Palo Alto Networks PA-5060 - Exclusive Networks

More documents

Recommendations

Info

PA – 5060 – Documentación para la preventaPágina 22 de 100modelos de seguridad tradicionales, basados en lógica negativa, no pueden identificarel tráfico y por tanto la seguridad que ofrecen se basa en la búsqueda, “a ciegas”, depatrones de comportamiento que se consideran perniciosos. Esto significa que ofrecenuna visibilidad muy limitada y en muchos casos errónea, además de incurrir con mayorfacilidad en la generación de falsos positivos (detección errónea de ataques sobretráfico legítimo) o falsos negativos (no detección de ataques, cuando realmente lo son).Además de los aspectos relacionados únicamente con la seguridad, App-ID ofrece unavisibilidad sin precedentes puesto que muestra realmente las aplicaciones que circulanpor las redes, así como su comportamiento. Usada además junto con User-ID, losadministradores pueden saber quién está utilizando la aplicación en base a su identidadcorporativa, y no solamente por la dirección IP (ver capítulo posterior para encontrarinformación detallada sobre User-ID).App-ID es además capaz no solamente de identificar las aplicaciones base, sinodiferentes subaplicaciones dentro de la misma aplicación padre, que pueden ofrecercapacidades y comportamientos diversos (por ejemplo WebEx base para realizarconferencias, frente a WebEx Desktop Sharing para compartir escritorios). Con estasarmas, los administradores pueden utilizar un modelo positivo para bloquear lasaplicaciones malignas, mientras que se permiten, inspeccionan y gestionan aquellasque están permitidas. Este punto es crucial, porque la respuesta en muchas ocasionesno es solamente permitir o bloquear, sino que hay que habilitar aplicaciones, que aunconllevando riesgos, son útiles para la operativa corporativa. App-ID permiteprecisamente realizar esta habilitación controlada de las aplicaciones.La identificación adecuada de la aplicación, es el primer paso para entender mejor eltráfico que circula por la red. Saber lo que la aplicación hace, los puertos que utiliza, sutecnología subyacente y las características de comportamiento, son la base para tomaruna decisión mejor informada sobre cómo gestionar la aplicación. Una vez que sedispone de esta información, las organizaciones pueden tomar medidas más granularesque un simple “permitir” o “bloquear”, como por ejemplo: Permitir o bloquear Permitir pero analizar en búsqueda de exploits, viruses, … Permitir en base al horario, los usuarios o los grupos Descifrar e inspeccionar Aplicar QoS
PA – 5060 – Documentación para la preventaPágina 23 de 100 Aplicar Policy Based Routing en función de la aplicación Permitir algunas funciones de la aplicación en vez de todas Cualquier combinación de las anterioresMódulosApp-ID cuenta con cuatro módulos diferentes de operación, tal y como muestra lasiguiente figura, Figura 9:Figura 9.- Módulos principales de App-IDEl número de técnicas de identificación que se emplean, puede ser variable en funciónde cada aplicación y sus condiciones particulares de transporte. Asimismo, el orden enel que las técnicas se aplican también puede cambiar de una aplicación a otra. Noobstante, el flujo general es el siguiente: Application Signatures: Se trata de la utilización de firmas basadas encontexto, que se emplean en primer lugar para buscar propiedades únicas ycaracterísticas relacionadas con las transacciones, que permitirán identificar laaplicación independientemente del protocolo y puerto usados. Las firmastambién determinan si la aplicación está siendo utilizada por su puerto pordefecto, o si por el contrario está utilizando un puerto no estándar (por ejemplo,RDP a través del puerto 80 en vez del puerto 3389, que es su puerto estándar). SSL Decryption: Si App-ID determina que se está empleando cifrado SSL (yexiste una política de descifrado en la configuración), el tráfico se descifra y seenvía a los siguientes módulos de identificación, según sea necesario. Esposible realizar inspección SSL tanto en tráfico entrante como saliente. En el
Page 1: Palo Alto Networks PA-5060Documenta
Page 4: PA - 5060 - Documentación para la
Page 7 and 8: PA - 5060 - Documentación para la
Page 72 and 73:
PA - 5060 - Documentación para la
Page 74 and 75:
Page 76 and 77:
Page 78 and 79:
Page 80 and 81:
Page 82 and 83:
Page 84 and 85:
Page 86 and 87:
Page 88 and 89:
Page 90 and 91:
Page 92 and 93:
Page 94 and 95:
Page 96 and 97:
Page 98 and 99:
Page 100:
show all

Palo Alto Networks PA-5060 - Exclusive Networks

You also want an ePaper? Increase the reach of your titles

Delete template?

Save as template?