Palo Alto Networks PA-5060 - Exclusive Networks

Palo Alto Networks PA-5060Documentación para la preventa

PA – 5060 – Documentación para la preventaPágina 3 de 100ARQUITECTURA HARDWARE DEL MODELO PA-5060....................................................... 76 GESTIÓN, VISIBILIDAD Y REPORTING ...........................................................78 GESTIÓN....................................................................................................................... 78 REPORTING Y GENERACIÓN DE INFORMES ..................................................................... 83 Reporting .............................................................................................................................................. 83 Generación de Informes........................................................................................................................ 88 API XML DE REPORTING .............................................................................................. 91 PANORAMA: GESTIÓN CENTRALIZADA DE MÚLTIPLES DISPOSITIVOS ............................... 93 ANEXO A: CARACTERÍSTICAS TÉCNICAS DEL PA-5060 .............................96 ANEXO B: URLS DE INTERÉS........................................................................100

PA – 5060 – Documentación para la preventaPágina 4 de 100IntroducciónObjetoEl objeto fundamental de esta documentación es presentar a los preventas,responsables de preparar y desarrollar soluciones de Palo Alto Networks -PAN de ahoraen adelante-, una visión sobre las características fundamentales que se encuentran enlos firewalls de Nueva Generación de PAN, tanto en lo que a plataformas hardware serefiere, como a funcionalidades software y de gestión. Se incluye asimismo informaciónsobre los tipos de arquitecturas de red y despliegues soportados.El fin es por tanto facilitar documentación en español que colabore en la correctarealización de una oferta a un cliente final, intentando además simplificar las tareas depreparación de las memorias técnicas para los integradores.Hemos intentado dotar al documento asimismo de un carácter didáctico, que ayude acomprender mejor las capacidades de las soluciones de PAN, por lo que su uso no estárestringido únicamente a integradores, sino que también puede ser ofrecido a clientesfinales, interesados en conocer mejor nuestras soluciones.En cualquier caso el documento no está pensado ni escrito para sustituir a las guías deconfiguración o technotes disponibles, por lo que remitimos a los usuarios a utilizar esadocumentación cuando deseen obtener información sobre cómo se configura cualquierade las funcionalidades aquí descritas.Pretendemos asimismo mantenerlo como documento vivo, que se irá actualizando conlas novedades o plataformas que Palo Alto Networks lance al mercado.AlcanceLa documentación aquí presentada cubre las siguientes áreas fundamentales: Introducción a las soluciones de PAN Arquitecturas de red soportadas Diseño y funcionalidades de PAN-OS (en general sobre las versiones 3.1.x) Diseño hardware Especificaciones y capacidades del modelo PA - 5060

PA – 5060 – Documentación para la preventaPágina 6 de 100Figura 1.- Ejemplo de diversas aplicaciones sobre puertos 80 y/ó 443Palo Alto Networks redefine el concepto de Firewall aportando un control y visibilidad sinprecedentes, sobre todo el tráfico IP en las redes corporativas. Para conseguir esteobjetivo, se decidió diseñar un producto completamente nuevo, orientado desde elcomienzo en sus especificaciones hardware y software para cubrir los siguientesrequisitos: Identificación de las aplicaciones, independientemente del puerto o protocolode base que utilicen, incluso aunque vayan codificadas bajo SSL o empleenalguna táctica evasiva. Identificación de los usuarios en base a su rol en la corporación,independientemente de qué dirección IP puedan tener en un momentodeterminado. Protección en tiempo real frente a los ataques y al software malicioso,embebido en el tráfico de las aplicaciones. Facilidad en la gestión de las políticas con herramientas de visualizaciónpotentes y un editor de políticas unificado. Rendimiento multi-gigabit sin degradación al utilizarlo en línea.La siguiente figura, Figura 2, esquematiza los cuatro pilares básicos sobre los que sesustentan los firewalls de nueva generación de Palo Alto Networks:

PA – 5060 – Documentación para la preventaPágina 7 de 100Figura 2.- Pilares básicos de los firewalls de PANAunque en los capítulos posteriores del presente documento se detallarán lasfuncionalidades de cada módulo básico, a continuación se ofrece un resumenintroductorio de todos ellos: App-ID es una tecnología de clasificación del tráfico, que detecta con precisiónqué aplicaciones están corriendo en la red a través de diversas técnicas deidentificación. La identidad de la aplicación sirve de base para todas lasdecisiones relativas a la política como la utilización apropiada y la inspección decontenidos. Es por tanto la tecnología base que utilizan los firewalls de PAN, encontraposición a la tecnología stateful inspection que utilizan otros fabricantes, yque desde PAN consideramos totalmente insuficiente para categorizar yproteger el panorama actual de aplicaciones. La tecnología User-ID de Palo Alto Networks se integra con el directoriocorporativo, para vincular dinámicamente la dirección IP con la información deusuario y de grupo (rol corporativo). Si las empresas tienen acceso a la actividaddel usuario, pueden supervisar y controlar las aplicaciones y los contenidos querecorren la red, de una forma mucho más efectiva que por una simple direcciónIP (que normalmente es además cambiante –DHCP, movilidad…).

PA – 5060 – Documentación para la preventaPágina 8 de 100 Control de los contenidos: La tecnología Content-ID de Palo Alto Networkscombina un motor de prevención de amenazas en tiempo real con una base dedatos URL integral y elementos de identificación de aplicaciones, para limitar lastransferencias de archivos sin autorización, detectar y bloquear gran número deamenazas y controlar la navegación por Internet no relacionada con el trabajo.Content ID funciona en coordinación con App-ID lo que mejora la eficacia delproceso de identificación de los contenidos. La arquitectura SP3 – Single Pass Parallel Architecture – ofrece unrendimiento no conocido hasta la fecha gracias a la utilización de hardwareparalelo, de modo que cada paquete es analizado una única vez a través detodos los módulos de la política de seguridad. A diferencia de muchassoluciones actuales, que utilizan una única CPU o una combinación de ASICs yCPUs, los firewalls de PAN utilizan una arquitectura construida a propósito, ydesde cero, con procesamiento dedicado para la prevención de amenazas juntocon procesamiento específico y memoria dedicada para las tareas de red,seguridad y gestión. La utilización de cuatro tipos diferentes de procesadoresimplica que las funcionalidades clave no compiten por ciclos de reloj con otrasfunciones de seguridad, como ocurre en el caso de equipos monoprocesador. Elresultado final es una latencia muy baja y un gran throughput, con todos losservicios de seguridad habilitados. Un potente conjunto de herramientas de visualización facilita a losadministradores información completa sobre las aplicaciones que recorren lared, quién las utiliza y el impacto que pueden tener sobre la seguridad de lacorporación.

PA – 5060 – Documentación para la preventaPágina 11 de 100Modo Virtual WireLa siguiente figura, Figura 4, muestra un diagrama lógico de este tipo de diseño:Figura 4.- Arquitectura en modo Virtual Wire (bridge-IPS)Este modo de implantación es el primero en el que el equipo está en línea y recibe elnombre de Virtual Wire dentro de la terminología de PAN. Puesto que está en línea, elequipo puede tomar medidas de bloqueo sobre el tráfico que se considere pernicioso.Tal y como muestra la Figura 4, el equipo se inserta dentro de la red como si se tratarade un bridge, sin dirección IP ni dirección MAC. Está configurado por tanto en modotransparente, lo que facilita el despliegue en la red (no se requiere segmentación denivel 3), así como la protección del propio equipo al no ser detectable (no dispone de IPni dirección MAC).A continuación se detallan las funcionalidades que se obtienen con esta arquitectura dered: Identificación y visibilidad de las aplicaciones que circulan por la red. Identificación de las amenazas detectadas sobre las aplicaciones (antivirus, antispyware,URL Filtering y análisis de vulnerabilidades).

PA – 5060 – Documentación para la preventaPágina 12 de 100 Análisis del contenido (DLP – Data Loss Prevention- sobre patrones a buscar endocumentos e identificación de los ficheros que circulan por la red, tanto enentrada como en salida). Identificación de los usuarios, en relación con el directorio corporativo (User-ID). Generación de informes detallados sobre la utilización y la actividad. Análisis del tráfico cifrado con SSL (sólo en entrada). Bloqueo del tráfico que se considera no acorde a la política corporativa. Bloqueo de las amenazas detectadas (antivirus, anti-spyware yvulnerabilidades). Control y bloqueo de las URLs no permitidas. QoS (Calidad de Servicio).Respecto a las funcionalidades que no se obtienen en modo Virtual Wire, en generalhay que señalar que son todas aquellas que requieren que el equipo realice funcionesde nivel 3 (routing, NAT, Policy Based Forwarding, VPNs, …). El siguiente modo deconfiguración (modo routing), incorpora todas las funcionalidades al completo queintegran los cortafuegos de PAN.Finalmente, es interesante señalar que es posible configurar múltiples segmentos enmodo Virtual Wire ó IPS sobre un mismo equipo (uno por cada pareja de puertos), asícomo mezclar esta topología de red con cualquiera de las otras dos existentes. En unpunto posterior se muestra un diseño de arquitectura avanzada, en el que se mezclandiferentes tipos de topologías – incluyendo IPS- para conseguir una solución de mayorseguridad utilizando un mismo equipamiento.

PA – 5060 – Documentación para la preventaPágina 13 de 100Modo RoutingLa siguiente figura, Figura 5, muestra un diagrama lógico de este tipo de diseño:Figura 5.- Arquitectura en modo Routing (también con soporte a vlans)Tal y como muestra la Figura 5, en el modo routing el equipo se instala con susinterfaces configurados a nivel 3, pudiendo actuar por tanto como gateway de las redesa las que se encuentra conectado.En este modo de trabajo el equipo ofrece la posibilidad de utilizar todas suscapacidades, entre las que destacan las siguientes: Identificación y visibilidad de las aplicaciones que circulan por la red. Identificación de las amenazas detectadas sobre las aplicaciones (antivirus, antispyware,URL Filtering y análisis de vulnerabilidades). Análisis del contenido (DLP – Data Loss Prevention- sobre patrones a buscar endocumentos e identificación de los ficheros que circulan por la red, tanto enentrada como en salida).

PA – 5060 – Documentación para la preventaPágina 15 de 100Además, y a partir de las versiones de PAN-OS 3.1.x, es posible configurar VirtualSystem Shared Gateways, entre distintos sistemas virtuales. Cada sistema virtual es, enprincipio, totalmente independiente de los demás. Esta funcionalidad permite que uninterfaz pertenezca a múltiples sistemas virtuales. La utilización más común de estafuncionalidad, es disponer de un interfaz común entre múltiples sistemas virtuales, de talmodo que solamente sea ese interfaz el que esté cara a Internet, dando servicio a todaslas redes y sistemas virtuales que se encuentran por detrás. La siguiente figura, Figura6, muestra un ejemplo de arquitectura con múltiples sistemas virtuales, cada uno conuna conexión independiente hacia el exterior (sin utilizar por tanto Virtual SystemShared Gateways):Figura 6.- Conexión independiente de múltiples sistemas virtualesTal y como se observa, es necesario que cada sistema virtual disponga de una o variasIPs públicas, para poder ofrecer conectividad hacia y desde el exterior.Por el contrario, la siguiente figura, Figura 7, muestra un ejemplo de configuración en laque se utiliza la funcionalidad de Shared Gateway, entre múltiples sistemas virtuales.Obsérvese que en este caso hay un único gateway, compartido entre todos lossistemas, y que por tanto la gestión es más simple y el gasto de IPs públicas menor:

PA – 5060 – Documentación para la preventaPágina 16 de 100Figura 7.- Conexión a Internet con Shared Gateway entre sistemas virtualesNota: También es posible realizar configuraciones similares, con el objetivo de permitirel tráfico entre algunos de los sistemas virtuales si es necesario.Alta Disponibilidad (HA)Todos los equipos de PAN tienen la posibilidad de trabajar en configuraciones de altadisponibilidad, en el que el fallo de uno de los equipos no supone pérdida de servicio. Apartir de las versiones 4.x de PAN-OS, se soporta tanto modo Activo/Pasivo comoActivo/Activo.Es importante señalar que las configuraciones de HA requieren que ambosmodelos sean idénticos, así como que dispongan exactamente del mismo nivel delicencias software y versión de firmware.La conmutación de un nodo al otro se produce si falla algún interfaz de red(configuración Link Monitoring) o incluso si falla algún otro elemento, que se estámonitorizando expresamente (Path Monitoring).Para la configuración de la sincronización, se utilizan dos puertos dedicados,denominados HA1 y HA2. HA1 es obligatorio y HA2 opcional, aunque recomendable. Enlos equipos de la serie 4000 estos interfaces están preasignados de fábrica; en lasseries 500 y 2000 el administrador ha de seleccionar qué puertos quiere utilizar paracada propósito.

PA – 5060 – Documentación para la preventaPágina 17 de 100El interfaz HA1 dispone de direccionamiento IP, y es el que se emplea para sincronizarlas configuraciones. El interfaz HA2 es un interfaz de nivel 2 (sin IP por tanto) y se utilizapara sincronizar la tabla de sesiones activas, evitando de este modo al máximo lapérdida de servicio en caso de conmutación de un nodo al otro.Es necesario añadir un tercer interfaz, HA3, en las configuraciones Activo/Activo. Esteinterfaz es el responsable de enviar las sesiones que deben ser atendidas por el otromiembro del cluster.A continuación se detalla la operativa de la alta disponibilidad y el comportamiento encaso de fallo de los interfaces de HA: El firewall activo, monitoriza continuamente su configuración y la información delas sesiones con el firewall pasivo a través de los interfaces de HA. Si el firewall activo falla, entonces el pasivo detecta que se han perdido losheartbeats y automáticamente se vuelve activo. Si falla el interfaz de HA2 (sincronización de sesiones) no se realiza esta tarea,pero el cluster se mantiene igual. Si por el contrario falla el interfaz HA1(sincronización de configuraciones), entonces fallan los heartbeats y ambosfirewalls se vuelven activos.A continuación se resumen las ventajas de operar con arquitecturas montadas en altadisponibilidad: Disponibilidad del servicio, incluso aunque falle el equipo principal. Simplicidad en el diseño, al no requerir elementos extras para garantizar ladisponibilidad. Garantía en el mantenimiento de las sesiones (las sesiones se sincronizan entremaster y backup). Posibilidad de monitorizar varios elementos en la red (routers, servidores, salidaa Internet, ...), para tomar la decisión de conmutación más adecuada en cadamomento (link monitoring y path monitoring). Posibilidad de montar una solución redundada entre CPDs separadosgeográficamente. Sencillez en la gestión (la configuración se realiza en el master yautomáticamente se propaga al de backup, sin necesidad de intervenciónhumana). Posibilidad de utilizar un modelo de HA activo-activo (a partir de la versión 4.0).

PA – 5060 – Documentación para la preventaPágina 18 de 100Ejemplo de arquitectura mixtaPara concluir con el capítulo de arquitecturas, a continuación presentamos una que nosparece interesante porque ejemplifica las capacidades de mezclar diferentes topologías,junto con la funcionalidad de firewalls virtuales sobre un hipotético caso real. Lasiguiente figura, Figura 8, muestra el diseño lógico de la red:Figura 8.- Diseño de red con firewalls virtuales en diferentes topologíasLa idea de la arquitectura es utilizar la clásica doble barrera de cortafuegos, compuestapor equipamiento de dos fabricantes diferentes con el fin de mejorar la seguridad.En estos escenarios es común que el cliente se pregunte dónde ubicar mejor elequipamiento de PAN: en la zona externa (Internet) o en la zona interna (LAN). Sobre lazona externa el equipo ofrece funcionalidades de seguridad y calidad de servicio muyinteresantes (como filtrado IPS o QoS), mientras que en la zona interna también incluye

PA – 5060 – Documentación para la preventaPágina 19 de 100capacidades muy significativas orientadas al control de los usuarios internos(integración con el directorio corporativo, filtrado de URLs, Antivirus o AntiSpyware).La arquitectura propuesta en la Figura 8, resuelve esta cuestión haciendo uso de lafuncionalidad de firewalls virtuales y la capacidad de trabajar en entornos dearquitecturas mixtas. Así, se han creado tres sistemas virtuales sobre los equipos dePAN, que ofrecen los siguientes servicios: Cluster – 1: Funcionalidades de IPS y QoS (entrada a Internet). Cluster – 2: Funcionalidades de VPNs IPSec y SSL-VPN. Cluster – 3: Cortafuegos interno, integrado con el directorio corporativo.El cluster virtual de entrada, configurado en modo Virtual Wire, ofrece funcionalidadesde IPS y QoS, orientadas fundamentalmente a la protección y garantía de la calidad delas aplicaciones críticas del cliente. Puesto que el equipo se integra en modo bridge, estransparente en la arquitectura y no requiere realizar ningún tipo de segmentación IPextra.Tras el cluster de PAN de entrada, se encuentra el cluster de cortafuegos de otrofabricante, que ofrece segmentación y protección a la zona de VPNs y DMZs, comocortafuegos de perímetro.En la zona de DMZs se ha propuesto utilizar otro cluster virtual de PAN, que seencargará de dar servicio a las VPNs IPSec y SSL-VPN, para controlar el acceso de losusuarios remotos. Este cluster virtual está configurado a nivel 3 - routing.Finalmente, y en la zona interna, se añade un tercer cluster virtual (también en modorouting), para el control de los usuarios y los servicios internos. Como serviciosfundamentales además de los típicos de cortafuegos, se propone integrar lasfuncionalidades de visibilidad y control de usuarios (User-ID), así como los servicios deURL Filtering y protección frente a viruses y spyware (Antivirus y AntiSpywarerespectivamente). También es posible habilitar las funcionalidades de DLP (Data LossPrevention), que auditarán y controlarán los contenidos que los usuarios puedendescargar o enviar hacia el exterior.Es interesante señalar que el resto de interfaces no utilizados, se pueden emplear enfuturos sistemas virtuales o también emplearlos en modo visibilidad (tap o mirror), paraobtener visibilidad a nivel de aplicación de redes internas, no segmentadas, en el casode que surja algún problema en las mismas.

PA – 5060 – Documentación para la preventaPágina 20 de 100Nota: Para realizar el correcto dimensionamiento del equipo, hay que tener en cuentaque hay determinados tipos de tráfico que pueden atravesar el equipo varias veces,duplicando por tanto su consumo en lo que a cálculo de throughput se refiere. Porejemplo una sesión de navegación interna atravesará el Cluster 3 (LAN), así como elCluster 1 (IPS). Si el tráfico desde las redes internas hacia el exterior representa porejemplo 100 Mbps, habrá de evaluarse como 200 Mbps para calcular adecuadamente laplataforma a seleccionar (ver Anexo-A, con descripción de las capacidades de laplataforma).

PA – 5060 – Documentación para la preventaPágina 21 de 100Funcionalidades fundamentales de PAN-OSEn el presente capítulo se detallan las funcionalidades principales que ofrecen losfirewalls de nueva generación de Palo Alto Networks, a través de su sistema operativollamado PAN-OS, tomando como base las versiones 3.1.x. Haremos especial hincapiéen aquellas características que consideramos capitales en el producto y que lo hacenrealmente diferenciador en el mercado actual de la seguridad.Detalle del funcionamiento de App-IDApp-ID es una tecnología de identificación de aplicaciones, pendientede patente, capaz de identificar más de 1050 aplicaciones. Es latecnología core dentro del producto, encargada de realizar laclasificación de todo el tráfico que el equipo gestiona. A continuación seresumen las ventajas fundamentales que ofrece el uso de la tecnologíaApp-ID, dentro de los firewalls de Palo Alto: Facilita una comprensión más completa del valor del negocio, así como de losriesgos asociados a las aplicaciones que circulan por la red. Permite la creación de políticas, basadas en el uso apropiado de lasaplicaciones. Ofrece visibilidad a nivel de aplicación y devuelve el control de la seguridad alfirewall, de donde nunca debió salir.Haciendo una comparativa con los cortafuegos tradicionales (primera generación), App-ID sería el equivalente al protocolo Stateful Inspection que utilizan la mayoría de losfabricantes, pero realizando las tareas a nivel de aplicación (nivel 7) en vez de a nivel depor puerto/protocolo como hace Stateful Inspection (nivel 4). Su misión principalconsiste en identificar el tráfico, indendientemente del puerto, protocolo, tácticaevasiva o cifrado SSL que la aplicación pueda utilizar.Es crucial señalar que la aproximación que PAN ofrece a la seguridad se basa, graciasal uso de App-ID, en la lógica positiva. Esto significa que el equipo es capaz deinspeccionar el tráfico e identificarlo positivamente, porque entiende cómo operan lasaplicaciones. El reflejo de esta operativa en la gestión de las políticas de seguridad,supone que los administradores han únicamente de habilitar aquellas aplicaciones queconsideran útiles y necesarias para el desarrollo del negocio. Por el contrario, los

PA – 5060 – Documentación para la preventaPágina 22 de 100modelos de seguridad tradicionales, basados en lógica negativa, no pueden identificarel tráfico y por tanto la seguridad que ofrecen se basa en la búsqueda, “a ciegas”, depatrones de comportamiento que se consideran perniciosos. Esto significa que ofrecenuna visibilidad muy limitada y en muchos casos errónea, además de incurrir con mayorfacilidad en la generación de falsos positivos (detección errónea de ataques sobretráfico legítimo) o falsos negativos (no detección de ataques, cuando realmente lo son).Además de los aspectos relacionados únicamente con la seguridad, App-ID ofrece unavisibilidad sin precedentes puesto que muestra realmente las aplicaciones que circulanpor las redes, así como su comportamiento. Usada además junto con User-ID, losadministradores pueden saber quién está utilizando la aplicación en base a su identidadcorporativa, y no solamente por la dirección IP (ver capítulo posterior para encontrarinformación detallada sobre User-ID).App-ID es además capaz no solamente de identificar las aplicaciones base, sinodiferentes subaplicaciones dentro de la misma aplicación padre, que pueden ofrecercapacidades y comportamientos diversos (por ejemplo WebEx base para realizarconferencias, frente a WebEx Desktop Sharing para compartir escritorios). Con estasarmas, los administradores pueden utilizar un modelo positivo para bloquear lasaplicaciones malignas, mientras que se permiten, inspeccionan y gestionan aquellasque están permitidas. Este punto es crucial, porque la respuesta en muchas ocasionesno es solamente permitir o bloquear, sino que hay que habilitar aplicaciones, que aunconllevando riesgos, son útiles para la operativa corporativa. App-ID permiteprecisamente realizar esta habilitación controlada de las aplicaciones.La identificación adecuada de la aplicación, es el primer paso para entender mejor eltráfico que circula por la red. Saber lo que la aplicación hace, los puertos que utiliza, sutecnología subyacente y las características de comportamiento, son la base para tomaruna decisión mejor informada sobre cómo gestionar la aplicación. Una vez que sedispone de esta información, las organizaciones pueden tomar medidas más granularesque un simple “permitir” o “bloquear”, como por ejemplo: Permitir o bloquear Permitir pero analizar en búsqueda de exploits, viruses, … Permitir en base al horario, los usuarios o los grupos Descifrar e inspeccionar Aplicar QoS

PA – 5060 – Documentación para la preventaPágina 23 de 100 Aplicar Policy Based Routing en función de la aplicación Permitir algunas funciones de la aplicación en vez de todas Cualquier combinación de las anterioresMódulosApp-ID cuenta con cuatro módulos diferentes de operación, tal y como muestra lasiguiente figura, Figura 9:Figura 9.- Módulos principales de App-IDEl número de técnicas de identificación que se emplean, puede ser variable en funciónde cada aplicación y sus condiciones particulares de transporte. Asimismo, el orden enel que las técnicas se aplican también puede cambiar de una aplicación a otra. Noobstante, el flujo general es el siguiente: Application Signatures: Se trata de la utilización de firmas basadas encontexto, que se emplean en primer lugar para buscar propiedades únicas ycaracterísticas relacionadas con las transacciones, que permitirán identificar laaplicación independientemente del protocolo y puerto usados. Las firmastambién determinan si la aplicación está siendo utilizada por su puerto pordefecto, o si por el contrario está utilizando un puerto no estándar (por ejemplo,RDP a través del puerto 80 en vez del puerto 3389, que es su puerto estándar). SSL Decryption: Si App-ID determina que se está empleando cifrado SSL (yexiste una política de descifrado en la configuración), el tráfico se descifra y seenvía a los siguientes módulos de identificación, según sea necesario. Esposible realizar inspección SSL tanto en tráfico entrante como saliente. En el

PA – 5060 – Documentación para la preventaPágina 24 de 100caso del descifrado del tráfico entrante (por ejemplo contra los servidores web),el equipo no actúa activamente en la negociación SSL, y por tanto inspecciona eltráfico de modo transparente (necesita solamente tener una copia del certificadoy clave privada utilizados). Si se detecta un ataque o tráfico maligno, realiza unreset de la sesión. Por otra parte, y para la inspección del tráfico SSL de salida(por ejemplo la navegación web de los usuarios internos), el equipo estableceuna sesión SSL con el cliente y otra con el destino real; se comporta por tanto demodo activo. En este caso, una vez que la aplicación se identifica y es aceptadapor la política de seguridad, se aplican los perfiles de protección frente aamenazas configurados y el tráfico es posteriormente reencriptado y enviado asu destino original. Application Protocol Decoding: Si se necesita, los decodificadores deprotocolo se emplean para averiguar si la aplicación está utilizando el protocolocomo su transporte natural (por ejemplo HTTP como transporte de la navegaciónweb), o si por el contrario solamente se utiliza como una técnica de ofuscación,para ocultar la aplicación real (por ejemplo Yahoo! Instant Messenger sobreHTTP). Los decodificadores de protocolo ayudan asimismo a afinar el rangoposible de aplicaciones, proporcionando información valiosa sobre el contexto alas firmas así como a la identificación de ficheros u otros contenidos sensibles,que deben ser analizados por otros módulos (por ejemplo IPS o DLP). Heuristics. En ciertos casos (aproximadamente el 1% de todas las aplicacionesreconocidas), las tácticas evasivas que se emplean no pueden ser identificadas,a pesar del análisis avanzado de firmas y protocolos descrito anteriormente. Enestas situaciones, se necesita utilizar técnicas heurísticas adicionales, o análisisdel comportamiento, para identificar ciertas aplicaciones que utilizanmecanismos de cifrado propietarios (por ejemplo aplicaciones peer-to-peer, deVoIP –como Skype- o de proxies personales –como Ultrasurf). Las técnicasheurísticas se emplean, junto con el resto de técnicas revisadas en App-ID, paraofrecer visibilidad y control sobre aplicaciones que podrían de otro modo eludir laidentificación positiva.Ejemplo del modo de trabajo de App-ID: Identificación de WebExCuando un usuario inicia una session WebEx, la conexión inicial tiene lugar bajo SSL.App-ID ve el tráfico y las firmas determinan que se está empleando cifrado SSL. El

PA – 5060 – Documentación para la preventaPágina 25 de 100módulo de descifrado y los descodificadores de protocolo actúan entonces, paradescifrar el tráfico SSL y detectar que se está empleando HTTP como protocolo debase. Una vez que el decodificador tiene el stream HTTP, el sistema puede aplicarentonces firmas adecuadas a ese contexto y detectar que la aplicación en uso esWebEx. A partir de ese momento se reporta el uso de WebEx, que puede ser ademáscontrolado a través de las políticas de seguridad.Si el usuario final inicia además una sesión de WebEx Desktop Sharing, WebEx cambiael modo de trabajo, de conferencia a aplicación de acceso remoto. En este escenario,las características de WebEx han cambiado y las firmas de aplicación detectan estenuevo comportamiento. De nuevo tanto el módulo de reporting como el de controlmostrarán esta subaplicación, independientemente del protocolo de conferencia –WebEx base - que podrá ser controlada según sea necesario.La siguiente figura, Figura 10, muestra un ejemplo del browser de App-ID, en el que seobservan diversas aplicaciones y sus subcategorías, en base al ejemplo de WebEx queacabamos de revisar (obsérvese WebEx base frente a WebEx Desktop Sharing):Figura 10.- WebEx con diversas subaplicaciones y control con App-IDCategorización de las aplicacionesLa base de datos de aplicaciones de Palo Alto, se divide en 5 categorías principales y25 subcategorías, que pueden utilizarse para crear filtros en la generación de políticas.Además de la categoría y subcategoría, también se incluyen las características decomportamiento y la tecnología base para cada aplicación. Del mismo modo también seincluye una categorización del riesgo (1 a 5), asociado a cada aplicación. El valor de

PA – 5060 – Documentación para la preventaPágina 26 de 100riesgo es asignado por los ingenieros de PAN y puede ser modificado por el cliente, si loconsidera necesario.Gracias al uso granular que se puede hacer de este modo de categorización, losadministradores pueden crear las políticas de seguridad en base a la lógica del negocio,de manera simple y efectiva.A continuación se listan la categoría, subcategoría, características y tecnologíasubyacente que utilizan los equipos de PAN:Categoría y Subcategoría: Business: Servicios de autenticación, bases de datos, ERP, gestión general,programas de oficina, software updates, almacenamiento / backup General Internet: Compartición de ficheros, utilidades de Internet (webbrowsing,toolbars, etc) Collaboration: Email, instant messaging, Internet conferencing, redes sociales,VoIP-video, web-posting Media: Audio-streaming, juegos, foto-video Networking: Túneles cifrados, infraestructura, protocolos-IP, proxy, accesoremoto, routingCaracterísticas de las aplicaciones: Es capaz de transferir ficheros de una red a otra Es utilizada para propagar malware Consume 1 Mbps o más regularmente, en uso normal Evade la de detección a través del uso a propósito de un protocolo o puerto, queoriginalmente está diseñado para otro propósito Tiene una implantación amplia Hay vulnerabilidades conocidas para esa aplicación Es propensa a ser mal utilizada, o es fácilmente configurable para exponer másinformación de la que se pretende Tuneliza otras aplicacionesTecnología subyacente: Client-server based Browser-based

PA – 5060 – Documentación para la preventaPágina 27 de 100 Peer-to-peer based Network protocolActualizaciones periódicasLa lista de aplicaciones que App-ID detecta crece rápidamente, con una media de entre3 y 5 nuevas aplicaciones añadidas semanalmente, en base a la información recibida delos clientes, partners y las tendencias del mercado. La actualización de la base de datosde App-ID se realiza automáticamente desde el equipo, y puede programarse como unatarea recurrente (con opción de instalarla o solamente de descargarla para ser revisadaantes de proceder a la instalación).Gestión de aplicaciones propietarias o desconocidasAquellos clientes que tengan aplicaciones de propósito general no identificadas en sured, pueden tomar una captura de tráfico y enviar dicha información a Palo AltoNetworks, para que se desarrollen los mecanismos necesarios para identificarlaadecuadamente. App-ID categoriza estas aplicaciones desconocidas como “unknowntcp”ó “unknown-udp”.Una vez que un nuevo decoder o firma es desarrollado y chequeado en nuestroslaboratorios, se añade a la lista como parte de las actualizaciones periódicassemanales, disponibles a partir de ese momento para todos los clientes.Si la aplicación es interna o propietaria, los administradores tienen entonces dosposibilidades para categorizarla:• Application Override: Este mecanismo permite definir qué puertos utiliza laaplicación y caracterizarla únicamente en base a éstos parámetros.• Firmas de aplicación personalizables: Si la aplicación trabaja sobre HTTP ó SSL,los administradores pueden crear firmas personales de identificación, quetrabajan a nivel 7 a través del uso de un potente motor basado en expresionesregulares.

PA – 5060 – Documentación para la preventaPágina 28 de 100Detalle del funcionamiento de User-IDUser-ID permite integrar de modo transparente los firewalls dePAN con los servicios de directorio corporativo tales comoActive Directory, eDirectory ó LDAP (en éste último casonormalmente a través del uso de una API XML). Esto permite alos administradores enlazar la actividad de red con lainformación de usuarios y grupos, en vez de únicamente conlas direcciones IP. Además, cuando User-ID se utiliza junto con las tecnología App-ID yContent-ID, las organizaciones pueden utilizar la información de usuario y grupo paraobtener visibilidad, crear políticas de seguridad, hacer análisis forense y gestionar lasamenazas, la navegación web y la actividad asociada a las transferencias de datos.Esta capacidad es especialmente interesante en las redes actuales, donde los usuariosestán dotados de movilidad (cable, WI-FI, 3G, …), con diferentes ubicacionesgeográficas posibles, y donde además se suele utilizar direccionamiento dinámico(DHCP), lo que hace complicado identificar de forma simple y rápida al usuario con la IPque tiene en un momento determinado. El resultado es que intentar utilizar la direcciónIP como método de identificación de un usuario, es a día de hoy inadecuado, o cuandomenos muy complejo.A continuación se enumeran algunos de los beneficios fundamentales que se obtienen através del uso de User-ID: Analizar las aplicaciones, amenazas y navegación web en base a usuariosindividuales o grupos, en contraposición a utilizar únicamente direcciones IP. Identificar a los usuarios de Citrix y Microsoft Terminal Services y aplicarpolíticas sobre sus respectivos usos de las aplicaciones. Construir políticas para habilitar la utilización positiva de aplicaciones paragrupos específicos de usuarios, como marketing, TI o ventas. Obtener visibilidad en tiempo real sobre la utilización que los usuarios hacen delos recursos, así como identificar rápidamente qué usuarios pueden suponer unaamenaza o sufren algún tipo de vulnerabilidad (infección por virus, spyware, …)MódulosUser-ID cuenta con diversos mecanismos para proceder a la identificación de losusuarios, tal y como muestra la siguiente figura, Figura 11:

PA – 5060 – Documentación para la preventaPágina 29 de 100Figura 11.- Módulos de identificación de usuarios en User-IDEl módulo de Login Monitoring se encarga, a través de un agente que se instala en unPC de la red, de monitorizar la actividad de logging de los usuarios.El módulo de Role Discovery se encarga, también a través del agente, de correlar lainformación sobre la pertenencia de usuarios a grupos.El módulo de End Station Polling es el encargado de monitorizar la actividad de cadaPC que está vivo en la red, para comprobar la dirección IP y usuario, y garantizar lacoherencia de la información cuando los usuarios se mueven en la red, sinreautenticarse en el dominio.Finalmente Captive Portal ofrece una solución para autenticar a usuarios que nopertenecen al dominio, a través de una página web que incluye servicios deautenticación, o a través del uso de autenticación basada en NTLM.La potencia de User-ID se vuelve evidente cuando un administrador encuentra unaaplicación en la red cuyo uso le resulta extraño (revelada a través de la tecnología App-ID). Entonces, y a través simplemente de unos cuantos clicks de ratón, puededeterminar qué usuario o grupo de usuarios están utilizando esa aplicación.El administrador no ve solamente los usuarios de un determinado aplicativo, sinotambién el consumo de ancho de banda, el número de sesiones, los orígenes y destinosdel tráfico así como cualquier posible amenaza asociada con dicha aplicación. Tambiénes factible, de nuevo de forma muy simple, investigar otras aplicaciones que ese usuarioestá empleando en un momento determinado.

PA – 5060 – Documentación para la preventaPágina 30 de 100La siguiente figura, Figura 12, muestra un ejemplo de este tipo de análisis y visibilidad,para un usuario que está empleando Facebook base y cuyo uso nos llama la atención.Obsérvese que el administrador en primer lugar hace click sobre Facebook base parafiltrar la información asociada a esta aplicación; posteriormente hace click sobre elusuario “Ginger Poppe” que está empleando Facebook base y finalmente obtiene todaslas aplicaciones que este usuario está utilizando, junto con el uso de sesiones, ancho debanda consumido, posibles amenazas, … (el dominio en este ejemplo es “pancademo”):Ejemplo de visibilidad de laactividad de los usuariosFigura 12.- Ejemplo de la visibilidad de aplicaciones obtenida para un usuarioconcretoDe modo similar al ejemplo anterior, la siguiente figura, Figura 13, muestra cómo esposible utilizar User-ID no únicamente con fines de obtención de visibilidad, sinotambién para establecer políticas de control en base a usuarios concretos o grupos deusuarios del directorio corporativo. Obsérvese que en la columna Source User sedefinen distintos usuarios para cada una de las políticas configuradas en este ejemplo:

PA – 5060 – Documentación para la preventaPágina 31 de 100Ejemplo de control por usuario o grupo de usuariosFigura 13.- Ejemplo de control por usuarios y grupos con User-IDObtener visibilidad en la actividad de las aplicaciones a nivel del usuario, y no sólo de laIP, es un paso necesario para retomar el control sobre las aplicaciones que circulan porla red. Los administradores pueden entonces alinear el uso de las aplicaciones con losrequisitos de la unidad de negocio, y si fuera necesario, advertir al usuario sobre unaposible violación de la política corporativa de uso, o tomar medidas más directas comobloquear el uso de determinadas aplicaciones a determinados usuarios.En los capítulos siguientes se analizará más en detalle las capacidades deconfiguración de User-ID.Integración con el directorio activo de Microsoft a través de PAN-AgentLa integración de los firewalls de PAN con el directorio activo de Microsoft –ActiveDirectory- se realiza a través de la utilización de un agente específico, denominado PanAgent.Este agente ha de instalarse sobre cualquier PC que pertenezca al dominio, siendoposible instalarlo sobre diferentes PCs si se desea dotar al servicio de redundancia. Esimportante señalar que aunque es posible instalar el agente sobre los controladores dedominio –Domain Controllers-, no es una práctica recomendable puesto que estosservidores son críticos y el único beneficio obtenido es un pequeño ahorro en el tráficode red, que normalmente es conmutado además a través de redes LAN.Asimismo es importante señalar, que un único agente puede interpelar a múltiplescontroladores para un mismo dominio. Sin embargo, si es necesario gestionar variosdominios diferentes, es necesario instalar al menos un agente para cada uno de ellos.

PA – 5060 – Documentación para la preventaPágina 32 de 100Por el contrario, un único firewall de PAN puede gestionar la información de múltiplesdominios (que recibirá por tanto de diferentes agentes).La siguiente figura, Figura 14, muestra el flujo general que sufre una sesión desde queel usuario se identifica en el Directorio Activo, hasta que la información se integra dentrodel cortafuegos de PAN:Figura 14.- Flujo general en la identificación de usuariosUna vez instalado el agente, que se comporta como un servicio de Windows, esnecesario asignar un usuario a dicho servicio que tenga permisos para hacer logon enel dominio –es decir que pertenezca al grupo Builtin/Users- y que pueda leer los logs deauditoría de seguridad de Windows - Manage auditing and security log-. Normalmentelos administradores de dominio tienen asignado este permiso por defecto, por lo queresulta sencillo crear un usuario para éste propósito que pertenezca al grupo deadministradores. No obstante, y si esto no es posible, es factible configurar un usuarioque no pertenezca al grupo de administradores y al que se le puede otorgarmanualmente el permiso requerido.Una vez que el agente está instalado y configurado, se encarga de obtenerautomáticamente la información sobre los usuarios y sus IPs actuales, así como su

PA – 5060 – Documentación para la preventaPágina 33 de 100pertenencia a grupos. El agente envía, a través de una conexión vía SSL, toda estainformación al firewall que es el encargado de actualizarla en su base de datos interna.En caso de que haya varios agentes dispersos por la red (por motivos de redundancia),el cortafuegos se encarga también de correlar la posible información duplicada querecibe de cada agente.La siguiente figura, Figura 15, muestra el detalle de la comunicación entre firewall,agente y controlador de dominio:Figura 15.- Detalle de la comunicación entre los diversos elementos queintervienen en la identificación de usuariosTodas las actualizaciones de usuarios son enviadas al firewall a través de su interfaz degestión vía SSL (es posible definir qué puerto TCP se quiere emplear); también esposible configurar otro interfaz, si así se desea, para éste propósito. El agente PAN-Agent, además de monitorizar los logs y tablas de sesiones del Directorio Activo deMicrosoft, también puede opcionalmente realizar consultas directamente a lasestaciones de los clientes por NetBIOS ó WMI (para equipos de clientes que utilizanWindows Vista o Windows 7).

PA – 5060 – Documentación para la preventaPágina 34 de 100El método preferible y más eficaz para identificar a los usuarios es a través del agentetrabajando contra el Directorio Activo. No obstante, aunque el agente verá los nuevosusuarios según se autentican y podrá confirmarlos cuando utilizan recursos de red, esposible que no vea cuando se desconectan (log off). El motivo es que el DA deMicrosoft no registra este tipo de actividad. La pruebas por NetBIOS ó WMI confirmanque un usuario previamente activo se sigue manteniendo activo en su puesto de trabajo.Hay tres factores que pueden desaconsejar el uso de NetBIOS: Ancho de banda que se requiere para la utilización de las pruebas, sobre todo sise trata de un entorno WAN (no tan importante sobre entornos LAN). Recursos de CPU necesarios para la realización de las pruebas desde el PCque incorpora el agente. Equipos que puedan no responder a las consultas NetBIOS a causa de lautilización de firewalls personales, que no permitan este tipo de tráfico.Así pues, es recomendable tener en cuenta estos factores durante la fase de diseño,para implementar la topología más adecuada en cada escenario.Para finalizar con este capítulo, la siguiente figura, Figura 16, muestra un ejemplo de laconfiguración del agente contra un Directorio Activo (en general la configuración essencilla y se completa en unos pocos minutos):Figura 16.- Ejemplo de configuración del agente de PAN contra Directorio Activode Microsoft

PA – 5060 – Documentación para la preventaPágina 35 de 100Identificación de usuarios de Citrix y Microsoft Terminal ServicesEn entornos donde la identidad del usuario es ocultada por una solución de Citrix oTerminal Server, es posible también instalar un agente User-ID específico, paradeterminar qué aplicaciones los usuarios están empleando. Si además hay un directoriocorporativo, la información sobre los usuarios y los grupos (no las direcciones IP)también serán mostradas. Una vez que aplicaciones y usuarios han sido identificados,se obtiene visibilidad y control completos de este tipo de usuarios, dentro de lasherramientas de logging, reporting y gestión de políticas integradas en los cortafuegosde PAN.El funcionamiento de este agente es similar al descrito en el apartado anterior, para elDirectorio Activo de Microsoft.Integración con el e-Directory de Novell a través de User-ID-AgentA partir de las versiones 3.1.x de PAN-OS, es posible también utilizar un agente,denominado User Agent, capaz de integrarse con directorios corporativos de Novell (e-Directory).La ventaja fundamental que ofrece el directorio de Novell, al igual que el de Microsoft,es que almacena la dirección IP con la que el usuario se autentica junto con la hora. Enconcreto en el directorio de Novell la IP se almacena, en un formato binario propietario,en el campo networkAddress de la estructura LDAP. Este comportamiento no es engeneral extrapolable a otros controladores de dominio basados en LDAP, en los que laintegración se hace por tanto más compleja al no almacenar la IP del usuarioautenticado (ver siguiente punto).Otro punto importante a señalar, es que el agente para el directorio de Novell es capazúnicamente de obtener la información sobre los usuarios y sus IPs, pero no la de losgrupos de usuarios a los que pertenecen. A partir de las versiones 3.1.x los firewalls dePAN son capaces de conectarse directamente contra el directorio a través de LDAP,obteniendo de este modo la información sobre los grupos y la pertenencia de losusuarios a los mismos. Así pues, parte de la configuración de autenticación contra e-Directory requiere configurar, además del agente, la comunicación LDAP entrecortafuegos y repositorio corporativo.La siguiente figura, Figura 17, muestra un ejemplo de configuración del agente contraun controlador e-Directory de Novell:

PA – 5060 – Documentación para la preventaPágina 36 de 100Figura 17.- Ejemplo de configuración de agente contra e-Directory de NovellLa configuración es de nuevo bastante simple, requiriendo únicamente la configuraciónde la rama base del árbol LDAP por el que comenzar la búsqueda (en nuestro ejemplode la Figura 17 “lab”) y el usuario y password utilizado para conectarse al directorio (ennuestro ejemplo “Admin”).Para finalizar con este capítulo, señalar que el flujo de comunicación entre el agente y elcortafuegos es similar al mostrado anteriormente en el punto de integración del agentecontra el Directorio Activo de Microsoft.Otros directorios LDAP: API XMLPara otros directorios diferentes, basados por ejemplo en OpenLDAP, la integración esmás compleja puesto que estos directorios no incluyen normalmente ningún campo ensu estructura que contenga la dirección IP del usuario autenticado.En estos casos es aún posible realizar la identificación de usuarios, a través de lautilización de una API XML que se ofrece sobre el mismo agente mostrado en elcapítulo de e-Directory.

PA – 5060 – Documentación para la preventaPágina 37 de 100En estos casos será necesario realizar un pequeño desarrollo para extraer lainformación sobre la dirección IP desde algún origen (por ejemplo servidor DHCP) yalimentar la API con la dirección IP y nombre de usuario correspondiente. Acontinuación se muestra un ejemplo del intercambio de mensajes necesario para lacorrecta interactuación contra la API (para obtener más información al respecto, visitarhttps://live.paloaltonetworks.com/docs/DOC-1348)1.0updateComo se observa es posible incuir varias actualizaciones (login ó logout) sobre elmismo mensaje. Si el resultado es correcto, la API devolverá el siguiente tipo demensaje:1.00okEn caso de no ser correcto, el código de error será “1” en lugar de “0” y se incluyeademás un mensaje descriptivo sobre el origen del mismo.Es interesante señalar que existen actualmente soluciones comerciales que ofreceneste tipo de integración automáticamente contra los equipos de PAN. Un ejemplo deellas es AmigoPod (para más información visitar www.amigopod.com).

PA – 5060 – Documentación para la preventaPágina 38 de 100Integración de usuarios no pertenecientes al dominio: Captive Portal con NTLMEn el caso de que existan usuarios que no pertenecen al dominio (como por ejemplousuarios externos trabajando temporalmente), es aún posible identificarlos comousuarios y no únicamente por su dirección IP. Para ello los cortafuegos de PAN ofrecenla posibilidad de utilizar un portal cautivo, Captive Portal, que se encarga de realizaresta tarea.El portal cautivo puede utilizar con dos modos de trabajo diferentes: Autenticación basada en NTLM Autenticación basada en página web con formulariosEn general es preferible utilizar la autenticación por NTLM, más elegante, puesto que elusuario no es presentado con ninguna página web, sino que se le solicita laautenticación directamente según se conecta a cualquier sitio.Para la autenticación basada en NTLM, se utilizan las cabeceras de autenticaciónHTTP. Es importante señalar que es necesario que el cliente utilice un navegadorcompatible con este método de trabajo, como Internet Explorer o Firefox. La siguientefigura, Figura 18, muestra el esquema general del flujo de una autenticación con NTLM:Figura 18.- Flujo general de la autenticación vía NTLMPAN-OS utiliza las cabeceras HTTP mostradas en la Figura 18, junto con unaredirección HTTP (código 302, redirección temporal) para autenticar a los usuarios.La siguiente figura, Figura 19, muestra el proceso de validación. Tal y como se observahay tres fases distintas, que se corresponden con tres conexiones TCP diferentes: lapetición original del cliente interceptada; la autenticación NTLM entre cliente y

PA – 5060 – Documentación para la preventaPágina 39 de 100cortafuegos y la petición original reenviada una vez que la autenticación ha sidosatisfactoria.Figura 19.- Conexiones que tienen lugar en una autenticación NTLMNTLM es un mecanismo de autenticación basado en desafío-respuesta, donde el clientedebe obtener información nueva del servidor de autenticación, cuando formula sucontraseña en la respuesta. Puesto que el Directorio Activo es el único servidor capazde validar la respuesta NTLM del usuario, el servidor web integrado en el cortafuegosactúa únicamente como conductor, enviando los desafíos y respuestas a través de losagentes (Pan Agent), que interactúan con el directorio.La siguiente figura, Figura 20, muestra el detalle del proceso de autenticación NTLMentre el usuario y el directorio. Nótese que el tráfico circula por cuatro equipos en total,porque la autenticación final la ha de hacer el controlador de dominio, y la comunicacióndel cortafuegos con él es a través del agente (Pan Agent, visto anteriormente).

PA – 5060 – Documentación para la preventaPágina 40 de 100Figura 20.- Flujo de la autenticación NTLMNotas: Aunque se soportan tanto NTLMv1 como NTLMv2, se recomienda configurar losnavegadores para que utilicen NTLMv2, puesto que es más seguro queNTLMv1. Si se desea utilizar además la información de los grupos a los que los usuariospertenecen, es posible configurar el cortafuegos para que obtenga estainformación directamente, a través del uso de LDAP (soportado a partir de PAN-OS 3.1).Integración de usuarios no pertenecientes al dominio: Captive Portal con páginawebEn el caso de que la autenticación basada en NTLM no se pueda utilizar, o falle porejemplo porque el navegador que utiliza el cliente no soporta NTLM, aún es posibleautenticar a los usuarios haciendo uso de un portal cautivo que ofrecen los equipos dePAN, que integra una página web con un formulario de autenticación. La siguiente

PA – 5060 – Documentación para la preventaPágina 41 de 100figura, Figura 20, muestra un ejemplo de la página que se muestra a los usuarios que seautentican por este método. La imagen que mostramos se corresponde con la páginapor defecto, pero es posible personalizar la apariencia de esta página, a través de losmenús de configuración del firewall:Figura 20.- Autenticación con portal cautivo basado en página webLa siguiente figura, Figura 21, muestra el flujo del proceso de autenticación. Nótese queaunque se hace referencia a la autenticación vía RADIUS, también es posible, a partirde la versión 3.1 de PAN-OS, utilizar autenticación por LDAP (contra un directorioactivo, por ejemplo).Figura 21.- Autenticación con Captive Portal y formulario web

PA – 5060 – Documentación para la preventaPágina 42 de 100El proceso de autenticación, tiene lugar a través de HTTPs. Para ello el firewall utilizaun certificado que se puede generar dentro del propio equipo, o importar desde elexterior. Para que el usuario sea interceptado y autenticado, debe en primer lugar iniciaruna sesión HTTP hacia algún recurso externo. Una vez que la autenticación tiene éxito,el usuario es redirigido transparentemente hacia el recurso original, que solicitó desdesu navegador. Asimismo, una vez identificado, la validación del usuario contra laspolíticas se realiza para cualquier tipo de tráfico IP y no solamente para el tráfico Web.Durante la autenticación se utiliza nuevamente una redirección de tipo 302 (Temporarilymoved), pero de manera diferente a como se empleaba con la autenticación basada enNTLM. En este caso al usuario se le envía el contenido como si viniera del sitio original,pero redirigiéndolo hacia HTTPs y a través de otro puerto (TCP 6080). Esta redirecciónsirve al firewall para interceptar la siguiente petición del navegador, donde se incluye elformulario web de autenticación. Una vez que el usuario introduce la información deautenticación, ésta es enviada hacia el servidor RADIUS o LDAP que valida finalmenteal usuario.La siguiente figura, Figura 22, muestra el detalle de la autenticación en este caso:Figura 22.- Detalle de la autenticación con portal cautivo y formulario web

PA – 5060 – Documentación para la preventaPágina 43 de 100Detalle del funcionamiento de Content-IDMuchas de las nuevas aplicaciones que los usuarios se descargan hoy día contienenamenazas, tales como viruses, troyanos, spyware, … Del mismo modo las aplicacionescorporativas se ven amenazadas por ataques cada vez más sofisticados, que enmuchos casos van buscando un beneficio financiero, frente a la notoriedad del atacante.Gran parte de las soluciones que se ofrecen hasta la fecha, se basan en el concepto deque si se detecta una nueva brecha de seguridad, es necesario adquirir un nuevodispositivo que la cubra. Desafortunadamente, la falta de coordinación entre las distintasfunciones de cada equipo, los interfaces de gestión dispersos e inconsistentes y unrendimiento pobre, han dado un resultado muy lejano del esperado. Aún másimportante, los modelos de seguridad basados en soluciones independientes, hanobviado el hecho de que los atacantes toman ventaja de los cientos de aplicaciones queno se analizan y que los usuarios pueden descargar e instalar.Content-ID es una solución de seguridad totalmente integrada dentro de las solucionesde Palo Alto Networks, que pretende dar respuesta a todas las carencias de ese modelode aproximación a la seguridad, basado en la dispersión de recursos.Se trata de un motor de exploración basado en flujo (stream based en contraposición asoluciones basadas en proxies), que utiliza un formato de firma uniforme para laprevención, detección y bloqueo de un gran número de amenazas. De igual modo, limitala transferencia no autorizada de archivos y datos confidenciales, al tiempo que unaextensa base de datos de URLs controla la navegación por Internet no relacionada conel trabajo.El uso de Content-ID, junto con las tecnologías App-ID y User-ID vistas anteriormente,devuelve el control al departamento de TI sobre las aplicaciones, los usuarios y lasamenazas relacionadas, ofreciendo además una visibilidad sin precedentes desde unpunto central (el cortafuegos corporativo).La siguiente figura, Figura 23, muestra el resumen de las capacidades que se integrandentro de Content-ID:

PA – 5060 – Documentación para la preventaPágina 44 de 100Figura 23.- Funcionalidades integradas en Content-IDNota: Content-ID se comercializa a través de dos licencias que los clientes puedenadquirir opcionalmente al comprar un equipo de PAN: una de ellas se denomina ThreatPrevention e incluye el análisis de vulnerabilidades (IPS), antivirus y anti-spyware. Lasegunda licencia, denominada URL Filtering, incluye las capacidades de filtrado deURLs.Ambas licencias son independientes y pueden adquirirse de forma separada, según seanecesario. En ambos casos la licencia va ligada al equipo y no al volumen deusuarios, lo que hace que económicamente la solución sea más rentable.Como ventajas fundamentales de Content-ID, cabe destacar: Integrado completamente dentro de la solución de PAN. Protege frente a una gran variedad de amenazas, incluyendo exploits contra lasaplicaciones (IPS), viruses y spyware. Analiza todo el tráfico una única vez, basándose en un modelo tipo stream. Deesta forma se elimina la necesidad de utilizar proxies para el tráfico o losficheros, lo que resulta en un rendimiento superior y una latencia reducida. La utilización de una única política reduce significativamente la operativaasociada a la creación de políticas para el control de las amenazas o de lanavegación web.En los capítulos siguientes, analizamos con mayor detalle cada una de lasfuncionalidades y capacidades que ofrece Content-ID.

PA – 5060 – Documentación para la preventaPágina 45 de 100Prevención de amenazas (IPS)Es importante señalar, antes de avanzar más en eldetalle de las capacidades de prevención deataques, que todos los equipos de PAN se basan enla utilización de App-ID, como tecnología base. Tal ycomo se mencionó con anterioridad, App-ID utilizaun mecanismo de lógica positiva en la identificación de las aplicaciones (nivel 7). Estosignifica que antes siquiera de comenzar a buscar posibles amenazas, el equipodetermina si la aplicación que está circulando por la red se corresponde realmente conaquella que los administradores de seguridad han habilitado en sus políticas. Laidentificación es posible realizarla incluso aunque el tráfico vaya cifrado bajo SSL. Si laaplicación detectada no es acorde a la política de seguridad configurada, esa sesiónsimplemente se elimina sin darle opción a que progrese y pueda incluir algunaamenaza.Gracias a la utilización de esta tecnología de base, es posible eliminar multitud deamenazas basadas en la ofuscación o tunelización de unas aplicaciones sobre otras,además de que también permite reducir drásticamente los falsos positivos.La tecnología clave que permite a Content-ID identificar y bloquear con mayor certezalos ataques, es el decodificador de aplicación (ver punto anterior, sobre App-ID, paraencontrar más información al respecto). Content-ID toma streams de los datos de lasaplicaciones, que ya han sido analizados y reensamblados por el decodificador, parainspeccionarlos en busca de amenazas.Además, en vez de utilizar un subconjunto independiente de motores de análisis yfirmas para cada tipo de amenaza, Content-ID emplea un motor de firmas uniformes,lo que le permite detectar y bloquear en una única pasada diversos tipos de malware(exploits, viruses, spyware, …). Esta capacidad es crítica para garantizar un rendimientomuy alto a la par que una latencia mínima.En lo referente a las amenazas contra las aplicaciones, la prevención se consigue através de un conjunto de medidas de tipo IPS (Intrusion Prevention System). Los tiposde ataques generales, que es posible detectar se listan a continuación: Exploits contra vulnerabilidades de red Exploits contra vulnerabilidades de aplicación Ataques de denegación de servicio (DoS y DDoS)

PA – 5060 – Documentación para la preventaPágina 46 de 100Escaneo de puertos (horizontales y verticales)En cuanto a las medidas que utiliza el IPS para ofrecer la prevención, a continuación sedetallan las más significativas junto con una explicación sobre su utilización: Decodificadores de protocolo: Decodifican el protocolo y permitenposteriormente aplicar firmas para detectar los ataques, en base al contexto realde la aplicación. Firmas contra vulnerabilidades: Buscan patrones que se corresponden conintentos de intrusión. Actualmente existen unas 3000 diferentes. Detección de anomalías: Detectan el uso de los protocolos cuando no es acordea las RFCs, tales como URIs inválidas o intentos de login en servicios FTP conusuarios de gran longitud. Stateful pattern matching: Detecta ataques distribuidos en varios paquetes,tomando en cuenta elementos tales como el orden de llegada y la secuencia. Detección de anomalías por estadísticas: Previene los ataques de denegaciónde servicio (DoS y DDoS), basándose en el análisis del ratio de paquetes ysesiones. Análisis de comportamiento (heurístico): Detecta paquetes anómalos paraprevenir los intentos de escaneos de red. Defragmentación IP y reensamblaje TCP: Permite detectar los ataques auncuando los atacantes pretenden utilizar tácticas evasivas contra sistemas IPS. Firmas personalizables por los usuarios: Permite a los administradores extenderel rango de firmas disponibles, a través de la utilización de un potente motorbasado en expresiones regulares.Es importante señalar que la configuración de todas estas medidas de protección, aligual que ocurre con el resto de módulos de Content-ID, se realiza a través de lautilización de perfiles, lo que permite crear políticas de un modo muy sencillo.Además, es posible utilizar diferentes perfiles de Content-ID para cada regla deseguridad del firewall, lo que ofrece una gran granularidad a la hora de establecerlas medidas de control.La siguiente figura, Figura 24, muestra un ejemplo de la configuración de los perfilesde Content-ID, ligado a cada una de las políticas que implementa el cortafuegos:

PA – 5060 – Documentación para la preventaPágina 47 de 100Ejemplo de configuración deContent-ID por perfilesFigura 24.- Ejemplo de gestión de políticas de Content-IDLa gestión de los perfiles de firmas es asimismo muy sencilla, pudiendo el administradortrabajar en modo simple o modo avanzado.En el modo simple solamente es necesario seleccionar qué acción se quiere tomarcontra un determinado tipo de amenaza, en base al riesgo –crítico, alto, medio, bajo oinformativo, para los ataques de cliente o servidor. La siguiente figura, Figura 25,muestra un ejemplo de configuración simple:Figura 25.- Ejemplo de configuración de firmas de IPS sencilla

PA – 5060 – Documentación para la preventaPágina 48 de 100Por el contrario en el modo avanzado es posible configurar múltiples parámetros paracada firma individualmente. La siguiente figura, Figura 26, muestra un ejemplo deconfiguración avanzada:Figura 26.- Ejemplo de configuración de firmas de IPS avanzadaEn ambos casos es posible excluir aquellas firmas que no nos interesen comoexcepciones. Esta configuración también es posible realizarla directamente desde laventana de análisis de logs.Prevención de ataques de DoSLa prevención frente a ataques de DoS y DDoS (ataques de denegación de serviciodistribuidos), se realiza a través de la detección basada en el análisis estadístico, segúnse mencionó en el capítulo anterior.Es posible configurar diferentes perfiles para cada zona, en función de los requisitos detráfico que pueda existir en cada una de ellas. En concreto, este mecanismo ofreceprotección frente a los siguientes ataques de DoS:

PA – 5060 – Documentación para la preventaPágina 49 de 100 Ataques de SYN Flood. Se puede utilizar SYN Cookies o RED (Random EarlyDrop). Es recomendable utilizar SYN Cookies. Ataques basados en inundaciones UDP. Ataques basados en inundaciones ICMP. Otros tipos de ataques basados en inundaciones IP.La siguiente figura, Figura 27, muestra un ejemplo de configuración de un perfil en unazona, para proteger dicha zona frente a ataques de denegación de servicio. Tal y comose observa se ofrecen diferentes ratios, en base a los diferentes estados por los quepuede pasar un ataque de DoS (alerta, activación y máximo número de paquetespermitidos):Figura 27.- Ejemplo de configuración frente a ataques de DoS por zonasPrevención frente a escaneos de redAunque los intentos de escanear la red en busca de equipos o de servicios querespondan, no suele considerarse un ataque como tal, sí que es importante ofrecermecanismos de protección frente a los mismos, porque suele ser la primera medida queun atacante emplea, previa a la realización de un ataque en sí.

PA – 5060 – Documentación para la preventaPágina 50 de 100Al igual que la protección frente a ataques de DoS, la detección y prevención de losescaneos de red en las soluciones de PAN se realiza a través del análisis estadístico,que se configura en la protección de cada zona. De nuevo es posible utilizar perfilesdiferentes en función de los requisitos de cada zona.En concreto se ofrece protección frente a los siguientes tipos de escaneo (tantohorizontales como verticales): Escaneos TCP Escaneos UDP Host SweepLa siguiente figura, Figura 28, muestra un ejemplo de configuración de un perfil frente alos intentos de escaneo:Figura 28.- Ejemplo de configuración frente a intentos de escaneoAnomalía de paquetesAl igual que la protección frente a ataques de DoS, la detección y prevención depaquetes anómalos se configura en la protección de cada zona. De nuevo es posibleutilizar perfiles diferentes en función de los requisitos de cada una.En concreto se ofrece protección frente a los siguientes tipos de paquetes anómalos: Spoofing de direcciones IP Bloqueo de tráfico fragmentado Tráfico ICMP con ID 0

PA – 5060 – Documentación para la preventaPágina 51 de 100 Tráfico ICMP fragmentado Paquetes ICMP superiores a 1024 bytes Supresión de ICMP TTL expired error Supresión de ICMP NEEDFRAG Eliminar los paquetes fuera de sesión (paquetes para los que no se ha visto elSYN que marca el inicio de la sesión). Es importante deshabilitar esta medida deprotección si se trabaja en entornos donde es posible que exista tráficoasimétrico.La siguiente figura, Figura 29, muestra un ejemplo de configuración de un perfil frente apaquetes anómalos:Figura 29.- Protección frente a anomalías de paqueteAntivirus y Anti-SpywareEl motor de antivirus/anti-spyware en línea saca también partido de los patrones defirmas uniformes mencionados anteriormente, así como de un motor de inspecciónbasado en stream, para proteger frente a millones de variantes de malware.A continuación se enumeran las capacidades clave de la solución de antivirus/antispywarede PAN: Protección frente un amplio rango de malware, como por ejemplo virus,incluyendo aquellos que afectan a HTML y Javascript, downloads de spyware,troyanos, etc. Detección y prevención en línea de malware embebido en ficheros comprimidosy contenido web. Utiliza el motor de descifrado SSL de App-ID, para bloquear viruses sobre tráficoSSL.

PA – 5060 – Documentación para la preventaPágina 52 de 100 Las firmas del motor de antivirus se obtienen a través del análisis de millones depatrones reales, que son enviados a los ingenieros de PAN a través de tercerasempresas, líderes en el mercado de investigación y búsqueda de malware. Elequipo de desarrollo de PAN analiza y elimina la información duplicada oredundante y genera las firmas (utilizando el patrón uniforme para ello), que sonofrecidas a los clientes diariamente o bajo actualizaciones de emergencia.También es crucial señalar, que el análisis basado en stream permite proteger la red sinintroducir una latencia significativa – que es el problema tradicional con las solucionesde antivirus que se basan en proxies. Las soluciones basadas en proxies han carecidohistóricamente de los requisitos de rendimiento necesarios cuando se hacendespliegues en línea, en entornos con necesidades en tiempo real (por ej. aplicacionesweb), porque necesitan ubicar el fichero al completo en memoria antes de que elproceso de análisis pueda comenzar. Por el contrario los motores basados en stream,como el de PAN, inspeccionan el tráfico tan pronto como el primer paquete del ficherollega al equipo, eliminando los problemas de rendimiento y latencia asociados con laaproximación basada en proxies.La siguiente Figura, Figura 30, muestra la comparativa entre un motor basado enstreaming frente a uno basado en proxies. Obsérvese la gran diferencia en la latenciaintroducida por ambas soluciones, hasta que se entrega el tráfico al destino final:Figura 30.- Comparativa entre la inspección basada en stream frente a proxy

PA – 5060 – Documentación para la preventaPágina 53 de 100Filtrado de URLsLa base de datos para la gestión y filtrado de URLs,totalmente integrada en la solución, permite establecerpolíticas de control sobre la actividad de la navegaciónweb, complementando de este modo la visibilidad anivel de aplicación y control que los firewalls de nuevageneración de Palo Alto Networks ofrecen.A continuación se resumen las ventajas fundamentales que ofrece la solución: Bloquea el acceso a sitios no deseables para reducir los riesgos de seguridad,legales y regulatorios. Reduce los incidentes asociados con el malware, al prohibir el acceso a sitesque ofrecen descargas que incluyen malware ó phising. Ofrece políticas configurables, con listas blancas y negras y base de datos deURLs personalizable. Facilita las políticas de descifrado SSL, como por ejemplo: “no descifrar el tráficoque vaya dirigido contra webs financieras”, pero “sí descifrar el tráfico que vayadirigido a sitios que contienen blogs”.Las soluciones tradicionales de filtrado de URLs basadas en equipos independientes,no son todo lo efectivas que debieran hoy día. Pueden ser en muchas ocasionesfácilmente eludidas a través del uso de proxies externos (como PHproxy o CGIproxy),proxies evasivos (como TOR, UltraSurf o Hamachi) y aplicaciones de acceso aescritorios remotos (como Yoics!, RDP o SSH). Controlar la actividad de lasaplicaciones de los usuarios requiere una aproximación multidisciplinar, que incorporepolíticas para gestionar la actividad web así como las aplicaciones que utilizannormalmente para eludir los mecanismos de seguridad tradicionales. Gracias al uso delas tecnologías App-ID, User-ID junto con el filtrado de URLs, las soluciones de PANsolventan esas carencias presentes en otras soluciones.Una vez que han controlado, gracias a App-ID, las aplicaciones que se permite utilizar,los administradores de seguridad pueden implementar políticas de filtrado URL paraextender el control sobre la actividad de red. Las políticas se pueden habilitar en base ala combinación de los siguientes mecanismos: Seleccionar entre 76 categorías y más de 20 millones de URLs, almacenadas enuna base de datos local al equipo.

PA – 5060 – Documentación para la preventaPágina 55 de 100Figura 31.- Ejemplo de página de bloque de acceso a una URL no permitidaExisten asimismo múltiples opciones a la hora de generar informes. El equipo ofrece unconjunto de ellos predefinidos, y también ofrece la posibilidad al usuario para que segenere otros personales. En general existen tres tipos de reportes diferentes que sepueden obtener: Reportes sobre la actividad de los usuarios: Permite generar informes muydetallados sobre la actividad de un usuario o grupo. Se incluyen las aplicacionesempleadas, las categorías de URL visitadas, los sitios web visitados y el detallede todas las URLs visitadas durante un período de tiempo configurable. Reportes sobre la actividad de las URLs: Existen hasta 50 informes de este tipo,donde se muestra la categoría de URL visitada, los usuarios más activos, lascategorías bloqueadas, los usuarios bloqueados, … Logging en tiempo real: Los logs de las URLs pueden filtrarse fácilmente, paraobtener información detallada en línea (para obtener más información sobre estepunto, revisar por favor el capítulo de gestión del equipo que se detallaposteriormente).La configuración del filtrado de URLs sigue los mismos principios vistos anteriormenteen la configuración de otros mecanismos de Content-ID, y se basa por tanto en la

PA – 5060 – Documentación para la preventaPágina 56 de 100utilización de perfiles. La siguiente figura, Figura 32, muestra un ejemplo de la definiciónde estos perfiles:Figura 32.- Ejemplo de definición de un perfil de filtrado de URLsPara finalizar con este punto, es importante señalar que el modelo de licenciamiento dePAN para el módulo de URL filtering se basa en la obtención de una licencia porequipo y no por usuario. Este modelo de licenciamiento supone que el número deusuarios que pueden utilizar el servicio es virtualmente ilimitado, a la par que ofrece unahorro importante frente a soluciones que requieren una licencia por usuario.

PA – 5060 – Documentación para la preventaPágina 59 de 100Actualizaciones periódicas y equipo I+D de Content-IDEl equipo del departamento de I+D de Palo Alto Networks, encargado de mantener yactualizar las soluciones integradas en Content-ID, está formado por un grupo deingenieros de gran experiencia en el área del desarrollo de mecanismos de prevenciónde amenazas.Además de trabajar en la mejora y desarrollo de nuevas contramedidas, se trata de unequipo altamente activo en la comunidad internacional de la seguridad. PAN esmiembro inaugural del programa MAPP de Microsoft (Microsoft Active ProtectionProgram), y como tal tiene acceso prioritario previo a la publicación de lasactualizaciones periódicas y de emergencia que Microsoft realiza. Esto nos permitegarantizar que nuestros clientes dispondrán de las contramedidas adecuadas, antes dela publicación de los boletines de manera coordinada.Además de recibir información sobre las vulnerabilidades detectadas por terceros, PaloAlto Networks realiza su propia investigación continua, y ha sido acreditado comodescubridor de múltiples vulnerabilidades de carácter crítico y alto dentro de lossistemas operativos de Microsoft o de su suite de aplicaciones. Del mismo modo setrabaja activamente con otros fabricantes, donde también se han descubierto yreportado vulnerabilidades críticas (como por ejemplo Adobe).Las actualizaciones de firmas para el IPS se proveen generalmente una vez a lasemana (normalmente los miércoles en horario español). Además, cuando se detectaalguna vulnerabilidad crítica, PAN provee a sus clientes de actualizaciones fuera delciclo habitual semanal.En el caso concreto de la base de datos de URLs y antivirus/antispyware, laactualización es diaria.

PA – 5060 – Documentación para la preventaPágina 61 de 100Routing y protocolos de red soportadosEl routing en los equipos de PAN se configura a través de la definición de routersvirtuales. La definición de estos routers virtuales permite asimismo utilizar protocolosde routing dinámicos. Cada interfaz de tipo L3, loopback y VLAN definido en el firewalldebería estar asociado con un router virtual. Además, cada interfaz puede pertenecer aun único virtual router.A continuación se detallan los protocolos de red y de routing más significativos quesoportan los equipos de Palo Alto Networks: Routing estático Routing dinámico basdo en RIP Routing dinámico basado en OSPF Routing dinámico basado en BGP Vlan tagging (802.1q) Soporte a Jumbo Frames Soporte a PPPoE (a partir de la versión 3.1.3) Link aggregation (802.3ad) – Sólo en la serie 4000 DHCP server y DHCP relay Soporte a IPv6 (en modo Virtual Wire)Reglas de SeguridadLos reglas de seguridad en los cortafuegos de Palo Alto Networks se configuran através de un potente y sencillo interfaz gráfico. La estrategia que se sigue en suevaluación es top-down, lo que significa que el tráfico se evalúa contra ellas en orden dearriba hacia abajo. Cuando el tráfico hace match contra una regla, se aplican lasacciones correspondientes y se deja de evaluar el resto de la política. Existe asimismouna regla implícita –no mostrada en la política- en la última posición de cada políticaque se encarga de denegar todo el tráfico que no haya sido procesado por reglasanteriores. Si se desea obtener logging de este tipo de tráfico, es necesario configuraren último lugar una regla explícita para ello con el logging activado.En la definición de las reglas de seguridad es posible configurar los siguientes campos: Nombre de la regla (con posibilidad de añadir comentarios) Zona origen del tráfico Zona destino del tráfico

PA – 5060 – Documentación para la preventaPágina 62 de 100 Dirección IP de origen Usuario de origen (en base a la integración que ofrece User-ID) Dirección IP de destino Aplicación (integración con App-ID, revisado anteriormente) Servicio: se corresponde únicamente con el puerto TCP/UDP. Simula por tantoun cortafuegos de primera generación. Su definición es opcional. Acción: Aceptar o denegar el tráfico Perfil de Seguridad: Permite asignar perfiles de Content-ID (IPS, Antivirus,AntiSpyware, URL Filtering, Gestión de ficheros y Gestión de contenidos) Opciones: Permite establecer las opciones de logging, reporte a tercerossistemas, inspección en un único sentido, …La siguiente figura, Figura 36, muestra un ejemplo de una política configurada desde elgestor gráfico:Figura 36.- Ejemplo de configuración de una política de seguridadNATLos cortafuegos de PAN también incorporan funcionalidades de NAT. Es posibletraducir tanto las direcciones IP y puertos de origen como los de destino. Las reglas deNAT suponen una entidad diferente a las políticas de seguridad vistas en el capítuloanterior. Las reglas de NAT permiten configurar los siguientes campos: Nombre de la regla (con posibilidad de añadir comentarios) Zona origen del tráfico Zona destino del tráfico Interfaz de destino (opcional) Dirección IP de origen Dirección IP de destino

PA – 5060 – Documentación para la preventaPágina 63 de 100 Servicio: Puerto TCP/UDP Traducción de origen (IP y puerto) Traducción de destino (IP y puerto)La siguiente figura, Figura 37, muestra un ejemplo de una política de NAT:Figura 37.- Ejemplo de configuración de una política de NATPuede haber múltiples reglas de NAT. Al igual que con las políticas de seguridad éstasson evaluadas de arriba abajo. Cuando se hace match con una regla se aplican lasacciones correspondientes y se deja de evaluar la política. Así pues las reglas másespecíficas han de estar al comienzo de la lista. La siguiente figura, Figura 38, muestrael flujo del tráfico en relación con la aplicación de NAT. Por motivos de simplicidad deldiagrama se han excluido los procesos asociados a App-ID, User-ID y Content-ID:Figura 38.- Diagrama de flujo lógico en la aplicación de NAT

PA – 5060 – Documentación para la preventaPágina 64 de 100Tal y como muestra la Figura 38, las direcciones traducidas se determinan después deque un paquete haga match sobre una regla de NAT. Asimismo es importante señalarque la traducción de las direcciones IP ocurre únicamente cuando el paquete sale delfirewall. Así pues, las reglas de NAT y las reglas de seguridad siempre hacen referenciaa las IP originales en el paquete y no a las traducidas.La definición de las direcciones IP soporta incluir direcciones estáticas, redes y rangosde direcciones IP, que se configuran como IP Address Objects.Asimismo cuando el equipo determina que el address pool está en el mismo interfaz deentrada/salida que la dirección IP de NAT, el equipo realiza automáticamente proxy arp.En caso contrario se utiliza routing.En general se soportan los siguientes tipos de NAT: Source NATo IP y puertos dinámicos (se puede emplear como IP de NAT una delinterfaz del firewall)o IP dinámicao NAT estático Destination NATo NAT estáticoo IP y puertoo PAT (Port Address Translation. NAT sobre una misma IP, pero en la queel puerto de destino identifica equipos de destino diferentes).Policy Based ForwardingA partir de las versiones 3.1.x de PAN-OS, se ha añadido a los cortafuegos lacapacidad de hacer Policy Routing, denominado Policy Based Forwarding (PBF) enPAN.Se trata de una herramienta potente, cuya definición de políticas se encuentra separadade las vistas anteriormente. En concreto es posible definir los siguientes campos en unaregla de PBF: Nombre de la regla (con posibilidad de añadir comentarios) Zona origen del tráfico Dirección IP de origen

PA – 5060 – Documentación para la preventaPágina 65 de 100 Usuario de origen (en base a la integración que ofrece User-ID) Dirección IP de destino Aplicación (integración con App-ID, revisado anteriormente) Servicio: Se corresponde únicamente con el puerto TCP/UDP Acción: Puede ser no hacer PBF, encaminar ó descartar Forwarding: Incluye los siguientes dos camposo Interfaz de salidao Next hop Monitoring: Incluye los siguientes camposo Perfil: Perfil de monitorización que se desea utilizaro Destino: Destino de la monitorizacióno Deshabilitar si falla: Si la monitorización falla, la regla no tiene efecto Schedule: Permite programar la regla para que tenga efecto en base a unadefinición de horarioTal y como se ha descrito anteriormente, es posible realizar PBF por usuario o grupo deusuarios, e incluso por aplicación (a nivel 7). También es especialmente interesante laparte de monitorización, que permite chequear un elemento a través de ping(normalmente el next hop) y deshabilitar la regla en caso de que el elemento chequeadofalle. Esto permite que una regla de PBF posterior, con un camino de backup para elmismo tipo de tráfico, tome efecto.La siguiente figura, Figura 39, muestra un ejemplo de configuración de Policy BasedForwarding:Figura 39.- Ejemplo de configuración de PBF

PA – 5060 – Documentación para la preventaPágina 66 de 100VPNs IPSecLos firewalls de PAN incluyen soporte a VPNs IPSec y VPNs SSL (revisadas en elcapítulo siguiente).Las redes privadas virtuales (VPNs), permiten a los sistemas conectarse de formasegura a través de redes públicas, como si lo estuvieran haciendo a través de una redde área local (LAN). El conjunto de protocolos IP Security (IPSec) es utilizado paraestablecer un túnel seguro para el tráfico de la VPN. La información privada de lospaquetes se cifra cuando se envía a través de un túnel IPSec.La siguiente figura, Figura 40, muestra un ejemplo de un túnel IPSec estándar entre dosequipos:Figura 40.- Ejemplo de túnel IPSec estándarLa configuración del túnel puede incluir un monitor en cada extremo del mismo, paraalertar al administrador de un fallo y proporcionar un camino alternativoautomáticamente. Se recomienda por tanto definir monitores de túneles, si se deseaproporcionar HA para las VPNs IPSec a través de otro interfaz.Las VPNs IPSec proporcionadas con los equipos de PAN están basadas en routing. Sesoporta tanto la integración con equipos remotos de PAN, como con cualquier otrofabricante que también utilice IPSec. Gracias al uso de las VPNs basadas en routing,los cortafuegos de PAN toman una decisión de routing basándose en la dirección IP dedestino de las sesiones. Si el tráfico se enruta a través de un túnel VPN, es entoncesautomáticamente cifrado. No es necesario por tanto definir ninguna regla especial ohacer referencia explícita a ún túnel VPN; la decisión se toma automáticamente en basea la dirección IP de destino.

PA – 5060 – Documentación para la preventaPágina 67 de 100Para la conexión IPSec entre los firewalls, el paquete IP al completo (cabecera ypayload) es encapsulado dentro de otro payload IP al que se le añade una nuevacabecera. La nueva cabecera utiliza la dirección IP del interfaz externo del firewall desalida, como la IP origen. Como IP de destino se emplea la dirección IP externa delfirewall remoto, contra el que se configura el túnel. Cuando el paquete llega al otroextremo del túnel, el cortafuegos remoto reconstruye el paquete original (eliminando portanto la cabecera y payload extras) y lo entrega a su destino original.En cada extremo se definen las asociaciones IPSec Security Associations (SAs), quegestionan por completo el cifrado y la autenticación de los datos. Los parámetrosnecesarios para la configuración de una SA son: Security Parameter Index (SPI) Protocolo de seguridad a utilizar Claves criptográficas IP de destinoCuando se definen las VPNs es importante entender correctamente la topología de red,para saber cuántos túneles VPN es necesario definir. Cuando se define el túnel VPN,hay que asociarlo al mismo router virtual que utiliza el tráfico de entrada (en claro, sincifrar), sobre ese mismo interfaz.Respecto a la definición de la seguridad IPSec, PAN soporta los siguientes dosmecanismos (han de configurarse de igual forma en ambos extremos del túnel): Definición manual de las claves de seguridad Utilización de IKE para la definición de las claves (método recomendado)SSL VPNsAdemás de las VPNs IPSec vistas anteriormente, también se soportan VPNs basadasen SSL. El objetivo fundamental es ofrecer a los usuarios remotos un mecanismoseguro para conectarse a los recursos corporativos internos. En concreto se soportanlos siguientes sistemas operativos en los clientes remotos: Windows XP Windows Vista Windows7 Mac OSX (aún en fase beta)

PA – 5060 – Documentación para la preventaPágina 68 de 100La gran ventaja de las VPNs SSL frente a las basadas en IPSec, es que los usuariospueden acceder a la VPN a través simplemente de un navegador web, sin necesidad depreinstalar ningún cliente sobre sus equipos.Para configurar una VPN SSL, es necesario definir un perfil y añadirlo a un interfazfísico como interfaz virtual sobre el firewall. El interfaz virtual SSL VPN es mapeado auna zona de seguridad, sobre la que por supuesto se pueden aplicar políticas deseguridad. El interfaz físico ha de ser de nivel 3.La primera vez que el usuario se conecta al portal SSL VPN del cortafuegos, se le pideque se autentique. Una vez correctamente validado, se descarga e instala un clienteligero, que será el encargado de gestionar la VPN. Cuando la instalación finaliza seestablece el túnel que se intentará primero realizar vía IPSec y, si no es posible, através de SSL.Es importante señalar que se soporta split tunneling (configuración en el cliente), deforma que únicamente el tráfico hacia la VPN se incluye por el túnel, mientras que elresto se envía directamente a Internet.Para finalizar, señalar que todas las funcionalidades de identificación de aplicaciones,usuarios, … se soportan también sobre túneles VPN, con lo que es perfectamenteposible controlar también el tráfico de estos usuarios.QoSLos equipos de PAN también incluyen soporte para realizar tareas de gestión y calidadde servicio en el tráfico. Es posible aplicar políticas de QoS tanto para tráfico claro,como para tráfico cifrado (VPNs).Además de soportar DCSP, también es posible crear políticas granulares que sacanprovecho de las funcionalidades de App-ID y User-ID ya descritas. La gestión del QoSen PAN se basa en la utilización de colas.Así pues es posible generar perfiles de QoS que se aplican de modo generalista sobreun interfaz o también utilizar el gestor de políticas para crear restricciones másgranulares sobre el tráfico.La siguiente figura, Figura 41, muestra un ejemplo de la definición de un perfil de QoSque se aplicará posteriormente sobre un interfaz del firewall:

PA – 5060 – Documentación para la preventaPágina 69 de 100Figura 41.- Definición de un perfil de QoSTal y como se observa es posible definir anchos de banda mínimos –o garantizados-,máximos (en caso de que otras políticas puedan prestarlos si no los necesitan), asícomo la prioridad que se quiere otorgar a esa clase de tráfico (baja, media, alta y tiemporeal). La definición de la prioridad tiene sentido cuando se llega a una situación decontención, en la que es necesario descartar tráfico. Para este propósito los firewalls dePAN utilizan el algoritmo WRED (Weighted Random Early Drop), que eliminaaleatoriamente paquetes TCP en base al peso de cada clase (realmente no seperderán, porque TCP tiene mecanismos para garantizar la retransimisión de losmismos). Las clases configuradas con una prioridad más alta, tienen también un pesomás alto dentro de WRED y por tanto son menos susceptibles a sufrir la eliminación depaquetes en caso de contención.Una vez definidos los perfiles, hay que aplicarlos sobre los interfaces correspondientes.Es importante señalar, a la hora de determinar sobre qué interfaz aplicar un perfil, quelos firewalls de PAN realizan las tareas de QoS sobre tráfico saliente y no entrante. Asípues, y para un ejemplo en el que se desea controlar la navegación de los usuarios, esnecesario aplicar el perfil sobre el interfaz del firewall que está en la LAN de usuarios (yque es el que entregará el tráfico a los mismos, en salida).

PA – 5060 – Documentación para la preventaPágina 70 de 100La asociación de un perfil sobre un interfaz permite además establecer excepciones enbase al interfaz o IP de origen del tráfico. Para ello se pueden asociar en lasexcepciones perfiles diferentes al general.Según se mencionó anteriormente, una vez definidos los perfiles y aplicados sobre losinterfaces correspondientes, es también posible utilizar un gestor de políticas de QoS,que ofrece mayor granularidad en el diseño de la estrategia de QoS. El gestor depolíticas de QoS permite definir los siguientes campos: Nombre de la regla (con posibilidad de añadir comentarios) Zona origen del tráfico Zona destino del tráfico Dirección IP de origen Usuario de origen (en base a la integración que ofrece User-ID) Dirección IP de destino Aplicación (integración con App-ID, revisado anteriormente) Servicio: Se corresponde únicamente con el puerto TCP/UDP Clase: Cola sobre la que se desea ubicar este tipo de tráfico (1-8, representando1 una mayor prioridad que 8) Forwarding: Incluye los siguientes dos camposo Interfaz de salidao Next hop Schedule: Permite programar la regla para que tenga efecto en base a unadefinición de horarioLa siguiente figura, Figura 42, muestra un ejemplo de una ventana de configuración delas políticas de QoS:Figura 42.- Ejemplo de configuración de políticas de QoS

PA – 5060 – Documentación para la preventaPágina 71 de 100Finalmente, y según muestra la siguiente figura, Figura 43, es posible obtenerestadísticas en tiempo real sobre el uso de las políticas. En concreto se puede obtenerel siguiente tipo de información: QoS Bandwidth: Muestra en tiempo real gráficos de ancho de banda para losnodos y clases seleccionados. La información se actualiza cada dos segundos. Session Browser: Lista las sesiones activas del nodo y la clase seleccionados Application View: Muestra todas las aplicaciones activas para el nodo y claseseleccionados.Figura 43.- Ejemplo de estadísticas en tiempo real de QoS

PA – 5060 – Documentación para la preventaPágina 72 de 100Diseño hardwareEn este capítulo se detalla el diseño hardware de las plataformas de Palo AltoNetworks, conocida como Single Pass Parallel Processing – SP3 de ahora enadelante, así como la descripción detallada de la arquitectura presente en el modeloPA-5060.Desde hace varios años existe la promesa de ofrecer servicios integrados deprevención de amenazas dentro del firewall. Esta tendencia parece relativamentenatural ya que el cortafuegos se veía como un dispositivo de seguridad básico, que deser posible, podría aliviar la necesidad de añadir dispositivos extra de seguridad pararealizar funciones de IPS, antivirus de red y otras. Los diferentes intentos por lograr laintegración de la prevención de amenazas en el cortafuegos han recibido diversosnombres – deep inspection, gestión unificada de amenazas (UTM), deep packetinspection y otros. Sin embargo, lo que todos estos intentos comparten es un fracasocomún: el firewall puede actuar con alto rendimiento y baja latencia, mientras que lasfunciones de seguridad añadidas se llevan a cabo muy lentamente, con bajorendimiento y alta latencia.Básicamente el problema de todos estos intentos es que arrancan de dos puntos departida erróneos:1. La base para la clasificación del tráfico es errónea. Las aproximacionestradicionales parten de la tecnología stateful inspection, que asume que unpuerto y protocolo se corresponden con una aplicación, lo que resulta incorrectogeneralmente. Cualquier análisis posterior está por tanto basado en unaclasificación inicial incorrecta, cuya corrección es además muy costosa: bien entérminos de rendimiento, o bien en términos de la calidad del resultado final. Lassoluciones de PAN parten de una premisa inicial totalmente diferente (App-ID).2. El método de integración también es erróneo. La mayoría de las soluciones hanpretendido colapsar múltiples funcionalidades sobre un único sistema operativo ychasis. Realmente esto no es integración, sino consolidación y la diferencia escrítica. La consolidación simplemente toma diversos productos y los agrupadentro de un único equipo, donde ni la arquitectura ni los recursos estánpreparados para gestionarlos.

PA – 5060 – Documentación para la preventaPágina 73 de 100La arquitectura single pass de PAN solventa todas estas problemáticas y hace realidadel sueño de aunar diversas funcionalidades de seguridad en el firewall, sin sacrificar elthroughput o añadiendo mucha latencia.Si bien el enfoque de realizar todas las tareas en una única pasada puede resultar obvioo trivial, la arquitectura SP3 es realmente única en Palo Alto Networks. El objetivo de laarquitectura es por tanto conseguir que cada tarea fundamental se realice una únicavez. La siguiente figura, Figura 44, muestra el concepto de la arquitectura a través deun ejemplo del flujo general que sigue un paquete al atravesar el equipo. Obsérveseque cada paquete es inspeccionado efectivamente una única vez por cada módulo:Figura 44.- Flujo de un paquete en la arquitectura SP3Por el contrario la siguiente figura, Figura 45, muestra el flujo que sigue un paquete enuna solución UTM en el peor caso. Puesto que se parte de un análisis inicial erróneo (anivel 4), es necesario reenviar el paquete múltiples veces a diversos módulos diferentespara intentar obtener el conocimiento necesario, que permita aplicar despuésmecanismos de protección de la aplicación a nivel 7. El resultado, como se mencionóanteriormente, es que la latencia aumenta significativamente a la par que el throughput

PA – 5060 – Documentación para la preventaPágina 74 de 100se ve reducido drásticamente, cuando se desea utilizar la solución para cualquier otracosa que no sea realizar un simple filtrado a nivel 4 (en muchos casos el detrimento delthroughput al habilitar funcionalidades de protección a nivel 7 cae más de un 95%,comparado con el throughput potencial de la solución cuando se trabaja a nivel 4):Figura 45.- Flujo de un paquete en un sistema UTMArquitectura Single Pass Parallel ProcessingLa arquitectura SP3 representa un concepto revolucionario a la hora de diseñarequipamiento dedicado a realizar tareas de seguridad. Ha sido concebida para cumplirdos funciones clave dentro del firewall de nueva generación de Palo Alto Networks. Enprimer lugar, la arquitectura single pass realiza todas las operaciones una vez porpaquete. Según se procesa un paquete, el routing se realiza una vez, la búsqueda en lapolítica se realiza una vez, la identificación de la aplicación y la decodificación se realizauna vez, y el análisis de las amenazas y los contenidos se realiza una vez. Esto reducesignificativamente la cantidad de sobrecarga de procesamiento necesaria para realizarmúltiples funciones. En segundo lugar, la arquitectura single pass utiliza firmas basadasen patrones uniformes. En lugar de utilizar motores y conjuntos de firmas por

PA – 5060 – Documentación para la preventaPágina 75 de 100separado (lo que requiere múltiples análisis en la exploración) y en lugar de utilizarservidores proxy (lo que requiere la descarga completa de los archivos antes deanalizarlos), la arquitectura single pass escanea el tráfico de todas las firmas una únicavez y en forma de stream, para evitar introducir latencias.La siguiente figura, Figura 46, esquematiza el concepto de la arquitectura SP3.Figura 46.- Arquitectura SP3Tal y como muestra la Figura 46, el equipo dispone de un backplane de controlseparado del de datos. El backplane de control se utiliza para las tareas de gestión yconfiguración del equipo y utiliza CPUs Intel Dual Core. El backplane de datos utilizalas siguientes tecnologías: Networking: Se utiliza un procesador de red dedicado llamado EZ-Chip, quees el encargado de realizar las tareas de routing, búsqueda de flujos, QoS, NATy otras funciones de red similares. User-ID, App-ID y la política de seguridad se ejecutan sobre un conjunto de 16procesadores de contenidos dedicados, de tipo Cavium. Estos procesadoresincluyen aceleración hardware para realizar las tareas de cifrado, descifrado ydescompresión.

PA – 5060 – Documentación para la preventaPágina 76 de 100 Content-ID realiza su análisis a través de una tarjeta FPGA propietaria, conmemoria dedicada. Esta FPGA pionera en la industria, es capaz de buscar ybloquear todo tipo de malware en una única pasada. Otras aproximacionesrequieren dos y hasta tres motores de inspección diferentes para realizar tareassimilares. Los dos conceptos claves que hacen que este motor funcione son lautilización de firmas uniformes y el análisis tipo stream. Los patrones de firmasuniformes eliminan muchos procesos redundantes (reensamblaje TCP,búsqueda, inspección, …) y permiten que todas ellas estén activas sin degradarel rendimiento. El análisis basado en streaming permite que los paquetes secomiencen a analizar y a entregar a su destino final tan pronto llegan, sinnecesidad de utilizar grandes buffers.Arquitectura hardware del modelo PA-5060La siguiente figura, Figura 47, muestra el detalle de la arquitectura hardware del modeloPA-5060.Figura 47.- Arquitectura hardware del PA-5060

PA – 5060 – Documentación para la preventaPágina 77 de 100Tal y como se observa la parte de gestión del equipo – Control Plane- y la parte deoperación – Data Plane- se encuentran efectivamente separadas. En el caso de la serie4000, como el PA-5060, existen inclusos dos placas base diferentes albergando cadauna de ellas la parte de control y datos.La parte de control cuenta con sus propios recursos de memoria y disco, y es donde serealizan todas las tareas de gestión del equipo. Esta dualidad entre control y datos,permite que las CPUs de control puedan estar saturadas, por ejemplo generando unreporte muy pesado, mientras que la parte de datos no se ve afectada, puesto queutiliza recursos independientes.La parte de datos de la Figura 47 muestra los tres componentes fundamentalesmencionados anteriormente: gestión de red (realizada con EZ-Chip), análisis decontenidos (16 CPUs Cavium trabajando en paralelo) y análisis de seguridad (sobreFPGA propietaria con patrones de firma unificados).

PA – 5060 – Documentación para la preventaPágina 78 de 100Gestión, visibilidad y reportingLa gestión en los equipos de Palo Alto Networks es otro punto clave en el diseño de lasolución. Gracias a la dilatada experiencia del equipo de desarrollo, se ha conseguidouna interfaz simple e intuitiva, a la par que potente, para facilitar al máximo las tareas degestión. En general los equipos de PAN se pueden gestionar a través de los siguientesmecanismos: CLI por consola CLI por telnet CLI por ssh GUI por http GUI por https SNMP (lectura)La mayoría de las tareas es posible realizarlas a través del interfaz gráfico (GUI), lo quesimplifica mucho las labores de administración. El único elemento que necesita eladministrador es un browser para iniciar una sesión http/https contra el equipo, sinnecesidad de utilizar ningún otro equipo o herramienta externa. Además, los tiempos derespuesta del GUI son muy buenos gracias al uso de la arquitectura SP3 descrita conanterioridad, que reserva y segmenta los recursos para cada tarea diferente.Todos los equipos de PAN cuentan con un disco duro interno encargado de almacenarlos diferentes tipos de logs y reportes. Además, es posible externalizar los logs haciaterceras herramientas mediante los siguientes mecanismos: Syslog Correo electrónico (alertas) FTP Panorama (descrito posteriormente)A continuación revisamos algunas de las tareas fundamentales que es posible realizarcon las herramientas de gestión y reporte de los firewalls de PAN.GestiónLas tareas fundamentales de gestión, incluyen múltiples capacidades. Revisar todasellas queda fuera del alcance de este documento, por lo que revisaremos únicamentealgunas de las tareas más significativas, a modo de ejemplo, entre las que cabe

PA – 5060 – Documentación para la preventaPágina 79 de 100destacar la configuración básica del acceso al equipo, la gestión de versiones deconfiguración, la auditoría de configuraciones y el acceso de administradores basado enroles.La siguiente figura, Figura 48, muestra un ejemplo de la pantalla de configuraciónbásica del acceso al equipo:Figura 48.- Configuración de parámetros básicos de acceso al equipoLa gestión de las configuraciones también es una herramienta muy potente, que permitevalidarlas antes de implantarlas en producción, salvarlas, exportarlas, ir a unaconfiguración guardada anterior o posterior, … Es interesante señalar que el formatoque se emplea para salvar las configuraciones es a través de un fichero de texto, con laconfiguración en formato XML.La siguiente figura, Figura 49, muestra el detalle de las operaciones de gestión deconfiguraciones que es posible realizar con los equipos de PAN, a través del interfazgráfico:

PA – 5060 – Documentación para la preventaPágina 80 de 100Figura 49.- Gestión de configuracionesOtra herramienta muy interesante en la gestión de configuraciones es la herramienta deauditoría. Nos permite comparar dos configuraciones cualesquiera de entre las queestán almacenadas en el equipo, señalando además las diferencias entre ambas paraque el administrador pueda comprobar qué partes de la configuración han cambiadoentre una versión y otra. La siguiente figura, Figura 50, muestra un ejemplo del uso dela herramienta de auditoría (obsérvese en este ejemplo que en la configuración de laderecha, el interfaz ethernet1/5 ha cambiado su configuración de tap a layer3 y que seha configurado la MTU a 1500 bytes):Figura 50.- Herramienta de auditoría de configuracionesEl sistema de control de accesos basado en roles (Role Base Access Control – RBAC)es también una herramienta visual muy potente. Permite establecer controlesprácticamente para todos los elementos de la configuración, así como asignar permisosde escritura o lectura, en aquellos elementos que afectan a la configuración (porejemplo la generación de políticas). Es importante señalar que el interfaz gráfico ha sidodiseñado para que un usuario con menores accesos no note ninguna deformación del

PA – 5060 – Documentación para la preventaPágina 81 de 100mismo. Simplemente se van añadiendo o eliminando pestañas, opciones, … de formadinámica y transparente al usuario, en función de sus permisos. También es posiblecontrolar si se ofrece o no acceso a la administración basada en CLI. La validación delos usuarios puede realizarse a través de una base de datos local, o integrando laautenticación contra un servidor externo RADIUS ó LDAP.La siguiente figura, Figura 51, muestra un ejemplo de control de la configuración decontrol de accesos:Figura 51.- Ejemplo de configuración de control de accesos – RBACLa gestión de las actualizaciones del equipo (tanto software como actualizacionesperiódicas de aplicaciones, amenazas, …) también se realiza a través del interfazgráfico. Para ello el puerto dedicado a la gestión ha de tener conectividad hacia Internet,de modo que el equipo pueda alcanzar los servicios online que ofrece Palo Alto

PA – 5060 – Documentación para la preventaPágina 82 de 100Networks. La siguiente figura, Figura 52, muestra un ejemplo de la gestión de este tipode tareas:Figura 52.- Ejemplo de configuración de actualizaciones automáticasPara finalizar con este punto, señalar que la obtención de ficheros de soporte, gestiónde licencias, … también se realiza desde la gestión gráfica. La siguiente figura, Figura53, muestra un ejemplo:Figura 53.- Ejemplo de gestión de soporte

PA – 5060 – Documentación para la preventaPágina 83 de 100Reporting y Generación de InformesReportingEl reporting es otra herramienta clave dentro de las soluciones de Palo Alto Networks.Existen múltitud de herramientas y posibilidades de personalización de informes. Acontinuación revisamos solamente alguna de ellas a modo de ejemplo.Una de las herramientas más utilizadas y potentes es ACC (Application CommandCenter). ACC es una función estándar que no requiere configuración y que muestragráficamente abundante información sobre la actividad actual de la red, incluyendoaplicaciones, categorías de URL, amenazas y datos. Si aparece una nueva aplicaciónen ACC, un sólo clic muestra una descripción de la aplicación, sus funciones clave, suscaracterísticas de comportamiento, quién está utilizando la aplicación y qué reglas deseguridad permiten que se utilice. Se pueden añadir más filtros para obtenerinformación adicional sobre el uso de la aplicación para usuarios individuales junto conlas amenazas detectadas en el tráfico de la aplicación. En cuestión de sólo unosminutos, ACC proporciona a los administradores los datos necesarios para tomardecisiones de política de seguridad más fundamentadas.La siguiente figura, Figura 54, muestra un ejemplo de una vista de ACC:Figura 54.- Ejemplo de vista de ACCOtra herramienta muy interesante en el análisis del comportamiento de las aplicacionesy la seguridad es App-Scope. Para complementar la vista en tiempo real deaplicaciones y contenido proporcionada por ACC, App-Scope ofrece una vista de la

PA – 5060 – Documentación para la preventaPágina 84 de 100aplicación dinámica que el usuario puede personalizar, así como la actividad del tráficoy las amenazas a lo largo de un periodo de tiempo. Permite hacer análisis comparativosentre diferentes horas o fechas y obtener también información geográfica sobre elorigen/destino del tráfico o las amenazas. Las siguientes figuras, Figura 55 y Figura 56,muestran un ejemplo de las diversas vistas que ofrece App-Scope:Figura 55.- Ejemplo de vista general de App-ScopeFigura 56.- Ejemplo de vista geográfica sobre el origen de los ataques

PA – 5060 – Documentación para la preventaPágina 85 de 100La gestión de los logs detallados también es una funcionalidad muy interesante dentrode los equipos de PAN. Existen los siguientes seis tipos de logs detallados: Traffic: Muestra el log de tráfico, en base a las reglas del cortafuegos Threats: Muestra todas las amenazas detectadas URL Filtering: Muestra toda la actividad relativa al filtrado de URLs Data Filtering: Incluye la información relativa a DLP Configuration: Información sobre la configuración del equipo System: Información y problemas referentes al sistemaAsimismo existe un potente mecanismo de filtrado de los logs, que permite generarfiltros en base a simples clicks de ratón o utilizando potentes expresiones regulares. Lasiguiente figura, Figura 57, muestra un ejemplo de filtrado del log de tráfico. Obsérveseque se está filtrando por usuario, “Margot Lemaire”, y también por todo el tipo de tráficode “Margot” que no es “web-browsing”:Figura 57.- Ejemplo de log y filtradoAsimismo es posible obtener vistas detalladas de un determinado tipo de log, donde elequipo nos muestra además información correlada sobre el resto de logs que estánrelacionados con esa misma sesión. Así pues, es posible ver el log de tráfico de unasesión, junto con el de URL filtering asociada a la misma y el de amenazas. Estafuncionalidad simplifica enromemente las labores de búsqueda minuciosa de undeterminado tipo de incidente. La siguiente figura, Figura 58, muestra un ejemplo deeste tipo de vista detallada y correlada, entre diferentes logs sobre una misma sesión:

PA – 5060 – Documentación para la preventaPágina 86 de 100Figura 58.- Log de tráfico detallado y correlado con otros logsTambién es posible configurar el equipo para que tome capturas en formato PCAP, porejemplo de la evidencia de una amenaza, que después es posible ver o exportar. Eneste sentido, es importante señalar que a través del CLI es posible realizar capturas demúltiples tipos, que también se pueden exportar o ver en el equipo. La siguiente figura,Figura 59, muestra un ejemplo de una captura mostrada a través del GUI:Figura 59.- Ejemplo de PCAP

PA – 5060 – Documentación para la preventaPágina 87 de 100El sistema también incluye un Browser de sesiones, denominado Session Browser, quepermite seguir una sesión en tiempo real, analizando el detalle de flujos que emplea. Lasiguiente figura, Figura 60, muestra un ejemplo del Session Browser:Figura 60.- Ejemplo de vista con Session BrowserFinalmente decir que también existe un Dashboard central donde se muestra, a modode resumen, la información más relevante del equipo. Es posible personalizar laconfiguración de los elementos que muestra el Dashboard, así como su disposicióngeneral en la vista. La siguiente figura, Figura 61, muestra un ejemplo de Dashboard:Figura 61.- Ejemplo de Dashboard

PA – 5060 – Documentación para la preventaPágina 88 de 100Generación de InformesAl igual que con el módulo de reporting y logging vistos anteriormente, la generación deinformes cuenta con multiples herramientas y posibilidades. Además de la generaciónde informes, el equipo también permite la programación y envío de los mismos (adiferentes destinatarios si es necesario), en función del tipo de informe que se genere.Automáticamente el equipo genera todos los días un informe tipo, con informaciónejecutiva sobre la actividad observada el día anterior. La siguiente figura, Figura 62,muestra un ejemplo de este tipo de reports ejecutivos, automáticamente generadostodos los días:Figura 62.- Ejemplo de report ejecutivo

PA – 5060 – Documentación para la preventaPágina 89 de 100Es posible personalizar la información que se incluye en este tipo de informes, gracias ala utilización de una herramienta gráfica que nos permite seleccionar qué informaciónqueremos incluir, así como la disposición de la misma. La siguiente figura, Figura 63,muestra un ejemplo de generación personalizada de los informes ejecutivos deactividad diaria. El usuario tiene únicamente que seleccionar los campos de lasdiferentes bases de datos de logs que quiere incluir, así como su ubicación en elreporte:Figura 63.- Ejemplo de personalización de informes ejecutivosEl módulo de generación de informes incluye además la posibilidad de generar informesdetallados sobre la actividad de los usuarios –User Activity Report- donde apareceinformación minuciosa sobre las aplicaciones, categorías, URLs, … que un usuario havisitado o utilizado a lo largo de un período de tiempo. También es posible crear gruposde informes personalizados –Report Groups- donde incluir cualquier tipo de informaciónque se considere necesaria, así como programar su envío a través de correoelectrónico.El módulo de generación de informés incluye también múltiples vistas, yapreconfiguradas, con distintos tipos de reportes que se generan automáticamente con laactividad del día anterior. Estos informes utilizan una vista similar a la de ACC vistaanteriormente y se ofrecen para las siguientes categorías (cada uno incluye diversosinformes sobre la categoría en cuestión): Application Reports Threat Reports URL Filtering Reports Traffic Reports

PA – 5060 – Documentación para la preventaPágina 90 de 100La siguiente figura, Figura 64, muestra un ejemplo de este tipo de informes o vistas,para las 50 Top Connections de un día en concreto (obsérvese que los resultados sonexportables en formato PDF ó Excel):Figura 64.- Ejemplo de reporte de las 50 Top Connections de un díaAl igual que ocurría con los informes ejecutivos, es posible crear nuevos informesademás de los ya preconfigurados. Para ello disponemos nuevamente de una potenteherramienta gráfica, que permite utilizar además expresiones regulares para filtrar loscontenidos que deseamos ver. La siguiente figura, Figura 65, muestra un ejemplo degeneración con esta herramienta:Figura 65.- Ejemplo de generación de report personalizadoTal y como se observa se ha decidido generar un informe con los campos “URLCategory”, “URL”, “Repeat Count”, “Application”, “App Subcategory” y “DestinationAddress” (se pueden añadir más, o eliminar y también ordenar). Además se ha hechouso de una funcionalidad interesante, denominada reportes multidimensionales, quepermite utilizar varias tablas en la generación de los informes. En este caso se hautilizado como base de datos fundamental para generar el informe la de URLs, y se ha

PA – 5060 – Documentación para la preventaPágina 91 de 100decidido obtener un informe que incluya las 5 URLs más visitadas de los 5 usuarios másactivos en un período de tiempo (en concreto la última hora). La siguiente figura, Figura66, muestra el resultado tras ejecutar el reporte:Figura 66.- Resultado de reporte multidimensional personalizadoSe observa que efectivamente el informe generado incluye información de la tabla deURLs y también la de usuarios, de forma que se consigue obtener informaciónmultidimensional (top 5 URLs por top 5 Users).API XML de ReportingPara poder extraer la información que ofrece el módulo de reporting de los firewalls dePAN hacia sistemas externos, los equipos cuentan también con una API XML,denominada RESTful, que permite pedir un reporte cualquiera al sistema y obtener lainformación en un fichero de texto, con formato XML.La API acepta los siguientes tipos de consultas: Generación de la clave de acceso: type=keygen Configuración del equipo: type=config Reporting: type=reportAntes de poder utilizarla es necesario generar una clave de sesión, a través de lasolicitud de una URL como la siguiente:https://hostname/esp/restapi.esp?type=keygen&user=usuario&password=password

PA – 5060 – Documentación para la preventaPágina 92 de 100El resultado debe ser un bloque XML similar al siguiente: k7J335J6hI7nBxIqyfa62sZugWx7ot%2BgzEA9UOnlZRg=Una vez que se dispone de la clave, ya es posible realizar consultas a la API en las quees obligatorio incluir dicha clave de sesión.La API permite obtener tanto información de configuración, como también de losinformes que almacena el equipo. A continuación se muestra un ejemplo de la URL desolicitud de configuración y el resultado:https://hostname/esp/restapi.esp?type=config&action=show&key=clave&xpath=devices/entry/vsys/entry/rulebase/security tapzone tapzone any any LocalServers any any allow no nono... Para los reports relacionados con los informes, es posible solicitar los siguientes trestipos: Reportes dinámicos (ACC): reporttype=dynamic

PA – 5060 – Documentación para la preventaPágina 93 de 100 Reportes predefinidos: reporttype=predefined Reportes personalizados: reporttype=customFinalmente, a continuación se muestra un ejemplo de la URL de solicitud de un informey el resultado que ofrece la API (reporte dinámico –ACC-, de las 5 aplicaciones topdurante la última hora):https://hostname/esp/restapi.esp?type=report&reporttype=dynamic&reportname=top-app-summary&period=last-hour&topn=5&key=clave

PA – 5060 – Documentación para la preventaPágina 94 de 100Panorama se comercializa como virtual appliance y está disponible para sistemasVMware Workstation (incluyendo el reproductor gratuito VMware player) oVMware ESX. La siguiente figura, Figura 67, muestra un ejemplo de diseño de red conPanorama como estación central de gestión:Figura 67.- Ejemplo de diseño de red con PanoramaTal y como se observa en la Figura 67, es posible gestionar diferentes tipos y modelosde equipos, todos desde la misma ubicación central donde se instala Panorama.A continuación se detallan las capacidades más significativas de Panorma,comparándolas con la gestión individual por máquina:Capacidad Gestión con Panorama Gestión Web del equipoGestión de múltiples equipos Sí NoVisibilidad global de varios equipos Sí NoLogging/reporting Global Sí NoApplication Command Center Sí SíApp-Scope Sí SíEditor de Políticas Sí SíInterfaz Web Sí SíPolíticas compartidas Sí NoRole-based administration Sí SíRequiere cliente dedicado No No

PA – 5060 – Documentación para la preventaPágina 95 de 100La funcionalidad de políticas compartidas, permite distribuir políticas comunes entrediferentes cortafuegos. Para ello se utiliza un conjunto de Pre y Post rules, que seaplicarán en todos los equipos (antes o después de sus reglas particulares). Losadministradores locales en cada equipo podrán ver esas reglas, pero solamente unadministrador de Panorama puede modificarlas o eliminarlas. De este modo las políticascompartidas permiten establecer a los administradores centrales una guía de políticabase para todos los equipos gestionados, permitiendo reducir los esfuerzos en lagestión de múltiples plataformas, así como posibles errores humanos. La siguientefigura, Figura 68, muestra un ejemplo de las Pre y Post rules (marcadas en verde), quese compartirán en todos los equipos. En este ejemplo se añaden dos reglas al final entodos los equipos, que se encargarán de hacer drop del tráfico que no haya sidopermitido anteriormente, así como de registrarlo:Figura 68.- Ejemplo de políticas compartidas con Panorama (Pre y Post rules)Para finalizar, señalar que también es posible centralizar otras tareas de gestión enPanorama, como puede ser por ejemplo la gestión de licencias, actualizaciones decontenidos (App-ID, Content-ID) o la generación de reportes e informes. Además esposible obtener vistas globales, que incluyan todos los equipos gestionados, oparticulares para uno en concreto.

PA – 5060 – Documentación para la preventaPágina 96 de 100Anexo A: Características técnicas del PA-5060A continuación resumimos las características técnicas más importantes del modelo PA-5060 de Palo Alto Networks. Se dividen en diferentes categorías para facilitar labúsqueda de datos:Especificaciones Hardware:CapacidadValor (PA-5060)Puertos 10 Gigabits SFP+ (no integrados) 4Puertos Gigabit SFP (no integrados) 8Puertos 10/100/1000 (cobre) 12Disco duroPuerto dedicado para gestión out of bandPuerto de consolaArquitectura hardware separada para gestión y FWPuertos dedicados para HACPU de gestiónRAM de gestiónFlash de gestiónDimensionesPesoFuente de alimentación redundadaVoltaje de entradaFrecuencia de entradaCorriente máxima (Inrush)Máximo consumo de corrienteConsumo (medio/máximo)Disipación de calor (medio/máximo)Nivel de ruidoMTBF (Mean Time Between Failures)VCCICertificaciones120 GB SSD (ampliable a 240GB).Opción de RAID-1Sí (cobre)Sí (RJ)SíSí (2 en cobre)Intel Core Quad Core (2,33GHz)29 GB64 MB3,5” x 16,5” x 17,5” (2 Us)18,60 KgSí110-240 VAC47-63 Hz80A@230Vac; 40A@120Vac8A/4A330W/415W1126BTUh/1416BTUh62,6 dBA7,18 añosClase AUL, CUL, CB, FCC class A, CEclass A, VCCI class A, TUVNorma RoHS (Reduction of Hazardous Substances) Sí (clase 5 y clase 6)Condiciones de operación (temperatura)0-50ºCCondiciones de operación (humedad) 10-90%

PA – 5060 – Documentación para la preventaPágina 97 de 100Especificaciones de Capacidad:CapacidadValor (PA-5060)Throughput Firewall (con AppID)Hasta 20 GbpsThroughput IPS + Antivirus + URL FilteringHasta 10 GbpsNuevas sesiones por segundo Hasta 120.000Máximo número de sesiones 4.000.000Throughput IPSec VPNHasta 4 GbpsNúmero de túneles/interfaces IPSec VPN Hasta 8.000Usuarios concurrentes SSL VPN Hasta 20.000Latencia

PA – 5060 – Documentación para la preventaPágina 98 de 100Sistemas virtualesQoS (Calidad de Servicio)Soporte a DCSPSoporte a IPv6HA (Alta Disponibilidad)Hasta 225 (25 incluidos)SíSíSíSí (activo-activo y activo-pasivo)Capacidades de reconocimiento de aplicaciones (AppID):CapacidadValor (PA-5060)Detección de aplicaciones a nivel 7 Sí (más de 1300)Subcategorización de las aplicacionesSíAnálisis de comportamiento de las aplicacionesSíIdentificación independiente del puertoSíIdentificación sobre TCP, UDP e ICMPSíAsociación de riesgo de uso de la aplicación Sí (1-4)Uso múltiple de las aplicaciones identificadas Sí (seguridad, QoS, PBF…)Identificación de aplicaciones bajo SSLSí (entrada y salida)Visibilidad de la aplicaciónSí (múltiples informes)Capacidad de generar firmas personalizablespara aplicaciones propietariasSíIntegración de aplicación con usuariosSí (UserID)Actualización periódica automáticaSíCapacidades de integración con directorios de usuarios (UserID):CapacidadVisibilidad de logs en base a usuariosGestión de políticas en base a usuarios/gruposIntegración con Microsoft Active DirectoryIntegración con Novell eDirectoryIntegración con otros directorios LDAPSoporte a usuarios CitrixSoporte a usuarios de Microsoft Terminal ServerAutenticación de usuarios vía RADIUSAutenticación de usuarios vía LDAPPortal cautivo con formulario de autenticaciónPortal cautivo con autenticación transparenteValor (PA-5060)Sí (múltiples informes y logs)SíSíSíSí (API)SíSíSíSíSíSí (NTLM)

PA – 5060 – Documentación para la preventaPágina 99 de 100Capacidades de seguridad (ContentID):CapacidadArquitectura de firewall basada en zonasModos de trabajoPrevención de amenazas (IPS)Prevención de virusPrevención de spywarePrevención de escaneos de redProtección frente a ataques de DoSDetección de anomalías de redDetección de intentos de spoofingGeneración de filtros de seguridadpersonalizablesCompatible con CVEFiltrado de URLsBase de datos de URLsURLs manualesListas blancas/listas negras de URLsAnálisis de ficherosGestión y control de ficheros (DLP)Búsqueda de patrones en contenidos (DLP)LicenciamientoActualizaciones periódicas y automáticasValor (PA-5060)SíTap, en línea (IPS), L2 y L3Sí (también IDS)SíSíSí (horizontales y verticales)SíSíSíSíSíSíSí (local y distribuida con caché)SíSíSí (modo streaming)SíSíPor equipo y no por número deusuariosSíCapacidades de generación de informes:CapacidadAnálisis del estado de la red, usuarios, …Informes ejecutivos preconfiguradosInformes ejecutivos personalizablesInformes sobre actividad de usuariosCapacidad de combinar múltiples informesInformación sobre uso y tendenciasInformación geográfica sobre ataques o tráficoInformes sobre QoSEnvío de informesRequiere herramientas o servicios externosValor (PA-5060)Sí (ACC)SíSíSí (UserID y URL filtering)SíSí (AppScope)SíSí (tiempo real)Sí (correo electrónico)No

PA – 5060 – Documentación para la preventaPágina 100 de 100Anexo B: URLs de interésA continuación mostramos algunas URLs donde es posible obtener información extrainteresante, sobre las soluciones de Palo Alto Networks: Web official: http://www.paloaltonetworks.com Partner site (requiere login): http://www.paloaltonetworks.com/partner/index.php Support site (requiere login, con cuenta diferente a la del partner site):https://support.paloaltonetworks.com/pa-portal/index.php Knowledgebase (requiere login, puede ser el mismo que el de soporte):https://live.paloaltonetworks.com/community/knowledgepoint DevCenter (requiere login, puede ser el mismo que el de soporte):https://live.paloaltonetworks.com/community/devcenter Applipedia (lista todos los App-IDs soportados. Existe una versión gratuitadisponible para iPhone en el Apple Store):http://ww2.paloaltonetworks.com/applipedia/ Consultas URL a Brightcloud: http://www.brightcloud.com/support/lookup.php Herramienta de consolidación de costes y ahorros:http://ww2.paloaltonetworks.com/tco/ Página de Palo Alto Networks en español: http://www.paloaltonetworks.es Breve demo online del producto en español:http://www.exclusive-networks.com/downloads2/es/Microsite_PAN/Anexos/Flash_Demo/index.html