El giro de Cisco, descubriendo tecnología emergente (I)

Cisco ha centrado sus esfuerzos de I+D+i en tres áreas principales: movilidad, convergencia IP y datacenters en la nube. Eso deja al descubierto algunas áreas que son consideradas colapsadas y con un margen en caída libre. Todo esto queda claro revisando las sesiones del Cisco Live (antes Cisco Networkers) y para simplificar sus broachure de sesiones enfocadas a Service Provider, CIO Cisco Live SP Broachure.
Todo esto está muy bien, pero podríamos decir que todos los fabricantes y algunas integradoras anuncian lo mismo, pero en que se traduce en CISCO? Para contestar a esta preguntas os pongo algunos ejemplos del calado de su apuesta, por cierto una lástima que la seguridad no sea foco.

• Nueva oficina, no problem. Router/Firewall/servidor multipropósito/call manager/wifi/dhcp/dns e un solo equipo. (En la imagen falta icono servidores virtuales)

Los ISR Generation 2 (Los routers, alma y estandarte del prestigio de la empresa), pueden albergar una solución VMWARE ESXi mediante un módulo insertado en uno de sus slots, de forma que se integren servidores virtualizados en el router. Imaginate, envías un router con los servidores necesarios para funcionar dentro de él mismo. Un envío+una configuración+un responsable=menos problemas.

• Securización de los escritorios virtualizados, ¿porqué dejarlo en manos de casas de antivirus?

Cisco Finesse agent (sistema operativo de los Pixes, que ahora se llaman ASA) para la securización de virtual desktop, facilitar los servicios de comunicaciones unificadas(voz y video-conferencia) mediante agente.

• Cisco Virtualization eXperience Infraestructure VXI. Arquitectura end-to-end con elementos de otros fabricantes como Citrix, para ofrecer todo el entorno virtualizado. cisco-announces-desktop-ambitions

(Continua en el post II)
RobClav

Usuarios móviles:Zscaler, seguridad escalable

Es un contrasentido que la mayoría de las organizaciones sufrán por los problemas que les acarrea tener un porcentaje creciente de usuarios móviles, y sigan intentando resolver estos problemas mediante soluciones centralizadas."No podemos resolver problemas de la misma manera que los creamos" Albert Einstein. Haz tu seguridad escalable, con ZScaler
Y cuando habla de usuarios móviles me refiero, a aquellos usuarios que trabajan desde fuera de la infraestructura ya sea con smartphones, portátiles o tablets.
Muchas organizaciones disponen de dispositivos, que les ayudan con filtrado de tráfico web, antivirus, DLP, QoS y antispam. Pero la mayoría de ellas, solo pueden realizar esta tarea en el caso que los usuarios pasen el tráfico por su salida perimetral. Para esto, los usuarios que están fuera se instalan VPNS y se sobredimensiona la linea a Internet doblando los requerimientos al necesitar el ancho de banda de entrada sin filtrar y el de salida filtrato a internet. Por otra parte, en el caso que los usuarios sean de oficinas pequeñas se tiene que contar, con los dispositivos, licencias, mantenimiento, obsolescencia tencológica y las horas hombre de administración para cada ubicación. 
Bien, ¿y que propongo?
Protección universal de filtrado de URL,contenido y spam, estés donde estés, te conectes como te conectes. Ahhhhhhhh!!! me estás hablando de una solución en la nube de esas??? Sí, pero olvídate de la etiqueta "en-la-nube", piensa que tu empresa tiene sedes por todo el mundo.

• Departamento técnico bajo tu mando que se encarga de las copias de seguridad con capacidad de 6 meses mínimo(Sin agregación de logs y url C-O-M-P-L-E-T-A) y un máximo de 7 años(Sin comprar un SAN).
• Olvídate de la alimentación/refrigeración/sustitución de los appliance, con una consola central de gestión y monitorización,
• Políticas desplegadas en tiempo real en todo el mundo.
• Cumpliendo normativas de protección de los datos. Los datos no se almacenan en los nodos.
• Integración de los usuarios con tu repositorio de usuarios, sea mediante DA federado, ldaps..etc
• Latencia mínima gracias a la inspección simultánea de todos los motores mediante tencología SCMA(Escaneo múltiple único Paso)
• Si tienes un problema con un upgrade o una categorización errónea, lo tienen todos los clientes. Así que no tienes que pelearte tres horas para escalar un bug que en función de tu grado de cliente para EEUU, seguramente estás al nivel de General Electric o Apple en imporatncia para dedicar un equipo de desarrolladores(o eres the last monkey from P.I.G.S?)
• Olvídate de como se configura el enésimo sistema de seguridad que tienes bajo tu responsabilidad y sus tropecientos "truquitos" para conseguir que el jefe vea porno bloomberg. Llámas a un único teléfono para que "se miren" nosequé del antivirus, o de la cuarentena del spam para la secretaria, del primo del cuñado del CFO.

• Y las categorías de URLs están preparadas para el mundo empresarial. Lo que para el departamento financiero se conoce como análisys de la competencia y por lo tanto, clasificado como Work-Related search. Para el resto de departamentos puede ser la categoría, NO-MIRES-YOUTUBE.
• Las licencias son nóminales pero abiertas en número de dispositivos. Así que su hija de 3 años, podrá seguir mirando Teo se va a la playa, en el ipad de su padre. Y su padre continuar con los balances sementrales top-secret, con control de fugas de información(Integra funciones de DLP)
• El dimensionamiento no es un prioritario, si tienes que crecer, no te preocupes, encima saldrá más económico porque el precio baja cuanto más usuarios contrates.
• Y finalmente, puedes controlar el consumo de ancho de banda por aplicación, por usuario etc.

 Si después de todas estas razones crees que es mejor tener una caja por cada CPD, los conocimientos y el tiempo para cada una, tengo una mala noticia. Además los informes son en tiempo real. Sí, de cualquier momento, cualquier consulta.

Core Security: Comparativa 2012 de Vulnerability Assesment(Hacking)

¿Qué sistemas automátizado de Hacking ético es el mejor del mercado? ¿Es Core Impact un buen producto? Bien, pues contestando a un buen amigo que me pide opinión del producto VA Core Security, sí, es un buen producto. Es más se trata del segundo fabricante de un producto orientado a la auditoría de seguridad automatizada. El segundo (ficticio) es McAfee, pero hay que aclarar que es la suite de assement integrada con el Policy orchestrator. Vaya que lo mismo que te hace el inventariado y te desplega políticas de antivirus, te analiza el estado de los dispositivos. Dicho de otra forma, es una orientación para el departamento informático de un cliente final y no para integradora.

El número uno Qualys, ya lo conocemos en modo appliance y en modo SaaS. En las dos integradoras Gold Parnter de Cisco que trabajaba, se utilizaba. Como todo depende de como lo configures, pero un buen producto.

Por otra parte, Qualys y Core security, comparten una orientación a integradora. Pero leyendo el informe de Gartner y viendo las funcionalidades del segundo parece que está más enfocado a la parte de móviles que no el primero. Diferencia muy importante.  Y segundo parece una empresa con un perfil más agresivo-intrusivo, de forma que sus objetivos en la auditoría son más ambiciosos.

Comparativa VA Gartner

Resumen, Core Impact es un visionario tipo Paloalto en los NGN, y Qualys sería un producto maduro y poco más conservador.

hth,

Robclav

¿Dos fabricantes para doble barrera perimetral o solo uno?

Llevo un par de semanas con este debate: ¿Un doble barrera de firewalls con tecnología de firewalls diferente en las dos coronas, es más segura que una doble barrera de los mismos equipos?

La verdad es que me estaba replanteando este axioma, la respuesta muy clara. Evidentemente en el momento que un atacante tiene que atravesar dos tecologías diferentes de firewalls, lo tiene mucho más difícil. 

Por simplificarlo, el atacante tiene que buscar una vulnerabilidad común entre los dos fabricantes, además de conocer la tecnología de la corona interna.
Debajo os copio, un par de entradas de blog que ilustran mi reflexión. Todas las imágenes de este post, son de Banksy, para mi uno de los pocos artistas que ayudan a pensar, y que aportan algo rupturista a la altura de la tecnología:


"Desde los autobuses lanzan mensajes frívolos, que insinúan que no eres lo suficientemente sexy, y que todo lo divertido está ocurriendo en otro lugar. 

Desde la televisión hacen que tu novia sienta que no da la talla. Tienen acceso a la tecnología más sofisticada del mundo y te intimidan con ella: 

Ellos son los publicistas, y se están riendo de ti". Banksy 

"En este diseño un atacante desde el exterior deberá de conseguir “romper” una doble barrera. Si estos dos firewall son de fabricantes o tecnología diferente será más difícil de saltar la seguridad en el caso de encontrarse por ejemplo una vulnerabilidad en el software de un único firewall." sergvergara


"Doble barrera perimetral es la forma de instalar un router hacia una configuracióndonde se coloca un cortafuegos entre Internet y los servidores web y el otrofirewall protege la red interna de los servidores web. La configuración de lo queofrece una doble protección contra las fugas-asegurado y la infiltraciónmediante la colocación de dos barreras entre su red local y el ciberespacio.

Ventajas
El beneficio general evidente es la seguridad de la red mayor. Cuando la gestión o navegar por un sitio, el usuario opera dentro de la red interna, con seguridad aislada de la red del ISP. Las coberturas de doble firewall de la redinterna y sus bases de datos de las posibles perturbaciones que afecten a los servidores web. También es más difícil para un intruso para imitar un usuario autorizado a la red está doblemente protegida.


Desventajas
Instalación y mantenimiento de dos servidores de seguridad puede ser relativamente costoso y el trabajo intensivo, sobre todo para un profano. Undoble cortafuegos puede causar problemas de conexión a Internet y desaceleraciones."can-network-double-firewalled






Atrévete a pensar por ti mismo,
Robclav