B&V Informática y Comunicaciones

Control de Aplicaciones y Seguridad Web: Next Generation Firewalls Sergio Rodríguez- Director Comercial B&V Informática y Comunicaciones Infocaldero X. Nov-2010

¿Os suenan estas cuestiones? ¿Cómo evito que se envíen datos críticos a través de FTP/hotmail/gmail… ? Las aplicaciones web importantes funcionan muy despacio (a veces). ¿Quién o qué consume más ancho de banda? (y en qué?) No quiero P2P en mi red!! Necesito que alcaldía acceda a su perfil Facebook, pero solo ellos ¿Podrán hackear la web que acabo de publicar para acceso a ciudadanos? La transferencia de video /audio“mata” al resto de aplicaciones

Tenemos que dar respuesta a… 4 Que hay realmente en mi red? Donde se va mi Ancho de Banda? Cómo le doy prioridad a lo que realmente es importante? Cómo distingo entre usuarios/grupos? Cómo protejo mi red, a nivel perimetral e interno? Cómo aseguro los servidores públicos?

Vamos paso a paso… 5 Que hay realmente en mi red? Donde se va mi Ancho de Banda? Cómo le doy prioridad a lo que realmente es importante? Cómo distingo entre usuarios/grupos? Cómo protejo mi red, a nivel perimetral e interno?

Enfoque tradicional:Puertos/IPs 6 Streaming VideoStreaming Audio Business ApplicationsBrowser-based Gaming HTTP/HTTPS (80/443) Streaming Video Streaming Audio Browser Gaming Business Applications Flash Media uses RTMP and its tunneling variants RTMPT (tunnel over HTTP) RTMPS (tunnel over HTTPS) Es un uso eficiente del Ancho de Banda disponible?

Que puertos usan estas aplicaciones? 7 QlikView (Business)QuakeLiveSkype Live MeetingRuneScapeDropBox 80, 5222, La caza del puerto es una manera eficaz de usar el tiempo de TI? 443, ??? 43594, 43595, , 443, , 8057, 443, 5061, /TCP 17500/UDP

Puedo tratar a todos los usuarios por igual? Ejemplo Determinadas concejalías necesitan acceso a Facebook (cercanos a la ciudadanía) pero por esto tengo que abrirlo a todo el mundo/ a todas horas.? Cómo me aseguro de que se use solamente para este propósito? – FarmVille, es un juego online con 400 millones de usuarios registrados, con más de 80 millones concurrentes! El juego consiste en mantener una granja! 8

Conclusión: El control basado en puertos/IP no es la respuesta hoy 9 Stateful Firewall 80 = HTTP 443 = HTTPS 21 = FTP 3389 =RDP Firewall Report(protocolos) -Algo de tráfico web -Algo de tráfico HTTPS -Algo de tráfico FTP -Algo de tráfico RDP TODO ESTÁ BIEN! Firewall Report(protocolos) -Algo de tráfico web -Algo de tráfico HTTPS -Algo de tráfico FTP -Algo de tráfico RDP TODO ESTÁ BIEN! Web Traffic

Necesitamos herramientas ágiles: concepto Next Generation Firewall Sonicwall CONFIDENTIAL All Rights Reserved 10 Application Chaos Muchos en puerto 80 Apps críticas Priorizar Ancho de Banda Apps uso aceptable Gestionar Ancho Banda Apps prohibidas Bloquear Identificar Por aplicación - No por puerto/protocolo Por Usuario/Grupo -No por IP Por contenido -Nom por nombre de fichero Categorizar Por aplicación Por grupo de aplicación Por Destino Por contenido Por usuario/grupo Usuarios/Grupos Entrante Controlar Priorizar aplicaciones Gestionar aplicaciones Bloquear aplicaciones Detectar y proteger de malware Detectar y proteger de intrusiones Políticas Visualizar y gestionar políticas Cloud-Based Extra-Firewall Intelligence Saliente Malware Blocked Massively Scalable Next-Generation Security Platform High Performance Multi-Core Re-Assembly Free DPI Visualizar

Identificar – Por Aplicacion 11

Identificar – Por Usuario 12

Categorizar 13

Control 14

Control - Detalle acciones 15

Visualizar – Flujo en Tiempo Real 16

Visualizar - Aplicaciones 17

Plataformas Sonicwall Application Intelligence 18 Serie TZ  Solamente TZ 210 Toda la Serie NSA y NSA E-Class

Controlar no solamente el perímetro: Caso Ayuntamiento Elda Caso de Ayuntamiento de Elda: Segmentar para: – Prevenir “Contagios” masivos – Localizar caídas/cuellos botella – Control Aplicaciones/Usuarios entre segmentos – Zonas seguras/no seguras – Posibilidades y control total – Otros Beneficios: HA Balanceo WAN Integración WiFi

Controlar no solamente el perímetro: Caso Ayuntamiento de Elda (2)

Controlar no solamente el perímetro: Caso Ayuntamiento de Elda (3)

Pero ahora también tengo que ser “ISP”… 22 Cómo aseguro los servidores públicos?

Arquitectura Aplicación Web 23 Firewall Hardened OS Web Server App Server Databases Legacy Systems Web Services Directories Human Resrcs Billing Custom Code Acceso a aplicación web Network Layer Application Layer Accounts Finance Administration Transactions Communication Knowledge Mgmt E-Commerce Bus. Functions Código personalizado

Seguridad en las aplicaciones web ¿Por qué es necesaria la seguridad en las aplicaciones web? El escenario ha cambiado, más del 75% de los ataques se realizan a aplicaciones web Apertura online de las administraciones al ciudadano (Ley 11) Tecnología de red no es suficiente Técnicas de ataque sencillas: sólo necesito un navegador (y google?) Preocupa: – Robo de información/Datos confidenciales – Suplantación Identidad. – Interrupción servicio – Imagen y Confianza al ciudadano. 24

Algunos ejemplos… 25

Errores más comunes Tengo SSL, ya estoy seguro Tengo un firewall, ya estoy seguro Mis datos están encriptados, ya estoy seguro Verifico mi aplicación web una vez al año, ya estoy seguro Nunca me ha pasado nada 26

Seguridad en aplicaciones web ¿Por qué no simplemente modificamos el código? Seguridad en las aplicaciones web, dos opciones: Web Application Security Vulnerability Management: Testing de las aplicaciones web Web Application Firewall: Firewall de aplicaciones que bloquea ataques web basado en vulnerabilidades conocidas 27

28 ¿Cómo funciona la tecnología WAF? Entradas - HTTP request headers, cookies, POST data, query string, response headers and content Una lista de firmas que contiene todos los patrones anormales Inspect input entities for pattern match Signature Database Pattern Matche d? Log Event Error Page to client Prevent Enabled ? Forward request to backend No Yes No Yes

Consideraciones – tráfico SSL Secure Socket Layer (SSL). Tráfico SSL típicamente se descifra en el servidor web, debemos considerar que su web application firewall WAF sea capaz de desencriptar el tráfico y verificar que el contenido de los datos sea correcto. La operación de descifrado de SSL se mueve del servidor web al WAF. WAF inspecciona los datos y deja pasar sólo las buenas peticiones al servidor web: Reverse Proxy. Firewall no es válido: No es Reverse Proxy. 29

SSL VPN es la plataforma Arquitectura Reverse Proxy Beneficios de integrar WAF en la plataforma SSL VPN – Controles de política basados en identidad – Tráfico con baja latencia – SSL Offloading (descargar al servidor web de las tareas de encriptar) Además: – Acceso remoto (VPN y portales aplicaciones) – Asistencia técnica remota – Securización de Wifi – Etc. 30

Escenario genérico Independiente de la infraestructura actual del Cliente. Independiente del dispositivo de acceso, PC o Mobile 31 SRA 4200 SRA EX 6000/7000

Resúmen Conclusiones 32 Cambio en el enfoque tradicional de seguridad. Controlar a nivel de aplicaciones Tener herramientas para tomar decisiones y realizar acciones en tiempo real. Plantear la posibilidad de dividir para aislar problemas. Ley 11/2007, de 22 de junio, de acceso electrónico de los ciudadanos a los Servicios Públicos. Externalizar la protección in house.

Q&A 33 A mi o a Isaac (jeje )

34 Muchas gracias! Sergio Rodríguez