Palo Alto Networks PA-4060 - Exclusive Networks

More documents

Recommendations

Info

PA – 4060 – Documentación para la preventaPágina 24 de 100caso del descifrado del tráfico entrante (por ejemplo contra los servidores web),el equipo no actúa activamente en la negociación SSL, y por tanto inspecciona eltráfico de modo transparente (necesita solamente tener una copia del certificadoy clave privada utilizados). Si se detecta un ataque o tráfico maligno, realiza unreset de la sesión. Por otra parte, y para la inspección del tráfico SSL de salida(por ejemplo la navegación web de los usuarios internos), el equipo estableceuna sesión SSL con el cliente y otra con el destino real; se comporta por tanto demodo activo. En este caso, una vez que la aplicación se identifica y es aceptadapor la política de seguridad, se aplican los perfiles de protección frente aamenazas configurados y el tráfico es posteriormente reencriptado y enviado asu destino original. Application Protocol Decoding: Si se necesita, los decodificadores deprotocolo se emplean para averiguar si la aplicación está utilizando el protocolocomo su transporte natural (por ejemplo HTTP como transporte de la navegaciónweb), o si por el contrario solamente se utiliza como una técnica de ofuscación,para ocultar la aplicación real (por ejemplo Yahoo! Instant Messenger sobreHTTP). Los decodificadores de protocolo ayudan asimismo a afinar el rangoposible de aplicaciones, proporcionando información valiosa sobre el contexto alas firmas así como a la identificación de ficheros u otros contenidos sensibles,que deben ser analizados por otros módulos (por ejemplo IPS o DLP). Heuristics. En ciertos casos (aproximadamente el 1% de todas las aplicacionesreconocidas), las tácticas evasivas que se emplean no pueden ser identificadas,a pesar del análisis avanzado de firmas y protocolos descrito anteriormente. Enestas situaciones, se necesita utilizar técnicas heurísticas adicionales, o análisisdel comportamiento, para identificar ciertas aplicaciones que utilizanmecanismos de cifrado propietarios (por ejemplo aplicaciones peer-to-peer, deVoIP –como Skype- o de proxies personales –como Ultrasurf). Las técnicasheurísticas se emplean, junto con el resto de técnicas revisadas en App-ID, paraofrecer visibilidad y control sobre aplicaciones que podrían de otro modo eludir laidentificación positiva.Ejemplo del modo de trabajo de App-ID: Identificación de WebExCuando un usuario inicia una session WebEx, la conexión inicial tiene lugar bajo SSL.App-ID ve el tráfico y las firmas determinan que se está empleando cifrado SSL. El
PA – 4060 – Documentación para la preventaPágina 25 de 100módulo de descifrado y los descodificadores de protocolo actúan entonces, paradescifrar el tráfico SSL y detectar que se está empleando HTTP como protocolo debase. Una vez que el decodificador tiene el stream HTTP, el sistema puede aplicarentonces firmas adecuadas a ese contexto y detectar que la aplicación en uso esWebEx. A partir de ese momento se reporta el uso de WebEx, que puede ser ademáscontrolado a través de las políticas de seguridad.Si el usuario final inicia además una sesión de WebEx Desktop Sharing, WebEx cambiael modo de trabajo, de conferencia a aplicación de acceso remoto. En este escenario,las características de WebEx han cambiado y las firmas de aplicación detectan estenuevo comportamiento. De nuevo tanto el módulo de reporting como el de controlmostrarán esta subaplicación, independientemente del protocolo de conferencia –WebEx base - que podrá ser controlada según sea necesario.La siguiente figura, Figura 10, muestra un ejemplo del browser de App-ID, en el que seobservan diversas aplicaciones y sus subcategorías, en base al ejemplo de WebEx queacabamos de revisar (obsérvese WebEx base frente a WebEx Desktop Sharing):Figura 10.- WebEx con diversas subaplicaciones y control con App-IDCategorización de las aplicacionesLa base de datos de aplicaciones de Palo Alto, se divide en 5 categorías principales y25 subcategorías, que pueden utilizarse para crear filtros en la generación de políticas.Además de la categoría y subcategoría, también se incluyen las características decomportamiento y la tecnología base para cada aplicación. Del mismo modo también seincluye una categorización del riesgo (1 a 5), asociado a cada aplicación. El valor de
Page 1 and 2: Palo Alto Networks PA-4060Documenta
Page 3 and 4: PA - 4060 - Documentación para la
Page 23: PA - 4060 - Documentación para la
Page 75 and 76:
PA - 4060 - Documentación para la
Page 77 and 78:
Page 79 and 80:
Page 81 and 82:
Page 83 and 84:
Page 85 and 86:
Page 87 and 88:
Page 89 and 90:
Page 91 and 92:
Page 93 and 94:
Page 95 and 96:
Page 97 and 98:
Page 99 and 100:
show all

Palo Alto Networks PA-4060 - Exclusive Networks

Create successful ePaper yourself

Delete template?

Save as template?