Firewalls de Siguiente Generación

Expandiendo la seguridad
a Nivel aplicación, usuario y contenido
Vicente Monarque
vmonarque@paloaltonetworks.com
Agenda

•  Stateful Inspection + Modulos ( IPS, AV, AC ) ≠ NGFW

•  Que hace un NGFW ( APP-ID , Content-ID ) ?

•  Malware Moderno / Bonets por comportamiento

•  Visibilidad

Page 2 | © 2012 Palo Alto Networks. Proprietary and Confidential

 Descripción Técnica

•  Wiki Stateful Inpection:

En computo un stateful firewall (cualquier
firewall que realiza stateful packet
inspection (SPI) o stateful inspection) es
un firewall que mantiene rastreando el
estado de las conexiones de red ( flujos de
comunicación TCP ,UDP) que lo atraviesan.
Este tipo de firewall esta programado para
distinguir paquetes legitimos para diferentes
tipos de conexiones. Solo los paquetes que
concuerdan con las conexiones activas son
lo que seran permitidos por el firewall otros
paquetes serán rechazados.

0 7 8 15 16 23 24 31
Ver Hdr Len Service Type Total Length
Identification Flags Fragment Offset
Time To Live Protocol Header Checksum
Source IP Address
Destination IP Address
IP Options (If Any) Padding
Data
…
Lo más cercano de Stateful Inspection hacia Aplicaciones:
ALG

Data FW/NAT
194.90.81.144
ALGs ayudaron
a:
-  Dynamic Ports Internet Protocol

como:
Source: 194.90.81.144
Source: 194.90.133.115

Destination: 194.90.133.115
194.90.133.116

User Datagram Protocol

FTP, RPC SIP/Phone
10.10.10.117 Source port:
Source port: 61455
61455IP Network
IP Network
Destination port: 5060

Session Initiation Protocol

Request- Line: INVITE sip:1060@194.90.133.116

sip:1060@194.90.133.115 SIP/2.0
-Funcionalidades SIP Server
194.90.133.115
Via: SIP/2.0/UDP
Via: SIP/2.0/UDP 10.10.10.117:5060
10.10.10.117:5060

de: sip:kagoor63@194.90.133.116
From: sip:kagoor63@194.90.133.115
To: sip:1060@194.90.133.115
sip:1060@194.90.133.116

NAT SIP/H.323 Contact:

Contact: <sip:kagoor63@10.10.10.117:5060>
<sip:kagoor63@10.10.10.117:5060>

Session Description Protocol Version (v): 0

Owner Address: 10.10.10.117

Connection
Connection Address:
Address: 10.10.10.117
10.10.10.117

Media
Media Port:
Port: 20304
20304
Media Proto: RTP/AVP
Que  siguió?  la  solución  “UTM”  

IPS  PolíCca   AV  PolíCca  

URL  Filtering  PolíCca   IPS  Signatures   AV  Signatures  

Firewall  PolíCca   HTTP  Decoder   IPS  Decoder   AV  Decoder  &  Proxy  

Port/Protocol-­‐based  ID   Port/Protocol-­‐based  ID   Port/Protocol-­‐based  ID   Port/Protocol-­‐based  ID  

L2/L3  Networking,  HA,   L2/L3  Networking,  HA,   L2/L3  Networking,  HA,   L2/L3  Networking,  HA,  
Config  Management,   Config  Management,   Config  Management,   Config  Management,  
ReporCng   ReporCng   ReporCng   ReporCng  

Page 5 | © 2008 Palo Alto Networks. Proprietary and Confidential

Las aplicaciones han cambiado .. y el FW NO
•  El Firewall es el punto
indicado para hacer el
control de aplicaciones
•  Ve todo el trafico
•  El firewall es un punto de
control de lógica positiva

PERO … las aplicaciones cambiaron

y el Firewall?
•  Ports ≠ Applications
•  IP Addresses ≠ Users
•  Packets ≠ Content

Necesitamos reestablcer visibilidad y control al firewall

Page 6 | © 2012 Palo Alto Networks. Proprietary and Confidential.
App-ID = Habilitador de Aplicaciones

Es un solo mecanismo ; Un habilitador basado en políticas

App-ID

App1
App2
Traffic App3
App4

•  Siempre es la primera accion, siempre habilitado, siempre rastreando el

estado , en TODO el trafico, en TODAS las aplicaciones, en TODOS los
puertos

Identificando la aplicación como paso inicial es la unica

forma de habilitar aplicaciones
Page 7 | © 2012 Palo Alto Networks. Proprietary and Confidential
Tecnologias que diferencian a un NGFW

• App-ID™
• Identify the application

• User-ID™
• Identify the user

• Content-ID™
• Scan the content

Page 8 | © 2012 Palo Alto Networks. Proprietary and Confidential.

Haciendo  que  la  búsqueda  de  contenido  trabaje  para  la  red    
Búsqueda por archivos Búsqueda por flujos
ID ID
Content Content
Buffer File Scan Content

Scan File Deliver Content

Deliver Content

Time Time

•  Basado  en  flujos,  no  en  archivos,  para  rendimiento  en  Cempo  
real  
-  Reensamblado  dinámico    
•  Motor  uniforme  de  búsqueda  para  un  gran  numero  de  
amenazas  en  una  sola  pasada  
•  Detección  de  amenazas  que  cubre  exploits  de  vulnerabilidades  
(IPS),  virus,  y  spyware  (ambos  de  descarga  y  phone-­‐home)
Page 9 | © 2008 Palo Alto Networks. Proprietary and Confidential
 Arquitectura SP3

Arquitectura de un solo
paso en paralelo (SP3)
Un paso
Proceso de un paso para:
-  Clasificación de trafico (app
identification)
-  Mapeo de Usuario/grupo

-  Búsqueda de contenido –
amenazas, URLs, DLP, etc.
Una Política
Proceso en paralelo
Motores de función especifica en
hardware
Proceso Multi-core para
seguridad
Planos de datos/control
separados

Hasta 10Gbps, baja latencia

Page 10 | © 2009 Palo Alto Networks. Proprietary and Confidential.
Corresponde al Firewall habilitar la seguridad
NGFW Application Control
•  Application control is in the firewall = single Traffic Application
policy
•  Visibility across all ports, for all traffic, all the Firewall IPS
time
Implications Applications
•  Network access decision is made based on App Ctrl Policy Scan Application
application identity
Decision for Threats
•  Safely enable application usage

Application Control as an Add-on

•  Port-based FW + App Ctrl (IPS) = two policies
Traffic Port
•  Applications are threats; only block what you
Firewall IPS expressly look for
Implications
Applications
•  Network access decision is made with no
information
Port Policy App Ctrl Policy
Decision Decision •  Cannot safely enable applications

Page 11 | © 2012 Palo Alto Networks. Proprietary and Confidential

Que alcanzas a ver…con un FW basado en puertos +
Application Control Add-on

Page 12 | © 2012 Palo Alto Networks. Proprietary and Confidential.

Cuando deberias de estar viendo lo que un verdadero
Next-Generation Firewall puede ver

Page 13 | © 2012 Palo Alto Networks. Proprietary and Confidential.

 Control en la superficie de analisis de la Red

Solamente     Limipiamos  el  trafico  

permi?mos   que  por  todas  las  
las  aplicaciones   amenzas  en  un  solo  
necesarias   paso    

»  Trafico limitado a las »  Biblioteca de amenazas

aplicaciones completa sin tener puntos
aprobadas por la ciegos.
empresa basadas en ü Bi-directional inspection
APP y Usuario. ü Scans inside of SSL
»  Superficie de ataque ü Scans inside compressed
reducida files
ü Scans inside proxies and
»  Universo de aplicaciones tunnels

Page 14 | © 2012 Palo Alto Networks. Proprietary and Confidential

Métodos de control de amenazas
•  Encrypted Traffic
Inspect within SSL

Circumventors and Tunnels Proxies

Encryption (e.g. SSL) Common user-driven evasion

Remote Desktop
Increasingly popular tool for end-
users

Proxies (e.g CGIProxy) •  Compressed Content

Compression (e.g. GZIP) ZIP files and compressed HTTP
(GZIP)
ß Outbound C&C Traffic

•  Encrypted Tunnels
Hamachi, Ultrasurf, Tor
Purpose-built to avoid security
Page 15 | © 2012 Palo Alto Networks. Proprietary and Confidential
Amenazas desconocidas

•  NGFW clasifica todo el trafico Encontrar al

conocido
usuario en
-  Personalización App-IDs especifico que
potencialmente esta
•  Cualquier otro tráfico se debe de
investigado como aplicación comprometido por
desconocida para ser investigado un Bot

-  Usado para encontrar botnets o 10.1.1.101 10.1.1.56

amenazas desconocidas 10.0.0.24 10.1.1.34
192.168.1.5 10.1.1.277
10.1.1.16 192.168.1.4
•  Behavioral Botnet Report 192.168.124.5 192.168.1.47

-  Automáticamente correlaciona
comportamiento con usuario final
Jeff.Martin
-  Unknown TCP and UDP, Dynamic DNS,
Repetición/Intentos de download files,
Contacto con DNS recientemente
registrados, etc

Page 16 | © 2012
2010 Palo Alto Networks. Proprietary and Confidential
Confidential.
 Estrategia en Malware Moderno

Infection

Escalation

Remote Control

Malware provee un punto de expasión y vulnerabilidad

claro en las redes.
Page 17 | © 2012 Palo Alto Networks. Proprietary and Confidential
Arquitectura de WildFire

Compare to Known Files

Sandbox Environment

Signature Generator

Admin Web Portal

New Signatures
Unknown Firewall Delivered to ALL
Files From Submits File Firewalls. Portal
Untrusted to WildFire provides malware
Zones Cloud forensics

Page 18 | © 2012 Palo Alto Networks. Proprietary and Confidential

Logs tradicionales

Page 20 | © 2012 Palo Alto Networks. Proprietary and Confidential

Reportes por usuario/aplicacion/Contenido
consolidado

Page 21 | © 2012 Palo Alto Networks. Proprietary and Confidential

Manejo de incidentes de seguridad

Page 22 | © 2012 Palo Alto Networks. Proprietary and Confidential

REPORTES NGFW

Page 23 | © 2007 Palo Alto Networks. Proprietary and Confidential

Resumen
•  Un NGFW esta enfocado a habilitar con seguridad las
aplicaciones
•  Al contener métodos unificados se incrementa notablemente su
capacidad de inspeccion que teniendo modulos separados
como en la arquitectura tradicional.
•  El enfoque de identificación de usuarios permite facilidad en
creación de políticas, reportes y un mejor manejo de
incidencias.
•  La visibilidad en reportes y logs hace que el administrador tenga
un conocimiento de que es lo que esta ocurriendo en su red,
cambios de trafico, Geolocalización y consumo de aplicaciones,
convirtiendo su operación en algo conocido.
•  Análisis de Malware moderno
•  Análisis por comportamiento

Page 24 | © 2007 Palo Alto Networks. Proprietary and Confidential

 Gracias !

Page 25 | © 2007 Palo Alto Networks. Proprietary and Confidential