Paloalto se deja querer...por Cisco

(Antes de leer este Post, revisar el siguiente. Parece que es la noticia es un mito...)
Paloalto Networks es la presa para abatir. Es un caramelito que cotiza en bolsa, que tiene varios pretendientes. En concreto esta confirmado que Cisco ofreció este verano 2,4 Billones de dólares por su compra, la gente de PAN dijo que no. PERO, porque les han pedido 4 Billones de dólares.

Fuent :http://www.bradreese.com/blog/panw-7-24-2012.htm

Todo esto podrian ser rumores intencionados de los competidores, de Cisco o incluso internos, pero hay un hecho que es clave. Desde la salida a bolsa, se llego a un acuerdo que durante 6 meses no se podían vender acciones. No obstante, se pueden "cambiar" en el mercado secundario. Y la gran pregunta es, ¿quién lo esta haciendo? 

"The largest fraction of the shares on offer is 1.5 million being offered by Globespan Capital Partners. Tenaya Capital is selling 566,000 shares and Nir Zuk, the company’s CTO, is selling 200,000 shares."
Imporante tener en cuenta que cuando Nir Zuk vende las acciones, debe ser porque se prepara para montar su siguiente start-up. http://247wallst.com/2012/10/18/palo-alto-networks-slides-on-secondary-offering/

Mientras las negociaciones de compra, se suceden, a nivel tecnológico los competidores han puesto sus motores de I+D+i , a toda máquina. Y a nivel de discurso todos han conseguido atrapar a Palaolto,

Cisco con su tecnología ASA-X ya permite trabajar con usuarios y aplicaciones. Fortinet, hace tiempo que lo permitía y el rival más fuerte en ponerse las pilas es Checkpoint. 

Con independencia del look and feel, las opciones integradas de estas funcionalidades que centran el foco en el usuario y aplicacioón, los otros fabricantes ofrecen otras cosas. 

En el caso de Fortinet, tiene un portfolio dentro de la seguridad perimetral muy extenso y que cubre casi todas las necesidades que se pueden ocurrir. Incluyendo la revisión de código, cache, anti-spam..etc Aunque a nivel de firewall sea sensiblemente inferior que los PAN.

Checkpoint, dispone de facilidades claramente expuestas anteriormente en la gestión de bases grandes instaladas. Por otra parte, el producto de DLP, la parte de antispam o la solución de endpoint, hacen de una solución orientada a gran cuenta con pocos competidores.

Finalmente, Cisco ASA tiene un nicho de negocio muy claro. Donde esta apostando firmemente y que cobra mucho sentido si cierra la compra de Palaolto: VPNSSL

Históricamente Juniper SA ahora MAG, era claramente lider natural. Pero tal y como refleja el último Gartner, Cisco esta muy, muy, pero que muy cerca de Juniper. Además hay que contar con el TAC y la fuerza de ventas de Cisco, que lo hacen un claro depredador de otras empresas con menos cuerpo.

http://www.computing.es/comunicaciones/tendencias/1037001000301/gartner-cuadrante-magico-ssl-vpn.1.html

Conclusión: Con todo esto, Paloalto queda claro que es diferencial en el campo de NGN, que el resto de competidores están cada vez más cerca y además tiene funcionalidades diferenciales fuera del alcance clásico de firewall y que el escenario cambiará mucho en el supuesto que sea comprado finalmente por Cisco.

hth,

Robclav

NGFirewall Evolution: Políticas reputacionales por usuario

Hoy he estado en un evento de uno de esos gigantes de la informática que arrastran tanta historia como portfolio. El asunto es que entre sus filas cuentan con gente muy orientada a la innovación en los sistemas integrados.
Desde el principio los sistemas informáticos pertenecían a las empresas y los trabajadores hacían un uso más o menos personal, para acceder a información corporativa básicamente.  El ocio se realizaba con el teléfono, el salas, en el bar....
Ahora todo esto se desarrolla dentro de nuestros sistemas de información y bajo nuestra responsabilidad, pero además tenemos muchos más sistemas exógenos. Por ejemplo los móviles, las "tablet" o los portátiles personales. Sin contar las legiones de consultores externos conectados en salas adhoc vía wifi o con NAC de lógica "boleana".

De forma que parte de la infraestructura no es de la organización, parte de la información almacenada y transportada tampoco y se presupone la utilización de los recursos de la empresa para ocio y networking empresarial.
Por si faltase algo a esta mezcla explosiva, tenemos que añadir que los usuarios son móviles, tenemos oficinas distribuidas en diferentes países y aplicaciones publicadas en la nube.

Con todo este escenario he proyectado una nueva innovación en IPs a los firewalls, políticas de usuario por reputación:

1. Asignar una cuota en una SAN, en función del contenido y antiguedad de los ficheros de forma automática.
2. Penalizar o proteger el uso de ancho de banda en función de la categorización de las recursos visitados.
3. Aplicar inspecciones, auditorías y capturas de tráfico en función del histórico de un usuario.
4. Restringir el acceso a redes o servidores en función de comportamientos de modificación de usuarios con comportamiento similar en la red. 
5. Aplicar policy based routing hacia líneas de bajo coste para aquellos usuarios con categorización histórica no productiva.
6. Desencriptar el tráfico de aquellos usuarios que tengan incidentes de fuga de información.

Como os podéis imaginar este producto no existe, pero sería increíblemente fácil gestionar una dispositivo con cierta inteligencia para evolucionar la configuración inicial.

hth,

Robclav

¿Dos fabricantes para doble barrera perimetral o solo uno?

Llevo un par de semanas con este debate: ¿Un doble barrera de firewalls con tecnología de firewalls diferente en las dos coronas, es más segura que una doble barrera de los mismos equipos?

La verdad es que me estaba replanteando este axioma, la respuesta muy clara. Evidentemente en el momento que un atacante tiene que atravesar dos tecologías diferentes de firewalls, lo tiene mucho más difícil. 

Por simplificarlo, el atacante tiene que buscar una vulnerabilidad común entre los dos fabricantes, además de conocer la tecnología de la corona interna.
Debajo os copio, un par de entradas de blog que ilustran mi reflexión. Todas las imágenes de este post, son de Banksy, para mi uno de los pocos artistas que ayudan a pensar, y que aportan algo rupturista a la altura de la tecnología:


"Desde los autobuses lanzan mensajes frívolos, que insinúan que no eres lo suficientemente sexy, y que todo lo divertido está ocurriendo en otro lugar. 

Desde la televisión hacen que tu novia sienta que no da la talla. Tienen acceso a la tecnología más sofisticada del mundo y te intimidan con ella: 

Ellos son los publicistas, y se están riendo de ti". Banksy 

"En este diseño un atacante desde el exterior deberá de conseguir “romper” una doble barrera. Si estos dos firewall son de fabricantes o tecnología diferente será más difícil de saltar la seguridad en el caso de encontrarse por ejemplo una vulnerabilidad en el software de un único firewall." sergvergara


"Doble barrera perimetral es la forma de instalar un router hacia una configuracióndonde se coloca un cortafuegos entre Internet y los servidores web y el otrofirewall protege la red interna de los servidores web. La configuración de lo queofrece una doble protección contra las fugas-asegurado y la infiltraciónmediante la colocación de dos barreras entre su red local y el ciberespacio.

Ventajas
El beneficio general evidente es la seguridad de la red mayor. Cuando la gestión o navegar por un sitio, el usuario opera dentro de la red interna, con seguridad aislada de la red del ISP. Las coberturas de doble firewall de la redinterna y sus bases de datos de las posibles perturbaciones que afecten a los servidores web. También es más difícil para un intruso para imitar un usuario autorizado a la red está doblemente protegida.


Desventajas
Instalación y mantenimiento de dos servidores de seguridad puede ser relativamente costoso y el trabajo intensivo, sobre todo para un profano. Undoble cortafuegos puede causar problemas de conexión a Internet y desaceleraciones."can-network-double-firewalled






Atrévete a pensar por ti mismo,
Robclav

Comparativa de firewalls 2011. Mi cuadrante mágico

Me ha llegado un correo de José Luís que me comenta que esta pensando en actualizar sus firewall Stonesoft y cual sería mi recomendación. En tu caso concreto la clave sería que no estuvieses utilizando el multipoint entry para vpn basada en certificados. Según el escenario que me describes, puedes aprovechar el módulo de WAF que viene con los PAN que te protege contra las vulnerabilidades de esos servicios y en concreto contra cualquier tipo de ataques de vulnerabilidad del servidor cross-site scripting, injección de SQL, pero no de la programación de la web como los intentos de escalado de privilegios. Hay muy pocos WAF que te protejan de esto. Revisa el producto de WAF de IMPERVA que es el mejor.

Fabricante	SC	ST	SD	I	RU	FC	AA	ME	IPv6	FD	IDP	VPN	SSL	GC	OP	R	D	E	H	RobClavTotal
Paloalto	4	5	5	5	4	4	4	5	4	5	5	4	2	2	4	5	5	5	4	81
Cisco ASA	3	4	2	2	3	2	3	4!	4	3	2	5	5	2	3	4	5	5	4	61+4= 65
Juniper	3	4	2	2	4	3	3	5	4	5	3	4	1	3	3	4	5	5	5	68
Checkpoint	1	3	3	5*	3	D	2	1	2	4	2	3	1	5	1	4	5	5	D	45+5+D+D= 56
Stonesoft	3	3	3	4	3	D	2	1	2	4	2	5	1	5	3	4	5	4	D	54+D+D= 60
Fortinet(UTM)	4	2	4	4*	3	4	3	1	3	2	4	4	3	4	3	1	2	2	D	49+4+D= 56
Otros UTM	5	1	3	1	3	3	4	1	1	2	4	3	4	1	3	1	1	1	1	43

Notas en la puntuación:

* Algunos de sus últimos productos, no toda la gama.

! MTE, mediante firewalls virtuales, no sobre el chasis principal

D Lo desconozco si lo permite auque sea integrando un tercer producto. Los valoro como 3, para no adulterar el resultado.

Puntuación de 1 a 5, atribuíble al producto no a la implantación de la solución.

1.     muy insatisfecho, con esta información hubiese elegido otro firewall.
2.     Insatisfecho. No cumple los objetivos marcados.
3.     Satisfecho. Cumple la mayoría de objetivos.
4.     Muy satisfecho. Cumple todos los objetivos marcados.
5.     Por encima de sus expectativas. Lo recomienda como caso de éxito.

Leyenda:

SC.-Satisfacción departamento compras

ST.-Satisfacción departamento técnico

SD.-Satisfacción dirección

I.-Inteligencia en la detección de aplicaciones, métodos de evasion/ofuscación y tunnelling.

RU.- Reglas de seguridad, nat, qos, ipsec o url filtering por usuario.

QoS.- Gestión de la utilización del ancho de banda disponible.

FC.- Capacidad de creación de reglas complejas de filtrado de contenido. (Control parental de navegación)

AA.- Antivirus, detección de ataques de dia 0, keyloggers, troyanos y virus de red.

IPv6.- Preparado para afrontar los nuevos retos de IPv6.

MT.-Múltiples tablas de enrutamiento, para implementar doble pila IPv4-ipv6 sin problemas de asimétrias por vlan. De esto puede depender el éxito de la migración a IPv6.

FD.-Funcionalidades diferenciales. En el cuadrante mágico de Gartner lo que se denomina visionarios, que viene dado por la inversion en I+D+I.

IDP.- Detección y protección ante ataques basados en firmas o comportamiento.

VPN.-VPN convencionales del tipo LAN-2-LAN o mediante  cliente,  IPSEC o SSL

SSL.-Con cliente o navegador  con presentación de portal de aplicaciones, tipo citrix.

GC.- Gestión centralizada para multiples firewalls. Reglas multifirewall, reglas expecíficas, Actualización del software desde el servidor central, centralización de logs.

OP.- Costes operacionales de licencias de mantenimiento del firewall y facilidad de encontrar personal cualificado o formarlo.

R.-Rendimiento de los equipos con todas las funcionalidades en marcha.

D.-Cumplimiento de todas las funcionalidades que anuncia el datasheet.

E.-SLA de HA, Estabilidad del producto una vez configurado.

T.-Total de puntos por firewall

H.-Seguridad desde el host que se conecta. NAC

José Luís, mi recomendación es que pidas una demo(Gratuita y sin compromiso) de Paloalto y dejarás de tener dudas. Sino tienes una integradora de confianza, envíame un correo y se lo reenvío al mayorista que te ayudará a elegir una integradora que se ajuste a tus criterios.

Me comenta JL, que StoneGate esta a punto de sacar un nuevo firewall de nueva generación, veremos  que tal.

Crear un comentario o un correo si hay alguna puntuación que no estéis de acuerdo o si conocéis algo que yo no.

HTH

RobClav