Pa 500-preventa-ago2010

Palo Alto Networks PA-500
Documentación
para
la
preventa

PA – 500 – Documentación para la preventa
Página 2 de 95
INDICE
INTRODUCCIÓN...................................................................................................4

OBJETO.......................................................................................................................... 4

ALCANCE........................................................................................................................ 4

RESUMEN ....................................................................................................................... 5

ARQUITECTURAS DE RED SOPORTADAS.......................................................9

MODO VISIBILIDAD .......................................................................................................... 9

MODO VIRTUAL WIRE.................................................................................................... 11

MODO ROUTING............................................................................................................ 13

ALTA DISPONIBILIDAD (HA) .......................................................................................... 14

FUNCIONALIDADES FUNDAMENTALES DE PAN-OS....................................16

DETALLE DEL FUNCIONAMIENTO DE APP-ID................................................................... 16

Módulos ................................................................................................................................................ 18

Ejemplo del modo de trabajo de App-ID: Identificación de WebEx .................................................... 19

Categorización de las aplicaciones ...................................................................................................... 20

Actualizaciones periódicas ................................................................................................................... 22

Gestión de aplicaciones propietarias o desconocidas.......................................................................... 22

DETALLE DEL FUNCIONAMIENTO DE USER-ID................................................................. 23

Módulos ................................................................................................................................................ 23

Integración con el directorio activo de Microsoft a través de PAN-Agent .......................................... 26

Identificación de usuarios de Citrix y Microsoft Terminal Services .................................................... 30

Integración con el e-Directory de Novell a través de User-ID-Agent.................................................. 30

Otros directorios LDAP: API XML ...................................................................................................... 31

Integración de usuarios no pertenecientes al dominio: Captive Portal con NTLM............................. 33

Integración de usuarios no pertenecientes al dominio: Captive Portal con página web..................... 35

DETALLE DEL FUNCIONAMIENTO DE CONTENT-ID........................................................... 38

Prevención de amenazas (IPS) ............................................................................................................. 40

Prevención de ataques de DoS ............................................................................................................. 43

Prevención frente a escaneos de red .................................................................................................... 44

Anomalía de paquetes........................................................................................................................... 45

Antivirus y Anti-Spyware ...................................................................................................................... 46

Filtrado de URLs .................................................................................................................................. 48

Prevención frente a la fuga de datos (DLP)......................................................................................... 52

Actualizaciones periódicas y equipo I+D de Content-ID..................................................................... 54

OTROS ......................................................................................................................... 55

Seguridad basada en Zonas.................................................................................................................. 55

Routing y protocolos de red soportados............................................................................................... 56

Reglas de Seguridad ............................................................................................................................. 56

NAT ....................................................................................................................................................... 57

Policy Based Forwarding ..................................................................................................................... 59

VPNs IPSec........................................................................................................................................... 61

SSL VPNs .............................................................................................................................................. 62

QoS........................................................................................................................................................ 63

DISEÑO HARDWARE.........................................................................................67

ARQUITECTURA SINGLE PASS PARALLEL PROCESSING ................................................. 69

ARQUITECTURA HARDWARE DEL MODELO PA-500......................................................... 71

GESTIÓN, VISIBILIDAD Y REPORTING ...........................................................73

Página 3 de 95
GESTIÓN....................................................................................................................... 73

REPORTING Y GENERACIÓN DE INFORMES ..................................................................... 78

Reporting .............................................................................................................................................. 78

Generación de Informes........................................................................................................................ 83

API XML DE REPORTING .............................................................................................. 86

PANORAMA: GESTIÓN CENTRALIZADA DE MÚLTIPLES DISPOSITIVOS............................... 88

ANEXO A: CARACTERÍSTICAS TÉCNICAS DEL PA-500 ...............................91

ANEXO B: URLS DE INTERÉS..........................................................................95

Página 4 de 95
Introducción
Objeto
El objeto fundamental de esta documentación es presentar a los preventas,
responsables de preparar y desarrollar soluciones de Palo Alto Networks -PAN de ahora
en adelante-, una visión sobre las características fundamentales que se encuentran en
los firewalls de Nueva Generación de PAN, tanto en lo que a plataformas hardware se
refiere, como a funcionalidades software y de gestión. Se incluye asimismo información
sobre los tipos de arquitecturas de red y despliegues soportados.
El fin es por tanto facilitar documentación en español que colabore en la correcta
realización de una oferta a un cliente final, intentando además simplificar las tareas de
preparación de las memorias técnicas para los integradores.
Hemos intentado dotar al documento asimismo de un carácter didáctico, que ayude a
comprender mejor las capacidades de las soluciones de PAN, por lo que su uso no está
restringido únicamente a integradores, sino que también puede ser ofrecido a clientes
finales, interesados en conocer mejor nuestras soluciones.
En cualquier caso el documento no está pensado ni escrito para sustituir a las guías de
configuración o technotes disponibles, por lo que remitimos a los usuarios a utilizar esa
documentación cuando deseen obtener información sobre cómo se configura cualquiera
de las funcionalidades aquí descritas.
Pretendemos asimismo mantenerlo como documento vivo, que se irá actualizando con
las novedades o plataformas que Palo Alto Networks lance al mercado.
Alcance
La documentación aquí presentada cubre las siguientes áreas fundamentales:
 Introducción a las soluciones de PAN
 Arquitecturas de red soportadas
 Diseño y funcionalidades de PAN-OS (en general sobre las versiones 3.1.x)
 Diseño hardware
 Especificaciones y capacidades del modelo PA - 500

Página 5 de 95
Resumen
Hoy día los departamentos de TI se enfrentan a una problemática creciente, con
usuarios –tanto externos como internos- que utilizan una nueva generación de
aplicaciones, capaces de evadir la detección que ofrecen los firewalls tradicionales.
Las soluciones actuales de cortafuegos – firewalls – permiten establecer políticas de
seguridad basadas fundamentalmente en puertos y protocolos. Hasta hace no mucho,
esta aproximación era válida pues lo normal era que por el puerto 80 pasara sólo la
navegación web y por el puerto 443, el tráfico SSL. Sin embargo, las nuevas
aplicaciones de la Web 2.0 tales como Facebook, YouSendIt, SalesForce, Messenger,
Skype, etc… se han convertido en un verdadero fenómeno social y su uso se ha
extendido tanto en ámbitos privados como profesionales. Muchas de estas aplicaciones
utilizan técnicas evasivas como port hopping, tunelización/emulación de otras
aplicaciones, etc… para burlarse de las reglas tradicionales, basadas en puertos y
protocolos. Muchas de ellas se esconden incluso bajo tráfico cifrado para ocultar su
identidad.
Como resultado de todo ello, los responsables de TI no pueden identificar o controlar las
aplicaciones que están corriendo realmente en la red y esta falta de visibilidad y control
impacta negativamente en el negocio, generando:
 Incumplimiento de regulaciones y políticas internas
 Fuga de datos
 Incremento del consumo de ancho de banda
 Aumento de las amenazas (virus, spyware, worms y otras vulnerabilidades)
 Desaprovechamiento de los recursos (tanto humanos como de equipamiento)
Los responsables de TI necesitan por tanto una nueva aproximación, que les permita
identificar con precisión las aplicaciones actuales, y no solamente los puertos que usan,
a través de una inspección completa del tráfico.
La siguiente figura, Figura 1, muestra un ejemplo de la cantidad de aplicaciones de
propósito muy diferente, que pueden circular a través de los puertos tradicionales (80 y
443). La mayoría de estas aplicaciones son “invisibles” para los firewalls de primera
generación, que consideran que todo lo que llega por el puerto 80 se corresponde con
tráfico HTTP (de navegación) y todo lo que circula por el 443 es SSL (navegación
segura):

Página 6 de 95
Figura 1.- Ejemplo de diversas aplicaciones sobre puertos 80 y/ó 443
Palo Alto Networks redefine el concepto de Firewall aportando un control y visibilidad sin
precedentes, sobre todo el tráfico IP en las redes corporativas. Para conseguir este
objetivo, se decidió diseñar un producto completamente nuevo, orientado desde el
comienzo en sus especificaciones hardware y software para cubrir los siguientes
requisitos:
 Identificación de las aplicaciones, independientemente del puerto o protocolo
de base que utilicen, incluso aunque vayan codificadas bajo SSL o empleen
alguna táctica evasiva.
 Identificación de los usuarios en base a su rol en la corporación,
independientemente de qué dirección IP puedan tener en un momento
determinado.
 Protección en tiempo real frente a los ataques y al software malicioso,
embebido en el tráfico de las aplicaciones.
 Facilidad en la gestión de las políticas con herramientas de visualización
potentes y un editor de políticas unificado.
 Rendimiento multi-gigabit sin degradación al utilizarlo en línea.
La siguiente figura, Figura 2, esquematiza los cuatro pilares básicos sobre los que se
sustentan los firewalls de nueva generación de Palo Alto Networks:

Página 7 de 95
Figura 2.- Pilares básicos de los firewalls de PAN
Aunque en los capítulos posteriores del presente documento se detallarán las
funcionalidades de cada módulo básico, a continuación se ofrece un resumen
introductorio de todos ellos:
 App-ID es una tecnología de clasificación del tráfico, que detecta con precisión
qué aplicaciones están corriendo en la red a través de diversas técnicas de
identificación. La identidad de la aplicación sirve de base para todas las
decisiones relativas a la política como la utilización apropiada y la inspección de
contenidos. Es por tanto la tecnología base que utilizan los firewalls de PAN, en
contraposición a la tecnología stateful inspection que utilizan otros fabricantes, y
que desde PAN consideramos totalmente insuficiente para categorizar y
proteger el panorama actual de aplicaciones.
 La tecnología User-ID de Palo Alto Networks se integra con el directorio
corporativo, para vincular dinámicamente la dirección IP con la información de
usuario y de grupo (rol corporativo). Si las empresas tienen acceso a la actividad
del usuario, pueden supervisar y controlar las aplicaciones y los contenidos que
recorren la red, de una forma mucho más efectiva que por una simple dirección
IP (que normalmente es además cambiante –DHCP, movilidad…).

Página 8 de 95
 Control de los contenidos: La tecnología Content-ID de Palo Alto Networks
combina un motor de prevención de amenazas en tiempo real con una base de
datos URL integral y elementos de identificación de aplicaciones, para limitar las
transferencias de archivos sin autorización, detectar y bloquear gran número de
amenazas y controlar la navegación por Internet no relacionada con el trabajo.
Content ID funciona en coordinación con App-ID lo que mejora la eficacia del
proceso de identificación de los contenidos.
 La arquitectura SP3 – Single Pass Parallel Architecture – ofrece un
rendimiento no conocido hasta la fecha gracias a la utilización de hardware
paralelo, de modo que cada paquete es analizado una única vez a través de
todos los módulos de la política de seguridad. A diferencia de muchas
soluciones actuales, que utilizan una única CPU o una combinación de ASICs y
CPUs, los firewalls de PAN utilizan una arquitectura construida a propósito, y
desde cero, con procesamiento dedicado para la prevención de amenazas junto
con procesamiento específico y memoria dedicada para las tareas de red,
seguridad y gestión. La utilización de cuatro tipos diferentes de procesadores
implica que las funcionalidades clave no compiten por ciclos de reloj con otras
funciones de seguridad, como ocurre en el caso de equipos monoprocesador. El
resultado final es una latencia muy baja y un gran throughput, con todos los
servicios de seguridad habilitados.
 Un potente conjunto de herramientas de visualización facilita a los
administradores información completa sobre las aplicaciones que recorren la
red, quién las utiliza y el impacto que pueden tener sobre la seguridad de la
corporación.

Página 9 de 95
Arquitecturas de red soportadas
Los equipos de Palo Alto Networks, pueden implantarse en la red con tres topologías
diferentes:
 Modo Visibilidad (mirror o tap)
 Modo Virtual Wire (bridge-IPS)
 Modo Routing (incluyendo vlans)
Es especialmente interesante señalar, que los tres modos de implantación pueden
coexistir dentro de un mismo equipo. Esta flexibilidad ofrece capacidades de diseño
e implantación prácticamente ilimitadas.
A continuación se detallan las características y capacidades de cada arquitectura de
red.
Modo Visibilidad
La siguiente figura, Figura 3, muestra un diagrama lógico de este tipo de diseño:
Figura 3.- Arquitectura en modo visibilidad (mirror)
Este modo de implantación es no intrusivo, y recibe el nombre de Tap en la
configuración de PAN. El equipo recibe el tráfico a través de elementos que lo copian

Página 10 de 95
(switches con mirrors, port spans, taps, …). Presenta la gran ventaja de que no es
necesario provocar ningún corte en la red, para poder insertarlo; de este modo, esta
topología es ideal para realizar pruebas de concepto.
Es importante señalar que es perfectamente posible configurar varios puertos en modo
tap, para copiar el tráfico desde múltiples orígenes; de esta forma es posible analizar el
comportamiento de diferentes redes simultáneamente.
A continuación se detallan las funcionalidades principales que se obtienen, con el
equipo configurado en modo visibilidad:
 Identificación y visibilidad de las aplicaciones que circulan por la red.
 Identificación de las amenazas detectadas sobre las aplicaciones (antivirus, anti-
spyware, URL Filtering y análisis de vulnerabilidades).
 Análisis del contenido (DLP – Data Loss Prevention- sobre patrones a buscar en
documentos e identificación de los ficheros que circulan por la red, tanto en
entrada como en salida).
 Identificación de los usuarios, en relación con el directorio corporativo (User-ID).
 Generación de informes detallados sobre la utilización y la actividad.
 Análisis de tráfico cifrado con SSL (sólo en entrada).
Respecto a las funcionalidades que no se obtienen en modo visibilidad, en general hay
que señalar que son todas aquellas que requieren que el equipo se encuentre en línea
(routing, NAT, Policy Based Forwarding, bloqueo del tráfico o los ataques, VPNs, …).
Finalmente también es interesante reseñar que, aunque es una arquitectura de red muy
empleada durante las pruebas de concepto, también ofrece ventajas interesantes en
entornos en producción. Puesto que las tres topologías se pueden mezclar sobre un
mismo equipo o sistema virtual, muchos clientes se reservan algunos puertos de los
firewalls de PAN para utilizarlos en modo visibilidad. Normalmente se utilizan para
realizar monitorizaciones puntuales de redes que no están segmentadas (y cuyo tráfico
no pasa por tanto a través del cortafuegos), cuando se detecta algún problema en las
mismas. Puesto que basta con configurar un mirror en el switch que da servicio a esa
red, es muy sencillo implantar el equipo en modo visibilidad obteniendo información muy
detallada y valiosa sobre el comportamiento de la red, así como identificar la posible
causa del problema.

Página 11 de 95
Modo Virtual Wire
Figura 4.- Arquitectura en modo Virtual Wire (bridge-IPS)
Este modo de implantación es el primero en el que el equipo está en línea y recibe el
nombre de Virtual Wire dentro de la terminología de PAN. Puesto que está en línea, el
equipo puede tomar medidas de bloqueo sobre el tráfico que se considere pernicioso.
Tal y como muestra la Figura 4, el equipo se inserta dentro de la red como si se tratara
de un bridge, sin dirección IP ni dirección MAC. Está configurado por tanto en modo
transparente, lo que facilita el despliegue en la red (no se requiere segmentación de
nivel 3), así como la protección del propio equipo al no ser detectable (no dispone de IP
ni dirección MAC).
A continuación se detallan las funcionalidades que se obtienen con esta arquitectura de
red:

Página 12 de 95
 Análisis del tráfico cifrado con SSL (sólo en entrada).
 Bloqueo del tráfico que se considera no acorde a la política corporativa.
 Bloqueo de las amenazas detectadas (antivirus, anti-spyware y
vulnerabilidades).
 Control y bloqueo de las URLs no permitidas.
 QoS (Calidad de Servicio).
Respecto a las funcionalidades que no se obtienen en modo Virtual Wire, en general
hay que señalar que son todas aquellas que requieren que el equipo realice funciones
de nivel 3 (routing, NAT, Policy Based Forwarding, VPNs, …). El siguiente modo de
configuración (modo routing), incorpora todas las funcionalidades al completo que
integran los cortafuegos de PAN.
Finalmente, es interesante señalar que es posible configurar múltiples segmentos en
modo Virtual Wire ó IPS sobre un mismo equipo (uno por cada pareja de puertos), así
como mezclar esta topología de red con cualquiera de las otras dos existentes.

Página 13 de 95
Modo Routing
Figura 5.- Arquitectura en modo Routing (también con soporte a vlans)
Tal y como muestra la Figura 5, en el modo routing el equipo se instala con sus
interfaces configurados a nivel 3, pudiendo actuar por tanto como gateway de las redes
a las que se encuentra conectado.
En este modo de trabajo el equipo ofrece la posibilidad de utilizar todas sus
capacidades, entre las que destacan las siguientes:

Página 14 de 95
 Análisis del tráfico cifrado con SSL (entrada y salida).
 Bloqueo del tráfico que se considera no acorde a la política corporativa.
 Bloqueo de las amenazas detectadas (antivirus, anti-spyware y
vulnerabilidades).
 Control y bloqueo de las URLs no permitidas.
 QoS
 Routing estático
 Routing dinámico: RIP, OSPF y BGP
 VPNs IPSec
 VPNs SSL
 Policy Routing (Policy Based Forwarding)
De nuevo, hay que señalar que los equipos de PAN pueden trabajar de forma híbrida,
mezclando por tanto topologías de los tres modos anteriormente descritos, lo que ofrece
una gran versatilidad a la hora de realizar despliegues sobre redes complejas.
Alta Disponibilidad (HA)
Todos los equipos de PAN tienen la posibilidad de trabajar en configuraciones de alta
disponibilidad, en el que el fallo de uno de los equipos no supone pérdida de servicio.
En las versiones 3.1.x, la configuración de alta disponibilidad soportada es Activo-
Pasivo. A partir de las versiones 4.x se incluirá también soporte a topologías Activo-
Activo.
Es importante señalar que las configuraciones de HA requieren que ambos
modelos sean idénticos, así como que dispongan exactamente del mismo nivel de
licencias software y versión de firmware.
La conmutación de un nodo al otro se produce si falla algún interfaz de red
(configuración Link Monitoring) o incluso si falla algún otro elemento, que se está
monitorizando expresamente (Path Monitoring).
Para la configuración de la sincronización, se utilizan dos puertos dedicados,
denominados HA1 y HA2. HA1 es obligatorio y HA2 opcional, aunque recomendable. En
los equipos de la serie 4000 estos interfaces están preasignados de fábrica; en las

Página 15 de 95
series 500 y 2000 el administrador ha de seleccionar qué puertos quiere utilizar para
cada propósito.
El interfaz HA1 dispone de direccionamiento IP, y es el que se emplea para sincronizar
las configuraciones. El interfaz HA2 es un interfaz de nivel 2 (sin IP por tanto) y se utiliza
para sincronizar la tabla de sesiones activas, evitando de este modo al máximo la
pérdida de servicio en caso de conmutación de un nodo al otro.
A continuación se detalla la operativa de la alta disponibilidad y el comportamiento en
caso de fallo de los interfaces de HA:
 El firewall activo, monitoriza continuamente su configuración y la información de
las sesiones con el firewall pasivo a través de los interfaces de HA.
 Si el firewall activo falla, entonces el pasivo detecta que se han perdido los
heartbeats y automáticamente se vuelve activo.
 Si falla el interfaz de HA2 (sincronización de sesiones) no se realiza esta tarea,
pero el cluster se mantiene igual. Si por el contrario falla el interfaz HA1
(sincronización de configuraciones), entonces fallan los heartbeats y ambos
firewalls se vuelven activos.
A continuación se resumen las ventajas de operar con arquitecturas montadas en alta
disponibilidad:
 Disponibilidad del servicio, incluso aunque falle el equipo principal.
 Simplicidad en el diseño, al no requerir elementos extras para garantizar la
disponibilidad.
 Garantía en el mantenimiento de las sesiones (las sesiones se sincronizan entre
master y backup).
 Posibilidad de monitorizar varios elementos en la red (routers, servidores, salida
a Internet, ...), para tomar la decisión de conmutación más adecuada en cada
momento (link monitoring y path monitoring).

 Posibilidad de montar una solución redundada entre CPDs separados
geográficamente.

 Sencillez en la gestión (la configuración se realiza en el master y
automáticamente se propaga al de backup, sin necesidad de intervención
humana).

 Posibilidad de utilizar un modelo de HA activo-activo (a partir de la versión 4.0).

Página 16 de 95
Funcionalidades fundamentales de PAN-OS
En el presente capítulo se detallan las funcionalidades principales que ofrecen los
firewalls de nueva generación de Palo Alto Networks, a través de su sistema operativo
llamado PAN-OS, tomando como base las versiones 3.1.x. Haremos especial hincapié
en aquellas características que consideramos capitales en el producto y que lo hacen
realmente diferenciador en el mercado actual de la seguridad.
Detalle del funcionamiento de App-ID
App-ID es una tecnología de identificación de aplicaciones, pendiente
de patente, capaz de identificar más de 1050 aplicaciones. Es la
tecnología core dentro del producto, encargada de realizar la
clasificación de todo el tráfico que el equipo gestiona. A continuación se
resumen las ventajas fundamentales que ofrece el uso de la tecnología
App-ID, dentro de los firewalls de Palo Alto:
 Facilita una comprensión más completa del valor del negocio, así como de los
riesgos asociados a las aplicaciones que circulan por la red.
 Permite la creación de políticas, basadas en el uso apropiado de las
aplicaciones.
 Ofrece visibilidad a nivel de aplicación y devuelve el control de la seguridad al
firewall, de donde nunca debió salir.
Haciendo una comparativa con los cortafuegos tradicionales (primera generación), App-
ID sería el equivalente al protocolo Stateful Inspection que utilizan la mayoría de los
fabricantes, pero realizando las tareas a nivel de aplicación (nivel 7) en vez de a nivel de
por puerto/protocolo como hace Stateful Inspection (nivel 4). Su misión principal
consiste en identificar el tráfico, indendientemente del puerto, protocolo, táctica
evasiva o cifrado SSL que la aplicación pueda utilizar.
Es crucial señalar que la aproximación que PAN ofrece a la seguridad se basa, gracias
al uso de App-ID, en la lógica positiva. Esto significa que el equipo es capaz de
inspeccionar el tráfico e identificarlo positivamente, porque entiende cómo operan las
aplicaciones. El reflejo de esta operativa en la gestión de las políticas de seguridad,
supone que los administradores han únicamente de habilitar aquellas aplicaciones que
consideran útiles y necesarias para el desarrollo del negocio. Por el contrario, los

Página 17 de 95
modelos de seguridad tradicionales, basados en lógica negativa, no pueden identificar
el tráfico y por tanto la seguridad que ofrecen se basa en la búsqueda, “a ciegas”, de
patrones de comportamiento que se consideran perniciosos. Esto significa que ofrecen
una visibilidad muy limitada y en muchos casos errónea, además de incurrir con mayor
facilidad en la generación de falsos positivos (detección errónea de ataques sobre
tráfico legítimo) o falsos negativos (no detección de ataques, cuando realmente lo son).
Además de los aspectos relacionados únicamente con la seguridad, App-ID ofrece una
visibilidad sin precedentes puesto que muestra realmente las aplicaciones que circulan
por las redes, así como su comportamiento. Usada además junto con User-ID, los
administradores pueden saber quién está utilizando la aplicación en base a su identidad
corporativa, y no solamente por la dirección IP (ver capítulo posterior para encontrar
información detallada sobre User-ID).
App-ID es además capaz no solamente de identificar las aplicaciones base, sino
diferentes subaplicaciones dentro de la misma aplicación padre, que pueden ofrecer
capacidades y comportamientos diversos (por ejemplo WebEx base para realizar
conferencias, frente a WebEx Desktop Sharing para compartir escritorios). Con estas
armas, los administradores pueden utilizar un modelo positivo para bloquear las
aplicaciones malignas, mientras que se permiten, inspeccionan y gestionan aquellas
que están permitidas. Este punto es crucial, porque la respuesta en muchas ocasiones
no es solamente permitir o bloquear, sino que hay que habilitar aplicaciones, que aun
conllevando riesgos, son útiles para la operativa corporativa. App-ID permite
precisamente realizar esta habilitación controlada de las aplicaciones.
La identificación adecuada de la aplicación, es el primer paso para entender mejor el
tráfico que circula por la red. Saber lo que la aplicación hace, los puertos que utiliza, su
tecnología subyacente y las características de comportamiento, son la base para tomar
una decisión mejor informada sobre cómo gestionar la aplicación. Una vez que se
dispone de esta información, las organizaciones pueden tomar medidas más granulares
que un simple “permitir” o “bloquear”, como por ejemplo:
 Permitir o bloquear
 Permitir pero analizar en búsqueda de exploits, viruses, …
 Permitir en base al horario, los usuarios o los grupos
 Descifrar e inspeccionar
 Aplicar QoS

Página 18 de 95
 Aplicar Policy Based Routing en función de la aplicación
 Permitir algunas funciones de la aplicación en vez de todas
 Cualquier combinación de las anteriores
Módulos
App-ID cuenta con cuatro módulos diferentes de operación, tal y como muestra la
siguiente figura, Figura 9:
Figura 9.- Módulos principales de App-ID
El número de técnicas de identificación que se emplean, puede ser variable en función
de cada aplicación y sus condiciones particulares de transporte. Asimismo, el orden en
el que las técnicas se aplican también puede cambiar de una aplicación a otra. No
obstante, el flujo general es el siguiente:
 Application Signatures: Se trata de la utilización de firmas basadas en
contexto, que se emplean en primer lugar para buscar propiedades únicas y
características relacionadas con las transacciones, que permitirán identificar la
aplicación independientemente del protocolo y puerto usados. Las firmas
también determinan si la aplicación está siendo utilizada por su puerto por
defecto, o si por el contrario está utilizando un puerto no estándar (por ejemplo,
RDP a través del puerto 80 en vez del puerto 3389, que es su puerto estándar).
 SSL Decryption: Si App-ID determina que se está empleando cifrado SSL (y
existe una política de descifrado en la configuración), el tráfico se descifra y se
envía a los siguientes módulos de identificación, según sea necesario. Es
posible realizar inspección SSL tanto en tráfico entrante como saliente. En el

Página 19 de 95
caso del descifrado del tráfico entrante (por ejemplo contra los servidores web),
el equipo no actúa activamente en la negociación SSL, y por tanto inspecciona el
tráfico de modo transparente (necesita solamente tener una copia del certificado
y clave privada utilizados). Si se detecta un ataque o tráfico maligno, realiza un
reset de la sesión. Por otra parte, y para la inspección del tráfico SSL de salida
(por ejemplo la navegación web de los usuarios internos), el equipo establece
una sesión SSL con el cliente y otra con el destino real; se comporta por tanto de
modo activo. En este caso, una vez que la aplicación se identifica y es aceptada
por la política de seguridad, se aplican los perfiles de protección frente a
amenazas configurados y el tráfico es posteriormente reencriptado y enviado a
su destino original.
 Application Protocol Decoding: Si se necesita, los decodificadores de
protocolo se emplean para averiguar si la aplicación está utilizando el protocolo
como su transporte natural (por ejemplo HTTP como transporte de la navegación
web), o si por el contrario solamente se utiliza como una técnica de ofuscación,
para ocultar la aplicación real (por ejemplo Yahoo! Instant Messenger sobre
HTTP). Los decodificadores de protocolo ayudan asimismo a afinar el rango
posible de aplicaciones, proporcionando información valiosa sobre el contexto a
las firmas así como a la identificación de ficheros u otros contenidos sensibles,
que deben ser analizados por otros módulos (por ejemplo IPS o DLP).
 Heuristics. En ciertos casos (aproximadamente el 1% de todas las aplicaciones
reconocidas), las tácticas evasivas que se emplean no pueden ser identificadas,
a pesar del análisis avanzado de firmas y protocolos descrito anteriormente. En
estas situaciones, se necesita utilizar técnicas heurísticas adicionales, o análisis
del comportamiento, para identificar ciertas aplicaciones que utilizan
mecanismos de cifrado propietarios (por ejemplo aplicaciones peer-to-peer, de
VoIP –como Skype- o de proxies personales –como Ultrasurf). Las técnicas
heurísticas se emplean, junto con el resto de técnicas revisadas en App-ID, para
ofrecer visibilidad y control sobre aplicaciones que podrían de otro modo eludir la
identificación positiva.
Ejemplo del modo de trabajo de App-ID: Identificación de WebEx
Cuando un usuario inicia una session WebEx, la conexión inicial tiene lugar bajo SSL.
App-ID ve el tráfico y las firmas determinan que se está empleando cifrado SSL. El

Página 20 de 95
módulo de descifrado y los descodificadores de protocolo actúan entonces, para
descifrar el tráfico SSL y detectar que se está empleando HTTP como protocolo de
base. Una vez que el decodificador tiene el stream HTTP, el sistema puede aplicar
entonces firmas adecuadas a ese contexto y detectar que la aplicación en uso es
WebEx. A partir de ese momento se reporta el uso de WebEx, que puede ser además
controlado a través de las políticas de seguridad.
Si el usuario final inicia además una sesión de WebEx Desktop Sharing, WebEx cambia
el modo de trabajo, de conferencia a aplicación de acceso remoto. En este escenario,
las características de WebEx han cambiado y las firmas de aplicación detectan este
nuevo comportamiento. De nuevo tanto el módulo de reporting como el de control
mostrarán esta subaplicación, independientemente del protocolo de conferencia –
WebEx base - que podrá ser controlada según sea necesario.
La siguiente figura, Figura 10, muestra un ejemplo del browser de App-ID, en el que se
observan diversas aplicaciones y sus subcategorías, en base al ejemplo de WebEx que
acabamos de revisar (obsérvese WebEx base frente a WebEx Desktop Sharing):
Figura 10.- WebEx con diversas subaplicaciones y control con App-ID
Categorización de las aplicaciones
La base de datos de aplicaciones de Palo Alto, se divide en 5 categorías principales y
25 subcategorías, que pueden utilizarse para crear filtros en la generación de políticas.
Además de la categoría y subcategoría, también se incluyen las características de
comportamiento y la tecnología base para cada aplicación. Del mismo modo también se
incluye una categorización del riesgo (1 a 5), asociado a cada aplicación. El valor de

Página 21 de 95
riesgo es asignado por los ingenieros de PAN y puede ser modificado por el cliente, si lo
considera necesario.
Gracias al uso granular que se puede hacer de este modo de categorización, los
administradores pueden crear las políticas de seguridad en base a la lógica del negocio,
de manera simple y efectiva.
A continuación se listan la categoría, subcategoría, características y tecnología
subyacente que utilizan los equipos de PAN:
Categoría y Subcategoría:
 Business: Servicios de autenticación, bases de datos, ERP, gestión general,
programas de oficina, software updates, almacenamiento / backup
 General Internet: Compartición de ficheros, utilidades de Internet (web-
browsing, toolbars, etc)
 Collaboration: Email, instant messaging, Internet conferencing, redes sociales,
VoIP-video, web-posting
 Media: Audio-streaming, juegos, foto-video
 Networking: Túneles cifrados, infraestructura, protocolos-IP, proxy, acceso
remoto, routing
Características de las aplicaciones:
 Es capaz de transferir ficheros de una red a otra
 Es utilizada para propagar malware
 Consume 1 Mbps o más regularmente, en uso normal
 Evade la de detección a través del uso a propósito de un protocolo o puerto, que
originalmente está diseñado para otro propósito
 Tiene una implantación amplia
 Hay vulnerabilidades conocidas para esa aplicación
 Es propensa a ser mal utilizada, o es fácilmente configurable para exponer más
información de la que se pretende
 Tuneliza otras aplicaciones
Tecnología subyacente:
 Client-server based
 Browser-based

Página 22 de 95
 Peer-to-peer based
 Network protocol
Actualizaciones periódicas
La lista de aplicaciones que App-ID detecta crece rápidamente, con una media de entre
3 y 5 nuevas aplicaciones añadidas semanalmente, en base a la información recibida de
los clientes, partners y las tendencias del mercado. La actualización de la base de datos
de App-ID se realiza automáticamente desde el equipo, y puede programarse como una
tarea recurrente (con opción de instalarla o solamente de descargarla para ser revisada
antes de proceder a la instalación).
Gestión de aplicaciones propietarias o desconocidas
Aquellos clientes que tengan aplicaciones de propósito general no identificadas en su
red, pueden tomar una captura de tráfico y enviar dicha información a Palo Alto
Networks, para que se desarrollen los mecanismos necesarios para identificarla
adecuadamente. App-ID categoriza estas aplicaciones desconocidas como “unknown-
tcp” ó “unknown-udp”.
Una vez que un nuevo decoder o firma es desarrollado y chequeado en nuestros
laboratorios, se añade a la lista como parte de las actualizaciones periódicas
semanales, disponibles a partir de ese momento para todos los clientes.
Si la aplicación es interna o propietaria, los administradores tienen entonces dos
posibilidades para categorizarla:
• Application Override: Este mecanismo permite definir qué puertos utiliza la
aplicación y caracterizarla únicamente en base a éstos parámetros.
• Firmas de aplicación personalizables: Si la aplicación trabaja sobre HTTP ó SSL,
los administradores pueden crear firmas personales de identificación, que
trabajan a nivel 7 a través del uso de un potente motor basado en expresiones
regulares.

Página 23 de 95
Detalle del funcionamiento de User-ID
User-ID permite integrar de modo transparente los firewalls de
PAN con los servicios de directorio corporativo tales como
Active Directory, eDirectory ó LDAP (en éste último caso
normalmente a través del uso de una API XML). Esto permite a
los administradores enlazar la actividad de red con la
información de usuarios y grupos, en vez de únicamente con
las direcciones IP. Además, cuando User-ID se utiliza junto con las tecnología App-ID y
Content-ID, las organizaciones pueden utilizar la información de usuario y grupo para
obtener visibilidad, crear políticas de seguridad, hacer análisis forense y gestionar las
amenazas, la navegación web y la actividad asociada a las transferencias de datos.
Esta capacidad es especialmente interesante en las redes actuales, donde los usuarios
están dotados de movilidad (cable, WI-FI, 3G, …), con diferentes ubicaciones
geográficas posibles, y donde además se suele utilizar direccionamiento dinámico
(DHCP), lo que hace complicado identificar de forma simple y rápida al usuario con la IP
que tiene en un momento determinado. El resultado es que intentar utilizar la dirección
IP como método de identificación de un usuario, es a día de hoy inadecuado, o cuando
menos muy complejo.
A continuación se enumeran algunos de los beneficios fundamentales que se obtienen a
través del uso de User-ID:
 Analizar las aplicaciones, amenazas y navegación web en base a usuarios
individuales o grupos, en contraposición a utilizar únicamente direcciones IP.
 Identificar a los usuarios de Citrix y Microsoft Terminal Services y aplicar
políticas sobre sus respectivos usos de las aplicaciones.
 Construir políticas para habilitar la utilización positiva de aplicaciones para
grupos específicos de usuarios, como marketing, TI o ventas.
 Obtener visibilidad en tiempo real sobre la utilización que los usuarios hacen de
los recursos, así como identificar rápidamente qué usuarios pueden suponer una
amenaza o sufren algún tipo de vulnerabilidad (infección por virus, spyware, …)
Módulos
User-ID cuenta con diversos mecanismos para proceder a la identificación de los
usuarios, tal y como muestra la siguiente figura, Figura 11:

Página 24 de 95
Figura 11.- Módulos de identificación de usuarios en User-ID
El módulo de Login Monitoring se encarga, a través de un agente que se instala en un
PC de la red, de monitorizar la actividad de logging de los usuarios.
El módulo de Role Discovery se encarga, también a través del agente, de correlar la
información sobre la pertenencia de usuarios a grupos.
El módulo de End Station Polling es el encargado de monitorizar la actividad de cada
PC que está vivo en la red, para comprobar la dirección IP y usuario, y garantizar la
coherencia de la información cuando los usuarios se mueven en la red, sin
reautenticarse en el dominio.
Finalmente Captive Portal ofrece una solución para autenticar a usuarios que no
pertenecen al dominio, a través de una página web que incluye servicios de
autenticación, o a través del uso de autenticación basada en NTLM.
La potencia de User-ID se vuelve evidente cuando un administrador encuentra una
aplicación en la red cuyo uso le resulta extraño (revelada a través de la tecnología App-
ID). Entonces, y a través simplemente de unos cuantos clicks de ratón, puede
determinar qué usuario o grupo de usuarios están utilizando esa aplicación.
El administrador no ve solamente los usuarios de un determinado aplicativo, sino
también el consumo de ancho de banda, el número de sesiones, los orígenes y destinos
del tráfico así como cualquier posible amenaza asociada con dicha aplicación. También
es factible, de nuevo de forma muy simple, investigar otras aplicaciones que ese usuario
está empleando en un momento determinado.

Página 25 de 95
La siguiente figura, Figura 12, muestra un ejemplo de este tipo de análisis y visibilidad,
para un usuario que está empleando Facebook base y cuyo uso nos llama la atención.
Obsérvese que el administrador en primer lugar hace click sobre Facebook base para
filtrar la información asociada a esta aplicación; posteriormente hace click sobre el
usuario “Ginger Poppe” que está empleando Facebook base y finalmente obtiene todas
las aplicaciones que este usuario está utilizando, junto con el uso de sesiones, ancho de
banda consumido, posibles amenazas, … (el dominio en este ejemplo es “pancademo”):
Figura 12.- Ejemplo de la visibilidad de aplicaciones obtenida para un usuario
concreto
De modo similar al ejemplo anterior, la siguiente figura, Figura 13, muestra cómo es
posible utilizar User-ID no únicamente con fines de obtención de visibilidad, sino
también para establecer políticas de control en base a usuarios concretos o grupos de
usuarios del directorio corporativo. Obsérvese que en la columna Source User se
definen distintos usuarios para cada una de las políticas configuradas en este ejemplo:
Ejemplo de visibilidad de la
actividad de los usuarios

Página 26 de 95
Figura 13.- Ejemplo de control por usuarios y grupos con User-ID
Obtener visibilidad en la actividad de las aplicaciones a nivel del usuario, y no sólo de la
IP, es un paso necesario para retomar el control sobre las aplicaciones que circulan por
la red. Los administradores pueden entonces alinear el uso de las aplicaciones con los
requisitos de la unidad de negocio, y si fuera necesario, advertir al usuario sobre una
posible violación de la política corporativa de uso, o tomar medidas más directas como
bloquear el uso de determinadas aplicaciones a determinados usuarios.
En los capítulos siguientes se analizará más en detalle las capacidades de
configuración de User-ID.
Integración con el directorio activo de Microsoft a través de PAN-Agent
La integración de los firewalls de PAN con el directorio activo de Microsoft –Active
Directory- se realiza a través de la utilización de un agente específico, denominado Pan
Agent.
Este agente ha de instalarse sobre cualquier PC que pertenezca al dominio, siendo
posible instalarlo sobre diferentes PCs si se desea dotar al servicio de redundancia. Es
importante señalar que aunque es posible instalar el agente sobre los controladores de
dominio –Domain Controllers-, no es una práctica recomendable puesto que estos
servidores son críticos y el único beneficio obtenido es un pequeño ahorro en el tráfico
de red, que normalmente es conmutado además a través de redes LAN.
Asimismo es importante señalar, que un único agente puede interpelar a múltiples
controladores para un mismo dominio. Sin embargo, si es necesario gestionar varios
dominios diferentes, es necesario instalar al menos un agente para cada uno de ellos.
Ejemplo de control por usuario o grupo de usuarios

Página 27 de 95
Por el contrario, un único firewall de PAN puede gestionar la información de múltiples
dominios (que recibirá por tanto de diferentes agentes).
La siguiente figura, Figura 14, muestra el flujo general que sufre una sesión desde que
el usuario se identifica en el Directorio Activo, hasta que la información se integra dentro
del cortafuegos de PAN:
Figura 14.- Flujo general en la identificación de usuarios
Una vez instalado el agente, que se comporta como un servicio de Windows, es
necesario asignar un usuario a dicho servicio que tenga permisos para hacer logon en
el dominio –es decir que pertenezca al grupo Builtin/Users- y que pueda leer los logs de
auditoría de seguridad de Windows - Manage auditing and security log-. Normalmente
los administradores de dominio tienen asignado este permiso por defecto, por lo que
resulta sencillo crear un usuario para éste propósito que pertenezca al grupo de
administradores. No obstante, y si esto no es posible, es factible configurar un usuario
que no pertenezca al grupo de administradores y al que se le puede otorgar
manualmente el permiso requerido.
Una vez que el agente está instalado y configurado, se encarga de obtener
automáticamente la información sobre los usuarios y sus IPs actuales, así como su

Página 28 de 95
pertenencia a grupos. El agente envía, a través de una conexión vía SSL, toda esta
información al firewall que es el encargado de actualizarla en su base de datos interna.
En caso de que haya varios agentes dispersos por la red (por motivos de redundancia),
el cortafuegos se encarga también de correlar la posible información duplicada que
recibe de cada agente.
La siguiente figura, Figura 15, muestra el detalle de la comunicación entre firewall,
agente y controlador de dominio:
Figura 15.- Detalle de la comunicación entre los diversos elementos que
intervienen en la identificación de usuarios
Todas las actualizaciones de usuarios son enviadas al firewall a través de su interfaz de
gestión vía SSL (es posible definir qué puerto TCP se quiere emplear); también es
posible configurar otro interfaz, si así se desea, para éste propósito. El agente PAN-
Agent, además de monitorizar los logs y tablas de sesiones del Directorio Activo de
Microsoft, también puede opcionalmente realizar consultas directamente a las
estaciones de los clientes por NetBIOS ó WMI (para equipos de clientes que utilizan
Windows Vista o Windows 7).

Página 29 de 95
El método preferible y más eficaz para identificar a los usuarios es a través del agente
trabajando contra el Directorio Activo. No obstante, aunque el agente verá los nuevos
usuarios según se autentican y podrá confirmarlos cuando utilizan recursos de red, es
posible que no vea cuando se desconectan (log off). El motivo es que el DA de
Microsoft no registra este tipo de actividad. La pruebas por NetBIOS ó WMI confirman
que un usuario previamente activo se sigue manteniendo activo en su puesto de trabajo.
Hay tres factores que pueden desaconsejar el uso de NetBIOS:
 Ancho de banda que se requiere para la utilización de las pruebas, sobre todo si
se trata de un entorno WAN (no tan importante sobre entornos LAN).
 Recursos de CPU necesarios para la realización de las pruebas desde el PC
que incorpora el agente.
 Equipos que puedan no responder a las consultas NetBIOS a causa de la
utilización de firewalls personales, que no permitan este tipo de tráfico.
Así pues, es recomendable tener en cuenta estos factores durante la fase de diseño,
para implementar la topología más adecuada en cada escenario.
Para finalizar con este capítulo, la siguiente figura, Figura 16, muestra un ejemplo de la
configuración del agente contra un Directorio Activo (en general la configuración es
sencilla y se completa en unos pocos minutos):
Figura 16.- Ejemplo de configuración del agente de PAN contra Directorio Activo
de Microsoft

Página 30 de 95
Identificación de usuarios de Citrix y Microsoft Terminal Services
En entornos donde la identidad del usuario es ocultada por una solución de Citrix o
Terminal Server, es posible también instalar un agente User-ID específico, para
determinar qué aplicaciones los usuarios están empleando. Si además hay un directorio
corporativo, la información sobre los usuarios y los grupos (no las direcciones IP)
también serán mostradas. Una vez que aplicaciones y usuarios han sido identificados,
se obtiene visibilidad y control completos de este tipo de usuarios, dentro de las
herramientas de logging, reporting y gestión de políticas integradas en los cortafuegos
de PAN.
El funcionamiento de este agente es similar al descrito en el apartado anterior, para el
Directorio Activo de Microsoft.
Integración con el e-Directory de Novell a través de User-ID-Agent
A partir de las versiones 3.1.x de PAN-OS, es posible también utilizar un agente,
denominado User Agent, capaz de integrarse con directorios corporativos de Novell (e-
Directory).
La ventaja fundamental que ofrece el directorio de Novell, al igual que el de Microsoft,
es que almacena la dirección IP con la que el usuario se autentica junto con la hora. En
concreto en el directorio de Novell la IP se almacena, en un formato binario propietario,
en el campo networkAddress de la estructura LDAP. Este comportamiento no es en
general extrapolable a otros controladores de dominio basados en LDAP, en los que la
integración se hace por tanto más compleja al no almacenar la IP del usuario
autenticado (ver siguiente punto).
Otro punto importante a señalar, es que el agente para el directorio de Novell es capaz
únicamente de obtener la información sobre los usuarios y sus IPs, pero no la de los
grupos de usuarios a los que pertenecen. A partir de las versiones 3.1.x los firewalls de
PAN son capaces de conectarse directamente contra el directorio a través de LDAP,
obteniendo de este modo la información sobre los grupos y la pertenencia de los
usuarios a los mismos. Así pues, parte de la configuración de autenticación contra e-
Directory requiere configurar, además del agente, la comunicación LDAP entre
cortafuegos y repositorio corporativo.
La siguiente figura, Figura 17, muestra un ejemplo de configuración del agente contra
un controlador e-Directory de Novell:

Página 31 de 95
Figura 17.- Ejemplo de configuración de agente contra e-Directory de Novell
La configuración es de nuevo bastante simple, requiriendo únicamente la configuración
de la rama base del árbol LDAP por el que comenzar la búsqueda (en nuestro ejemplo
de la Figura 17 “lab”) y el usuario y password utilizado para conectarse al directorio (en
nuestro ejemplo “Admin”).
Para finalizar con este capítulo, señalar que el flujo de comunicación entre el agente y el
cortafuegos es similar al mostrado anteriormente en el punto de integración del agente
contra el Directorio Activo de Microsoft.
Otros directorios LDAP: API XML
Para otros directorios diferentes, basados por ejemplo en OpenLDAP, la integración es
más compleja puesto que estos directorios no incluyen normalmente ningún campo en
su estructura que contenga la dirección IP del usuario autenticado.
En estos casos es aún posible realizar la identificación de usuarios, a través de la
utilización de una API XML que se ofrece sobre el mismo agente mostrado en el
capítulo de e-Directory.

Página 32 de 95
En estos casos será necesario realizar un pequeño desarrollo para extraer la
información sobre la dirección IP desde algún origen (por ejemplo servidor DHCP) y
alimentar la API con la dirección IP y nombre de usuario correspondiente. A
continuación se muestra un ejemplo del intercambio de mensajes necesario para la
correcta interactuación contra la API (para obtener más información al respecto, visitar
https://live.paloaltonetworks.com/docs/DOC-1348)
<uid-message>
<version>1.0</version>
<type>update</type>
<payload>
<login>
<entry name="domainuid1" ip="10.1.1.1"/>
</login>
<logout>
</logout>
</payload>
</uid-message>
Como se observa es posible incuir varias actualizaciones (login ó logout) sobre el
mismo mensaje. Si el resultado es correcto, la API devolverá el siguiente tipo de
mensaje:
<uid-response>
<version>1.0</version>
<code>0</code>
<message>ok</message>
</uid-response>
En caso de no ser correcto, el código de error será “1” en lugar de “0” y se incluye
además un mensaje descriptivo sobre el origen del mismo.
Es interesante señalar que existen actualmente soluciones comerciales que ofrecen
este tipo de integración automáticamente contra los equipos de PAN. Un ejemplo de
ellas es AmigoPod (para más información visitar www.amigopod.com).

Página 33 de 95
Integración de usuarios no pertenecientes al dominio: Captive Portal con NTLM
En el caso de que existan usuarios que no pertenecen al dominio (como por ejemplo
usuarios externos trabajando temporalmente), es aún posible identificarlos como
usuarios y no únicamente por su dirección IP. Para ello los cortafuegos de PAN ofrecen
la posibilidad de utilizar un portal cautivo, Captive Portal, que se encarga de realizar
esta tarea.
El portal cautivo puede utilizar con dos modos de trabajo diferentes:
 Autenticación basada en NTLM
 Autenticación basada en página web con formularios
En general es preferible utilizar la autenticación por NTLM, más elegante, puesto que el
usuario no es presentado con ninguna página web, sino que se le solicita la
autenticación directamente según se conecta a cualquier sitio.
Para la autenticación basada en NTLM, se utilizan las cabeceras de autenticación
HTTP. Es importante señalar que es necesario que el cliente utilice un navegador
compatible con este método de trabajo, como Internet Explorer o Firefox. La siguiente
figura, Figura 18, muestra el esquema general del flujo de una autenticación con NTLM:
Figura 18.- Flujo general de la autenticación vía NTLM
PAN-OS utiliza las cabeceras HTTP mostradas en la Figura 18, junto con una
redirección HTTP (código 302, redirección temporal) para autenticar a los usuarios.
La siguiente figura, Figura 19, muestra el proceso de validación. Tal y como se observa
hay tres fases distintas, que se corresponden con tres conexiones TCP diferentes: la
petición original del cliente interceptada; la autenticación NTLM entre cliente y

Página 34 de 95
cortafuegos y la petición original reenviada una vez que la autenticación ha sido
satisfactoria.
Figura 19.- Conexiones que tienen lugar en una autenticación NTLM
NTLM es un mecanismo de autenticación basado en desafío-respuesta, donde el cliente
debe obtener información nueva del servidor de autenticación, cuando formula su
contraseña en la respuesta. Puesto que el Directorio Activo es el único servidor capaz
de validar la respuesta NTLM del usuario, el servidor web integrado en el cortafuegos
actúa únicamente como conductor, enviando los desafíos y respuestas a través de los
agentes (Pan Agent), que interactúan con el directorio.
La siguiente figura, Figura 20, muestra el detalle del proceso de autenticación NTLM
entre el usuario y el directorio. Nótese que el tráfico circula por cuatro equipos en total,
porque la autenticación final la ha de hacer el controlador de dominio, y la comunicación
del cortafuegos con él es a través del agente (Pan Agent, visto anteriormente).

Página 35 de 95
Figura 20.- Flujo de la autenticación NTLM
Notas:
 Aunque se soportan tanto NTLMv1 como NTLMv2, se recomienda configurar los
navegadores para que utilicen NTLMv2, puesto que es más seguro que
NTLMv1.
 Si se desea utilizar además la información de los grupos a los que los usuarios
pertenecen, es posible configurar el cortafuegos para que obtenga esta
información directamente, a través del uso de LDAP (soportado a partir de PAN-
OS 3.1).
Integración de usuarios no pertenecientes al dominio: Captive Portal con página
web
En el caso de que la autenticación basada en NTLM no se pueda utilizar, o falle por
ejemplo porque el navegador que utiliza el cliente no soporta NTLM, aún es posible
autenticar a los usuarios haciendo uso de un portal cautivo que ofrecen los equipos de
PAN, que integra una página web con un formulario de autenticación. La siguiente

Página 36 de 95
figura, Figura 20, muestra un ejemplo de la página que se muestra a los usuarios que se
autentican por este método. La imagen que mostramos se corresponde con la página
por defecto, pero es posible personalizar la apariencia de esta página, a través de los
menús de configuración del firewall:
Figura 20.- Autenticación con portal cautivo basado en página web
La siguiente figura, Figura 21, muestra el flujo del proceso de autenticación. Nótese que
aunque se hace referencia a la autenticación vía RADIUS, también es posible, a partir
de la versión 3.1 de PAN-OS, utilizar autenticación por LDAP (contra un directorio
activo, por ejemplo).
Figura 21.- Autenticación con Captive Portal y formulario web

Página 37 de 95
El proceso de autenticación, tiene lugar a través de HTTPs. Para ello el firewall utiliza
un certificado que se puede generar dentro del propio equipo, o importar desde el
exterior. Para que el usuario sea interceptado y autenticado, debe en primer lugar iniciar
una sesión HTTP hacia algún recurso externo. Una vez que la autenticación tiene éxito,
el usuario es redirigido transparentemente hacia el recurso original, que solicitó desde
su navegador. Asimismo, una vez identificado, la validación del usuario contra las
políticas se realiza para cualquier tipo de tráfico IP y no solamente para el tráfico Web.
Durante la autenticación se utiliza nuevamente una redirección de tipo 302 (Temporarily
moved), pero de manera diferente a como se empleaba con la autenticación basada en
NTLM. En este caso al usuario se le envía el contenido como si viniera del sitio original,
pero redirigiéndolo hacia HTTPs y a través de otro puerto (TCP 6080). Esta redirección
sirve al firewall para interceptar la siguiente petición del navegador, donde se incluye el
formulario web de autenticación. Una vez que el usuario introduce la información de
autenticación, ésta es enviada hacia el servidor RADIUS o LDAP que valida finalmente
al usuario.
La siguiente figura, Figura 22, muestra el detalle de la autenticación en este caso:
Figura 22.- Detalle de la autenticación con portal cautivo y formulario web

Página 38 de 95
Detalle del funcionamiento de Content-ID
Muchas de las nuevas aplicaciones que los usuarios se descargan hoy día contienen
amenazas, tales como viruses, troyanos, spyware, … Del mismo modo las aplicaciones
corporativas se ven amenazadas por ataques cada vez más sofisticados, que en
muchos casos van buscando un beneficio financiero, frente a la notoriedad del atacante.
Gran parte de las soluciones que se ofrecen hasta la fecha, se basan en el concepto de
que si se detecta una nueva brecha de seguridad, es necesario adquirir un nuevo
dispositivo que la cubra. Desafortunadamente, la falta de coordinación entre las distintas
funciones de cada equipo, los interfaces de gestión dispersos e inconsistentes y un
rendimiento pobre, han dado un resultado muy lejano del esperado. Aún más
importante, los modelos de seguridad basados en soluciones independientes, han
obviado el hecho de que los atacantes toman ventaja de los cientos de aplicaciones que
no se analizan y que los usuarios pueden descargar e instalar.
Content-ID es una solución de seguridad totalmente integrada dentro de las soluciones
de Palo Alto Networks, que pretende dar respuesta a todas las carencias de ese modelo
de aproximación a la seguridad, basado en la dispersión de recursos.
Se trata de un motor de exploración basado en flujo (stream based en contraposición a
soluciones basadas en proxies), que utiliza un formato de firma uniforme para la
prevención, detección y bloqueo de un gran número de amenazas. De igual modo, limita
la transferencia no autorizada de archivos y datos confidenciales, al tiempo que una
extensa base de datos de URLs controla la navegación por Internet no relacionada con
el trabajo.
El uso de Content-ID, junto con las tecnologías App-ID y User-ID vistas anteriormente,
devuelve el control al departamento de TI sobre las aplicaciones, los usuarios y las
amenazas relacionadas, ofreciendo además una visibilidad sin precedentes desde un
punto central (el cortafuegos corporativo).
La siguiente figura, Figura 23, muestra el resumen de las capacidades que se integran
dentro de Content-ID:

Página 39 de 95
Figura 23.- Funcionalidades integradas en Content-ID
Nota: Content-ID se comercializa a través de dos licencias que los clientes pueden
adquirir opcionalmente al comprar un equipo de PAN: una de ellas se denomina Threat
Prevention e incluye el análisis de vulnerabilidades (IPS), antivirus y anti-spyware. La
segunda licencia, denominada URL Filtering, incluye las capacidades de filtrado de
URLs.
Ambas licencias son independientes y pueden adquirirse de forma separada, según sea
necesario. En ambos casos la licencia va ligada al equipo y no al volumen de
usuarios, lo que hace que económicamente la solución sea más rentable.
Como ventajas fundamentales de Content-ID, cabe destacar:
 Integrado completamente dentro de la solución de PAN.
 Protege frente a una gran variedad de amenazas, incluyendo exploits contra las
aplicaciones (IPS), viruses y spyware.
 Analiza todo el tráfico una única vez, basándose en un modelo tipo stream. De
esta forma se elimina la necesidad de utilizar proxies para el tráfico o los
ficheros, lo que resulta en un rendimiento superior y una latencia reducida.
 La utilización de una única política reduce significativamente la operativa
asociada a la creación de políticas para el control de las amenazas o de la
navegación web.
En los capítulos siguientes, analizamos con mayor detalle cada una de las
funcionalidades y capacidades que ofrece Content-ID.

Página 40 de 95
Prevención de amenazas (IPS)
Es importante señalar, antes de avanzar más en el
detalle de las capacidades de prevención de
ataques, que todos los equipos de PAN se basan en
la utilización de App-ID, como tecnología base. Tal y
como se mencionó con anterioridad, App-ID utiliza
un mecanismo de lógica positiva en la identificación de las aplicaciones (nivel 7). Esto
significa que antes siquiera de comenzar a buscar posibles amenazas, el equipo
determina si la aplicación que está circulando por la red se corresponde realmente con
aquella que los administradores de seguridad han habilitado en sus políticas. La
identificación es posible realizarla incluso aunque el tráfico vaya cifrado bajo SSL. Si la
aplicación detectada no es acorde a la política de seguridad configurada, esa sesión
simplemente se elimina sin darle opción a que progrese y pueda incluir alguna
amenaza.
Gracias a la utilización de esta tecnología de base, es posible eliminar multitud de
amenazas basadas en la ofuscación o tunelización de unas aplicaciones sobre otras,
además de que también permite reducir drásticamente los falsos positivos.
La tecnología clave que permite a Content-ID identificar y bloquear con mayor certeza
los ataques, es el decodificador de aplicación (ver punto anterior, sobre App-ID, para
encontrar más información al respecto). Content-ID toma streams de los datos de las
aplicaciones, que ya han sido analizados y reensamblados por el decodificador, para
inspeccionarlos en busca de amenazas.
Además, en vez de utilizar un subconjunto independiente de motores de análisis y
firmas para cada tipo de amenaza, Content-ID emplea un motor de firmas uniformes,
lo que le permite detectar y bloquear en una única pasada diversos tipos de malware
(exploits, viruses, spyware, …). Esta capacidad es crítica para garantizar un rendimiento
muy alto a la par que una latencia mínima.
En lo referente a las amenazas contra las aplicaciones, la prevención se consigue a
través de un conjunto de medidas de tipo IPS (Intrusion Prevention System). Los tipos
de ataques generales, que es posible detectar se listan a continuación:
 Exploits contra vulnerabilidades de red
 Exploits contra vulnerabilidades de aplicación
 Ataques de denegación de servicio (DoS y DDoS)

Página 41 de 95
 Escaneo de puertos (horizontales y verticales)
En cuanto a las medidas que utiliza el IPS para ofrecer la prevención, a continuación se
detallan las más significativas junto con una explicación sobre su utilización:
 Decodificadores de protocolo: Decodifican el protocolo y permiten
posteriormente aplicar firmas para detectar los ataques, en base al contexto real
de la aplicación.
 Firmas contra vulnerabilidades: Buscan patrones que se corresponden con
intentos de intrusión. Actualmente existen unas 3000 diferentes.
 Detección de anomalías: Detectan el uso de los protocolos cuando no es acorde
a las RFCs, tales como URIs inválidas o intentos de login en servicios FTP con
usuarios de gran longitud.
 Stateful pattern matching: Detecta ataques distribuidos en varios paquetes,
tomando en cuenta elementos tales como el orden de llegada y la secuencia.
 Detección de anomalías por estadísticas: Previene los ataques de denegación
de servicio (DoS y DDoS), basándose en el análisis del ratio de paquetes y
sesiones.
 Análisis de comportamiento (heurístico): Detecta paquetes anómalos para
prevenir los intentos de escaneos de red.
 Defragmentación IP y reensamblaje TCP: Permite detectar los ataques aun
cuando los atacantes pretenden utilizar tácticas evasivas contra sistemas IPS.
 Firmas personalizables por los usuarios: Permite a los administradores extender
el rango de firmas disponibles, a través de la utilización de un potente motor
basado en expresiones regulares.
Es importante señalar que la configuración de todas estas medidas de protección, al
igual que ocurre con el resto de módulos de Content-ID, se realiza a través de la
utilización de perfiles, lo que permite crear políticas de un modo muy sencillo.
Además, es posible utilizar diferentes perfiles de Content-ID para cada regla de
seguridad del firewall, lo que ofrece una gran granularidad a la hora de establecer
las medidas de control.
La siguiente figura, Figura 24, muestra un ejemplo de la configuración de los perfiles
de Content-ID, ligado a cada una de las políticas que implementa el cortafuegos:

Página 42 de 95
Figura 24.- Ejemplo de gestión de políticas de Content-ID
La gestión de los perfiles de firmas es asimismo muy sencilla, pudiendo el administrador
trabajar en modo simple o modo avanzado.
En el modo simple solamente es necesario seleccionar qué acción se quiere tomar
contra un determinado tipo de amenaza, en base al riesgo –crítico, alto, medio, bajo o
informativo, para los ataques de cliente o servidor. La siguiente figura, Figura 25,
muestra un ejemplo de configuración simple:
Figura 25.- Ejemplo de configuración de firmas de IPS sencilla
Ejemplo de configuración de
Content-ID por perfiles

Página 43 de 95
Por el contrario en el modo avanzado es posible configurar múltiples parámetros para
cada firma individualmente. La siguiente figura, Figura 26, muestra un ejemplo de
configuración avanzada:
Figura 26.- Ejemplo de configuración de firmas de IPS avanzada
En ambos casos es posible excluir aquellas firmas que no nos interesen como
excepciones. Esta configuración también es posible realizarla directamente desde la
ventana de análisis de logs.
Prevención de ataques de DoS
La prevención frente a ataques de DoS y DDoS (ataques de denegación de servicio
distribuidos), se realiza a través de la detección basada en el análisis estadístico, según
se mencionó en el capítulo anterior.
Es posible configurar diferentes perfiles para cada zona, en función de los requisitos de
tráfico que pueda existir en cada una de ellas. En concreto, este mecanismo ofrece
protección frente a los siguientes ataques de DoS:

Página 44 de 95
 Ataques de SYN Flood. Se puede utilizar SYN Cookies o RED (Random Early
Drop). Es recomendable utilizar SYN Cookies.
 Ataques basados en inundaciones UDP.
 Ataques basados en inundaciones ICMP.
 Otros tipos de ataques basados en inundaciones IP.
La siguiente figura, Figura 27, muestra un ejemplo de configuración de un perfil en una
zona, para proteger dicha zona frente a ataques de denegación de servicio. Tal y como
se observa se ofrecen diferentes ratios, en base a los diferentes estados por los que
puede pasar un ataque de DoS (alerta, activación y máximo número de paquetes
permitidos):
Figura 27.- Ejemplo de configuración frente a ataques de DoS por zonas
Prevención frente a escaneos de red
Aunque los intentos de escanear la red en busca de equipos o de servicios que
respondan, no suele considerarse un ataque como tal, sí que es importante ofrecer
mecanismos de protección frente a los mismos, porque suele ser la primera medida que
un atacante emplea, previa a la realización de un ataque en sí.

Página 45 de 95
Al igual que la protección frente a ataques de DoS, la detección y prevención de los
escaneos de red en las soluciones de PAN se realiza a través del análisis estadístico,
que se configura en la protección de cada zona. De nuevo es posible utilizar perfiles
diferentes en función de los requisitos de cada zona.
En concreto se ofrece protección frente a los siguientes tipos de escaneo (tanto
horizontales como verticales):
 Escaneos TCP
 Escaneos UDP
 Host Sweep
La siguiente figura, Figura 28, muestra un ejemplo de configuración de un perfil frente a
los intentos de escaneo:
Figura 28.- Ejemplo de configuración frente a intentos de escaneo
Anomalía de paquetes
Al igual que la protección frente a ataques de DoS, la detección y prevención de
paquetes anómalos se configura en la protección de cada zona. De nuevo es posible
utilizar perfiles diferentes en función de los requisitos de cada una.
En concreto se ofrece protección frente a los siguientes tipos de paquetes anómalos:
 Spoofing de direcciones IP
 Bloqueo de tráfico fragmentado
 Tráfico ICMP con ID 0

Página 46 de 95
 Tráfico ICMP fragmentado
 Paquetes ICMP superiores a 1024 bytes
 Supresión de ICMP TTL expired error
 Supresión de ICMP NEEDFRAG
 Eliminar los paquetes fuera de sesión (paquetes para los que no se ha visto el
SYN que marca el inicio de la sesión). Es importante deshabilitar esta medida de
protección si se trabaja en entornos donde es posible que exista tráfico
asimétrico.
La siguiente figura, Figura 29, muestra un ejemplo de configuración de un perfil frente a
paquetes anómalos:
Figura 29.- Protección frente a anomalías de paquete
Antivirus y Anti-Spyware
El motor de antivirus/anti-spyware en línea saca también partido de los patrones de
firmas uniformes mencionados anteriormente, así como de un motor de inspección
basado en stream, para proteger frente a millones de variantes de malware.
A continuación se enumeran las capacidades clave de la solución de antivirus/anti-
spyware de PAN:
 Protección frente un amplio rango de malware, como por ejemplo virus,
incluyendo aquellos que afectan a HTML y Javascript, downloads de spyware,
troyanos, etc.
 Detección y prevención en línea de malware embebido en ficheros comprimidos
y contenido web.
 Utiliza el motor de descifrado SSL de App-ID, para bloquear viruses sobre tráfico
SSL.

Página 47 de 95
 Las firmas del motor de antivirus se obtienen a través del análisis de millones de
patrones reales, que son enviados a los ingenieros de PAN a través de terceras
empresas, líderes en el mercado de investigación y búsqueda de malware. El
equipo de desarrollo de PAN analiza y elimina la información duplicada o
redundante y genera las firmas (utilizando el patrón uniforme para ello), que son
ofrecidas a los clientes diariamente o bajo actualizaciones de emergencia.
También es crucial señalar, que el análisis basado en stream permite proteger la red sin
introducir una latencia significativa – que es el problema tradicional con las soluciones
de antivirus que se basan en proxies. Las soluciones basadas en proxies han carecido
históricamente de los requisitos de rendimiento necesarios cuando se hacen
despliegues en línea, en entornos con necesidades en tiempo real (por ej. aplicaciones
web), porque necesitan ubicar el fichero al completo en memoria antes de que el
proceso de análisis pueda comenzar. Por el contrario los motores basados en stream,
como el de PAN, inspeccionan el tráfico tan pronto como el primer paquete del fichero
llega al equipo, eliminando los problemas de rendimiento y latencia asociados con la
aproximación basada en proxies.
La siguiente Figura, Figura 30, muestra la comparativa entre un motor basado en
streaming frente a uno basado en proxies. Obsérvese la gran diferencia en la latencia
introducida por ambas soluciones, hasta que se entrega el tráfico al destino final:
Figura 30.- Comparativa entre la inspección basada en stream frente a proxy

Página 48 de 95
Filtrado de URLs
La base de datos para la gestión y filtrado de URLs,
totalmente integrada en la solución, permite establecer
políticas de control sobre la actividad de la navegación
web, complementando de este modo la visibilidad a
nivel de aplicación y control que los firewalls de nueva
generación de Palo Alto Networks ofrecen.
A continuación se resumen las ventajas fundamentales que ofrece la solución:
 Bloquea el acceso a sitios no deseables para reducir los riesgos de seguridad,
legales y regulatorios.
 Reduce los incidentes asociados con el malware, al prohibir el acceso a sites
que ofrecen descargas que incluyen malware ó phising.
 Ofrece políticas configurables, con listas blancas y negras y base de datos de
URLs personalizable.
 Facilita las políticas de descifrado SSL, como por ejemplo: “no descifrar el tráfico
que vaya dirigido contra webs financieras”, pero “sí descifrar el tráfico que vaya
dirigido a sitios que contienen blogs”.
Las soluciones tradicionales de filtrado de URLs basadas en equipos independientes,
no son todo lo efectivas que debieran hoy día. Pueden ser en muchas ocasiones
fácilmente eludidas a través del uso de proxies externos (como PHproxy o CGIproxy),
proxies evasivos (como TOR, UltraSurf o Hamachi) y aplicaciones de acceso a
escritorios remotos (como Yoics!, RDP o SSH). Controlar la actividad de las
aplicaciones de los usuarios requiere una aproximación multidisciplinar, que incorpore
políticas para gestionar la actividad web así como las aplicaciones que utilizan
normalmente para eludir los mecanismos de seguridad tradicionales. Gracias al uso de
las tecnologías App-ID, User-ID junto con el filtrado de URLs, las soluciones de PAN
solventan esas carencias presentes en otras soluciones.
Una vez que han controlado, gracias a App-ID, las aplicaciones que se permite utilizar,
los administradores de seguridad pueden implementar políticas de filtrado URL para
extender el control sobre la actividad de red. Las políticas se pueden habilitar en base a
la combinación de los siguientes mecanismos:
 Seleccionar entre 76 categorías y más de 20 millones de URLs, almacenadas en
una base de datos local al equipo.

Página 49 de 95
 Utilizar una base de datos distribuida en Internet, con más de 180 millones de
URLs, para todas aquellas que no están incluidas en la base de datos local.
 Crear una lista personal, a través del uso de listas negras y listas blancas, que
soportan el uso de comodines en su definición.
 Especificar políticas por usuarios y grupos, con diferentes niveles de permiso
(gracias a User-ID).
 Crear políticas de navegación basadas en horario.
 Determinar qué categorías de URLs han de descifrarse y cuales no (junto con la
funcionalidad de SSL decryption vista anteriormente).
Tal y como se ha comentado, es posible utilizar una base de datos local de 20 millones
de registros, así como una distribuida en Internet de unos 180 millones de registros. Si
se habilita esta funcionalidad, cuando una URL no se encuentra en la base de datos
local, se realiza una búsqueda en la base de datos distribuida. Una vez que la URL ha
sido categorizada, se cachea en otra base de datos local paralela (con capacidad de 1
millón de registros), para evitar que realizar nuevas consultas externas si algún usuario
vuelve a demandarla.
Asimismo también es posible configurar la información que los usuarios recibirán
cuando están intentando visitar un sitio que está bloqueado, según la política
corporativa configurada. Para ello los administradores pueden utilizar una página web
cuyo contenido se puede personalizar. La página puede incluir además referencias al
nombre del usuario, la dirección IP, la URL a la que se está intentando acceder y la
categoría.
También es posible delegar parte de la responsabilidad de la navegación, de vuelta
sobre el usuario final. Para ello los administradores cuentan con las siguientes dos
herramientas:
 URL filtering continue: Cuando el usuario accede a una página que viola la
política establecida, se les muestra una página de advertencia con un botón que
le permite continuar en caso de que el acceso a la URL sea realmente necesario
para su trabajo.
 URL filtering override: El usuario ha de introducir una contraseña que le permite
eludir la página de bloqueo y acceder por tanto al contenido solicitado.
La siguiente figura, Figura 31, muestra un ejemplo de una de las páginas de bloqueo
que se sirven y que pueden ser personalizadas:

Página 50 de 95
Figura 31.- Ejemplo de página de bloque de acceso a una URL no permitida
Existen asimismo múltiples opciones a la hora de generar informes. El equipo ofrece un
conjunto de ellos predefinidos, y también ofrece la posibilidad al usuario para que se
genere otros personales. En general existen tres tipos de reportes diferentes que se
pueden obtener:
 Reportes sobre la actividad de los usuarios: Permite generar informes muy
detallados sobre la actividad de un usuario o grupo. Se incluyen las aplicaciones
empleadas, las categorías de URL visitadas, los sitios web visitados y el detalle
de todas las URLs visitadas durante un período de tiempo configurable.
 Reportes sobre la actividad de las URLs: Existen hasta 50 informes de este tipo,
donde se muestra la categoría de URL visitada, los usuarios más activos, las
categorías bloqueadas, los usuarios bloqueados, …
 Logging en tiempo real: Los logs de las URLs pueden filtrarse fácilmente, para
obtener información detallada en línea (para obtener más información sobre este
punto, revisar por favor el capítulo de gestión del equipo que se detalla
posteriormente).
La configuración del filtrado de URLs sigue los mismos principios vistos anteriormente
en la configuración de otros mecanismos de Content-ID, y se basa por tanto en la

Página 51 de 95
utilización de perfiles. La siguiente figura, Figura 32, muestra un ejemplo de la definición
de estos perfiles:
Figura 32.- Ejemplo de definición de un perfil de filtrado de URLs
Para finalizar con este punto, es importante señalar que el modelo de licenciamiento de
PAN para el módulo de URL filtering se basa en la obtención de una licencia por
equipo y no por usuario. Este modelo de licenciamiento supone que el número de
usuarios que pueden utilizar el servicio es virtualmente ilimitado, a la par que ofrece un
ahorro importante frente a soluciones que requieren una licencia por usuario.

Página 52 de 95
Prevención frente a la fuga de datos (DLP)
La solución de filtrado de datos (Data Loss Prevention – DLP), permite a los
administradores implementar políticas que reducirán los riesgos asociados con la
transferencia ilícita de ficheros y datos no autorizados. Asimismo permite auditar los
tipos de contenido que circulan por la red.
Como características más notables de la solución de DLP, caben resaltar las que se
mencionan a continuación:
 Bloqueo por tipo de fichero: Permite controlar el flujo de un amplio rango de
ficheros, inspeccionando a fondo el payload para identificar el tipo de fichero en
cuestión (frente a solamente mirar la extensión del archivo). Permite definir
políticas diferentes en el envío o la recepción, como por ejemplo bloquear todos
aquellos archivos cifrados que los usuarios se descarguen (y que por tanto no
pueden ser analizados por otros módulos, como por ejemplo el antivirus).
 Filtrado de datos: Controla el envío de patrones de datos sensibles, como por
ejemplo números de tarjeta de crédito, a través del contenido de las aplicaciones
o los adjuntos. Utiliza además un mecanismo basado en pesos para minimizar
los falsos positivos.
 Función para el control de la transferencia de ficheros: Permite controlar las
funcionalidades de transferencia de ficheros de una aplicación en concreto
(permitirlas, bloquearlas o auditarlas). Es importante señalar que es posible
bloquear la transferencia de archivos, pero permitir aún la ejecución de la
aplicación, eliminando por tanto únicamente las transferencias.
La siguiente figura, Figura 33, muestra un ejemplo de configuración de un perfil de
filtrado de datos, que analizará el contenido de las aplicaciones o de los adjuntos.
Obsérvese que el perfil detecta la aparición de tarjetas de crédito, números de la
seguridad social (ambos incluidos por defecto), así como la aparición también de dos
términos asignados por los administradores: “Teacher” y “Trinidad”. La definición de
estos patrones se realiza a través del uso de un potente motor de expresiones
regulares.

Página 53 de 95
Figura 33.- Ejemplo de perfil de filtrado de datos
La siguiente figura, Figura 34, muestra un ejemplo de configuración de un perfil de
gestión de ficheros. Según se muestra se han creado dos reglas, la primera que
bloquea la descarga (download) de cualquier fichero cifrado y la segunda que audita
todos ellos, tanto en upload como download:
Figura 34.- Ejemplo de perfil de control de ficheros

Página 54 de 95
Actualizaciones periódicas y equipo I+D de Content-ID
El equipo del departamento de I+D de Palo Alto Networks, encargado de mantener y
actualizar las soluciones integradas en Content-ID, está formado por un grupo de
ingenieros de gran experiencia en el área del desarrollo de mecanismos de prevención
de amenazas.
Además de trabajar en la mejora y desarrollo de nuevas contramedidas, se trata de un
equipo altamente activo en la comunidad internacional de la seguridad. PAN es
miembro inaugural del programa MAPP de Microsoft (Microsoft Active Protection
Program), y como tal tiene acceso prioritario previo a la publicación de las
actualizaciones periódicas y de emergencia que Microsoft realiza. Esto nos permite
garantizar que nuestros clientes dispondrán de las contramedidas adecuadas, antes de
la publicación de los boletines de manera coordinada.
Además de recibir información sobre las vulnerabilidades detectadas por terceros, Palo
Alto Networks realiza su propia investigación continua, y ha sido acreditado como
descubridor de múltiples vulnerabilidades de carácter crítico y alto dentro de los
sistemas operativos de Microsoft o de su suite de aplicaciones. Del mismo modo se
trabaja activamente con otros fabricantes, donde también se han descubierto y
reportado vulnerabilidades críticas (como por ejemplo Adobe).
Las actualizaciones de firmas para el IPS se proveen generalmente una vez a la
semana (normalmente los miércoles en horario español). Además, cuando se detecta
alguna vulnerabilidad crítica, PAN provee a sus clientes de actualizaciones fuera del
ciclo habitual semanal.
En el caso concreto de la base de datos de URLs y antivirus/antispyware, la
actualización es diaria.

Página 55 de 95
Otros
En el presente capítulo se detallan otras funcionalidades y capacidades de los equipos
de PAN, que no han sido aún descritas en capítulos anteriores.
Seguridad basada en Zonas
La configuración de las reglas de seguridad del firewall de PAN, se basa en la definición
y uso de zonas de seguridad. Una zona de seguridad identifica uno o más interfaces de
origen o destino en el cortafuegos. Cuando se define una regla de seguridad en la
política, se deben especificar tanto la zona origen como la de destino del tráfico. Deben
configurarse zonas diferentes para cada tipo de interfaz (Tap, Nivel2, Nivel3 ó virtual
wire) y cada interfaz debe asociarse con una zona antes de que pueda procesar tráfico.
Las reglas de seguridad pueden definirse únicamente entre zonas del mismo tipo.
La ventaja fundamental de utilizar zonas es que es posible aplicar diferentes perfiles en
cada una (por ejemplo frente a ataques de DoS, escaneo de puertos o identificación de
usuarios) y que las políticas resultan ser más simples y fáciles de entender.
La siguiente figura, Figura 35, muestra los diferentes tipos de interfaces y zonas y su
relación en la creación de políticas:
Figura 35.- Zonas e interfaces

Página 56 de 95
Routing y protocolos de red soportados
El routing en los equipos de PAN se configura a través de la definición de routers
virtuales. La definición de estos routers virtuales permite asimismo utilizar protocolos
de routing dinámicos. Cada interfaz de tipo L3, loopback y VLAN definido en el firewall
debería estar asociado con un router virtual. Además, cada interfaz puede pertenecer a
un único virtual router.
A continuación se detallan los protocolos de red y de routing más significativos que
soportan los equipos de Palo Alto Networks:
 Routing estático
 Routing dinámico basdo en RIP
 Routing dinámico basado en OSPF
 Routing dinámico basado en BGP
 Vlan tagging (802.1q)
 Soporte a Jumbo Frames
 Soporte a PPPoE (a partir de la versión 3.1.3)
 DHCP server y DHCP relay
 Soporte a IPv6 (en modo Virtual Wire)
Reglas de Seguridad
Los reglas de seguridad en los cortafuegos de Palo Alto Networks se configuran a
través de un potente y sencillo interfaz gráfico. La estrategia que se sigue en su
evaluación es top-down, lo que significa que el tráfico se evalúa contra ellas en orden de
arriba hacia abajo. Cuando el tráfico hace match contra una regla, se aplican las
acciones correspondientes y se deja de evaluar el resto de la política. Existe asimismo
una regla implícita –no mostrada en la política- en la última posición de cada política
que se encarga de denegar todo el tráfico que no haya sido procesado por reglas
anteriores. Si se desea obtener logging de este tipo de tráfico, es necesario configurar
en último lugar una regla explícita para ello con el logging activado.
En la definición de las reglas de seguridad es posible configurar los siguientes campos:
 Nombre de la regla (con posibilidad de añadir comentarios)
 Zona origen del tráfico
 Zona destino del tráfico
 Dirección IP de origen

Página 57 de 95
 Usuario de origen (en base a la integración que ofrece User-ID)
 Dirección IP de destino
 Aplicación (integración con App-ID, revisado anteriormente)
 Servicio: se corresponde únicamente con el puerto TCP/UDP. Simula por tanto
un cortafuegos de primera generación. Su definición es opcional.
 Acción: Aceptar o denegar el tráfico
 Perfil de Seguridad: Permite asignar perfiles de Content-ID (IPS, Antivirus,
AntiSpyware, URL Filtering, Gestión de ficheros y Gestión de contenidos)
 Opciones: Permite establecer las opciones de logging, reporte a terceros
sistemas, inspección en un único sentido, …
La siguiente figura, Figura 36, muestra un ejemplo de una política configurada desde el
gestor gráfico:
Figura 36.- Ejemplo de configuración de una política de seguridad
NAT
Los cortafuegos de PAN también incorporan funcionalidades de NAT. Es posible
traducir tanto las direcciones IP y puertos de origen como los de destino. Las reglas de
NAT suponen una entidad diferente a las políticas de seguridad vistas en el capítulo
anterior. Las reglas de NAT permiten configurar los siguientes campos:
 Zona destino del tráfico
 Interfaz de destino (opcional)
 Servicio: Puerto TCP/UDP

Página 58 de 95
 Traducción de origen (IP y puerto)
 Traducción de destino (IP y puerto)
La siguiente figura, Figura 37, muestra un ejemplo de una política de NAT:
Figura 37.- Ejemplo de configuración de una política de NAT
Puede haber múltiples reglas de NAT. Al igual que con las políticas de seguridad éstas
son evaluadas de arriba abajo. Cuando se hace match con una regla se aplican las
acciones correspondientes y se deja de evaluar la política. Así pues las reglas más
específicas han de estar al comienzo de la lista. La siguiente figura, Figura 38, muestra
el flujo del tráfico en relación con la aplicación de NAT. Por motivos de simplicidad del
diagrama se han excluido los procesos asociados a App-ID, User-ID y Content-ID:
Figura 38.- Diagrama de flujo lógico en la aplicación de NAT

Página 59 de 95
Tal y como muestra la Figura 38, las direcciones traducidas se determinan después de
que un paquete haga match sobre una regla de NAT. Asimismo es importante señalar
que la traducción de las direcciones IP ocurre únicamente cuando el paquete sale del
firewall. Así pues, las reglas de NAT y las reglas de seguridad siempre hacen referencia
a las IP originales en el paquete y no a las traducidas.
La definición de las direcciones IP soporta incluir direcciones estáticas, redes y rangos
de direcciones IP, que se configuran como IP Address Objects.
Asimismo cuando el equipo determina que el address pool está en el mismo interfaz de
entrada/salida que la dirección IP de NAT, el equipo realiza automáticamente proxy arp.
En caso contrario se utiliza routing.
En general se soportan los siguientes tipos de NAT:
 Source NAT
o IP y puertos dinámicos (se puede emplear como IP de NAT una del
interfaz del firewall)
o IP dinámica
o NAT estático
 Destination NAT
o NAT estático
o IP y puerto
o PAT (Port Address Translation. NAT sobre una misma IP, pero en la que
el puerto de destino identifica equipos de destino diferentes).
Policy Based Forwarding
A partir de las versiones 3.1.x de PAN-OS, se ha añadido a los cortafuegos la
capacidad de hacer Policy Routing, denominado Policy Based Forwarding (PBF) en
PAN.
Se trata de una herramienta potente, cuya definición de políticas se encuentra separada
de las vistas anteriormente. En concreto es posible definir los siguientes campos en una
regla de PBF:

Página 60 de 95
 Usuario de origen (en base a la integración que ofrece User-ID)
 Aplicación (integración con App-ID, revisado anteriormente)
 Servicio: Se corresponde únicamente con el puerto TCP/UDP
 Acción: Puede ser no hacer PBF, encaminar ó descartar
 Forwarding: Incluye los siguientes dos campos
o Interfaz de salida
o Next hop
 Monitoring: Incluye los siguientes campos
o Perfil: Perfil de monitorización que se desea utilizar
o Destino: Destino de la monitorización
o Deshabilitar si falla: Si la monitorización falla, la regla no tiene efecto
 Schedule: Permite programar la regla para que tenga efecto en base a una
definición de horario
Tal y como se ha descrito anteriormente, es posible realizar PBF por usuario o grupo de
usuarios, e incluso por aplicación (a nivel 7). También es especialmente interesante la
parte de monitorización, que permite chequear un elemento a través de ping
(normalmente el next hop) y deshabilitar la regla en caso de que el elemento chequeado
falle. Esto permite que una regla de PBF posterior, con un camino de backup para el
mismo tipo de tráfico, tome efecto.
La siguiente figura, Figura 39, muestra un ejemplo de configuración de Policy Based
Forwarding:
Figura 39.- Ejemplo de configuración de PBF

Página 61 de 95
VPNs IPSec
Los firewalls de PAN incluyen soporte a VPNs IPSec y VPNs SSL (revisadas en el
capítulo siguiente).
Las redes privadas virtuales (VPNs), permiten a los sistemas conectarse de forma
segura a través de redes públicas, como si lo estuvieran haciendo a través de una red
de área local (LAN). El conjunto de protocolos IP Security (IPSec) es utilizado para
establecer un túnel seguro para el tráfico de la VPN. La información privada de los
paquetes se cifra cuando se envía a través de un túnel IPSec.
La siguiente figura, Figura 40, muestra un ejemplo de un túnel IPSec estándar entre dos
equipos:
Figura 40.- Ejemplo de túnel IPSec estándar
La configuración del túnel puede incluir un monitor en cada extremo del mismo, para
alertar al administrador de un fallo y proporcionar un camino alternativo
automáticamente. Se recomienda por tanto definir monitores de túneles, si se desea
proporcionar HA para las VPNs IPSec a través de otro interfaz.
Las VPNs IPSec proporcionadas con los equipos de PAN están basadas en routing. Se
soporta tanto la integración con equipos remotos de PAN, como con cualquier otro
fabricante que también utilice IPSec. Gracias al uso de las VPNs basadas en routing,
los cortafuegos de PAN toman una decisión de routing basándose en la dirección IP de
destino de las sesiones. Si el tráfico se enruta a través de un túnel VPN, es entonces
automáticamente cifrado. No es necesario por tanto definir ninguna regla especial o
hacer referencia explícita a ún túnel VPN; la decisión se toma automáticamente en base
a la dirección IP de destino.

Pa 500-preventa-ago2010

Recomendados

Recomendados

Más contenido relacionado

La actualidad más candente

La actualidad más candente (18)

Similar a Pa 500-preventa-ago2010

Similar a Pa 500-preventa-ago2010 (20)

Último

Último (20)

Pa 500-preventa-ago2010