pa 500-preventa-ago2010
Post on 13-Aug-2015
49 Views
Preview:
TRANSCRIPT
PA – 500 – Documentación para la preventa
Página 2 de 95
INDICE
INTRODUCCIÓN...................................................................................................4 OBJETO.......................................................................................................................... 4 ALCANCE........................................................................................................................ 4 RESUMEN ....................................................................................................................... 5
ARQUITECTURAS DE RED SOPORTADAS.......................................................9 MODO VISIBILIDAD .......................................................................................................... 9 MODO VIRTUAL WIRE.................................................................................................... 11 MODO ROUTING............................................................................................................ 13 ALTA DISPONIBILIDAD (HA) .......................................................................................... 14
FUNCIONALIDADES FUNDAMENTALES DE PAN-OS....................................16 DETALLE DEL FUNCIONAMIENTO DE APP-ID................................................................... 16
Módulos ................................................................................................................................................ 18 Ejemplo del modo de trabajo de App-ID: Identificación de WebEx .................................................... 19 Categorización de las aplicaciones ...................................................................................................... 20 Actualizaciones periódicas ................................................................................................................... 22 Gestión de aplicaciones propietarias o desconocidas.......................................................................... 22
DETALLE DEL FUNCIONAMIENTO DE USER-ID................................................................. 23 Módulos ................................................................................................................................................ 23 Integración con el directorio activo de Microsoft a través de PAN-Agent .......................................... 26 Identificación de usuarios de Citrix y Microsoft Terminal Services .................................................... 30 Integración con el e-Directory de Novell a través de User-ID-Agent.................................................. 30 Otros directorios LDAP: API XML ...................................................................................................... 31 Integración de usuarios no pertenecientes al dominio: Captive Portal con NTLM............................. 33 Integración de usuarios no pertenecientes al dominio: Captive Portal con página web..................... 35
DETALLE DEL FUNCIONAMIENTO DE CONTENT-ID........................................................... 38 Prevención de amenazas (IPS) ............................................................................................................. 40 Prevención de ataques de DoS ............................................................................................................. 43 Prevención frente a escaneos de red .................................................................................................... 44 Anomalía de paquetes ........................................................................................................................... 45 Antivirus y Anti-Spyware ...................................................................................................................... 46 Filtrado de URLs .................................................................................................................................. 48 Prevención frente a la fuga de datos (DLP) ......................................................................................... 52 Actualizaciones periódicas y equipo I+D de Content-ID..................................................................... 54
OTROS ......................................................................................................................... 55 Seguridad basada en Zonas .................................................................................................................. 55 Routing y protocolos de red soportados ............................................................................................... 56 Reglas de Seguridad ............................................................................................................................. 56 NAT ....................................................................................................................................................... 57 Policy Based Forwarding ..................................................................................................................... 59 VPNs IPSec ........................................................................................................................................... 61 SSL VPNs .............................................................................................................................................. 62 QoS........................................................................................................................................................ 63
DISEÑO HARDWARE.........................................................................................67 ARQUITECTURA SINGLE PASS PARALLEL PROCESSING ................................................. 69 ARQUITECTURA HARDWARE DEL MODELO PA-500......................................................... 71
GESTIÓN, VISIBILIDAD Y REPORTING ...........................................................73
PA – 500 – Documentación para la preventa
Página 3 de 95
GESTIÓN....................................................................................................................... 73 REPORTING Y GENERACIÓN DE INFORMES..................................................................... 78
Reporting .............................................................................................................................................. 78 Generación de Informes........................................................................................................................ 83
API XML DE REPORTING .............................................................................................. 86 PANORAMA: GESTIÓN CENTRALIZADA DE MÚLTIPLES DISPOSITIVOS............................... 88
ANEXO A: CARACTERÍSTICAS TÉCNICAS DEL PA-500 ...............................91 ANEXO B: URLS DE INTERÉS..........................................................................95
PA – 500 – Documentación para la preventa
Página 4 de 95
Introducción
Objeto El objeto fundamental de esta documentación es presentar a los preventas,
responsables de preparar y desarrollar soluciones de Palo Alto Networks -PAN de ahora
en adelante-, una visión sobre las características fundamentales que se encuentran en
los firewalls de Nueva Generación de PAN, tanto en lo que a plataformas hardware se
refiere, como a funcionalidades software y de gestión. Se incluye asimismo información
sobre los tipos de arquitecturas de red y despliegues soportados.
El fin es por tanto facilitar documentación en español que colabore en la correcta
realización de una oferta a un cliente final, intentando además simplificar las tareas de
preparación de las memorias técnicas para los integradores.
Hemos intentado dotar al documento asimismo de un carácter didáctico, que ayude a
comprender mejor las capacidades de las soluciones de PAN, por lo que su uso no está
restringido únicamente a integradores, sino que también puede ser ofrecido a clientes
finales, interesados en conocer mejor nuestras soluciones.
En cualquier caso el documento no está pensado ni escrito para sustituir a las guías de
configuración o technotes disponibles, por lo que remitimos a los usuarios a utilizar esa
documentación cuando deseen obtener información sobre cómo se configura cualquiera
de las funcionalidades aquí descritas.
Pretendemos asimismo mantenerlo como documento vivo, que se irá actualizando con
las novedades o plataformas que Palo Alto Networks lance al mercado.
Alcance La documentación aquí presentada cubre las siguientes áreas fundamentales:
Introducción a las soluciones de PAN
Arquitecturas de red soportadas
Diseño y funcionalidades de PAN-OS (en general sobre las versiones 3.1.x)
Diseño hardware
Especificaciones y capacidades del modelo PA - 500
PA – 500 – Documentación para la preventa
Página 5 de 95
Resumen Hoy día los departamentos de TI se enfrentan a una problemática creciente, con
usuarios –tanto externos como internos- que utilizan una nueva generación de
aplicaciones, capaces de evadir la detección que ofrecen los firewalls tradicionales.
Las soluciones actuales de cortafuegos – firewalls – permiten establecer políticas de
seguridad basadas fundamentalmente en puertos y protocolos. Hasta hace no mucho,
esta aproximación era válida pues lo normal era que por el puerto 80 pasara sólo la
navegación web y por el puerto 443, el tráfico SSL. Sin embargo, las nuevas
aplicaciones de la Web 2.0 tales como Facebook, YouSendIt, SalesForce, Messenger,
Skype, etc… se han convertido en un verdadero fenómeno social y su uso se ha
extendido tanto en ámbitos privados como profesionales. Muchas de estas aplicaciones
utilizan técnicas evasivas como port hopping, tunelización/emulación de otras
aplicaciones, etc… para burlarse de las reglas tradicionales, basadas en puertos y
protocolos. Muchas de ellas se esconden incluso bajo tráfico cifrado para ocultar su
identidad.
Como resultado de todo ello, los responsables de TI no pueden identificar o controlar las
aplicaciones que están corriendo realmente en la red y esta falta de visibilidad y control
impacta negativamente en el negocio, generando:
Incumplimiento de regulaciones y políticas internas
Fuga de datos
Incremento del consumo de ancho de banda
Aumento de las amenazas (virus, spyware, worms y otras vulnerabilidades)
Desaprovechamiento de los recursos (tanto humanos como de equipamiento)
Los responsables de TI necesitan por tanto una nueva aproximación, que les permita
identificar con precisión las aplicaciones actuales, y no solamente los puertos que usan,
a través de una inspección completa del tráfico.
La siguiente figura, Figura 1, muestra un ejemplo de la cantidad de aplicaciones de
propósito muy diferente, que pueden circular a través de los puertos tradicionales (80 y
443). La mayoría de estas aplicaciones son “invisibles” para los firewalls de primera
generación, que consideran que todo lo que llega por el puerto 80 se corresponde con
tráfico HTTP (de navegación) y todo lo que circula por el 443 es SSL (navegación
segura):
PA – 500 – Documentación para la preventa
Página 6 de 95
Figura 1.- Ejemplo de diversas aplicaciones sobre puertos 80 y/ó 443
Palo Alto Networks redefine el concepto de Firewall aportando un control y visibilidad sin
precedentes, sobre todo el tráfico IP en las redes corporativas. Para conseguir este
objetivo, se decidió diseñar un producto completamente nuevo, orientado desde el
comienzo en sus especificaciones hardware y software para cubrir los siguientes
requisitos:
Identificación de las aplicaciones, independientemente del puerto o protocolo
de base que utilicen, incluso aunque vayan codificadas bajo SSL o empleen
alguna táctica evasiva. Identificación de los usuarios en base a su rol en la corporación,
independientemente de qué dirección IP puedan tener en un momento
determinado.
Protección en tiempo real frente a los ataques y al software malicioso, embebido en el tráfico de las aplicaciones.
Facilidad en la gestión de las políticas con herramientas de visualización potentes y un editor de políticas unificado.
Rendimiento multi-gigabit sin degradación al utilizarlo en línea.
La siguiente figura, Figura 2, esquematiza los cuatro pilares básicos sobre los que se
sustentan los firewalls de nueva generación de Palo Alto Networks:
PA – 500 – Documentación para la preventa
Página 7 de 95
Figura 2.- Pilares básicos de los firewalls de PAN
Aunque en los capítulos posteriores del presente documento se detallarán las
funcionalidades de cada módulo básico, a continuación se ofrece un resumen
introductorio de todos ellos:
App-ID es una tecnología de clasificación del tráfico, que detecta con precisión
qué aplicaciones están corriendo en la red a través de diversas técnicas de
identificación. La identidad de la aplicación sirve de base para todas las
decisiones relativas a la política como la utilización apropiada y la inspección de
contenidos. Es por tanto la tecnología base que utilizan los firewalls de PAN, en
contraposición a la tecnología stateful inspection que utilizan otros fabricantes, y
que desde PAN consideramos totalmente insuficiente para categorizar y
proteger el panorama actual de aplicaciones.
La tecnología User-ID de Palo Alto Networks se integra con el directorio
corporativo, para vincular dinámicamente la dirección IP con la información de
usuario y de grupo (rol corporativo). Si las empresas tienen acceso a la actividad
del usuario, pueden supervisar y controlar las aplicaciones y los contenidos que
recorren la red, de una forma mucho más efectiva que por una simple dirección
IP (que normalmente es además cambiante –DHCP, movilidad…).
PA – 500 – Documentación para la preventa
Página 8 de 95
Control de los contenidos: La tecnología Content-ID de Palo Alto Networks
combina un motor de prevención de amenazas en tiempo real con una base de
datos URL integral y elementos de identificación de aplicaciones, para limitar las
transferencias de archivos sin autorización, detectar y bloquear gran número de
amenazas y controlar la navegación por Internet no relacionada con el trabajo.
Content ID funciona en coordinación con App-ID lo que mejora la eficacia del
proceso de identificación de los contenidos.
La arquitectura SP3 – Single Pass Parallel Architecture – ofrece un
rendimiento no conocido hasta la fecha gracias a la utilización de hardware
paralelo, de modo que cada paquete es analizado una única vez a través de todos los módulos de la política de seguridad. A diferencia de muchas
soluciones actuales, que utilizan una única CPU o una combinación de ASICs y
CPUs, los firewalls de PAN utilizan una arquitectura construida a propósito, y
desde cero, con procesamiento dedicado para la prevención de amenazas junto
con procesamiento específico y memoria dedicada para las tareas de red,
seguridad y gestión. La utilización de cuatro tipos diferentes de procesadores
implica que las funcionalidades clave no compiten por ciclos de reloj con otras
funciones de seguridad, como ocurre en el caso de equipos monoprocesador. El
resultado final es una latencia muy baja y un gran throughput, con todos los
servicios de seguridad habilitados.
Un potente conjunto de herramientas de visualización facilita a los
administradores información completa sobre las aplicaciones que recorren la
red, quién las utiliza y el impacto que pueden tener sobre la seguridad de la
corporación.
PA – 500 – Documentación para la preventa
Página 9 de 95
Arquitecturas de red soportadas Los equipos de Palo Alto Networks, pueden implantarse en la red con tres topologías
diferentes:
Modo Visibilidad (mirror o tap)
Modo Virtual Wire (bridge-IPS)
Modo Routing (incluyendo vlans)
Es especialmente interesante señalar, que los tres modos de implantación pueden coexistir dentro de un mismo equipo. Esta flexibilidad ofrece capacidades de diseño
e implantación prácticamente ilimitadas.
A continuación se detallan las características y capacidades de cada arquitectura de
red.
Modo Visibilidad La siguiente figura, Figura 3, muestra un diagrama lógico de este tipo de diseño:
Figura 3.- Arquitectura en modo visibilidad (mirror)
Este modo de implantación es no intrusivo, y recibe el nombre de Tap en la
configuración de PAN. El equipo recibe el tráfico a través de elementos que lo copian
PA – 500 – Documentación para la preventa
Página 10 de 95
(switches con mirrors, port spans, taps, …). Presenta la gran ventaja de que no es
necesario provocar ningún corte en la red, para poder insertarlo; de este modo, esta
topología es ideal para realizar pruebas de concepto.
Es importante señalar que es perfectamente posible configurar varios puertos en modo
tap, para copiar el tráfico desde múltiples orígenes; de esta forma es posible analizar el
comportamiento de diferentes redes simultáneamente.
A continuación se detallan las funcionalidades principales que se obtienen, con el
equipo configurado en modo visibilidad:
Identificación y visibilidad de las aplicaciones que circulan por la red.
Identificación de las amenazas detectadas sobre las aplicaciones (antivirus, anti-
spyware, URL Filtering y análisis de vulnerabilidades).
Análisis del contenido (DLP – Data Loss Prevention- sobre patrones a buscar en
documentos e identificación de los ficheros que circulan por la red, tanto en
entrada como en salida).
Identificación de los usuarios, en relación con el directorio corporativo (User-ID).
Generación de informes detallados sobre la utilización y la actividad.
Análisis de tráfico cifrado con SSL (sólo en entrada).
Respecto a las funcionalidades que no se obtienen en modo visibilidad, en general hay
que señalar que son todas aquellas que requieren que el equipo se encuentre en línea
(routing, NAT, Policy Based Forwarding, bloqueo del tráfico o los ataques, VPNs, …).
Finalmente también es interesante reseñar que, aunque es una arquitectura de red muy
empleada durante las pruebas de concepto, también ofrece ventajas interesantes en
entornos en producción. Puesto que las tres topologías se pueden mezclar sobre un
mismo equipo o sistema virtual, muchos clientes se reservan algunos puertos de los
firewalls de PAN para utilizarlos en modo visibilidad. Normalmente se utilizan para
realizar monitorizaciones puntuales de redes que no están segmentadas (y cuyo tráfico
no pasa por tanto a través del cortafuegos), cuando se detecta algún problema en las
mismas. Puesto que basta con configurar un mirror en el switch que da servicio a esa
red, es muy sencillo implantar el equipo en modo visibilidad obteniendo información muy
detallada y valiosa sobre el comportamiento de la red, así como identificar la posible
causa del problema.
PA – 500 – Documentación para la preventa
Página 11 de 95
Modo Virtual Wire La siguiente figura, Figura 4, muestra un diagrama lógico de este tipo de diseño:
Figura 4.- Arquitectura en modo Virtual Wire (bridge-IPS)
Este modo de implantación es el primero en el que el equipo está en línea y recibe el
nombre de Virtual Wire dentro de la terminología de PAN. Puesto que está en línea, el
equipo puede tomar medidas de bloqueo sobre el tráfico que se considere pernicioso.
Tal y como muestra la Figura 4, el equipo se inserta dentro de la red como si se tratara
de un bridge, sin dirección IP ni dirección MAC. Está configurado por tanto en modo
transparente, lo que facilita el despliegue en la red (no se requiere segmentación de
nivel 3), así como la protección del propio equipo al no ser detectable (no dispone de IP
ni dirección MAC).
A continuación se detallan las funcionalidades que se obtienen con esta arquitectura de
red:
Identificación y visibilidad de las aplicaciones que circulan por la red.
Identificación de las amenazas detectadas sobre las aplicaciones (antivirus, anti-
spyware, URL Filtering y análisis de vulnerabilidades).
PA – 500 – Documentación para la preventa
Página 12 de 95
Análisis del contenido (DLP – Data Loss Prevention- sobre patrones a buscar en
documentos e identificación de los ficheros que circulan por la red, tanto en
entrada como en salida).
Identificación de los usuarios, en relación con el directorio corporativo (User-ID).
Generación de informes detallados sobre la utilización y la actividad.
Análisis del tráfico cifrado con SSL (sólo en entrada).
Bloqueo del tráfico que se considera no acorde a la política corporativa.
Bloqueo de las amenazas detectadas (antivirus, anti-spyware y
vulnerabilidades).
Control y bloqueo de las URLs no permitidas.
QoS (Calidad de Servicio).
Respecto a las funcionalidades que no se obtienen en modo Virtual Wire, en general
hay que señalar que son todas aquellas que requieren que el equipo realice funciones
de nivel 3 (routing, NAT, Policy Based Forwarding, VPNs, …). El siguiente modo de
configuración (modo routing), incorpora todas las funcionalidades al completo que
integran los cortafuegos de PAN.
Finalmente, es interesante señalar que es posible configurar múltiples segmentos en
modo Virtual Wire ó IPS sobre un mismo equipo (uno por cada pareja de puertos), así
como mezclar esta topología de red con cualquiera de las otras dos existentes.
PA – 500 – Documentación para la preventa
Página 13 de 95
Modo Routing La siguiente figura, Figura 5, muestra un diagrama lógico de este tipo de diseño:
Figura 5.- Arquitectura en modo Routing (también con soporte a vlans)
Tal y como muestra la Figura 5, en el modo routing el equipo se instala con sus
interfaces configurados a nivel 3, pudiendo actuar por tanto como gateway de las redes
a las que se encuentra conectado.
En este modo de trabajo el equipo ofrece la posibilidad de utilizar todas sus
capacidades, entre las que destacan las siguientes:
Identificación y visibilidad de las aplicaciones que circulan por la red.
Identificación de las amenazas detectadas sobre las aplicaciones (antivirus, anti-
spyware, URL Filtering y análisis de vulnerabilidades).
Análisis del contenido (DLP – Data Loss Prevention- sobre patrones a buscar en
documentos e identificación de los ficheros que circulan por la red, tanto en
entrada como en salida).
PA – 500 – Documentación para la preventa
Página 14 de 95
Identificación de los usuarios, en relación con el directorio corporativo (User-ID).
Generación de informes detallados sobre la utilización y la actividad.
Análisis del tráfico cifrado con SSL (entrada y salida).
Bloqueo del tráfico que se considera no acorde a la política corporativa.
Bloqueo de las amenazas detectadas (antivirus, anti-spyware y
vulnerabilidades).
Control y bloqueo de las URLs no permitidas.
QoS
Routing estático
Routing dinámico: RIP, OSPF y BGP
VPNs IPSec
VPNs SSL
Policy Routing (Policy Based Forwarding)
De nuevo, hay que señalar que los equipos de PAN pueden trabajar de forma híbrida,
mezclando por tanto topologías de los tres modos anteriormente descritos, lo que ofrece
una gran versatilidad a la hora de realizar despliegues sobre redes complejas.
Alta Disponibilidad (HA) Todos los equipos de PAN tienen la posibilidad de trabajar en configuraciones de alta
disponibilidad, en el que el fallo de uno de los equipos no supone pérdida de servicio.
En las versiones 3.1.x, la configuración de alta disponibilidad soportada es Activo-
Pasivo. A partir de las versiones 4.x se incluirá también soporte a topologías Activo-
Activo.
Es importante señalar que las configuraciones de HA requieren que ambos modelos sean idénticos, así como que dispongan exactamente del mismo nivel de licencias software y versión de firmware.
La conmutación de un nodo al otro se produce si falla algún interfaz de red
(configuración Link Monitoring) o incluso si falla algún otro elemento, que se está
monitorizando expresamente (Path Monitoring).
Para la configuración de la sincronización, se utilizan dos puertos dedicados,
denominados HA1 y HA2. HA1 es obligatorio y HA2 opcional, aunque recomendable. En
los equipos de la serie 4000 estos interfaces están preasignados de fábrica; en las
PA – 500 – Documentación para la preventa
Página 15 de 95
series 500 y 2000 el administrador ha de seleccionar qué puertos quiere utilizar para
cada propósito.
El interfaz HA1 dispone de direccionamiento IP, y es el que se emplea para sincronizar
las configuraciones. El interfaz HA2 es un interfaz de nivel 2 (sin IP por tanto) y se utiliza
para sincronizar la tabla de sesiones activas, evitando de este modo al máximo la
pérdida de servicio en caso de conmutación de un nodo al otro.
A continuación se detalla la operativa de la alta disponibilidad y el comportamiento en
caso de fallo de los interfaces de HA:
El firewall activo, monitoriza continuamente su configuración y la información de
las sesiones con el firewall pasivo a través de los interfaces de HA.
Si el firewall activo falla, entonces el pasivo detecta que se han perdido los
heartbeats y automáticamente se vuelve activo.
Si falla el interfaz de HA2 (sincronización de sesiones) no se realiza esta tarea,
pero el cluster se mantiene igual. Si por el contrario falla el interfaz HA1
(sincronización de configuraciones), entonces fallan los heartbeats y ambos
firewalls se vuelven activos.
A continuación se resumen las ventajas de operar con arquitecturas montadas en alta
disponibilidad:
Disponibilidad del servicio, incluso aunque falle el equipo principal.
Simplicidad en el diseño, al no requerir elementos extras para garantizar la
disponibilidad.
Garantía en el mantenimiento de las sesiones (las sesiones se sincronizan entre
master y backup).
Posibilidad de monitorizar varios elementos en la red (routers, servidores, salida
a Internet, ...), para tomar la decisión de conmutación más adecuada en cada
momento (link monitoring y path monitoring).
Posibilidad de montar una solución redundada entre CPDs separados
geográficamente.
Sencillez en la gestión (la configuración se realiza en el master y
automáticamente se propaga al de backup, sin necesidad de intervención
humana).
Posibilidad de utilizar un modelo de HA activo-activo (a partir de la versión 4.0).
PA – 500 – Documentación para la preventa
Página 16 de 95
Funcionalidades fundamentales de PAN-OS En el presente capítulo se detallan las funcionalidades principales que ofrecen los
firewalls de nueva generación de Palo Alto Networks, a través de su sistema operativo
llamado PAN-OS, tomando como base las versiones 3.1.x. Haremos especial hincapié
en aquellas características que consideramos capitales en el producto y que lo hacen
realmente diferenciador en el mercado actual de la seguridad.
Detalle del funcionamiento de App-ID App-ID es una tecnología de identificación de aplicaciones, pendiente
de patente, capaz de identificar más de 1050 aplicaciones. Es la
tecnología core dentro del producto, encargada de realizar la
clasificación de todo el tráfico que el equipo gestiona. A continuación se
resumen las ventajas fundamentales que ofrece el uso de la tecnología
App-ID, dentro de los firewalls de Palo Alto:
Facilita una comprensión más completa del valor del negocio, así como de los
riesgos asociados a las aplicaciones que circulan por la red.
Permite la creación de políticas, basadas en el uso apropiado de las
aplicaciones.
Ofrece visibilidad a nivel de aplicación y devuelve el control de la seguridad al
firewall, de donde nunca debió salir.
Haciendo una comparativa con los cortafuegos tradicionales (primera generación), App-
ID sería el equivalente al protocolo Stateful Inspection que utilizan la mayoría de los
fabricantes, pero realizando las tareas a nivel de aplicación (nivel 7) en vez de a nivel de
por puerto/protocolo como hace Stateful Inspection (nivel 4). Su misión principal consiste en identificar el tráfico, indendientemente del puerto, protocolo, táctica evasiva o cifrado SSL que la aplicación pueda utilizar.
Es crucial señalar que la aproximación que PAN ofrece a la seguridad se basa, gracias
al uso de App-ID, en la lógica positiva. Esto significa que el equipo es capaz de
inspeccionar el tráfico e identificarlo positivamente, porque entiende cómo operan las
aplicaciones. El reflejo de esta operativa en la gestión de las políticas de seguridad,
supone que los administradores han únicamente de habilitar aquellas aplicaciones que
consideran útiles y necesarias para el desarrollo del negocio. Por el contrario, los
PA – 500 – Documentación para la preventa
Página 17 de 95
modelos de seguridad tradicionales, basados en lógica negativa, no pueden identificar
el tráfico y por tanto la seguridad que ofrecen se basa en la búsqueda, “a ciegas”, de
patrones de comportamiento que se consideran perniciosos. Esto significa que ofrecen
una visibilidad muy limitada y en muchos casos errónea, además de incurrir con mayor
facilidad en la generación de falsos positivos (detección errónea de ataques sobre
tráfico legítimo) o falsos negativos (no detección de ataques, cuando realmente lo son).
Además de los aspectos relacionados únicamente con la seguridad, App-ID ofrece una
visibilidad sin precedentes puesto que muestra realmente las aplicaciones que circulan
por las redes, así como su comportamiento. Usada además junto con User-ID, los
administradores pueden saber quién está utilizando la aplicación en base a su identidad
corporativa, y no solamente por la dirección IP (ver capítulo posterior para encontrar
información detallada sobre User-ID).
App-ID es además capaz no solamente de identificar las aplicaciones base, sino
diferentes subaplicaciones dentro de la misma aplicación padre, que pueden ofrecer
capacidades y comportamientos diversos (por ejemplo WebEx base para realizar
conferencias, frente a WebEx Desktop Sharing para compartir escritorios). Con estas
armas, los administradores pueden utilizar un modelo positivo para bloquear las
aplicaciones malignas, mientras que se permiten, inspeccionan y gestionan aquellas
que están permitidas. Este punto es crucial, porque la respuesta en muchas ocasiones
no es solamente permitir o bloquear, sino que hay que habilitar aplicaciones, que aun
conllevando riesgos, son útiles para la operativa corporativa. App-ID permite
precisamente realizar esta habilitación controlada de las aplicaciones.
La identificación adecuada de la aplicación, es el primer paso para entender mejor el
tráfico que circula por la red. Saber lo que la aplicación hace, los puertos que utiliza, su
tecnología subyacente y las características de comportamiento, son la base para tomar
una decisión mejor informada sobre cómo gestionar la aplicación. Una vez que se
dispone de esta información, las organizaciones pueden tomar medidas más granulares
que un simple “permitir” o “bloquear”, como por ejemplo:
Permitir o bloquear
Permitir pero analizar en búsqueda de exploits, viruses, …
Permitir en base al horario, los usuarios o los grupos
Descifrar e inspeccionar
Aplicar QoS
PA – 500 – Documentación para la preventa
Página 18 de 95
Aplicar Policy Based Routing en función de la aplicación
Permitir algunas funciones de la aplicación en vez de todas
Cualquier combinación de las anteriores
Módulos App-ID cuenta con cuatro módulos diferentes de operación, tal y como muestra la
siguiente figura, Figura 9:
Figura 9.- Módulos principales de App-ID
El número de técnicas de identificación que se emplean, puede ser variable en función
de cada aplicación y sus condiciones particulares de transporte. Asimismo, el orden en
el que las técnicas se aplican también puede cambiar de una aplicación a otra. No
obstante, el flujo general es el siguiente:
Application Signatures: Se trata de la utilización de firmas basadas en
contexto, que se emplean en primer lugar para buscar propiedades únicas y
características relacionadas con las transacciones, que permitirán identificar la
aplicación independientemente del protocolo y puerto usados. Las firmas
también determinan si la aplicación está siendo utilizada por su puerto por
defecto, o si por el contrario está utilizando un puerto no estándar (por ejemplo,
RDP a través del puerto 80 en vez del puerto 3389, que es su puerto estándar).
SSL Decryption: Si App-ID determina que se está empleando cifrado SSL (y
existe una política de descifrado en la configuración), el tráfico se descifra y se
envía a los siguientes módulos de identificación, según sea necesario. Es
posible realizar inspección SSL tanto en tráfico entrante como saliente. En el
PA – 500 – Documentación para la preventa
Página 19 de 95
caso del descifrado del tráfico entrante (por ejemplo contra los servidores web),
el equipo no actúa activamente en la negociación SSL, y por tanto inspecciona el
tráfico de modo transparente (necesita solamente tener una copia del certificado
y clave privada utilizados). Si se detecta un ataque o tráfico maligno, realiza un
reset de la sesión. Por otra parte, y para la inspección del tráfico SSL de salida
(por ejemplo la navegación web de los usuarios internos), el equipo establece
una sesión SSL con el cliente y otra con el destino real; se comporta por tanto de
modo activo. En este caso, una vez que la aplicación se identifica y es aceptada
por la política de seguridad, se aplican los perfiles de protección frente a
amenazas configurados y el tráfico es posteriormente reencriptado y enviado a
su destino original.
Application Protocol Decoding: Si se necesita, los decodificadores de
protocolo se emplean para averiguar si la aplicación está utilizando el protocolo
como su transporte natural (por ejemplo HTTP como transporte de la navegación
web), o si por el contrario solamente se utiliza como una técnica de ofuscación,
para ocultar la aplicación real (por ejemplo Yahoo! Instant Messenger sobre
HTTP). Los decodificadores de protocolo ayudan asimismo a afinar el rango
posible de aplicaciones, proporcionando información valiosa sobre el contexto a
las firmas así como a la identificación de ficheros u otros contenidos sensibles,
que deben ser analizados por otros módulos (por ejemplo IPS o DLP).
Heuristics. En ciertos casos (aproximadamente el 1% de todas las aplicaciones
reconocidas), las tácticas evasivas que se emplean no pueden ser identificadas,
a pesar del análisis avanzado de firmas y protocolos descrito anteriormente. En
estas situaciones, se necesita utilizar técnicas heurísticas adicionales, o análisis
del comportamiento, para identificar ciertas aplicaciones que utilizan
mecanismos de cifrado propietarios (por ejemplo aplicaciones peer-to-peer, de
VoIP –como Skype- o de proxies personales –como Ultrasurf). Las técnicas
heurísticas se emplean, junto con el resto de técnicas revisadas en App-ID, para
ofrecer visibilidad y control sobre aplicaciones que podrían de otro modo eludir la
identificación positiva.
Ejemplo del modo de trabajo de App-ID: Identificación de WebEx Cuando un usuario inicia una session WebEx, la conexión inicial tiene lugar bajo SSL.
App-ID ve el tráfico y las firmas determinan que se está empleando cifrado SSL. El
PA – 500 – Documentación para la preventa
Página 20 de 95
módulo de descifrado y los descodificadores de protocolo actúan entonces, para
descifrar el tráfico SSL y detectar que se está empleando HTTP como protocolo de
base. Una vez que el decodificador tiene el stream HTTP, el sistema puede aplicar
entonces firmas adecuadas a ese contexto y detectar que la aplicación en uso es
WebEx. A partir de ese momento se reporta el uso de WebEx, que puede ser además
controlado a través de las políticas de seguridad.
Si el usuario final inicia además una sesión de WebEx Desktop Sharing, WebEx cambia
el modo de trabajo, de conferencia a aplicación de acceso remoto. En este escenario,
las características de WebEx han cambiado y las firmas de aplicación detectan este
nuevo comportamiento. De nuevo tanto el módulo de reporting como el de control
mostrarán esta subaplicación, independientemente del protocolo de conferencia –
WebEx base - que podrá ser controlada según sea necesario.
La siguiente figura, Figura 10, muestra un ejemplo del browser de App-ID, en el que se
observan diversas aplicaciones y sus subcategorías, en base al ejemplo de WebEx que
acabamos de revisar (obsérvese WebEx base frente a WebEx Desktop Sharing):
Figura 10.- WebEx con diversas subaplicaciones y control con App-ID
Categorización de las aplicaciones La base de datos de aplicaciones de Palo Alto, se divide en 5 categorías principales y
25 subcategorías, que pueden utilizarse para crear filtros en la generación de políticas.
Además de la categoría y subcategoría, también se incluyen las características de
comportamiento y la tecnología base para cada aplicación. Del mismo modo también se
incluye una categorización del riesgo (1 a 5), asociado a cada aplicación. El valor de
PA – 500 – Documentación para la preventa
Página 21 de 95
riesgo es asignado por los ingenieros de PAN y puede ser modificado por el cliente, si lo
considera necesario.
Gracias al uso granular que se puede hacer de este modo de categorización, los
administradores pueden crear las políticas de seguridad en base a la lógica del negocio,
de manera simple y efectiva.
A continuación se listan la categoría, subcategoría, características y tecnología
subyacente que utilizan los equipos de PAN:
Categoría y Subcategoría:
Business: Servicios de autenticación, bases de datos, ERP, gestión general,
programas de oficina, software updates, almacenamiento / backup
General Internet: Compartición de ficheros, utilidades de Internet (web-
browsing, toolbars, etc)
Collaboration: Email, instant messaging, Internet conferencing, redes sociales,
VoIP-video, web-posting
Media: Audio-streaming, juegos, foto-video
Networking: Túneles cifrados, infraestructura, protocolos-IP, proxy, acceso
remoto, routing
Características de las aplicaciones:
Es capaz de transferir ficheros de una red a otra
Es utilizada para propagar malware
Consume 1 Mbps o más regularmente, en uso normal
Evade la de detección a través del uso a propósito de un protocolo o puerto, que
originalmente está diseñado para otro propósito
Tiene una implantación amplia
Hay vulnerabilidades conocidas para esa aplicación
Es propensa a ser mal utilizada, o es fácilmente configurable para exponer más
información de la que se pretende
Tuneliza otras aplicaciones
Tecnología subyacente:
Client-server based Browser-based
PA – 500 – Documentación para la preventa
Página 22 de 95
Peer-to-peer based Network protocol
Actualizaciones periódicas La lista de aplicaciones que App-ID detecta crece rápidamente, con una media de entre
3 y 5 nuevas aplicaciones añadidas semanalmente, en base a la información recibida de
los clientes, partners y las tendencias del mercado. La actualización de la base de datos
de App-ID se realiza automáticamente desde el equipo, y puede programarse como una
tarea recurrente (con opción de instalarla o solamente de descargarla para ser revisada
antes de proceder a la instalación).
Gestión de aplicaciones propietarias o desconocidas Aquellos clientes que tengan aplicaciones de propósito general no identificadas en su
red, pueden tomar una captura de tráfico y enviar dicha información a Palo Alto
Networks, para que se desarrollen los mecanismos necesarios para identificarla
adecuadamente. App-ID categoriza estas aplicaciones desconocidas como “unknown-
tcp” ó “unknown-udp”.
Una vez que un nuevo decoder o firma es desarrollado y chequeado en nuestros
laboratorios, se añade a la lista como parte de las actualizaciones periódicas
semanales, disponibles a partir de ese momento para todos los clientes.
Si la aplicación es interna o propietaria, los administradores tienen entonces dos
posibilidades para categorizarla:
• Application Override: Este mecanismo permite definir qué puertos utiliza la
aplicación y caracterizarla únicamente en base a éstos parámetros.
• Firmas de aplicación personalizables: Si la aplicación trabaja sobre HTTP ó SSL,
los administradores pueden crear firmas personales de identificación, que
trabajan a nivel 7 a través del uso de un potente motor basado en expresiones
regulares.
PA – 500 – Documentación para la preventa
Página 23 de 95
Detalle del funcionamiento de User-ID User-ID permite integrar de modo transparente los firewalls de
PAN con los servicios de directorio corporativo tales como
Active Directory, eDirectory ó LDAP (en éste último caso
normalmente a través del uso de una API XML). Esto permite a
los administradores enlazar la actividad de red con la
información de usuarios y grupos, en vez de únicamente con
las direcciones IP. Además, cuando User-ID se utiliza junto con las tecnología App-ID y
Content-ID, las organizaciones pueden utilizar la información de usuario y grupo para
obtener visibilidad, crear políticas de seguridad, hacer análisis forense y gestionar las
amenazas, la navegación web y la actividad asociada a las transferencias de datos.
Esta capacidad es especialmente interesante en las redes actuales, donde los usuarios
están dotados de movilidad (cable, WI-FI, 3G, …), con diferentes ubicaciones
geográficas posibles, y donde además se suele utilizar direccionamiento dinámico
(DHCP), lo que hace complicado identificar de forma simple y rápida al usuario con la IP
que tiene en un momento determinado. El resultado es que intentar utilizar la dirección
IP como método de identificación de un usuario, es a día de hoy inadecuado, o cuando
menos muy complejo.
A continuación se enumeran algunos de los beneficios fundamentales que se obtienen a
través del uso de User-ID:
Analizar las aplicaciones, amenazas y navegación web en base a usuarios
individuales o grupos, en contraposición a utilizar únicamente direcciones IP.
Identificar a los usuarios de Citrix y Microsoft Terminal Services y aplicar
políticas sobre sus respectivos usos de las aplicaciones.
Construir políticas para habilitar la utilización positiva de aplicaciones para
grupos específicos de usuarios, como marketing, TI o ventas.
Obtener visibilidad en tiempo real sobre la utilización que los usuarios hacen de
los recursos, así como identificar rápidamente qué usuarios pueden suponer una
amenaza o sufren algún tipo de vulnerabilidad (infección por virus, spyware, …)
Módulos User-ID cuenta con diversos mecanismos para proceder a la identificación de los
usuarios, tal y como muestra la siguiente figura, Figura 11:
PA – 500 – Documentación para la preventa
Página 24 de 95
Figura 11.- Módulos de identificación de usuarios en User-ID
El módulo de Login Monitoring se encarga, a través de un agente que se instala en un
PC de la red, de monitorizar la actividad de logging de los usuarios.
El módulo de Role Discovery se encarga, también a través del agente, de correlar la
información sobre la pertenencia de usuarios a grupos.
El módulo de End Station Polling es el encargado de monitorizar la actividad de cada
PC que está vivo en la red, para comprobar la dirección IP y usuario, y garantizar la
coherencia de la información cuando los usuarios se mueven en la red, sin
reautenticarse en el dominio.
Finalmente Captive Portal ofrece una solución para autenticar a usuarios que no
pertenecen al dominio, a través de una página web que incluye servicios de
autenticación, o a través del uso de autenticación basada en NTLM.
La potencia de User-ID se vuelve evidente cuando un administrador encuentra una
aplicación en la red cuyo uso le resulta extraño (revelada a través de la tecnología App-
ID). Entonces, y a través simplemente de unos cuantos clicks de ratón, puede
determinar qué usuario o grupo de usuarios están utilizando esa aplicación.
El administrador no ve solamente los usuarios de un determinado aplicativo, sino
también el consumo de ancho de banda, el número de sesiones, los orígenes y destinos
del tráfico así como cualquier posible amenaza asociada con dicha aplicación. También
es factible, de nuevo de forma muy simple, investigar otras aplicaciones que ese usuario
está empleando en un momento determinado.
PA – 500 – Documentación para la preventa
Página 25 de 95
La siguiente figura, Figura 12, muestra un ejemplo de este tipo de análisis y visibilidad,
para un usuario que está empleando Facebook base y cuyo uso nos llama la atención.
Obsérvese que el administrador en primer lugar hace click sobre Facebook base para
filtrar la información asociada a esta aplicación; posteriormente hace click sobre el
usuario “Ginger Poppe” que está empleando Facebook base y finalmente obtiene todas
las aplicaciones que este usuario está utilizando, junto con el uso de sesiones, ancho de
banda consumido, posibles amenazas, … (el dominio en este ejemplo es “pancademo”):
Figura 12.- Ejemplo de la visibilidad de aplicaciones obtenida para un usuario concreto
De modo similar al ejemplo anterior, la siguiente figura, Figura 13, muestra cómo es
posible utilizar User-ID no únicamente con fines de obtención de visibilidad, sino
también para establecer políticas de control en base a usuarios concretos o grupos de
usuarios del directorio corporativo. Obsérvese que en la columna Source User se
definen distintos usuarios para cada una de las políticas configuradas en este ejemplo:
Ejemplo de visibilidad de la actividad de los usuarios
PA – 500 – Documentación para la preventa
Página 26 de 95
Figura 13.- Ejemplo de control por usuarios y grupos con User-ID
Obtener visibilidad en la actividad de las aplicaciones a nivel del usuario, y no sólo de la
IP, es un paso necesario para retomar el control sobre las aplicaciones que circulan por
la red. Los administradores pueden entonces alinear el uso de las aplicaciones con los
requisitos de la unidad de negocio, y si fuera necesario, advertir al usuario sobre una
posible violación de la política corporativa de uso, o tomar medidas más directas como
bloquear el uso de determinadas aplicaciones a determinados usuarios.
En los capítulos siguientes se analizará más en detalle las capacidades de
configuración de User-ID.
Integración con el directorio activo de Microsoft a través de PAN-Agent La integración de los firewalls de PAN con el directorio activo de Microsoft –Active
Directory- se realiza a través de la utilización de un agente específico, denominado Pan
Agent.
Este agente ha de instalarse sobre cualquier PC que pertenezca al dominio, siendo
posible instalarlo sobre diferentes PCs si se desea dotar al servicio de redundancia. Es
importante señalar que aunque es posible instalar el agente sobre los controladores de
dominio –Domain Controllers-, no es una práctica recomendable puesto que estos
servidores son críticos y el único beneficio obtenido es un pequeño ahorro en el tráfico
de red, que normalmente es conmutado además a través de redes LAN.
Asimismo es importante señalar, que un único agente puede interpelar a múltiples
controladores para un mismo dominio. Sin embargo, si es necesario gestionar varios
dominios diferentes, es necesario instalar al menos un agente para cada uno de ellos.
Ejemplo de control por usuario o grupo de usuarios
PA – 500 – Documentación para la preventa
Página 27 de 95
Por el contrario, un único firewall de PAN puede gestionar la información de múltiples
dominios (que recibirá por tanto de diferentes agentes).
La siguiente figura, Figura 14, muestra el flujo general que sufre una sesión desde que
el usuario se identifica en el Directorio Activo, hasta que la información se integra dentro
del cortafuegos de PAN:
Figura 14.- Flujo general en la identificación de usuarios
Una vez instalado el agente, que se comporta como un servicio de Windows, es
necesario asignar un usuario a dicho servicio que tenga permisos para hacer logon en
el dominio –es decir que pertenezca al grupo Builtin/Users- y que pueda leer los logs de
auditoría de seguridad de Windows - Manage auditing and security log-. Normalmente
los administradores de dominio tienen asignado este permiso por defecto, por lo que
resulta sencillo crear un usuario para éste propósito que pertenezca al grupo de
administradores. No obstante, y si esto no es posible, es factible configurar un usuario
que no pertenezca al grupo de administradores y al que se le puede otorgar
manualmente el permiso requerido.
Una vez que el agente está instalado y configurado, se encarga de obtener
automáticamente la información sobre los usuarios y sus IPs actuales, así como su
PA – 500 – Documentación para la preventa
Página 28 de 95
pertenencia a grupos. El agente envía, a través de una conexión vía SSL, toda esta
información al firewall que es el encargado de actualizarla en su base de datos interna.
En caso de que haya varios agentes dispersos por la red (por motivos de redundancia),
el cortafuegos se encarga también de correlar la posible información duplicada que
recibe de cada agente.
La siguiente figura, Figura 15, muestra el detalle de la comunicación entre firewall,
agente y controlador de dominio:
Figura 15.- Detalle de la comunicación entre los diversos elementos que intervienen en la identificación de usuarios
Todas las actualizaciones de usuarios son enviadas al firewall a través de su interfaz de
gestión vía SSL (es posible definir qué puerto TCP se quiere emplear); también es
posible configurar otro interfaz, si así se desea, para éste propósito. El agente PAN-
Agent, además de monitorizar los logs y tablas de sesiones del Directorio Activo de
Microsoft, también puede opcionalmente realizar consultas directamente a las
estaciones de los clientes por NetBIOS ó WMI (para equipos de clientes que utilizan
Windows Vista o Windows 7).
PA – 500 – Documentación para la preventa
Página 29 de 95
El método preferible y más eficaz para identificar a los usuarios es a través del agente
trabajando contra el Directorio Activo. No obstante, aunque el agente verá los nuevos
usuarios según se autentican y podrá confirmarlos cuando utilizan recursos de red, es
posible que no vea cuando se desconectan (log off). El motivo es que el DA de
Microsoft no registra este tipo de actividad. La pruebas por NetBIOS ó WMI confirman
que un usuario previamente activo se sigue manteniendo activo en su puesto de trabajo.
Hay tres factores que pueden desaconsejar el uso de NetBIOS:
Ancho de banda que se requiere para la utilización de las pruebas, sobre todo si
se trata de un entorno WAN (no tan importante sobre entornos LAN).
Recursos de CPU necesarios para la realización de las pruebas desde el PC
que incorpora el agente.
Equipos que puedan no responder a las consultas NetBIOS a causa de la
utilización de firewalls personales, que no permitan este tipo de tráfico.
Así pues, es recomendable tener en cuenta estos factores durante la fase de diseño,
para implementar la topología más adecuada en cada escenario.
Para finalizar con este capítulo, la siguiente figura, Figura 16, muestra un ejemplo de la
configuración del agente contra un Directorio Activo (en general la configuración es
sencilla y se completa en unos pocos minutos):
Figura 16.- Ejemplo de configuración del agente de PAN contra Directorio Activo de Microsoft
PA – 500 – Documentación para la preventa
Página 30 de 95
Identificación de usuarios de Citrix y Microsoft Terminal Services En entornos donde la identidad del usuario es ocultada por una solución de Citrix o
Terminal Server, es posible también instalar un agente User-ID específico, para
determinar qué aplicaciones los usuarios están empleando. Si además hay un directorio
corporativo, la información sobre los usuarios y los grupos (no las direcciones IP)
también serán mostradas. Una vez que aplicaciones y usuarios han sido identificados,
se obtiene visibilidad y control completos de este tipo de usuarios, dentro de las
herramientas de logging, reporting y gestión de políticas integradas en los cortafuegos
de PAN.
El funcionamiento de este agente es similar al descrito en el apartado anterior, para el
Directorio Activo de Microsoft.
Integración con el e-Directory de Novell a través de User-ID-Agent A partir de las versiones 3.1.x de PAN-OS, es posible también utilizar un agente,
denominado User Agent, capaz de integrarse con directorios corporativos de Novell (e-
Directory).
La ventaja fundamental que ofrece el directorio de Novell, al igual que el de Microsoft,
es que almacena la dirección IP con la que el usuario se autentica junto con la hora. En
concreto en el directorio de Novell la IP se almacena, en un formato binario propietario,
en el campo networkAddress de la estructura LDAP. Este comportamiento no es en
general extrapolable a otros controladores de dominio basados en LDAP, en los que la
integración se hace por tanto más compleja al no almacenar la IP del usuario
autenticado (ver siguiente punto).
Otro punto importante a señalar, es que el agente para el directorio de Novell es capaz
únicamente de obtener la información sobre los usuarios y sus IPs, pero no la de los
grupos de usuarios a los que pertenecen. A partir de las versiones 3.1.x los firewalls de
PAN son capaces de conectarse directamente contra el directorio a través de LDAP,
obteniendo de este modo la información sobre los grupos y la pertenencia de los
usuarios a los mismos. Así pues, parte de la configuración de autenticación contra e-
Directory requiere configurar, además del agente, la comunicación LDAP entre
cortafuegos y repositorio corporativo.
La siguiente figura, Figura 17, muestra un ejemplo de configuración del agente contra
un controlador e-Directory de Novell:
PA – 500 – Documentación para la preventa
Página 31 de 95
Figura 17.- Ejemplo de configuración de agente contra e-Directory de Novell
La configuración es de nuevo bastante simple, requiriendo únicamente la configuración
de la rama base del árbol LDAP por el que comenzar la búsqueda (en nuestro ejemplo
de la Figura 17 “lab”) y el usuario y password utilizado para conectarse al directorio (en
nuestro ejemplo “Admin”).
Para finalizar con este capítulo, señalar que el flujo de comunicación entre el agente y el
cortafuegos es similar al mostrado anteriormente en el punto de integración del agente
contra el Directorio Activo de Microsoft.
Otros directorios LDAP: API XML Para otros directorios diferentes, basados por ejemplo en OpenLDAP, la integración es
más compleja puesto que estos directorios no incluyen normalmente ningún campo en
su estructura que contenga la dirección IP del usuario autenticado.
En estos casos es aún posible realizar la identificación de usuarios, a través de la
utilización de una API XML que se ofrece sobre el mismo agente mostrado en el
capítulo de e-Directory.
PA – 500 – Documentación para la preventa
Página 32 de 95
En estos casos será necesario realizar un pequeño desarrollo para extraer la
información sobre la dirección IP desde algún origen (por ejemplo servidor DHCP) y
alimentar la API con la dirección IP y nombre de usuario correspondiente. A
continuación se muestra un ejemplo del intercambio de mensajes necesario para la
correcta interactuación contra la API (para obtener más información al respecto, visitar
https://live.paloaltonetworks.com/docs/DOC-1348)
<uid-message>
<version>1.0</version>
<type>update</type>
<payload>
<login>
<entry name="domain\uid1" ip="10.1.1.1"/>
<entry name="domain\uid2" ip="10.1.1.2"/>
<entry name="domain\uid3" ip="10.1.1.3"/>
</login>
<logout>
<entry name="domain\uid4" ip="10.1.1.4"/>
</logout>
</payload>
</uid-message>
Como se observa es posible incuir varias actualizaciones (login ó logout) sobre el
mismo mensaje. Si el resultado es correcto, la API devolverá el siguiente tipo de
mensaje:
<uid-response>
<version>1.0</version>
<code>0</code>
<message>ok</message>
</uid-response>
En caso de no ser correcto, el código de error será “1” en lugar de “0” y se incluye
además un mensaje descriptivo sobre el origen del mismo.
Es interesante señalar que existen actualmente soluciones comerciales que ofrecen
este tipo de integración automáticamente contra los equipos de PAN. Un ejemplo de
ellas es AmigoPod (para más información visitar www.amigopod.com).
PA – 500 – Documentación para la preventa
Página 33 de 95
Integración de usuarios no pertenecientes al dominio: Captive Portal con NTLM En el caso de que existan usuarios que no pertenecen al dominio (como por ejemplo
usuarios externos trabajando temporalmente), es aún posible identificarlos como
usuarios y no únicamente por su dirección IP. Para ello los cortafuegos de PAN ofrecen
la posibilidad de utilizar un portal cautivo, Captive Portal, que se encarga de realizar
esta tarea.
El portal cautivo puede utilizar con dos modos de trabajo diferentes:
Autenticación basada en NTLM
Autenticación basada en página web con formularios
En general es preferible utilizar la autenticación por NTLM, más elegante, puesto que el
usuario no es presentado con ninguna página web, sino que se le solicita la
autenticación directamente según se conecta a cualquier sitio.
Para la autenticación basada en NTLM, se utilizan las cabeceras de autenticación
HTTP. Es importante señalar que es necesario que el cliente utilice un navegador
compatible con este método de trabajo, como Internet Explorer o Firefox. La siguiente
figura, Figura 18, muestra el esquema general del flujo de una autenticación con NTLM:
Figura 18.- Flujo general de la autenticación vía NTLM
PAN-OS utiliza las cabeceras HTTP mostradas en la Figura 18, junto con una
redirección HTTP (código 302, redirección temporal) para autenticar a los usuarios.
La siguiente figura, Figura 19, muestra el proceso de validación. Tal y como se observa
hay tres fases distintas, que se corresponden con tres conexiones TCP diferentes: la
petición original del cliente interceptada; la autenticación NTLM entre cliente y
PA – 500 – Documentación para la preventa
Página 34 de 95
cortafuegos y la petición original reenviada una vez que la autenticación ha sido
satisfactoria.
Figura 19.- Conexiones que tienen lugar en una autenticación NTLM
NTLM es un mecanismo de autenticación basado en desafío-respuesta, donde el cliente
debe obtener información nueva del servidor de autenticación, cuando formula su
contraseña en la respuesta. Puesto que el Directorio Activo es el único servidor capaz
de validar la respuesta NTLM del usuario, el servidor web integrado en el cortafuegos
actúa únicamente como conductor, enviando los desafíos y respuestas a través de los
agentes (Pan Agent), que interactúan con el directorio.
La siguiente figura, Figura 20, muestra el detalle del proceso de autenticación NTLM
entre el usuario y el directorio. Nótese que el tráfico circula por cuatro equipos en total,
porque la autenticación final la ha de hacer el controlador de dominio, y la comunicación
del cortafuegos con él es a través del agente (Pan Agent, visto anteriormente).
PA – 500 – Documentación para la preventa
Página 35 de 95
Figura 20.- Flujo de la autenticación NTLM
Notas:
Aunque se soportan tanto NTLMv1 como NTLMv2, se recomienda configurar los
navegadores para que utilicen NTLMv2, puesto que es más seguro que
NTLMv1.
Si se desea utilizar además la información de los grupos a los que los usuarios
pertenecen, es posible configurar el cortafuegos para que obtenga esta
información directamente, a través del uso de LDAP (soportado a partir de PAN-
OS 3.1).
Integración de usuarios no pertenecientes al dominio: Captive Portal con página web En el caso de que la autenticación basada en NTLM no se pueda utilizar, o falle por
ejemplo porque el navegador que utiliza el cliente no soporta NTLM, aún es posible
autenticar a los usuarios haciendo uso de un portal cautivo que ofrecen los equipos de
PAN, que integra una página web con un formulario de autenticación. La siguiente
PA – 500 – Documentación para la preventa
Página 36 de 95
figura, Figura 20, muestra un ejemplo de la página que se muestra a los usuarios que se
autentican por este método. La imagen que mostramos se corresponde con la página
por defecto, pero es posible personalizar la apariencia de esta página, a través de los
menús de configuración del firewall:
Figura 20.- Autenticación con portal cautivo basado en página web
La siguiente figura, Figura 21, muestra el flujo del proceso de autenticación. Nótese que
aunque se hace referencia a la autenticación vía RADIUS, también es posible, a partir
de la versión 3.1 de PAN-OS, utilizar autenticación por LDAP (contra un directorio
activo, por ejemplo).
Figura 21.- Autenticación con Captive Portal y formulario web
PA – 500 – Documentación para la preventa
Página 37 de 95
El proceso de autenticación, tiene lugar a través de HTTPs. Para ello el firewall utiliza
un certificado que se puede generar dentro del propio equipo, o importar desde el
exterior. Para que el usuario sea interceptado y autenticado, debe en primer lugar iniciar
una sesión HTTP hacia algún recurso externo. Una vez que la autenticación tiene éxito,
el usuario es redirigido transparentemente hacia el recurso original, que solicitó desde
su navegador. Asimismo, una vez identificado, la validación del usuario contra las
políticas se realiza para cualquier tipo de tráfico IP y no solamente para el tráfico Web.
Durante la autenticación se utiliza nuevamente una redirección de tipo 302 (Temporarily
moved), pero de manera diferente a como se empleaba con la autenticación basada en
NTLM. En este caso al usuario se le envía el contenido como si viniera del sitio original,
pero redirigiéndolo hacia HTTPs y a través de otro puerto (TCP 6080). Esta redirección
sirve al firewall para interceptar la siguiente petición del navegador, donde se incluye el
formulario web de autenticación. Una vez que el usuario introduce la información de
autenticación, ésta es enviada hacia el servidor RADIUS o LDAP que valida finalmente
al usuario.
La siguiente figura, Figura 22, muestra el detalle de la autenticación en este caso:
Figura 22.- Detalle de la autenticación con portal cautivo y formulario web
PA – 500 – Documentación para la preventa
Página 38 de 95
Detalle del funcionamiento de Content-ID Muchas de las nuevas aplicaciones que los usuarios se descargan hoy día contienen
amenazas, tales como viruses, troyanos, spyware, … Del mismo modo las aplicaciones
corporativas se ven amenazadas por ataques cada vez más sofisticados, que en
muchos casos van buscando un beneficio financiero, frente a la notoriedad del atacante.
Gran parte de las soluciones que se ofrecen hasta la fecha, se basan en el concepto de
que si se detecta una nueva brecha de seguridad, es necesario adquirir un nuevo
dispositivo que la cubra. Desafortunadamente, la falta de coordinación entre las distintas
funciones de cada equipo, los interfaces de gestión dispersos e inconsistentes y un
rendimiento pobre, han dado un resultado muy lejano del esperado. Aún más
importante, los modelos de seguridad basados en soluciones independientes, han
obviado el hecho de que los atacantes toman ventaja de los cientos de aplicaciones que
no se analizan y que los usuarios pueden descargar e instalar.
Content-ID es una solución de seguridad totalmente integrada dentro de las soluciones
de Palo Alto Networks, que pretende dar respuesta a todas las carencias de ese modelo
de aproximación a la seguridad, basado en la dispersión de recursos.
Se trata de un motor de exploración basado en flujo (stream based en contraposición a
soluciones basadas en proxies), que utiliza un formato de firma uniforme para la
prevención, detección y bloqueo de un gran número de amenazas. De igual modo, limita
la transferencia no autorizada de archivos y datos confidenciales, al tiempo que una
extensa base de datos de URLs controla la navegación por Internet no relacionada con
el trabajo.
El uso de Content-ID, junto con las tecnologías App-ID y User-ID vistas anteriormente,
devuelve el control al departamento de TI sobre las aplicaciones, los usuarios y las
amenazas relacionadas, ofreciendo además una visibilidad sin precedentes desde un
punto central (el cortafuegos corporativo).
La siguiente figura, Figura 23, muestra el resumen de las capacidades que se integran
dentro de Content-ID:
PA – 500 – Documentación para la preventa
Página 39 de 95
Figura 23.- Funcionalidades integradas en Content-ID
Nota: Content-ID se comercializa a través de dos licencias que los clientes pueden
adquirir opcionalmente al comprar un equipo de PAN: una de ellas se denomina Threat
Prevention e incluye el análisis de vulnerabilidades (IPS), antivirus y anti-spyware. La
segunda licencia, denominada URL Filtering, incluye las capacidades de filtrado de
URLs.
Ambas licencias son independientes y pueden adquirirse de forma separada, según sea
necesario. En ambos casos la licencia va ligada al equipo y no al volumen de usuarios, lo que hace que económicamente la solución sea más rentable.
Como ventajas fundamentales de Content-ID, cabe destacar:
Integrado completamente dentro de la solución de PAN.
Protege frente a una gran variedad de amenazas, incluyendo exploits contra las
aplicaciones (IPS), viruses y spyware.
Analiza todo el tráfico una única vez, basándose en un modelo tipo stream. De
esta forma se elimina la necesidad de utilizar proxies para el tráfico o los
ficheros, lo que resulta en un rendimiento superior y una latencia reducida.
La utilización de una única política reduce significativamente la operativa
asociada a la creación de políticas para el control de las amenazas o de la
navegación web.
En los capítulos siguientes, analizamos con mayor detalle cada una de las
funcionalidades y capacidades que ofrece Content-ID.
PA – 500 – Documentación para la preventa
Página 40 de 95
Prevención de amenazas (IPS) Es importante señalar, antes de avanzar más en el
detalle de las capacidades de prevención de
ataques, que todos los equipos de PAN se basan en
la utilización de App-ID, como tecnología base. Tal y
como se mencionó con anterioridad, App-ID utiliza
un mecanismo de lógica positiva en la identificación de las aplicaciones (nivel 7). Esto
significa que antes siquiera de comenzar a buscar posibles amenazas, el equipo
determina si la aplicación que está circulando por la red se corresponde realmente con
aquella que los administradores de seguridad han habilitado en sus políticas. La
identificación es posible realizarla incluso aunque el tráfico vaya cifrado bajo SSL. Si la
aplicación detectada no es acorde a la política de seguridad configurada, esa sesión
simplemente se elimina sin darle opción a que progrese y pueda incluir alguna
amenaza.
Gracias a la utilización de esta tecnología de base, es posible eliminar multitud de
amenazas basadas en la ofuscación o tunelización de unas aplicaciones sobre otras,
además de que también permite reducir drásticamente los falsos positivos.
La tecnología clave que permite a Content-ID identificar y bloquear con mayor certeza
los ataques, es el decodificador de aplicación (ver punto anterior, sobre App-ID, para
encontrar más información al respecto). Content-ID toma streams de los datos de las
aplicaciones, que ya han sido analizados y reensamblados por el decodificador, para
inspeccionarlos en busca de amenazas.
Además, en vez de utilizar un subconjunto independiente de motores de análisis y
firmas para cada tipo de amenaza, Content-ID emplea un motor de firmas uniformes,
lo que le permite detectar y bloquear en una única pasada diversos tipos de malware
(exploits, viruses, spyware, …). Esta capacidad es crítica para garantizar un rendimiento
muy alto a la par que una latencia mínima.
En lo referente a las amenazas contra las aplicaciones, la prevención se consigue a
través de un conjunto de medidas de tipo IPS (Intrusion Prevention System). Los tipos
de ataques generales, que es posible detectar se listan a continuación:
Exploits contra vulnerabilidades de red
Exploits contra vulnerabilidades de aplicación
Ataques de denegación de servicio (DoS y DDoS)
PA – 500 – Documentación para la preventa
Página 41 de 95
Escaneo de puertos (horizontales y verticales)
En cuanto a las medidas que utiliza el IPS para ofrecer la prevención, a continuación se
detallan las más significativas junto con una explicación sobre su utilización:
Decodificadores de protocolo: Decodifican el protocolo y permiten
posteriormente aplicar firmas para detectar los ataques, en base al contexto real
de la aplicación.
Firmas contra vulnerabilidades: Buscan patrones que se corresponden con
intentos de intrusión. Actualmente existen unas 3000 diferentes.
Detección de anomalías: Detectan el uso de los protocolos cuando no es acorde
a las RFCs, tales como URIs inválidas o intentos de login en servicios FTP con
usuarios de gran longitud.
Stateful pattern matching: Detecta ataques distribuidos en varios paquetes,
tomando en cuenta elementos tales como el orden de llegada y la secuencia.
Detección de anomalías por estadísticas: Previene los ataques de denegación
de servicio (DoS y DDoS), basándose en el análisis del ratio de paquetes y
sesiones.
Análisis de comportamiento (heurístico): Detecta paquetes anómalos para
prevenir los intentos de escaneos de red.
Defragmentación IP y reensamblaje TCP: Permite detectar los ataques aun
cuando los atacantes pretenden utilizar tácticas evasivas contra sistemas IPS.
Firmas personalizables por los usuarios: Permite a los administradores extender
el rango de firmas disponibles, a través de la utilización de un potente motor
basado en expresiones regulares.
Es importante señalar que la configuración de todas estas medidas de protección, al
igual que ocurre con el resto de módulos de Content-ID, se realiza a través de la
utilización de perfiles, lo que permite crear políticas de un modo muy sencillo.
Además, es posible utilizar diferentes perfiles de Content-ID para cada regla de
seguridad del firewall, lo que ofrece una gran granularidad a la hora de establecer
las medidas de control.
La siguiente figura, Figura 24, muestra un ejemplo de la configuración de los perfiles
de Content-ID, ligado a cada una de las políticas que implementa el cortafuegos:
PA – 500 – Documentación para la preventa
Página 42 de 95
Figura 24.- Ejemplo de gestión de políticas de Content-ID
La gestión de los perfiles de firmas es asimismo muy sencilla, pudiendo el administrador
trabajar en modo simple o modo avanzado.
En el modo simple solamente es necesario seleccionar qué acción se quiere tomar
contra un determinado tipo de amenaza, en base al riesgo –crítico, alto, medio, bajo o
informativo, para los ataques de cliente o servidor. La siguiente figura, Figura 25,
muestra un ejemplo de configuración simple:
Figura 25.- Ejemplo de configuración de firmas de IPS sencilla
Ejemplo de configuración de Content-ID por perfiles
PA – 500 – Documentación para la preventa
Página 43 de 95
Por el contrario en el modo avanzado es posible configurar múltiples parámetros para
cada firma individualmente. La siguiente figura, Figura 26, muestra un ejemplo de
configuración avanzada:
Figura 26.- Ejemplo de configuración de firmas de IPS avanzada
En ambos casos es posible excluir aquellas firmas que no nos interesen como
excepciones. Esta configuración también es posible realizarla directamente desde la
ventana de análisis de logs.
Prevención de ataques de DoS La prevención frente a ataques de DoS y DDoS (ataques de denegación de servicio
distribuidos), se realiza a través de la detección basada en el análisis estadístico, según
se mencionó en el capítulo anterior.
Es posible configurar diferentes perfiles para cada zona, en función de los requisitos de
tráfico que pueda existir en cada una de ellas. En concreto, este mecanismo ofrece
protección frente a los siguientes ataques de DoS:
PA – 500 – Documentación para la preventa
Página 44 de 95
Ataques de SYN Flood. Se puede utilizar SYN Cookies o RED (Random Early
Drop). Es recomendable utilizar SYN Cookies.
Ataques basados en inundaciones UDP.
Ataques basados en inundaciones ICMP.
Otros tipos de ataques basados en inundaciones IP.
La siguiente figura, Figura 27, muestra un ejemplo de configuración de un perfil en una
zona, para proteger dicha zona frente a ataques de denegación de servicio. Tal y como
se observa se ofrecen diferentes ratios, en base a los diferentes estados por los que
puede pasar un ataque de DoS (alerta, activación y máximo número de paquetes
permitidos):
Figura 27.- Ejemplo de configuración frente a ataques de DoS por zonas
Prevención frente a escaneos de red Aunque los intentos de escanear la red en busca de equipos o de servicios que
respondan, no suele considerarse un ataque como tal, sí que es importante ofrecer
mecanismos de protección frente a los mismos, porque suele ser la primera medida que
un atacante emplea, previa a la realización de un ataque en sí.
PA – 500 – Documentación para la preventa
Página 45 de 95
Al igual que la protección frente a ataques de DoS, la detección y prevención de los
escaneos de red en las soluciones de PAN se realiza a través del análisis estadístico,
que se configura en la protección de cada zona. De nuevo es posible utilizar perfiles
diferentes en función de los requisitos de cada zona.
En concreto se ofrece protección frente a los siguientes tipos de escaneo (tanto
horizontales como verticales):
Escaneos TCP
Escaneos UDP
Host Sweep
La siguiente figura, Figura 28, muestra un ejemplo de configuración de un perfil frente a
los intentos de escaneo:
Figura 28.- Ejemplo de configuración frente a intentos de escaneo
Anomalía de paquetes Al igual que la protección frente a ataques de DoS, la detección y prevención de
paquetes anómalos se configura en la protección de cada zona. De nuevo es posible
utilizar perfiles diferentes en función de los requisitos de cada una.
En concreto se ofrece protección frente a los siguientes tipos de paquetes anómalos:
Spoofing de direcciones IP
Bloqueo de tráfico fragmentado
Tráfico ICMP con ID 0
PA – 500 – Documentación para la preventa
Página 46 de 95
Tráfico ICMP fragmentado
Paquetes ICMP superiores a 1024 bytes
Supresión de ICMP TTL expired error
Supresión de ICMP NEEDFRAG
Eliminar los paquetes fuera de sesión (paquetes para los que no se ha visto el
SYN que marca el inicio de la sesión). Es importante deshabilitar esta medida de
protección si se trabaja en entornos donde es posible que exista tráfico
asimétrico.
La siguiente figura, Figura 29, muestra un ejemplo de configuración de un perfil frente a
paquetes anómalos:
Figura 29.- Protección frente a anomalías de paquete
Antivirus y Anti-Spyware El motor de antivirus/anti-spyware en línea saca también partido de los patrones de
firmas uniformes mencionados anteriormente, así como de un motor de inspección
basado en stream, para proteger frente a millones de variantes de malware.
A continuación se enumeran las capacidades clave de la solución de antivirus/anti-
spyware de PAN:
Protección frente un amplio rango de malware, como por ejemplo virus,
incluyendo aquellos que afectan a HTML y Javascript, downloads de spyware,
troyanos, etc.
Detección y prevención en línea de malware embebido en ficheros comprimidos
y contenido web.
Utiliza el motor de descifrado SSL de App-ID, para bloquear viruses sobre tráfico
SSL.
PA – 500 – Documentación para la preventa
Página 47 de 95
Las firmas del motor de antivirus se obtienen a través del análisis de millones de
patrones reales, que son enviados a los ingenieros de PAN a través de terceras
empresas, líderes en el mercado de investigación y búsqueda de malware. El
equipo de desarrollo de PAN analiza y elimina la información duplicada o
redundante y genera las firmas (utilizando el patrón uniforme para ello), que son
ofrecidas a los clientes diariamente o bajo actualizaciones de emergencia.
También es crucial señalar, que el análisis basado en stream permite proteger la red sin
introducir una latencia significativa – que es el problema tradicional con las soluciones
de antivirus que se basan en proxies. Las soluciones basadas en proxies han carecido
históricamente de los requisitos de rendimiento necesarios cuando se hacen
despliegues en línea, en entornos con necesidades en tiempo real (por ej. aplicaciones
web), porque necesitan ubicar el fichero al completo en memoria antes de que el
proceso de análisis pueda comenzar. Por el contrario los motores basados en stream,
como el de PAN, inspeccionan el tráfico tan pronto como el primer paquete del fichero
llega al equipo, eliminando los problemas de rendimiento y latencia asociados con la
aproximación basada en proxies.
La siguiente Figura, Figura 30, muestra la comparativa entre un motor basado en
streaming frente a uno basado en proxies. Obsérvese la gran diferencia en la latencia
introducida por ambas soluciones, hasta que se entrega el tráfico al destino final:
Figura 30.- Comparativa entre la inspección basada en stream frente a proxy
PA – 500 – Documentación para la preventa
Página 48 de 95
Filtrado de URLs La base de datos para la gestión y filtrado de URLs,
totalmente integrada en la solución, permite establecer
políticas de control sobre la actividad de la navegación
web, complementando de este modo la visibilidad a
nivel de aplicación y control que los firewalls de nueva
generación de Palo Alto Networks ofrecen.
A continuación se resumen las ventajas fundamentales que ofrece la solución:
Bloquea el acceso a sitios no deseables para reducir los riesgos de seguridad,
legales y regulatorios.
Reduce los incidentes asociados con el malware, al prohibir el acceso a sites
que ofrecen descargas que incluyen malware ó phising.
Ofrece políticas configurables, con listas blancas y negras y base de datos de
URLs personalizable.
Facilita las políticas de descifrado SSL, como por ejemplo: “no descifrar el tráfico
que vaya dirigido contra webs financieras”, pero “sí descifrar el tráfico que vaya
dirigido a sitios que contienen blogs”.
Las soluciones tradicionales de filtrado de URLs basadas en equipos independientes,
no son todo lo efectivas que debieran hoy día. Pueden ser en muchas ocasiones
fácilmente eludidas a través del uso de proxies externos (como PHproxy o CGIproxy),
proxies evasivos (como TOR, UltraSurf o Hamachi) y aplicaciones de acceso a
escritorios remotos (como Yoics!, RDP o SSH). Controlar la actividad de las
aplicaciones de los usuarios requiere una aproximación multidisciplinar, que incorpore
políticas para gestionar la actividad web así como las aplicaciones que utilizan
normalmente para eludir los mecanismos de seguridad tradicionales. Gracias al uso de
las tecnologías App-ID, User-ID junto con el filtrado de URLs, las soluciones de PAN
solventan esas carencias presentes en otras soluciones.
Una vez que han controlado, gracias a App-ID, las aplicaciones que se permite utilizar,
los administradores de seguridad pueden implementar políticas de filtrado URL para
extender el control sobre la actividad de red. Las políticas se pueden habilitar en base a
la combinación de los siguientes mecanismos:
Seleccionar entre 76 categorías y más de 20 millones de URLs, almacenadas en
una base de datos local al equipo.
PA – 500 – Documentación para la preventa
Página 49 de 95
Utilizar una base de datos distribuida en Internet, con más de 180 millones de
URLs, para todas aquellas que no están incluidas en la base de datos local.
Crear una lista personal, a través del uso de listas negras y listas blancas, que
soportan el uso de comodines en su definición.
Especificar políticas por usuarios y grupos, con diferentes niveles de permiso
(gracias a User-ID).
Crear políticas de navegación basadas en horario.
Determinar qué categorías de URLs han de descifrarse y cuales no (junto con la
funcionalidad de SSL decryption vista anteriormente).
Tal y como se ha comentado, es posible utilizar una base de datos local de 20 millones
de registros, así como una distribuida en Internet de unos 180 millones de registros. Si
se habilita esta funcionalidad, cuando una URL no se encuentra en la base de datos
local, se realiza una búsqueda en la base de datos distribuida. Una vez que la URL ha
sido categorizada, se cachea en otra base de datos local paralela (con capacidad de 1
millón de registros), para evitar que realizar nuevas consultas externas si algún usuario
vuelve a demandarla.
Asimismo también es posible configurar la información que los usuarios recibirán
cuando están intentando visitar un sitio que está bloqueado, según la política
corporativa configurada. Para ello los administradores pueden utilizar una página web
cuyo contenido se puede personalizar. La página puede incluir además referencias al
nombre del usuario, la dirección IP, la URL a la que se está intentando acceder y la
categoría.
También es posible delegar parte de la responsabilidad de la navegación, de vuelta
sobre el usuario final. Para ello los administradores cuentan con las siguientes dos
herramientas:
URL filtering continue: Cuando el usuario accede a una página que viola la
política establecida, se les muestra una página de advertencia con un botón que
le permite continuar en caso de que el acceso a la URL sea realmente necesario
para su trabajo.
URL filtering override: El usuario ha de introducir una contraseña que le permite
eludir la página de bloqueo y acceder por tanto al contenido solicitado.
La siguiente figura, Figura 31, muestra un ejemplo de una de las páginas de bloqueo
que se sirven y que pueden ser personalizadas:
PA – 500 – Documentación para la preventa
Página 50 de 95
Figura 31.- Ejemplo de página de bloque de acceso a una URL no permitida
Existen asimismo múltiples opciones a la hora de generar informes. El equipo ofrece un
conjunto de ellos predefinidos, y también ofrece la posibilidad al usuario para que se
genere otros personales. En general existen tres tipos de reportes diferentes que se
pueden obtener:
Reportes sobre la actividad de los usuarios: Permite generar informes muy
detallados sobre la actividad de un usuario o grupo. Se incluyen las aplicaciones
empleadas, las categorías de URL visitadas, los sitios web visitados y el detalle
de todas las URLs visitadas durante un período de tiempo configurable.
Reportes sobre la actividad de las URLs: Existen hasta 50 informes de este tipo,
donde se muestra la categoría de URL visitada, los usuarios más activos, las
categorías bloqueadas, los usuarios bloqueados, …
Logging en tiempo real: Los logs de las URLs pueden filtrarse fácilmente, para
obtener información detallada en línea (para obtener más información sobre este
punto, revisar por favor el capítulo de gestión del equipo que se detalla
posteriormente).
La configuración del filtrado de URLs sigue los mismos principios vistos anteriormente
en la configuración de otros mecanismos de Content-ID, y se basa por tanto en la
PA – 500 – Documentación para la preventa
Página 51 de 95
utilización de perfiles. La siguiente figura, Figura 32, muestra un ejemplo de la definición
de estos perfiles:
Figura 32.- Ejemplo de definición de un perfil de filtrado de URLs
Para finalizar con este punto, es importante señalar que el modelo de licenciamiento de
PAN para el módulo de URL filtering se basa en la obtención de una licencia por equipo y no por usuario. Este modelo de licenciamiento supone que el número de
usuarios que pueden utilizar el servicio es virtualmente ilimitado, a la par que ofrece un
ahorro importante frente a soluciones que requieren una licencia por usuario.
PA – 500 – Documentación para la preventa
Página 52 de 95
Prevención frente a la fuga de datos (DLP) La solución de filtrado de datos (Data Loss Prevention – DLP), permite a los
administradores implementar políticas que reducirán los riesgos asociados con la
transferencia ilícita de ficheros y datos no autorizados. Asimismo permite auditar los
tipos de contenido que circulan por la red.
Como características más notables de la solución de DLP, caben resaltar las que se
mencionan a continuación:
Bloqueo por tipo de fichero: Permite controlar el flujo de un amplio rango de
ficheros, inspeccionando a fondo el payload para identificar el tipo de fichero en
cuestión (frente a solamente mirar la extensión del archivo). Permite definir
políticas diferentes en el envío o la recepción, como por ejemplo bloquear todos
aquellos archivos cifrados que los usuarios se descarguen (y que por tanto no
pueden ser analizados por otros módulos, como por ejemplo el antivirus).
Filtrado de datos: Controla el envío de patrones de datos sensibles, como por
ejemplo números de tarjeta de crédito, a través del contenido de las aplicaciones
o los adjuntos. Utiliza además un mecanismo basado en pesos para minimizar
los falsos positivos.
Función para el control de la transferencia de ficheros: Permite controlar las
funcionalidades de transferencia de ficheros de una aplicación en concreto
(permitirlas, bloquearlas o auditarlas). Es importante señalar que es posible
bloquear la transferencia de archivos, pero permitir aún la ejecución de la
aplicación, eliminando por tanto únicamente las transferencias.
La siguiente figura, Figura 33, muestra un ejemplo de configuración de un perfil de
filtrado de datos, que analizará el contenido de las aplicaciones o de los adjuntos.
Obsérvese que el perfil detecta la aparición de tarjetas de crédito, números de la
seguridad social (ambos incluidos por defecto), así como la aparición también de dos
términos asignados por los administradores: “Teacher” y “Trinidad”. La definición de
estos patrones se realiza a través del uso de un potente motor de expresiones
regulares.
PA – 500 – Documentación para la preventa
Página 53 de 95
Figura 33.- Ejemplo de perfil de filtrado de datos
La siguiente figura, Figura 34, muestra un ejemplo de configuración de un perfil de
gestión de ficheros. Según se muestra se han creado dos reglas, la primera que
bloquea la descarga (download) de cualquier fichero cifrado y la segunda que audita
todos ellos, tanto en upload como download:
Figura 34.- Ejemplo de perfil de control de ficheros
PA – 500 – Documentación para la preventa
Página 54 de 95
Actualizaciones periódicas y equipo I+D de Content-ID El equipo del departamento de I+D de Palo Alto Networks, encargado de mantener y
actualizar las soluciones integradas en Content-ID, está formado por un grupo de
ingenieros de gran experiencia en el área del desarrollo de mecanismos de prevención
de amenazas.
Además de trabajar en la mejora y desarrollo de nuevas contramedidas, se trata de un
equipo altamente activo en la comunidad internacional de la seguridad. PAN es
miembro inaugural del programa MAPP de Microsoft (Microsoft Active Protection
Program), y como tal tiene acceso prioritario previo a la publicación de las
actualizaciones periódicas y de emergencia que Microsoft realiza. Esto nos permite
garantizar que nuestros clientes dispondrán de las contramedidas adecuadas, antes de
la publicación de los boletines de manera coordinada.
Además de recibir información sobre las vulnerabilidades detectadas por terceros, Palo
Alto Networks realiza su propia investigación continua, y ha sido acreditado como
descubridor de múltiples vulnerabilidades de carácter crítico y alto dentro de los
sistemas operativos de Microsoft o de su suite de aplicaciones. Del mismo modo se
trabaja activamente con otros fabricantes, donde también se han descubierto y
reportado vulnerabilidades críticas (como por ejemplo Adobe).
Las actualizaciones de firmas para el IPS se proveen generalmente una vez a la
semana (normalmente los miércoles en horario español). Además, cuando se detecta
alguna vulnerabilidad crítica, PAN provee a sus clientes de actualizaciones fuera del
ciclo habitual semanal.
En el caso concreto de la base de datos de URLs y antivirus/antispyware, la
actualización es diaria.
PA – 500 – Documentación para la preventa
Página 55 de 95
Otros En el presente capítulo se detallan otras funcionalidades y capacidades de los equipos
de PAN, que no han sido aún descritas en capítulos anteriores.
Seguridad basada en Zonas La configuración de las reglas de seguridad del firewall de PAN, se basa en la definición
y uso de zonas de seguridad. Una zona de seguridad identifica uno o más interfaces de
origen o destino en el cortafuegos. Cuando se define una regla de seguridad en la
política, se deben especificar tanto la zona origen como la de destino del tráfico. Deben
configurarse zonas diferentes para cada tipo de interfaz (Tap, Nivel2, Nivel3 ó virtual
wire) y cada interfaz debe asociarse con una zona antes de que pueda procesar tráfico.
Las reglas de seguridad pueden definirse únicamente entre zonas del mismo tipo.
La ventaja fundamental de utilizar zonas es que es posible aplicar diferentes perfiles en
cada una (por ejemplo frente a ataques de DoS, escaneo de puertos o identificación de
usuarios) y que las políticas resultan ser más simples y fáciles de entender.
La siguiente figura, Figura 35, muestra los diferentes tipos de interfaces y zonas y su
relación en la creación de políticas:
Figura 35.- Zonas e interfaces
PA – 500 – Documentación para la preventa
Página 56 de 95
Routing y protocolos de red soportados El routing en los equipos de PAN se configura a través de la definición de routers virtuales. La definición de estos routers virtuales permite asimismo utilizar protocolos
de routing dinámicos. Cada interfaz de tipo L3, loopback y VLAN definido en el firewall
debería estar asociado con un router virtual. Además, cada interfaz puede pertenecer a
un único virtual router.
A continuación se detallan los protocolos de red y de routing más significativos que
soportan los equipos de Palo Alto Networks:
Routing estático
Routing dinámico basdo en RIP
Routing dinámico basado en OSPF
Routing dinámico basado en BGP
Vlan tagging (802.1q)
Soporte a Jumbo Frames
Soporte a PPPoE (a partir de la versión 3.1.3)
DHCP server y DHCP relay
Soporte a IPv6 (en modo Virtual Wire)
Reglas de Seguridad Los reglas de seguridad en los cortafuegos de Palo Alto Networks se configuran a
través de un potente y sencillo interfaz gráfico. La estrategia que se sigue en su
evaluación es top-down, lo que significa que el tráfico se evalúa contra ellas en orden de
arriba hacia abajo. Cuando el tráfico hace match contra una regla, se aplican las
acciones correspondientes y se deja de evaluar el resto de la política. Existe asimismo
una regla implícita –no mostrada en la política- en la última posición de cada política
que se encarga de denegar todo el tráfico que no haya sido procesado por reglas
anteriores. Si se desea obtener logging de este tipo de tráfico, es necesario configurar
en último lugar una regla explícita para ello con el logging activado.
En la definición de las reglas de seguridad es posible configurar los siguientes campos:
Nombre de la regla (con posibilidad de añadir comentarios)
Zona origen del tráfico
Zona destino del tráfico
Dirección IP de origen
PA – 500 – Documentación para la preventa
Página 57 de 95
Usuario de origen (en base a la integración que ofrece User-ID)
Dirección IP de destino
Aplicación (integración con App-ID, revisado anteriormente)
Servicio: se corresponde únicamente con el puerto TCP/UDP. Simula por tanto
un cortafuegos de primera generación. Su definición es opcional.
Acción: Aceptar o denegar el tráfico
Perfil de Seguridad: Permite asignar perfiles de Content-ID (IPS, Antivirus,
AntiSpyware, URL Filtering, Gestión de ficheros y Gestión de contenidos)
Opciones: Permite establecer las opciones de logging, reporte a terceros
sistemas, inspección en un único sentido, …
La siguiente figura, Figura 36, muestra un ejemplo de una política configurada desde el
gestor gráfico:
Figura 36.- Ejemplo de configuración de una política de seguridad
NAT Los cortafuegos de PAN también incorporan funcionalidades de NAT. Es posible
traducir tanto las direcciones IP y puertos de origen como los de destino. Las reglas de
NAT suponen una entidad diferente a las políticas de seguridad vistas en el capítulo
anterior. Las reglas de NAT permiten configurar los siguientes campos:
Nombre de la regla (con posibilidad de añadir comentarios)
Zona origen del tráfico
Zona destino del tráfico
Interfaz de destino (opcional)
Dirección IP de origen
Dirección IP de destino
Servicio: Puerto TCP/UDP
PA – 500 – Documentación para la preventa
Página 58 de 95
Traducción de origen (IP y puerto)
Traducción de destino (IP y puerto)
La siguiente figura, Figura 37, muestra un ejemplo de una política de NAT:
Figura 37.- Ejemplo de configuración de una política de NAT
Puede haber múltiples reglas de NAT. Al igual que con las políticas de seguridad éstas
son evaluadas de arriba abajo. Cuando se hace match con una regla se aplican las
acciones correspondientes y se deja de evaluar la política. Así pues las reglas más
específicas han de estar al comienzo de la lista. La siguiente figura, Figura 38, muestra
el flujo del tráfico en relación con la aplicación de NAT. Por motivos de simplicidad del
diagrama se han excluido los procesos asociados a App-ID, User-ID y Content-ID:
Figura 38.- Diagrama de flujo lógico en la aplicación de NAT
PA – 500 – Documentación para la preventa
Página 59 de 95
Tal y como muestra la Figura 38, las direcciones traducidas se determinan después de
que un paquete haga match sobre una regla de NAT. Asimismo es importante señalar
que la traducción de las direcciones IP ocurre únicamente cuando el paquete sale del
firewall. Así pues, las reglas de NAT y las reglas de seguridad siempre hacen referencia
a las IP originales en el paquete y no a las traducidas.
La definición de las direcciones IP soporta incluir direcciones estáticas, redes y rangos
de direcciones IP, que se configuran como IP Address Objects.
Asimismo cuando el equipo determina que el address pool está en el mismo interfaz de
entrada/salida que la dirección IP de NAT, el equipo realiza automáticamente proxy arp.
En caso contrario se utiliza routing.
En general se soportan los siguientes tipos de NAT:
Source NAT
o IP y puertos dinámicos (se puede emplear como IP de NAT una del
interfaz del firewall)
o IP dinámica
o NAT estático
Destination NAT
o NAT estático
o IP y puerto
o PAT (Port Address Translation. NAT sobre una misma IP, pero en la que
el puerto de destino identifica equipos de destino diferentes).
Policy Based Forwarding A partir de las versiones 3.1.x de PAN-OS, se ha añadido a los cortafuegos la
capacidad de hacer Policy Routing, denominado Policy Based Forwarding (PBF) en
PAN.
Se trata de una herramienta potente, cuya definición de políticas se encuentra separada
de las vistas anteriormente. En concreto es posible definir los siguientes campos en una
regla de PBF:
Nombre de la regla (con posibilidad de añadir comentarios)
Zona origen del tráfico
Dirección IP de origen
PA – 500 – Documentación para la preventa
Página 60 de 95
Usuario de origen (en base a la integración que ofrece User-ID)
Dirección IP de destino
Aplicación (integración con App-ID, revisado anteriormente)
Servicio: Se corresponde únicamente con el puerto TCP/UDP
Acción: Puede ser no hacer PBF, encaminar ó descartar
Forwarding: Incluye los siguientes dos campos
o Interfaz de salida
o Next hop
Monitoring: Incluye los siguientes campos
o Perfil: Perfil de monitorización que se desea utilizar
o Destino: Destino de la monitorización
o Deshabilitar si falla: Si la monitorización falla, la regla no tiene efecto
Schedule: Permite programar la regla para que tenga efecto en base a una
definición de horario
Tal y como se ha descrito anteriormente, es posible realizar PBF por usuario o grupo de
usuarios, e incluso por aplicación (a nivel 7). También es especialmente interesante la
parte de monitorización, que permite chequear un elemento a través de ping
(normalmente el next hop) y deshabilitar la regla en caso de que el elemento chequeado
falle. Esto permite que una regla de PBF posterior, con un camino de backup para el
mismo tipo de tráfico, tome efecto.
La siguiente figura, Figura 39, muestra un ejemplo de configuración de Policy Based
Forwarding:
Figura 39.- Ejemplo de configuración de PBF
PA – 500 – Documentación para la preventa
Página 61 de 95
VPNs IPSec Los firewalls de PAN incluyen soporte a VPNs IPSec y VPNs SSL (revisadas en el
capítulo siguiente).
Las redes privadas virtuales (VPNs), permiten a los sistemas conectarse de forma
segura a través de redes públicas, como si lo estuvieran haciendo a través de una red
de área local (LAN). El conjunto de protocolos IP Security (IPSec) es utilizado para
establecer un túnel seguro para el tráfico de la VPN. La información privada de los
paquetes se cifra cuando se envía a través de un túnel IPSec.
La siguiente figura, Figura 40, muestra un ejemplo de un túnel IPSec estándar entre dos
equipos:
Figura 40.- Ejemplo de túnel IPSec estándar
La configuración del túnel puede incluir un monitor en cada extremo del mismo, para
alertar al administrador de un fallo y proporcionar un camino alternativo
automáticamente. Se recomienda por tanto definir monitores de túneles, si se desea
proporcionar HA para las VPNs IPSec a través de otro interfaz.
Las VPNs IPSec proporcionadas con los equipos de PAN están basadas en routing. Se
soporta tanto la integración con equipos remotos de PAN, como con cualquier otro
fabricante que también utilice IPSec. Gracias al uso de las VPNs basadas en routing,
los cortafuegos de PAN toman una decisión de routing basándose en la dirección IP de
destino de las sesiones. Si el tráfico se enruta a través de un túnel VPN, es entonces
automáticamente cifrado. No es necesario por tanto definir ninguna regla especial o
hacer referencia explícita a ún túnel VPN; la decisión se toma automáticamente en base
a la dirección IP de destino.
PA – 500 – Documentación para la preventa
Página 62 de 95
Para la conexión IPSec entre los firewalls, el paquete IP al completo (cabecera y
payload) es encapsulado dentro de otro payload IP al que se le añade una nueva
cabecera. La nueva cabecera utiliza la dirección IP del interfaz externo del firewall de
salida, como la IP origen. Como IP de destino se emplea la dirección IP externa del
firewall remoto, contra el que se configura el túnel. Cuando el paquete llega al otro
extremo del túnel, el cortafuegos remoto reconstruye el paquete original (eliminando por
tanto la cabecera y payload extras) y lo entrega a su destino original.
En cada extremo se definen las asociaciones IPSec Security Associations (SAs), que
gestionan por completo el cifrado y la autenticación de los datos. Los parámetros
necesarios para la configuración de una SA son:
Security Parameter Index (SPI)
Protocolo de seguridad a utilizar
Claves criptográficas
IP de destino
Cuando se definen las VPNs es importante entender correctamente la topología de red,
para saber cuántos túneles VPN es necesario definir. Cuando se define el túnel VPN,
hay que asociarlo al mismo router virtual que utiliza el tráfico de entrada (en claro, sin
cifrar), sobre ese mismo interfaz.
Respecto a la definición de la seguridad IPSec, PAN soporta los siguientes dos
mecanismos (han de configurarse de igual forma en ambos extremos del túnel):
Definición manual de las claves de seguridad
Utilización de IKE para la definición de las claves (método recomendado)
SSL VPNs Además de las VPNs IPSec vistas anteriormente, también se soportan VPNs basadas
en SSL. El objetivo fundamental es ofrecer a los usuarios remotos un mecanismo
seguro para conectarse a los recursos corporativos internos. En concreto se soportan
los siguientes sistemas operativos en los clientes remotos:
Windows XP
Windows Vista
Windows7
Mac OSX (aún en fase beta)
PA – 500 – Documentación para la preventa
Página 63 de 95
La gran ventaja de las VPNs SSL frente a las basadas en IPSec, es que los usuarios
pueden acceder a la VPN a través simplemente de un navegador web, sin necesidad de
preinstalar ningún cliente sobre sus equipos.
Para configurar una VPN SSL, es necesario definir un perfil y añadirlo a un interfaz
físico como interfaz virtual sobre el firewall. El interfaz virtual SSL VPN es mapeado a
una zona de seguridad, sobre la que por supuesto se pueden aplicar políticas de
seguridad. El interfaz físico ha de ser de nivel 3.
La primera vez que el usuario se conecta al portal SSL VPN del cortafuegos, se le pide
que se autentique. Una vez correctamente validado, se descarga e instala un cliente
ligero, que será el encargado de gestionar la VPN. Cuando la instalación finaliza se
establece el túnel que se intentará primero realizar vía IPSec y, si no es posible, a
través de SSL.
Es importante señalar que se soporta split tunneling (configuración en el cliente), de
forma que únicamente el tráfico hacia la VPN se incluye por el túnel, mientras que el
resto se envía directamente a Internet.
Para finalizar, señalar que todas las funcionalidades de identificación de aplicaciones,
usuarios, … se soportan también sobre túneles VPN, con lo que es perfectamente
posible controlar también el tráfico de estos usuarios.
QoS Los equipos de PAN también incluyen soporte para realizar tareas de gestión y calidad
de servicio en el tráfico. Es posible aplicar políticas de QoS tanto para tráfico claro,
como para tráfico cifrado (VPNs).
Además de soportar DCSP, también es posible crear políticas granulares que sacan
provecho de las funcionalidades de App-ID y User-ID ya descritas. La gestión del QoS
en PAN se basa en la utilización de colas.
Así pues es posible generar perfiles de QoS que se aplican de modo generalista sobre
un interfaz o también utilizar el gestor de políticas para crear restricciones más
granulares sobre el tráfico.
La siguiente figura, Figura 41, muestra un ejemplo de la definición de un perfil de QoS
que se aplicará posteriormente sobre un interfaz del firewall:
PA – 500 – Documentación para la preventa
Página 64 de 95
Figura 41.- Definición de un perfil de QoS
Tal y como se observa es posible definir anchos de banda mínimos –o garantizados-,
máximos (en caso de que otras políticas puedan prestarlos si no los necesitan), así
como la prioridad que se quiere otorgar a esa clase de tráfico (baja, media, alta y tiempo
real). La definición de la prioridad tiene sentido cuando se llega a una situación de
contención, en la que es necesario descartar tráfico. Para este propósito los firewalls de
PAN utilizan el algoritmo WRED (Weighted Random Early Drop), que elimina
aleatoriamente paquetes TCP en base al peso de cada clase (realmente no se
perderán, porque TCP tiene mecanismos para garantizar la retransimisión de los
mismos). Las clases configuradas con una prioridad más alta, tienen también un peso
más alto dentro de WRED y por tanto son menos susceptibles a sufrir la eliminación de
paquetes en caso de contención.
Una vez definidos los perfiles, hay que aplicarlos sobre los interfaces correspondientes.
Es importante señalar, a la hora de determinar sobre qué interfaz aplicar un perfil, que
los firewalls de PAN realizan las tareas de QoS sobre tráfico saliente y no entrante. Así
pues, y para un ejemplo en el que se desea controlar la navegación de los usuarios, es
necesario aplicar el perfil sobre el interfaz del firewall que está en la LAN de usuarios (y
que es el que entregará el tráfico a los mismos, en salida).
PA – 500 – Documentación para la preventa
Página 65 de 95
La asociación de un perfil sobre un interfaz permite además establecer excepciones en
base al interfaz o IP de origen del tráfico. Para ello se pueden asociar en las
excepciones perfiles diferentes al general.
Según se mencionó anteriormente, una vez definidos los perfiles y aplicados sobre los
interfaces correspondientes, es también posible utilizar un gestor de políticas de QoS,
que ofrece mayor granularidad en el diseño de la estrategia de QoS. El gestor de
políticas de QoS permite definir los siguientes campos:
Nombre de la regla (con posibilidad de añadir comentarios)
Zona origen del tráfico
Zona destino del tráfico
Dirección IP de origen
Usuario de origen (en base a la integración que ofrece User-ID)
Dirección IP de destino
Aplicación (integración con App-ID, revisado anteriormente)
Servicio: Se corresponde únicamente con el puerto TCP/UDP
Clase: Cola sobre la que se desea ubicar este tipo de tráfico (1-8, representando
1 una mayor prioridad que 8)
Forwarding: Incluye los siguientes dos campos
o Interfaz de salida
o Next hop
Schedule: Permite programar la regla para que tenga efecto en base a una
definición de horario
La siguiente figura, Figura 42, muestra un ejemplo de una ventana de configuración de
las políticas de QoS:
Figura 42.- Ejemplo de configuración de políticas de QoS
PA – 500 – Documentación para la preventa
Página 66 de 95
Finalmente, y según muestra la siguiente figura, Figura 43, es posible obtener
estadísticas en tiempo real sobre el uso de las políticas. En concreto se puede obtener
el siguiente tipo de información:
QoS Bandwidth: Muestra en tiempo real gráficos de ancho de banda para los
nodos y clases seleccionados. La información se actualiza cada dos segundos.
Session Browser: Lista las sesiones activas del nodo y la clase seleccionados
Application View: Muestra todas las aplicaciones activas para el nodo y clase
seleccionados.
Figura 43.- Ejemplo de estadísticas en tiempo real de QoS
PA – 500 – Documentación para la preventa
Página 67 de 95
Diseño hardware En este capítulo se detalla el diseño hardware de las plataformas de Palo Alto
Networks, conocida como Single Pass Parallel Processing – SP3 de ahora en
adelante, así como la descripción detallada de la arquitectura presente en el modelo
PA-500.
Desde hace varios años existe la promesa de ofrecer servicios integrados de
prevención de amenazas dentro del firewall. Esta tendencia parece relativamente
natural ya que el cortafuegos se veía como un dispositivo de seguridad básico, que de
ser posible, podría aliviar la necesidad de añadir dispositivos extra de seguridad para
realizar funciones de IPS, antivirus de red y otras. Los diferentes intentos por lograr la
integración de la prevención de amenazas en el cortafuegos han recibido diversos
nombres – deep inspection, gestión unificada de amenazas (UTM), deep packet
inspection y otros. Sin embargo, lo que todos estos intentos comparten es un fracaso
común: el firewall puede actuar con alto rendimiento y baja latencia, mientras que las
funciones de seguridad añadidas se llevan a cabo muy lentamente, con bajo
rendimiento y alta latencia.
Básicamente el problema de todos estos intentos es que arrancan de dos puntos de
partida erróneos:
1. La base para la clasificación del tráfico es errónea. Las aproximaciones
tradicionales parten de la tecnología stateful inspection, que asume que un
puerto y protocolo se corresponden con una aplicación, lo que resulta incorrecto
generalmente. Cualquier análisis posterior está por tanto basado en una
clasificación inicial incorrecta, cuya corrección es además muy costosa: bien en
términos de rendimiento, o bien en términos de la calidad del resultado final. Las
soluciones de PAN parten de una premisa inicial totalmente diferente (App-ID).
2. El método de integración también es erróneo. La mayoría de las soluciones han
pretendido colapsar múltiples funcionalidades sobre un único sistema operativo y
chasis. Realmente esto no es integración, sino consolidación y la diferencia es
crítica. La consolidación simplemente toma diversos productos y los agrupa
dentro de un único equipo, donde ni la arquitectura ni los recursos están
preparados para gestionarlos.
PA – 500 – Documentación para la preventa
Página 68 de 95
La arquitectura single pass de PAN solventa todas estas problemáticas y hace realidad
el sueño de aunar diversas funcionalidades de seguridad en el firewall, sin sacrificar el
throughput o añadiendo mucha latencia.
Si bien el enfoque de realizar todas las tareas en una única pasada puede resultar obvio
o trivial, la arquitectura SP3 es realmente única en Palo Alto Networks. El objetivo de la
arquitectura es por tanto conseguir que cada tarea fundamental se realice una única vez. La siguiente figura, Figura 44, muestra el concepto de la arquitectura a través de
un ejemplo del flujo general que sigue un paquete al atravesar el equipo. Obsérvese
que cada paquete es inspeccionado efectivamente una única vez por cada módulo:
Figura 44.- Flujo de un paquete en la arquitectura SP3
Por el contrario la siguiente figura, Figura 45, muestra el flujo que sigue un paquete en
una solución UTM en el peor caso. Puesto que se parte de un análisis inicial erróneo (a
nivel 4), es necesario reenviar el paquete múltiples veces a diversos módulos diferentes
para intentar obtener el conocimiento necesario, que permita aplicar después
mecanismos de protección de la aplicación a nivel 7. El resultado, como se mencionó
anteriormente, es que la latencia aumenta significativamente a la par que el throughput
PA – 500 – Documentación para la preventa
Página 69 de 95
se ve reducido drásticamente, cuando se desea utilizar la solución para cualquier otra
cosa que no sea realizar un simple filtrado a nivel 4 (en muchos casos el detrimento del
throughput al habilitar funcionalidades de protección a nivel 7 cae más de un 95%,
comparado con el throughput potencial de la solución cuando se trabaja a nivel 4):
Figura 45.- Flujo de un paquete en un sistema UTM
Arquitectura Single Pass Parallel Processing La arquitectura SP3 representa un concepto revolucionario a la hora de diseñar
equipamiento dedicado a realizar tareas de seguridad. Ha sido concebida para cumplir
dos funciones clave dentro del firewall de nueva generación de Palo Alto Networks. En
primer lugar, la arquitectura single pass realiza todas las operaciones una vez por paquete. Según se procesa un paquete, el routing se realiza una vez, la búsqueda en la
política se realiza una vez, la identificación de la aplicación y la decodificación se realiza
una vez, y el análisis de las amenazas y los contenidos se realiza una vez. Esto reduce
significativamente la cantidad de sobrecarga de procesamiento necesaria para realizar
múltiples funciones. En segundo lugar, la arquitectura single pass utiliza firmas basadas
en patrones uniformes. En lugar de utilizar motores y conjuntos de firmas por
PA – 500 – Documentación para la preventa
Página 70 de 95
separado (lo que requiere múltiples análisis en la exploración) y en lugar de utilizar
servidores proxy (lo que requiere la descarga completa de los archivos antes de
analizarlos), la arquitectura single pass escanea el tráfico de todas las firmas una única
vez y en forma de stream, para evitar introducir latencias.
La siguiente figura, Figura 46, esquematiza el concepto de la arquitectura SP3.
Figura 46.- Arquitectura SP3
Tal y como muestra la Figura 46, el equipo dispone de un backplane de control
separado del de datos. El backplane de control se utiliza para las tareas de gestión y
configuración del equipo y utiliza CPUs Intel Dual Core. El backplane de datos utiliza
las siguientes tecnologías:
Networking: Se utiliza un procesador de red dedicado, que es el encargado de
realizar las tareas de routing, búsqueda de flujos, NAT y otras funciones de red
similares.
User-ID, App-ID y la política de seguridad se ejecutan sobre un conjunto de 4 procesadores de contenidos dedicados, de tipo Cavium. Estos procesadores
incluyen aceleración hardware para realizar las tareas de cifrado, descifrado y
descompresión.
PA – 500 – Documentación para la preventa
Página 71 de 95
Content-ID realiza su análisis a través de un motor software virtual. Este
motor, pionero en la industria, es capaz de buscar y bloquear todo tipo de
malware en una única pasada. Otras aproximaciones requieren dos y hasta tres
motores de inspección diferentes para realizar tareas similares. Los dos
conceptos claves que hacen que este motor funcione son la utilización de firmas
uniformes y el análisis tipo stream. Los patrones de firmas uniformes eliminan
muchos procesos redundantes (reensamblaje TCP, búsqueda, inspección, …) y
permiten que todas ellas estén activas sin degradar el rendimiento. El análisis
basado en streaming permite que los paquetes se comiencen a analizar y a
entregar a su destino final tan pronto llegan, sin necesidad de utilizar grandes
buffers.
Arquitectura hardware del modelo PA-500 La siguiente figura, Figura 47, muestra el detalle de la arquitectura hardware del modelo
PA-500.
Figura 47.- Arquitectura hardware del PA-500
Tal y como se observa la parte de gestión del equipo – Control Plane- y la parte de
operación – Data Plane- se encuentran efectivamente separadas. La parte de control
cuenta con sus propios recursos de memoria y disco, y es donde se realizan todas las
tareas de gestión del equipo. Esta dualidad entre control y datos, permite que las CPUs
PA – 500 – Documentación para la preventa
Página 72 de 95
de control puedan estar saturadas, por ejemplo generando un reporte muy pesado,
mientras que la parte de datos no se ve afectada, puesto que utiliza recursos
independientes.
PA – 500 – Documentación para la preventa
Página 73 de 95
Gestión, visibilidad y reporting La gestión en los equipos de Palo Alto Networks es otro punto clave en el diseño de la
solución. Gracias a la dilatada experiencia del equipo de desarrollo, se ha conseguido
una interfaz simple e intuitiva, a la par que potente, para facilitar al máximo las tareas de
gestión. En general los equipos de PAN se pueden gestionar a través de los siguientes
mecanismos:
CLI por consola
CLI por telnet
CLI por ssh
GUI por http
GUI por https
SNMP (lectura)
La mayoría de las tareas es posible realizarlas a través del interfaz gráfico (GUI), lo que
simplifica mucho las labores de administración. El único elemento que necesita el
administrador es un browser para iniciar una sesión http/https contra el equipo, sin
necesidad de utilizar ningún otro equipo o herramienta externa. Además, los tiempos de
respuesta del GUI son muy buenos gracias al uso de la arquitectura SP3 descrita con
anterioridad, que reserva y segmenta los recursos para cada tarea diferente.
Todos los equipos de PAN cuentan con un disco duro interno encargado de almacenar
los diferentes tipos de logs y reportes. Además, es posible externalizar los logs hacia
terceras herramientas mediante los siguientes mecanismos:
Syslog
Correo electrónico (alertas)
FTP
Panorama (descrito posteriormente)
A continuación revisamos algunas de las tareas fundamentales que es posible realizar
con las herramientas de gestión y reporte de los firewalls de PAN.
Gestión Las tareas fundamentales de gestión, incluyen múltiples capacidades. Revisar todas
ellas queda fuera del alcance de este documento, por lo que revisaremos únicamente
algunas de las tareas más significativas, a modo de ejemplo, entre las que cabe
PA – 500 – Documentación para la preventa
Página 74 de 95
destacar la configuración básica del acceso al equipo, la gestión de versiones de
configuración, la auditoría de configuraciones y el acceso de administradores basado en
roles.
La siguiente figura, Figura 48, muestra un ejemplo de la pantalla de configuración
básica del acceso al equipo:
Figura 48.- Configuración de parámetros básicos de acceso al equipo
La gestión de las configuraciones también es una herramienta muy potente, que permite
validarlas antes de implantarlas en producción, salvarlas, exportarlas, ir a una
configuración guardada anterior o posterior, … Es interesante señalar que el formato
que se emplea para salvar las configuraciones es a través de un fichero de texto, con la
configuración en formato XML.
La siguiente figura, Figura 49, muestra el detalle de las operaciones de gestión de
configuraciones que es posible realizar con los equipos de PAN, a través del interfaz
gráfico:
PA – 500 – Documentación para la preventa
Página 75 de 95
Figura 49.- Gestión de configuraciones
Otra herramienta muy interesante en la gestión de configuraciones es la herramienta de
auditoría. Nos permite comparar dos configuraciones cualesquiera de entre las que
están almacenadas en el equipo, señalando además las diferencias entre ambas para
que el administrador pueda comprobar qué partes de la configuración han cambiado
entre una versión y otra. La siguiente figura, Figura 50, muestra un ejemplo del uso de
la herramienta de auditoría (obsérvese en este ejemplo que en la configuración de la
derecha, el interfaz ethernet1/5 ha cambiado su configuración de tap a layer3 y que se
ha configurado la MTU a 1500 bytes):
Figura 50.- Herramienta de auditoría de configuraciones
El sistema de control de accesos basado en roles (Role Base Access Control – RBAC)
es también una herramienta visual muy potente. Permite establecer controles
prácticamente para todos los elementos de la configuración, así como asignar permisos
de escritura o lectura, en aquellos elementos que afectan a la configuración (por
ejemplo la generación de políticas). Es importante señalar que el interfaz gráfico ha sido
diseñado para que un usuario con menores accesos no note ninguna deformación del
PA – 500 – Documentación para la preventa
Página 76 de 95
mismo. Simplemente se van añadiendo o eliminando pestañas, opciones, … de forma
dinámica y transparente al usuario, en función de sus permisos. También es posible
controlar si se ofrece o no acceso a la administración basada en CLI. La validación de
los usuarios puede realizarse a través de una base de datos local, o integrando la
autenticación contra un servidor externo RADIUS ó LDAP.
La siguiente figura, Figura 51, muestra un ejemplo de control de la configuración de
control de accesos:
Figura 51.- Ejemplo de configuración de control de accesos – RBAC
La gestión de las actualizaciones del equipo (tanto software como actualizaciones
periódicas de aplicaciones, amenazas, …) también se realiza a través del interfaz
gráfico. Para ello el puerto dedicado a la gestión ha de tener conectividad hacia Internet,
de modo que el equipo pueda alcanzar los servicios online que ofrece Palo Alto
PA – 500 – Documentación para la preventa
Página 77 de 95
Networks. La siguiente figura, Figura 52, muestra un ejemplo de la gestión de este tipo
de tareas:
Figura 52.- Ejemplo de configuración de actualizaciones automáticas
Para finalizar con este punto, señalar que la obtención de ficheros de soporte, gestión
de licencias, … también se realiza desde la gestión gráfica. La siguiente figura, Figura
53, muestra un ejemplo:
Figura 53.- Ejemplo de gestión de soporte
PA – 500 – Documentación para la preventa
Página 78 de 95
Reporting y Generación de Informes Reporting El reporting es otra herramienta clave dentro de las soluciones de Palo Alto Networks.
Existen múltitud de herramientas y posibilidades de personalización de informes. A
continuación revisamos solamente alguna de ellas a modo de ejemplo.
Una de las herramientas más utilizadas y potentes es ACC (Application Command
Center). ACC es una función estándar que no requiere configuración y que muestra
gráficamente abundante información sobre la actividad actual de la red, incluyendo
aplicaciones, categorías de URL, amenazas y datos. Si aparece una nueva aplicación
en ACC, un sólo clic muestra una descripción de la aplicación, sus funciones clave, sus
características de comportamiento, quién está utilizando la aplicación y qué reglas de
seguridad permiten que se utilice. Se pueden añadir más filtros para obtener
información adicional sobre el uso de la aplicación para usuarios individuales junto con
las amenazas detectadas en el tráfico de la aplicación. En cuestión de sólo unos
minutos, ACC proporciona a los administradores los datos necesarios para tomar
decisiones de política de seguridad más fundamentadas.
La siguiente figura, Figura 54, muestra un ejemplo de una vista de ACC:
Figura 54.- Ejemplo de vista de ACC
Otra herramienta muy interesante en el análisis del comportamiento de las aplicaciones
y la seguridad es App-Scope. Para complementar la vista en tiempo real de
aplicaciones y contenido proporcionada por ACC, App-Scope ofrece una vista de la
PA – 500 – Documentación para la preventa
Página 79 de 95
aplicación dinámica que el usuario puede personalizar, así como la actividad del tráfico
y las amenazas a lo largo de un periodo de tiempo. Permite hacer análisis comparativos
entre diferentes horas o fechas y obtener también información geográfica sobre el
origen/destino del tráfico o las amenazas. Las siguientes figuras, Figura 55 y Figura 56,
muestran un ejemplo de las diversas vistas que ofrece App-Scope:
Figura 55.- Ejemplo de vista general de App-Scope
Figura 56.- Ejemplo de vista geográfica sobre el origen de los ataques
PA – 500 – Documentación para la preventa
Página 80 de 95
La gestión de los logs detallados también es una funcionalidad muy interesante dentro
de los equipos de PAN. Existen los siguientes seis tipos de logs detallados:
Traffic: Muestra el log de tráfico, en base a las reglas del cortafuegos
Threats: Muestra todas las amenazas detectadas
URL Filtering: Muestra toda la actividad relativa al filtrado de URLs
Data Filtering: Incluye la información relativa a DLP
Configuration: Información sobre la configuración del equipo
System: Información y problemas referentes al sistema
Asimismo existe un potente mecanismo de filtrado de los logs, que permite generar
filtros en base a simples clicks de ratón o utilizando potentes expresiones regulares. La
siguiente figura, Figura 57, muestra un ejemplo de filtrado del log de tráfico. Obsérvese
que se está filtrando por usuario, “Margot Lemaire”, y también por todo el tipo de tráfico
de “Margot” que no es “web-browsing”:
Figura 57.- Ejemplo de log y filtrado
Asimismo es posible obtener vistas detalladas de un determinado tipo de log, donde el
equipo nos muestra además información correlada sobre el resto de logs que están
relacionados con esa misma sesión. Así pues, es posible ver el log de tráfico de una
sesión, junto con el de URL filtering asociada a la misma y el de amenazas. Esta
funcionalidad simplifica enromemente las labores de búsqueda minuciosa de un
determinado tipo de incidente. La siguiente figura, Figura 58, muestra un ejemplo de
este tipo de vista detallada y correlada, entre diferentes logs sobre una misma sesión:
PA – 500 – Documentación para la preventa
Página 81 de 95
Figura 58.- Log de tráfico detallado y correlado con otros logs
También es posible configurar el equipo para que tome capturas en formato PCAP, por
ejemplo de la evidencia de una amenaza, que después es posible ver o exportar. En
este sentido, es importante señalar que a través del CLI es posible realizar capturas de
múltiples tipos, que también se pueden exportar o ver en el equipo. La siguiente figura,
Figura 59, muestra un ejemplo de una captura mostrada a través del GUI:
Figura 59.- Ejemplo de PCAP
PA – 500 – Documentación para la preventa
Página 82 de 95
El sistema también incluye un Browser de sesiones, denominado Session Browser, que
permite seguir una sesión en tiempo real, analizando el detalle de flujos que emplea. La
siguiente figura, Figura 60, muestra un ejemplo del Session Browser:
Figura 60.- Ejemplo de vista con Session Browser
Finalmente decir que también existe un Dashboard central donde se muestra, a modo
de resumen, la información más relevante del equipo. Es posible personalizar la
configuración de los elementos que muestra el Dashboard, así como su disposición
general en la vista. La siguiente figura, Figura 61, muestra un ejemplo de Dashboard:
Figura 61.- Ejemplo de Dashboard
PA – 500 – Documentación para la preventa
Página 83 de 95
Generación de Informes Al igual que con el módulo de reporting y logging vistos anteriormente, la generación de
informes cuenta con multiples herramientas y posibilidades. Además de la generación
de informes, el equipo también permite la programación y envío de los mismos (a
diferentes destinatarios si es necesario), en función del tipo de informe que se genere.
Automáticamente el equipo genera todos los días un informe tipo, con información
ejecutiva sobre la actividad observada el día anterior. La siguiente figura, Figura 62,
muestra un ejemplo de este tipo de reports ejecutivos, automáticamente generados
todos los días:
Figura 62.- Ejemplo de report ejecutivo
PA – 500 – Documentación para la preventa
Página 84 de 95
Es posible personalizar la información que se incluye en este tipo de informes, gracias a
la utilización de una herramienta gráfica que nos permite seleccionar qué información
queremos incluir, así como la disposición de la misma. La siguiente figura, Figura 63,
muestra un ejemplo de generación personalizada de los informes ejecutivos de
actividad diaria. El usuario tiene únicamente que seleccionar los campos de las
diferentes bases de datos de logs que quiere incluir, así como su ubicación en el
reporte:
Figura 63.- Ejemplo de personalización de informes ejecutivos
El módulo de generación de informes incluye además la posibilidad de generar informes
detallados sobre la actividad de los usuarios –User Activity Report- donde aparece
información minuciosa sobre las aplicaciones, categorías, URLs, … que un usuario ha
visitado o utilizado a lo largo de un período de tiempo. También es posible crear grupos
de informes personalizados –Report Groups- donde incluir cualquier tipo de información
que se considere necesaria, así como programar su envío a través de correo
electrónico.
El módulo de generación de informés incluye también múltiples vistas, ya
preconfiguradas, con distintos tipos de reportes que se generan automáticamente con la
actividad del día anterior. Estos informes utilizan una vista similar a la de ACC vista
anteriormente y se ofrecen para las siguientes categorías (cada uno incluye diversos
informes sobre la categoría en cuestión):
Application Reports
Threat Reports
URL Filtering Reports
Traffic Reports
PA – 500 – Documentación para la preventa
Página 85 de 95
La siguiente figura, Figura 64, muestra un ejemplo de este tipo de informes o vistas,
para las 50 Top Connections de un día en concreto (obsérvese que los resultados son exportables en formato PDF ó Excel):
Figura 64.- Ejemplo de reporte de las 50 Top Connections de un día
Al igual que ocurría con los informes ejecutivos, es posible crear nuevos informes
además de los ya preconfigurados. Para ello disponemos nuevamente de una potente
herramienta gráfica, que permite utilizar además expresiones regulares para filtrar los
contenidos que deseamos ver. La siguiente figura, Figura 65, muestra un ejemplo de
generación con esta herramienta:
Figura 65.- Ejemplo de generación de report personalizado
Tal y como se observa se ha decidido generar un informe con los campos “URL
Category”, “URL”, “Repeat Count”, “Application”, “App Subcategory” y “Destination
Address” (se pueden añadir más, o eliminar y también ordenar). Además se ha hecho
uso de una funcionalidad interesante, denominada reportes multidimensionales, que
permite utilizar varias tablas en la generación de los informes. En este caso se ha
utilizado como base de datos fundamental para generar el informe la de URLs, y se ha
PA – 500 – Documentación para la preventa
Página 86 de 95
decidido obtener un informe que incluya las 5 URLs más visitadas de los 5 usuarios más
activos en un período de tiempo (en concreto la última hora). La siguiente figura, Figura
66, muestra el resultado tras ejecutar el reporte:
Figura 66.- Resultado de reporte multidimensional personalizado
Se observa que efectivamente el informe generado incluye información de la tabla de
URLs y también la de usuarios, de forma que se consigue obtener información
multidimensional (top 5 URLs por top 5 Users).
API XML de Reporting Para poder extraer la información que ofrece el módulo de reporting de los firewalls de
PAN hacia sistemas externos, los equipos cuentan también con una API XML,
denominada RESTful, que permite pedir un reporte cualquiera al sistema y obtener la
información en un fichero de texto, con formato XML.
La API acepta los siguientes tipos de consultas:
Generación de la clave de acceso: type=keygen
Configuración del equipo: type=config
Reporting: type=report
Antes de poder utilizarla es necesario generar una clave de sesión, a través de la
solicitud de una URL como la siguiente:
https://hostname/esp/restapi.esp?type=keygen&user=usuario&passwor
d=password
PA – 500 – Documentación para la preventa
Página 87 de 95
El resultado debe ser un bloque XML similar al siguiente:
<response status="success"> <result> <key>k7J335J6hI7nBxIqyfa62sZugWx7ot%2BgzEA9UOnlZRg=</key> </result> </response>
Una vez que se dispone de la clave, ya es posible realizar consultas a la API en las que
es obligatorio incluir dicha clave de sesión.
La API permite obtener tanto información de configuración, como también de los
informes que almacena el equipo. A continuación se muestra un ejemplo de la URL de
solicitud de configuración y el resultado:
https://hostname/esp/restapi.esp?type=config&action=show&key=clave&xpath=devices/entry/vsys/entry/rulebase/security <response status="success" code="19"> <result total-count="1" count="1"> <security> <rules> <entry name="Do Not Traffic Log"> <from> <member admin="jstarr" time="2009/05/01 16:46:47">tapzone</member> </from> <to> <member admin="jstarr" time="2009/05/01 16:46:47">tapzone</member> </to> <source> <member admin="jstarr" time="2009/05/01 16:46:47">any</member> </source> <source-user> <member admin="jstarr" time="2009/05/01 16:46:47">any</member> </source-user> <destination> <member admin="jstarr" time="2009/05/01 16:46:47">LocalServers</member> </destination> <service> <member admin="jstarr" time="2009/05/01 16:46:47">any</member> </service> <application> <member admin="jstarr" time="2009/05/01 16:46:47">any</member> </application> <action admin="jstarr" time="2009/05/01 16:46:47">allow</action> <disabled admin="jstarr" time="2009/05/01 16:46:47">no</disabled> <negate-source admin="jstarr" time="2009/05/01 16:46:47">no</negate-source> <negate-destination admin="jstarr" time="2009/05/01 16:46:47">no</negate-destination> </entry> ... </rules> </security> </result> </response>
Para los reports relacionados con los informes, es posible solicitar los siguientes tres
tipos:
Reportes dinámicos (ACC): reporttype=dynamic
PA – 500 – Documentación para la preventa
Página 88 de 95
Reportes predefinidos: reporttype=predefined
Reportes personalizados: reporttype=custom
Finalmente, a continuación se muestra un ejemplo de la URL de solicitud de un informe
y el resultado que ofrece la API (reporte dinámico –ACC-, de las 5 aplicaciones top
durante la última hora):
https://hostname/esp/restapi.esp?type=report&reporttype=dynamic&reportname=top-app-summary&period=last-hour&topn=5&key=clave <response status="success"> <report name="Top applications" logtype="trsum" start="2009/04/28 22:01:44" end="2009/04/28 23:01:43" generated-at=" <entry> <app>web-browsing</app> <risk-of-app>4</risk-of-app> <bytes>2217402093</bytes> <sessions>111991</sessions> </entry> <entry> <app>dns</app> <risk-of-app>4</risk-of-app> <bytes>40766771</bytes> <sessions>69377</sessions> </entry> <entry> <app>bittorrent</app> <risk-of-app>5</risk-of-app> <bytes>32287216</bytes> <sessions>30586</sessions> </entry> <entry> <app>azureus</app> <risk-of-app>5</risk-of-app> <bytes>62451289</bytes> <sessions>24603</sessions> </entry> <entry> <app>netbios-ns</app> <risk-of-app>2</risk-of-app> <bytes>1592712</bytes> <sessions>15751</sessions> </entry> </report> </response>
Panorama: Gestión centralizada de múltiples dispositivos Además de la propia gestión realizada contra el equipo, Palo Alto Networks también
ofrece a los clientes la posibilidad de adquirir una consola de gestión centralizada,
denominada Panorama. Se trata de una herramienta que utiliza el mismo formato de
consola que el de los equipos, y que permite gestionar desde un punto centralizado
multiples dispositivos, así como ampliar la capacidad de logging de los discos
integrados en los firewalls físicos.
Panorama proporciona visibilidad global y control sobre múltiples equipos de PAN, a
través de un interfaz web tan potente y sencillo como el de los propios equipos. Así
pues, no es necesario instalar ningún tipo de cliente dedicado para poder utilizar la
solución de gestión centralizada.
PA – 500 – Documentación para la preventa
Página 89 de 95
Panorama se comercializa como virtual appliance y está disponible para sistemas
VMware Workstation (incluyendo el reproductor gratuito VMware player) o VMware ESX. La siguiente figura, Figura 67, muestra un ejemplo de diseño de red con
Panorama como estación central de gestión:
Figura 67.- Ejemplo de diseño de red con Panorama
Tal y como se observa en la Figura 67, es posible gestionar diferentes tipos y modelos
de equipos, todos desde la misma ubicación central donde se instala Panorama.
A continuación se detallan las capacidades más significativas de Panorma,
comparándolas con la gestión individual por máquina:
Capacidad Gestión con Panorama Gestión Web del equipo Gestión de múltiples equipos Sí No Visibilidad global de varios equipos Sí No Logging/reporting Global Sí No Application Command Center Sí Sí App-Scope Sí Sí Editor de Políticas Sí Sí Interfaz Web Sí Sí Políticas compartidas Sí No Role-based administration Sí Sí Requiere cliente dedicado No No
PA – 500 – Documentación para la preventa
Página 90 de 95
La funcionalidad de políticas compartidas, permite distribuir políticas comunes entre
diferentes cortafuegos. Para ello se utiliza un conjunto de Pre y Post rules, que se
aplicarán en todos los equipos (antes o después de sus reglas particulares). Los
administradores locales en cada equipo podrán ver esas reglas, pero solamente un
administrador de Panorama puede modificarlas o eliminarlas. De este modo las políticas
compartidas permiten establecer a los administradores centrales una guía de política
base para todos los equipos gestionados, permitiendo reducir los esfuerzos en la
gestión de múltiples plataformas, así como posibles errores humanos. La siguiente
figura, Figura 68, muestra un ejemplo de las Pre y Post rules (marcadas en verde), que
se compartirán en todos los equipos. En este ejemplo se añaden dos reglas al final en
todos los equipos, que se encargarán de hacer drop del tráfico que no haya sido
permitido anteriormente, así como de registrarlo:
Figura 68.- Ejemplo de políticas compartidas con Panorama (Pre y Post rules)
Para finalizar, señalar que también es posible centralizar otras tareas de gestión en
Panorama, como puede ser por ejemplo la gestión de licencias, actualizaciones de
contenidos (App-ID, Content-ID) o la generación de reportes e informes. Además es
posible obtener vistas globales, que incluyan todos los equipos gestionados, o
particulares para uno en concreto.
PA – 500 – Documentación para la preventa
Página 91 de 95
Anexo A: Características técnicas del PA-500 A continuación resumimos las características técnicas más importantes del modelo PA-
500 de Palo Alto Networks. Se dividen en diferentes categorías para facilitar la
búsqueda de datos:
Especificaciones Hardware:
Capacidad Valor (PA-500) Puertos Ethernet 10/100/1000 (integrados en cobre) 8 Disco duro >= 80 GB Puerto dedicado para gestión out of band Sí (cobre) Puerto de consola Sí (RJ-45) Arquitectura hardware separada para gestión y FW Sí CPU de gestión Intel Core 2 Duo (600 MHz) RAM de gestión 3 GB Flash de gestión 32 MB Dimensiones 1,75” x 10” x 17” (1 U) Peso 3,6 Kg Voltaje de entrada 110-240 VAC Frecuencia de entrada 50-60 Hz Corriente máxima (Inrush) 110A@230Vac; 51A@115Vac Máximo consumo de corriente 1 A Consumo (medio/máximo) 40W/75W Disipación de calor (medio/máximo) 137 BTUh/256 BTUh Nivel de ruido 52,2 dBA MTBF (Mean Time Between Failures) 10,16 años VCCI Clase A
Certificaciones UL, CUL, CB, FCC class A, CE
class A, VCCI class A, TUV Norma RoHS (Reduction of Hazardous Substances) Sí (clase 5 y clase 6) Condiciones de operación (temperatura) 0-50ºC Condiciones de operación (humedad) 10-90%
Especificaciones de Capacidad:
PA – 500 – Documentación para la preventa
Página 92 de 95
Capacidad Valor (PA-500) Throughput Firewall (con AppID) Hasta 250 Mbps Throughput IPS + Antivirus + URL Filtering Hasta 100 Mbps Nuevas sesiones por segundo Hasta 7.500 Máximo número de sesiones 64.000 Throughput IPSec VPN Hasta 50 Mbps Número de túneles/interfaces IPSec VPN Hasta 250 Usuarios concurrentes SSL VPN Hasta 100 Latencia <= 1 ms
Especificaciones de Gestión:
Capacidad Valor (PA-500) Gestión por CLI Sí (consola, Telnet y SSH) Gestión gráfica (GUI) Sí (HTTP, HTTPs y Panorama) Soporte a SNMP Sí (lectura) API XML Sí Exportación de los logs Sí (Syslog, FTP, SCP y TFTP) Soporte a RBAC Sí Auditoría de configuraciones diferentes Sí Bloqueo de la cuenta de administrador Sí (varios intentos fallidos)
Especificaciones de Networking:
Capacidad Valor (PA-500) Routing estático Sí Routing dinámico Sí (RIP, OSPF y BGP) Soporte a Vlan tagging (802.1q) Sí Soporte de Jumbo Frames Sí Soporte a PPPoE Sí Policy Based Routing (PBF) Sí Soporte a NAT y PAT Sí Soporte a RBAC Sí VPNs Site to Site (IPSec) Sí DHCP Sí (Server y Relay) Routers virtuales Hasta 2 QoS (Calidad de Servicio) Sí Soporte a DCSP Sí
PA – 500 – Documentación para la preventa
Página 93 de 95
Soporte a IPv6 Sí (en modo Virtual Wire) HA (Alta Disponibilidad) Sí
Capacidades de reconocimiento de aplicaciones (AppID):
Capacidad Valor (PA-500) Detección de aplicaciones a nivel 7 Sí (más de 1050) Subcategorización de las aplicaciones Sí Análisis de comportamiento de las aplicaciones Sí Identificación independiente del puerto Sí Identificación sobre TCP, UDP e ICMP Sí Asociación de riesgo de uso de la aplicación Sí (1-4) Uso múltiple de las aplicaciones identificadas Sí (seguridad, QoS, PBF…) Identificación de aplicaciones bajo SSL Sí (entrada y salida) Visibilidad de la aplicación Sí (múltiples informes) Capacidad de generar firmas personalizables para aplicaciones propietarias
Sí
Integración de aplicación con usuarios Sí (UserID) Actualización periódica automática Sí
Capacidades de integración con directorios de usuarios (UserID):
Capacidad Valor (PA-500) Visibilidad de logs en base a usuarios Sí (múltiples informes y logs) Gestión de políticas en base a usuarios/grupos Sí Integración con Microsoft Active Directory Sí Integración con Novell eDirectory Sí Integración con otros directorios LDAP Sí (API) Soporte a usuarios Citrix Sí Soporte a usuarios de Microsoft Terminal Server Sí Autenticación de usuarios vía RADIUS Sí Autenticación de usuarios vía LDAP Sí Portal cautivo con formulario de autenticación Sí Portal cautivo con autenticación transparente Sí (NTLM)
Capacidades de seguridad (ContentID):
Capacidad Valor (PA-500) Arquitectura de firewall basada en zonas Sí
PA – 500 – Documentación para la preventa
Página 94 de 95
Modos de trabajo Tap, en línea (IPS), L2 y L3 Prevención de amenazas (IPS) Sí (también IDS) Prevención de virus Sí Prevención de spyware Sí Prevención de escaneos de red Sí (horizontales y verticales) Protección frente a ataques de DoS Sí Detección de anomalías de red Sí Detección de intentos de spoofing Sí Generación de filtros de seguridad personalizables
Sí
Compatible con CVE Sí Filtrado de URLs Sí Base de datos de URLs Sí (local y distribuida con caché) URLs manuales Sí Listas blancas/listas negras de URLs Sí Análisis de ficheros Sí (modo streaming) Gestión y control de ficheros (DLP) Sí Búsqueda de patrones en contenidos (DLP) Sí
Licenciamiento Por equipo y no por número de
usuarios Actualizaciones periódicas y automáticas Sí
Capacidades de generación de informes:
Capacidad Valor (PA-500) Análisis del estado de la red, usuarios, … Sí (ACC) Informes ejecutivos preconfigurados Sí Informes ejecutivos personalizables Sí Informes sobre actividad de usuarios Sí (UserID y URL filtering) Capacidad de combinar múltiples informes Sí Información sobre uso y tendencias Sí (AppScope) Información geográfica sobre ataques o tráfico Sí Informes sobre QoS Sí (tiempo real) Envío de informes Sí (correo electrónico) Requiere herramientas o servicios externos No
PA – 500 – Documentación para la preventa
Página 95 de 95
Anexo B: URLs de interés A continuación mostramos algunas URLs donde es posible obtener información extra
interesante, sobre las soluciones de Palo Alto Networks:
Web official: http://www.paloaltonetworks.com
Partner site (requiere login): http://www.paloaltonetworks.com/partner/index.php
Support site (requiere login, con cuenta diferente a la del partner site):
https://support.paloaltonetworks.com/pa-portal/index.php
Knowledgebase (requiere login, puede ser el mismo que el de soporte):
https://live.paloaltonetworks.com/community/knowledgepoint
DevCenter (requiere login, puede ser el mismo que el de soporte):
https://live.paloaltonetworks.com/community/devcenter
Applipedia (lista todos los App-IDs soportados. Existe una versión gratuita
disponible para iPhone en el Apple Store):
http://ww2.paloaltonetworks.com/applipedia/
Consultas URL a Brightcloud: http://www.brightcloud.com/support/lookup.php
Herramienta de consolidación de costes y ahorros:
http://ww2.paloaltonetworks.com/tco/
Página de Palo Alto Networks en español: http://www.paloaltonetworks.es
Breve demo online del producto en español:
http://www.exclusive-networks.com/downloads2/es/Microsite_PAN/Anexos/Flash_Demo/index.html
top related