10

cosas que su prximo firewall debe hacer

Palo Alto Networks | 10 cosas que su prximo firewall debe hacer

Introduccin
Sin lugar a dudas, las redes son ahora ms complejas que nunca. Sus empleados tienen acceso a todas las
aplicaciones que deseen, utilizando dispositivos tanto para el trabajo como para uso personal. Muchas veces
estas aplicaciones se usan tanto para asuntos personales como en relacin con el trabajo, pero con frecuencia
los riesgos para el negocio y para la seguridad no son tenidos en cuenta. Los nuevos empleados potenciales
preguntan acerca de las polticas de uso de aplicaciones antes de aceptar sus nuevos trabajos. La incorporacin
de una nueva capa de complejidad es la preocupacin subyacente sobre la eficacia de su postura acerca de la
ciberseguridad. Est amenazado su negocio? Es una cuestin de cundo, en lugar de y si...? Y se encuentra
usted lo suficientemente preparado? La complejidad de su red y su infraestructura de seguridad puede limitar
o reducir su capacidad para responder a estos y a otros problemas de ciberseguridad.
Al aumentar los lmites de complejidad o retardar el proceso de toma de decisiones, casi siempre es til centrarse
en lo fundamental como medio de hacer frente a la situacin actual de una manera ms eficaz. Con esta forma de
ver las cosas nos recordamos a nosotros mismos las tres funciones fundamentales para las que se dise su firewall:
1) Operar como el ncleo de la infraestructura de seguridad de la red.
2) Actuar como punto de control de acceso para todo el trfico, permitiendo o denegando el trfico en la red
en funcin de polticas.
3) Eliminar el riesgo de lo desconocido usando un modelo de control positivo que se limita a establecer
una estrategia del tipo permitir lo que desea y denegar implcitamente todo lo dems.
Con el tiempo, las funciones fundamentales que ejecutaba su firewall han sido anuladas por el propio trfico
que tenan que controlar. Las aplicaciones han evolucionado hasta un punto donde el firewall, la base de su
infraestructura de seguridad, tiene problemas para ejecutar los niveles de control que necesita para proteger
sus activos digitales.
Las tcticas de evasin basadas en el salto de puerto, el uso de puertos no estndar y el uso del cifrado son algunas
de las formas mediante las cuales las aplicaciones se han vuelto ms accesibles. Estas mismas tcnicas tambin
las usan los atacantes cibernticos tanto directamente, en las ciberamenazas que crean, como indirectamente,
ocultando las amenazas dentro del trfico de las aplicaciones. Para complicar an ms los retos que suponen
estas aplicaciones modernas, sus empleados probablemente estn usando dichas aplicaciones para poder
realizar su trabajo. Veamos algunos ejemplos de las aplicaciones y amenazas encontradas en su red.
Aplicaciones comunes de usuario final: son aplicaciones de redes sociales, comparticin de archivos,
vdeos, mensajera instantnea y correo electrnico. En conjunto representan aproximadamente el 25% de
las aplicaciones de su red y el 20% del ancho de banda. Los empleados pueden usar algunas de ellas con
fines laborales; en otros casos ser para uso estrictamente personal. Estas aplicaciones suelen tener una

Pgina 2

Palo Alto Networks | 10 cosas que su prximo firewall debe hacer

gran capacidad de extensin y con frecuencia incluyen funciones que pueden introducir riesgos injustificados.
Estas aplicaciones representan tanto riesgos empresariales como de seguridad y su desafo ser cmo
lograr el equilibrio bloqueando algunas y habilitando otras de forma segura.
Aplicaciones empresariales esenciales: se trata de las aplicaciones que permiten que su empresa funcione
y albergan sus activos ms preciados (bases de datos, servicios de archivos e impresin y directorios). Este
grupo de aplicaciones suelen ser blanco de los atacantes cibernticos que usan ataques polifacticos y su
reto ser encontrar la mejor manera de aislarlas y protegerlas de ataques furtivos que burlan fcilmente
su firewall y su IPS mediante tcnicas de evasin comunes.
Aplicaciones personalizadas y de infraestructura: este grupo de aplicaciones representa aplicaciones de
infraestructura centrales, como SSL, SSH y DNS, as como aplicaciones desarrolladas internamente,
personalizadas o desconocidas. Estas aplicaciones se usan a menudo para enmascarar trfico de mando
y control generado por bots y otros tipos de malware. Curiosamente, muchas de estas aplicaciones usan
una amplia variedad de puertos no estndar. 85 de las 356 aplicaciones que usan SSL nunca usan el puerto
443 ni puertos definidos para SSL (37 saltan de puerto, 28 usan tcp/80, 20 usan puertos que no son tcp/443).
Para tratar de responder a estos desafos ha habido un incremento en el foco de qu es lo fundamental del firewall y
todos los proveedores de firewalls de red han rediseado su forma de identificar y controlar el trfico basndose en
la propia aplicacin en lugar de hacerlo solo en el puerto y el protocolo. En conjunto, los firewalls que son capaces de
ejercer un control basado en aplicaciones se conocen como de nueva generacin y todos los proveedores de firewalls admiten que el control de aplicaciones es un aspecto cada vez ms importante en la seguridad de redes.
Hay dos razones obvias para este nuevo inters en lo fundamental. En primer lugar, las aplicaciones y las
amenazas asociadas pueden eludir fcilmente los firewalls basados en puertos y elementos de prevencin de
amenazas aadidos. En segundo lugar, el firewall es el nico lugar que ve fluir todo el trfico de su red y sigue
siendo la ubicacin ms lgica para implantar polticas de control de acceso. El valor de este enfoque renovado
es evidente: debe mejorar su enfoque de seguridad a la vez que debe reducirse o, como mnimo mantenerse
constante, el esfuerzo administrativo asociado a la gestin del firewall y la respuesta ante incidencias.

Definicin de los firewalls de nueva generacin

Gartner define los firewalls de nueva generacin como algo nuevo y orientado a la empresa, que incorpora
inspeccin en toda la pila para la prevencin de intrusiones, inspeccin a nivel de aplicacin y polticas de control granular. La mayora de proveedores de seguridad de red ofrecen ya visibilidad y control de aplicaciones
aadiendo firmas de aplicaciones a su motor IPS u ofreciendo una licencia complementaria para un mdulo de
control de aplicaciones. En cualquier caso, estas opciones se aaden a un firewall basado en puertos y no le
ayudan mucho a centrarse en las tareas fundamentales que su firewall tiene que llevar a cabo.

Pgina 3

Palo Alto Networks | 10 cosas que su prximo firewall debe hacer

Firewalls de nueva generacin

1. Identifican las aplicaciones independientemente del
puerto, el protocolo, la tctica evasiva o el cifrado.
2. Identifican los usuarios independientemente del
dispositivo o de la direccin IP.
3. Protegen en tiempo real frente a las amenazas conocidas
y desconocidas incluidas en las aplicaciones.
4. Proporcionan visibilidad y polticas de control sin fisuras
sobre las aplicaciones, los usuarios y el contenido.
5. Proporcionan una implementacin en lnea multigigabit fiable.

La eficacia con la que funcione su empresa

depender en gran medida de las aplicaciones
que usen sus empleados y el contenido que
lleven las propias aplicaciones. El mero
hecho de permitir algunas y bloquear otras
puede afectar a su negocio. Si su equipo de
seguridad est buscando funciones y capacidades de firewalls de nueva generacin,
lo ms importante a tener en cuenta es si el
firewall de nueva generacin les ayudar a
habilitar de forma segura las aplicaciones en
beneficio de la empresa. Tenga en cuenta lo
siguiente:

El firewall de nueva generacin aumentar la visibilidad y la comprensin del trfico de las aplicaciones
en su red?
Las opciones de respuesta de la poltica de control del trfico permitirn hacer ms cosas que simplemente
permitir o denegar?
Su red estar protegida de amenazas y ataques cibernticos, tanto conocidos como desconocidos?
Puede identificar y gestionar sistemticamente el trfico desconocido?
Puede implementar las polticas de seguridad que desea sin poner en peligro el rendimiento?
Se reducirn los esfuerzos administrativos que dedica su equipo a la gestin del firewall?
Su trabajo de gestin de riesgos ser ms fcil y eficaz?
Las polticas que habilite podrn contribuir al fondo del negocio?
Si la respuesta a las preguntas anteriores es s, entonces su decisin de realizar la transicin de firewalls
antiguos a firewalls de nueva generacin es fcil de justificar. El siguiente paso es tener en cuenta las
soluciones alternativas que ofrecen los proveedores de firewalls. A la hora de evaluar las alternativas
disponibles, es importante tener en cuenta las diferencias arquitectnicas entre las ofertas de firewalls
de nueva generacin y las consecuencias asociadas en cuanto a funciones y caractersticas, operaciones
y rendimientos reales.

Pgina 4

Palo Alto Networks | 10 cosas que su prximo firewall debe hacer

Consideraciones arquitectnicas para la clasificacin del trfico del firewall

A la hora de crear firewalls de nueva generacin, los proveedores de seguridad han seguido uno de estos dos
enfoques arquitectnicos:
1. Incluir la identificacin de aplicaciones dentro del firewall como motor de clasificacin primario.
2. Aadir un motor de reconocimiento de patrones con firma de aplicaciones a un firewall basado en puertos.
Ambos enfoques pueden reconocer aplicaciones, pero con diferentes grados de xito, usabilidad y relevancia.
Lo ms importante es que estos enfoques arquitectnicos dictan un modelo de seguridad especfico para polticas
de aplicaciones que pueden ser positivas (definen lo que se permite y deniegan todo lo dems) o negativas
(definen lo que se bloquea y permiten todo lo dems).
Un modelo de seguridad positivo (firewall u otro) le permite escribir polticas que permitan aplicaciones
o funciones concretas (por ejemplo, WebEx, SharePoint, Gmail) y as todo lo dems se deniega de forma
implcita. Para alcanzar este nivel de control, todo el trfico tiene que ser clasificado proactivamente en
el firewall (no despus) para asegurarse de que se permite el trfico deseado y se deniega el resto. Al
establecer visibilidad completa en todo el trfico, las empresas pueden reducir el esfuerzo administrativo
asociado a la obtencin de visibilidad en la actividad de red, la gestin de polticas y la investigacin de
incidentes. Las implicaciones de seguridad pueden incluir una mejor proteccin ante ataques cibernticos
conocidos y desconocidos, incluso aunque pueda estar permitiendo una gama ms amplia de aplicaciones
en la red, adems de un mayor control frente a las aplicaciones desconocidas mediante la premisa denegar todo lo dems que proporciona un firewall.
Un modelo de seguridad negativo (IPS, AV, etc.) le permite buscar y bloquear amenazas o aplicaciones
no deseadas especficamente y permitir todo lo dems. Esto significa que no necesariamente se clasifica
todo el trfico, sino solo el suficiente para completar la lista de bloqueos deseada. Esta tcnica puede ser
suficiente para encontrar y bloquear amenazas o aplicaciones no deseadas de forma selectiva, pero un
modelo de seguridad negativo no es una buena opcin para convertirse en el medio principal de control de
todo el trfico de su red; por lo tanto, este enfoque queda relegado como un mero ayudante de un firewall
basado en puertos. El impacto empresarial de un modelo de seguridad negativo incluye el incremento en
el esfuerzo administrativo asociado a la gestin de mltiples polticas y bases de datos de logs duplicadas.
El resto de esta Gua del Comprador se divide en tres secciones distintas. La primera seccin presenta las 10
cosas que su prximo firewall debe hacer; estas ideas deben utilizarse como pruebas de que la arquitectura y
el modelo de control descritos anteriormente son crticos para cumplir la promesa de identificar y permitir de
forma segura las aplicaciones en el firewall. Las secciones que quedan profundizan en la manera en que se
deben usar estas 10 cosas para seleccionar un proveedor mediante el proceso Solicitud de Propuesta (RFP) y la
manera en que se debe evaluar fsicamente la solucin del firewall.

Pgina 5

Palo Alto Networks | 10 cosas que su prximo firewall debe hacer

Las 10 cosas que su prximo firewall debe hacer

Los criterios de seleccin del firewall normalmente se centran en tres reas: funciones de seguridad, operaciones
y rendimiento. Los elementos funcionales de seguridad se corresponden con la eficacia de los controles de
seguridad y la capacidad de su equipo para gestionar los riesgos asociados a las aplicaciones que pasan por su
red. Desde una perspectiva de operaciones, la gran pregunta es: dnde reside la poltica de aplicacin y cul
es la complejidad de gestin para su equipo? La diferencia de rendimiento es sencilla: el firewall puede hacer
lo que se supone que tiene que hacer con la capacidad que necesita su negocio? Aunque cada empresa tiene
sus propios requisitos y prioridades dentro de los tres criterios de seleccin, las 10 cosas que su prximo firewall
debe hacer son:

1. Identificar y controlar las aplicaciones en cualquier puerto

2. Identificar y controlar la evasion
3. Descifrar el trfico SSL saliente y controlar el SSH
4. Proporcionar control funcional de las aplicaciones
5. Administrar sistemticamente el trfico desconocido
6. Explorar en busca de virus y malware todas las aplicaciones y todos los puertos
7. Permitir la misma visibilidad de aplicaciones y el mismo control para todos
los usuarios y dispositivos
8. Simplificar la seguridad de redes en lugar de hacerla ms compleja, aadiendo
el control de aplicaciones
9. Ofrecer la misma capacidad y rendimiento con un control total de aplicaciones
10. Soportar las mismas funciones de firewall, tanto en formato hardware
como virtual

Pgina 6

Palo Alto Networks | 10 cosas que su prximo firewall debe hacer

Su prximo firewall tiene que identificar y controlar aplicaciones en todos los puertos,
en todo momento.
Modelo de negocio: Los desarrolladores de aplicaciones ya no adoptan el estndar de mapeo puerto/protocol/
aplicacin.. Cada vez ms aplicaciones en su red son capaces de funcionar en puertos no estndar o pueden
saltar de puerto (por ejemplo, las aplicaciones de mensajera instantnea, de intercambio de archivos P2P o de
VoIP). Adems, los usuarios ya tienen los conocimientos suficientes como para forzar que las aplicaciones se
ejecuten a travs de puertos no estndar (por ejemplo, RDP o SSH). Con el fin de hacer cumplir las polticas
especficas de la aplicacin donde los puertos son cada vez ms irrelevantes, su prximo firewall debe asumir
que cualquier aplicacin puede ejecutarse en cualquier puerto. El concepto de cualquier aplicacin en cualquier
puerto es uno de los cambios fundamentales en el panorama de aplicaciones que est impulsando la migracin
de firewalls basados en puertos a firewalls de nueva generacin. La estrategia cualquier aplicacin en cualquier
puerto tambin pone de manifiesto por qu un modelo de control negativo no puede solucionar el problema.
Si una aplicacin puede trasladarse a cualquier puerto, un producto basado en control negativo necesitara
contar con conocimientos previos o ejecutar todas las firmas en todos los puertos constantemente.
Requisitos: este es sencillo. Tiene que asumir que cualquier aplicacin se puede ejecutar en cualquier puerto
y que su prximo firewall debe clasificar el trfico por aplicacin en todos los puertos en todo momento, de
manera predeterminada. La clasificacin del trfico en todos los puertos ser un tema recurrente en todos los
puntos que quedan; de lo contrario, los controles basados en puertos seguirn siendo burlados por las mismas
tcnicas que los han atormentado durante aos.

Su prximo firewall tiene que identificar y controlar las herramientas de evasin de la

seguridad.
Modelo de negocio: un nmero reducido de las aplicaciones de su red puede utilizarse para evadir intencionadamente
las propias polticas de seguridad que usted tenga implantadas para proteger los activos digitales de su empresa.
Hay dos clases de aplicaciones que son herramientas de evasin de la seguridad: aquellas diseadas expresamente
para evadir la seguridad (proxies externos, tneles cifrados no relacionados con VPN) y aquellas que se pueden
adaptar para lograr fcilmente el mismo objetivo (herramientas de administracin de servidor/escritorio remoto).

Pgina 7

Palo Alto Networks | 10 cosas que su prximo firewall debe hacer

Los proxies externos y las aplicaciones de tneles cifrados no relacionados con VPN se usan especficamente
para eludir los controles de seguridad existentes mediante varias tcnicas de evasin. Estas aplicaciones
no tienen valor comercial para su red, ya que estn diseadas para eludir la seguridad, introduciendo
riesgos para el negocio sin precedentes.
Las herramientas de administracin de servidor/escritorio remoto, como RDP y Teamviewer, normalmente
las usan los profesionales de soporte y TI para trabajar de manera ms eficaz. Tambin las usan con
frecuencia empleados para eludir el firewall y establecer conexiones con su ordenador personal u otro ordenador
situado fuera de la red. Los atacantes cibernticos saben que estas aplicaciones se usan con frecuencia y hay
casos documentados pblicamente en el Verizon Data Breach Report (DBIR) y el informe Mandiant en los
que estas herramientas de acceso remoto han sido ejecutadas en una o ms de las fases del ataque.
Para ser claros, no todas estas aplicaciones conllevan los mismos riesgos: las aplicaciones de acceso remoto
tienen usos legtimos, igual que muchas aplicaciones de tnel cifrado. Sin embargo, estas mismas herramientas
son utilizadas cada vez con ms frecuencia por los atacantes como parte de ataques persistentes continuados. Sin la
capacidad de controlar estas herramientas de evasin de la seguridad, las empresas no pueden aplicar sus polticas
de seguridad y por tanto se exponen a los mismos riesgos que pensaban que sus controles estaban deteniendo.
Requisitos: hay diferentes tipos de aplicaciones de evasin y cada una usa tcnicas ligeramente diferentes.
Existen proxies externos tanto pblicos como privados (consulte proxy.org para ver una extensa base de datos
de proxies pblicos) que pueden usar tanto HTTP como HTTPS. Los proxies privados a menudo se configuran
en direcciones IP no clasificadas (como ordenadores personales) con aplicaciones como PHProxy o CGIProxy.
Las aplicaciones de acceso remoto como RDP, Teamviewer o GoToMyPC tienen usos legtimos, pero debido al
riesgo asociado deben ser administradas con mayor vigilancia. La mayor parte del resto de evasores (Ultrasurf,
Tor, Hamachi), no tienen ninguna utilidad comercial en su red. Sea cual sea su poltica de seguridad, su prximo
firewall debe incluir tcnicas especficas para identificar y controlar todas estas aplicaciones, independientemente
del puerto, el protocolo, el cifrado u otras tcticas evasivas. Una consideracin ms: las aplicaciones que habilitan
la evasin se actualizan peridicamente para que sean ms difciles de detectar y controlar. Por lo tanto, es importante
no solo entender que su prximo firewall pueda identificar estas aplicaciones de elusin, sino tambin saber
con qu frecuencia se actualiza y mantiene la inteligencia de las aplicaciones del firewall.

Pgina 8

Palo Alto Networks | 10 cosas que su prximo firewall debe hacer

Su prximo firewall tiene que descifrar e inspeccionar SSL y controlar SSH.

Modelo de negocio: actualmente el 26% de las aplicaciones utilizan SSL de una manera u otra en las redes
corporativas de hoy da . Dada la adopcin cada vez ms frecuente de HTTPS para muchas aplicaciones de
usuario final de alto riesgo y alta recompensa (Gmail, Facebook, etc.) y la capacidad de los usuarios para habilitar manualmente SSL en muchos sitios web, su equipo de seguridad se encuentra con un extenso y creciente
ngulo muerto si no es capaz de descifrar, clasificar, controlar y explorar el trfico cifrado con SSL. Un firewall
de nueva generacin tiene que ser lo suficientemente flexible para que ciertos tipos de trfico cifrado con SSL
puedan ser pasados por alto (por ejemplo, trfico web de empresas de servicios financieros o asistencia sanitaria), mientras que otros tipos (por ejemplo, SSL en puertos no estndar, HTTPS de sitios web no clasificados
en Europa del Este) puedan ser descifrados mediante una poltica. SSH se usa prcticamente en todas partes y
puede ser configurado fcilmente por los usuarios finales con fines no laborales similares a las herramientas
de escritorio remoto. El hecho de que SSH est cifrado lo convierte tambin en una herramienta til para ocultar la actividad no relacionada con el trabajo.
Requisitos: la capacidad de descifrar el trfico SSL es un elemento fundamental, no solo porque es un porcentaje cada vez ms significativo del trfico empresarial, sino tambin porque habilita unas cuantas funciones claves ms que resultaran incompletas o ineficaces sin la capacidad de descifrar SSL. Los elementos
clave necesarios son el reconocimiento y descifrado del SSL en cualquier puerto, tanto de entrada como de
salida; polticas de control sobre el descifrado y los elementos hardware y software necesarios para realizar el
descifrado SSL en decenas de miles de conexiones SSL simultneas con rendimiento predecible. Otro de los
requisitos adicionales que deber tener en cuenta es la capacidad para identificar y controlar el uso de SSH. En
concreto, el control de SSH debe incluir la capacidad de determinar si se est utilizando como un redireccionador de puertos (local, remoto, X11) o para uso nativo (SCP, SFTP y acceso a la shell). Una vez que se conoce
cmo se est utilizando el SSH se pueden crear polticas de seguridad apropiadas.

Su prximo firewall tiene que proporcionar control funcional de aplicaciones.

Modelo de negocio: los desarrolladores de plataformas de aplicaciones tales como Google, Facebook, Salesforce.com o Microsoft ofrecen a los usuarios un amplio conjunto de caractersticas y funciones que ayudan a
asegurar la fidelizacin del usuario, pero que pueden representar perfiles de riesgo muy distintos. Por ejemplo,
permitir Webex es una herramienta valiosa en su empresa, pero utilizar Webex Desktop Sharing para tomar el
control del escritorio de sus empleados desde un origen externo puede ser una infraccin en el cumplimiento

Pgina 9

Palo Alto Networks | 10 cosas que su prximo firewall debe hacer

de normas internas o reglamentarias. Otro ejemplo puede ser el correo de Google (Gmail) y la aplicacin Google Talk
(Gtalk). Una vez que un usuario inicia sesin en Gmail, que puede estar permitido por las polticas, puede cambiar
fcilmente el contexto a Gtalk, que no se puede permitir. Su prximo firewall debe ser capaz de reconocer y gestionar
caractersticas y funciones individuales, de modo que se pueda implementar una poltica apropiada.
Requisitos: su prximo firewall debe clasificar continuamente cada aplicacin y realizar un seguimiento de los
cambios que puedan indicar que se est utilizando una funcin diferente en este momento. El concepto de clasificacin de trfico sobre la premisa crear una regla estricta segn la primera vez no es una opcin, ya que
pasa por alto el hecho de que estas aplicaciones de uso general comparten sesiones y dan soporte a mltiples
funciones. Si se introduce una funcin o caracterstica diferente en la sesin, el firewall debe guardarla dentro de las tablas de estado y realizar una comprobacin de polticas. La supervisin continua del estado para
comprender las diferentes funciones que cada aplicacin puede admitir, y los diferentes riesgos asociados, es
un requisito fundamental que debe cumplir su prximo firewall.

Su prximo firewall tiene que gestionar sistemticamente el trfico desconocido.

Modelo de negocio: existe trfico desconocido en pequeas cantidades en todas las redes; sin embargo, para
usted y para su organizacin, representa riesgos significativos. Hay varios elementos importantes a tener en
cuenta con el trfico desconocido. Si se encuentra clasificado, puede minimizar el trfico desconocido mediante
polticas de control? Puede su firewall clasificar fcilmente las aplicaciones personalizadas para que sean
conocidas dentro de sus polticas de seguridad? Por ltimo: le ayuda su firewall a determinar si el trfico
desconocido es una amenaza?
El trfico desconocido tambin est fuertemente ligado a las amenazas de la red. Los atacantes a menudo se ven
obligados a modificar un protocolo con el fin de explotar una aplicacin de destino. Por ejemplo, para atacar a un
servidor web un atacante puede que tenga que modificar tanto la cabecera HTTP que el trfico resultante ya no se
identifique como trfico web. Dicha anomala puede ser una indicacin temprana de un ataque. Del mismo modo,
el malware suele utilizar protocolos personalizados como parte de su modelo de mando y control, permitiendo a
los equipos de seguridad acabar con cualquier infeccin de malware desconocido.
Requisitos: su prximo firewall debe clasificar de manera predeterminada todo el trfico en todos los puertos.
Esta es un rea donde el debate anterior sobre la arquitectura y el modelo de control de la seguridad juega un papel
muy importante. Los modelos positivos (denegar de forma predeterminada) lo clasifican todo; los modelos negativos
(permitir de forma predeterminada) clasifican solo aquello que se les dice que deben clasificar. Clasificarlo
todo es solo una pequea parte del reto que representa el trfico desconocido. Su prximo firewall debe darle

Pgina 10

Palo Alto Networks | 10 cosas que su prximo firewall debe hacer

la capacidad de ver todo el trfico desconocido, en todos los puertos, en una consola de gestin nica y analizar
rpidamente el trfico para determinar si (1) es una aplicacin interna o personalizada, (2) si es una aplicacin
comercial sin una firma o (3) es una amenaza. Adems, su prximo firewall debe proporcionarle las herramientas
necesarias, no solo para ver el trfico desconocido sino tambin para gestionarlo sistemticamente, controlndolo
mediante polticas, creando firmas personalizadas, enviando un PCAP de las aplicaciones comerciales para su
posterior anlisis o realizando investigaciones forenses para determinar si se trata de una amenaza.

Su prximo firewall debe buscar amenazas en todas las aplicaciones, en todos los puertos.
Modelo de negocio: las empresas adoptan una amplia gama de aplicaciones para el desarrollo del negocio,
bien alojadas internamente o fuera de su ubicacin fsica. Tanto si se trata de servicios alojados de SharePoint,
Box.net, Google Docs, Microsoft Office365, como de una aplicacin de extranet alojada por uno de sus socios,
muchas organizaciones tienen la necesidad de utilizar alguna aplicacin que pueda usar puertos no estndar,
que utilice SSL o que comparta archivos. En otras palabras, estas aplicaciones hacen posible el desarrollo del
negocio, pero tambin pueden actuar como un vector de amenazas cibernticas. Por otra parte, algunas de estas
aplicaciones (por ejemplo, SharePoint) se basan en tecnologas soporte que son objetivos habituales de los
exploits (por ejemplo, IIS, SQL Server). El bloqueo de la aplicacin no es adecuado, pero tampoco lo es permitir
ciegamente aplicaciones que representen riesgos potenciales para el negocio y la seguridad ciberntica.
Esta tendencia a utilizar puertos no estndar se acenta significativamente en el mundo del malware. Dado que
el malware reside en la red y la mayora de las comunicaciones implican un cliente malicioso (el malware) que
se comunica con un servidor malicioso (mando y control), entonces el atacante tiene plena libertad para utilizar
cualquier combinacin de puerto y protocolo que elija. De hecho, en un reciente anlisis de tres meses, el 97%
de todo el malware desconocido liberado a travs de FTP utiliza puertos no estndar.
Requisitos: parte de la habilitacin segura es permitir una aplicacin y rastrearla en busca de amenazas. Estas
aplicaciones pueden comunicarse a travs de una combinacin de protocolos (por ejemplo, SharePoint utiliza CIFS,
HTTP y HTTPS, y requiere de una poltica de firewall ms sofisticada que nicamente la de bloquear la aplicacin).
El primer paso es identificar la aplicacin (independientemente del puerto o el cifrado), determinar las funciones
que quiera permitir o denegar y, a continuacin, analizar los componentes permitidos buscando cualquiera de
las amenazas -exploits, virus/malware o spyware...- o incluso informacin confidencial o sensible.

Pgina 11

Palo Alto Networks | 10 cosas que su prximo firewall debe hacer

Su prximo firewall debe realizar controles constantes de todos los usuarios, independientemente de su ubicacin o tipo de dispositivo.

Modelo de negocio: cada vez ms usuarios se encuentran fuera de las cuatro paredes de la empresa, muchas
veces accediendo a la red corporativa mediante telfonos inteligentes o tabletas. Hoy en da una parte importante
de su fuerza de trabajo externa trabaja de forma remota. Ya sea trabajando desde un cibercaf, desde casa, o
desde las instalaciones del cliente, los usuarios esperan poder conectarse a sus aplicaciones a travs de la WiFi,
la banda ancha inalmbrica o por cualquier medio disponible. Independientemente de dnde se encuentre el
usuario, o incluso de dnde est la aplicacin que estn utilizando, se debe aplicar siempre el mismo nivel de
control por parte del firewall. Si su prximo firewall permite la visibilidad de aplicaciones y el control del trfico
dentro de las cuatro paredes de la empresa pero no en el exterior, dejar de tener control sobre el trfico con
mayor riesgo potencial.
Requisitos: conceptualmente esto es bastante simple: su prximo firewall debe tener visibilidad y control de trfico
constantes, con independencia del lugar donde se encuentre el usuario. Esto no significa que la organizacin tenga
las mismas polticas para ambos; por ejemplo, puede que algunas organizaciones quieran que los empleados utilicen
Skype cuando se encuentren de viaje, pero no dentro de la sede, mientras que otros pueden tener una poltica
para que si se est fuera de la oficina, los usuarios no puedan descargar archivos adjuntos de salesforce.com a
menos que tengan activado el cifrado del disco duro. Su prximo firewall debera poder realizar esto sin ralentizar
significativamente la actividad del usuario final, o suponer una molestia operativa injustificada para el administrador,
o un coste significativo para la organizacin.

Su prximo firewall debe simplificar la seguridad de la red incorporando control de

aplicaciones.
Modelo de negocio: muchas empresas se afanan en incorporar ms canales de informacin, ms polticas y
ms administracin en procesos y en personal de seguridad que ya sufren una sobrecarga. En otras palabras,
si su equipo no puede gestionar lo que ya tiene, el hecho de aadir ms dispositivos, interfaces de gestin,
junto con las polticas y la informacin asociadas, no ayudar a reducir el esfuerzo administrativo de su equipo,
ni reducir el tiempo de respuesta ante incidencias. Cuanto ms distribuidas estn las polticas (por ejemplo,
un firewall que permite el trfico en el puerto 80, un IPS que busca y/o bloquea amenazas y aplicaciones, una
puerta de enlace web segura que aplica filtrado de URL), ms difcil ser administrarlas. Qu poltica utiliza su
equipo de seguridad para habilitar el uso de WebEx? Cmo determinar y resolver los conflictos de polticas en

Pgina 12

Palo Alto Networks | 10 cosas que su prximo firewall debe hacer

los diferentes dispositivos? Las instalaciones tpicas de firewall basadas en puertos tienen polticas con reglas
que incluyen miles de ellas, aadiendo adems miles de firmas de aplicaciones en decenas de miles de puertos,
lo que provoca un considerable aumento de la complejidad.
Requisitos: su negocio se basa en las aplicaciones, los usuarios y el contenido, y su prximo firewall debe permitir
que usted construya polticas que apoyen directamente sus iniciativas empresariales. El uso de un contexto
compartido de aplicacin, usuario y contenido en todos los aspectos (visibilidad, polticas de control, logging y
reporting) le ayudar a simplificar su infraestructura de seguridad de manera significativa. Las polticas de
firewall basadas en direccin IP y puerto, adems de las polticas separadas para el control de aplicaciones,
IPS y antimalware slo complicarn el proceso de gestin de polticas y pueden incluso llegar a obstaculizar la
actividad del negocio.

Su prximo firewall debe ofrecer la misma capacidad y rendimiento con un control total
de aplicaciones.
Modelo de negocio: muchas organizaciones se esfuerzan por hallar un equilibrio entre rendimiento y seguridad.
Con demasiada frecuencia, activar determinadas caractersticas de seguridad en su firewall acarrea aceptar
una disminucin significativa de la capacidad y el rendimiento. Si su firewall de nueva generacin est diseado
correctamente, este compromiso no es necesario.
Requisitos: la importancia de la arquitectura es evidente tambin en este caso, de una manera diferente. Improvisar
un firewall basado en puertos junto con otras funciones de seguridad de diferentes orgenes tecnolgicos, implica
por lo general la existencia de capas de red, motores de anlisis y polticas redundantes, lo que finalmente se
traduce en un rendimiento deficiente. Desde el punto de vista del software, el firewall debe estar diseado para
hacer esto desde el principio. Adems, dada la necesidad de realizar tareas de procesamiento intensivas (como
por ejemplo, identificacin de la aplicacin, prevencin de amenazas en todos los puertos, etc.) ejecutadas
sobre altos volmenes de trfico y con baja tolerancia a la latencia asociada con la infraestructura crtica, su
prximo firewall debe tener tambin un hardware diseado para dichas tareas, es decir, un sistema especfico
dedicado para networking, seguridad y anlisis de contenidos.

Pgina 13

Palo Alto Networks | 10 cosas que su prximo firewall debe hacer

10

Su prximo firewall debe ofrecer las mismas funciones propias de un firewall, tanto en
forma de hardware como virtualizada.
Modelo de negocio: el crecimiento exponencial de la virtualizacin y de la computacin en la nube introduce
nuevos retos de seguridad que son difciles o imposibles de gestionar con eficacia por parte de los firewalls antiguos debido a su funcionalidad inconsistente, a la disparidad en la gestin y a la falta de puntos de integracin
con el entorno de virtualizacin. Con el fin de proteger el trfico que entra y sale del centro de datos, as como
dentro de sus entornos virtualizados, su prximo firewall debe ser compatible con las mismas funcionalidades
tanto en formato hardware como virtual.
Requisitos: la creacin y eliminacin dinmica de aplicaciones dentro de un centro de datos virtualizado agrava
los problemas de identificacin y control de aplicaciones de un enfoque centrado en la direccin IP y el puerto.
Adems de ofrecer las caractersticas ya descritas en las 10 cosas que su prximo firewall debe hacer tanto en
formato hardware como virtual, es imprescindible que su prximo firewall proporcione una integracin profunda con el entorno de virtualizacin para simplificar la creacin de polticas basadas en aplicaciones a medida
que se abren y se cierran nuevas mquinas virtuales y aplicaciones. Esta es la nica manera de asegurarse de
que es capaz de dar soporte a la evolucin de las arquitecturas de centros de datos con flexibilidad operativa
mientras que hace frente a los riesgos y a los requisitos de cumplimiento de normativas.

Los firewalls deben poder habilitar aplicaciones de forma segura para el funcionamiento
del negocio
Sus usuarios continan adoptando nuevas aplicaciones y tecnologas, a menudo para poder desempear su
trabajo, pero sin demasiada consideracin con los posibles riesgos en la seguridad y en su negocio. En algunos
casos, si su equipo de seguridad bloquea estas aplicaciones, se podrn producir problemas para el desarrollo
del negocio.
Las aplicaciones son la forma en la que los empleados realizan su trabajo y mantienen la productividad equilibrando
las distintas prioridades personales y profesionales. Debido a esto, la habilitacin segura de aplicaciones es la
forma de establecer correctamente las polticas. Para habilitar de forma segura aplicaciones y tecnologas en
su red, as como las operaciones empresariales basadas en ellas, los equipos de seguridad de red tienen que
poner en prctica las polticas adecuadas que gobiernan su uso y tambin los controles capaces de aplicarlas.
En las 10 cosas que su prximo firewall debe hacer se describen las capacidades fundamentales que permitirn a
las organizaciones habilitar el uso de aplicaciones de forma segura y, en definitiva, hacer posible el desarrollo
de su negocio. El siguiente paso es traducir esos requisitos en hechos; seleccionar un proveedor a travs de un
proceso de Solicitud de Propuesta (RFP) y evaluar formalmente las ofertas de solucin, lo que deriva en ltima
instancia en la adquisicin e implementacin de un firewall de nueva generacin.

Pgina 14

Palo Alto Networks | 10 cosas que su prximo firewall debe hacer

Acerca de Palo Alto Networks

Palo Alto Networks es la compaa lder de seguridad en red de nueva generacin. Su innovadora plataforma
permite a las empresas, a los proveedores de servicios y a las entidades gubernamentales proteger sus redes
mediante la habilitacin de forma segura de un nmero cada vez mayor y ms complejo de aplicaciones que se
ejecutan en sus redes y ofreciendo prevencin ante amenazas cibernticas. El ncleo de la plataforma de Palo Alto
Networks son sus firewalls de nueva generacin, que ofrecen visibilidad y control de las aplicaciones, los usuarios
y los contenidos de manera integrada en el firewall mediante su arquitectura exclusiva de hardware y software. Los
productos y servicios de Palo Alto Networks pueden abordar una amplia gama de los requisitos de seguridad de
las redes, desde los centros de datos hasta el permetro de la red, as como en empresas distribuidas, incluidas las
oficinas y un creciente nmero de dispositivos mviles. Los productos de Palo Alto Networks son utilizados por ms
de 12.500 clientes en ms 100 pases. Para obtener ms informacin, visite www.paloaltonetworks.com.

4301 Great America Parkway

Santa Clara, CA 95054
Principal: +1.408.753.4000
Venta:
+1.866.320.4788
Apoyar: +1.866.898.9087
www.paloaltonetworks.com

Copyright 2013, Palo Alto Networks, Inc. Todos los derechos reservados. Palo Alto
Networks, el logotipo de Palo Alto Networks, PAN-OS, App-ID y Panorama son marcas
comerciales de Palo Alto Networks, Inc. Todas las especificaciones estn sujetas a
modificaciones sin previo aviso. Palo Alto Networks no asume ninguna responsabilidad
por imprecisiones en este documento ni por la obligacin de actualizar la informacin de
este documento. Palo Alto Networks se reserva el derecho a cambiar, modificar, transferir
o revisar de otro modo esta publicacin sin previo aviso. PAN_WP_10PT_ES_091013