Estoy de acuerdo con algunas de las consideraciones dadas anteriormente sobre cuánto puede innovar cuando dirige una empresa ya establecida, que debe hacer que sus funciones funcionen para los clientes existentes.
Sin embargo, no estoy de acuerdo cuando leo que las características de NGFW como Palo Alto están presentes en software como ISA o CheckPoint de la generación anterior. Hasta cierto punto, Microsoft, por supuesto, puede realizar tareas como la identificación de usuario NTLM, y CheckPoint puede exprimir alguna característica en la parte superior de un motor antiguo, pero aquí hay un cambio de paradigma completamente diferente entre los firewalls de la vieja y la nueva generación. Tecnológicamente, es la misma diferencia que el antiguo IDS / IPS y los nuevos firewalls web y de aplicaciones: los primeros están basados en paquetes y enfocados en protocolos OSI de capa 3, mientras que los últimos están basados en transmisiones y enfocados en OSI capa 7 protocolos
La tecnología de nivel de paquete proviene de los tiempos en que los dispositivos no podían realmente manejar una cantidad de tráfico rápida y cuantitativamente significativa, y en su mayoría se preocupaban por detener las amenazas de nivel de conexión, como ataques como “Pitufo” o violaciones de protocolo / conexión, o necesitaban hacer cumplir un conjunto de reglas específico basado en una topología (por ejemplo, el tráfico proveniente de las redes internas puede llegar al puerto 80 de un servidor específico que solo pasa por una DMZ, etc.).
Cuando trabaja a nivel de paquete, tiene problemas para reconstruir ataques que implican lógica de capa 7, como por ejemplo “este tipo de archivo de Office solo puede llegar a este servidor de archivos cuando se envía desde este usuario desde esta red lógica”. Para lograr esto, un firewall de capa 3 en realidad tiene que almacenar una gran parte del archivo y hacer mucho trabajo de reensamblaje, posiblemente disminuyendo el tráfico significativamente; Lo más importante es que no se ha concebido para hacer eso, por lo que requiere la programación de un nuevo tipo de lógica sobre un motor antiguo, lo que agrega mucha complejidad. Por ejemplo, cosas como la identificación de los usuarios de los tipos de archivos deben construirse en la parte superior del motor, y desafortunadamente los tipos de archivos a veces pueden ser desalentadores para identificar porque los identificadores de archivos clave están presentes al final del archivo (como en los archivos de MS Office) .
Cuando trabaja en el nivel de transmisión, el motor realmente se preocupa un poco menos por los paquetes individuales, pero mantiene en la memoria toda la transmisión y puede comenzar a escanear los protocolos y archivos tan pronto como lleguen los paquetes.
Por supuesto, ambos tienen que volver a montar los protocolos, pero en el nuevo enfoque, los motores están diseñados para eso: esta es la diferencia.
La ventaja de los motores basados en transmisión es que pueden aprovechar cosas como subprocesamiento múltiple de CPU, mapeo y transferencia directa de memoria desde tarjetas de red, y aceleración basada en hardware para operaciones como manipulación de paquetes en las tarjetas de red y descifrado SSL / TLS y cifrado
Este tipo de operaciones son mucho más difíciles de lograr cuando se miran los paquetes individuales, porque tiene mucho que volver a armar antes de poder elaborar una lógica de protocolo.
Al trabajar a nivel de flujo, con sistemas lo suficientemente potentes, puede, por ejemplo, reconstruir la lógica de las aplicaciones web: ¿es esta solicitud lógicamente coherente con las anteriores? ¿Se envía la respuesta del servidor web al mismo cliente? ¿Se reutiliza la ID de sesión cuando no debería? – o ataques DNS o NTP, y así sucesivamente.
¡Algunos motores de código abierto como Suricata incluso le permiten ejecutar scripts en lugar de las viejas reglas similares a Snort! Esto significa que otra ventaja de este tipo de motores es que puede crear reglas basadas en anomalías mucho más fácil que con el tipo anterior.
La regla final es: es más difícil construir nuevas reglas sobre un motor viejo, y los firewalls tradicionales se han vuelto obsoletos. Algunos proveedores como Juniper en realidad están descontinuando sus productos IDS / IPS independientes, a favor de integrar sus motores en sus firewalls de nueva generación.
¿Por qué las compañías de firewall ‘tradicionales’ como Checkpoint no lograron innovar en los ‘firewalls de próxima generación’ (como comercializa Palo Alto Networks)? ¿Cómo son los dos diferentes arquitectónicamente?
Related Content
¿Cuál es el mejor sistema operativo de prueba de penetración?
Cómo eliminar el virus troyano Artemis
¿Cuál es la mejor configuración de seguridad informática? ¿Antivirus, cortafuegos, etc.?
La respuesta es “una miríada de razones”, pero realmente se trata de urgencia y mensajes. En mi opinión, Checkpoint y Palo Alto no están tan lejos cuando se trata de funciones, pero cuando se trata de una gran empresa establecida que necesita mantenerse estable, no puede correr los riesgos que las empresas más jóvenes pueden asumir.
Tenga en cuenta que las características básicas de los firewalls de Palo Alto estuvieron presentes en Raptor fw en 1998 (Raptor Firewall 6.5) e incluso MSFT ISA hace más de una década. Palo Alto simplemente quería más en el mercado y se ejecutaba mejor (y no está de más tener un equipo de ingeniería rockstar).
Entonces, si somos ingenuos y observamos OSI, la mayoría de los firewalls basados en reglas (incluso hoy) se basan en permitir o denegar un canal de comunicación en función de sus propiedades de capa3.
Ahora, lo que se requiere son más o menos puertas de enlace de aplicación que inspeccionen todas las capas hasta la capa de aplicación. Algunos nuevos incluso llegan a verificar la capa 8, la capa humana a través de la autenticación de dos factores con token.
¿Por qué no innovaron? Lo hicieron y están innovando. Es que esta tarea requiere una enorme cantidad de poder de cómputo por paquete y desde aquellos buenos viejos tiempos de gloria, el ancho de banda disponible había crecido de conexiones T1 fraccionales súper costosas a conexiones de 10GB con precios casi comodity. En conjunto, esto hace que la inspección profunda efectiva del tráfico sea formidable.
A esto se agrega el hecho de que cada vez más tráfico se encripta a niveles cada vez más fuertes, lo que dificulta la inspección.
Esta es la esperanza en el horizonte a través de la comunidad y la gestión de amenazas a través de servicios en la nube. Esta última moda parece más prometedora, pero también es más compleja.
Es difícil detectar un próximo cambio de paradigma. Tenían mucha inversión en su método. Entonces hay una escalada del efecto de compromiso. Cambiar a un nuevo método de detección requiere tiempo y dinero para investigar ese método sin garantía de retorno de la inversión. Para el momento en que ven qué método funciona, llegan tarde al juego y, mientras tanto, han perdido la confianza crítica del cliente.
More Interesting
¿Cerrar los puertos de salida hará que una red doméstica sea más segura?
¿Qué software antivirus proporciona protección avanzada contra malware y spywares?
Cómo eliminar un virus del sector de arranque
¿Cómo empiezo con la ciberseguridad?
Cómo asegurar un sistema de Windows para autodestruirse si el PW de inicio de sesión incorrecto
¿Qué sucede detrás de la pantalla una vez que haces clic en Guardar contraseña?
Cómo usar Wireshark para detectar amenazas
¿Qué es más seguro, el cifrado de enlaces o el cifrado de extremo a extremo?
Cómo eliminar el malware go ad spaceship.com
