Sie sind auf Seite 1von 25

q Ciclo de una PoC

q Qu hacer antes, durante y despus de


una demo?
q AVR

Prospecto
Anlisis Demo en lnea
Instalacin equipo Demo
Resultados
Descubrimiento

1ra. Semana

Viabilidad

2da. Semana

App-ID
Iden%ca la aplicacin

Content-ID
Analiza el contenido

User-ID
Iden%ca el usuario

Firewall Tradicional
Regla: ALLOW Port 53

DNS

DNS

Palo Alto Networks con App-ID


Firewall Rule: ALLOW DNS

DNS

Firewall

Firewall
BitTorrent

BitTorrent

Peticin Puerto 53: Allow


Peticin Puerto 53:

DNS

Allow

Visibilidad: Puerto 53 permitido

Bittorrent

DNS = DNS: Allow


BitTorrent DNS: Deny
Visibilidad: BitTorrent detectado y bloqueado

Firewall Tradicional

Palo Alto Networks con App-ID

Regla Firewall: ALLOW Port 53


Regla IPS aplicacin: Block Bittorrent

DNS

Firewall
Bittorrent

DNS

DNS

Firewall Rule: ALLOW DNS

DNS

App IPS

Bittorrent

Peticin Puerto 53: Allow


Bittorrent:
Deny
Visibilidad: BitTorrent detectado y bloqueado

DNS

Firewall
Bittorrent

DNS=DNS:
Bittorrent DNS:

Allow
Deny

Visibilidad: BitTorrent detectado y bloqueado

Firewall Tradicional

Palo Alto Networks con App-ID

Regla Firewall: ALLOW Port 53


Regla IPS aplicacin: Block Bittorrent

Firewall

Firewall

App IPS

DNS

DNS

Bittorrent

Bittorrent

Zero-day
C&C

Firewall Rule: ALLOW DNS

Zero-day
C&C

Packet on Port 53:


C & C Bittorrent:

DNS

DNS

DNS

Bittorrent
Zero-day
C&C

Allow
Allow

Visibilidad: Paquete Puerto 53 allowed

Zero-day
C&C

DNS=DNS:
Command & Control DNS:

Allow
Deny

Visibilidad: Trfico desconocido


detectado y bloqueado

Modo Tap

Visibilidad de la red
ALTAMENTE recomendado
para DEMO

Modo Virtual Wire

Creacin de polticas, no
intrusivo
Es necesario dimensionar
correctamente el equipo

Modo Capa 3

Integracin FULL a la red


NO SE RECOMIENDA para
Demo

Ciclo de una PoC


q Qu hacer antes, durante y despus de
una demo?
q AVR

Qu quiere ver el cliente?


Gestin de enlaces
Control de aplicaciones
Control de amenazas
IPS
Trfico Cifrado
Calidad en el Servicio
Identificacin de archivos Da Cero
Reportes de uso
Desempeo del appliance
Polticas por usuario
Networking

Contra qu estamos compitiendo?


vs. UTM

vs. NGFW

vs. Filtrado Web/IPS

vs. PRECIO

Preparativos
Licencias

Actualizaciones

Configuracin Bsica

Requerimientos
- Fsicos

Espacio en rack
Cable y fuente de alimentacin
Cables de red

- Topologa de Red
Diagrama de red actual
Identificacin de conexin PA
Port Mirror

- Administracin
Direccionamiento IP
Creacin de cuentas de administracin

No obviar nada
Recuerda llevar la versin de sistema operativo
No olvides las bases de datos de firmas

Plan de contingencia
Es importante tener un diseo alterno
Recuerda medir el desempeo del equipo

El que no ensea NO vende


Dedcale media hora a mostrar la consola y las
primeras evidencias

Y al da siguiente:
Es muy importante llamar y/o hacer una sesin
remota para revisar hallazgos o dudas
Recuerda revisar los primeros reportes

Antes de retirar el equipo


Obtn la informacin para el AVR
Obtn algn reporte final
De ser necesario, borra la informacin

Ciclo de una PoC


Qu hacer antes, durante y despus de
una demo?
q AVR

Ya tienes acceso?

https://avr.paloaltonetworks.com
Solicita tu registro

IMPORTANTE:
NO ENVIES EL REPORTE AVR POR
CORREO, SOLICITA UNA CITA PARA
REVISARLO CON LAS REAS
INVOLUCRADAS

No lo olvides, entrega un reporte tpico de


Wildfire
https://wildfire.paloaltonetworks.com