Por que um proxy?

• Segurança – Ponto de Acesso Central com Internet;

• AAA – Autenticação, Autorização, Auditoria;
• Visibilidade e Segurança para tráfego de O365;
• Cache (Web e Video);
• Bloqueio de URL;
• Filtro de URL Automatizado com:
• Categorias
• Risco
• BC: SLA >95%

• Flexibilidade na Integração com outras tecnologias (Malware,

DLP, SIEM, etc).
Mais informações: https://www.bluecoat.com/company-blog/2015-06-17/why-proxy
Copyright © 2016 Blue Coat Systems Inc. All Rights Reserved. 1
Arquitetura de um proxy
GIN

www
Proxy Firewall

Diretório A Cache

Reporter

Copyright © 2016 Blue Coat Systems Inc. All Rights Reserved. 2

O que é um NGFW ?
O que eles são?
• Combinação de firewall, VPN, roteadores,
AV, IPS, Filtro URL, Application ID, etc.
O que reinvindicam?
• Nós podemos fazer tudo. Você não precisa
de um Proxy!
• Um fabricante, uma plataforma
• Nosso firewall suporta 10 Gbps+
• Filtro de conteúdo é apenas uma Fonte: blog.fortinet.com

licença/feature.
• Simplicidade e segurança
Copyright © 2016 Blue Coat Systems Inc. All Rights Reserved. 3
Arquitetura de um NGFW
DPI

tcp reset

www
NGFW
!
• IPS
• AV
• SSL Inspection
• Antispyware
• URL Filtering
Diretório A • Sandbox

Copyright © 2016 Blue Coat Systems Inc. All Rights Reserved. 4

Blue Coat SWG – Diferenças
• NGFW • Blue Coat
• Plataforma Multi-função • Alto desempenho (incluindo SSL)
• Preço / Custo • Cache & Otimização de Video
• Integração com AD (Apenas • Granularidade de Políticas
Identificação dos usuários) • Inteligência de Níveis de Risco
• Geolocation
• Autenticação (9 tipos)
• Decriptografia TLS/SSL
• Precisão de Filtro Web
• Alto Poder de Integração com outras
ferramentas
• Relatórios Executivos/Operacionais
• Implemetação em modelo Hibrido.
Copyright © 2016 Blue Coat Systems Inc. All Rights Reserved. 5
O Que diz o Gartner

“The ProxySG family remains the

strongest proxy in the market in
terms of breadth of protocols and the
number of advanced features.”

“The combined company has been

aggressive in integrating key
products and features”

- Gartner 2017 SWG Magic Quadrant

Copyright © 2016 Blue Coat Systems

CopyrightInc.
© 2016
All Rights
Blue Coat
Reserved.
Systems
Blue
Inc.
Coat
AllConfidential
Rights Reserved. 6
O que o mercado diz?
A Blue Coat(Agora Symantec) é pelo décimo ano consecutivo o líder do quadrante
mágico do Gartner para Secure Web Gateway, ”Blue Coat significantemente teve uma
ótima performance frente seus competidores”. Claramente, o Gartner não compara
soluções de NGFWs com SWGs por serem totalmente diferentes.

De acordo com o Gartner: “O [Blue Coat] ProxySG é o proxy mais robusto do mercado
em termos de suporte a protocolos e quantidade de funcionalidades avançadas. Ele
suporta uma enorme quantidade de protocolos assim como extensivas opções de
autenticações e integrações com diretórios.”

Analistas importantes de mercado acreditam que NGFW e SWG são tecnologias de

segurança diferentes e mercados separados: ”Embora NGFWs consolidem stateful
firewall e intrusion prevention em um único appliance, os principais analistas não
sugerem que NGFWs substituam ou realizem funções estratégicas de um SWG”.

Copyright © 2016 Blue Coat Systems Inc. All Rights Reserved. 7

 Next Generation Firewalls
Rentável mas… e se habilitarmos todas as funcionalidades?
Performance é reduzida drasticamente
Exemplo com um modelo PA-5060 NGFW
• 1 Gbps throughput puro de firewall
• 500 Mbps de throughput com firewall/Threat Prevention
• Não há dados apresentados quando SSL, autenticação e URL Filtering são ativos
• A performance esperada fica entre 100-200 Mbps com todas opções habilitadas
SSL
• Alto impacto de performance pode afetar outros serviços
• Considerável impacto de CPU quando funcionalidade é ativa
• Feedback de campo = aumento de sizing 4-5x se SSL decrypt faz parte do
escopo
17Gbps para 108Mbps = mais caixas = mais $
Fonte: Network World Test

Copyright © 2016 Blue Coat Systems Inc. All Rights Reserved. 8

Análise “Kill Chain”
Relatório baseado na metodologia Lockheed Martin apresentado pelo Comitê de
Comércio, Ciência e Transporte no Senado Americano em 26 Março 2014

“Outro passo importante de proteção que ter sido

tomado é um forte bloqueio entre os sistemas
Internos da Target e a Internet (e.x., roteando
tráfego através de um proxy) a fim de ajudar
quebrar a conexão “command and control” com o
atacante. Target poderia também ter usado filtros ou
mesmo bloqueios certas conexões de Internet
usualmente utilizadas para “command and control”.

Fonte: http://www.commerce.senate.gov/public/?a=Files.Serve&File_id=24d3c229-4f2f-405d-b8db-a3a67f183883
Copyright © 2016 Blue Coat Systems Inc. All Rights Reserved. 9
 Does the Palo Alto Networks

Escaneamento de conteúdo Firewall Scan RAR Files for

Viruses?

• Escaneamento baseado em Streaming RAR files are not scanned for

viruses. Only ZIP and GZIP are
• Não escanea todo conteúdo currently supported. The reason is
related to how compression works
• Busca pacotes por regras IPS a medida que passa for RAR, which would make the
por ele firewall need to proxy the entire file
to scan it. This would create a
• Falha em caso de fragmentação de pacotes significant impact to the
performance.
• Não consegue detectar malware arquivos .rar Source: https://live.paloaltonetworks.com/docs/DOC-2219

• Não consegue detectar malware em mais de 3

níveis de compactação

Copyright © 2016 Blue Coat Systems Inc. All Rights Reserved. 10

Advanced Security Gateway e O365
Objetivos Como a solução Cumpre os Objetivos
Tráfego SSL O ASG fornece Visibilidade do Tráfego do O365.

Compliance nas Políticas de Segurança Utilizando o ASG como gateway para o O365 evitamos o acesso direto de
dispositivos que não devem acessar a internet diretamente.

Verificação de Status do Certificado
O método de acesso do O365 (nuvem) faz a Microsoft um alvo comum para
ataques de certificado. Na verdade, casos de comprometimento nos
certificados da Microsoft já ocorreram em 2001, 2008, e 2012. Para proteger
os usuários de tais ataques a Blue Coat aplica o Online Certificate
Status Protocol (OCSP) para verificar o status dos certificados do Office 365
em tempo real. Se o certificado foi comprometido ou revogado o ASG bloqueia
o acesso e notifica os usuários e administradores.

Custo de Operação de Firewall e Disponibilidade dos A Microsoft publica mais de 175 IPs publicos do O365, estes endereços
mudam constantemente. Desde janeiro a agosto de 2014, eles mudaram 216
Serviços. vezes. Portanto ao bypassar o proxy a equipe de firewall precisa sincronizar
manualmente um conjunto de regras de firewall que abrange esses
endereços. Esta é uma tarefa difícil para qualquer equipa firewall. Erros de
Sincronia e configuração levam a interrupção nos serviços aumentando o
custo e o risco de indisponibilidade.

Network Content Caching Ganhos de até 25% nos documentos do O365. Se Office 365 tráfego ignora o
proxy, esses ganhos são perdidos.

Copyright © 2016 Blue Coat Systems Inc. All Rights Reserved. 11

Next Generation Firewalls
Comparação das funcionalidades
Function Blue Coat ProxySG NGFW – vendor X
URL Filtering GIN: 13 anos de experiência em Serviço de classificação de URL
classificação de sites, 85 categorias, muito novo e imaturo.
50 línguas, níveis de risco, até 4 Falta expertise em idiomas diferentes
categorias por URL. Utilizada por 95% do inglês
da Fortune 100
Autenticação Mais de 18 métodos de autenticação Suporte limitado de integração com o
suportados incluindo AD & SAML – MS-AD, apenas identifica o usuário.
autenticação real suportada incluindo Não possui processo de AAA.
407/401 challenges

SSL Interception Integração com PKI do cliente, suporte Suporte limitado de cifras, o que
a mais de 19 cifras, disponível a mais significa bypass em diversos sites.
de 9 anos nas soluções.
Recomendação de bypassar o
tráfego O365 devido ao alto número
Tráfego O365 Suporte total ao tráfego do O365,
de conexões por usuário, o que afeta
fornecendo visibilidade e segurança
de forma consistente o desempenho
do equipamento.
Copyright © 2015 Blue Coat Systems Inc. All Rights Reserved. 12
Next Generation Firewalls
Rentável… comparação de compatibilidade de cifras
Blue Coat ProxySG NGFW – vendor X
AES128-SHA256 RSA-AES256-CBC-SHA
AES256-SHA256 RSA-AES128-CBC-SHA
AES128-SHA RSA-3DES-EDE-CBC-SHA
AES256-SHA RSA-RC4-128-SHA
DHE-RSA-AES128-SHA RSA-RC4-128-MD5
DHE-RSA-AES256-SHA TLS_RSA_WITH_AES_128_CBC_SHA256
DES-CBC3-SHA TLS_RSA_WITH_AES_256_CBC_SHA256
RC4-SHA
RC4-MD5
Por que me importar?
DES-CBC-SHA
EXP-DES-CBC-SHA
Muitos sites migraram para cifras mais
EXP-RC4-MD5
seguras e não mantém compatibilidade
EXP-RC2-CBC-MD5
com cifras antigas e inseguras.
ECDHE-RSA-AES128-SHA
ECDHE-RSA-AES256-SHA
Como resultado o NGFW não consegue
ECDHE-RSA-AES128-SHA256
interceptar ou bloquear esses sites
ECDHE-RSA-AES128-GCM-SHA256
ECDHE-RSA-RC4-SHA

Copyright © 2015 Blue Coat Systems Inc. All Rights Reserved. 13

Top 10 reasons to deploy Proxy with NGFW

1. Tecnologias de Secure Web Gateway e NGFW Servem Diferentes Propósitos

2. Blue Coat WebPulse Oferece Capacidade Superior a um NGFW
3. Blue Coat Oferece a Engine de Categorização Mais Flexível do Mercado
4. Blue Coat Oferece a Categorização Mais Granular ao nível de URL
5. Os Números de Performance Podem ser Equivocados
6. NGFWs Possuem Abordagem de Detecção Vulnerável Gerando Falhas de Segurança
7. Tecnologia Única da Blue Coat em Cache de Conteúdo Web
8. Tecnologia Blue Coat de Stream Splitting
9. Blue Coat Ofefece Alta Flexibilidade e Controle de Políticas Granulares
10. ProxySG Secure Web Gateway é uma Plataforma Baseada em Arquitetura Aberta

Copyright © 2015 Blue Coat Systems Inc. All Rights Reserved. 14