SlideShare una empresa de Scribd logo

NGFW. Una Aproximación Histórica

Descargar como PPTX, PDF
L
lulops

El documento resume la historia de los firewalls de próxima generación (NGFW), desde los firewalls de estado 1 y 2 hasta los NGFW actuales. Explica cómo funcionan los sistemas UTM y FW tradicionales en comparación con la arquitectura SP3 única de procesamiento paralelo de un solo paso de Palo Alto, que permite el reconocimiento de aplicaciones y el análisis de contenido. Además, analiza las ventajas competitivas de Palo Alto y los desafíos que enfrenta a medida que la industria evoluciona hacia

1 de 20
Next Generation Firewalls Historia, Aproximaciones, Visión Luis Lopez <lulops@gmail.com> 13 de Agosto 2012 CONFIDENCIAL
NGFW. Una Aproximación Histórica Embrion 1st Gen 2nd Gen 3rd Gen Next Gen Check Point < 1993 1993 1994 1995 1998 1999 2000 2002 2003 2004 2005 2006 2008 Network Translation (Cisco)Stateless FW Cisco ACL Ipfilter *BSD TIS First app proxies Cisco PIX 1995 Stateful Inspection 1998 Netscreen FW and IPS integration OneSecure Acq. 2002 2003 Netscreen w/ basic ips Juniper IDP 2004 1999 Tippingpoint 2000 Intruvert 2003 McAfee 3com 2005 (HP 2010) 2005 Cisco ASA 2000 Fortinet UTM concept 2005 Palo Alto Networks (PA-4000 PANOS 2.0 en 2008) Check Point on Nokia 1998 Check Point 2006 Acq. NFR Security 2008 Palo Alto Networks NGFW 1999 Check Point on Xbeam Specific Hardware (FW ASIC-based) NGFW CONFIDENCIAL
Definiciones • UTM – “Es una plataforma convergente de varios productos de seguridad, particularmente orientada a pequeña y mediana empresa (SMBs). Conjunto de funcionalidades típicas formadas por tres subconjuntos, dentro del UTM: firewall/intrusion prevention system (IPS)/virtual private network, secure Web gateway security (URL filtering, Web antivirus [AV]) y messaging security (anti-spam, mail AV).” • NGFW – Los Next-generation firewalls (NGFWs) que están surgiendo pueden detectar ataques específicos de aplicación y forzar a la aplicación a cumplir una política de seguridad granular específica, tanto de salida como de entrada. Los NGFWs serán más efectivos cuando trabajan en conjunción con otras capas de controles de seguridad. Source: Gartner CONFIDENCIAL
Gartner MQ FW 2011 • Magic Cuadrant for Enterprise Network Firewall leader CONFIDENCIAL
¿Como funciona un UTM o FW tradicional? • Flujo de un paquete en un FW 2nd Gen Services Baseboard Physical Interface to the Switch Backplane IBM NP3 IBM NP1 IBM NP2 PC Complex Control Processor L7 Inspection G M A C G M A C Source: Cisco Systems CONFIDENCIAL
¿Como funciona un UTM o FW tradicional? • Flujo de un paquete en un sistema UTM Source: Palo Alto Networks CONFIDENCIAL
¿Como funciona un UTM o FW tradicional? Source: Cisco Systems CONFIDENCIAL
¿Cómo funciona Palo Alto? • 80 Gbps switch fabric interconnect • 20 Gbps QoS engine Signature Match HW Engine • Stream-based uniform sig. match • Vulnerability exploits (IPS), virus, spyware, CC#, SSN, and more Security Processors • High density parallel processing for flexible security functionality • Hardware-acceleration for standardized complex functions (SSL, IPSec, decompression) 20Gbps Network Processor • 20 Gbps front-end network processing • Hardware accelerated per- packet route lookup, MAC lookup and NAT 10Gbps Data PlaneSwitch Fabric 10Gbps ... ...... QoS Flow control Route, ARP, MAC lookup NAT Switch Fabric Signature Match Signature Match SSL IPSec De- Compress. SSL IPSec De- Compress. SSL IPSec De- Compress. CPU 12 CPU 1 CPU 2 CPU 12 CPU 1 CPU 2 CPU 12 CPU 1 CPU 2 RAM RAM RAM RAM RAM RAM RAM RAM RAM RAM RAM RAM RAM RAM • Quad-core mgmt • High speed logging and route update • Dual hard drives Control Plane Core 1 RAM RAM SSD SSD Core 2 Core 3 Core 4 Source: Palo Alto Networks CONFIDENCIAL
¿Cómo funciona Palo Alto? Flow control Route, ARP, MAC lookup NAT Signature Match RAM RAM RAM RAM ... SSL IPSec De- Compress. CPU 12 CPU 1 CPU 2 RAM RAM Signature Match RAM RAM RAM RAM ... SSL IPSec De- Compress. CPU 12 CPU 1 CPU 2 RAM RAM ... SSL IPSec De- Compress. CPU 12 CPU 1 CPU 2 RAM RAM Switch Fabric QoS RJ45 x 12 SFP x 4 SFP+ x 4 FPGA Fast Path Switch Fabric DP0 DP1 DP2 Signature Match HW Engines PA-5060 Only Source: Palo Alto Networks CONFIDENCIAL
Arquitectura Single-Pass Parallel Processing (SP3) Single Pass Procesamiento una vez por paquete - App-ID - User/group mapping - Content scanning – threats, URLs, información confidencial Parallel Processing Motores hardware dedicados para cada función Data/Control planes separados Hasta 20Gbps, Baja Latencia Source: Palo Alto Networks CONFIDENCIAL
Ventajas de Palo Alto • Principal ventaja de PA, Estrategia: Vision + Diseño • La integración del motor de reconocimiento de aplicaciones con el core de FW. • Esto NO ES PROPIO DE LOS SISTEMAS FW. Es propio de otros sistemas tipo IPS o DPI shapers. • Pocos tuvieron esta visión [OneSecure, Intruvert] y solo Palo Alto fue capaz de dotarlo de firmas de aplicaciones “positivas” creando un producto totalmente revolucionario. • SP3 CONFIDENCIAL
Ventajas de Palo Alto App-ID Identificar la aplicación User-ID Identificar el usuario Content-ID Analizar el contenido Source: Palo Alto Networks CONFIDENCIAL
¿Cómo ha reaccionado la competencia? • El año que viene tendremos uno… • Adecuación de sus IPS para Apps • R&D (Cisco CX) • Añadiendo CPU baratas e “integrando” adquisiciones. Ejemplo Check Point. No tiene integración real: Chassis ATCA, CPU de propósito General en integración en “blades” de sus adquiciones IPS (NFR, Liquid). Permanece como líder por su Base instalada. • No funciona… CONFIDENCIAL
¿Cuál es la realidad? • Números maquillados: El performance anunciado de FW stateful, no incluye motores de reconocimiento de apps • No activado por defecto • No se re-diseñan las plataformas, se adaptan IPS con firmas “blancas” • SOLUCIÓN REAL: Rediseño completo del FW hacia sistemas más cercanos a DPI en su ADN • GRAN PROBLEMA: Ruptura con herencia (problemas de continuidad) e inversiones en R&D CONFIDENCIAL
El reto no es llegar, es Mantenerse • Palo Alto y sus NGFWs se enfrentan a toda la industria de seguridad: – Sistemas DPI (Packet Shapers) (content vía ICAP) – IPS evolucionados – Fabricantes de firewalls que van a NG – Evolución de sistemas de ADC – Proxies App tradicionales con URL filtering (content vía ICAP) • Ataques de todos ellos: Síndrome del advenedizo • Adquisiciones por “dinosaurios” CONFIDENCIAL
Futuro a tres años • 2011, gran año PAN • Quedan al menos dos años para que la competencia consiga algo parecido • Caso iPhone 2009 2010 2011 2012 CONFIDENCIAL
Futuro a tres años • En torno a 2013/2014 podrían aparecer nuevas máquinas con ratios de performance y eficacia “NG” • Para entonces PA tendrá su posicionamiento asegurado y habrá evolucionado tras el conocimiento pionero de la plataforma NG …. …como el iPhone ;-) CONFIDENCIAL
Coge la línea directa NGFW!!! Check Point Network Translation (Cisco) Cisco PIX Netscreen OneSecure Netscreen w/ ips Juniper IDP Tippingpoint Intruvert McAfee 3com / HP Cisco ASA Fortinet Palo Alto Networks Check Point On Nokia Check Point On Crossbeam Check Point - NFR Security NGFW NGFW
¿Preguntas?
Muchas Gracias Luis Lopez E: lulops@gmail.com M: +34

Recomendados

Wifislax 2.0
Wifislax 2.0Wifislax 2.0
Wifislax 2.0Conferencias FIST
 
Watchguard xtm5 ds_es
Watchguard xtm5 ds_esWatchguard xtm5 ds_es
Watchguard xtm5 ds_esErick Celada
 
Q3 2016 Ocularis 5 Esp
Q3 2016 Ocularis 5 EspQ3 2016 Ocularis 5 Esp
Q3 2016 Ocularis 5 EspAbraham Peniche
 
Grabación de llamadas IP
Grabación de llamadas IPGrabación de llamadas IP
Grabación de llamadas IPUnitel Sistemas de Telecomunicaciones
 
Elastix y la serie GXP21XX de Grandstream: funcionalidades, integración, pers...
Elastix y la serie GXP21XX de Grandstream: funcionalidades, integración, pers...Elastix y la serie GXP21XX de Grandstream: funcionalidades, integración, pers...
Elastix y la serie GXP21XX de Grandstream: funcionalidades, integración, pers...PaloSanto Solutions
 
Alta disponibilidad elastix y elastix en vm ware
Alta disponibilidad elastix y elastix en vm wareAlta disponibilidad elastix y elastix en vm ware
Alta disponibilidad elastix y elastix en vm warePaloSanto Solutions
 
Gestión de la Información de Desempeño con OpenNMS
Gestión de la Información de Desempeño con OpenNMSGestión de la Información de Desempeño con OpenNMS
Gestión de la Información de Desempeño con OpenNMSPaloSanto Solutions
 
David Pérez & José Picó - Seguridad en 5G [rooted2019]
David Pérez & José Picó - Seguridad en 5G [rooted2019]David Pérez & José Picó - Seguridad en 5G [rooted2019]
David Pérez & José Picó - Seguridad en 5G [rooted2019]RootedCON
 

Recomendados

Wifislax 2.0
Wifislax 2.0Wifislax 2.0
Wifislax 2.0Conferencias FIST
 
Watchguard xtm5 ds_es
Watchguard xtm5 ds_esWatchguard xtm5 ds_es
Watchguard xtm5 ds_esErick Celada
 
Q3 2016 Ocularis 5 Esp
Q3 2016 Ocularis 5 EspQ3 2016 Ocularis 5 Esp
Q3 2016 Ocularis 5 EspAbraham Peniche
 
Grabación de llamadas IP
Grabación de llamadas IPGrabación de llamadas IP
Grabación de llamadas IPUnitel Sistemas de Telecomunicaciones
 
Elastix y la serie GXP21XX de Grandstream: funcionalidades, integración, pers...
Elastix y la serie GXP21XX de Grandstream: funcionalidades, integración, pers...Elastix y la serie GXP21XX de Grandstream: funcionalidades, integración, pers...
Elastix y la serie GXP21XX de Grandstream: funcionalidades, integración, pers...PaloSanto Solutions
 
Alta disponibilidad elastix y elastix en vm ware
Alta disponibilidad elastix y elastix en vm wareAlta disponibilidad elastix y elastix en vm ware
Alta disponibilidad elastix y elastix en vm warePaloSanto Solutions
 
Gestión de la Información de Desempeño con OpenNMS
Gestión de la Información de Desempeño con OpenNMSGestión de la Información de Desempeño con OpenNMS
Gestión de la Información de Desempeño con OpenNMSPaloSanto Solutions
 
David Pérez & José Picó - Seguridad en 5G [rooted2019]
David Pérez & José Picó - Seguridad en 5G [rooted2019]David Pérez & José Picó - Seguridad en 5G [rooted2019]
David Pérez & José Picó - Seguridad en 5G [rooted2019]RootedCON
 
Ccnas v11 ch01_eb
Ccnas v11 ch01_ebCcnas v11 ch01_eb
Ccnas v11 ch01_ebEdgar Benavente
 
Dispositivos de seguridad informática
Dispositivos de seguridad informáticaDispositivos de seguridad informática
Dispositivos de seguridad informáticafillescas
 
El firewall
El firewallEl firewall
El firewallDayanaVega10
 
CodeSeeker: Un firewall de Nivel 7 OpenSource. No Con Name 2003
CodeSeeker: Un firewall de Nivel 7 OpenSource. No Con Name 2003CodeSeeker: Un firewall de Nivel 7 OpenSource. No Con Name 2003
CodeSeeker: Un firewall de Nivel 7 OpenSource. No Con Name 2003Internet Security Auditors
 
Clase 04
Clase 04Clase 04
Clase 04Titiushko Jazz
 
Implementación de tecnologías de firewall
Implementación de tecnologías de firewallImplementación de tecnologías de firewall
Implementación de tecnologías de firewallfillescas
 
Amenzas de seguridad en redes modernas - Seguridad informatica
Amenzas de seguridad en redes modernas - Seguridad informaticaAmenzas de seguridad en redes modernas - Seguridad informatica
Amenzas de seguridad en redes modernas - Seguridad informaticafillescas
 
Integracion Elastix con Draytek
Integracion Elastix con Draytek Integracion Elastix con Draytek
Integracion Elastix con Draytek PaloSanto Solutions
 
Actividad 1 Firewall (FortiGate)
Actividad 1 Firewall (FortiGate)Actividad 1 Firewall (FortiGate)
Actividad 1 Firewall (FortiGate)Yeider Fernandez
 
Andres ricardo albarracin rocha
Andres ricardo albarracin rochaAndres ricardo albarracin rocha
Andres ricardo albarracin rochaAndres Ricardo
 
Control y Administración de Usuario desde el teléfono GXV3240/GXV3275
Control y Administración de Usuario desde el teléfono GXV3240/GXV3275Control y Administración de Usuario desde el teléfono GXV3240/GXV3275
Control y Administración de Usuario desde el teléfono GXV3240/GXV3275PaloSanto Solutions
 
AAA Servers
AAA ServersAAA Servers
AAA Serversfillescas
 
Virtualización Avanzada con Elastix
Virtualización Avanzada con ElastixVirtualización Avanzada con Elastix
Virtualización Avanzada con ElastixPaloSanto Solutions
 
Integración segura de extensiones remotas con Elastix utilizando Sangoma SBC
Integración segura de extensiones remotas con Elastix utilizando Sangoma SBCIntegración segura de extensiones remotas con Elastix utilizando Sangoma SBC
Integración segura de extensiones remotas con Elastix utilizando Sangoma SBCPaloSanto Solutions
 
​Capacitación de QNAP Soluciones de Videovigilancia y Almacenamiento
​Capacitación de QNAP Soluciones de Videovigilancia y Almacenamiento​Capacitación de QNAP Soluciones de Videovigilancia y Almacenamiento
​Capacitación de QNAP Soluciones de Videovigilancia y AlmacenamientoHernan Lopez
 
Manejo de Medios en FreeSWITCH
Manejo de Medios en FreeSWITCHManejo de Medios en FreeSWITCH
Manejo de Medios en FreeSWITCHMoises Silva
 
La estructura es fundamental: PBX IP, tarjetas de telefonía y herramientas pa...
La estructura es fundamental: PBX IP, tarjetas de telefonía y herramientas pa...La estructura es fundamental: PBX IP, tarjetas de telefonía y herramientas pa...
La estructura es fundamental: PBX IP, tarjetas de telefonía y herramientas pa...Xorcom
 
FreeSWITCH: Asterisk con Esteroides
FreeSWITCH: Asterisk con EsteroidesFreeSWITCH: Asterisk con Esteroides
FreeSWITCH: Asterisk con EsteroidesMoises Silva
 
Nueva generación de Teléfonos Empresariales GXP2140/2160 – Personalización e ...
Nueva generación de Teléfonos Empresariales GXP2140/2160 – Personalización e ...Nueva generación de Teléfonos Empresariales GXP2140/2160 – Personalización e ...
Nueva generación de Teléfonos Empresariales GXP2140/2160 – Personalización e ...PaloSanto Solutions
 
Presentación Fortinet
Presentación FortinetPresentación Fortinet
Presentación FortinetCarlos Manuel Sande
 
Guerra contra los_ciberataques_ dirigidos1
Guerra contra los_ciberataques_ dirigidos1Guerra contra los_ciberataques_ dirigidos1
Guerra contra los_ciberataques_ dirigidos1lulops
 
La reputazione finanziaria dellI' Italia sul Web
La reputazione finanziaria dellI' Italia sul WebLa reputazione finanziaria dellI' Italia sul Web
La reputazione finanziaria dellI' Italia sul WebReputation Manager
 

Más contenido relacionado

La actualidad más candente

Dispositivos de seguridad informática
Dispositivos de seguridad informáticaDispositivos de seguridad informática
Dispositivos de seguridad informáticafillescas
 
CodeSeeker: Un firewall de Nivel 7 OpenSource. No Con Name 2003
CodeSeeker: Un firewall de Nivel 7 OpenSource. No Con Name 2003CodeSeeker: Un firewall de Nivel 7 OpenSource. No Con Name 2003
CodeSeeker: Un firewall de Nivel 7 OpenSource. No Con Name 2003Internet Security Auditors
 
Implementación de tecnologías de firewall
Implementación de tecnologías de firewallImplementación de tecnologías de firewall
Implementación de tecnologías de firewallfillescas
 
Amenzas de seguridad en redes modernas - Seguridad informatica
Amenzas de seguridad en redes modernas - Seguridad informaticaAmenzas de seguridad en redes modernas - Seguridad informatica
Amenzas de seguridad en redes modernas - Seguridad informaticafillescas
 
Integracion Elastix con Draytek
Integracion Elastix con Draytek Integracion Elastix con Draytek
Integracion Elastix con Draytek PaloSanto Solutions
 
Actividad 1 Firewall (FortiGate)
Actividad 1 Firewall (FortiGate)Actividad 1 Firewall (FortiGate)
Actividad 1 Firewall (FortiGate)Yeider Fernandez
 
Andres ricardo albarracin rocha
Andres ricardo albarracin rochaAndres ricardo albarracin rocha
Andres ricardo albarracin rochaAndres Ricardo
 
Control y Administración de Usuario desde el teléfono GXV3240/GXV3275
Control y Administración de Usuario desde el teléfono GXV3240/GXV3275Control y Administración de Usuario desde el teléfono GXV3240/GXV3275
Control y Administración de Usuario desde el teléfono GXV3240/GXV3275PaloSanto Solutions
 
Virtualización Avanzada con Elastix
Virtualización Avanzada con ElastixVirtualización Avanzada con Elastix
Virtualización Avanzada con ElastixPaloSanto Solutions
 
Integración segura de extensiones remotas con Elastix utilizando Sangoma SBC
Integración segura de extensiones remotas con Elastix utilizando Sangoma SBCIntegración segura de extensiones remotas con Elastix utilizando Sangoma SBC
Integración segura de extensiones remotas con Elastix utilizando Sangoma SBCPaloSanto Solutions
 
​Capacitación de QNAP Soluciones de Videovigilancia y Almacenamiento
​Capacitación de QNAP Soluciones de Videovigilancia y Almacenamiento​Capacitación de QNAP Soluciones de Videovigilancia y Almacenamiento
​Capacitación de QNAP Soluciones de Videovigilancia y AlmacenamientoHernan Lopez
 
Manejo de Medios en FreeSWITCH
Manejo de Medios en FreeSWITCHManejo de Medios en FreeSWITCH
Manejo de Medios en FreeSWITCHMoises Silva
 
La estructura es fundamental: PBX IP, tarjetas de telefonía y herramientas pa...
La estructura es fundamental: PBX IP, tarjetas de telefonía y herramientas pa...La estructura es fundamental: PBX IP, tarjetas de telefonía y herramientas pa...
La estructura es fundamental: PBX IP, tarjetas de telefonía y herramientas pa...Xorcom
 
FreeSWITCH: Asterisk con Esteroides
FreeSWITCH: Asterisk con EsteroidesFreeSWITCH: Asterisk con Esteroides
FreeSWITCH: Asterisk con EsteroidesMoises Silva
 
Nueva generación de Teléfonos Empresariales GXP2140/2160 – Personalización e ...
Nueva generación de Teléfonos Empresariales GXP2140/2160 – Personalización e ...Nueva generación de Teléfonos Empresariales GXP2140/2160 – Personalización e ...
Nueva generación de Teléfonos Empresariales GXP2140/2160 – Personalización e ...PaloSanto Solutions
 

La actualidad más candente (20)

Ccnas v11 ch01_eb
Ccnas v11 ch01_ebCcnas v11 ch01_eb
Ccnas v11 ch01_eb
 
Dispositivos de seguridad informática
Dispositivos de seguridad informáticaDispositivos de seguridad informática
Dispositivos de seguridad informática
 
El firewall
El firewallEl firewall
El firewall
 
CodeSeeker: Un firewall de Nivel 7 OpenSource. No Con Name 2003
CodeSeeker: Un firewall de Nivel 7 OpenSource. No Con Name 2003CodeSeeker: Un firewall de Nivel 7 OpenSource. No Con Name 2003
CodeSeeker: Un firewall de Nivel 7 OpenSource. No Con Name 2003
 
Clase 04
Clase 04Clase 04
Clase 04
 
Implementación de tecnologías de firewall
Implementación de tecnologías de firewallImplementación de tecnologías de firewall
Implementación de tecnologías de firewall
 
Amenzas de seguridad en redes modernas - Seguridad informatica
Amenzas de seguridad en redes modernas - Seguridad informaticaAmenzas de seguridad en redes modernas - Seguridad informatica
Amenzas de seguridad en redes modernas - Seguridad informatica
 
Integracion Elastix con Draytek
Integracion Elastix con Draytek Integracion Elastix con Draytek
Integracion Elastix con Draytek
 
Actividad 1 Firewall (FortiGate)
Actividad 1 Firewall (FortiGate)Actividad 1 Firewall (FortiGate)
Actividad 1 Firewall (FortiGate)
 
Andres ricardo albarracin rocha
Andres ricardo albarracin rochaAndres ricardo albarracin rocha
Andres ricardo albarracin rocha
 
Control y Administración de Usuario desde el teléfono GXV3240/GXV3275
Control y Administración de Usuario desde el teléfono GXV3240/GXV3275Control y Administración de Usuario desde el teléfono GXV3240/GXV3275
Control y Administración de Usuario desde el teléfono GXV3240/GXV3275
 
AAA Servers
AAA ServersAAA Servers
AAA Servers
 
Virtualización Avanzada con Elastix
Virtualización Avanzada con ElastixVirtualización Avanzada con Elastix
Virtualización Avanzada con Elastix
 
Integración segura de extensiones remotas con Elastix utilizando Sangoma SBC
Integración segura de extensiones remotas con Elastix utilizando Sangoma SBCIntegración segura de extensiones remotas con Elastix utilizando Sangoma SBC
Integración segura de extensiones remotas con Elastix utilizando Sangoma SBC
 
​Capacitación de QNAP Soluciones de Videovigilancia y Almacenamiento
​Capacitación de QNAP Soluciones de Videovigilancia y Almacenamiento​Capacitación de QNAP Soluciones de Videovigilancia y Almacenamiento
​Capacitación de QNAP Soluciones de Videovigilancia y Almacenamiento
 
Manejo de Medios en FreeSWITCH
Manejo de Medios en FreeSWITCHManejo de Medios en FreeSWITCH
Manejo de Medios en FreeSWITCH
 
La estructura es fundamental: PBX IP, tarjetas de telefonía y herramientas pa...
La estructura es fundamental: PBX IP, tarjetas de telefonía y herramientas pa...La estructura es fundamental: PBX IP, tarjetas de telefonía y herramientas pa...
La estructura es fundamental: PBX IP, tarjetas de telefonía y herramientas pa...
 
FreeSWITCH: Asterisk con Esteroides
FreeSWITCH: Asterisk con EsteroidesFreeSWITCH: Asterisk con Esteroides
FreeSWITCH: Asterisk con Esteroides
 
Nueva generación de Teléfonos Empresariales GXP2140/2160 – Personalización e ...
Nueva generación de Teléfonos Empresariales GXP2140/2160 – Personalización e ...Nueva generación de Teléfonos Empresariales GXP2140/2160 – Personalización e ...
Nueva generación de Teléfonos Empresariales GXP2140/2160 – Personalización e ...
 
Presentación Fortinet
Presentación FortinetPresentación Fortinet
Presentación Fortinet
 

Destacado

Guerra contra los_ciberataques_ dirigidos1
Guerra contra los_ciberataques_ dirigidos1Guerra contra los_ciberataques_ dirigidos1
Guerra contra los_ciberataques_ dirigidos1lulops
 
La reputazione finanziaria dellI' Italia sul Web
La reputazione finanziaria dellI' Italia sul WebLa reputazione finanziaria dellI' Italia sul Web
La reputazione finanziaria dellI' Italia sul WebReputation Manager
 
Teddy’s new deal
Teddy’s new dealTeddy’s new deal
Teddy’s new dealham97
 
2009 b
2009 b2009 b
2009 bham97
 
Social Media Monitoring - Reputation Manager
Social Media Monitoring - Reputation ManagerSocial Media Monitoring - Reputation Manager
Social Media Monitoring - Reputation ManagerReputation Manager
 
Abitare Sostenibile: Analisi delle Opinioni sul Web
Abitare Sostenibile: Analisi delle Opinioni sul WebAbitare Sostenibile: Analisi delle Opinioni sul Web
Abitare Sostenibile: Analisi delle Opinioni sul WebReputation Manager
 
The columbian exchange
The columbian exchangeThe columbian exchange
The columbian exchangeham97
 
The home front
The home frontThe home front
The home frontham97
 
Bar Graphs And Histograms
Bar Graphs And HistogramsBar Graphs And Histograms
Bar Graphs And Histogramsmmeddin
 
Bill Gates: la Rete ti vede così
Bill Gates: la Rete ti vede cosìBill Gates: la Rete ti vede così
Bill Gates: la Rete ti vede cosìReputation Manager
 
Social Banking ed Executive Reputation: la reputazione on line di banche e to...
Social Banking ed Executive Reputation: la reputazione on line di banche e to...Social Banking ed Executive Reputation: la reputazione on line di banche e to...
Social Banking ed Executive Reputation: la reputazione on line di banche e to...Reputation Manager
 
World war 2
World war 2World war 2
World war 2ham97
 
Agcom: analisi della reputazione sul Web
Agcom: analisi della reputazione sul WebAgcom: analisi della reputazione sul Web
Agcom: analisi della reputazione sul WebReputation Manager
 
Online Brand Reputation: scenari avanzati di Analisi e Intervento
Online Brand Reputation: scenari avanzati di Analisi e InterventoOnline Brand Reputation: scenari avanzati di Analisi e Intervento
Online Brand Reputation: scenari avanzati di Analisi e InterventoReputation Manager
 
المحاضرة الخامسة علم نفس النمو
المحاضرة الخامسة علم نفس النموالمحاضرة الخامسة علم نفس النمو
المحاضرة الخامسة علم نفس النمود. احمد السحيمي
 
ITFM Business Brief
ITFM Business BriefITFM Business Brief
ITFM Business Briefwdjohnson1
 
Modularization, testing and technical debt (in a large agile project)
Modularization, testing and technical debt (in a large agile project)Modularization, testing and technical debt (in a large agile project)
Modularization, testing and technical debt (in a large agile project)Harald Soevik
 

Destacado (20)

Guerra contra los_ciberataques_ dirigidos1
Guerra contra los_ciberataques_ dirigidos1Guerra contra los_ciberataques_ dirigidos1
Guerra contra los_ciberataques_ dirigidos1
 
La reputazione finanziaria dellI' Italia sul Web
La reputazione finanziaria dellI' Italia sul WebLa reputazione finanziaria dellI' Italia sul Web
La reputazione finanziaria dellI' Italia sul Web
 
Teddy’s new deal
Teddy’s new dealTeddy’s new deal
Teddy’s new deal
 
2009 b
2009 b2009 b
2009 b
 
Social Media Monitoring - Reputation Manager
Social Media Monitoring - Reputation ManagerSocial Media Monitoring - Reputation Manager
Social Media Monitoring - Reputation Manager
 
2. De trabajador a colaborador
2. De trabajador a colaborador2. De trabajador a colaborador
2. De trabajador a colaborador
 
Abitare Sostenibile: Analisi delle Opinioni sul Web
Abitare Sostenibile: Analisi delle Opinioni sul WebAbitare Sostenibile: Analisi delle Opinioni sul Web
Abitare Sostenibile: Analisi delle Opinioni sul Web
 
The columbian exchange
The columbian exchangeThe columbian exchange
The columbian exchange
 
The home front
The home frontThe home front
The home front
 
Bar Graphs And Histograms
Bar Graphs And HistogramsBar Graphs And Histograms
Bar Graphs And Histograms
 
Green Presentation
Green PresentationGreen Presentation
Green Presentation
 
Bill Gates: la Rete ti vede così
Bill Gates: la Rete ti vede cosìBill Gates: la Rete ti vede così
Bill Gates: la Rete ti vede così
 
Social Banking ed Executive Reputation: la reputazione on line di banche e to...
Social Banking ed Executive Reputation: la reputazione on line di banche e to...Social Banking ed Executive Reputation: la reputazione on line di banche e to...
Social Banking ed Executive Reputation: la reputazione on line di banche e to...
 
World war 2
World war 2World war 2
World war 2
 
Agcom: analisi della reputazione sul Web
Agcom: analisi della reputazione sul WebAgcom: analisi della reputazione sul Web
Agcom: analisi della reputazione sul Web
 
Online Brand Reputation: scenari avanzati di Analisi e Intervento
Online Brand Reputation: scenari avanzati di Analisi e InterventoOnline Brand Reputation: scenari avanzati di Analisi e Intervento
Online Brand Reputation: scenari avanzati di Analisi e Intervento
 
المحاضرة الخامسة علم نفس النمو
المحاضرة الخامسة علم نفس النموالمحاضرة الخامسة علم نفس النمو
المحاضرة الخامسة علم نفس النمو
 
ITFM Business Brief
ITFM Business BriefITFM Business Brief
ITFM Business Brief
 
Giovani, lavoro e Web
Giovani, lavoro e WebGiovani, lavoro e Web
Giovani, lavoro e Web
 
Modularization, testing and technical debt (in a large agile project)
Modularization, testing and technical debt (in a large agile project)Modularization, testing and technical debt (in a large agile project)
Modularization, testing and technical debt (in a large agile project)
 

Similar a NGFW. Una Aproximación Histórica

Portafolio de servicios Gerencia Tecnológica.pptx
Portafolio de servicios Gerencia Tecnológica.pptxPortafolio de servicios Gerencia Tecnológica.pptx
Portafolio de servicios Gerencia Tecnológica.pptxGrupoInnsumoda
 
I. fores optimización de la seguridad y la productividad de la red corporativ...
I. fores optimización de la seguridad y la productividad de la red corporativ...I. fores optimización de la seguridad y la productividad de la red corporativ...
I. fores optimización de la seguridad y la productividad de la red corporativ...COIICV
 
Portafolio de Infraestructura de Almacenamiento y Sistema de Seguridad Electr...
Portafolio de Infraestructura de Almacenamiento y Sistema de Seguridad Electr...Portafolio de Infraestructura de Almacenamiento y Sistema de Seguridad Electr...
Portafolio de Infraestructura de Almacenamiento y Sistema de Seguridad Electr...nSoluciones, SAS
 
Datapower: Aceleración y Seguridad XML
Datapower: Aceleración y Seguridad XML Datapower: Aceleración y Seguridad XML
Datapower: Aceleración y Seguridad XML Sura Gonzalez
 
Introducción a Firepower
Introducción a FirepowerIntroducción a Firepower
Introducción a FirepowerEducática
 
Virtualizacion, seguridad (utm) y alta disponibilidad kamal majaiti
Virtualizacion, seguridad (utm) y alta disponibilidad kamal majaitiVirtualizacion, seguridad (utm) y alta disponibilidad kamal majaiti
Virtualizacion, seguridad (utm) y alta disponibilidad kamal majaitiKamal Majaiti
 
Las Ventajas y Valor Agregado de QNAP
Las Ventajas y Valor Agregado de QNAP Las Ventajas y Valor Agregado de QNAP
Las Ventajas y Valor Agregado de QNAPHernan Lopez
 
Qnap lo nuevo 2015
Qnap lo nuevo 2015Qnap lo nuevo 2015
Qnap lo nuevo 2015David Lira
 
Qnap nas training latam 2016 0810
Qnap nas training latam 2016 0810Qnap nas training latam 2016 0810
Qnap nas training latam 2016 0810QNAP Systems, Inc.
 
ISA Server 2006
ISA Server 2006ISA Server 2006
ISA Server 2006k4n71na
 
Qnap Estación Vistualización
Qnap Estación VistualizaciónQnap Estación Vistualización
Qnap Estación VistualizaciónDavid Lira
 
Presentación administracion de la red
Presentación administracion de la redPresentación administracion de la red
Presentación administracion de la redSantiago Bernal
 

Similar a NGFW. Una Aproximación Histórica (20)

Portafolio de servicios Gerencia Tecnológica.pptx
Portafolio de servicios Gerencia Tecnológica.pptxPortafolio de servicios Gerencia Tecnológica.pptx
Portafolio de servicios Gerencia Tecnológica.pptx
 
Qnap LA 2020
Qnap LA 2020Qnap LA 2020
Qnap LA 2020
 
I. fores optimización de la seguridad y la productividad de la red corporativ...
I. fores optimización de la seguridad y la productividad de la red corporativ...I. fores optimización de la seguridad y la productividad de la red corporativ...
I. fores optimización de la seguridad y la productividad de la red corporativ...
 
Portafolio de Infraestructura de Almacenamiento y Sistema de Seguridad Electr...
Portafolio de Infraestructura de Almacenamiento y Sistema de Seguridad Electr...Portafolio de Infraestructura de Almacenamiento y Sistema de Seguridad Electr...
Portafolio de Infraestructura de Almacenamiento y Sistema de Seguridad Electr...
 
Datapower: Aceleración y Seguridad XML
Datapower: Aceleración y Seguridad XML Datapower: Aceleración y Seguridad XML
Datapower: Aceleración y Seguridad XML
 
Introducción a Firepower
Introducción a FirepowerIntroducción a Firepower
Introducción a Firepower
 
Ipco ppre
Ipco ppreIpco ppre
Ipco ppre
 
Virtualizacion, seguridad (utm) y alta disponibilidad kamal majaiti
Virtualizacion, seguridad (utm) y alta disponibilidad kamal majaitiVirtualizacion, seguridad (utm) y alta disponibilidad kamal majaiti
Virtualizacion, seguridad (utm) y alta disponibilidad kamal majaiti
 
Audema
AudemaAudema
Audema
 
Audema
AudemaAudema
Audema
 
Las Ventajas y Valor Agregado de QNAP
Las Ventajas y Valor Agregado de QNAP Las Ventajas y Valor Agregado de QNAP
Las Ventajas y Valor Agregado de QNAP
 
Qnap lo nuevo 2015
Qnap lo nuevo 2015Qnap lo nuevo 2015
Qnap lo nuevo 2015
 
Qnap nas training latam 2016 0810
Qnap nas training latam 2016 0810Qnap nas training latam 2016 0810
Qnap nas training latam 2016 0810
 
Training LATAM
Training LATAMTraining LATAM
Training LATAM
 
Qnap lo nuevo 2015 spanish_sp
Qnap lo nuevo 2015 spanish_spQnap lo nuevo 2015 spanish_sp
Qnap lo nuevo 2015 spanish_sp
 
ISA Server 2006
ISA Server 2006ISA Server 2006
ISA Server 2006
 
Originstack esp v2.5
Originstack esp v2.5Originstack esp v2.5
Originstack esp v2.5
 
Qnap Estación Vistualización
Qnap Estación VistualizaciónQnap Estación Vistualización
Qnap Estación Vistualización
 
QNAP Presentación 2016
QNAP Presentación 2016QNAP Presentación 2016
QNAP Presentación 2016
 
Presentación administracion de la red
Presentación administracion de la redPresentación administracion de la red
Presentación administracion de la red
 

NGFW. Una Aproximación Histórica

  • 1. Next Generation Firewalls Historia, Aproximaciones, Visión Luis Lopez <lulops@gmail.com> 13 de Agosto 2012 CONFIDENCIAL
  • 2. NGFW. Una Aproximación Histórica Embrion 1st Gen 2nd Gen 3rd Gen Next Gen Check Point < 1993 1993 1994 1995 1998 1999 2000 2002 2003 2004 2005 2006 2008 Network Translation (Cisco)Stateless FW Cisco ACL Ipfilter *BSD TIS First app proxies Cisco PIX 1995 Stateful Inspection 1998 Netscreen FW and IPS integration OneSecure Acq. 2002 2003 Netscreen w/ basic ips Juniper IDP 2004 1999 Tippingpoint 2000 Intruvert 2003 McAfee 3com 2005 (HP 2010) 2005 Cisco ASA 2000 Fortinet UTM concept 2005 Palo Alto Networks (PA-4000 PANOS 2.0 en 2008) Check Point on Nokia 1998 Check Point 2006 Acq. NFR Security 2008 Palo Alto Networks NGFW 1999 Check Point on Xbeam Specific Hardware (FW ASIC-based) NGFW CONFIDENCIAL
  • 3. Definiciones • UTM – “Es una plataforma convergente de varios productos de seguridad, particularmente orientada a pequeña y mediana empresa (SMBs). Conjunto de funcionalidades típicas formadas por tres subconjuntos, dentro del UTM: firewall/intrusion prevention system (IPS)/virtual private network, secure Web gateway security (URL filtering, Web antivirus [AV]) y messaging security (anti-spam, mail AV).” • NGFW – Los Next-generation firewalls (NGFWs) que están surgiendo pueden detectar ataques específicos de aplicación y forzar a la aplicación a cumplir una política de seguridad granular específica, tanto de salida como de entrada. Los NGFWs serán más efectivos cuando trabajan en conjunción con otras capas de controles de seguridad. Source: Gartner CONFIDENCIAL
  • 4. Gartner MQ FW 2011 • Magic Cuadrant for Enterprise Network Firewall leader CONFIDENCIAL
  • 5. ¿Como funciona un UTM o FW tradicional? • Flujo de un paquete en un FW 2nd Gen Services Baseboard Physical Interface to the Switch Backplane IBM NP3 IBM NP1 IBM NP2 PC Complex Control Processor L7 Inspection G M A C G M A C Source: Cisco Systems CONFIDENCIAL
  • 6. ¿Como funciona un UTM o FW tradicional? • Flujo de un paquete en un sistema UTM Source: Palo Alto Networks CONFIDENCIAL
  • 7. ¿Como funciona un UTM o FW tradicional? Source: Cisco Systems CONFIDENCIAL
  • 8. ¿Cómo funciona Palo Alto? • 80 Gbps switch fabric interconnect • 20 Gbps QoS engine Signature Match HW Engine • Stream-based uniform sig. match • Vulnerability exploits (IPS), virus, spyware, CC#, SSN, and more Security Processors • High density parallel processing for flexible security functionality • Hardware-acceleration for standardized complex functions (SSL, IPSec, decompression) 20Gbps Network Processor • 20 Gbps front-end network processing • Hardware accelerated per- packet route lookup, MAC lookup and NAT 10Gbps Data PlaneSwitch Fabric 10Gbps ... ...... QoS Flow control Route, ARP, MAC lookup NAT Switch Fabric Signature Match Signature Match SSL IPSec De- Compress. SSL IPSec De- Compress. SSL IPSec De- Compress. CPU 12 CPU 1 CPU 2 CPU 12 CPU 1 CPU 2 CPU 12 CPU 1 CPU 2 RAM RAM RAM RAM RAM RAM RAM RAM RAM RAM RAM RAM RAM RAM • Quad-core mgmt • High speed logging and route update • Dual hard drives Control Plane Core 1 RAM RAM SSD SSD Core 2 Core 3 Core 4 Source: Palo Alto Networks CONFIDENCIAL
  • 9. ¿Cómo funciona Palo Alto? Flow control Route, ARP, MAC lookup NAT Signature Match RAM RAM RAM RAM ... SSL IPSec De- Compress. CPU 12 CPU 1 CPU 2 RAM RAM Signature Match RAM RAM RAM RAM ... SSL IPSec De- Compress. CPU 12 CPU 1 CPU 2 RAM RAM ... SSL IPSec De- Compress. CPU 12 CPU 1 CPU 2 RAM RAM Switch Fabric QoS RJ45 x 12 SFP x 4 SFP+ x 4 FPGA Fast Path Switch Fabric DP0 DP1 DP2 Signature Match HW Engines PA-5060 Only Source: Palo Alto Networks CONFIDENCIAL
  • 10. Arquitectura Single-Pass Parallel Processing (SP3) Single Pass Procesamiento una vez por paquete - App-ID - User/group mapping - Content scanning – threats, URLs, información confidencial Parallel Processing Motores hardware dedicados para cada función Data/Control planes separados Hasta 20Gbps, Baja Latencia Source: Palo Alto Networks CONFIDENCIAL
  • 11. Ventajas de Palo Alto • Principal ventaja de PA, Estrategia: Vision + Diseño • La integración del motor de reconocimiento de aplicaciones con el core de FW. • Esto NO ES PROPIO DE LOS SISTEMAS FW. Es propio de otros sistemas tipo IPS o DPI shapers. • Pocos tuvieron esta visión [OneSecure, Intruvert] y solo Palo Alto fue capaz de dotarlo de firmas de aplicaciones “positivas” creando un producto totalmente revolucionario. • SP3 CONFIDENCIAL
  • 12. Ventajas de Palo Alto App-ID Identificar la aplicación User-ID Identificar el usuario Content-ID Analizar el contenido Source: Palo Alto Networks CONFIDENCIAL
  • 13. ¿Cómo ha reaccionado la competencia? • El año que viene tendremos uno… • Adecuación de sus IPS para Apps • R&D (Cisco CX) • Añadiendo CPU baratas e “integrando” adquisiciones. Ejemplo Check Point. No tiene integración real: Chassis ATCA, CPU de propósito General en integración en “blades” de sus adquiciones IPS (NFR, Liquid). Permanece como líder por su Base instalada. • No funciona… CONFIDENCIAL
  • 14. ¿Cuál es la realidad? • Números maquillados: El performance anunciado de FW stateful, no incluye motores de reconocimiento de apps • No activado por defecto • No se re-diseñan las plataformas, se adaptan IPS con firmas “blancas” • SOLUCIÓN REAL: Rediseño completo del FW hacia sistemas más cercanos a DPI en su ADN • GRAN PROBLEMA: Ruptura con herencia (problemas de continuidad) e inversiones en R&D CONFIDENCIAL
  • 15. El reto no es llegar, es Mantenerse • Palo Alto y sus NGFWs se enfrentan a toda la industria de seguridad: – Sistemas DPI (Packet Shapers) (content vía ICAP) – IPS evolucionados – Fabricantes de firewalls que van a NG – Evolución de sistemas de ADC – Proxies App tradicionales con URL filtering (content vía ICAP) • Ataques de todos ellos: Síndrome del advenedizo • Adquisiciones por “dinosaurios” CONFIDENCIAL
  • 16. Futuro a tres años • 2011, gran año PAN • Quedan al menos dos años para que la competencia consiga algo parecido • Caso iPhone 2009 2010 2011 2012 CONFIDENCIAL
  • 17. Futuro a tres años • En torno a 2013/2014 podrían aparecer nuevas máquinas con ratios de performance y eficacia “NG” • Para entonces PA tendrá su posicionamiento asegurado y habrá evolucionado tras el conocimiento pionero de la plataforma NG …. …como el iPhone ;-) CONFIDENCIAL
  • 18. Coge la línea directa NGFW!!! Check Point Network Translation (Cisco) Cisco PIX Netscreen OneSecure Netscreen w/ ips Juniper IDP Tippingpoint Intruvert McAfee 3com / HP Cisco ASA Fortinet Palo Alto Networks Check Point On Nokia Check Point On Crossbeam Check Point - NFR Security NGFW NGFW
  • 20. Muchas Gracias Luis Lopez E: lulops@gmail.com M: +34

Notas del editor

  1. MQ 2011
  2. Estoes el DP, el CP:Significantly more powerful control plane compared to PA-4000 Series systemsQuad core Intel Xeon (2.3Ghz) + 4GB memoryDual, externally removable, 120GB or 240GB SSD storage
  3. ArquitecturaSinglePassParallelProcessingLa arquitectura SP3 representa un concepto revolucionario a la hora de diseñarequipamiento dedicado a realizar tareas de seguridad. Ha sido concebida para cumplirdos funciones clave dentro del firewall de nueva generación de Palo Alto Networks. Enprimer lugar, la arquitectura single pass realiza todas las operaciones una vez porpaquete. Según se procesa un paquete, el routing se realiza una vez, la búsqueda en lapolítica se realiza una vez, la identificación de la aplicación y la decodificación se realizauna vez, y el análisis de las amenazas y los contenidos se realiza una vez. Esto reducesignificativamente la cantidad de sobrecarga de procesamiento necesaria para realizarmúltiples funciones. En segundo lugar, la arquitectura single pass utiliza firmas basadasen patrones uniformes. En lugar de utilizar motores y conjuntos de firmas por separado (lo que requiere múltiples análisis en la exploración) y en lugar de utilizarservidores proxy (lo que requiere la descarga completa de los archivos antes deanalizarlos), la arquitectura single pass escanea el tráfico de todas las firmas una únicavez y en forma de stream, para evitar introducir latencias.
  4. Visibilidad