Cazadores de Mitos: Paloalto finalmente no esta en venta

No se si habéis visto algún capítulo de estos dos científicos locos, pero se dedican a la demostración o refutación de mitos. Yo vi un capítulo, donde demostraban que era cierto que un ejercito había demolido un puente, al caminar la tropas a un ritmo que provocaba una vibración concreta. Con dicha vibración el puente empezó a vibrar hasta su demolición.

Pues algo así me ha pasado con la noticia del post pasado, que ha generado tanta expectación como comentarios. Al final me ha llegado la refutación de la noticia, Palaolto no está en venta. Y tampoco ha mantenido negociaciones con Cisco. Pues vaya chasco, porque entonces no entiendo que pasa con el departamento de seguridad de Cisco. Ya que las mejoras prometidas como reconocimiento de aplicaciones, reglas por usuario y demás, están por llegar. Los equipos no han avanzado nada en años, y para colmo la persecución de los NGN la tienen muy lejos. 

Hth,

Robclav

Paloalto se deja querer...por Cisco

(Antes de leer este Post, revisar el siguiente. Parece que es la noticia es un mito...)
Paloalto Networks es la presa para abatir. Es un caramelito que cotiza en bolsa, que tiene varios pretendientes. En concreto esta confirmado que Cisco ofreció este verano 2,4 Billones de dólares por su compra, la gente de PAN dijo que no. PERO, porque les han pedido 4 Billones de dólares.

Fuent :http://www.bradreese.com/blog/panw-7-24-2012.htm

Todo esto podrian ser rumores intencionados de los competidores, de Cisco o incluso internos, pero hay un hecho que es clave. Desde la salida a bolsa, se llego a un acuerdo que durante 6 meses no se podían vender acciones. No obstante, se pueden "cambiar" en el mercado secundario. Y la gran pregunta es, ¿quién lo esta haciendo? 

"The largest fraction of the shares on offer is 1.5 million being offered by Globespan Capital Partners. Tenaya Capital is selling 566,000 shares and Nir Zuk, the company’s CTO, is selling 200,000 shares."
Imporante tener en cuenta que cuando Nir Zuk vende las acciones, debe ser porque se prepara para montar su siguiente start-up. http://247wallst.com/2012/10/18/palo-alto-networks-slides-on-secondary-offering/

Mientras las negociaciones de compra, se suceden, a nivel tecnológico los competidores han puesto sus motores de I+D+i , a toda máquina. Y a nivel de discurso todos han conseguido atrapar a Palaolto,

Cisco con su tecnología ASA-X ya permite trabajar con usuarios y aplicaciones. Fortinet, hace tiempo que lo permitía y el rival más fuerte en ponerse las pilas es Checkpoint. 

Con independencia del look and feel, las opciones integradas de estas funcionalidades que centran el foco en el usuario y aplicacioón, los otros fabricantes ofrecen otras cosas. 

En el caso de Fortinet, tiene un portfolio dentro de la seguridad perimetral muy extenso y que cubre casi todas las necesidades que se pueden ocurrir. Incluyendo la revisión de código, cache, anti-spam..etc Aunque a nivel de firewall sea sensiblemente inferior que los PAN.

Checkpoint, dispone de facilidades claramente expuestas anteriormente en la gestión de bases grandes instaladas. Por otra parte, el producto de DLP, la parte de antispam o la solución de endpoint, hacen de una solución orientada a gran cuenta con pocos competidores.

Finalmente, Cisco ASA tiene un nicho de negocio muy claro. Donde esta apostando firmemente y que cobra mucho sentido si cierra la compra de Palaolto: VPNSSL

Históricamente Juniper SA ahora MAG, era claramente lider natural. Pero tal y como refleja el último Gartner, Cisco esta muy, muy, pero que muy cerca de Juniper. Además hay que contar con el TAC y la fuerza de ventas de Cisco, que lo hacen un claro depredador de otras empresas con menos cuerpo.

http://www.computing.es/comunicaciones/tendencias/1037001000301/gartner-cuadrante-magico-ssl-vpn.1.html

Conclusión: Con todo esto, Paloalto queda claro que es diferencial en el campo de NGN, que el resto de competidores están cada vez más cerca y además tiene funcionalidades diferenciales fuera del alcance clásico de firewall y que el escenario cambiará mucho en el supuesto que sea comprado finalmente por Cisco.

hth,

Robclav

Master Class protección web con Palaolto Networks

Miércoles 09:30 CEST Gran Hotel Central.Via Laietana 30,Barcelona. Evento Exclusive Networks-PAN España.

Empezó la sesión de Master Class con regusto (legal) +++The Mentor+++ Manifiesto Hacker 1986 por parte de Jesús Díez System Engineer de Paloalto Networks.

Para los que no conozcáis a Jesús, como me pasaba a mí hasta el miércoles, es uno de esos ingenieros con un discurso sencillo, apasionado, mordaz y experimentado en auditorías de seguridad. Por asimilarlo, seria una versión formal de Chema Alonso.

Vaya uno de esos pocos conferenciantes que puede convertir un evento en una experiencia: discusiones de hacking sobre Cross-site scripting, SQL injection, parameter tampering, ejecución de comandos de SO y acceso completo a la Shell. Todo esto con una web de e-commerce de ejemplo a modo de punching ball, siguiendo la estela de WebGoat de la comunidad OWASP

Evidentemente el ejercicio consistió en destrozar todas las protecciones del portal y demostrarlo con escalado de privilegios, acceso a información sensible o cosas simples del tipo enviarte productos de forma gratuita.

Algunas de las claves de la sesiones fueron:

• Explicación de fases clásicas de ataque.
• Utilización de Herramienta proxy Paros.-MiM web con spider y crowler de pasivo y activo.
• Explotación de información del fichero /robots.txt que se crea para los spiders oficiales tipo google.
• Deconstrucción de la programación de las web. Vector de ataque fijado en las comprovaciones realizadas en el lado del usuario. Ej, bypass de la comprovación de las tarjetas bancarias mediant algoritmo LUHN.Luhn_algorithm
• Identificación de codificación Grupo64 que oculta datos sensibles y acceleración del desencriptado de MD5 sin usar Johntheripper, sino mediante BBDD online.
• Explotación automátizada de ataques de inyección de código SQL usando Sqlix

Finalización de la sesión con la creación de CONTRAMEDIDAS en el PALOALTO.


A destacar, la diferenciación entre los motores de aprendizaje dinámico del comportamiento esperado de las webs,  de los mejores WAF y la diferencia con PAN.  Por otra parte, creo que la exposición del final, fue clave para entender la orientación de algunas herramientas integradas en los PAN como puede ser la desencriptación del tráfico SSL.  Un ejemplo seria, descargar del trabajo de cifrado SSL a los servidores internos de la dmz, y poder tratar al tráfico en claro. Por otra parte, la utilización de los filtros por tipo de fichero y firmas de DLP hicieron prácticamente el resto.

Valoración del evento: IMPRESCINDIBLE y DIVERTIDO

hth,

Robclav

¿Dos fabricantes para doble barrera perimetral o solo uno?

Llevo un par de semanas con este debate: ¿Un doble barrera de firewalls con tecnología de firewalls diferente en las dos coronas, es más segura que una doble barrera de los mismos equipos?

La verdad es que me estaba replanteando este axioma, la respuesta muy clara. Evidentemente en el momento que un atacante tiene que atravesar dos tecologías diferentes de firewalls, lo tiene mucho más difícil. 

Por simplificarlo, el atacante tiene que buscar una vulnerabilidad común entre los dos fabricantes, además de conocer la tecnología de la corona interna.
Debajo os copio, un par de entradas de blog que ilustran mi reflexión. Todas las imágenes de este post, son de Banksy, para mi uno de los pocos artistas que ayudan a pensar, y que aportan algo rupturista a la altura de la tecnología:


"Desde los autobuses lanzan mensajes frívolos, que insinúan que no eres lo suficientemente sexy, y que todo lo divertido está ocurriendo en otro lugar. 

Desde la televisión hacen que tu novia sienta que no da la talla. Tienen acceso a la tecnología más sofisticada del mundo y te intimidan con ella: 

Ellos son los publicistas, y se están riendo de ti". Banksy 

"En este diseño un atacante desde el exterior deberá de conseguir “romper” una doble barrera. Si estos dos firewall son de fabricantes o tecnología diferente será más difícil de saltar la seguridad en el caso de encontrarse por ejemplo una vulnerabilidad en el software de un único firewall." sergvergara


"Doble barrera perimetral es la forma de instalar un router hacia una configuracióndonde se coloca un cortafuegos entre Internet y los servidores web y el otrofirewall protege la red interna de los servidores web. La configuración de lo queofrece una doble protección contra las fugas-asegurado y la infiltraciónmediante la colocación de dos barreras entre su red local y el ciberespacio.

Ventajas
El beneficio general evidente es la seguridad de la red mayor. Cuando la gestión o navegar por un sitio, el usuario opera dentro de la red interna, con seguridad aislada de la red del ISP. Las coberturas de doble firewall de la redinterna y sus bases de datos de las posibles perturbaciones que afecten a los servidores web. También es más difícil para un intruso para imitar un usuario autorizado a la red está doblemente protegida.


Desventajas
Instalación y mantenimiento de dos servidores de seguridad puede ser relativamente costoso y el trabajo intensivo, sobre todo para un profano. Undoble cortafuegos puede causar problemas de conexión a Internet y desaceleraciones."can-network-double-firewalled






Atrévete a pensar por ti mismo,
Robclav

Paloalto 200 NFR gracias a Exclusive Networks

Hace ya unos años que conozco Paloalto Networks, y desde entonces he sido un firme promotor de una solución tan claramente avanzada. En este sentido he creado comparativas de firewalls para poner distancia con los productos, siendo el resultado el mismo.  Paloalto siempre ha liderado la vanguardia de los productos de protección de nuestras redes. 


Esta convicción me llevo hace un tiempo a incluir los PAN al porfolio y también a evangelizar sobre la evolución que suponene respecto a los actuales firewalls mediante tareas de desarrollo de negocio y lateralmente también a través del blog. Así que Exclusive Networks me ha proporcionado un Paloalto 200 NFR (durante un año) para que lo ponga a prueba( y deje en paz nuestros equipos de demo para clientes )


Eso sí,  no soy el único, Gartner ha hecho lo mismo y el resultado ha sido la confirmación gráfica de mi comparativa de firewalls de este año. Hay que aclarar que Gartner tiene en cuenta aspectos asociados a la tecnología (Visionarios)  y aspectos de negocio (habilidad de ejecución) como puede ser cuota de mercado.


El único "pero" es que estaba preparando mi propia comparativa de firewalls 2012, y veo que los resultados son similares. Ahora bien, yo solo tengo en cuenta aspectos no relativos a negocio. 
Los firewalls evaluados por orden de puntuación son: PaloAlto, Fortinet, Checkpoint, Stonesoft, Juniper SRX, Astaro(Sophos), Barracuda y Cisco ASA.


En poco tiempo he recibido buenos feedbacks del blog. El primero de Google AdSense, el segundo de Exclusive Networks y el tercero de Gartner. En palabras de Steve Jobs, no se pueden conectar los puntos hacia adelante, solo hacia atrás, como está pasando.




Merry Xmas,
RobClav

Paloalto 4.1, nuevas funcionalidades nuevas posibilidades

Paloalto Networks no quiere que sus perseguidores le atrapen, de forma que se ha propuesto ofrecer a sus clientes, nuevas funcionalidades cada seis meses.Por cierto, de forma gratuita con el mantenimiento, sin tener que pagar licencias de actualizaciones.  
Estos serían los titulares de las nuevas funcionalidades:

Las más relevantes para mí serian:

• Soporte VPN para MAC y iphone.
•  Soporte del protocolo dinámico de routing multicast PIM en su modo SPARSE y Source Specific Multicast. Evidentmente también soporta su escudero IGMP hasta la versión 3. Un aspecto a tener en cuenta es que se crean zonas nuevas para aplicar políticas a este tipo de tráfico.
• Mejora del rendimiento y solución de problemas de saturación procesos del GUI.
• Commit separado por políticas y objetos o por cambios de la pestaña network y dispositivo. Mejorando los tiempos de aplicación.
• Configuración en la misma política de la acción para una categoría de web o url. Hasta ahora, se configuraba también en la política, pero tenías que hacer un paso más creando un perfil adicional de protección para esa/s categoría/s.
• Unificación del cliente vpn(Netconnect) y del suplicante NAC(Globalprotect). Soporte para multigateway, función hasta ahora exclusiva de los StoneGates.

• WildFire. Advance Malware Detection. Servicio en la red de detección y protección de malware de día 0.
• Finalmente, dar la bienvenida a un nuevo miembro de la familia PAN, el PAN 200 para SOHO.

Hth,

robclav

Buy it, use it, break it, fix it, Trash it, change it: CISCO IOS FIREWALL

¿Tienes un antiguo router CISCO encima de un armario? Pues tienes un tesoro.

Si bien la empresa de san francisco ha dejado en vía muerta el desarrollo de la seguridad, solo ha roto esta regla para crear un pseudo-firewall con un router.

En este caso, un router Cisco con IOS firewall, trata el tráfico como stateful, soporta diccionario de inspección, asegura el cumplimiento de los protocolos, incorpora las herramientas conocidas contra ataques de denegación de servicio, antispoofing, limita las tormentas de broadcast, 2400 firmas de IPs y control por patrones del tráfico(DLP).

Cuando puede ser útil, teniendo equipos como Paloalto networks, en entornos donde tengamos que participar por ejemplo de MPLS, WCCP, GLBP, HSRP, EIGRP, MSDP, PPoE, PPoA,PFr, túneles GRE y Protocolos de routing sobre IPV6. 

Tantos acrónimos me suenan a Tecnologic de Daft Punk

Un ejemplo de la configuración de un router configurado con Firewall Basado en Zonas sería:

Crear las diferentes zonas de seguridad, en función de la confianza del tráfico:

zone security outside (siguiendo nomenclature de pix/asa)

zone security inside (siguiendo nomenclature de pix/asa)

Clasificamos el tráfico para luego tratarlo de una forma o de otra

class-map type inspect match-any  robclav_tcp_udp

match ip protocol TCP

match ip protocol UCP

class-map type inspect match-any usuarios

match ip address 1

access-list 1 permit 192.168.1.0 0.0.0.255

Y deciidimos el tratamientoCrear la policy type inspect

policy-map type inspect PM_TCP_UDP

class robclav_TCP_UPD

inspect

Aplicarlo a una dirección y/o a otra

zone-pair security zp_tcp_udp source inside destination outside 

service-policy type inspect pm_tcp_UDP

Finalmente asignamos las interficies a las zonas:

robclavR1(conft)int fa 0/0

robclavR1(conft-int)zone security inside

robclavR1(conft)int fa 0/1

robclavR1(conft-int)zone security outside

De todos modos, si disfrutas de la configuración de la IOS Firewall, lo siguiente es hacer una videorespuesta a DaftPunk bodies, pero con los comandos de Flexible Packet Matching, control-Plane Protection y CBAC

HTH,
RobClav

"Cuanto más sudes ahora, menos sangrarás en el campo de batalla". Troubleshooting Paloalto

¿Se te ha puesto esta cara con algunos problermas de PAN? Tranquilo, seguro que nadie te hará una foto ;)

Problemas inesperados entre la capa de gestión(Candidate config) y la de ejecución del Paloalto(running config).

• No se puede sincronizar la configuración entre el activo y el pasivo.
• No se puede hacer un commit al principal. Dice que ha perdido la conexión con el servidor de gestión(Cannot connect with the management server)
• El commit tarda mucho o el commit cada vez es mas lento.

Solución: Resetar los procesos de management server y device server. 

Background: Los demonios no se depuran y crecen muriendo por lentos. Hay diversas causas como el navegador.

NOTA: Este reset de procesos no afecta al tráfico que pasa por el equipo. Se puede hacer sin esperar a una ventana de intervención, sería como cerrar el navegador y volverlo abrir.

Ejecutar desde CLI:(Ni caso que se llame debug)

1. debug software restart management-server
2. debug software restart device-server

Hacer un show system resources para verificar que los procesos se han reiniciado.

BUG, de identificación de usuarios mediante pan-agent y directorio Activo.

• Los usuarios validados en el Directorio Activo se saltan las reglas de seguretat. Son identificados dentro del dominio pero aparecen como desconocidos(unknown). Todos los usuarios pueden hacer todo lo que permitan las reglas con usuarios.

Solución: Hacer un upgrade del agente cuando sala la nova versión. 

Mitigación, desactivar la comprobación por netbios y en el servicio de PANAGENT, configurar las tres acciones para cuando se quede colgado, como reiniciar.

Aplicaciones o comunicaciones lentas:

• PAN, no deja pasar los paquetes ICMP code 4 type 3(Fragmentation needed) que notifican que la mtu es demasiado grande. Eso implica que ciertas conexiones(VPN, WIFI y WANs) funcionen muy lentas. 

Solución: Definir una custom application con icmp code 4 pero en la regla de seguridad definir el servicio como default-application.

Permitir toda la navegación, no solo http y https.

Crear una "application filter" por tecnología: Browser-based. Son 489 aplicaciones como web-browsing(http), ssl, flash, youtube, facebook...etc

Ver la configuración formato comando y no estructura xml (Muy útil para cisqueros)
 set cli config-output-format set

Robclav

Cisco SECUREX, Next Generation....Architecture

Bien, en este blog he analizado algunos de los últimos productos que siguen la estela de Paloalto Networks.  Pero el gigante ha despertado, Cisco enseña sus cartas.(Actualización 18-06-2011)

Checkpoint por ejemplo, uno de los firewalls convencionales que más me gustan para entornos distribuídos, ha sufrido el problema de una maquinaria lenta y anquilosada.  Esto lo ha confirmado el mismo fabricante en la revista SIC. Checkpoint está dando un giro admitiendo que la visibilidad en la red tenia que ser mejorada, pero tiene varios problemas:

1. El primero es que ha maltratado al canal con unas condiciones de mantenimiento Draconianas. Al final eso seleccionaba el canal, garantizaba unos ingresos importantes,  pero al final el cliente tenia una percepción de CP muy inferior a la calidad real, debido a la imposibilidad(a la práctica) de abrir casos directamente. Así que la mayoría de las instalaciones se aguantaban con pinzas. Y sinó, ¿cuántas veces hemos visto, firewalls CP en activo-pasivo por que el técnico no sabia solucionar el problema de mac multicast de uno de los modos de activo-activo?
2. El segundo, que son dispositivos muy orientados a multinacionales y que en el resto de segmentos, se habían quedado muy atrás.

 Fortinet, en un artículo de su CEO, reconoce que ahora están evolucionando y que ahora quieren adquirir una empresa que les aporte futuro. Parece que solo ganan las batallas con firewalls convencionales... y cuentas pequeñas.
Pero, ahora viene el notición. Al menos para mí.(gracias VICTOR)
Parece que CISCO ya tiene su respuesta. Y no estamos hablando de una start-up de cuatro estudiantes en un garaje. La propuesta de Cisco se llama SECUREX(Sí, tiene nombre de condón). Promete hacer varias cosas que hace muy bien los PAN....y algunas más.
Seguramente, se acerca más a la seguridad normativa clásica, en la cual tiene en cuenta TODOS los activos de la red. Un ejemplo, seria si una persona está en el edificio o está de vacaciones. Y este tipo de cosas. 
Pero a parte de que solo conozco lo que dice en la web Cisco securex, la clave sería ver cuantos elementos hacen falta para que esta arquitectura funcione.  Si se trata de un ex-Cisco MARS+ASA+HIPS+IDP+Cisco Works+NAC, seguramente es más sencillo, reconfigurar una IOS para que comporte como un Paloalto.
Si es un appliance que hace todo eso, habrá que seguirlo. Evidentemente si está basado en IOS y no han hecho un refrito de FINESE(ahora ASA) versión UTM.  En la web, a veces parece una arquitectura y otras una tecnología que incorporan los ASAs(Ojo con la madurez de la solución). Los betatesters pueden sufrir bastante o cisquearse para siempre. 
Aún así tendremos que ver precios, cumplimiento de expectativas y evolución de PAN que en cada versión saca un conejo de la chistera.
Por cierto a PAN, le pediría que hubiese una parte de soporte abierta para no partners. Así como carta a los reyes. A Cisco, que alguien me aclarase las dudas.


Actualización: Me temo que los peores presagios se han confirmado. Cisco, tiene todo esto en punto muerto, http://etherealmind.com/cisco-securex-empty-words/
Robclav

Paloalto user identification gathering information from E-directory and third-party LDAP

Hi Folks, these weeks I was working in a Paloalto Networks Firewall integration with E-Directory. In order to did that, Palaolto said to us, we must to upgrade the customer E-directory to higher release or forget it. The same answer for other LDAP connections. At this point, a friend of mine, David Rivas decided to create a Perl script to solve it, and IT WORKS GREAT!! So, all that you to do is:

1. Save the scipt to a perl file(edirectory.pl for instance).
2. Download the perl module. http://www.perl.org
3. Download the PAN API for User-id identification from the PAN support site.
4. Run both scripts, they will talk together.
5. Check it at the paloalto using: show pan-agent or show user pan-agent statistics
6. Write me a comment ;)

Obviously, you can find more info at: https://live.paloaltonetworks.com/thread/2175
You can find more information about David Rivas at 
http://es.linkedin.com/pub/david-rivas-cordero/21/694/664

BUT, if you need more help about this problem, don't hesitate to contact me. 

Robclav

# Created by David Rivas. Barcelona 2011

# Comments added by Robclav

#!/usr/bin/perl -w

use PAN::API;

use Net::LDAP;

#put the domain of e-directory

my $domain = "dominio";

#put the ip address of e-directory server

$ldap = Net::LDAP->new ( "192.168.1.1" ) or die "$@";

#put ldap credentials, user and password

$ldap->bind ( "cn=user,dc=$domain", password => "password", version => 3 );          # use for changes/edits

#this sub creates a LDAP search

sub LDAPsearch

        {

          my ($ldap,$searchString,$attrs,$base) = @_ ;

          if (!$base ) { $base = "dc=$domain"; }

          if (!$attrs ) { $attrs = ['cn','networkAddress' ]; }

          my $result = $ldap->search (

                base    => "$base",

                scope   => "sub",

                filter  => "$searchString",

                attrs   =>  $attrs

                );

        }

    my @Attrs = ();             

#you can consult all attributes using @Attrs instead of 'networkAddress'

my $attrs = ['cn', 'networkAddress' ];

#loop to check e-directory information every 20 seconds

while(1){

sleep 20;

my $result = LDAPsearch($ldap,"sn=*",$attrs);

        my $href = $result->as_struct;

        my @arrayOfDNs  = keys %$href ;

        foreach (@arrayOfDNs) {

           my $valref = $$href{$_};

           my @arrayOfAttrs = sort keys %$valref;

           my $attrName;

  my $userName ='';

  my $IPAddress= '';

  

           foreach $attrName (@arrayOfAttrs) {

             # skip any binary data:

             next if ( $attrName =~ /;binary$/ );

             # get the attribute value (pointer) using the

             # attribute name as the hash

             $attrVal =  @$valref{$attrName} ;

   #print " @$attrVal \n";

#print "$attrName \n";

$string = 'networkaddress';

if ($attrName eq $string) {

#print "\t $attrName: @$attrVal \n";

$network = "@$attrVal \n";

#printf "variable entera: $network \n";

($type,$rest) = split(/#/,$network);

#uncoment next line to debug the information obtained of e-directroy

#printf "Type: %d # Rest: %vd\n", $type, $rest;

if ($type==1 || $type==9) {

#change the substring values 2, and 4 to select correctly the bytes (substrng)

#that corresponds to the ipaddress

$addr = substr($rest,2,4);

#print "substring: $addr \n";

$ip_addr = sprintf("%vd\n", $addr);

#print "decoded ip: $ip_addr";

$networkAddress = $ip_addr;

$IPAddress = $networkAddress;

}

} else {

$user = "@$attrVal";

$userName = $user;

}

             }

 

#Only sends information of users that have networkAddress

#the users that are not logged would be excluded

if($IPAddress ne ''){

print "$userName $IPAddress \n";

#put the useridagent ip

$useridagent    = '192.168.1.2';

$useridapi      = PAN::API::UID->new($useridagent);

$useridapi->login("$domain"."\\"."$userName",$IPAddress);

}

  

         }

}