10 funciones útiles que su cortafuegos debería ofrecer

Anuncio
10 funciones útiles que
su cortafuegos debería ofrecer
Un cortafuegos con bloqueo de amenazas no es más que el principio…
PROTECCIÓN AL SERVICIO DE SU NEGOCIO
Tabla de contenido
PROTECCIÓN AL SERVICIO DE SU NEGOCIO
La evolución del cortafuegos
1
Los cortafuegos de aplicación
2
1ª función útil: Gestión de la transmisión de vídeo
3
2ª función útil: Gestión del ancho de banda por grupos 4
3ª función útil: Control del correo webmail saliente
5
4ª función útil: Refuerzo del uso de las aplicaciones
6
5ª función útil: Denegación de cargas FTP
7
6ª función útil: Control de las aplicaciones P2P
8
7ª función útil: Gestión de la transmisión de música
9
8ª función útil: Asignar ancho de banda prioritario
a aplicaciones importantes
10
9ª función útil: Bloqueo de documentos confidenciales 11
10ª función útil: Bloqueo de archivos prohibidos
y envío de notificaciones
12
Si sumamos todas las funciones…
13
La evolución del cortafuegos
Los cortafuegos tradicionales se centran en el bloqueo de amenazas
e intrusiones sencillas.
Los cortafuegos de clase empresarial han añadido servicios UTM
(Gestión unificada de amenazas), como antivirus, anti-spyware, prevención de intrusiones, filtrado de contenido e incluso algunos servicios
antispam para ofrecer una mayor protección contra amenazas.
La mayor parte del tráfico que pasa a
través de un cortafuegos no constituye
una amenaza, sino que se trata de aplicaciones y datos. Por este motivo se creó
Application Firewall (cortafuegos de
aplicación), capaz de gestionar y controlar los datos y las aplicaciones que pasan
a través del cortafuegos.
... pero el bloqueo de amenazas
no es más que el principio
1
El cortafuegos de aplicación
¿Qué es lo que hace?
El cortafuegos de aplicación ofrece gestión y control
del ancho de banda, controles de acceso a nivel de
aplicación, funciones de control de filtración de datos,
restricciones en la transferencia de archivos y
documentos específicos, y mucho más.
Amenazas
■
Tráfico comprometido
¿Cómo funciona?
Tráfico no deseado
El cortafuegos de aplicación permite implementar
controles de acceso personalizados basados en los
usuarios, las aplicaciones, la programación o la subred
IP. Gracias a ello, los administradores pueden crear
políticas dirigidas a toda la variedad de aplicaciones
disponibles, al tiempo que reciben por primera vez la
oportunidad de gestionarlas.
Datos y aplicaciones
Tráfico inofensivo
■
■
■
Tráfico protegido
Tráfico productivo
Le permite clasificar, controlar y gestionar
las aplicaciones y los datos que pasan a través de su cortafuegos.
2
1ª función útil: Gestión de la transmisión de vídeo
Aunque la posibilidad de acceder a sitios de transmisión de vídeo, como p.ej. youtube.com,
en ocasiones puede resultar útil, a menudo se abusa de ello. Bloquear la página podría
resultar eficaz, pero la mejor solución podría ser limitar el ancho de banda disponible
para las páginas de transmisión de vídeo.
Cree una política para limitar la transmisión de vídeo
■ Utilice el motor de inspección profunda de paquetes para buscar Host HTTP =
www.youtube.com en el encabezado HTTP
■ Aplique restricciones de ancho de banda al tráfico que tenga este encabezado
Ancho de banda deseado para la
transmisión de vídeo
Ancho de banda proporcionado para la
transmisión de vídeo
Puede limitar el ancho de banda para las aplicaciones
durante determinadas horas del día, p.ej. desde las 9:00 hasta las 17:00 h.
3
2ª función útil: Gestión del ancho de banda por grupos
La primera función que acabamos de presentar servía para restringir el ancho de banda de
páginas de transmisión de vídeo como youtube.com. Ahora, imagínese que su CEO y su CFO se
quejan de que los "vídeos de noticias económicas" que ven a diario van demasiado lentos. La
solución podría ser reducir las restricciones de ancho de banda para todos los empleados. Sin
embargo, ahora hay una solución mejor: la gestión del ancho de banda por grupos.
Cree una política para no limitar la transmisión de vídeo para los ejecutivos
■ Aplique esta política al grupo "ejecutivos" que puede importar desde su servidor LDAP
■ Utilice el motor de inspección profunda de paquetes para buscar
Host HTTP = www.youtube.com en el encabezado HTTP
■ Aplique la garantía de ancho de banda al tráfico con ese encabezado
Ancho de banda para la transmisión de vídeo
proporcionado a los ejecutivos
Ancho de banda deseado para la
transmisión de vídeo
Ancho de banda para la transmisión de vídeo
proporcionado a los demás empleados
4
3ª función útil: Control del correo webmail saliente
Posiblemente, su sistema de protección antispam actual sea capaz de detectar y bloquear mensajes salientes normales que contengan "información
confidencial de la empresa".
Pero, ¿qué ocurre si un empleado utiliza un servicio de correo Web como
Yahoo® o Gmail® para enviar "información confidencial de la empresa"?
Cree una política para bloquear el correo electrónico "confidencial
de la empresa"
■ El motor de inspección profunda de paquetes busca Cuerpo del
correo electrónico = "Información confidencial de la empresa"
■ Bloquee el mensaje y notifique al remitente que el mensaje contiene
"información confidencial de la empresa"
GO
De: usuariobueno@su_empresa.com
Para: usuariobueno @partner.com
Asunto: Aprobación de tarjeta de control de
horario de Juan
Apruebo las horas de tu tarjeta de control de
horario de esta semana.
Carlos
De: usuariomalo@su_empresa.com
Para: usuariomalo@competidor.com
Asunto: Diseñar hoja de ruta
Aquí está la hoja de ruta
Enero 09 – Versión 7.0
Este documento contiene
“información confidencial de la empresa”
STOP
5
4ª función útil: Refuerzo del uso de las aplicaciones
Su jefe: quiere que Internet Explorer (IE) 7.0 se utilice como navegador estándar.
Su misión: asegurarse de que todos los sistemas de la empresa utilicen IE 7.0, y ningún
otro navegador.
Posibles soluciones
1. Comprobar físicamente a diario los sistemas de todos los usuarios en busca de
navegadores diferentes a IE 7.0.
2. Crear algún tipo de script para comprobar los sistemas de todos los empelados en busca
de otros navegadores y asegurarse de que comprueba todos los sistemas cada día.
3. Establecer una política en el cortafuegos de aplicación y no preocuparse más.
Cree una política de "tengo cosas mejores que hacer"
■ El motor de inspección profunda de paquetes busca
Agente de usuario = MSIE 7.0 en el encabezado HTTP
■ Permite el tráfico de IE 7.0 y bloquea los demás navegadores
6
5ª función útil: Denegación de cargas FTP
Supongamos que crea una página FTP para el intercambio de archivos de gran tamaño
con uno de sus partners de negocio y quiere que tan solo el jefe del proyecto de la empresa del partner pueda cargar archivos.
Cree una política para permitir cargas FTP solo para determinadas personas
■ El motor de inspección profunda de paquetes busca Comando FTP = PUT
■ El motor de inspección profunda de paquetes busca
Nombre de usuario autenticado = "partner_gestión proyectos"
■ Si ambos son verdaderos, autorizar PUT
partner_ventas: put file
partner_markteting: put file
partner_ventas: put file
partner_gestión
proyectos: put file
También puede anular cualquier comando FTP
que considere "innecesario" para un determinado servidor FTP
7
6ª función útil: Control de las aplicaciones P2P
Problema 1: Las aplicaciones punto a punto (P2P) como BitTorrent pueden acaparar ancho
de banda e infectar el sistema con todo tipo de archivos maliciosos.
Problema 2: Continuamente se crean nuevas aplicaciones P2P o simplemente se modifican las existentes (p.ej. cambios del número de versión).
Cree una política para detectar aplicaciones P2P
El motor de inspección profunda de paquetes busca una definición de aplicación P2P en
la lista de definiciones de IPS
Lista de definiciones
de IPS
BitTorrent-6.1
BitTorrent-6.0.3
BitTorrent-6.0.2
BitTorrent-6.0.1
… y cientos más
Lista de definiciones
de IPS
+
Se reciben y aplican
las actualizaciones
de SonicWALL
=
Lista de definiciones
de IPS
BitTorrent-6.1.1
BitTorrent-6.1
BitTorrent-6.0.3
BitTorrent-6.0.2
… y cientos más
■
■
Los resultados
Puede gestionar y controlar las
aplicaciones P2P
No tiene que invertir tiempo en
la actualización de las reglas
de las definiciones de IPS
Las aplicaciones P2P se pueden bloquear o simplemente limitar
mediante restricciones de ancho de banda y de tiempo
8
7ª función útil: Gestión de la transmisión de música
Las páginas de transmisión de audio y de radio consumen ancho de banda valioso. Sin
embargo, puede haber motivos legítimos, relacionados con el trabajo, que justifican el
acceso a estás páginas. Existen dos modos de enfrentarse a este reto.
Control según la página Web
Cree una lista de páginas de audio que desea controlar
Cree una política para detectar páginas de audio
■ Utilice el motor de inspección profunda de paquetes para buscar
Host HTTP = Lista de bloqueo de páginas de audio en el encabezado HTTP
Control por extensión de archivo
Cree una lista de extensiones de archivo de audio que desea controlar
Cree una política para detectar contenido de audio
■ Utilice el motor de inspección profunda de paquetes para buscar Extensión de
archivo = Lista de bloqueo de extensiones de audio en el encabezado HTTP
Una vez "detectada"
la transmisión de audio, puede bloquearla
o simplemente gestionar el ancho de banda.
9
8ª función útil: Asignar ancho de banda prioritario a
aplicaciones importantes
Hoy en día, muchas aplicaciones críticas, como p.ej. SAP®, Salesforce.com® y SharePoint®,
están basadas en nubes o se ejecutan en redes esparcidas geográficamente. Garantizar que
estas aplicaciones tengan prioridad a la hora de recibir el ancho de banda que necesitan,
puede aumentar la productividad del negocio.
Cree una política para asignar ancho de banda prioritario a la aplicación SAP
■ El motor de inspección profunda de paquetes busca la definición o
el nombre de la aplicación
■ Asigne una mayor prioridad en la distribución del ancho de banda a la aplicación SAP
SAP
Salesforce.com
SharePoint
Otros
La prioridad de las aplicaciones puede estar basada en determinadas fechas (p.ej. se puede dar prioridad a las aplicaciones de
ventas al final del trimestre)
10
9ª función útil: Bloqueo de documentos confidenciales
En algunas empresas, el sistema de seguridad de correo electrónico o bien no examina el correo
saliente o no examina el contenido de los archivos adjuntos. En ambos casos, es fácil que algún
archivo adjunto con "información confidencial de la empresa" salga de la organización.
Puesto que el tráfico saliente pasa a través de su cortafuegos, puede detectar
y bloquear estos "datos en movimiento".
Cree una política para bloquear los archivos adjuntos de
correo electrónico que contienen la marca de agua
"Información confidencial de la empresa"
■ El motor de inspección profunda de paquetes busca
Contenido de correo electrónico = "Información confidencial de la
empresa" y
Contenido de correo electrónico = "Propiedad de la empresa" y
Contenido de correo electrónico = "Propiedad privada" y …
Esto también puede aplicarse al contenido basado en FTP.
11
10ª función útil: Bloqueo de archivos prohibidos y
envío de notificaciones
Correo
electrónico
Archivo .pif
peligroso
FTP
¿Su cortafuegos es capaz de bloquear alguna de las siguientes acciones?
■ Descargar un archivo EXE desde una página Web
■ Recibir un archivo EXE adjunto a un correo electrónico
■ Transferir un archivo EXE vía FTP
Riesgo de seguridad
¿Y los archivos PIF, SRC o VBS?
Actividad: Está intentando des-
FTP
Archivo .vbs
peligroso
Página Web
SonicWALL NSA con
Application Firewall
cargar o recibir un archivo con una
extensión prohibida (.exe, .pif, .src
o .vbs).
Acción: Este archivo ha sido bloqueado de acuerdo con la política
corporativa.
Más información: Si desea ver una
lista completa de los archivos prohibidos, vaya a la sección de seguridad del intranet corporativo.
DESCARGAR
Archivo .exe
peligroso
Cree una lista de extensiones de archivo prohibidas
Cree una política para bloquear las extensiones de archivo prohibidas
■ El motor de inspección profunda de paquetes busca
Extensión de archivo en HTTP, archivo adjunto a mensaje de correo
electrónico o FTP = Extensiones de archivo prohibidas
Si el archivo está bloqueado, enviar notificación
12
Si sumamos todas las funciones
Cortafuegos de alto rendimiento
+ Gestión unificada de amenazas
+ Cortafuegos de aplicación
SonicWALL Network Security Appliance
Rendimiento, protección y control detallado
13
PROTECCIÓN AL SERVICIO DE SU NEGOCIO
Obtenga más información
■ Si desea ver una comparación de los modelos SonicWALL NSA que incluyen el cortafuegos de
aplicación, visite: http://www.sonicwall.com/us/products/NSA_Series.html
■ Descargue la ficha técnica en: http://www.sonicwall.com/downloads/NSA_Series_DS_US.pdf
■ Vea ejemplos prácticos del cortafuegos de aplicación con ejemplos de productos:
http://www.sonicwall.com/downloads/SonicOS_Application_Firewall_Practical_Examples_Guide_technote.pdf
■
Guía de utilización de Application Firewall:
http://www.sonicwall.com/downloads/Application_Firewall_5.1e_Feature_Module.pdf
Envíe sus comentarios sobre este libro electrónico o sobre cualquier otro libro electrónico o libro blanco
de SonicWALL a la siguiente dirección de correo electrónico: feedback@sonicwall.com
Acerca de SonicWALL
SonicWALL es un líder reconocido en el mercado de las soluciones integrales de seguridad de la
información. Estas soluciones incluyen software, hardware y servicios dinámicos inteligentes que
permiten operar una red empresarial de alto rendimiento sin el riesgo, el coste y la complejidad
habituales. Si desea obtener más información, visite nuestra página Web en www.sonicwall.com.
©2008 SonicWALL y el logo de SonicWALL son marcas registradas de SonicWALL, Inc. Los demás nombres de productos aquí mencionados pueden ser marcas registradas y/o marcas
comerciales registradas de sus respectivos propietarios. Las especificaciones y las descripciones están sujetas a modificación sin previo aviso. 10/08 SW 466
Descargar