Escolar Documentos
Profissional Documentos
Cultura Documentos
Expandiendo la seguridad
a Nivel aplicación, usuario y contenido
Vicente Monarque
vmonarque@paloaltonetworks.com
Agenda
• Visibilidad
0 7 8 15 16 23 24 31
Ver Hdr Len Service Type Total Length
Identification Flags Fragment Offset
Time To Live Protocol Header Checksum
Source IP Address
Destination IP Address
IP Options (If Any) Padding
Data
…
Lo más cercano de Stateful Inspection hacia Aplicaciones:
ALG
Data FW/NAT
194.90.81.144
ALGs ayudaron
a:
- Dynamic Ports Internet Protocol
como:
Source: 194.90.81.144
Source: 194.90.133.115
Destination: 194.90.133.115
194.90.133.116
de: sip:kagoor63@194.90.133.116
From: sip:kagoor63@194.90.133.115
To: sip:1060@194.90.133.115
sip:1060@194.90.133.116
Connection
Connection Address:
Address: 10.10.10.117
10.10.10.117
Media
Media Port:
Port: 20304
20304
Media Proto: RTP/AVP
Que
siguió?
la
solución
“UTM”
L2/L3
Networking,
HA,
L2/L3
Networking,
HA,
L2/L3
Networking,
HA,
L2/L3
Networking,
HA,
Config
Management,
Config
Management,
Config
Management,
Config
Management,
ReporCng
ReporCng
ReporCng
ReporCng
App-ID
App1
App2
Traffic App3
App4
• App-ID™
• Identify the application
• User-ID™
• Identify the user
• Content-ID™
• Scan the content
Deliver Content
Time Time
• Basado
en
flujos,
no
en
archivos,
para
rendimiento
en
Cempo
real
- Reensamblado
dinámico
• Motor
uniforme
de
búsqueda
para
un
gran
numero
de
amenazas
en
una
sola
pasada
• Detección
de
amenazas
que
cubre
exploits
de
vulnerabilidades
(IPS),
virus,
y
spyware
(ambos
de
descarga
y
phone-‐home)
Page 9 | © 2008 Palo Alto Networks. Proprietary and Confidential
Arquitectura SP3
Arquitectura de un solo
paso en paralelo (SP3)
Un paso
Proceso de un paso para:
- Clasificación de trafico (app
identification)
- Mapeo de Usuario/grupo
- Búsqueda de contenido –
amenazas, URLs, DLP, etc.
Una Política
Proceso en paralelo
Motores de función especifica en
hardware
Proceso Multi-core para
seguridad
Planos de datos/control
separados
Remote Desktop
Increasingly popular tool for end-
users
• Encrypted Tunnels
Hamachi, Ultrasurf, Tor
Purpose-built to avoid security
Page 15 | © 2012 Palo Alto Networks. Proprietary and Confidential
Amenazas desconocidas
- Automáticamente correlaciona
comportamiento con usuario final
Jeff.Martin
- Unknown TCP and UDP, Dynamic DNS,
Repetición/Intentos de download files,
Contacto con DNS recientemente
registrados, etc
Page 16 | © 2012
2010 Palo Alto Networks. Proprietary and Confidential
Confidential.
Estrategia en Malware Moderno
Infection
Escalation
Remote Control
Sandbox Environment
Signature Generator
New Signatures
Unknown Firewall Delivered to ALL
Files From Submits File Firewalls. Portal
Untrusted to WildFire provides malware
Zones Cloud forensics