10 funciones útiles que su cortafuegos debería ofrecer Un cortafuegos con bloqueo de amenazas no es más que el principio… PROTECCIÓN AL SERVICIO DE SU NEGOCIO Tabla de contenido PROTECCIÓN AL SERVICIO DE SU NEGOCIO La evolución del cortafuegos 1 Los cortafuegos de aplicación 2 1ª función útil: Gestión de la transmisión de vídeo 3 2ª función útil: Gestión del ancho de banda por grupos 4 3ª función útil: Control del correo webmail saliente 5 4ª función útil: Refuerzo del uso de las aplicaciones 6 5ª función útil: Denegación de cargas FTP 7 6ª función útil: Control de las aplicaciones P2P 8 7ª función útil: Gestión de la transmisión de música 9 8ª función útil: Asignar ancho de banda prioritario a aplicaciones importantes 10 9ª función útil: Bloqueo de documentos confidenciales 11 10ª función útil: Bloqueo de archivos prohibidos y envío de notificaciones 12 Si sumamos todas las funciones… 13 La evolución del cortafuegos Los cortafuegos tradicionales se centran en el bloqueo de amenazas e intrusiones sencillas. Los cortafuegos de clase empresarial han añadido servicios UTM (Gestión unificada de amenazas), como antivirus, anti-spyware, prevención de intrusiones, filtrado de contenido e incluso algunos servicios antispam para ofrecer una mayor protección contra amenazas. La mayor parte del tráfico que pasa a través de un cortafuegos no constituye una amenaza, sino que se trata de aplicaciones y datos. Por este motivo se creó Application Firewall (cortafuegos de aplicación), capaz de gestionar y controlar los datos y las aplicaciones que pasan a través del cortafuegos. ... pero el bloqueo de amenazas no es más que el principio 1 El cortafuegos de aplicación ¿Qué es lo que hace? El cortafuegos de aplicación ofrece gestión y control del ancho de banda, controles de acceso a nivel de aplicación, funciones de control de filtración de datos, restricciones en la transferencia de archivos y documentos específicos, y mucho más. Amenazas ■ Tráfico comprometido ¿Cómo funciona? Tráfico no deseado El cortafuegos de aplicación permite implementar controles de acceso personalizados basados en los usuarios, las aplicaciones, la programación o la subred IP. Gracias a ello, los administradores pueden crear políticas dirigidas a toda la variedad de aplicaciones disponibles, al tiempo que reciben por primera vez la oportunidad de gestionarlas. Datos y aplicaciones Tráfico inofensivo ■ ■ ■ Tráfico protegido Tráfico productivo Le permite clasificar, controlar y gestionar las aplicaciones y los datos que pasan a través de su cortafuegos. 2 1ª función útil: Gestión de la transmisión de vídeo Aunque la posibilidad de acceder a sitios de transmisión de vídeo, como p.ej. youtube.com, en ocasiones puede resultar útil, a menudo se abusa de ello. Bloquear la página podría resultar eficaz, pero la mejor solución podría ser limitar el ancho de banda disponible para las páginas de transmisión de vídeo. Cree una política para limitar la transmisión de vídeo ■ Utilice el motor de inspección profunda de paquetes para buscar Host HTTP = www.youtube.com en el encabezado HTTP ■ Aplique restricciones de ancho de banda al tráfico que tenga este encabezado Ancho de banda deseado para la transmisión de vídeo Ancho de banda proporcionado para la transmisión de vídeo Puede limitar el ancho de banda para las aplicaciones durante determinadas horas del día, p.ej. desde las 9:00 hasta las 17:00 h. 3 2ª función útil: Gestión del ancho de banda por grupos La primera función que acabamos de presentar servía para restringir el ancho de banda de páginas de transmisión de vídeo como youtube.com. Ahora, imagínese que su CEO y su CFO se quejan de que los "vídeos de noticias económicas" que ven a diario van demasiado lentos. La solución podría ser reducir las restricciones de ancho de banda para todos los empleados. Sin embargo, ahora hay una solución mejor: la gestión del ancho de banda por grupos. Cree una política para no limitar la transmisión de vídeo para los ejecutivos ■ Aplique esta política al grupo "ejecutivos" que puede importar desde su servidor LDAP ■ Utilice el motor de inspección profunda de paquetes para buscar Host HTTP = www.youtube.com en el encabezado HTTP ■ Aplique la garantía de ancho de banda al tráfico con ese encabezado Ancho de banda para la transmisión de vídeo proporcionado a los ejecutivos Ancho de banda deseado para la transmisión de vídeo Ancho de banda para la transmisión de vídeo proporcionado a los demás empleados 4 3ª función útil: Control del correo webmail saliente Posiblemente, su sistema de protección antispam actual sea capaz de detectar y bloquear mensajes salientes normales que contengan "información confidencial de la empresa". Pero, ¿qué ocurre si un empleado utiliza un servicio de correo Web como Yahoo® o Gmail® para enviar "información confidencial de la empresa"? Cree una política para bloquear el correo electrónico "confidencial de la empresa" ■ El motor de inspección profunda de paquetes busca Cuerpo del correo electrónico = "Información confidencial de la empresa" ■ Bloquee el mensaje y notifique al remitente que el mensaje contiene "información confidencial de la empresa" GO De: usuariobueno@su_empresa.com Para: usuariobueno @partner.com Asunto: Aprobación de tarjeta de control de horario de Juan Apruebo las horas de tu tarjeta de control de horario de esta semana. Carlos De: usuariomalo@su_empresa.com Para: usuariomalo@competidor.com Asunto: Diseñar hoja de ruta Aquí está la hoja de ruta Enero 09 – Versión 7.0 Este documento contiene “información confidencial de la empresa” STOP 5 4ª función útil: Refuerzo del uso de las aplicaciones Su jefe: quiere que Internet Explorer (IE) 7.0 se utilice como navegador estándar. Su misión: asegurarse de que todos los sistemas de la empresa utilicen IE 7.0, y ningún otro navegador. Posibles soluciones 1. Comprobar físicamente a diario los sistemas de todos los usuarios en busca de navegadores diferentes a IE 7.0. 2. Crear algún tipo de script para comprobar los sistemas de todos los empelados en busca de otros navegadores y asegurarse de que comprueba todos los sistemas cada día. 3. Establecer una política en el cortafuegos de aplicación y no preocuparse más. Cree una política de "tengo cosas mejores que hacer" ■ El motor de inspección profunda de paquetes busca Agente de usuario = MSIE 7.0 en el encabezado HTTP ■ Permite el tráfico de IE 7.0 y bloquea los demás navegadores 6 5ª función útil: Denegación de cargas FTP Supongamos que crea una página FTP para el intercambio de archivos de gran tamaño con uno de sus partners de negocio y quiere que tan solo el jefe del proyecto de la empresa del partner pueda cargar archivos. Cree una política para permitir cargas FTP solo para determinadas personas ■ El motor de inspección profunda de paquetes busca Comando FTP = PUT ■ El motor de inspección profunda de paquetes busca Nombre de usuario autenticado = "partner_gestión proyectos" ■ Si ambos son verdaderos, autorizar PUT partner_ventas: put file partner_markteting: put file partner_ventas: put file partner_gestión proyectos: put file También puede anular cualquier comando FTP que considere "innecesario" para un determinado servidor FTP 7 6ª función útil: Control de las aplicaciones P2P Problema 1: Las aplicaciones punto a punto (P2P) como BitTorrent pueden acaparar ancho de banda e infectar el sistema con todo tipo de archivos maliciosos. Problema 2: Continuamente se crean nuevas aplicaciones P2P o simplemente se modifican las existentes (p.ej. cambios del número de versión). Cree una política para detectar aplicaciones P2P El motor de inspección profunda de paquetes busca una definición de aplicación P2P en la lista de definiciones de IPS Lista de definiciones de IPS BitTorrent-6.1 BitTorrent-6.0.3 BitTorrent-6.0.2 BitTorrent-6.0.1 … y cientos más Lista de definiciones de IPS + Se reciben y aplican las actualizaciones de SonicWALL = Lista de definiciones de IPS BitTorrent-6.1.1 BitTorrent-6.1 BitTorrent-6.0.3 BitTorrent-6.0.2 … y cientos más ■ ■ Los resultados Puede gestionar y controlar las aplicaciones P2P No tiene que invertir tiempo en la actualización de las reglas de las definiciones de IPS Las aplicaciones P2P se pueden bloquear o simplemente limitar mediante restricciones de ancho de banda y de tiempo 8 7ª función útil: Gestión de la transmisión de música Las páginas de transmisión de audio y de radio consumen ancho de banda valioso. Sin embargo, puede haber motivos legítimos, relacionados con el trabajo, que justifican el acceso a estás páginas. Existen dos modos de enfrentarse a este reto. Control según la página Web Cree una lista de páginas de audio que desea controlar Cree una política para detectar páginas de audio ■ Utilice el motor de inspección profunda de paquetes para buscar Host HTTP = Lista de bloqueo de páginas de audio en el encabezado HTTP Control por extensión de archivo Cree una lista de extensiones de archivo de audio que desea controlar Cree una política para detectar contenido de audio ■ Utilice el motor de inspección profunda de paquetes para buscar Extensión de archivo = Lista de bloqueo de extensiones de audio en el encabezado HTTP Una vez "detectada" la transmisión de audio, puede bloquearla o simplemente gestionar el ancho de banda. 9 8ª función útil: Asignar ancho de banda prioritario a aplicaciones importantes Hoy en día, muchas aplicaciones críticas, como p.ej. SAP®, Salesforce.com® y SharePoint®, están basadas en nubes o se ejecutan en redes esparcidas geográficamente. Garantizar que estas aplicaciones tengan prioridad a la hora de recibir el ancho de banda que necesitan, puede aumentar la productividad del negocio. Cree una política para asignar ancho de banda prioritario a la aplicación SAP ■ El motor de inspección profunda de paquetes busca la definición o el nombre de la aplicación ■ Asigne una mayor prioridad en la distribución del ancho de banda a la aplicación SAP SAP Salesforce.com SharePoint Otros La prioridad de las aplicaciones puede estar basada en determinadas fechas (p.ej. se puede dar prioridad a las aplicaciones de ventas al final del trimestre) 10 9ª función útil: Bloqueo de documentos confidenciales En algunas empresas, el sistema de seguridad de correo electrónico o bien no examina el correo saliente o no examina el contenido de los archivos adjuntos. En ambos casos, es fácil que algún archivo adjunto con "información confidencial de la empresa" salga de la organización. Puesto que el tráfico saliente pasa a través de su cortafuegos, puede detectar y bloquear estos "datos en movimiento". Cree una política para bloquear los archivos adjuntos de correo electrónico que contienen la marca de agua "Información confidencial de la empresa" ■ El motor de inspección profunda de paquetes busca Contenido de correo electrónico = "Información confidencial de la empresa" y Contenido de correo electrónico = "Propiedad de la empresa" y Contenido de correo electrónico = "Propiedad privada" y … Esto también puede aplicarse al contenido basado en FTP. 11 10ª función útil: Bloqueo de archivos prohibidos y envío de notificaciones Correo electrónico Archivo .pif peligroso FTP ¿Su cortafuegos es capaz de bloquear alguna de las siguientes acciones? ■ Descargar un archivo EXE desde una página Web ■ Recibir un archivo EXE adjunto a un correo electrónico ■ Transferir un archivo EXE vía FTP Riesgo de seguridad ¿Y los archivos PIF, SRC o VBS? Actividad: Está intentando des- FTP Archivo .vbs peligroso Página Web SonicWALL NSA con Application Firewall cargar o recibir un archivo con una extensión prohibida (.exe, .pif, .src o .vbs). Acción: Este archivo ha sido bloqueado de acuerdo con la política corporativa. Más información: Si desea ver una lista completa de los archivos prohibidos, vaya a la sección de seguridad del intranet corporativo. DESCARGAR Archivo .exe peligroso Cree una lista de extensiones de archivo prohibidas Cree una política para bloquear las extensiones de archivo prohibidas ■ El motor de inspección profunda de paquetes busca Extensión de archivo en HTTP, archivo adjunto a mensaje de correo electrónico o FTP = Extensiones de archivo prohibidas Si el archivo está bloqueado, enviar notificación 12 Si sumamos todas las funciones Cortafuegos de alto rendimiento + Gestión unificada de amenazas + Cortafuegos de aplicación SonicWALL Network Security Appliance Rendimiento, protección y control detallado 13 PROTECCIÓN AL SERVICIO DE SU NEGOCIO Obtenga más información ■ Si desea ver una comparación de los modelos SonicWALL NSA que incluyen el cortafuegos de aplicación, visite: http://www.sonicwall.com/us/products/NSA_Series.html ■ Descargue la ficha técnica en: http://www.sonicwall.com/downloads/NSA_Series_DS_US.pdf ■ Vea ejemplos prácticos del cortafuegos de aplicación con ejemplos de productos: http://www.sonicwall.com/downloads/SonicOS_Application_Firewall_Practical_Examples_Guide_technote.pdf ■ Guía de utilización de Application Firewall: http://www.sonicwall.com/downloads/Application_Firewall_5.1e_Feature_Module.pdf Envíe sus comentarios sobre este libro electrónico o sobre cualquier otro libro electrónico o libro blanco de SonicWALL a la siguiente dirección de correo electrónico: feedback@sonicwall.com Acerca de SonicWALL SonicWALL es un líder reconocido en el mercado de las soluciones integrales de seguridad de la información. Estas soluciones incluyen software, hardware y servicios dinámicos inteligentes que permiten operar una red empresarial de alto rendimiento sin el riesgo, el coste y la complejidad habituales. Si desea obtener más información, visite nuestra página Web en www.sonicwall.com. ©2008 SonicWALL y el logo de SonicWALL son marcas registradas de SonicWALL, Inc. Los demás nombres de productos aquí mencionados pueden ser marcas registradas y/o marcas comerciales registradas de sus respectivos propietarios. Las especificaciones y las descripciones están sujetas a modificación sin previo aviso. 10/08 SW 466