Por qué la protección y el rendimiento importan

Anuncio
Por qué la protección y el
rendimiento importan
De Daniel Ayoub, CISSP, CISA
Los cortafuegos de próxima generación combinan una arquitectura multinúcleo con la inspección profunda de
paquetes (Deep Packet Inspection, DPI) en tiempo real para cubrir las exigencias de protección y rendimiento de
las redes empresariales actuales
Resumen
El rendimiento y la protección van íntimamente unidos
en los cortafuegos de próxima generación (NextGeneration Firewalls, NGFW). De esta forma, las
empresas no tienen que sacrificar el rendimiento y la
productividad en aras de la seguridad. Los cortafuegos
anticuados suponen un grave riesgo de seguridad para
las empresas, ya que no inspeccionan la carga útil de
datos de los paquetes de red. Muchos proveedores
ofrecen únicamente velocidades de inspección
dinámica de paquetes (Stateful Packet Inspection, SPI).
No obstante, para conseguir un nivel de seguridad y
rendimiento alto, se requiere la capacidad y la eficacia
de la inspección profunda de paquetes. Para hacer
frente a esta deficiencia, muchos proveedores de
cortafuegos adoptaron el enfoque de inspección de
malware utilizado por los antivirus de escritorio
tradicionales (almacenamiento en búfer de los archivos
descargados e inspección de malware). Este método
no sólo introduce una latencia considerable, sino que
también plantea riesgos de seguridad importantes, ya
que el almacenamiento en la memoria temporal puede
limitar el tamaño máximo de los archivos. Las pruebas
independientes de NSS Labs demuestran que el
™
™
cortafuegos de próxima generación Dell SonicWALL
SuperMassive™ E10800, dotado de arquitectura
multinúcleo y Reassembly-Free Deep Packet
Inspection® (RFDPI), no está sujeto a estas limitaciones.
Por ello, es capaz de proporcionar a las empresas los
niveles extraordinariamente elevados de protección y
rendimiento que éstas necesitan.
¿Qué es un cortafuegos de próxima
generación?
Básicamente, los cortafuegos de próxima generación
(Next-Generation Firewall, NGFW) utilizan tecnología
de cortafuegos de inspección profunda de paquetes
(Deep Packet Inspection, DPI) para funciones clave
como los sistemas de prevención de intrusiones (IPS) y
la inteligencia y el control de aplicaciones.
Definiciones del sector
Gartner define un NGFW como “una plataforma de red
integrada a velocidad de cable que ofrece inspección
1
profunda del tráfico y bloqueo de ataques”. Gartner
afirma que un NGFW debería proporcionar como
mínimo:
• Configuración "in-line bump-in-the-wire" (caja de corte en
línea) no disruptiva
• Funciones de cortafuegos de primera generación estándar,
por ejemplo traducción de direcciones de red (NetworkAddress Translation, NAT), inspección dinámica de
protocolos (Stateful Protocol Inspection, SPI), red privada
virtual (Virtual Private Networking, VPN), etc.
• Motor IPS integrado basado en firmas
• Detección de aplicaciones, visibilidad completa de stack y
control granular.
• Capacidad para incorporar información del exterior del
cortafuegos, por ej. políticas basadas en directorios, listas
negras, listas blancas, etc.
• Ruta de actualización para incluir informaciones y amenazas
de seguridad en el futuro
• Descifrado SSL para permitir la identificación de
aplicaciones cifradas no deseables
Evolución de los cortafuegos de próxima
generación
Cortafuegos de las primeras generaciones
Los cortafuegos de primera generación de la década de
1980 ofrecían filtrado de paquetes de acuerdo con
criterios como, por ejemplo, puerto, protocolo y
dirección MAC/IP, y operaban en las capas 2 y 3 del
modelo OSI. Los cortafuegos de segunda generación
de la década de 1990 incorporaban inspección
dinámica de paquetes (Stateful Packet Inspection, SPI),
que verificaba el tráfico entrante y saliente basándose
en tablas de estado, y operaban en las capas 2, 3 y 4 del
modelo OSI. Los cortafuegos de tercera generación de
1
“Defining the Next-Generation Firewall”, Gartner RAS Core Research
Note G00171540, John Pescatore, Greg Young, 12 de octubre de 2009,
R3210 04102010
la década pasada tenían una mayor potencia de
procesamiento y una funcionalidad más amplia,
incluyendo la inspección profunda de paquetes (Deep
Packet Inspection, DPI) de la carga útil completa de los
paquetes, prevención de intrusiones, detección de
malware, antivirus en pasarela, analíticas del tráfico,
control de aplicaciones, IPSec y VPN con cifrado SSL.
La gestión unificada de amenazas (Unified Threat
Management, UTM) fue el siguiente paso en la
evolución del cortafuegos tradicional hacia un
producto que no sólo protege frente a intrusiones, sino
que además efectúa tareas de filtrado de contenido,
protección frente a fugas de datos, detección de
intrusiones y protección antimalware, normalmente
realizadas por múltiples sistemas.
Cortafuegos de próxima generación
Todas las aplicaciones Web 2.0 (por ej., Salesforce.com,
SharePoint y Farmville) utilizan actualmente el puerto
80 TCP y cifrado SSL (puerto 443 TCP). Los NGFW
actuales inspeccionan la carga útil de los paquetes y
utilizan las firmas para detectar actividades perniciosas,
como pueden ser vulnerabilidades conocidas, ataques
de exploit, virus y malware, todo ello sobre la marcha.
La DPI también significa que los administradores
pueden crear reglas de permiso y denegación de
acceso extraordinariamente granulares para controlar
aplicaciones y sitios web específicos (ejemplo: se
permite chat con Yahoo Instant Messenger, pero no
transferencias de archivos). Puesto que el sistema
inspecciona el contenido de los paquetes, también es
posible exportar cualquier tipo de información
estadística. De esta forma, los administradores pueden
analizar fácilmente los datos de tráfico para planificar la
capacidad, solucionar problemas o controlar la
actividad de los empleados a lo largo del día. Los
cortafuegos actuales operan en las capas 2, 3, 4, 5, 6 y
7 del modelo OSI.
Requisitos funcionales de los NGFW
A continuación se presentan los requisitos funcionales
para los cortafuegos de próxima generación:
Funciones antiguas
Un NGFW incluye todas las funciones estándar de un
cortafuegos de primera generación, es decir, filtrado de
paquetes, inspección dinámica de paquetes (Stateful
Packet Inspection, SPI), traducción de direcciones de
red (Network Address Translation, NAT) y alta
disponibilidad (High Availability, HA).
IPS integrado
Para ser eficaces, los sistemas de prevención de
intrusiones requieren funciones avanzadas que
permitan combatir las técnicas evasivas y escanear e
inspeccionar las comunicaciones tanto entrantes como
salientes con el fin de identificar comunicaciones y
protocolos maliciosos o sospechosos.
Para disfrutar de una protección eficaz contra las
amenazas y de una potente prevención de intrusiones,
las organizaciones necesitan una solución que les
2
proporcione el mejor cortafuegos de su categoría con
funciones integradas de prevención de intrusiones y sin
la complejidad de gestionar implementaciones, GUIs y
dispositivos separados. Los NGFW con IPS
proporcionan resistencia de clase empresarial a la
evasión, funciones potentes de protección de contexto
y contenido, así como funciones completas de
protección contra amenazas y control de aplicaciones
en un único dispositivo integrado.
Inteligencia y control de aplicaciones
La inteligencia y el control de aplicaciones incluyen
refuerzo a nivel de protocolos, visibilidad completa de
stack con control granular de aplicaciones y capacidad
para identificar aplicaciones independientemente del
puerto o protocolo utilizado.
Entrada de cortafuegos extra
El conocimiento del ID de los usuarios permite a los
administradores implementar políticas de aplicaciones
en función del usuario/grupo de AD (sin tener que
rastrear la dirección IP para el ID de usuario), lo cual
añade percepción al uso y al tráfico.
Adaptabilidad
Otra funcionalidad importante de los NGFW es la
adaptación dinámica a amenazas cambiantes. Dell
SonicWALL actualiza continuamente sus dispositivos
con nuevas firmas para detener amenazas e ir un paso
por delante del evolutivo panorama del malware.
Escaneado y rendimiento de la carga útil
Todos los requisitos anteriores exigen un escaneado
completo de la carga útil en niveles óptimos de
rendimiento para evitar tener que sacrificar seguridad
por rendimiento.
Rendimiento
Para lograr la mayor rentabilidad posible de la inversión
(Return on investment, ROI) para los servicios de banda
ancha y optimizar el nivel de productividad de una
organización, garantizando al mismo tiempo una
seguridad máxima, el departamento de TI necesita
asegurarse de que el tráfico se examina
exhaustivamente con una latencia mínima para un
rendimiento óptimo. Para cumplir estos requisitos, los
índices de rendimiento mutigigabit se han convertido
en estándar para los NGFW. Las soluciones de NGFW
de Dell SonicWALL pueden mejorar considerablemente
el rendimiento gracias a la aplicación de la tecnología
2
RFDPI patentada por Dell SonicWALL para permitir la
DPI sin necesidad de almacenar en búfer ni
reensamblar los paquetes. Desde la perspectiva del
hardware, los NGFW de Dell SonicWALL también
pueden maximizar el rendimiento gracias a la
2
Patentes estadounidenses 7,310,815; 7,600,257; 7,738,380; 7,835,361
incorporación de procesamiento paralelo en una
arquitectura multinúcleo avanzada.
Por qué necesita un cortafuegos de
próxima generación
La generación de SPI de los cortafuegos cubría la
seguridad en un mundo en el que el malware no
constituía un problema importante y las páginas web
eran simplemente documentos para leer. Los puertos,
las direcciones IP y los protocolos eran los factores
clave que había que gestionar. Pero, a medida que
Internet evolucionó, la capacidad para proporcionar
contenido dinámico de los navegadores de servidor y
cliente introdujo un amplio espectro de aplicaciones
que ahora llamamos Web 2.0.
La SPI no inspecciona la parte de datos del paquete, y
los hackers explotan eficazmente este hecho. Para
hacer frente a las nuevas amenazas, los proveedores de
cortafuegos de SPI incorporaron la protección y los
métodos tradicionales antimalware que se utilizaban en
servidores de archivos y PCs. La técnica fue una
solución de parche para añadir protección antimalware
a un cortafuegos de SPI, aunque esto tenía dos
defectos importantes: la latencia y la complejidad.
El primer problema fue la introducción de latencia
mientras el archivo se almacena en el búfer, con
limitaciones del tamaño de los archivos. Los
proveedores de cortafuegos han trabajado sobre este
problema enviando paquetes en estado activo para
evitarlo, si bien el efecto global es la introducción de
latencia. El uso de memoria para almacenar archivos en
búfer para inspección no sólo provoca latencia
adicional, sino también un problema de espacio, que se
resuelve limitando el tamaño global de los archivos a
una cantidad predeterminada (generalmente de 100
MB). El uso de Internet es cada vez mayor, y el tamaño
de los archivos que se comparten también va en
aumento. Sin embargo, la tecnología híbrida de
SPI/detección de malware no es escalable.
El segundo problema fue que las soluciones puntuales
tradicionales eran difíciles de desplegar, gestionar y
actualizar, lo que aumentaba la complejidad operativa y
los costes globales. Los ataques maliciosos sofisticados
penetran los productos de inspección dinámica de
paquetes tradicionales. Estas soluciones simplemente
no proporcionan una protección suficiente, oportuna y
unificada contra amenazas cada vez más complejas.
Para resolver estos fallos, Dell SonicWALL ofrece las
soluciones de NGFW más eficaces y con el mayor
rendimiento existentes actualmente en el mercado.
Recientemente, NSS Labs llevó a cabo una
comprobación independiente del cortafuegos de
próxima generación de Dell SonicWALL en las
instalaciones de sus laboratorios en Austin, Texas. Dell
SonicWALL SuperMassive E10800, que funciona con
SonicOS 6.0, es, entre los productos que han obtenido
la calificación de "Recomendado" de NSS Labs, el
3
cortafuegos de próxima generación que mayor nivel de
protección global ofrece. Todos los cortafuegos de Dell
SonicWALL se basan en la arquitectura probada del
sistema operativo SonicOS. Los resultados de dichas
pruebas se exploran con mayor profundidad al final del
presente documento.
Qué necesita la empresa
Las organizaciones están sufriendo un caos de
aplicaciones. Las comunicaciones de red ya no
dependen simplemente de aplicaciones de tipo
"almacenar y reenviar" como, por ejemplo, el correo
electrónico, sino que se han ampliado para incluir
herramientas de colaboración en tiempo real,
aplicaciones Web 2.0, aplicaciones de mensajería
instantánea (Instant Messenger, IM) y entre iguales
(peer-to-peer), voz a través de IP (Voice over IP, VoIP),
streaming multimedia y teleconferencia, presentando
cada una de ellas conductos para ataques potenciales.
Muchas empresas no pueden diferenciar aplicaciones
utilizadas en sus redes o fines comerciales legítimos de
aquellas potencialmente dañinas y peligrosas.
Actualmente, las organizaciones necesitan ofrecer
soluciones críticas para empresas, y a la vez han de
enfrentarse con el uso por parte de los empleados de
aplicaciones dañinas y peligrosas basadas en la web.
Priorizar el ancho de banda para las aplicaciones
críticas es imprescindible, al igual que lo es frenar o
incluso bloquear por completo el consumo de ancho
de banda de las aplicaciones de medios sociales o
juegos. Además, las organizaciones podrían tener que
afrontar multas, penalizaciones y pérdidas de negocio si
no cumplen las reglas y normativas sobre seguridad.
Protección y rendimiento
En las organizaciones empresariales actuales, la
protección y el rendimiento van de la mano. Las
organizaciones ya no pueden tolerar la baja seguridad
ofrecida por los cortafuegos de SPI antiguos, así como
tampoco los cuellos de botella de red asociados con
algunos NGFW. Cualquier retardo en el rendimiento del
cortafuegos o la red puede degradar la calidad en
aplicaciones sensibles a la latencia y colaborativas, lo
que, a su vez, puede afectar negativamente a los niveles
de servicio y a la productividad. Para empeorar aún más
las cosas, algunas organizaciones de TI incluso
desactivan ciertas funciones en sus soluciones de
seguridad de red para evitar ralentizaciones en el
rendimiento de la red.
Escaneado y control de todo el contenido
Las organizaciones, grandes y pequeñas, tanto en el
sector público como privado, han de hacer frente a
nuevas amenazas como consecuencia de las
vulnerabilidades en las aplicaciones de uso habitual. El
malware acecha en las redes sociales. Mientras tanto,
los trabajadores utilizan ordenadores de oficina en la
empresa y en casa para blogs en línea, redes sociales,
mensajería, vídeos, música, juegos, compras y correo
electrónico.
Inteligencia y control de aplicaciones
Las aplicaciones, como pueden ser streaming de vídeo,
entre iguales (Peer-To-Peer, P2P), y las aplicaciones
alojadas en equipos propios o basadas en la web
exponen a las organizaciones a infiltraciones, fugas de
datos y períodos de inactividad potenciales. Además de
introducir amenazas de seguridad, estas aplicaciones
reducen el ancho de banda y la productividad y
compiten con aplicaciones de misiones críticas por un
valioso ancho de banda. Para las empresas es muy
importante disponer de herramientas que garanticen el
ancho de banda para aplicaciones críticas para el
negocio, y necesitan inteligencia y control de
aplicaciones para proteger los flujos de tráfico tanto
entrante como saliente, garantizado al mismo tiempo la
velocidad y la seguridad para proporcionar un entorno
de red productivo.
La DPI requiere NGFW de alto rendimiento
Los anticuados diseños de proxy que reensamblan
contenido empleando sockets atornillados a máquinas
antimalware están plagados de ineficiencias. El exceso
de hiperpaginación de la memoria conduce a una
latencia elevada, a un bajo rendimiento y a limitaciones
en el tamaño de los archivos. Los anticuados métodos
de DPI recogen y almacenan el tráfico en la memoria
para escanearlo. Cuando se utiliza este enfoque de
proxy o ensamblado, la memoria se consume hasta que
se agota, lo cual tiene como resultado un cortafuegos a
través del cual el tráfico pasa sin escanear (inaceptable)
o bien el tráfico se bloquea en su totalidad hasta que
no se libera la memoria. Además, las aplicaciones en
tiempo real se ven afectadas negativamente cuando se
introduce una latencia inaceptable.
El enfoque de Dell SonicWALL
Gracias a la combinación de una arquitectura
multinúcleo de alto rendimiento y tecnología de DPI sin
reensamblado, los cortafuegos de próxima generación
de Dell SonicWALL ofrecen inteligencia y control de
aplicaciones, prevención de intrusiones y protección
antimalware líderes en su campo, así como inspección
SSL a velocidades multigigabit.
Los cortafuegos de próxima generación de Dell
3
SonicWALL, que incorporan la tecnología RFDPI
patentada de SonicWALL, proporcionan seguridad y
control para empresas de todos los tamaños, con
prevención de intrusiones, protección antimalware,
inteligencia y control de aplicaciones y visualización en
tiempo real perfectamente integrados. Las soluciones
de NGFW de Dell SonicWALL escanean el 100 % del
tráfico y son perfectamente escalables para cubrir las
3
* Patentes estadounidenses 7,310,815; 7,600,257; 7,738,380; 7,835,361;
7,991,723
4
necesidades de las redes con mayor rendimiento. La
inteligencia, el control y la visualización de aplicaciones
de Dell SonicWALL permiten a los administradores
gestionar y controlar tanto las aplicaciones
relacionadas con la empresa como las ajenas a ésta
para incrementar la productividad de la red y de los
usuarios.
Los cortafuegos de próxima generación de Dell
SonicWALL pueden escanear archivos de tamaño
ilimitado a través de cualquier puerto y sin degradación
de la seguridad ni el rendimiento. El número de flujos
simultáneos de archivos o de red no limita los
cortafuegos de próxima generación de Dell SonicWALL,
por lo que los archivos infectados no tienen la más
mínima posibilidad de pasar indetectados cuando el
cortafuegos se ve sometido a una fuerte carga.
Adicionalmente, los cortafuegos de próxima
generación de Dell SonicWALL pueden aplicar todas las
tecnologías de seguridad y control de aplicaciones al
tráfico cifrado SSL, lo que garantiza que este tipo de
tráfico no se convierta en un nuevo factor de malware
en la red. Los cortafuegos de próxima generación de
Dell SonicWALL tienen certificación FIPS 140-2 y
Common Criteria (EAL 4 ampliado). Los productos de
Dell SonicWALL se encuentran disponibles en GSA
Schedule, NASA SEWP IV y otros vehículos de contratos
federales.
RFDPI frente a almacenamiento en búfer
Los administradores de TI que seleccionen un
cortafuegos de inspección profunda de paquetes
deberán ser conscientes de que algunos dispositivos
tienen una potencia de procesamiento, una memoria y
un almacenamiento limitados, lo que hace que la
inspección de amenazas en archivos de gran tamaño
resulte imposible para la mayoría de los proveedores
sin almacenar en búfer la carga útil, lo cual introduce
latencia, o bien hace necesario omitir totalmente la
inspección, poniendo así en peligro la seguridad.
Por qué es mejor el enfoque de Dell SonicWALL
La RFDPI de Dell SonicWALL supera todos estos retos
para proporcionar funcionalidad de DPI completa de
paquetes en tiempo real sin sacrificar el rendimiento ni
la seguridad. El motor de RFDPI utiliza una
combinación de comparación compleja de patrones,
heurística, correlación, metodologías de decisión
avanzadas en tiempo real, normalización (X, Y, Z y más),
a la vez que mantiene un rendimiento
extraordinariamente alto, baja latencia y elevada
eficiencia, independientemente del tamaño.
Arquitectura multinúcleo de Dell SonicWALL
La arquitectura de hardware multinúcleo de Dell
SonicWALL tiene dos ventajas clave para acelerar el
procesamiento del tráfico de red. La primera ventaja es
que las CPU Cavium tienen una construcción
personalizada para "comprender" las comunicaciones
de red a nivel del hardware. La segunda ventaja es la
capacidad para procesar en paralelo flujos de datos a
través de múltiples núcleos. La arquitectura multinúcleo
de Dell SonicWALL permite a cada CPU procesar una
parte de los paquetes de red de forma simultánea, en
paralelo con otras CPU, haciendo un uso óptimo de los
ciclos de los procesadores disponibles. Esta
combinación óptima ofrece soluciones de alto
rendimiento y eficientes para el procesamiento de
paquetes, contenidos y seguridad.
La arquitectura multinúcleo maximiza el rendimiento y
la escalabilidad, a la vez que reduce al mínimo el
consumo de potencia, gracias a la combinación de
aceleración de hardware con técnicas de arquitectura
de procesadores multinúcleo de alto rendimiento. Los
cortafuegos de la serie Dell SonicWALL SuperMassive™
E10000 se han diseñado teniendo muy en cuenta la
potencia, el espacio y la refrigeración, logrando el
mejor valor de Gbps/vatio de la industria para el control
de aplicaciones y la prevención de amenazas.
Otros proveedores han elegido procesadores de
ámbito general y coprocesadores de seguridad
independientes, una solución que no es escalable. Por
otro lado, otros han preferido diseñar y construir
plataformas ASIC (Application-Specific Integrated
Circuits, Circuitos integrados específicos para
aplicaciones). Las soluciones tradicionales de un solo
procesador y ASIC no pueden hacer frente a los
evolutivos y complejos ataques en tiempo real
procedentes del interior y el exterior de la red debido a
las crecientes exigencias de inspección.
Los procesadores de ámbito general dependen de una
sola CPU de procesamiento para manejar todas las
funciones. No proporcionan ningún tipo de aceleración
de seguridad, y normalmente requieren
coprocesadores de seguridad adicionales de terceros
proveedores para la aceleración de seguridad
necesaria, lo que incrementa ineficazmente la
complejidad de desarrollo. El procesador de ámbito
general funciona a una mayor velocidad del reloj y
requiere coprocesadores adicionales, por lo cual es
menos eficiente energéticamente y consume más
potencia durante el funcionamiento normal. Además,
las soluciones de procesadores de ámbito general
están limitadas por las velocidades de bus entre el
procesador de ámbito general y el coprocesador de
seguridad. Los procesadores de ámbito general
también pueden estar comparativamente limitados en
el ancho de banda de memoria, lo cual tiene como
resultado un procesamiento más lento de los paquetes.
En general, los diseños de un solo procesador de
ámbito general ofrecen una plataforma de hardware
inferior a la ideal para la DPI de alto rendimiento en los
NGFW.
Aunque las plataformas ASIC tienen un lugar en el
reenvío de paquetes a alta velocidad, presentan
problemas de diseño y limitaciones inherentes cuando
se utilizan en dispositivos de seguridad de red. Un
problema particularmente importante es la limitación
inherente de la capacidad de un proveedor para la
actualización de campo del microcódigo de ASIC para
5
poder hacer frente al evolutivo panorama de la
seguridad. Con las soluciones ASIC, la falta de espacio
disponible para el microcódigo podría impedir al
proveedor añadir la nueva funcionalidad necesaria para
el tratamiento de protocolos cambiantes, normas
actualizadas o problemas sin una degradación
importante del rendimiento. Esto limita los dispositivos
de seguridad basados en ASIC, ya que no existe
ninguna garantía de que el cliente pueda actualizar el
dispositivo para hacer frente a las necesidades de red
futuras. Además, los ASIC se utilizan principalmente
para SPI, puesto que su funcionamiento es muy lento
para DPI.
Motor de inspección profunda de paquetes sin
reensamblado de Dell SonicWALL
La RFDPI de Dell SonicWALL puede realizar
comparaciones dentro de archivos, documentos
adjuntos y ciertos archivos comprimidos,
independientemente de su tamaño, y transformarlos
según sea necesario para efectuar la comparación con
patrones normalizados. El algoritmo subyacente bajo
la RFDPI de Dell SonicWALL aplica autómatas finitos
deterministas (Deterministic Finite Automata, DFA) para
proporcionar una comparación determinista de baja
latencia.
La RFDPI permite a los cortafuegos de próxima
generación de Dell SonicWALL ampliar su protección
para bloquear malware. Las soluciones más
competitivas disponibles son capaces de escanear
únicamente seis protocolos (HTTP, SMTP, IMAP, POP3,
FTP y SMB), proporcionando un falso sentido de
seguridad, ya que el tráfico malicioso transmitido a
través de cualquier otro protocolo no se ve sometido a
inspección. Únicamente la RFDPI de Dell SonicWALL
escanea cada paquete en todos los puertos y
protocolos en todo momento, con tecnología
completa anti-x para permitir la detección y el bloqueo
de virus conocidos y malware, independientemente del
protocolo de transmisión.
Sin embargo, la RFDPI de Dell SonicWALL es capaz de
hacer mucho más que la simple comparación de
patrones. Cuando se crean firmas, también se tienen en
cuenta datos como, por ejemplo, los tipos de paquetes.
Si se determinara que un tipo de paquetes particular
(por ejemplo ICMP cifrado) está siendo utilizado
exclusivamente por software malicioso, dicho archivo
se consideraría malicioso basándose únicamente en
dicho principio. La tecnología inteligente de detección
de malware de Dell SonicWALL busca elementos en el
flujo que contengan código peligroso y puede analizar
a través de la envoltura benigna de bits no importantes.
Adicionalmente, cuando se trata de determinar
vulnerabilidades como parte del escaneado de
archivos, la RFDPI es capaz de analizar números
mágicos (valores enteros utilizados para determinar
formatos de archivos) y, a continuación, contrastarlos
con listas predefinidas para comparar los valores de los
contenidos de archivos reales frente a los esperados.
Estas técnicas permiten al motor de RFDPI de Dell
SonicWALL identificar nuevas variantes de malware, que
podrían estar disfrazadas como archivos inocentes,
aunque no se hubieran visto nunca antes.
Muchas de las firmas empleadas por los cortafuegos de
Dell SonicWALL están escritas de forma personalizada
para buscar fragmentos de código específicos
comunes a familias de malware en lugar de variantes
individuales. Esto significa que la RFDPI no necesita
buscar un archivo o ejecutable completo para
determinar si un flujo es malicioso. En su lugar, la RFDPI
puede identificar las partes maliciosas de malware
contenidas en nuevas mutaciones, proporcionando así
un nivel de protección adicional frente a una gran parte
del malware “comercial” utilizado como parte de una
economía sumergida.
El motor de RFDI de Dell SonicWALL ofrece mayor
protección frente a actividades perniciosas gracias al
uso de técnicas heurísticas (basadas en experiencias
anómalas), reduciendo el número de incidentes
resultantes en investigaciones que requieren un
extenso trabajo para buscar en miles de entradas en los
registros del sistema. La creación de una política
inteligente permite funciones heurísticas, como pueden
ser el bloqueo de archivos comprimidos que han sido
protegidos mediante contraseña o el bloqueo de
archivos de MS-Office que contienen macros de Visual
BASIC.
Adicionalmente, las funciones de inteligencia y control
de aplicaciones de Dell SonicWALL utilizan la RFDPI
para escanear cada paquete e identificar las
aplicaciones en uso y quién las está usando. Dell
SonicWALL mantiene una base de datos de firmas para
proteger las redes de forma automática y fluida. Al
escanear minuciosamente todo el tráfico de red,
proporciona inteligencia y control completos de
aplicaciones, independientemente del puerto o el
protocolo, mediante la identificación del tráfico y los
usuarios de las aplicaciones.
Disponible como una licencia complementaria
opcional en modelos específicos, la inspección
profunda de paquetes para SSL (Deep Packet
Inspection for SSL, DPI SSL) amplía la protección al
tráfico con cifrado SSL, permitiendo una conformidad,
un filtrado de contenidos y una prevención de fugas de
datos mejorados, así como la eliminación de otros
factores de malware. El tráfico cifrado se descifra,
inspecciona y se vuelve a cifrar de forma transparente
para el usuario, pudiéndose configurar tanto para
conexiones entrantes como salientes.
De igual forma, los administradores han de poder
visualizar el tráfico de aplicaciones para controlar el uso
de la red y ajustar las políticas de red sobre la base de
observaciones críticas. Dell SonicWALL Application
Flow Monitor ofrece gráficos en tiempo real de la
actividad de las aplicaciones, permitiendo a los
administradores modificar las políticas para mejorar la
6
productividad de la red. Además, esta solución
proporciona NetFlow/IPFIX con exportaciones de
extensiones para análisis y visualización adicionales del
tráfico "off-the-box".
Pruebas de validación de terceros
Por qué debería probar su infraestructura
De acuerdo con el Security Value Map™ de 2012 de
NSS Labs, muchos productos de cortafuegos de
próxima generación han demostrado resultados mixtos.
Las pruebas recientes del grupo NSS Labs ofrecen
datos detallados de eficacia de rendimiento y seguridad
de un amplio espectro de dispositivos en este mercado
cada vez más saturado para permitir a los posibles
compradores tomar decisiones informadas.
Validación de NSS Labs
NSS Labs es líder mundial en la comprobación y
certificación independiente de productos de seguridad.
Sus análisis son conocidos como unas de las pruebas
más completas y realistas del sector hasta la fecha. El
Next Generation Firewall Security Value Map™ (Mapa
de valores de seguridad de cortafuegos de próxima
generación) de NSS Labs describe algunos de sus
hallazgos más importantes, gráficos de índices de
bloqueo (incluyendo protección global, evasiones,
fugas y estabilidad de la seguridad) y precio por Mbps
protegido. Gartner ha reconocido el valor de las
certificaciones de NSS Labs añadiéndolas a la breve lista
de criterios para que los productos logren una
clasificación en el Gartner Magic Quadrant for Network
IPS (Cuadrante mágico de Gartner para IPS de redes).
Desde 1991, NSS Labs ha liderado las comunidades de
investigación y comprobación de la seguridad
informática, proporcionando información única y
valiosa a los encargados de la toma de decisiones de TI.
Resultados de las pruebas de NSS Labs
Recientemente evaluado en el Next-Generation
Firewall Security Value Map™ de 2012 de NSS Labs, el
Dell SonicWALL SuperMassive™ E10800 (que funciona
con el sistema operativo SonicOS 6.0) es el cortafuegos
de próxima generación que ofrece un mayor nivel de
protección global de los que han obtenido la codiciada
clasificación de "Recomendado" de NSS Labs. Del total
de siete cortafuegos de próxima generación evaluados,
únicamente los dispositivos de tres proveedores
lograron la clasificación más alta de "Recomendado" de
NSS Labs, siendo Dell SonicWALL SuperMassive E10800
el que presentó la protección global más alta de los
tres.
"Quienes asocian la marca Dell SonicWALL únicamente
con productos UTM para pymes tendrán que
replantearse su opinión", declaró Vikram Phatak,
Director de Tecnología de NSS Labs. “En combinación
con el sistema operativo SonicOS 6.0, la arquitectura
avanzada de Dell SonicWALL SuperMassive E10800
proporciona un nivel extremadamente alto de
protección y rendimiento para los clientes de entornos
multigigabit avanzados que desean actualizar su
cortafuegos actual a uno de próxima generación”.
Diseñada para cubrir las necesidades de grandes
empresas, organismos gubernamentales, universidades
y proveedores de clientes/servicios múltiples, la serie
Dell SonicWALL SuperMassive E10000 proporciona
escalabilidad, fiabilidad y seguridad profunda a
velocidades multigigabit.
Con la ayuda del motor de RFDPI de SonicWALL, que
escanea cada byte de cada paquete, esta solución
unificada e integrada inspecciona por completo el
contenido de todo el tráfico y ofrece las más avanzadas
funciones de prevención de intrusiones, protección
antimalware, inteligencia, control y visualización de
aplicaciones en tiempo real e inspección para sesiones
cifradas con SSL, garantizando al mismo tiempo un
rendimiento elevado y una baja latencia.
NSS Labs probó el NGFW Dell SonicWALL SuperMassive
E10800 con SonicOS 6.0 basándose en la metodología
NSS NGFW v4.0 (disponible en www.nsslabs.com). Los
resultados clasificaron la estabilidad y fiabilidad del
NGFW de Dell SonicWALL como excelentes, con
puntuaciones del 100% en refuerzo del cortafuegos,
control de aplicaciones y detección de la identidad.
Superó con éxito los 18,9 Gbps del tráfico
inspeccionado. Los hallazgos establecieron que la
solución proporciona "un nivel extraordinariamente alto
de protección y rendimiento”.
Asimismo, en el Security Value Map (SVM) de 2012 de
NSS Labs para soluciones IPS, el cortafuegos de
próxima generación SuperMassive E10800 con IPS
integrado no solo consiguió la codiciada calificación de
"Recomendado" de NSS Labs, sino que además
demostró ser más efectivo que los productos de
7
muchos proveedores de IPS especializados. Según NSS
Labs, "la resistencia a las técnicas evasivas fue perfecta
y el cortafuegos Dell SonicWALL SuperMassive SonicOS
6.0 obtuvo una puntuación del 100% en todas las
pruebas relacionadas". Ni la fragmentación de IP y RPC,
ni la segmentación de flujos TCP, ni la ofuscación de
URL, ni la evasión de HTML y ni la evasión de FTP
lograron que el producto pasara por alto ningún ataque
válido. No solo se bloquearon con éxito los ataques
fragmentados y ofuscados, sino que además todos
ellos fueron correctamente descodificados."
Conclusión
De acuerdo con lo verificado mediante la
comprobación independiente, una arquitectura
multinúcleo con inspección profunda de paquetes sin
reensamblado puede ofrecer protección en
profundidad y altos niveles de rendimiento para
empresas. La arquitectura SonicOS constituye el núcleo
de cada cortafuegos Dell SonicWALL desde la serie TZ
hasta la SuperMassive E10800, por lo que las
organizaciones podrán elegir su producto entre una
amplia gama probada completa y totalmente escalable
para cubrir las necesidades incluso de las redes de
mayor rendimiento.
Los cortafuegos de próxima generación de Dell
SonicWALL, incluidas las series Dell SonicWALL TZ 215,
Network Security Appliance (NSA), E-Class NSA y
SuperMassive E10000, superan las limitaciones de las
soluciones de cortafuegos tradicionales y permiten a
las empresas escalar su seguridad de red para hacer
frente a las exigencias de amenazas emergentes, al
mismo tiempo que garantizan el rendimiento de la red
para alcanzar los objetivos clave del negocio.
Copyright 2012 Dell, Inc. Todos los derechos reservados. Dell SonicWALL es una marca comercial de Dell, Inc. Los demás
nombres de productos y servicios así como los eslóganes de Dell SonicWALL son marcas comerciales de Dell, Inc.
Descargar