Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
Introduccin
Sin lugar a dudas, las redes son ahora ms complejas que nunca. Sus empleados tienen acceso a todas las
aplicaciones que deseen, utilizando dispositivos tanto para el trabajo como para uso personal. Muchas veces
estas aplicaciones se usan tanto para asuntos personales como en relacin con el trabajo, pero con frecuencia
los riesgos para el negocio y para la seguridad no son tenidos en cuenta. Los nuevos empleados potenciales
preguntan acerca de las polticas de uso de aplicaciones antes de aceptar sus nuevos trabajos. La incorporacin
de una nueva capa de complejidad es la preocupacin subyacente sobre la eficacia de su postura acerca de la
ciberseguridad. Est amenazado su negocio? Es una cuestin de cundo, en lugar de y si...? Y se encuentra
usted lo suficientemente preparado? La complejidad de su red y su infraestructura de seguridad puede limitar
o reducir su capacidad para responder a estos y a otros problemas de ciberseguridad.
Al aumentar los lmites de complejidad o retardar el proceso de toma de decisiones, casi siempre es til centrarse
en lo fundamental como medio de hacer frente a la situacin actual de una manera ms eficaz. Con esta forma de
ver las cosas nos recordamos a nosotros mismos las tres funciones fundamentales para las que se dise su firewall:
1) Operar como el ncleo de la infraestructura de seguridad de la red.
2) Actuar como punto de control de acceso para todo el trfico, permitiendo o denegando el trfico en la red
en funcin de polticas.
3) Eliminar el riesgo de lo desconocido usando un modelo de control positivo que se limita a establecer
una estrategia del tipo permitir lo que desea y denegar implcitamente todo lo dems.
Con el tiempo, las funciones fundamentales que ejecutaba su firewall han sido anuladas por el propio trfico
que tenan que controlar. Las aplicaciones han evolucionado hasta un punto donde el firewall, la base de su
infraestructura de seguridad, tiene problemas para ejecutar los niveles de control que necesita para proteger
sus activos digitales.
Las tcticas de evasin basadas en el salto de puerto, el uso de puertos no estndar y el uso del cifrado son algunas
de las formas mediante las cuales las aplicaciones se han vuelto ms accesibles. Estas mismas tcnicas tambin
las usan los atacantes cibernticos tanto directamente, en las ciberamenazas que crean, como indirectamente,
ocultando las amenazas dentro del trfico de las aplicaciones. Para complicar an ms los retos que suponen
estas aplicaciones modernas, sus empleados probablemente estn usando dichas aplicaciones para poder
realizar su trabajo. Veamos algunos ejemplos de las aplicaciones y amenazas encontradas en su red.
Aplicaciones comunes de usuario final: son aplicaciones de redes sociales, comparticin de archivos,
vdeos, mensajera instantnea y correo electrnico. En conjunto representan aproximadamente el 25% de
las aplicaciones de su red y el 20% del ancho de banda. Los empleados pueden usar algunas de ellas con
fines laborales; en otros casos ser para uso estrictamente personal. Estas aplicaciones suelen tener una
Pgina 2
gran capacidad de extensin y con frecuencia incluyen funciones que pueden introducir riesgos injustificados.
Estas aplicaciones representan tanto riesgos empresariales como de seguridad y su desafo ser cmo
lograr el equilibrio bloqueando algunas y habilitando otras de forma segura.
Aplicaciones empresariales esenciales: se trata de las aplicaciones que permiten que su empresa funcione
y albergan sus activos ms preciados (bases de datos, servicios de archivos e impresin y directorios). Este
grupo de aplicaciones suelen ser blanco de los atacantes cibernticos que usan ataques polifacticos y su
reto ser encontrar la mejor manera de aislarlas y protegerlas de ataques furtivos que burlan fcilmente
su firewall y su IPS mediante tcnicas de evasin comunes.
Aplicaciones personalizadas y de infraestructura: este grupo de aplicaciones representa aplicaciones de
infraestructura centrales, como SSL, SSH y DNS, as como aplicaciones desarrolladas internamente,
personalizadas o desconocidas. Estas aplicaciones se usan a menudo para enmascarar trfico de mando
y control generado por bots y otros tipos de malware. Curiosamente, muchas de estas aplicaciones usan
una amplia variedad de puertos no estndar. 85 de las 356 aplicaciones que usan SSL nunca usan el puerto
443 ni puertos definidos para SSL (37 saltan de puerto, 28 usan tcp/80, 20 usan puertos que no son tcp/443).
Para tratar de responder a estos desafos ha habido un incremento en el foco de qu es lo fundamental del firewall y
todos los proveedores de firewalls de red han rediseado su forma de identificar y controlar el trfico basndose en
la propia aplicacin en lugar de hacerlo solo en el puerto y el protocolo. En conjunto, los firewalls que son capaces de
ejercer un control basado en aplicaciones se conocen como de nueva generacin y todos los proveedores de firewalls admiten que el control de aplicaciones es un aspecto cada vez ms importante en la seguridad de redes.
Hay dos razones obvias para este nuevo inters en lo fundamental. En primer lugar, las aplicaciones y las
amenazas asociadas pueden eludir fcilmente los firewalls basados en puertos y elementos de prevencin de
amenazas aadidos. En segundo lugar, el firewall es el nico lugar que ve fluir todo el trfico de su red y sigue
siendo la ubicacin ms lgica para implantar polticas de control de acceso. El valor de este enfoque renovado
es evidente: debe mejorar su enfoque de seguridad a la vez que debe reducirse o, como mnimo mantenerse
constante, el esfuerzo administrativo asociado a la gestin del firewall y la respuesta ante incidencias.
Pgina 3
El firewall de nueva generacin aumentar la visibilidad y la comprensin del trfico de las aplicaciones
en su red?
Las opciones de respuesta de la poltica de control del trfico permitirn hacer ms cosas que simplemente
permitir o denegar?
Su red estar protegida de amenazas y ataques cibernticos, tanto conocidos como desconocidos?
Puede identificar y gestionar sistemticamente el trfico desconocido?
Puede implementar las polticas de seguridad que desea sin poner en peligro el rendimiento?
Se reducirn los esfuerzos administrativos que dedica su equipo a la gestin del firewall?
Su trabajo de gestin de riesgos ser ms fcil y eficaz?
Las polticas que habilite podrn contribuir al fondo del negocio?
Si la respuesta a las preguntas anteriores es s, entonces su decisin de realizar la transicin de firewalls
antiguos a firewalls de nueva generacin es fcil de justificar. El siguiente paso es tener en cuenta las
soluciones alternativas que ofrecen los proveedores de firewalls. A la hora de evaluar las alternativas
disponibles, es importante tener en cuenta las diferencias arquitectnicas entre las ofertas de firewalls
de nueva generacin y las consecuencias asociadas en cuanto a funciones y caractersticas, operaciones
y rendimientos reales.
Pgina 4
Pgina 5
Pgina 6
Su prximo firewall tiene que identificar y controlar aplicaciones en todos los puertos,
en todo momento.
Modelo de negocio: Los desarrolladores de aplicaciones ya no adoptan el estndar de mapeo puerto/protocol/
aplicacin.. Cada vez ms aplicaciones en su red son capaces de funcionar en puertos no estndar o pueden
saltar de puerto (por ejemplo, las aplicaciones de mensajera instantnea, de intercambio de archivos P2P o de
VoIP). Adems, los usuarios ya tienen los conocimientos suficientes como para forzar que las aplicaciones se
ejecuten a travs de puertos no estndar (por ejemplo, RDP o SSH). Con el fin de hacer cumplir las polticas
especficas de la aplicacin donde los puertos son cada vez ms irrelevantes, su prximo firewall debe asumir
que cualquier aplicacin puede ejecutarse en cualquier puerto. El concepto de cualquier aplicacin en cualquier
puerto es uno de los cambios fundamentales en el panorama de aplicaciones que est impulsando la migracin
de firewalls basados en puertos a firewalls de nueva generacin. La estrategia cualquier aplicacin en cualquier
puerto tambin pone de manifiesto por qu un modelo de control negativo no puede solucionar el problema.
Si una aplicacin puede trasladarse a cualquier puerto, un producto basado en control negativo necesitara
contar con conocimientos previos o ejecutar todas las firmas en todos los puertos constantemente.
Requisitos: este es sencillo. Tiene que asumir que cualquier aplicacin se puede ejecutar en cualquier puerto
y que su prximo firewall debe clasificar el trfico por aplicacin en todos los puertos en todo momento, de
manera predeterminada. La clasificacin del trfico en todos los puertos ser un tema recurrente en todos los
puntos que quedan; de lo contrario, los controles basados en puertos seguirn siendo burlados por las mismas
tcnicas que los han atormentado durante aos.
Pgina 7
Los proxies externos y las aplicaciones de tneles cifrados no relacionados con VPN se usan especficamente
para eludir los controles de seguridad existentes mediante varias tcnicas de evasin. Estas aplicaciones
no tienen valor comercial para su red, ya que estn diseadas para eludir la seguridad, introduciendo
riesgos para el negocio sin precedentes.
Las herramientas de administracin de servidor/escritorio remoto, como RDP y Teamviewer, normalmente
las usan los profesionales de soporte y TI para trabajar de manera ms eficaz. Tambin las usan con
frecuencia empleados para eludir el firewall y establecer conexiones con su ordenador personal u otro ordenador
situado fuera de la red. Los atacantes cibernticos saben que estas aplicaciones se usan con frecuencia y hay
casos documentados pblicamente en el Verizon Data Breach Report (DBIR) y el informe Mandiant en los
que estas herramientas de acceso remoto han sido ejecutadas en una o ms de las fases del ataque.
Para ser claros, no todas estas aplicaciones conllevan los mismos riesgos: las aplicaciones de acceso remoto
tienen usos legtimos, igual que muchas aplicaciones de tnel cifrado. Sin embargo, estas mismas herramientas
son utilizadas cada vez con ms frecuencia por los atacantes como parte de ataques persistentes continuados. Sin la
capacidad de controlar estas herramientas de evasin de la seguridad, las empresas no pueden aplicar sus polticas
de seguridad y por tanto se exponen a los mismos riesgos que pensaban que sus controles estaban deteniendo.
Requisitos: hay diferentes tipos de aplicaciones de evasin y cada una usa tcnicas ligeramente diferentes.
Existen proxies externos tanto pblicos como privados (consulte proxy.org para ver una extensa base de datos
de proxies pblicos) que pueden usar tanto HTTP como HTTPS. Los proxies privados a menudo se configuran
en direcciones IP no clasificadas (como ordenadores personales) con aplicaciones como PHProxy o CGIProxy.
Las aplicaciones de acceso remoto como RDP, Teamviewer o GoToMyPC tienen usos legtimos, pero debido al
riesgo asociado deben ser administradas con mayor vigilancia. La mayor parte del resto de evasores (Ultrasurf,
Tor, Hamachi), no tienen ninguna utilidad comercial en su red. Sea cual sea su poltica de seguridad, su prximo
firewall debe incluir tcnicas especficas para identificar y controlar todas estas aplicaciones, independientemente
del puerto, el protocolo, el cifrado u otras tcticas evasivas. Una consideracin ms: las aplicaciones que habilitan
la evasin se actualizan peridicamente para que sean ms difciles de detectar y controlar. Por lo tanto, es importante
no solo entender que su prximo firewall pueda identificar estas aplicaciones de elusin, sino tambin saber
con qu frecuencia se actualiza y mantiene la inteligencia de las aplicaciones del firewall.
Pgina 8
Pgina 9
de normas internas o reglamentarias. Otro ejemplo puede ser el correo de Google (Gmail) y la aplicacin Google Talk
(Gtalk). Una vez que un usuario inicia sesin en Gmail, que puede estar permitido por las polticas, puede cambiar
fcilmente el contexto a Gtalk, que no se puede permitir. Su prximo firewall debe ser capaz de reconocer y gestionar
caractersticas y funciones individuales, de modo que se pueda implementar una poltica apropiada.
Requisitos: su prximo firewall debe clasificar continuamente cada aplicacin y realizar un seguimiento de los
cambios que puedan indicar que se est utilizando una funcin diferente en este momento. El concepto de clasificacin de trfico sobre la premisa crear una regla estricta segn la primera vez no es una opcin, ya que
pasa por alto el hecho de que estas aplicaciones de uso general comparten sesiones y dan soporte a mltiples
funciones. Si se introduce una funcin o caracterstica diferente en la sesin, el firewall debe guardarla dentro de las tablas de estado y realizar una comprobacin de polticas. La supervisin continua del estado para
comprender las diferentes funciones que cada aplicacin puede admitir, y los diferentes riesgos asociados, es
un requisito fundamental que debe cumplir su prximo firewall.
Pgina 10
la capacidad de ver todo el trfico desconocido, en todos los puertos, en una consola de gestin nica y analizar
rpidamente el trfico para determinar si (1) es una aplicacin interna o personalizada, (2) si es una aplicacin
comercial sin una firma o (3) es una amenaza. Adems, su prximo firewall debe proporcionarle las herramientas
necesarias, no solo para ver el trfico desconocido sino tambin para gestionarlo sistemticamente, controlndolo
mediante polticas, creando firmas personalizadas, enviando un PCAP de las aplicaciones comerciales para su
posterior anlisis o realizando investigaciones forenses para determinar si se trata de una amenaza.
Su prximo firewall debe buscar amenazas en todas las aplicaciones, en todos los puertos.
Modelo de negocio: las empresas adoptan una amplia gama de aplicaciones para el desarrollo del negocio,
bien alojadas internamente o fuera de su ubicacin fsica. Tanto si se trata de servicios alojados de SharePoint,
Box.net, Google Docs, Microsoft Office365, como de una aplicacin de extranet alojada por uno de sus socios,
muchas organizaciones tienen la necesidad de utilizar alguna aplicacin que pueda usar puertos no estndar,
que utilice SSL o que comparta archivos. En otras palabras, estas aplicaciones hacen posible el desarrollo del
negocio, pero tambin pueden actuar como un vector de amenazas cibernticas. Por otra parte, algunas de estas
aplicaciones (por ejemplo, SharePoint) se basan en tecnologas soporte que son objetivos habituales de los
exploits (por ejemplo, IIS, SQL Server). El bloqueo de la aplicacin no es adecuado, pero tampoco lo es permitir
ciegamente aplicaciones que representen riesgos potenciales para el negocio y la seguridad ciberntica.
Esta tendencia a utilizar puertos no estndar se acenta significativamente en el mundo del malware. Dado que
el malware reside en la red y la mayora de las comunicaciones implican un cliente malicioso (el malware) que
se comunica con un servidor malicioso (mando y control), entonces el atacante tiene plena libertad para utilizar
cualquier combinacin de puerto y protocolo que elija. De hecho, en un reciente anlisis de tres meses, el 97%
de todo el malware desconocido liberado a travs de FTP utiliza puertos no estndar.
Requisitos: parte de la habilitacin segura es permitir una aplicacin y rastrearla en busca de amenazas. Estas
aplicaciones pueden comunicarse a travs de una combinacin de protocolos (por ejemplo, SharePoint utiliza CIFS,
HTTP y HTTPS, y requiere de una poltica de firewall ms sofisticada que nicamente la de bloquear la aplicacin).
El primer paso es identificar la aplicacin (independientemente del puerto o el cifrado), determinar las funciones
que quiera permitir o denegar y, a continuacin, analizar los componentes permitidos buscando cualquiera de
las amenazas -exploits, virus/malware o spyware...- o incluso informacin confidencial o sensible.
Pgina 11
Su prximo firewall debe realizar controles constantes de todos los usuarios, independientemente de su ubicacin o tipo de dispositivo.
Modelo de negocio: cada vez ms usuarios se encuentran fuera de las cuatro paredes de la empresa, muchas
veces accediendo a la red corporativa mediante telfonos inteligentes o tabletas. Hoy en da una parte importante
de su fuerza de trabajo externa trabaja de forma remota. Ya sea trabajando desde un cibercaf, desde casa, o
desde las instalaciones del cliente, los usuarios esperan poder conectarse a sus aplicaciones a travs de la WiFi,
la banda ancha inalmbrica o por cualquier medio disponible. Independientemente de dnde se encuentre el
usuario, o incluso de dnde est la aplicacin que estn utilizando, se debe aplicar siempre el mismo nivel de
control por parte del firewall. Si su prximo firewall permite la visibilidad de aplicaciones y el control del trfico
dentro de las cuatro paredes de la empresa pero no en el exterior, dejar de tener control sobre el trfico con
mayor riesgo potencial.
Requisitos: conceptualmente esto es bastante simple: su prximo firewall debe tener visibilidad y control de trfico
constantes, con independencia del lugar donde se encuentre el usuario. Esto no significa que la organizacin tenga
las mismas polticas para ambos; por ejemplo, puede que algunas organizaciones quieran que los empleados utilicen
Skype cuando se encuentren de viaje, pero no dentro de la sede, mientras que otros pueden tener una poltica
para que si se est fuera de la oficina, los usuarios no puedan descargar archivos adjuntos de salesforce.com a
menos que tengan activado el cifrado del disco duro. Su prximo firewall debera poder realizar esto sin ralentizar
significativamente la actividad del usuario final, o suponer una molestia operativa injustificada para el administrador,
o un coste significativo para la organizacin.
Pgina 12
los diferentes dispositivos? Las instalaciones tpicas de firewall basadas en puertos tienen polticas con reglas
que incluyen miles de ellas, aadiendo adems miles de firmas de aplicaciones en decenas de miles de puertos,
lo que provoca un considerable aumento de la complejidad.
Requisitos: su negocio se basa en las aplicaciones, los usuarios y el contenido, y su prximo firewall debe permitir
que usted construya polticas que apoyen directamente sus iniciativas empresariales. El uso de un contexto
compartido de aplicacin, usuario y contenido en todos los aspectos (visibilidad, polticas de control, logging y
reporting) le ayudar a simplificar su infraestructura de seguridad de manera significativa. Las polticas de
firewall basadas en direccin IP y puerto, adems de las polticas separadas para el control de aplicaciones,
IPS y antimalware slo complicarn el proceso de gestin de polticas y pueden incluso llegar a obstaculizar la
actividad del negocio.
Su prximo firewall debe ofrecer la misma capacidad y rendimiento con un control total
de aplicaciones.
Modelo de negocio: muchas organizaciones se esfuerzan por hallar un equilibrio entre rendimiento y seguridad.
Con demasiada frecuencia, activar determinadas caractersticas de seguridad en su firewall acarrea aceptar
una disminucin significativa de la capacidad y el rendimiento. Si su firewall de nueva generacin est diseado
correctamente, este compromiso no es necesario.
Requisitos: la importancia de la arquitectura es evidente tambin en este caso, de una manera diferente. Improvisar
un firewall basado en puertos junto con otras funciones de seguridad de diferentes orgenes tecnolgicos, implica
por lo general la existencia de capas de red, motores de anlisis y polticas redundantes, lo que finalmente se
traduce en un rendimiento deficiente. Desde el punto de vista del software, el firewall debe estar diseado para
hacer esto desde el principio. Adems, dada la necesidad de realizar tareas de procesamiento intensivas (como
por ejemplo, identificacin de la aplicacin, prevencin de amenazas en todos los puertos, etc.) ejecutadas
sobre altos volmenes de trfico y con baja tolerancia a la latencia asociada con la infraestructura crtica, su
prximo firewall debe tener tambin un hardware diseado para dichas tareas, es decir, un sistema especfico
dedicado para networking, seguridad y anlisis de contenidos.
Pgina 13
10
Su prximo firewall debe ofrecer las mismas funciones propias de un firewall, tanto en
forma de hardware como virtualizada.
Modelo de negocio: el crecimiento exponencial de la virtualizacin y de la computacin en la nube introduce
nuevos retos de seguridad que son difciles o imposibles de gestionar con eficacia por parte de los firewalls antiguos debido a su funcionalidad inconsistente, a la disparidad en la gestin y a la falta de puntos de integracin
con el entorno de virtualizacin. Con el fin de proteger el trfico que entra y sale del centro de datos, as como
dentro de sus entornos virtualizados, su prximo firewall debe ser compatible con las mismas funcionalidades
tanto en formato hardware como virtual.
Requisitos: la creacin y eliminacin dinmica de aplicaciones dentro de un centro de datos virtualizado agrava
los problemas de identificacin y control de aplicaciones de un enfoque centrado en la direccin IP y el puerto.
Adems de ofrecer las caractersticas ya descritas en las 10 cosas que su prximo firewall debe hacer tanto en
formato hardware como virtual, es imprescindible que su prximo firewall proporcione una integracin profunda con el entorno de virtualizacin para simplificar la creacin de polticas basadas en aplicaciones a medida
que se abren y se cierran nuevas mquinas virtuales y aplicaciones. Esta es la nica manera de asegurarse de
que es capaz de dar soporte a la evolucin de las arquitecturas de centros de datos con flexibilidad operativa
mientras que hace frente a los riesgos y a los requisitos de cumplimiento de normativas.
Los firewalls deben poder habilitar aplicaciones de forma segura para el funcionamiento
del negocio
Sus usuarios continan adoptando nuevas aplicaciones y tecnologas, a menudo para poder desempear su
trabajo, pero sin demasiada consideracin con los posibles riesgos en la seguridad y en su negocio. En algunos
casos, si su equipo de seguridad bloquea estas aplicaciones, se podrn producir problemas para el desarrollo
del negocio.
Las aplicaciones son la forma en la que los empleados realizan su trabajo y mantienen la productividad equilibrando
las distintas prioridades personales y profesionales. Debido a esto, la habilitacin segura de aplicaciones es la
forma de establecer correctamente las polticas. Para habilitar de forma segura aplicaciones y tecnologas en
su red, as como las operaciones empresariales basadas en ellas, los equipos de seguridad de red tienen que
poner en prctica las polticas adecuadas que gobiernan su uso y tambin los controles capaces de aplicarlas.
En las 10 cosas que su prximo firewall debe hacer se describen las capacidades fundamentales que permitirn a
las organizaciones habilitar el uso de aplicaciones de forma segura y, en definitiva, hacer posible el desarrollo
de su negocio. El siguiente paso es traducir esos requisitos en hechos; seleccionar un proveedor a travs de un
proceso de Solicitud de Propuesta (RFP) y evaluar formalmente las ofertas de solucin, lo que deriva en ltima
instancia en la adquisicin e implementacin de un firewall de nueva generacin.
Pgina 14
Copyright 2013, Palo Alto Networks, Inc. Todos los derechos reservados. Palo Alto
Networks, el logotipo de Palo Alto Networks, PAN-OS, App-ID y Panorama son marcas
comerciales de Palo Alto Networks, Inc. Todas las especificaciones estn sujetas a
modificaciones sin previo aviso. Palo Alto Networks no asume ninguna responsabilidad
por imprecisiones en este documento ni por la obligacin de actualizar la informacin de
este documento. Palo Alto Networks se reserva el derecho a cambiar, modificar, transferir
o revisar de otro modo esta publicacin sin previo aviso. PAN_WP_10PT_ES_091013