Llegamos a ustedes gracias a:



Reportajes y análisis

La nueva generación de firewalls

[21/11/2011] La nueva generación de firewalls cumple con la red de esta generación y el entorno de amenazas.
Los firewalls tradicionales de inspección de estado, con sus controles basados en puertos y protocolo, tienen una visibilidad limitada en el panorama contemporáneo de redes basadas en web. Gracias a la explosiva popularidad de la Web 2.0, miles de negocio, aplicaciones y ataques basados en web son lanzados principalmente a través de la capa de aplicación. Los firewalls de inspección no pueden distinguir las aplicaciones que están pasando a través de HTTP y HTTPS en los puertos 80 y 443. Los atacantes se han convertido en expertos en el uso de técnicas lentas de ataques dirigidos que escapan a la prevención de intrusiones (IPS).
Lo que hacen los firewalls de la próxima generación
Los verdaderos firewalls de la nueva generación realizan una inspección profunda de paquetes para identificar el tráfico de aplicaciones en la capa 7, realizando una única inspección que integra firewall, prevención de intrusiones y capacidades de seguridad adicionales en un solo dispositivo de alto rendimiento. La inteligencia de las aplicaciones, junto con la información de identidad del usuario, proporcionan el contexto para las reglas de acceso altamente granular del firewall, que permiten la detección de ataques contemporáneos basados en web. Las empresas pueden aplicar políticas de uso y seguridad aceptables, de manera que tengan sentido para el negocio, en contraste con políticas de blanco o negro como "No se puede utilizar Facebook" o "Tenemos que dejar que todo el mundo use Facebook".
Se trata de un mercado de rápido crecimiento, creado cuando Palo Alto Networks apareció en escena en el año 2007, con las capacidades que caracterizan a lo que ahora se conocen como firewalls de nueva generación. La mayoría de proveedores de firewalls y gestión de amenazas unificadas han introducido, o por lo menos están desarrollando, los productos de seguridad de red que proporcionan aplicaciones de grano fino y controles de usuario en la gestión integrada de alto rendimiento y aplicaciones.
"Los IPS debieron combinarse con los firewalls mucho antes", señala Greg Young, vicepresidente de investigación de Gartner. "Los IPS se dispararon hasta más de mil millones de dólares y adquirieron vida propia; nadie los estaba integrando. Los firewalls de redes de nueva generación de Palo Alto cambiaron el juego, y los vendedores titulares de firewall se han visto obligados a reaccionar para cumplir con esa amenaza".
La adopción de firewalls de nueva generación fue de entre el 5% y el 10% del total de aparatos de firewall en el 2010, según un informe conjunto de Infinity Research y TechNavio Insights, y se espera que ganen una significativa cuota de mercado en los próximos años. Gartner ha predicho que los firewalls de nueva generación comprenderán un 35% de los firewalls instalados a fines del 2014 y el 60% de todas las compras de firewall.
En algunos casos, las empresas están desplegando la nueva generación delante de sus firewalls e IPS existentes para obtener los beneficios de la aplicación por capas y el filtrado de usuarios, sin tener que hacer una gran venta de reemplazo. En otros casos, pusieron los nuevos firewalls detrás de los existentes IPS para ver qué pasaba.
"Ellos lo ven como un complemento", señala Lisa Phifer, presidente de la consultora Core Competence. "También desean aplicar granularidad adicional o utilizar uno de la generación para actuar como una comprobación de validez si pasa algo que no se esperaba".
Pero esa es la excepción, añade Young. Hoy en día, el 95% de las compras de última generación son los reemplazos de firewall, a medida que la nueva tecnología demuestra su valor y se ha ampliado la selección de proveedores.
Conduciendo el mercado de firewalls de próxima generación: Primero la consolidación y el costo
Los controles y seguridad basados en aplicaciones proporcionan el factor de flash y frialdad, pero el caso del negocio con frecuencia se basa en el ahorro y la reducción de gastos generales de administración que vienen con la consolidación de varios productos de seguridad en una plataforma integrada que satisfaga las necesidades más exigentes de las redes empresariales.
"Se hizo evidente que se podría consolidar muchas de las tecnologías que estábamos viendo", señala David Rahbany, director de infraestructura de TI en Hain Celestial Group. Hain ha adquirido y desarrollado los aparatos de nueva generación de Fortinet cuando se consolidó la conectividad entre los sitios distribuidos y los centros de datos corporativos de VPN basados en Internet, hacia una red multiprotocolo de conmutación por etiquetas (MPLS).
"En realidad el hilo conductor son los costos asociados con el despliegue de MPLS". Podríamos centrar nuestro perímetro de seguridad en muchos sitios, para que los productos de nueva generación estén más adecuados a nuestras necesidades. "Rahbany también citó un mejor control de la gestión para un número relativamente pequeño de personal TI.
El fin de un ciclo normal de actualización para los dispositivos de perímetro es el momento adecuado para buscar la sustitución, pero se puede hacer un caso para el ciclo de implementación de la nueva generación, si el ahorro y los beneficios son convincentes. Por ejemplo, 24-Hour Fitness, uno de los clientes de Palo Alto Networks, tenía un año más en la depreciación de sus firewalls existentes, pero notó que el ahorro en la compra temprana compensaría la depreciación perdida.
"Era más inteligente combinar todo -firewall, detección de malware, filtrado web, gestión de amenazas- a un costo más bajo", señala Jason Kwong, director de operaciones de TI y de seguridad. "La justificación no fue difícil".
Sin embargo, aunque el ahorro de costos y la consolidación son de suma importancia, el conocimiento y control de aplicaciones (lo que los jóvenes de Gartner llaman el "chisporroteo") también son un factor clave. Los aparatos de nueva generación permiten que las empresas establezcan políticas y normas que reflejen el moderno entorno de las TI empresariales basadas en web, incluyendo el creciente uso de la Web 2.0, tanto para uso comercial como personal. Igualmente, la tecnología se puede utilizar para supervisar y exigir el cumplimiento de estas políticas. También proporciona la capacidad para identificar miles de aplicaciones individuales y establecer normas que rijan no solo a las permitidas, sino bajo qué circunstancias y por quién.
Así, por ejemplo, las aplicaciones peer-to-peer pueden ser prohibidas, pero Skype puede ser autorizado para los usuarios que tienen una necesidad comercial legítima para ello. Todos los usuarios pueden estar autorizados a utilizar Facebook, pero el acceso a las aplicaciones del sitio podría estar bloqueado.
Desde una perspectiva de seguridad, los aparatos de última generación proporcionan un filtrado y detección de amenazas mucho más fuertes que la combinación de servidores de seguridad tradicionales, IPS independientes y otros productos de seguridad, como el filtrado de URL. Si el aparato está llevando a cabo la inspección profunda de paquetes en el firewall, se puede reducir el tráfico de las aplicaciones autorizadas y de los usuarios con mayor eficiencia y simplificar la detección de posibles ataques, centrándose en lo que todavía está pasando. El frente de inspección de un solo paso permite que el producto correlacione y analice los diversos motores de la seguridad.
"En muchos sentidos, este es un llamado para mejores IPS estén al tanto de protocolos y aplicaciones", afirma Rick Moy, presidente y CEO de NSS Labs. "Ahora es imperativo que el firewall conozca más acerca de las aplicaciones, ya que tienen que trabajar en conjunto con las IPS para proporcionarles un contexto para que hagan su trabajo".
Por ejemplo, señala Moy, el firewall puede decirle al módulo IPS que la aplicación que se utiliza es Skype, y los IPS pueden centrarse en la detección de ataques dirigidos hacia Skype, en lugar de aplicar la totalidad de sus miles de firmas para cada paquete.
"La otra cara de la habilitación es si puedo limitar el número de aplicaciones que pueden penetrar en la red, con lo que controlaría parte de los ataques", señala Chris King, director de marketing de producto de Palo Alto Networks.
Este enfoque integrado hace que sea más fácil rastrear el origen de un potencial evento de seguridad que con aparatos separados, y efectivamente reduce los falsos positivos y falsos negativos asociados a los IPS.
"Hemos mitigado el riesgo de facilitar el acceso a las aplicaciones y obtuvimos un mejor conocimiento de quién está usando qué y cómo", agrega Rahbany. "Tenemos la supervisión de la gestión que nos faltaba. Estamos en una mejor posición para anticipar las amenazas y administrar el ancho de banda y aplicaciones".
La evaluación de las herramientas de nueva generación: Qué buscar
Los firewalls de nueva generación son productos complejos, y los vendedores claman una impresionante gama de capacidades. Determinar qué tan bien un aparato responde a sus necesidades requiere comprender los requisitos de su empresa, y mucha investigación y pruebas.
Mire debajo del capó. Todos los vendedores afirmarán tener una salsa especial para hacer ese vudú que dicen que hacen tan bien, pero la nueva generación requiere una ingeniería sofisticada de hardware y software que no existía hasta hace unos años. Mantenga los pies del proveedor en el fuego para que expliquen su arquitectura de software y hardware, y cómo se debe realizar el procesamiento, la inspección, la correlación y el análisis necesarios. Consulte también las revisiones y análisis de terceros.
Las preguntas que debe hacer son:
* ¿Hay realmente una sola pasada de inspección apalancada por los distintos motores en la caja?
* ¿La inspección tendrá lugar en el firewall, donde efectivamente se puede pre-filtrar el tráfico y proporcionar un contexto para los IPS y otras herramientas integradas?
* ¿El firewall y los IPS están totalmente integrados, o simplemente envasados en la misma caja?
* ¿El producto se ejecuta en un hardware estándar o como un dispositivo dedicado? La tendencia general en TI ha sido hacia el uso de hardware estándar, pero la nueva generación requiere aparatos especialmente diseñados que puedan satisfacer sus demandas en un entorno empresarial.
* ¿Han construido productos realmente nuevos o simplemente han adaptado el firewall existente y la tecnología IPS? La mayoría de los vendedores, con excepción de Palo Alto, tienen firewall y motores IPS existentes, y ahora están tratando de integrar el control de aplicaciones y otras características con las herramientas que ya tenían, añade Young. "No están completamente integrados, así que tienen este fino tráfico entre los módulos", agrega. "Esto es muy ineficiente".
Compruebe su rendimiento
Todas esas capacidades tienen un precio. A diferencia de los firewalls de red tradicionales, los aparatos de nueva generación (como los IPS independientes) son "baches en el cable" que puede obstruir el flujo de tráfico de producción. Las conexiones por segundo -puestas con todas las características de seguridad activas- deben ser cuidadosamente evaluadas y probadas en un entorno de producción lo más cercano al mundo real como sea posible.
Una cuestión que debe abordar con su proveedor -y en las pruebas- es cómo el firewall de próxima generación gestiona el tráfico encriptado. ¿El firewall puede interceptar, descifrar y volver a cifrar SSL / TLS, SSH y el tráfico VPN, y, si lo hace, a qué costo para el rendimiento? Determine los requisitos realistas para sus entornos de producción, y haga las pruebas de acuerdo con ello. Dónde y cómo se utiliza la próxima generación de firewalls es un factor importante a considerar en la evaluación del desempeño. Las transacciones financieras, el comercio de acciones, y así sucesivamente, son extremadamente sensibles al rendimiento. Considere la criticidad de los activos y los sistemas que protegen a la hora de crear conjuntos de reglas adecuadas para decidir qué servicios de seguridad van a permitir. Por ejemplo, señala Moy de NSS Labs, la gestión unificada de amenazas (UTM) de alto rendimiento generalmente disminuye en un 60% de 10Gbps a 3 o 4Gbps cuando el IPS está activado, y hay una reducción aún más drástica, de 300 a 400Mbps, cuando se encienden las capacidades antivirus.
"Me gustaría ser escéptico acerca de la activación del antivirus en el servidor de seguridad", señala. "En frente del centro de datos, probablemente no, pero tal vez en el perímetro".
Cada vez más reglas complejas también afectan al rendimiento, por lo que debe tomar eso en cuenta cuando hace su análisis.
"Cuanto más profunda es la política, más se siente un impacto", agrega Phifer de Core Competence. "A medida que agrega capas de controles adicionales, se va a poner más y más lento".
Hay una serie de productos de alta gama que realizan pruebas de carga y seguridad. Son caros, pero vale la pena invertir si va a estar haciendo muchas pruebas internas de equipos de red y seguridad de la red. Si no, hay proveedores de terceros, muchos de los cuales hacen uso de estas herramientas.
"Configure", señala Kwong. "He tratado con muchos firewalls, y hemos necesitado ajustar muchos parámetros antes de llegar al nivel adecuado de rendimiento. De mi experiencia con firewalls anteriores, siempre me ha parecido que el rendimiento no estuvo a la altura de lo esperado".
Sea realista acerca de control de aplicaciones. Antes de que sea lanzado al espacio por la afirmación de un vendedor que tiene tantas miles de aplicaciones en su biblioteca, tenga en cuenta sus políticas y prácticas de aplicaciones. Aprenda qué aplicaciones están utilizando sus empleados para fines comerciales legítimos, que son susceptibles de ser utilizadas en el futuro, quién las utiliza y cómo se utilizan. Armado con esta información, puede crear políticas de seguridad y de uso adecuado, y evaluar la próxima generación de productos de firewall en base a su capacidad de supervisar y aplicar las políticas en torno a estas aplicaciones.
"No tiene sentido que los vendedores reclamen un gran número de aplicaciones; los números no son importantes", señala Young de Gartner. Él recomienda que una vez que decide qué aplicaciones desea tratar, se asegure de que están en la biblioteca, saber si pueden producir falsos negativos o positivos, y ejecutarse a través de un ejercicio de configuración.
"Si desea bloquear o permitir Mafia Wars de Facebook para ventas y marketing, ¿qué tan difícil es esa tarea, y el flujo de trabajo que produce tiene sentido?", añade. La configuración de una aplicación debe ser fácil, y se debe hacer uso de un asistente tipo wizard de interfase jerárquica.
Young también sugiere probar una aplicación típica que sea maliciosa o cause problemas en las redes, y ver si el aparato la atrapa.
Asegúrese de que sea fácil de manejar. Los firewalls de nueva generación ofrecen una experiencia diferente en la administración con respecto a los firewalls tradicionales e IPS independientes, por lo que es fundamental que la interfase de administración haga la transición lo más fluida posible. Por un lado, la capacidad de definir reglas para aplicaciones y usuarios de forma muy específica, basada en el contexto, introduce un nuevo nivel de complejidad. Por otro lado, las reglas pueden ser más definidas, por lo que es más fácil de conseguir exactamente lo que se propone sin ambigüedades o capas de reglas.
"Se puede usar esa granularidad y poder, pero de una manera que se vuelva más manejable", señala Phifer. "Pero todavía será más difícil que antes, es parte del dolor de conseguir un nivel extra de control".
Es importante que la interfase de gestión y de creación de reglas sea lo más intuitiva posible y refleje la integración de las capacidades de los componentes.
"La capacidad de gestionar la política de forma centralizada y distribuirla es un criterio", añade Rahbany. "El conjunto de reglas de firewall es muy intuitivo y familiar".
Cómo evitar "trampas"
No asuma nada en base a las palabras de los proveedores. No todos los productos que se llaman "la próxima generación de firewall" están a la altura de esa descripción, y las capacidades de los productos varían ampliamente. Dele una fuerte mirada a:
Rendimiento. ¿Qué sucede cuando todos los servicios de seguridad están habilitados? ¿Cómo funciona el aparato bajo un conjunto de reglas del mundo real adaptadas a su entorno?
Detección. Pruebe para determinar si el vendedor ha hecho un equilibrio entre rendimiento y detección. Los IPS han sido históricamente marcados por compromisos en esta área para mantenerse al día con redes de alta velocidad.
Integración. Determine si los componentes están realmente integrados o simplemente yuxtapuestos. Los aparatos integrados llevarán a cabo un pase único de inspección en el firewall para todos los componentes.
Hardware estándar. Los firewalls de nueva generación requieren el músculo de hardware especialmente diseñado. "Cuidado con las personas que son demasiado dependientes del equipo multipropósito para entregar toda esta inspección extra y tratan de desafiar las leyes de la física", advierte Young.
Aplicaciones. Los vendedores están propensos a tener un tiempo difícil, al tratar de mantenerse al día con cada aplicación nueva y sobre cómo las empresas las utilizarán". A pesar de que los vendedores anuncian tener una larga lista de aplicaciones, es ahí donde probablemente los clientes pueden resultar muy decepcionados", señala Phifer, porque parece que cada día alguna aplicación se añade a Facebook o hay una nueva capacidad agregada a Twitter. Los vendedores estarán constantemente tratando de ponerse al día con lo que todo el mundo está experimentando en vivo.
Neil Roiter, CSO (EE.UU.)