Entradas populares

Mostrando entradas con la etiqueta UTM. Mostrar todas las entradas
Mostrando entradas con la etiqueta UTM. Mostrar todas las entradas

martes, 14 de febrero de 2012

Clavister World Class Security, y otros UTM

Este post es una respuesta, sobre el comentario que me deja Xavi en el post comparativa de Firewalls 2011. Básicamente la respuesta es que Clavister es un producto UTM de nicho, que tiene enfrente con la misma filosofía los Juniper SRX (o SSG de netscreen).  ¿De qué trata esta filosofía? Convertir un router en un firewall, ideal para entornos sin usuarios, pocas aplicaciones y con necesidades de control del tráfico a nivel de routing o QoS. Como todos los UTMs, su arquitectura de procesos pasa por ir anidando procesos de control del tráfico en serie. Esta elección de arquitectura de tratamiento de los paquetes es lo que al final, hace dos gamas  de productos de seguridad. 
  • Los primeros son firewalls con el tratamiento del tráfico en paralelo y por lo tanto que no añaden latencia, pero que sobre todo no tienes que tener en cuenta la interacción de un proceso sobre otro. Evidentemente, los primeros son los recomendables para entornos con alta interacción sobre la configuración de los mismos, presentar informes, modificar comportamiento de flujos de tráfico, modificar reglas de las diferentes políticas de seguridad, nat, qos, url filtering..etc.  
  • Los segundos son los UTMs, que son productos que nacieron de un kernel sencillo y que los paquetes son encauzados por una serie de procesos interdependientes. De forma que cualquier fallo, bug o limitación en uno de esos procesos, limita o corta el tráfico. Por ejemplo, útiles en una pyme que instale el UTM para navegar y que luego se olvide. 
Como dos puntos a destacar de Clavister, comentar que no es NGN con el impacto en el cálculo del ROI que eso puede tener, y por otra parte decir que si que ha apostado por integrarse con vmware, para controlar las máquinas virtuales. 
CONCLUSIÓN, yo es un producto que evitaría a no ser que haga algo muy necesario para vosotros. Si quieres un UTM pensaría en Fortinet(Ojo costes ocultos licencias y reporting). Si quieres un NGN, Paloalto.
hth,
Robclav
0 comentarios

viernes, 17 de junio de 2011

Cisco SECUREX, Next Generation....Architecture

Bien, en este blog he analizado algunos de los últimos productos que siguen la estela de Paloalto Networks.  Pero el gigante ha despertado, Cisco enseña sus cartas.(Actualización 18-06-2011)


Checkpoint por ejemplo, uno de los firewalls convencionales que más me gustan para entornos distribuídos, ha sufrido el problema de una maquinaria lenta y anquilosada.  Esto lo ha confirmado el mismo fabricante en la revista SIC. Checkpoint está dando un giro admitiendo que la visibilidad en la red tenia que ser mejorada, pero tiene varios problemas:

  1. El primero es que ha maltratado al canal con unas condiciones de mantenimiento Draconianas. Al final eso seleccionaba el canal, garantizaba unos ingresos importantes,  pero al final el cliente tenia una percepción de CP muy inferior a la calidad real, debido a la imposibilidad(a la práctica) de abrir casos directamente. Así que la mayoría de las instalaciones se aguantaban con pinzas. Y sinó, ¿cuántas veces hemos visto, firewalls CP en activo-pasivo por que el técnico no sabia solucionar el problema de mac multicast de uno de los modos de activo-activo?
  2. El segundo, que son dispositivos muy orientados a multinacionales y que en el resto de segmentos, se habían quedado muy atrás.
 Fortinet, en un artículo de su CEO, reconoce que ahora están evolucionando y que ahora quieren adquirir una empresa que les aporte futuro. Parece que solo ganan las batallas con firewalls convencionales... y cuentas pequeñas.
Pero, ahora viene el notición. Al menos para mí.(gracias VICTOR)
Parece que CISCO ya tiene su respuesta. Y no estamos hablando de una start-up de cuatro estudiantes en un garaje. La propuesta de Cisco se llama SECUREX(Sí, tiene nombre de condón). Promete hacer varias cosas que hace muy bien los PAN....y algunas más.
Seguramente, se acerca más a la seguridad normativa clásica, en la cual tiene en cuenta TODOS los activos de la red. Un ejemplo, seria si una persona está en el edificio o está de vacaciones. Y este tipo de cosas. 
Pero a parte de que solo conozco lo que dice en la web Cisco securex, la clave sería ver cuantos elementos hacen falta para que esta arquitectura funcione.  Si se trata de un ex-Cisco MARS+ASA+HIPS+IDP+Cisco Works+NAC, seguramente es más sencillo, reconfigurar una IOS para que comporte como un Paloalto.
Si es un appliance que hace todo eso, habrá que seguirlo. Evidentemente si está basado en IOS y no han hecho un refrito de FINESE(ahora ASA) versión UTM.  En la web, a veces parece una arquitectura y otras una tecnología que incorporan los ASAs(Ojo con la madurez de la solución). Los betatesters pueden sufrir bastante o cisquearse para siempre. 
Aún así tendremos que ver precios, cumplimiento de expectativas y evolución de PAN que en cada versión saca un conejo de la chistera.
Por cierto a PAN, le pediría que hubiese una parte de soporte abierta para no partners. Así como carta a los reyes. A Cisco, que alguien me aclarase las dudas.


Actualización: Me temo que los peores presagios se han confirmado. Cisco, tiene todo esto en punto muerto, http://etherealmind.com/cisco-securex-empty-words/
Robclav
0 comentarios

viernes, 6 de mayo de 2011

Comparativa de firewalls 2011. Mi cuadrante mágico

Me ha llegado un correo de José Luís que me comenta que esta pensando en actualizar sus firewall Stonesoft y cual sería mi recomendación. En tu caso concreto la clave sería que no estuvieses utilizando el multipoint entry para vpn basada en certificados. Según el escenario que me describes, puedes aprovechar el módulo de WAF que viene con los PAN que te protege contra las vulnerabilidades de esos servicios y en concreto contra cualquier tipo de ataques de vulnerabilidad del servidor cross-site scripting, injección de SQL, pero no de la programación de la web como los intentos de escalado de privilegios. Hay muy pocos WAF que te protejan de esto. Revisa el producto de WAF de IMPERVA que es el mejor.






Fabricante
SC
ST
SD
I
RU
FC
AA
ME
IPv6
FD
IDP
VPN
SSL
GC
OP
R
D
E
H
RobClavTotal
Paloalto
4
5
5
5
4
4
4
5
4
5
5
4
2
2
4
5
5
5
4
81
Cisco ASA
3
4
2
2
3
2
3
4!
4
3
2
5
5
2
3
4
5
5
4
61+4= 65
Juniper
3
4
2
2
4
3
3
5
4
5
3
4
1
3
3
4
5
5
5
68
Checkpoint
1
3
3
5*
3
D
2
1
2
4
2
3
1
5
1
4
5
5
D
45+5+D+D= 56
Stonesoft
3
3
3
4
3
D
2
1
2
4
2
5
1
5
3
4
5
4
D
54+D+D= 60
Fortinet(UTM)
4
2
4
4*
3
4
3
1
3
2
4
4
3
4
3
1
2
2
D
49+4+D= 56
Otros UTM
5
1
3
1
3
3
4
1
1
2
4
3
4
1
3
1
1
1
1
43



Notas en la puntuación:
* Algunos de sus últimos productos, no toda la gama.
! MTE, mediante firewalls virtuales, no sobre el chasis principal
D Lo desconozco si lo permite auque sea integrando un tercer producto. Los valoro como 3, para no adulterar el resultado.


Puntuación de 1 a 5, atribuíble al producto no a la implantación de la solución.
1.     muy insatisfecho, con esta información hubiese elegido otro firewall.
2.     Insatisfecho. No cumple los objetivos marcados.
3.     Satisfecho. Cumple la mayoría de objetivos.
4.     Muy satisfecho. Cumple todos los objetivos marcados.
5.     Por encima de sus expectativas. Lo recomienda como caso de éxito.


Leyenda:
SC.-Satisfacción departamento compras
ST.-Satisfacción departamento técnico
SD.-Satisfacción dirección
I.-Inteligencia en la detección de aplicaciones, métodos de evasion/ofuscación y tunnelling.
RU.- Reglas de seguridad, nat, qos, ipsec o url filtering por usuario.
QoS.- Gestión de la utilización del ancho de banda disponible.
FC.- Capacidad de creación de reglas complejas de filtrado de contenido. (Control parental de navegación)
AA.- Antivirus, detección de ataques de dia 0, keyloggers, troyanos y virus de red.
IPv6.- Preparado para afrontar los nuevos retos de IPv6.
MT.-Múltiples tablas de enrutamiento, para implementar doble pila IPv4-ipv6 sin problemas de asimétrias por vlan. De esto puede depender el éxito de la migración a IPv6.
FD.-Funcionalidades diferenciales. En el cuadrante mágico de Gartner lo que se denomina visionarios, que viene dado por la inversion en I+D+I.
IDP.- Detección y protección ante ataques basados en firmas o comportamiento.
VPN.-VPN convencionales del tipo LAN-2-LAN o mediante  cliente,  IPSEC o SSL
SSL.-Con cliente o navegador  con presentación de portal de aplicaciones, tipo citrix.
GC.- Gestión centralizada para multiples firewalls. Reglas multifirewall, reglas expecíficas, Actualización del software desde el servidor central, centralización de logs.
OP.- Costes operacionales de licencias de mantenimiento del firewall y facilidad de encontrar personal cualificado o formarlo.
R.-Rendimiento de los equipos con todas las funcionalidades en marcha.
D.-Cumplimiento de todas las funcionalidades que anuncia el datasheet.
E.-SLA de HA, Estabilidad del producto una vez configurado.
T.-Total de puntos por firewall
H.-Seguridad desde el host que se conecta. NAC




José Luís, mi recomendación es que pidas una demo(Gratuita y sin compromiso) de Paloalto y dejarás de tener dudas. Sino tienes una integradora de confianza, envíame un correo y se lo reenvío al mayorista que te ayudará a elegir una integradora que se ajuste a tus criterios.


Me comenta JL, que StoneGate esta a punto de sacar un nuevo firewall de nueva generación, veremos  que tal.

Crear un comentario o un correo si hay alguna puntuación que no estéis de acuerdo o si conocéis algo que yo no.
HTH
RobClav

13 comentarios
Suscribirse a: Entradas (Atom)