usuarios.
El módulo de Role Discovery se encarga, también a través del agente, de correlar la

información sobre la pertenencia de usuarios a grupos.
El módulo de End Station Polling es el encargado de monitorizar la actividad de cada

PC que está vivo en la red, para comprobar la dirección IP y usuario, y garantizar la
coherencia de la información cuando los usuarios se mueven en la red, sin
reautenticarse en el dominio.
Finalmente Captive Portal ofrece una solución para autenticar a usuarios que no
pertenecen al dominio, a través de una página web que incluye servicios de
autenticación, o a través del uso de autenticación basada en NTLM.
La potencia de User-ID se vuelve evidente cuando un administrador encuentra una

aplicación en la red cuyo uso le resulta extraño (revelada a través de la tecnología App-
ID). Entonces, y a través simplemente de unos cuantos clicks de ratón, puede
determinar qué usuario o grupo de usuarios están utilizando esa aplicación.
El administrador no ve solamente los usuarios de un determinado aplicativo, sino

también el consumo de ancho de banda, el número de sesiones, los orígenes y destinos
del tráfico así como cualquier posible amenaza asociada con dicha aplicación. También
es factible, de nuevo de forma muy simple, investigar otras aplicaciones que ese usuario
está empleando en un momento determinado.
Página 30 de 100
La siguiente figura, Figura 12, muestra un ejemplo de este tipo de análisis y visibilidad,
para un usuario que está empleando Facebook base y cuyo uso nos llama la atención.
Obsérvese que el administrador en primer lugar hace click sobre Facebook base para
filtrar la información asociada a esta aplicación; posteriormente hace click sobre el
usuario “Ginger Poppe” que está empleando Facebook base y finalmente obtiene todas
las aplicaciones que este usuario está utilizando, junto con el uso de sesiones, ancho de
banda consumido, posibles amenazas, … (el dominio en este ejemplo es “pancademo”):
Ejemplo de visibilidad de la
actividad de los usuarios
Figura 12.- Ejemplo de la visibilidad de aplicaciones obtenida para un usuario

concreto
De modo similar al ejemplo anterior, la siguiente figura, Figura 13, muestra cómo es
posible utilizar User-ID no únicamente con fines de obtención de visibilidad, sino
también para establecer políticas de control en base a usuarios concretos o grupos de
usuarios del directorio corporativo. Obsérvese que en la columna Source User se
definen distintos usuarios para cada una de las políticas configuradas en este ejemplo:
Página 31 de 100
Ejemplo de control por usuario o grupo de usuarios
Figura 13.- Ejemplo de control por usuarios y grupos con User-ID
Obtener visibilidad en la actividad de las aplicaciones a nivel del usuario, y no sólo de la

IP, es un paso necesario para retomar el control sobre las aplicaciones que circulan por
la red. Los administradores pueden entonces alinear el uso de las aplicaciones con los
requisitos de la unidad de negocio, y si fuera necesario, advertir al usuario sobre una
posible violación de la política corporativa de uso, o tomar medidas más directas como
bloquear el uso de determinadas aplicaciones a determinados usuarios.
En los capítulos siguientes se analizará más en detalle las capacidades de

configuración de User-ID.
Integración con el directorio activo de Microsoft a través de PAN-Agent

La integración de los firewalls de PAN con el directorio activo de Microsoft –Active
Directory- se realiza a través de la utilización de un agente específico, denominado Pan
Agent.
Este agente ha de instalarse sobre cualquier PC que pertenezca al dominio, siendo

posible instalarlo sobre diferentes PCs si se desea dotar al servicio de redundancia. Es
importante señalar que aunque es posible instalar el agente sobre los controladores de
dominio –Domain Controllers-, no es una práctica recomendable puesto que estos
servidores son críticos y el único beneficio obtenido es un pequeño ahorro en el tráfico
de red, que normalmente es conmutado además a través de redes LAN.
Asimismo es importante señalar, que un único agente puede interpelar a múltiples

controladores para un mismo dominio. Sin embargo, si es necesario gestionar varios
dominios diferentes, es necesario instalar al menos un agente para cada uno de ellos.
Página 32 de 100
Por el contrario, un único firewall de PAN puede gestionar la información de múltiples

dominios (que recibirá por tanto de diferentes agentes).
La siguiente figura, Figura 14, muestra el flujo general que sufre una sesión desde que
el usuario se identifica en el Directorio Activo, hasta que la información se integra dentro
del cortafuegos de PAN:
Figura 14.- Flujo general en la identificación de usuarios
Una vez instalado el agente, que se comporta como un servicio de Windows, es

necesario asignar un usuario a dicho servicio que tenga permisos para hacer logon en
el dominio –es decir que pertenezca al grupo Builtin/Users- y que pueda leer los logs de
auditoría de seguridad de Windows - Manage auditing and security log-. Normalmente
los administradores de dominio tienen asignado este permiso por defecto, por lo que
resulta sencillo crear un usuario para éste propósito que pertenezca al grupo de
administradores. No obstante, y si esto no es posible, es factible configurar un usuario
que no pertenezca al grupo de administradores y al que se le puede otorgar
manualmente el permiso requerido.
Una vez que el agente está instalado y configurado, se encarga de obtener

automáticamente la información sobre los usuarios y sus IPs actuales, así como su
Página 33 de 100
pertenencia a grupos. El agente envía, a través de una conexión vía SSL, toda esta
información al firewall que es el encargado de actualizarla en su base de datos interna.
En caso de que haya varios agentes dispersos por la red (por motivos de redundancia),
el cortafuegos se encarga también de correlar la posible información duplicada que
recibe de cada agente.
La siguiente figura, Figura 15, muestra el detalle de la comunicación entre firewall,

agente y controlador de dominio:
Figura 15.- Detalle de la comunicación entre los diversos elementos que

intervienen en la identificación de usuarios
Todas las actualizaciones de usuarios son enviadas al firewall a través de su interfaz de

gestión vía SSL (es posible definir qué puerto TCP se quiere emplear); también es
posible configurar otro interfaz, si así se desea, para éste propósito. El agente PAN-
Agent, además de monitorizar los logs y tablas de sesiones del Directorio Activo de
Microsoft, también puede opcionalmente realizar consultas directamente a las
estaciones de los clientes por NetBIOS ó WMI (para equipos de clientes que utilizan
Windows Vista o Windows 7).
Página 34 de 100
El método preferible y más eficaz para identificar a los usuarios es a través del agente
trabajando contra el Directorio Activo. No obstante, aunque el agente verá los nuevos
usuarios según se autentican y podrá confirmarlos cuando utilizan recursos de red, es
posible que no vea cuando se desconectan (log off). El motivo es que el DA de
Microsoft no registra este tipo de actividad. La pruebas por NetBIOS ó WMI confirman
que un usuario previamente activo se sigue manteniendo activo en su puesto de trabajo.
Hay tres factores que pueden desaconsejar el uso de NetBIOS:
 Ancho de banda que se requiere para la utilización de las pruebas, sobre todo si
se trata de un entorno WAN (no tan importante sobre entornos LAN).
 Recursos de CPU necesarios para la realización de las pruebas desde el PC
que incorpora el agente.
 Equipos que puedan no responder a las consultas NetBIOS a causa de la
utilización de firewalls personales, que no permitan este tipo de tráfico.
Así pues, es recomendable tener en cuenta estos factores durante la fase de diseño,
para implementar la topología más adecuada en cada escenario.
Para finalizar con este capítulo, la siguiente figura, Figura 16, muestra un ejemplo de la
configuración del agente contra un Directorio Activo (en general la configuración es
sencilla y se completa en unos pocos minutos):
Figura 16.- Ejemplo de configuración del agente de PAN contra Directorio Activo
de Microsoft
Página 35 de 100
Identificación de usuarios de Citrix y Microsoft Terminal Services

En entornos donde la identidad del usuario es ocultada por una solución de Citrix o
Terminal Server, es posible también instalar un agente User-ID específico, para
determinar qué aplicaciones los usuarios están empleando. Si además hay un directorio
corporativo, la información sobre los usuarios y los grupos (no las direcciones IP)
también serán mostradas. Una vez que aplicaciones y usuarios han sido identificados,
se obtiene visibilidad y control completos de este tipo de usuarios, dentro de las
herramientas de logging, reporting y gestión de políticas integradas en los cortafuegos
de PAN.
El funcionamiento de este agente es similar al descrito en el apartado anterior, para el

Directorio Activo de Microsoft.
Integración con el e-Directory de Novell a través de User-ID-Agent

A partir de las versiones 3.1.x de PAN-OS, es posible también utilizar un agente,
denominado User Agent, capaz de integrarse con directorios corporativos de Novell (e-
Directory).
La ventaja fundamental que ofrece el directorio de Novell, al igual que el de Microsoft,

es que almacena la dirección IP con la que el usuario se autentica junto con la hora. En
concreto en el directorio de Novell la IP se almacena, en un formato binario propietario,
en el campo networkAddress de la estructura LDAP. Este comportamiento no es en
general extrapolable a otros controladores de dominio basados en LDAP, en los que la
integración se hace por tanto más compleja al no almacenar la IP del usuario
autenticado (ver siguiente punto).
Otro punto importante a señalar, es que el agente para el directorio de Novell es capaz
únicamente de obtener la información sobre los usuarios y sus IPs, pero no la de los
grupos de usuarios a los que pertenecen. A partir de las versiones 3.1.x los firewalls de
PAN son capaces de conectarse directamente contra el directorio a través de LDAP,
obteniendo de este modo la información sobre los grupos y la pertenencia de los
usuarios a los mismos. Así pues, parte de la configuración de autenticación contra e-
Directory requiere configurar, además del agente, la comunicación LDAP entre
cortafuegos y repositorio corporativo.
La siguiente figura, Figura 17, muestra un ejemplo de configuración del agente contra
un controlador e-Directory de Novell:
Página 36 de 100
Figura 17.- Ejemplo de configuración de agente contra e-Directory de Novell
La configuración es de nuevo bastante simple, requiriendo únicamente la configuración

de la rama base del árbol LDAP por el que comenzar la búsqueda (en nuestro ejemplo
de la Figura 17 “lab”) y el usuario y password utilizado para conectarse al directorio (en
nuestro ejemplo “Admin”).
Para finalizar con este capítulo, señalar que el flujo de comunicación entre el agente y el
cortafuegos es similar al mostrado anteriormente en el punto de integración del agente
contra el Directorio Activo de Microsoft.
Otros directorios LDAP: API XML

Para otros directorios diferentes, basados por ejemplo en OpenLDAP, la integración es
más compleja puesto que estos directorios no incluyen normalmente ningún campo en
su estructura que contenga la dirección IP del usuario autenticado.
En estos casos es aún posible realizar la identificación de usuarios, a través de la

utilización de una API XML que se ofrece sobre el mismo agente mostrado en el
capítulo de e-Directory.
Página 37 de 100
En estos casos será necesario realizar un pequeño desarrollo para extraer la

información sobre la dirección IP desde algún origen (por ejemplo servidor DHCP) y
alimentar la API con la dirección IP y nombre de usuario correspondiente. A
continuación se muestra un ejemplo del intercambio de mensajes necesario para la
correcta interactuación contra la API (para obtener más información al respecto, visitar
https://live.paloaltonetworks.com/docs/DOC-1348)
<uid-message>
<version>1.0</version>
<type>update</type>
<payload>
<login>
<entry name="domain\uid1" ip="10.1.1.1"/>
</login>
<logout>
</logout>
</payload>
</uid-message>
Como se observa es posible incuir varias actualizaciones (login ó logout) sobre el

mismo mensaje. Si el resultado es correcto, la API devolverá el siguiente tipo de
mensaje:
<uid-response>
<version>1.0</version>
<code>0</code>
<message>ok</message>
</uid-response>
En caso de no ser correcto, el código de error será “1” en lugar de “0” y se incluye
además un mensaje descriptivo sobre el origen del mismo.
Es interesante señalar que existen actualmente soluciones comerciales que ofrecen

este tipo de integración automáticamente contra los equipos de PAN. Un ejemplo de
ellas es AmigoPod (para más información visitar www.amigopod.com).
Página 38 de 100
Integración de usuarios no pertenecientes al dominio: Captive Portal con NTLM

En el caso de que existan usuarios que no pertenecen al dominio (como por ejemplo
usuarios externos trabajando temporalmente), es aún posible identificarlos como
usuarios y no únicamente por su dirección IP. Para ello los cortafuegos de PAN ofrecen
la posibilidad de utilizar un portal cautivo, Captive Portal, que se encarga de realizar
esta tarea.
El portal cautivo puede utilizar con dos modos de trabajo diferentes:
 Autenticación basada en NTLM

 Autenticación basada en página web con formularios
En general es preferible utilizar la autenticación por NTLM, más elegante, puesto que el
usuario no es presentado con ninguna página web, sino que se le solicita la
autenticación directamente según se conecta a cualquier sitio.
Para la autenticación basada en NTLM, se utilizan las cabeceras de autenticación

HTTP. Es importante señalar que es necesario que el cliente utilice un navegador
compatible con este método de trabajo, como Internet Explorer o Firefox. La siguiente
figura, Figura 18, muestra el esquema general del flujo de una autenticación con NTLM:
Figura 18.- Flujo general de la autenticación vía NTLM
PAN-OS utiliza las cabeceras HTTP mostradas en la Figura 18, junto con una
redirección HTTP (código 302, redirección temporal) para autenticar a los usuarios.
La siguiente figura, Figura 19, muestra el proceso de validación. Tal y como se observa
hay tres fases distintas, que se corresponden con tres conexiones TCP diferentes: la
petición original del cliente interceptada; la autenticación NTLM entre cliente y
Página 39 de 100
cortafuegos y la petición original reenviada una vez que la autenticación ha sido

satisfactoria.
Figura 19.- Conexiones que tienen lugar en una autenticación NTLM
NTLM es un mecanismo de autenticación basado en desafío-respuesta, donde el cliente

debe obtener información nueva del servidor de autenticación, cuando formula su
contraseña en la respuesta. Puesto que el Directorio Activo es el único servidor capaz
de validar la respuesta NTLM del usuario, el servidor web integrado en el cortafuegos
actúa únicamente como conductor, enviando los desafíos y respuestas a través de los
agentes (Pan Agent), que interactúan con el directorio.
La siguiente figura, Figura 20, muestra el detalle del proceso de autenticación NTLM
entre el usuario y el directorio. Nótese que el tráfico circula por cuatro equipos en total,
porque la autenticación final la ha de hacer el controlador de dominio, y la comunicación
del cortafuegos con él es a través del agente (Pan Agent, visto anteriormente).
Página 40 de 100
Figura 20.- Flujo de la autenticación NTLM
Notas:
 Aunque se soportan tanto NTLMv1 como NTLMv2, se recomienda configurar los

navegadores para que utilicen NTLMv2, puesto que es más seguro que
NTLMv1.
 Si se desea utilizar además la información de los grupos a los que los usuarios
pertenecen, es posible configurar el cortafuegos para que obtenga esta
información directamente, a través del uso de LDAP (soportado a partir de PAN-
OS 3.1).
Integración de usuarios no pertenecientes al dominio: Captive Portal con página

web
En el caso de que la autenticación basada en NTLM no se pueda utilizar, o falle por
ejemplo porque el navegador que utiliza el cliente no soporta NTLM, aún es posible
autenticar a los usuarios haciendo uso de un portal cautivo que ofrecen los equipos de
PAN, que integra una página web con un formulario de autenticación. La siguiente
Página 41 de 100
figura, Figura 20, muestra un ejemplo de la página que se muestra a los usuarios que se
autentican por este método. La imagen que mostramos se corresponde con la página
por defecto, pero es posible personalizar la apariencia de esta página, a través de los
menús de configuración del firewall:
Figura 20.- Autenticación con portal cautivo basado en página web
La siguiente figura, Figura 21, muestra el flujo del proceso de autenticación. Nótese que
aunque se hace referencia a la autenticación vía RADIUS, también es posible, a partir
de la versión 3.1 de PAN-OS, utilizar autenticación por LDAP (contra un directorio
activo, por ejemplo).
Figura 21.- Autenticación con Captive Portal y formulario web

Página 42 de 100
El proceso de autenticación, tiene lugar a través de HTTPs. Para ello el firewall utiliza
un certificado que se puede generar dentro del propio equipo, o importar desde el
exterior. Para que el usuario sea interceptado y autenticado, debe en primer lugar iniciar
una sesión HTTP hacia algún recurso externo. Una vez que la autenticación tiene éxito,
el usuario es redirigido transparentemente hacia el recurso original, que solicitó desde
su navegador. Asimismo, una vez identificado, la validación del usuario contra las
políticas se realiza para cualquier tipo de tráfico IP y no solamente para el tráfico Web.
Durante la autenticación se utiliza nuevamente una redirección de tipo 302 (Temporarily

moved), pero de manera diferente a como se empleaba con la autenticación basada en
NTLM. En este caso al usuario se le envía el contenido como si viniera del sitio original,
pero redirigiéndolo hacia HTTPs y a través de otro puerto (TCP 6080). Esta redirección
sirve al firewall para interceptar la siguiente petición del navegador, donde se incluye el
formulario web de autenticación. Una vez que el usuario introduce la información de
autenticación, ésta es enviada hacia el servidor RADIUS o LDAP que valida finalmente
al usuario.
La siguiente figura, Figura 22, muestra el detalle de la autenticación en este caso:
Figura 22.- Detalle de la autenticación con portal cautivo y formulario web

Página 43 de 100
Detalle del funcionamiento de Content-ID

Muchas de las nuevas aplicaciones que los usuarios se descargan hoy día contienen
amenazas, tales como viruses, troyanos, spyware, … Del mismo modo las aplicaciones
corporativas se ven amenazadas por ataques cada vez más sofisticados, que en
muchos casos van buscando un beneficio financiero, frente a la notoriedad del atacante.
Gran parte de las soluciones que se ofrecen hasta la fecha, se basan en el concepto de
que si se detecta una nueva brecha de seguridad, es necesario adquirir un nuevo
dispositivo que la cubra. Desafortunadamente, la falta de coordinación entre las distintas
funciones de cada equipo, los interfaces de gestión dispersos e inconsistentes y un
rendimiento pobre, han dado un resultado muy lejano del esperado. Aún más
importante, los modelos de seguridad basados en soluciones independientes, han
obviado el hecho de que los atacantes toman ventaja de los cientos de aplicaciones que
no se analizan y que los usuarios pueden descargar e instalar.
Content-ID es una solución de seguridad totalmente integrada dentro de las soluciones

de Palo Alto Networks, que pretende dar respuesta a todas las carencias de ese modelo
de aproximación a la seguridad, basado en la dispersión de recursos.
Se trata de un motor de exploración basado en flujo (stream based en contraposición a

soluciones basadas en proxies), que utiliza un formato de firma uniforme para la
prevención, detección y bloqueo de un gran número de amenazas. De igual modo, limita
la transferencia no autorizada de archivos y datos confidenciales, al tiempo que una
extensa base de datos de URLs controla la navegación por Internet no relacionada con
el trabajo.
El uso de Content-ID, junto con las tecnologías App-ID y User-ID vistas anteriormente,
devuelve el control al departamento de TI sobre las aplicaciones, los usuarios y las
amenazas relacionadas, ofreciendo además una visibilidad sin precedentes desde un
punto central (el cortafuegos corporativo).
La siguiente figura, Figura 23, muestra el resumen de las capacidades que se integran
dentro de Content-ID:
Página 44 de 100
Figura 23.- Funcionalidades integradas en Content-ID
Nota: Content-ID se comercializa a través de dos licencias que los clientes pueden
adquirir opcionalmente al comprar un equipo de PAN: una de ellas se denomina Threat
Prevention e incluye el análisis de vulnerabilidades (IPS), antivirus y anti-spyware. La
segunda licencia, denominada URL Filtering, incluye las capacidades de filtrado de
URLs.
Ambas licencias son independientes y pueden adquirirse de forma separada, según sea
necesario. En ambos casos la licencia va ligada al equipo y no al volumen de
usuarios, lo que hace que económicamente la solución sea más rentable.
Como ventajas fundamentales de Content-ID, cabe destacar:
 Integrado completamente dentro de la solución de PAN.

 Protege frente a una gran variedad de amenazas, incluyendo exploits contra las
aplicaciones (IPS), viruses y spyware.
 Analiza todo el tráfico una única vez, basándose en un modelo tipo stream. De
esta forma se elimina la necesidad de utilizar proxies para el tráfico o los
ficheros, lo que resulta en un rendimiento superior y una latencia reducida.
 La utilización de una única política reduce significativamente la operativa
asociada a la creación de políticas para el control de las amenazas o de la
navegación web.
En los capítulos siguientes, analizamos con mayor detalle cada una de las
funcionalidades y capacidades que ofrece Content-ID.
Página 45 de 100
Prevención de amenazas (IPS)

Es importante señalar, antes de avanzar más en el
detalle de las capacidades de prevención de
ataques, que todos los equipos de PAN se basan en
la utilización de App-ID, como tecnología base. Tal y
como se mencionó con anterioridad, App-ID utiliza
un mecanismo de lógica positiva en la identificación de las aplicaciones (nivel 7). Esto
significa que antes siquiera de comenzar a buscar posibles amenazas, el equipo
determina si la aplicación que está circulando por la red se corresponde realmente con
aquella que los administradores de seguridad han habilitado en sus políticas. La
identificación es posible realizarla incluso aunque el tráfico vaya cifrado bajo SSL. Si la
aplicación detectada no es acorde a la política de seguridad configurada, esa sesión
simplemente se elimina sin darle opción a que progrese y pueda incluir alguna
amenaza.
Gracias a la utilización de esta tecnología de base, es posible eliminar multitud de

amenazas basadas en la ofuscación o tunelización de unas aplicaciones sobre otras,
además de que también permite reducir drásticamente los falsos positivos.
La tecnología clave que permite a Content-ID identificar y bloquear con mayor certeza
los ataques, es el decodificador de aplicación (ver punto anterior, sobre App-ID, para
encontrar más información al respecto). Content-ID toma streams de los datos de las
aplicaciones, que ya han sido analizados y reensamblados por el decodificador, para
inspeccionarlos en busca de amenazas.
Además, en vez de utilizar un subconjunto independiente de motores de análisis y

firmas para cada tipo de amenaza, Content-ID emplea un motor de firmas uniformes,
lo que le permite detectar y bloquear en una única pasada diversos tipos de malware
(exploits, viruses, spyware, …). Esta capacidad es crítica para garantizar un rendimiento
muy alto a la par que una latencia mínima.
En lo referente a las amenazas contra las aplicaciones, la prevención se consigue a

través de un conjunto de medidas de tipo IPS (Intrusion Prevention System). Los tipos
de ataques generales, que es posible detectar se listan a continuación:
 Exploits contra vulnerabilidades de red

 Exploits contra vulnerabilidades de aplicación
 Ataques de denegación de servicio (DoS y DDoS)
Página 46 de 100
 Escaneo de puertos (horizontales y verticales)
En cuanto a las medidas que utiliza el IPS para ofrecer la prevención, a continuación se
detallan las más significativas junto con una explicación sobre su utilización:
 Decodificadores de protocolo: Decodifican el protocolo y permiten

posteriormente aplicar firmas para detectar los ataques, en base al contexto real
de la aplicación.
 Firmas contra vulnerabilidades: Buscan patrones que se corresponden con
intentos de intrusión. Actualmente existen unas 3000 diferentes.
 Detección de anomalías: Detectan el uso de los protocolos cuando no es acorde
a las RFCs, tales como URIs inválidas o intentos de login en servicios FTP con
usuarios de gran longitud.
 Stateful pattern matching: Detecta ataques distribuidos en varios paquetes,
tomando en cuenta elementos tales como el orden de llegada y la secuencia.
 Detección de anomalías por estadísticas: Previene los ataques de denegación
de servicio (DoS y DDoS), basándose en el análisis del ratio de paquetes y
sesiones.
 Análisis de comportamiento (heurístico): Detecta paquetes anómalos para
prevenir los intentos de escaneos de red.
 Defragmentación IP y reensamblaje TCP: Permite detectar los ataques aun
cuando los atacantes pretenden utilizar tácticas evasivas contra sistemas IPS.
 Firmas personalizables por los usuarios: Permite a los administradores extender
el rango de firmas disponibles, a través de la utilización de un potente motor
basado en expresiones regulares.
Es importante señalar que la configuración de todas estas medidas de protección, al

igual que ocurre con el resto de módulos de Content-ID, se realiza a través de la
utilización de perfiles, lo que permite crear políticas de un modo muy sencillo.
Además, es posible utilizar diferentes perfiles de Content-ID para cada regla de
seguridad del firewall, lo que ofrece una gran granularidad a la hora de establecer
las medidas de control.
La siguiente figura, Figura 24, muestra un ejemplo de la configuración de los perfiles

de Content-ID, ligado a cada una de las políticas que implementa el cortafuegos:
Página 47 de 100
Ejemplo de configuración de
Content-ID por perfiles
Figura 24.- Ejemplo de gestión de políticas de Content-ID
La gestión de los perfiles de firmas es asimismo muy sencilla, pudiendo el administrador

trabajar en modo simple o modo avanzado.
En el modo simple solamente es necesario seleccionar qué acción se quiere tomar

contra un determinado tipo de amenaza, en base al riesgo –crítico, alto, medio, bajo o
informativo, para los ataques de cliente o servidor. La siguiente figura, Figura 25,
muestra un ejemplo de configuración simple:
Figura 25.- Ejemplo de configuración de firmas de IPS sencilla

Página 48 de 100
Por el contrario en el modo avanzado es posible configurar múltiples parámetros para

cada firma individualmente. La siguiente figura, Figura 26, muestra un ejemplo de
configuración avanzada:
Figura 26.- Ejemplo de configuración de firmas de IPS avanzada
En ambos casos es posible excluir aquellas firmas que no nos interesen como
excepciones. Esta configuración también es posible realizarla directamente desde la
ventana de análisis de logs.
Prevención de ataques de DoS

La prevención frente a ataques de DoS y DDoS (ataques de denegación de servicio
distribuidos), se realiza a través de la detección basada en el análisis estadístico, según
se mencionó en el capítulo anterior.
Es posible configurar diferentes perfiles para cada zona, en función de los requisitos de
tráfico que pueda existir en cada una de ellas. En concreto, este mecanismo ofrece
protección frente a los siguientes ataques de DoS:
Página 49 de 100
 Ataques de SYN Flood. Se puede utilizar SYN Cookies o RED (Random Early
Drop). Es recomendable utilizar SYN Cookies.
 Ataques basados en inundaciones UDP.
 Ataques basados en inundaciones ICMP.
 Otros tipos de ataques basados en inundaciones IP.
La siguiente figura, Figura 27, muestra un ejemplo de configuración de un perfil en una

zona, para proteger dicha zona frente a ataques de denegación de servicio. Tal y como
se observa se ofrecen diferentes ratios, en base a los diferentes estados por los que
puede pasar un ataque de DoS (alerta, activación y máximo número de paquetes
permitidos):
Figura 27.- Ejemplo de configuración frente a ataques de DoS por zonas
Prevención frente a escaneos de red

Aunque los intentos de escanear la red en busca de equipos o de servicios que
respondan, no suele considerarse un ataque como tal, sí que es importante ofrecer
mecanismos de protección frente a los mismos, porque suele ser la primera medida que
un atacante emplea, previa a la realización de un ataque en sí.
Página 50 de 100
Al igual que la protección frente a ataques de DoS, la detección y prevención de los

escaneos de red en las soluciones de PAN se realiza a través del análisis estadístico,
que se configura en la protección de cada zona. De nuevo es posible utilizar perfiles
diferentes en función de los requisitos de cada zona.
En concreto se ofrece protección frente a los siguientes tipos de escaneo (tanto

horizontales como verticales):
 Escaneos TCP
 Escaneos UDP
 Host Sweep
La siguiente figura, Figura 28, muestra un ejemplo de configuración de un perfil frente a

los intentos de escaneo:
Figura 28.- Ejemplo de configuración frente a intentos de escaneo
Anomalía de paquetes
Al igual que la protección frente a ataques de DoS, la detección y prevención de
paquetes anómalos se configura en la protección de cada zona. De nuevo es posible
utilizar perfiles diferentes en función de los requisitos de cada una.
En concreto se ofrece protección frente a los siguientes tipos de paquetes anómalos:
 Spoofing de direcciones IP
 Bloqueo de tráfico fragmentado
 Tráfico ICMP con ID 0
Página 51 de 100
 Tráfico ICMP fragmentado

 Paquetes ICMP superiores a 1024 bytes
 Supresión de ICMP TTL expired error
 Supresión de ICMP NEEDFRAG
 Eliminar los paquetes fuera de sesión (paquetes para los que no se ha visto el
SYN que marca el inicio de la sesión). Es importante deshabilitar esta medida de
protección si se trabaja en entornos donde es posible que exista tráfico
asimétrico.
La siguiente figura, Figura 29, muestra un ejemplo de configuración de un perfil frente a

paquetes anómalos:
Figura 29.- Protección frente a anomalías de paquete
Antivirus y Anti-Spyware
El motor de antivirus/anti-spyware en línea saca también partido de los patrones de
firmas uniformes mencionados anteriormente, así como de un motor de inspección
basado en stream, para proteger frente a millones de variantes de malware.
A continuación se enumeran las capacidades clave de la solución de antivirus/anti-

spyware de PAN:
 Protección frente un amplio rango de malware, como por ejemplo virus,

incluyendo aquellos que afectan a HTML y Javascript, downloads de spyware,
troyanos, etc.
 Detección y prevención en línea de malware embebido en ficheros comprimidos
y contenido web.
 Utiliza el motor de descifrado SSL de App-ID, para bloquear viruses sobre tráfico
SSL.
Página 52 de 100
 Las firmas del motor de antivirus se obtienen a través del análisis de millones de
patrones reales, que son enviados a los ingenieros de PAN a través de terceras
empresas, líderes en el mercado de investigación y búsqueda de malware. El
equipo de desarrollo de PAN analiza y elimina la información duplicada o
redundante y genera las firmas (utilizando el patrón uniforme para ello), que son
ofrecidas a los clientes diariamente o bajo actualizaciones de emergencia.
También es crucial señalar, que el análisis basado en stream permite proteger la red sin
introducir una latencia significativa – que es el problema tradicional con las soluciones
de antivirus que se basan en proxies. Las soluciones basadas en proxies han carecido
históricamente de los requisitos de rendimiento necesarios cuando se hacen
despliegues en línea, en entornos con necesidades en tiempo real (por ej. aplicaciones
web), porque necesitan ubicar el fichero al completo en memoria antes de que el
proceso de análisis pueda comenzar. Por el contrario los motores basados en stream,
como el de PAN, inspeccionan el tráfico tan pronto como el primer paquete del fichero
llega al equipo, eliminando los problemas de rendimiento y latencia asociados con la
aproximación basada en proxies.
La siguiente Figura, Figura 30, muestra la comparativa entre un motor basado en

streaming frente a uno basado en proxies. Obsérvese la gran diferencia en la latencia
introducida por ambas soluciones, hasta que se entrega el tráfico al destino final:
Figura 30.- Comparativa entre la inspección basada en stream frente a proxy

Página 53 de 100
Filtrado de URLs
La base de datos para la gestión y filtrado de URLs,
totalmente integrada en la solución, permite establecer
políticas de control sobre la actividad de la navegación
web, complementando de este modo la visibilidad a
nivel de aplicación y control que los firewalls de nueva
generación de Palo Alto Networks ofrecen.
A continuación se resumen las ventajas fundamentales que ofrece la solución:
 Bloquea el acceso a sitios no deseables para reducir los riesgos de seguridad,

legales y regulatorios.
 Reduce los incidentes asociados con el malware, al prohibir el acceso a sites
que ofrecen descargas que incluyen malware ó phising.
 Ofrece políticas configurables, con listas blancas y negras y base de datos de
URLs personalizable.
 Facilita las políticas de descifrado SSL, como por ejemplo: “no descifrar el tráfico
que vaya dirigido contra webs financieras”, pero “sí descifrar el tráfico que vaya
dirigido a sitios que contienen blogs”.
Las soluciones tradicionales de filtrado de URLs basadas en equipos independientes,

no son todo lo efectivas que debieran hoy día. Pueden ser en muchas ocasiones
fácilmente eludidas a través del uso de proxies externos (como PHproxy o CGIproxy),
proxies evasivos (como TOR, UltraSurf o Hamachi) y aplicaciones de acceso a
escritorios remotos (como Yoics!, RDP o SSH). Controlar la actividad de las
aplicaciones de los usuarios requiere una aproximación multidisciplinar, que incorpore
políticas para gestionar la actividad web así como las aplicaciones que utilizan
normalmente para eludir los mecanismos de seguridad tradicionales. Gracias al uso de
las tecnologías App-ID, User-ID junto con el filtrado de URLs, las soluciones de PAN
solventan esas carencias presentes en otras soluciones.
Una vez que han controlado, gracias a App-ID, las aplicaciones que se permite utilizar,
los administradores de seguridad pueden implementar políticas de filtrado URL para
extender el control sobre la actividad de red. Las políticas se pueden habilitar en base a
la combinación de los siguientes mecanismos:
 Seleccionar entre 76 categorías y más de 20 millones de URLs, almacenadas en

una base de datos local al equipo.
Página 54 de 100
 Utilizar una base de datos distribuida en Internet, con más de 180 millones de
URLs, para todas aquellas que no están incluidas en la base de datos local.
 Crear una lista personal, a través del uso de listas negras y listas blancas, que
soportan el uso de comodines en su definición.
 Especificar políticas por usuarios y grupos, con diferentes niveles de permiso
(gracias a User-ID).
 Crear políticas de navegación basadas en horario.
 Determinar qué categorías de URLs han de descifrarse y cuales no (junto con la
funcionalidad de SSL decryption vista anteriormente).
Tal y como se ha comentado, es posible utilizar una base de datos local de 20 millones
de registros, así como una distribuida en Internet de unos 180 millones de registros. Si
se habilita esta funcionalidad, cuando una URL no se encuentra en la base de datos
local, se realiza una búsqueda en la base de datos distribuida. Una vez que la URL ha
sido categorizada, se cachea en otra base de datos local paralela (con capacidad de 1
millón de registros), para evitar que realizar nuevas consultas externas si algún usuario
vuelve a demandarla.
Asimismo también es posible configurar la información que los usuarios recibirán

cuando están intentando visitar un sitio que está bloqueado, según la política
corporativa configurada. Para ello los administradores pueden utilizar una página web
cuyo contenido se puede personalizar. La página puede incluir además referencias al
nombre del usuario, la dirección IP, la URL a la que se está intentando acceder y la
categoría.
También es posible delegar parte de la responsabilidad de la navegación, de vuelta

sobre el usuario final. Para ello los administradores cuentan con las siguientes dos
herramientas:
 URL filtering continue: Cuando el usuario accede a una página que viola la
política establecida, se les muestra una página de advertencia con un botón que
le permite continuar en caso de que el acceso a la URL sea realmente necesario
para su trabajo.
 URL filtering override: El usuario ha de introducir una contraseña que le permite
eludir la página de bloqueo y acceder por tanto al contenido solicitado.
La siguiente figura, Figura 31, muestra un ejemplo de una de las páginas de bloqueo
que se sirven y que pueden ser personalizadas:
Página 55 de 100
Figura 31.- Ejemplo de página de bloque de acceso a una URL no permitida
Existen asimismo múltiples opciones a la hora de generar informes. El equipo ofrece un

conjunto de ellos predefinidos, y también ofrece la posibilidad al usuario para que se
genere otros personales. En general existen tres tipos de reportes diferentes que se
pueden obtener:
 Reportes sobre la actividad de los usuarios: Permite generar informes muy

detallados sobre la actividad de un usuario o grupo. Se incluyen las aplicaciones
empleadas, las categorías de URL visitadas, los sitios web visitados y el detalle
de todas las URLs visitadas durante un período de tiempo configurable.
 Reportes sobre la actividad de las URLs: Existen hasta 50 informes de este tipo,
donde se muestra la categoría de URL visitada, los usuarios más activos, las
categorías bloqueadas, los usuarios bloqueados, …
 Logging en tiempo real: Los logs de las URLs pueden filtrarse fácilmente, para
obtener información detallada en línea (para obtener más información sobre este
punto, revisar por favor el capítulo de gestión del equipo que se detalla
posteriormente).
La configuración del filtrado de URLs sigue los mismos principios vistos anteriormente
en la configuración de otros mecanismos de Content-ID, y se basa por tanto en la
Página 56 de 100
utilización de perfiles. La siguiente figura, Figura 32, muestra un ejemplo de la definición

de estos perfiles:
Figura 32.- Ejemplo de definición de un perfil de filtrado de URLs
Para finalizar con este punto, es importante señalar que el modelo de licenciamiento de
PAN para el módulo de URL filtering se basa en la obtención de una licencia por
equipo y no por usuario. Este modelo de licenciamiento supone que el número de
usuarios que pueden utilizar el servicio es virtualmente ilimitado, a la par que ofrece un
ahorro importante frente a soluciones que requieren una licencia por usuario.
Página 57 de 100
Prevención frente a la fuga de datos (DLP)

La solución de filtrado de datos (Data Loss Prevention – DLP), permite a los
administradores implementar políticas que reducirán los riesgos asociados con la
transferencia ilícita de ficheros y datos no autorizados. Asimismo permite auditar los
tipos de contenido que circulan por la red.
Como características más notables de la solución de DLP, caben resaltar las que se
mencionan a continuación:
 Bloqueo por tipo de fichero: Permite controlar el flujo de un amplio rango de

ficheros, inspeccionando a fondo el payload para identificar el tipo de fichero en
cuestión (frente a solamente mirar la extensión del archivo). Permite definir
políticas diferentes en el envío o la recepción, como por ejemplo bloquear todos
aquellos archivos cifrados que los usuarios se descarguen (y que por tanto no
pueden ser analizados por otros módulos, como por ejemplo el antivirus).
 Filtrado de datos: Controla el envío de patrones de datos sensibles, como por
ejemplo números de tarjeta de crédito, a través del contenido de las aplicaciones
o los adjuntos. Utiliza además un mecanismo basado en pesos para minimizar
los falsos positivos.
 Función para el control de la transferencia de ficheros: Permite controlar las
funcionalidades de transferencia de ficheros de una aplicación en concreto
(permitirlas, bloquearlas o auditarlas). Es importante señalar que es posible
bloquear la transferencia de archivos, pero permitir aún la ejecución de la
aplicación, eliminando por tanto únicamente las transferencias.
La siguiente figura, Figura 33, muestra un ejemplo de configuración de un perfil de

filtrado de datos, que analizará el contenido de las aplicaciones o de los adjuntos.
Obsérvese que el perfil detecta la aparición de tarjetas de crédito, números de la
seguridad social (ambos incluidos por defecto), así como la aparición también de dos
términos asignados por los administradores: “Teacher” y “Trinidad”. La definición de
estos patrones se realiza a través del uso de un potente motor de expresiones
regulares.
Página 58 de 100
Figura 33.- Ejemplo de perfil de filtrado de datos
La siguiente figura, Figura 34, muestra un ejemplo de configuración de un perfil de

gestión de ficheros. Según se muestra se han creado dos reglas, la primera que
bloquea la descarga (download) de cualquier fichero cifrado y la segunda que audita
todos ellos, tanto en upload como download:
Figura 34.- Ejemplo de perfil de control de ficheros

Página 59 de 100
Actualizaciones periódicas y equipo I+D de Content-ID

El equipo del departamento de I+D de Palo Alto Networks, encargado de mantener y
actualizar las soluciones integradas en Content-ID, está formado por un grupo de
ingenieros de gran experiencia en el área del desarrollo de mecanismos de prevención
de amenazas.
Además de trabajar en la mejora y desarrollo de nuevas contramedidas, se trata de un

equipo altamente activo en la comunidad internacional de la seguridad. PAN es
miembro inaugural del programa MAPP de Microsoft (Microsoft Active Protection
Program), y como tal tiene acceso prioritario previo a la publicación de las
actualizaciones periódicas y de emergencia que Microsoft realiza. Esto nos permite
garantizar que nuestros clientes dispondrán de las contramedidas adecuadas, antes de
la publicación de los boletines de manera coordinada.
Además de recibir información sobre las vulnerabilidades detectadas por terceros, Palo
Alto Networks realiza su propia investigación continua, y ha sido acreditado como
descubridor de múltiples vulnerabilidades de carácter crítico y alto dentro de los
sistemas operativos de Microsoft o de su suite de aplicaciones. Del mismo modo se
trabaja activamente con otros fabricantes, donde también se han descubierto y
reportado vulnerabilidades críticas (como por ejemplo Adobe).
Las actualizaciones de firmas para el IPS se proveen generalmente una vez a la

semana (normalmente los miércoles en horario español). Además, cuando se detecta
alguna vulnerabilidad crítica, PAN provee a sus clientes de actualizaciones fuera del
ciclo habitual semanal.
En el caso concreto de la base de datos de URLs y antivirus/antispyware, la

actualización es diaria.
Página 60 de 100
Otros
En el presente capítulo se detallan otras funcionalidades y capacidades de los equipos
de PAN, que no han sido aún descritas en capítulos anteriores.
Seguridad basada en Zonas

La configuración de las reglas de seguridad del firewall de PAN, se basa en la definición
y uso de zonas de seguridad. Una zona de seguridad identifica uno o más interfaces de
origen o destino en el cortafuegos. Cuando se define una regla de seguridad en la
política, se deben especificar tanto la zona origen como la de destino del tráfico. Deben
configurarse zonas diferentes para cada tipo de interfaz (Tap, Nivel2, Nivel3 ó virtual
wire) y cada interfaz debe asociarse con una zona antes de que pueda procesar tráfico.
Las reglas de seguridad pueden definirse únicamente entre zonas del mismo tipo.
La ventaja fundamental de utilizar zonas es que es posible aplicar diferentes perfiles en

cada una (por ejemplo frente a ataques de DoS, escaneo de puertos o identificación de
usuarios) y que las políticas resultan ser más simples y fáciles de entender.
La siguiente figura, Figura 35, muestra los diferentes tipos de interfaces y zonas y su
relación en la creación de políticas:
Figura 35.- Zonas e interfaces

Página 61 de 100
Routing y protocolos de red soportados

El routing en los equipos de PAN se configura a través de la definición de routers
virtuales. La definición de estos routers virtuales permite asimismo utilizar protocolos
de routing dinámicos. Cada interfaz de tipo L3, loopback y VLAN definido en el firewall
debería estar asociado con un router virtual. Además, cada interfaz puede pertenecer a
un único virtual router.
A continuación se detallan los protocolos de red y de routing más significativos que

soportan los equipos de Palo Alto Networks:
 Routing estático
 Routing dinámico basdo en RIP
 Routing dinámico basado en OSPF
 Routing dinámico basado en BGP
 Vlan tagging (802.1q)
 Soporte a Jumbo Frames
 Soporte a PPPoE (a partir de la versión 3.1.3)
 DHCP server y DHCP relay
 Soporte a IPv6 (en modo Virtual Wire)
Reglas de Seguridad
Los reglas de seguridad en los cortafuegos de Palo Alto Networks se configuran a
través de un potente y sencillo interfaz gráfico. La estrategia que se sigue en su
evaluación es top-down, lo que significa que el tráfico se evalúa contra ellas en orden de
arriba hacia abajo. Cuando el tráfico hace match contra una regla, se aplican las
acciones correspondientes y se deja de evaluar el resto de la política. Existe asimismo
una regla implícita –no mostrada en la política- en la última posición de cada política
que se encarga de denegar todo el tráfico que no haya sido procesado por reglas
anteriores. Si se desea obtener logging de este tipo de tráfico, es necesario configurar
en último lugar una regla explícita para ello con el logging activado.
En la definición de las reglas de seguridad es posible configurar los siguientes campos:
 Nombre de la regla (con posibilidad de añadir comentarios)

 Zona origen del tráfico
 Zona destino del tráfico
 Dirección IP de origen
Página 62 de 100
 Usuario de origen (en base a la integración que ofrece User-ID)

 Dirección IP de destino
 Aplicación (integración con App-ID, revisado anteriormente)
 Servicio: se corresponde únicamente con el puerto TCP/UDP. Simula por tanto
un cortafuegos de primera generación. Su definición es opcional.
 Acción: Aceptar o denegar el tráfico
 Perfil de Seguridad: Permite asignar perfiles de Content-ID (IPS, Antivirus,
AntiSpyware, URL Filtering, Gestión de ficheros y Gestión de contenidos)
 Opciones: Permite establecer las opciones de logging, reporte a terceros
sistemas, inspección en un único sentido, …
La siguiente figura, Figura 36, muestra un ejemplo de una política configurada desde el
gestor gráfico:
Figura 36.- Ejemplo de configuración de una política de seguridad
NAT
Los cortafuegos de PAN también incorporan funcionalidades de NAT. Es posible
traducir tanto las direcciones IP y puertos de origen como los de destino. Las reglas de
NAT suponen una entidad diferente a las políticas de seguridad vistas en el capítulo
anterior. Las reglas de NAT permiten configurar los siguientes campos:

 Interfaz de destino (opcional)
 Servicio: Puerto TCP/UDP
Página 63 de 100
 Traducción de origen (IP y puerto)

 Traducción de destino (IP y puerto)
La siguiente figura, Figura 37, muestra un ejemplo de una política de NAT:
Figura 37.- Ejemplo de configuración de una política de NAT
Puede haber múltiples reglas de NAT. Al igual que con las políticas de seguridad éstas
son evaluadas de arriba abajo. Cuando se hace match con una regla se aplican las
acciones correspondientes y se deja de evaluar la política. Así pues las reglas más
específicas han de estar al comienzo de la lista. La siguiente figura, Figura 38, muestra
el flujo del tráfico en relación con la aplicación de NAT. Por motivos de simplicidad del
diagrama se han excluido los procesos asociados a App-ID, User-ID y Content-ID:
Figura 38.- Diagrama de flujo lógico en la aplicación de NAT

Página 64 de 100
Tal y como muestra la Figura 38, las direcciones traducidas se determinan después de
que un paquete haga match sobre una regla de NAT. Asimismo es importante señalar
que la traducción de las direcciones IP ocurre únicamente cuando el paquete sale del
firewall. Así pues, las reglas de NAT y las reglas de seguridad siempre hacen referencia
a las IP originales en el paquete y no a las traducidas.
La definición de las direcciones IP soporta incluir direcciones estáticas, redes y rangos

de direcciones IP, que se configuran como IP Address Objects.
Asimismo cuando el equipo determina que el address pool está en el mismo interfaz de
entrada/salida que la dirección IP de NAT, el equipo realiza automáticamente proxy arp.
En caso contrario se utiliza routing.
En general se soportan los siguientes tipos de NAT:
 Source NAT
o IP y puertos dinámicos (se puede emplear como IP de NAT una del
interfaz del firewall)
o IP dinámica
o NAT estático
 Destination NAT
o NAT estático
o IP y puerto
o PAT (Port Address Translation. NAT sobre una misma IP, pero en la que
el puerto de destino identifica equipos de destino diferentes).
Policy Based Forwarding

A partir de las versiones 3.1.x de PAN-OS, se ha añadido a los cortafuegos la
capacidad de hacer Policy Routing, denominado Policy Based Forwarding (PBF) en
PAN.
Se trata de una herramienta potente, cuya definición de políticas se encuentra separada

de las vistas anteriormente. En concreto es posible definir los siguientes campos en una
regla de PBF:

Página 65 de 100

 Servicio: Se corresponde únicamente con el puerto TCP/UDP
 Acción: Puede ser no hacer PBF, encaminar ó descartar
 Forwarding: Incluye los siguientes dos campos
o Interfaz de salida
o Next hop
 Monitoring: Incluye los siguientes campos
o Perfil: Perfil de monitorización que se desea utilizar
o Destino: Destino de la monitorización
o Deshabilitar si falla: Si la monitorización falla, la regla no tiene efecto
 Schedule: Permite programar la regla para que tenga efecto en base a una
definición de horario
Tal y como se ha descrito anteriormente, es posible realizar PBF por usuario o grupo de
usuarios, e incluso por aplicación (a nivel 7). También es especialmente interesante la
parte de monitorización, que permite chequear un elemento a través de ping
(normalmente el next hop) y deshabilitar la regla en caso de que el elemento chequeado
falle. Esto permite que una regla de PBF posterior, con un camino de backup para el
mismo tipo de tráfico, tome efecto.
La siguiente figura, Figura 39, muestra un ejemplo de configuración de Policy Based

Forwarding:
Figura 39.- Ejemplo de configuración de PBF

Página 66 de 100
VPNs IPSec
Los firewalls de PAN incluyen soporte a VPNs IPSec y VPNs SSL (revisadas en el
capítulo siguiente).
Las redes privadas virtuales (VPNs), permiten a los sistemas conectarse de forma
segura a través de redes públicas, como si lo estuvieran haciendo a través de una red
de área local (LAN). El conjunto de protocolos IP Security (IPSec) es utilizado para
establecer un túnel seguro para el tráfico de la VPN. La información privada de los
paquetes se cifra cuando se envía a través de un túnel IPSec.
La siguiente figura, Figura 40, muestra un ejemplo de un túnel IPSec estándar entre dos
equipos:
Figura 40.- Ejemplo de túnel IPSec estándar
La configuración del túnel puede incluir un monitor en cada extremo del mismo, para
alertar al administrador de un fallo y proporcionar un camino alternativo
automáticamente. Se recomienda por tanto definir monitores de túneles, si se desea
proporcionar HA para las VPNs IPSec a través de otro interfaz.
Las VPNs IPSec proporcionadas con los equipos de PAN están basadas en routing. Se
soporta tanto la integración con equipos remotos de PAN, como con cualquier otro
fabricante que también utilice IPSec. Gracias al uso de las VPNs basadas en routing,
los cortafuegos de PAN toman una decisión de routing basándose en la dirección IP de
destino de las sesiones. Si el tráfico se enruta a través de un túnel VPN, es entonces
automáticamente cifrado. No es necesario por tanto definir ninguna regla especial o
hacer referencia explícita a ún túnel VPN; la decisión se toma automáticamente en base
a la dirección IP de destino.
Página 67 de 100
Para la conexión IPSec entre los firewalls, el paquete IP al completo (cabecera y

payload) es encapsulado dentro de otro payload IP al que se le añade una nueva
cabecera. La nueva cabecera utiliza la dirección IP del interfaz externo del firewall de
salida, como la IP origen. Como IP de destino se emplea la dirección IP externa del
firewall remoto, contra el que se configura el túnel. Cuando el paquete llega al otro
extremo del túnel, el cortafuegos remoto reconstruye el paquete original (eliminando por
tanto la cabecera y payload extras) y lo entrega a su destino original.
En cada extremo se definen las asociaciones IPSec Security Associations (SAs), que
gestionan por completo el cifrado y la autenticación de los datos. Los parámetros
necesarios para la configuración de una SA son:
 Security Parameter Index (SPI)

 Protocolo de seguridad a utilizar
 Claves criptográficas
 IP de destino
Cuando se definen las VPNs es importante entender correctamente la topología de red,

para saber cuántos túneles VPN es necesario definir. Cuando se define el túnel VPN,
hay que asociarlo al mismo router virtual que utiliza el tráfico de entrada (en claro, sin
cifrar), sobre ese mismo interfaz.
Respecto a la definición de la seguridad IPSec, PAN soporta los siguientes dos

mecanismos (han de configurarse de igual forma en ambos extremos del túnel):
 Definición manual de las claves de seguridad

 Utilización de IKE para la definición de las claves (método recomendado)
SSL VPNs
Además de las VPNs IPSec vistas anteriormente, también se soportan VPNs basadas
en SSL. El objetivo fundamental es ofrecer a los usuarios remotos un mecanismo
seguro para conectarse a los recursos corporativos internos. En concreto se soportan
los siguientes sistemas operativos en los clientes remotos:
 Windows XP
 Windows Vista
 Windows7
 Mac OSX (aún en fase beta)
Página 68 de 100
La gran ventaja de las VPNs SSL frente a las basadas en IPSec, es que los usuarios
pueden acceder a la VPN a través simplemente de un navegador web, sin necesidad de
preinstalar ningún cliente sobre sus equipos.
Para configurar una VPN SSL, es necesario definir un perfil y añadirlo a un interfaz
físico como interfaz virtual sobre el firewall. El interfaz virtual SSL VPN es mapeado a
una zona de seguridad, sobre la que por supuesto se pueden aplicar políticas de
seguridad. El interfaz físico ha de ser de nivel 3.
La primera vez que el usuario se conecta al portal SSL VPN del cortafuegos, se le pide
que se autentique. Una vez correctamente validado, se descarga e instala un cliente
ligero, que será el encargado de gestionar la VPN. Cuando la instalación finaliza se
establece el túnel que se intentará primero realizar vía IPSec y, si no es posible, a
través de SSL.
Es importante señalar que se soporta split tunneling (configuración en el cliente), de

forma que únicamente el tráfico hacia la VPN se incluye por el túnel, mientras que el
resto se envía directamente a Internet.
Para finalizar, señalar que todas las funcionalidades de identificación de aplicaciones,

usuarios, … se soportan también sobre túneles VPN, con lo que es perfectamente
posible controlar también el tráfico de estos usuarios.
QoS
Los equipos de PAN también incluyen soporte para realizar tareas de gestión y calidad
de servicio en el tráfico. Es posible aplicar políticas de QoS tanto para tráfico claro,
como para tráfico cifrado (VPNs).
Además de soportar DCSP, también es posible crear políticas granulares que sacan
provecho de las funcionalidades de App-ID y User-ID ya descritas. La gestión del QoS
en PAN se basa en la utilización de colas.
Así pues es posible generar perfiles de QoS que se aplican de modo generalista sobre
un interfaz o también utilizar el gestor de políticas para crear restricciones más
granulares sobre el tráfico.
La siguiente figura, Figura 41, muestra un ejemplo de la definición de un perfil de QoS

que se aplicará posteriormente sobre un interfaz del firewall:
Página 69 de 100
Figura 41.- Definición de un perfil de QoS
Tal y como se observa es posible definir anchos de banda mínimos –o garantizados-,

máximos (en caso de que otras políticas puedan prestarlos si no los necesitan), así
como la prioridad que se quiere otorgar a esa clase de tráfico (baja, media, alta y tiempo
real). La definición de la prioridad tiene sentido cuando se llega a una situación de
contención, en la que es necesario descartar tráfico. Para este propósito los firewalls de
PAN utilizan el algoritmo WRED (Weighted Random Early Drop), que elimina
aleatoriamente paquetes TCP en base al peso de cada clase (realmente no se
perderán, porque TCP tiene mecanismos para garantizar la retransimisión de los
mismos). Las clases configuradas con una prioridad más alta, tienen también un peso
más alto dentro de WRED y por tanto son menos susceptibles a sufrir la eliminación de
paquetes en caso de contención.
Una vez definidos los perfiles, hay que aplicarlos sobre los interfaces correspondientes.
Es importante señalar, a la hora de determinar sobre qué interfaz aplicar un perfil, que
los firewalls de PAN realizan las tareas de QoS sobre tráfico saliente y no entrante. Así
pues, y para un ejemplo en el que se desea controlar la navegación de los usuarios, es
necesario aplicar el perfil sobre el interfaz del firewall que está en la LAN de usuarios (y
que es el que entregará el tráfico a los mismos, en salida).
Página 70 de 100
La asociación de un perfil sobre un interfaz permite además establecer excepciones en

base al interfaz o IP de origen del tráfico. Para ello se pueden asociar en las
excepciones perfiles diferentes al general.
Según se mencionó anteriormente, una vez definidos los perfiles y aplicados sobre los
interfaces correspondientes, es también posible utilizar un gestor de políticas de QoS,
que ofrece mayor granularidad en el diseño de la estrategia de QoS. El gestor de
políticas de QoS permite definir los siguientes campos:

 Servicio: Se corresponde únicamente con el puerto TCP/UDP
 Clase: Cola sobre la que se desea ubicar este tipo de tráfico (1-8, representando
1 una mayor prioridad que 8)
 Forwarding: Incluye los siguientes dos campos
o Interfaz de salida
o Next hop
 Schedule: Permite programar la regla para que tenga efecto en base a una
definición de horario
La siguiente figura, Figura 42, muestra un ejemplo de una ventana de configuración de

las políticas de QoS:
Figura 42.- Ejemplo de configuración de políticas de QoS

Página 71 de 100
Finalmente, y según muestra la siguiente figura, Figura 43, es posible obtener

estadísticas en tiempo real sobre el uso de las políticas. En concreto se puede obtener
el siguiente tipo de información:
 QoS Bandwidth: Muestra en tiempo real gráficos de ancho de banda para los
nodos y clases seleccionados. La información se actualiza cada dos segundos.
 Session Browser: Lista las sesiones activas del nodo y la clase seleccionados
 Application View: Muestra todas las aplicaciones activas para el nodo y clase
seleccionados.
Figura 43.- Ejemplo de estadísticas en tiempo real de QoS

Página 72 de 100
Diseño hardware
En este capítulo se detalla el diseño hardware de las plataformas de Palo Alto
Networks, conocida como Single Pass Parallel Processing – SP3 de ahora en
adelante, así como la descripción detallada de la arquitectura presente en el modelo
PA-2050.
Desde hace varios años existe la promesa de ofrecer servicios integrados de

prevención de amenazas dentro del firewall. Esta tendencia parece relativamente
natural ya que el cortafuegos se veía como un dispositivo de seguridad básico, que de
ser posible, podría aliviar la necesidad de añadir dispositivos extra de seguridad para
realizar funciones de IPS, antivirus de red y otras. Los diferentes intentos por lograr la
integración de la prevención de amenazas en el cortafuegos han recibido diversos
nombres – deep inspection, gestión unificada de amenazas (UTM), deep packet
inspection y otros. Sin embargo, lo que todos estos intentos comparten es un fracaso
común: el firewall puede actuar con alto rendimiento y baja latencia, mientras que las
funciones de seguridad añadidas se llevan a cabo muy lentamente, con bajo
rendimiento y alta latencia.
Básicamente el problema de todos estos intentos es que arrancan de dos puntos de

partida erróneos:
1. La base para la clasificación del tráfico es errónea. Las aproximaciones

tradicionales parten de la tecnología stateful inspection, que asume que un
puerto y protocolo se corresponden con una aplicación, lo que resulta incorrecto
generalmente. Cualquier análisis posterior está por tanto basado en una
clasificación inicial incorrecta, cuya corrección es además muy costosa: bien en
términos de rendimiento, o bien en términos de la calidad del resultado final. Las
soluciones de PAN parten de una premisa inicial totalmente diferente (App-ID).
2. El método de integración también es erróneo. La mayoría de las soluciones han

pretendido colapsar múltiples funcionalidades sobre un único sistema operativo y
chasis. Realmente esto no es integración, sino consolidación y la diferencia es
crítica. La consolidación simplemente toma diversos productos y los agrupa
dentro de un único equipo, donde ni la arquitectura ni los recursos están
preparados para gestionarlos.
Página 73 de 100
La arquitectura single pass de PAN solventa todas estas problemáticas y hace realidad
el sueño de aunar diversas funcionalidades de seguridad en el firewall, sin sacrificar el
throughput o añadiendo mucha latencia.
Si bien el enfoque de realizar todas las tareas en una única pasada puede resultar obvio
o trivial, la arquitectura SP3 es realmente única en Palo Alto Networks. El objetivo de la
arquitectura es por tanto conseguir que cada tarea fundamental se realice una única
vez. La siguiente figura, Figura 44, muestra el concepto de la arquitectura a través de
un ejemplo del flujo general que sigue un paquete al atravesar el equipo. Obsérvese
que cada paquete es inspeccionado efectivamente una única vez por cada módulo:
Figura 44.- Flujo de un paquete en la arquitectura SP3
Por el contrario la siguiente figura, Figura 45, muestra el flujo que sigue un paquete en
una solución UTM en el peor caso. Puesto que se parte de un análisis inicial erróneo (a
nivel 4), es necesario reenviar el paquete múltiples veces a diversos módulos diferentes
para intentar obtener el conocimiento necesario, que permita aplicar después
mecanismos de protección de la aplicación a nivel 7. El resultado, como se mencionó
anteriormente, es que la latencia aumenta significativamente a la par que el throughput
Página 74 de 100
se ve reducido drásticamente, cuando se desea utilizar la solución para cualquier otra

cosa que no sea realizar un simple filtrado a nivel 4 (en muchos casos el detrimento del
throughput al habilitar funcionalidades de protección a nivel 7 cae más de un 95%,
comparado con el throughput potencial de la solución cuando se trabaja a nivel 4):
Figura 45.- Flujo de un paquete en un sistema UTM
Arquitectura Single Pass Parallel Processing

La arquitectura SP3 representa un concepto revolucionario a la hora de diseñar
equipamiento dedicado a realizar tareas de seguridad. Ha sido concebida para cumplir
dos funciones clave dentro del firewall de nueva generación de Palo Alto Networks. En
primer lugar, la arquitectura single pass realiza todas las operaciones una vez por
paquete. Según se procesa un paquete, el routing se realiza una vez, la búsqueda en la
política se realiza una vez, la identificación de la aplicación y la decodificación se realiza
una vez, y el análisis de las amenazas y los contenidos se realiza una vez. Esto reduce
significativamente la cantidad de sobrecarga de procesamiento necesaria para realizar
múltiples funciones. En segundo lugar, la arquitectura single pass utiliza firmas basadas
en patrones uniformes. En lugar de utilizar motores y conjuntos de firmas por
Página 75 de 100
separado (lo que requiere múltiples análisis en la exploración) y en lugar de utilizar

servidores proxy (lo que requiere la descarga completa de los archivos antes de
analizarlos), la arquitectura single pass escanea el tráfico de todas las firmas una única
vez y en forma de stream, para evitar introducir latencias.
La siguiente figura, Figura 46, esquematiza el concepto de la arquitectura SP3.
Figura 46.- Arquitectura SP3
Tal y como muestra la Figura 46, el equipo dispone de un backplane de control

separado del de datos. El backplane de control se utiliza para las tareas de gestión y
configuración del equipo y utiliza CPUs Intel Dual Core. El backplane de datos utiliza
las siguientes tecnologías:
 Networking: Se utiliza un procesador de red dedicado, que es el encargado de

realizar las tareas de routing, búsqueda de flujos, NAT y otras funciones de red
similares.
 User-ID, App-ID y la política de seguridad se ejecutan sobre un conjunto de 4
procesadores de contenidos dedicados, de tipo Cavium. Estos procesadores
incluyen aceleración hardware para realizar las tareas de cifrado, descifrado y
descompresión.
Página 76 de 100
 Content-ID realiza su análisis a través de una tarjeta FPGA propietaria, con

memoria dedicada. Esta FPGA pionera en la industria, es capaz de buscar y
bloquear todo tipo de malware en una única pasada. Otras aproximaciones
requieren dos y hasta tres motores de inspección diferentes para realizar tareas
similares. Los dos conceptos claves que hacen que este motor funcione son la
utilización de firmas uniformes y el análisis tipo stream. Los patrones de firmas
uniformes eliminan muchos procesos redundantes (reensamblaje TCP,
búsqueda, inspección, …) y permiten que todas ellas estén activas sin degradar
el rendimiento. El análisis basado en streaming permite que los paquetes se
comiencen a analizar y a entregar a su destino final tan pronto llegan, sin
necesidad de utilizar grandes buffers.
Arquitectura hardware del modelo PA-2050

La siguiente figura, Figura 47, muestra el detalle de la arquitectura hardware del modelo
PA-2050.
Figura 47.- Arquitectura hardware del PA-2050

Página 77 de 100
Tal y como se observa la parte de gestión del equipo – Control Plane- y la parte de
operación – Data Plane- se encuentran efectivamente separadas. La parte de control
cuenta con sus propios recursos de memoria y disco, y es donde se realizan todas las
tareas de gestión del equipo. Esta dualidad entre control y datos, permite que las CPUs
de control puedan estar saturadas, por ejemplo generando un reporte muy pesado,
mientras que la parte de datos no se ve afectada, puesto que utiliza recursos
independientes.
La parte de datos de la Figura 47 muestra los tres componentes fundamentales

mencionados anteriormente: gestión de red, análisis de contenidos (4 CPUs Cavium
trabajando en paralelo) y análisis de seguridad (sobre FPGA propietaria con patrones
de firma unificados).
Página 78 de 100
Gestión, visibilidad y reporting

La gestión en los equipos de Palo Alto Networks es otro punto clave en el diseño de la
solución. Gracias a la dilatada experiencia del equipo de desarrollo, se ha conseguido
una interfaz simple e intuitiva, a la par que potente, para facilitar al máximo las tareas de
gestión. En general los equipos de PAN se pueden gestionar a través de los siguientes
mecanismos:
 CLI por consola

 CLI por telnet
 CLI por ssh
 GUI por http
 GUI por https
 SNMP (lectura)
La mayoría de las tareas es posible realizarlas a través del interfaz gráfico (GUI), lo que
simplifica mucho las labores de administración. El único elemento que necesita el
administrador es un browser para iniciar una sesión http/https contra el equipo, sin
necesidad de utilizar ningún otro equipo o herramienta externa. Además, los tiempos de
respuesta del GUI son muy buenos gracias al uso de la arquitectura SP3 descrita con
anterioridad, que reserva y segmenta los recursos para cada tarea diferente.
Todos los equipos de PAN cuentan con un disco duro interno encargado de almacenar
los diferentes tipos de logs y reportes. Además, es posible externalizar los logs hacia
terceras herramientas mediante los siguientes mecanismos:
 Syslog
 Correo electrónico (alertas)
 FTP
 Panorama (descrito posteriormente)
A continuación revisamos algunas de las tareas fundamentales que es posible realizar

con las herramientas de gestión y reporte de los firewalls de PAN.
Gestión
Las tareas fundamentales de gestión, incluyen múltiples capacidades. Revisar todas
ellas queda fuera del alcance de este documento, por lo que revisaremos únicamente
algunas de las tareas más significativas, a modo de ejemplo, entre las que cabe
Página 79 de 100
destacar la configuración básica del acceso al equipo, la gestión de versiones de

configuración, la auditoría de configuraciones y el acceso de administradores basado en
roles.
La siguiente figura, Figura 48, muestra un ejemplo de la pantalla de configuración

básica del acceso al equipo:
Figura 48.- Configuración de parámetros básicos de acceso al equipo
La gestión de las configuraciones también es una herramienta muy potente, que permite
validarlas antes de implantarlas en producción, salvarlas, exportarlas, ir a una
configuración guardada anterior o posterior, … Es interesante señalar que el formato
que se emplea para salvar las configuraciones es a través de un fichero de texto, con la
configuración en formato XML.
La siguiente figura, Figura 49, muestra el detalle de las operaciones de gestión de

configuraciones que es posible realizar con los equipos de PAN, a través del interfaz
gráfico:
Página 80 de 100
Figura 49.- Gestión de configuraciones
Otra herramienta muy interesante en la gestión de configuraciones es la herramienta de

auditoría. Nos permite comparar dos configuraciones cualesquiera de entre las que
están almacenadas en el equipo, señalando además las diferencias entre ambas para
que el administrador pueda comprobar qué partes de la configuración han cambiado
entre una versión y otra. La siguiente figura, Figura 50, muestra un ejemplo del uso de
la herramienta de auditoría (obsérvese en este ejemplo que en la configuración de la
derecha, el interfaz ethernet1/5 ha cambiado su configuración de tap a layer3 y que se
ha configurado la MTU a 1500 bytes):
Figura 50.- Herramienta de auditoría de configuraciones
El sistema de control de accesos basado en roles (Role Base Access Control – RBAC)
es también una herramienta visual muy potente. Permite establecer controles
prácticamente para todos los elementos de la configuración, así como asignar permisos
de escritura o lectura, en aquellos elementos que afectan a la configuración (por
ejemplo la generación de políticas). Es importante señalar que el interfaz gráfico ha sido
diseñado para que un usuario con menores accesos no note ninguna deformación del
Página 81 de 100
mismo. Simplemente se van añadiendo o eliminando pestañas, opciones, … de forma

dinámica y transparente al usuario, en función de sus permisos. También es posible
controlar si se ofrece o no acceso a la administración basada en CLI. La validación de
los usuarios puede realizarse a través de una base de datos local, o integrando la
autenticación contra un servidor externo RADIUS ó LDAP.
La siguiente figura, Figura 51, muestra un ejemplo de control de la configuración de

control de accesos:
Figura 51.- Ejemplo de configuración de control de accesos – RBAC
La gestión de las actualizaciones del equipo (tanto software como actualizaciones

periódicas de aplicaciones, amenazas, …) también se realiza a través del interfaz
gráfico. Para ello el puerto dedicado a la gestión ha de tener conectividad hacia Internet,
de modo que el equipo pueda alcanzar los servicios online que ofrece Palo Alto
Página 82 de 100
Networks. La siguiente figura, Figura 52, muestra un ejemplo de la gestión de este tipo
de tareas:
Figura 52.- Ejemplo de configuración de actualizaciones automáticas
Para finalizar con este punto, señalar que la obtención de ficheros de soporte, gestión
de licencias, … también se realiza desde la gestión gráfica. La siguiente figura, Figura
53, muestra un ejemplo:
Figura 53.- Ejemplo de gestión de soporte

Página 83 de 100
Reporting y Generación de Informes

Reporting
El reporting es otra herramienta clave dentro de las soluciones de Palo Alto Networks.
Existen múltitud de herramientas y posibilidades de personalización de informes. A
continuación revisamos solamente alguna de ellas a modo de ejemplo.
Una de las herramientas más utilizadas y potentes es ACC (Application Command

Center). ACC es una función estándar que no requiere configuración y que muestra
gráficamente abundante información sobre la actividad actual de la red, incluyendo
aplicaciones, categorías de URL, amenazas y datos. Si aparece una nueva aplicación
en ACC, un sólo clic muestra una descripción de la aplicación, sus funciones clave, sus
características de comportamiento, quién está utilizando la aplicación y qué reglas de
seguridad permiten que se utilice. Se pueden añadir más filtros para obtener
información adicional sobre el uso de la aplicación para usuarios individuales junto con
las amenazas detectadas en el tráfico de la aplicación. En cuestión de sólo unos
minutos, ACC proporciona a los administradores los datos necesarios para tomar
decisiones de política de seguridad más fundamentadas.
La siguiente figura, Figura 54, muestra un ejemplo de una vista de ACC:
Figura 54.- Ejemplo de vista de ACC
Otra herramienta muy interesante en el análisis del comportamiento de las aplicaciones

y la seguridad es App-Scope. Para complementar la vista en tiempo real de
aplicaciones y contenido proporcionada por ACC, App-Scope ofrece una vista de la
Página 84 de 100
aplicación dinámica que el usuario puede personalizar, así como la actividad del tráfico
y las amenazas a lo largo de un periodo de tiempo. Permite hacer análisis comparativos
entre diferentes horas o fechas y obtener también información geográfica sobre el
origen/destino del tráfico o las amenazas. Las siguientes figuras, Figura 55 y Figura 56,
muestran un ejemplo de las diversas vistas que ofrece App-Scope:
Figura 55.- Ejemplo de vista general de App-Scope
Figura 56.- Ejemplo de vista geográfica sobre el origen de los ataques

Página 85 de 100
La gestión de los logs detallados también es una funcionalidad muy interesante dentro
de los equipos de PAN. Existen los siguientes seis tipos de logs detallados:
 Traffic: Muestra el log de tráfico, en base a las reglas del cortafuegos

 Threats: Muestra todas las amenazas detectadas
 URL Filtering: Muestra toda la actividad relativa al filtrado de URLs
 Data Filtering: Incluye la información relativa a DLP
 Configuration: Información sobre la configuración del equipo
 System: Información y problemas referentes al sistema
Asimismo existe un potente mecanismo de filtrado de los logs, que permite generar
filtros en base a simples clicks de ratón o utilizando potentes expresiones regulares. La
siguiente figura, Figura 57, muestra un ejemplo de filtrado del log de tráfico. Obsérvese
que se está filtrando por usuario, “Margot Lemaire”, y también por todo el tipo de tráfico
de “Margot” que no es “web-browsing”:
Figura 57.- Ejemplo de log y filtrado
Asimismo es posible obtener vistas detalladas de un determinado tipo de log, donde el

equipo nos muestra además información correlada sobre el resto de logs que están
relacionados con esa misma sesión. Así pues, es posible ver el log de tráfico de una
sesión, junto con el de URL filtering asociada a la misma y el de amenazas. Esta
funcionalidad simplifica enromemente las labores de búsqueda minuciosa de un
determinado tipo de incidente. La siguiente figura, Figura 58, muestra un ejemplo de
este tipo de vista detallada y correlada, entre diferentes logs sobre una misma sesión:
Página 86 de 100
Figura 58.- Log de tráfico detallado y correlado con otros logs
También es posible configurar el equipo para que tome capturas en formato PCAP, por
ejemplo de la evidencia de una amenaza, que después es posible ver o exportar. En
este sentido, es importante señalar que a través del CLI es posible realizar capturas de
múltiples tipos, que también se pueden exportar o ver en el equipo. La siguiente figura,
Figura 59, muestra un ejemplo de una captura mostrada a través del GUI:
Figura 59.- Ejemplo de PCAP

Página 87 de 100
El sistema también incluye un Browser de sesiones, denominado Session Browser, que

permite seguir una sesión en tiempo real, analizando el detalle de flujos que emplea. La
siguiente figura, Figura 60, muestra un ejemplo del Session Browser:
Figura 60.- Ejemplo de vista con Session Browser
Finalmente decir que también existe un Dashboard central donde se muestra, a modo
de resumen, la información más relevante del equipo. Es posible personalizar la
configuración de los elementos que muestra el Dashboard, así como su disposición
general en la vista. La siguiente figura, Figura 61, muestra un ejemplo de Dashboard:
Figura 61.- Ejemplo de Dashboard

Página 88 de 100
Generación de Informes
Al igual que con el módulo de reporting y logging vistos anteriormente, la generación de
informes cuenta con multiples herramientas y posibilidades. Además de la generación
de informes, el equipo también permite la programación y envío de los mismos (a
diferentes destinatarios si es necesario), en función del tipo de informe que se genere.
Automáticamente el equipo genera todos los días un informe tipo, con información
ejecutiva sobre la actividad observada el día anterior. La siguiente figura, Figura 62,
muestra un ejemplo de este tipo de reports ejecutivos, automáticamente generados
todos los días:
Figura 62.- Ejemplo de report ejecutivo

Página 89 de 100
Es posible personalizar la información que se incluye en este tipo de informes, gracias a

la utilización de una herramienta gráfica que nos permite seleccionar qué información
queremos incluir, así como la disposición de la misma. La siguiente figura, Figura 63,
muestra un ejemplo de generación personalizada de los informes ejecutivos de
actividad diaria. El usuario tiene únicamente que seleccionar los campos de las
diferentes bases de datos de logs que quiere incluir, así como su ubicación en el
reporte:
Figura 63.- Ejemplo de personalización de informes ejecutivos
El módulo de generación de informes incluye además la posibilidad de generar informes

detallados sobre la actividad de los usuarios –User Activity Report- donde aparece
información minuciosa sobre las aplicaciones, categorías, URLs, … que un usuario ha
visitado o utilizado a lo largo de un período de tiempo. También es posible crear grupos
de informes personalizados –Report Groups- donde incluir cualquier tipo de información
que se considere necesaria, así como programar su envío a través de correo
electrónico.
El módulo de generación de informés incluye también múltiples vistas, ya

preconfiguradas, con distintos tipos de reportes que se generan automáticamente con la
actividad del día anterior. Estos informes utilizan una vista similar a la de ACC vista
anteriormente y se ofrecen para las siguientes categorías (cada uno incluye diversos
informes sobre la categoría en cuestión):
 Application Reports
 Threat Reports
 URL Filtering Reports
 Traffic Reports
Página 90 de 100
La siguiente figura, Figura 64, muestra un ejemplo de este tipo de informes o vistas,
para las 50 Top Connections de un día en concreto (obsérvese que los resultados son
exportables en formato PDF ó Excel):
Figura 64.- Ejemplo de reporte de las 50 Top Connections de un día
Al igual que ocurría con los informes ejecutivos, es posible crear nuevos informes
además de los ya preconfigurados. Para ello disponemos nuevamente de una potente
herramienta gráfica, que permite utilizar además expresiones regulares para filtrar los
contenidos que deseamos ver. La siguiente figura, Figura 65, muestra un ejemplo de
generación con esta herramienta:
Figura 65.- Ejemplo de generación de report personalizado
Tal y como se observa se ha decidido generar un informe con los campos “URL
Category”, “URL”, “Repeat Count”, “Application”, “App Subcategory” y “Destination
Address” (se pueden añadir más, o eliminar y también ordenar). Además se ha hecho
uso de una funcionalidad interesante, denominada reportes multidimensionales, que
permite utilizar varias tablas en la generación de los informes. En este caso se ha
utilizado como base de datos fundamental para generar el informe la de URLs, y se ha
Página 91 de 100
decidido obtener un informe que incluya las 5 URLs más visitadas de los 5 usuarios más
activos en un período de tiempo (en concreto la última hora). La siguiente figura, Figura
66, muestra el resultado tras ejecutar el reporte:
Figura 66.- Resultado de reporte multidimensional personalizado
Se observa que efectivamente el informe generado incluye información de la tabla de

URLs y también la de usuarios, de forma que se consigue obtener información
multidimensional (top 5 URLs por top 5 Users).
API XML de Reporting

Para poder extraer la información que ofrece el módulo de reporting de los firewalls de
PAN hacia sistemas externos, los equipos cuentan también con una API XML,
denominada RESTful, que permite pedir un reporte cualquiera al sistema y obtener la
información en un fichero de texto, con formato XML.
La API acepta los siguientes tipos de consultas:
 Generación de la clave de acceso: type=keygen

 Configuración del equipo: type=config
 Reporting: type=report
Antes de poder utilizarla es necesario generar una clave de sesión, a través de la

solicitud de una URL como la siguiente:
https://hostname/esp/restapi.esp?type=keygen&user=usuario&passwor
d=password
Página 92 de 100
El resultado debe ser un bloque XML similar al siguiente:

<response status="success"> <result>
<key>k7J335J6hI7nBxIqyfa62sZugWx7ot%2BgzEA9UOnlZRg=</key>
</result>
</response>
Una vez que se dispone de la clave, ya es posible realizar consultas a la API en las que
es obligatorio incluir dicha clave de sesión.
La API permite obtener tanto información de configuración, como también de los

informes que almacena el equipo. A continuación se muestra un ejemplo de la URL de
solicitud de configuración y el resultado:
https://hostname/esp/restapi.esp?type=config&action=show&key=clav
e&xpath=devices/entry/vsys/entry/rulebase/security
<response status="success" code="19"> <result total-count="1"

count="1">
<security> <rules>
<entry name="Do Not Traffic Log"> <from>
<member admin="jstarr" time="2009/05/01
16:46:47">tapzone</member> </from> <to>
16:46:47">tapzone</member> </to> <source>
<member admin="jstarr" time="2009/05/01 16:46:47">any</member>
</source> <source-user>
</source-user> <destination>
16:46:47">LocalServers</member> </destination> <service>
</service> <application>
</application> <action admin="jstarr" time="2009/05/01
16:46:47">allow</action> <disabled admin="jstarr"
time="2009/05/01 16:46:47">no</disabled> <negate-source
admin="jstarr" time="2009/05/01 16:46:47">no</negate-source>
<negate-destination admin="jstarr" time="2009/05/01
16:46:47">no</negate-destination>
</entry>
...
</rules> </security>
</result> </response>
Para los reports relacionados con los informes, es posible solicitar los siguientes tres
tipos:
 Reportes dinámicos (ACC): reporttype=dynamic

Página 93 de 100
 Reportes predefinidos: reporttype=predefined

 Reportes personalizados: reporttype=custom
Finalmente, a continuación se muestra un ejemplo de la URL de solicitud de un informe

y el resultado que ofrece la API (reporte dinámico –ACC-, de las 5 aplicaciones top
durante la última hora):
https://hostname/esp/restapi.esp?type=report&reporttype=dynamic&r
eportname=top-app-summary&period=last-hour&topn=5&key=clave
<response status="success"> <report name="Top applications"

logtype="trsum" start="2009/04/28 22:01:44" end="2009/04/28
23:01:43" generated-at="
<entry> <app>web-browsing</app> <risk-of-app>4</risk-of-app>
<bytes>2217402093</bytes> <sessions>111991</sessions>
</entry> <entry>
<app>dns</app> <risk-of-app>4</risk-of-app>
</entry> <entry>
<app>bittorrent</app> <risk-of-app>5</risk-of-app>
</entry> <entry>
<app>azureus</app> <risk-of-app>5</risk-of-app>
</entry> <entry>
<app>netbios-ns</app> <risk-of-app>2</risk-of-app>
</entry> </report>
</response>
Panorama: Gestión centralizada de múltiples dispositivos

Además de la propia gestión realizada contra el equipo, Palo Alto Networks también
ofrece a los clientes la posibilidad de adquirir una consola de gestión centralizada,
denominada Panorama. Se trata de una herramienta que utiliza el mismo formato de
consola que el de los equipos, y que permite gestionar desde un punto centralizado
multiples dispositivos, así como ampliar la capacidad de logging de los discos
integrados en los firewalls físicos.
Panorama proporciona visibilidad global y control sobre múltiples equipos de PAN, a

través de un interfaz web tan potente y sencillo como el de los propios equipos. Así
pues, no es necesario instalar ningún tipo de cliente dedicado para poder utilizar la
solución de gestión centralizada.
Página 94 de 100
Panorama se comercializa como virtual appliance y está disponible para sistemas

VMware Workstation (incluyendo el reproductor gratuito VMware player) o
VMware ESX. La siguiente figura, Figura 67, muestra un ejemplo de diseño de red con
Panorama como estación central de gestión:
Figura 67.- Ejemplo de diseño de red con Panorama
Tal y como se observa en la Figura 67, es posible gestionar diferentes tipos y modelos
de equipos, todos desde la misma ubicación central donde se instala Panorama.
A continuación se detallan las capacidades más significativas de Panorma,

comparándolas con la gestión individual por máquina:
Capacidad Gestión con Panorama Gestión Web del equipo

Gestión de múltiples equipos Sí No
Visibilidad global de varios equipos Sí No
Logging/reporting Global Sí No
Application Command Center Sí Sí
App-Scope Sí Sí
Editor de Políticas Sí Sí
Interfaz Web Sí Sí
Políticas compartidas Sí No
Role-based administration Sí Sí
Requiere cliente dedicado No No
Página 95 de 100
La funcionalidad de políticas compartidas, permite distribuir políticas comunes entre

diferentes cortafuegos. Para ello se utiliza un conjunto de Pre y Post rules, que se
aplicarán en todos los equipos (antes o después de sus reglas particulares). Los
administradores locales en cada equipo podrán ver esas reglas, pero solamente un
administrador de Panorama puede modificarlas o eliminarlas. De este modo las políticas
compartidas permiten establecer a los administradores centrales una guía de política
base para todos los equipos gestionados, permitiendo reducir los esfuerzos en la
gestión de múltiples plataformas, así como posibles errores humanos. La siguiente
figura, Figura 68, muestra un ejemplo de las Pre y Post rules (marcadas en verde), que
se compartirán en todos los equipos. En este ejemplo se añaden dos reglas al final en
todos los equipos, que se encargarán de hacer drop del tráfico que no haya sido
permitido anteriormente, así como de registrarlo:
Figura 68.- Ejemplo de políticas compartidas con Panorama (Pre y Post rules)
Para finalizar, señalar que también es posible centralizar otras tareas de gestión en
Panorama, como puede ser por ejemplo la gestión de licencias, actualizaciones de
contenidos (App-ID, Content-ID) o la generación de reportes e informes. Además es
posible obtener vistas globales, que incluyan todos los equipos gestionados, o
particulares para uno en concreto.
Página 96 de 100
Anexo A: Características técnicas del PA-

2050
A continuación resumimos las características técnicas más importantes del modelo PA-
2050 de Palo Alto Networks. Se dividen en diferentes categorías para facilitar la
búsqueda de datos:
Especificaciones Hardware:
Capacidad Valor (PA-2050)

Puertos Ethernet 10/100/1000 (integrados en cobre) 16
Puertos Gigabit SFP (no integrados) 4
Disco duro >= 120 GB
Puerto dedicado para gestión out of band Sí (cobre)
Puerto de consola Sí (RJ-45)
Arquitectura hardware separada para gestión y FW Sí
CPU de gestión Intel Core 2 Duo (500 MHz)
RAM de gestión 3 GB
Flash de gestión 64 MB
Dimensiones 1,75” x 17” x 17” (1 U)
Peso 9 Kg
Voltaje de entrada 110-240 VAC
Frecuencia de entrada 50-60 Hz
Corriente máxima (Inrush) 70A@230Vac; 35A@115Vac
Máximo consumo de corriente 1,5A
Consumo (medio/máximo) 105W/120W
Disipación de calor (medio/máximo) 358 BTUh/409 BTUh
Nivel de ruido 65,4 dBA
MTBF (Mean Time Between Failures) 7,3 años
VCCI Clase A
UL, CUL, CB, FCC class A, CE
Certificaciones
class A, VCCI class A, TUV
Norma RoHS (Reduction of Hazardous Substances) Sí (clase 5 y clase 6)
Condiciones de operación (temperatura) 0-50ºC
Condiciones de operación (humedad) 10-90%
Página 97 de 100
Especificaciones de Capacidad:

Throughput Firewall (con AppID) Hasta 1 Gbps
Throughput IPS + Antivirus + URL Filtering Hasta 500 Mbps
Nuevas sesiones por segundo Hasta 15.000
Máximo número de sesiones 250.000
Throughput IPSec VPN Hasta 300 Mbps
Número de túneles/interfaces IPSec VPN Hasta 2.000
Usuarios concurrentes SSL VPN Hasta 1.000
Latencia <= 1 ms
Especificaciones de Gestión:

Gestión por CLI Sí (consola, Telnet y SSH)
Gestión gráfica (GUI) Sí (HTTP, HTTPs y Panorama)
Soporte a SNMP Sí (lectura)
API XML Sí
Exportación de los logs Sí (Syslog, FTP, SCP y TFTP)
Soporte a RBAC Sí
Auditoría de configuraciones diferentes Sí
Bloqueo de la cuenta de administrador Sí (varios intentos fallidos)
Especificaciones de Networking:

Routing estático Sí
Routing dinámico Sí (RIP, OSPF y BGP)
Soporte a Vlan tagging (802.1q) Sí
Soporte de Jumbo Frames Sí
Soporte a PPPoE Sí
Policy Based Routing (PBF) Sí
Soporte a NAT y PAT Sí
Soporte a RBAC Sí
VPNs Site to Site (IPSec) Sí
DHCP Sí (Server y Relay)
Routers virtuales Hasta 5
Sistemas virtuales Hasta 5 (requiere licencia)
Página 98 de 100
QoS (Calidad de Servicio) Sí

Soporte a DCSP Sí
Soporte a IPv6 Sí (en modo Virtual Wire)
HA (Alta Disponibilidad) Sí
Capacidades de reconocimiento de aplicaciones (AppID):

Detección de aplicaciones a nivel 7 Sí (más de 1050)
Subcategorización de las aplicaciones Sí
Análisis de comportamiento de las aplicaciones Sí
Identificación independiente del puerto Sí
Identificación sobre TCP, UDP e ICMP Sí
Asociación de riesgo de uso de la aplicación Sí (1-4)
Uso múltiple de las aplicaciones identificadas Sí (seguridad, QoS, PBF…)
Identificación de aplicaciones bajo SSL Sí (entrada y salida)
Visibilidad de la aplicación Sí (múltiples informes)
Capacidad de generar firmas personalizables
Sí
para aplicaciones propietarias
Integración de aplicación con usuarios Sí (UserID)
Actualización periódica automática Sí
Capacidades de integración con directorios de usuarios (UserID):

Visibilidad de logs en base a usuarios Sí (múltiples informes y logs)
Gestión de políticas en base a usuarios/grupos Sí
Integración con Microsoft Active Directory Sí
Integración con Novell eDirectory Sí
Integración con otros directorios LDAP Sí (API)
Soporte a usuarios Citrix Sí
Soporte a usuarios de Microsoft Terminal Server Sí
Autenticación de usuarios vía RADIUS Sí
Autenticación de usuarios vía LDAP Sí
Portal cautivo con formulario de autenticación Sí
Portal cautivo con autenticación transparente Sí (NTLM)
Página 99 de 100
Capacidades de seguridad (ContentID):

Arquitectura de firewall basada en zonas Sí
Modos de trabajo Tap, en línea (IPS), L2 y L3
Prevención de amenazas (IPS) Sí (también IDS)
Prevención de virus Sí
Prevención de spyware Sí
Prevención de escaneos de red Sí (horizontales y verticales)
Protección frente a ataques de DoS Sí
Detección de anomalías de red Sí
Detección de intentos de spoofing Sí
Generación de filtros de seguridad
Sí
personalizables
Compatible con CVE Sí
Filtrado de URLs Sí
Base de datos de URLs Sí (local y distribuida con caché)
URLs manuales Sí
Listas blancas/listas negras de URLs Sí
Análisis de ficheros Sí (modo streaming)
Gestión y control de ficheros (DLP) Sí
Búsqueda de patrones en contenidos (DLP) Sí
Por equipo y no por número de
Licenciamiento
usuarios
Actualizaciones periódicas y automáticas Sí
Capacidades de generación de informes:

Análisis del estado de la red, usuarios, … Sí (ACC)
Informes ejecutivos preconfigurados Sí
Informes ejecutivos personalizables Sí
Informes sobre actividad de usuarios Sí (UserID y URL filtering)
Capacidad de combinar múltiples informes Sí
Información sobre uso y tendencias Sí (AppScope)
Información geográfica sobre ataques o tráfico Sí
Informes sobre QoS Sí (tiempo real)
Envío de informes Sí (correo electrónico)
Requiere herramientas o servicios externos No
Página 100 de 100
Anexo B: URLs de interés

A continuación mostramos algunas URLs donde es posible obtener información extra
interesante, sobre las soluciones de Palo Alto Networks:
 Web official: http://www.paloaltonetworks.com
 Partner site (requiere login): http://www.paloaltonetworks.com/partner/index.php
 Support site (requiere login, con cuenta diferente a la del partner site):
https://support.paloaltonetworks.com/pa-portal/index.php
 Knowledgebase (requiere login, puede ser el mismo que el de soporte):

https://live.paloaltonetworks.com/community/knowledgepoint
 DevCenter (requiere login, puede ser el mismo que el de soporte):

https://live.paloaltonetworks.com/community/devcenter
 Applipedia (lista todos los App-IDs soportados. Existe una versión gratuita
disponible para iPhone en el Apple Store):
http://ww2.paloaltonetworks.com/applipedia/
 Consultas URL a Brightcloud: http://www.brightcloud.com/support/lookup.php
 Herramienta de consolidación de costes y ahorros:

http://ww2.paloaltonetworks.com/tco/
 Página de Palo Alto Networks en español: http://www.paloaltonetworks.es
 Breve demo online del producto en español:

http://www.exclusive-networks.com/downloads2/es/Microsite_PAN/Anexos/Flash_Demo/index.html

PA 2050 Preventa Ago2010

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

PA 2050 Preventa Ago2010

Cargado por

Copyright:

Formatos disponibles

Palo Alto Networks PA-2050

Documentación para la preventa

ARQUITECTURA HARDWARE DEL MODELO PA-2050....................................................... 76

El fin es por tanto facilitar documentación en español que colabore en la correcta

Hemos intentado dotar al documento asimismo de un carácter didáctico, que ayude a

 Introducción a las soluciones de PAN

 Arquitecturas de red soportadas

 Diseño y funcionalidades de PAN-OS (en general sobre las versiones 3.1.x)

 Especificaciones y capacidades del modelo PA - 2050

Las soluciones actuales de cortafuegos – firewalls – permiten establecer políticas de

 Incumplimiento de regulaciones y políticas internas

La siguiente figura, Figura 1, muestra un ejemplo de la cantidad de aplicaciones de

Figura 1.- Ejemplo de diversas aplicaciones sobre puertos 80 y/ó 443

 Identificación de las aplicaciones, independientemente del puerto o protocolo

Figura 2.- Pilares básicos de los firewalls de PAN

Aunque en los capítulos posteriores del presente documento se detallarán las

 Control de los contenidos: La tecnología Content-ID de Palo Alto Networks

Arquitecturas de red soportadas

 Modo Visibilidad (mirror o tap)

Es especialmente interesante señalar, que los tres modos de implantación pueden

A continuación se detallan las características y capacidades de cada arquitectura de

Figura 3.- Arquitectura en modo visibilidad (mirror)

Este modo de implantación es no intrusivo, y recibe el nombre de Tap en la

Es importante señalar que es perfectamente posible configurar varios puertos en modo

A continuación se detallan las funcionalidades principales que se obtienen, con el

 Identificación y visibilidad de las aplicaciones que circulan por la red.

Respecto a las funcionalidades que no se obtienen en modo visibilidad, en general hay

Modo Virtual Wire

Figura 4.- Arquitectura en modo Virtual Wire (bridge-IPS)

Este modo de implantación es el primero en el que el equipo está en línea y recibe el

A continuación se detallan las funcionalidades que se obtienen con esta arquitectura de

 Identificación y visibilidad de las aplicaciones que circulan por la red.

Respecto a las funcionalidades que no se obtienen en modo Virtual Wire, en general

Finalmente, es interesante señalar que es posible configurar múltiples segmentos en

Figura 5.- Arquitectura en modo Routing (también con soporte a vlans)

En este modo de trabajo el equipo ofrece la posibilidad de utilizar todas sus

 Identificación y visibilidad de las aplicaciones que circulan por la red.

 Identificación de los usuarios, en relación con el directorio corporativo (User-ID).

Durante la definición de la virtualización, el administrador asigna los interfaces que

Además, y a partir de las versiones de PAN-OS 3.1.x, es posible configurar Virtual

Figura 6.- Conexión independiente de múltiples sistemas virtuales

Por el contrario, la siguiente figura, Figura 7, muestra un ejemplo de configuración en la

Nota: También es posible realizar configuraciones similares, con el objetivo de permitir

Alta Disponibilidad (HA)

Es importante señalar que las configuraciones de HA requieren que ambos

La conmutación de un nodo al otro se produce si falla algún interfaz de red

Para la configuración de la sincronización, se utilizan dos puertos dedicados,

El interfaz HA1 dispone de direccionamiento IP, y es el que se emplea para sincronizar

A continuación se detalla la operativa de la alta disponibilidad y el comportamiento en

 El firewall activo, monitoriza continuamente su configuración y la información de

A continuación se resumen las ventajas de operar con arquitecturas montadas en alta

 Disponibilidad del servicio, incluso aunque falle el equipo principal.

Ejemplo de arquitectura mixta

Figura 8.- Diseño de red con firewalls virtuales en diferentes topologías

La idea de la arquitectura es utilizar la clásica doble barrera de cortafuegos, compuesta

En estos escenarios es común que el cliente se pregunte dónde ubicar mejor el

capacidades muy significativas orientadas al control de los usuarios internos

La arquitectura propuesta en la Figura 8, resuelve esta cuestión haciendo uso de la

 Cluster – 1: Funcionalidades de IPS y QoS (entrada a Internet).

El cluster virtual de entrada, configurado en modo Virtual Wire, ofrece funcionalidades

Tras el cluster de PAN de entrada, se encuentra el cluster de cortafuegos de otro

En la zona de DMZs se ha propuesto utilizar otro cluster virtual de PAN, que se

Finalmente, y en la zona interna, se añade un tercer cluster virtual (también en modo