Palo Alto Networks PA-4060 - Exclusive Networks

More documents

Recommendations

Info

PA – 4060 – Documentación para la preventaPágina 22 de 100modelos de seguridad tradicionales, basados en lógica negativa, no pueden identificarel tráfico y por tanto la seguridad que ofrecen se basa en la búsqueda, “a ciegas”, depatrones de comportamiento que se consideran perniciosos. Esto significa que ofrecenuna visibilidad muy limitada y en muchos casos errónea, además de incurrir con mayorfacilidad en la generación de falsos positivos (detección errónea de ataques sobretráfico legítimo) o falsos negativos (no detección de ataques, cuando realmente lo son).Además de los aspectos relacionados únicamente con la seguridad, App-ID ofrece unavisibilidad sin precedentes puesto que muestra realmente las aplicaciones que circulanpor las redes, así como su comportamiento. Usada además junto con User-ID, losadministradores pueden saber quién está utilizando la aplicación en base a su identidadcorporativa, y no solamente por la dirección IP (ver capítulo posterior para encontrarinformación detallada sobre User-ID).App-ID es además capaz no solamente de identificar las aplicaciones base, sinodiferentes subaplicaciones dentro de la misma aplicación padre, que pueden ofrecercapacidades y comportamientos diversos (por ejemplo WebEx base para realizarconferencias, frente a WebEx Desktop Sharing para compartir escritorios). Con estasarmas, los administradores pueden utilizar un modelo positivo para bloquear lasaplicaciones malignas, mientras que se permiten, inspeccionan y gestionan aquellasque están permitidas. Este punto es crucial, porque la respuesta en muchas ocasionesno es solamente permitir o bloquear, sino que hay que habilitar aplicaciones, que aunconllevando riesgos, son útiles para la operativa corporativa. App-ID permiteprecisamente realizar esta habilitación controlada de las aplicaciones.La identificación adecuada de la aplicación, es el primer paso para entender mejor eltráfico que circula por la red. Saber lo que la aplicación hace, los puertos que utiliza, sutecnología subyacente y las características de comportamiento, son la base para tomaruna decisión mejor informada sobre cómo gestionar la aplicación. Una vez que sedispone de esta información, las organizaciones pueden tomar medidas más granularesque un simple “permitir” o “bloquear”, como por ejemplo: Permitir o bloquear Permitir pero analizar en búsqueda de exploits, viruses, … Permitir en base al horario, los usuarios o los grupos Descifrar e inspeccionar Aplicar QoS
PA – 4060 – Documentación para la preventaPágina 23 de 100 Aplicar Policy Based Routing en función de la aplicación Permitir algunas funciones de la aplicación en vez de todas Cualquier combinación de las anterioresMódulosApp-ID cuenta con cuatro módulos diferentes de operación, tal y como muestra lasiguiente figura, Figura 9:Figura 9.- Módulos principales de App-IDEl número de técnicas de identificación que se emplean, puede ser variable en funciónde cada aplicación y sus condiciones particulares de transporte. Asimismo, el orden enel que las técnicas se aplican también puede cambiar de una aplicación a otra. Noobstante, el flujo general es el siguiente: Application Signatures: Se trata de la utilización de firmas basadas encontexto, que se emplean en primer lugar para buscar propiedades únicas ycaracterísticas relacionadas con las transacciones, que permitirán identificar laaplicación independientemente del protocolo y puerto usados. Las firmastambién determinan si la aplicación está siendo utilizada por su puerto pordefecto, o si por el contrario está utilizando un puerto no estándar (por ejemplo,RDP a través del puerto 80 en vez del puerto 3389, que es su puerto estándar). SSL Decryption: Si App-ID determina que se está empleando cifrado SSL (yexiste una política de descifrado en la configuración), el tráfico se descifra y seenvía a los siguientes módulos de identificación, según sea necesario. Esposible realizar inspección SSL tanto en tráfico entrante como saliente. En el
Page 1 and 2: Palo Alto Networks PA-4060Documenta
Page 3 and 4: PA - 4060 - Documentación para la
Page 21: PA - 4060 - Documentación para la
Page 73 and 74:
PA - 4060 - Documentación para la
Page 75 and 76:
Page 77 and 78:
Page 79 and 80:
Page 81 and 82:
Page 83 and 84:
Page 85 and 86:
Page 87 and 88:
Page 89 and 90:
Page 91 and 92:
Page 93 and 94:
Page 95 and 96:
Page 97 and 98:
Page 99 and 100:
show all

Palo Alto Networks PA-4060 - Exclusive Networks

Create successful ePaper yourself

Delete template?

Save as template?