El evento lo inició Alexander Kanin, experto preventa en seguridad de la información en la empresa OCS Distribution. Hoy vamos a hablar sobre el nuevo producto Positive Technologies Next Generation Firewall.
Quería empezar hablando sobre la gama de dispositivos. Todos los modelos PT NGFW tienen la misma funcionalidad y solo se diferencian en el rendimiento. Veamos en qué se diferencian las plataformas y qué tienen en común.
La serie más pequeña, PT NGFW 1010, tiene un diseño de escritorio, al igual que la serie PT NGFW 1050, y las series 20xx - 30xx tienen un aspecto similar. Si comparamos las plataformas, los modelos más pequeños, PT NGFW 1010 y PT NGFW 1050, están construidos sobre la plataforma Intel Atom con 4 y 16 núcleos respectivamente, la línea media o corporativa PT NGFW 2010-2020 tiene 16 y 24 núcleos, y la PT NGFW 2050 es una plataforma de dos sockets, es decir, dos procesadores de 16 núcleos cada uno, lo que da un total de 32. Los modelos más grandes, que se comercializan como dispositivos para centros de datos, también son plataformas de dos sockets, dos de 24 núcleos y dos de 32 núcleos. En cuanto a la memoria RAM, PT NGFW 1010, PT NGFW 1050 tienen 16 y 64 núcleos, PT NGFW 2010 tiene 128 GB de RAM, PT NGFW 2020, PT NGFW 2040 tienen 256. En la serie 30, en los modelos más grandes, todos los dispositivos tienen 512 GB de memoria. En cuanto al almacenamiento, PT NGFW 1010 y PT NGFW 1050 son discos duros de 250 gigabytes, solo se diferencian en las interfaces, en PT NGFW 1010 es SATA, PT NGFW 1050 es NVMe. En la línea media, todos los dispositivos tienen 240 GB NVMe obligatoriamente, y los más grandes tienen 960 GB también NVMe.
Ahora hablemos de las interfaces. Los dispositivos más pequeños, PT NGFW 1010 y PT NGFW 1050, tienen una configuración de puertos fija. Son dos puertos SFP+, de 10 Gbit, dos combinados, es decir, compartidos, ya sea SFP, ya sea RG45 de cobre, de 1 Gbit, y cuatro puertos de cobre Gigabit dedicados. PT NGFW 1050 tiene además 4 ranuras para nanoSIM. Esto es una previsión de futuro, por ahora no se utilizan. En el futuro debería aparecer un módulo LTE que permita utilizar también esta interfaz. Las líneas más grandes de las series 20 y 30 no tienen puertos de datos en la base, pero tienen la posibilidad de instalar hasta 5 tarjetas de red. De las tarjetas de red disponibles en este momento, se prevé una tarjeta de cobre Gigabit de cuatro puertos, SFP28 de dos o cuatro puertos de 10-25 gigabits por segundo y una tarjeta con dos puertos QSFP28 de 100 gigabits.
Desde el punto de vista de la gestión, la administración de estos dispositivos. Todos los modelos tienen un puerto de consola, como debe tener cualquier dispositivo de red normal. En las series 20 y 30 hay un puerto BMC para la gestión remota de la plataforma del servidor. Además, todos los modelos tienen un conector VGA, que está previsto para la gestión de módulos de hardware de carga de confianza, que se utiliza en los PAK certificados. En los PAK certificados se utiliza Соболь o Аккорд como módulos de carga.
Todos, incluso los modelos más pequeños, tienen fuentes de alimentación redundantes, lo cual es muy importante para garantizar la tolerancia a fallos. Incluso el PT NGFW 1010 también tiene dos fuentes de alimentación. También me gustaría señalar que el PT NGFW 1010 tiene un diseño sin ventilador.
También cabe señalar que, además de la ejecución de VT-PAK, los NGFW están disponibles como máquinas virtuales, que se suministran como máquinas virtuales ya preparadas, imágenes ya preparadas para KVM y para VMware. También hay dos variantes: 1Dp y 10Dp. Se diferencian en los requisitos. 1Dp son 4 procesadores virtuales, 12 GB de RAM y 30 GB de almacenamiento. En otra máquina virtual, 14 vCPU, 22 GB de RAM y 30 GB de almacenamiento.
Ahora vamos a hablar de en qué se diferencian los modelos en cuanto a rendimiento.
Cabe señalar que, al desarrollar inicialmente el NGFW, Positive Technologies hizo hincapié en el alto rendimiento de su producto. Para ello, tuvieron que escribir el núcleo del producto prácticamente desde cero. Abandonaron por completo el enfoque estándar de Linux en el procesamiento del tráfico, y el resultado fue impresionante. Como puede ver, las cifras presentadas en esta diapositiva corresponden al nivel de los principales proveedores extranjeros, y son ciertamente superiores a las de cualquier competidor nacional. Esto se consigue abandonando el pipeline estándar de procesamiento de paquetes que se utiliza en sistemas Linux. En el NGFW todo el procesamiento se realiza en el espacio de usuario. Positive Technologies renunció al uso de funciones del núcleo para ello, el llamado kernelbypass para el procesamiento de paquetes. Y aislaron los recursos que utilizan los recursos del NGFW. Se trata de núcleos de CPU, memoria, adaptadores de red. También se aplica el enfoque de copia cero o zero-copy. En el PAKlón estándar de Linux, se utilizan diferentes espacios para procesar los paquetes, y al pasar de uno a otro hay que copiar constantemente los datos, lo que introduce importantes retrasos y limitaciones de rendimiento. En este caso, la tarjeta de red, por medio de DMA (Direct Memory Access), escribe los datos directamente en el espacio de usuario, y a partir de ahí, en todas las etapas del procesamiento, la aplicación opera con los datos originales, sin copiarlos cada vez. Además, cada bloque funcional admite el procesamiento de paquetes en lotes, en lugar de individualmente, lo que también reduce los gastos generales. También se puede hablar de la tubería de procesamiento indivisible en su conjunto. Esto implica que el procesamiento de un paquete desde el momento en que se recibe en la tarjeta de red hasta que se envía al puerto de salida, se produce estrictamente en el mismo núcleo de la CPU. Es decir, el curso del flujo no se interrumpe por la ejecución de interrupciones o no es desplazado por otros flujos.
Como puede ver, incluso la plataforma más pequeña puede proporcionar 5,5 gigabits por segundo y 1,3 millones de paquetes por segundo en modo LR7 firewalling y hasta 900 megabits por segundo con IPS. Aquí las cifras se presentan en dos variantes. Es simplemente firewalling y firewalling con IPS. Si se activan todos los módulos de seguridad, entre ellos el antivirus y el filtrado Rally, y el antivirus de flujo, el filtrado RL, el descifrado TLS, probablemente el más exigente de los módulos, entonces, en el modo de todos los módulos, el dispositivo más pequeño proporcionará 100 Mbit por segundo, PT NGFW1050 - 500 Mbit/s, PT NGFW 2010 - 1Gbit/s, PT NGFW 2020 - 2 Gbit/s, PT NGFW 2050 - 5 Gbit/s y los modelos más grandes darán 10 Gbit/s con una diferencia en el número de paquetes por segundo, 15 o 20 millones.
Estas cifras se han tomado de los resultados de las pruebas de carga.
PT utiliza metodologías establecidas para realizar sus pruebas, para que la evaluación sea objetiva y se pueda confiar en ella. Para las pruebas se tomaron como base 2 RFC 3511, ahora ya obsoletas, porque fueron escritas para firewalls de la generación anterior, es decir, para firewalls ordinarios. Y otro RFS que tomaron, es el 9411. Por supuesto, incluye seguridad, IPS, ataques en el tráfico. También incluye TLSDecrypt, es decir, el descifrado del tráfico. Contiene información sobre cómo organizar un entorno de pruebas, contiene configuraciones específicas de cliente-servidor, describe en detalle varias pruebas para evaluar el rendimiento.
Aquí se presenta una de las variantes de RFC, una mezcla de tráfico media que es más representativa de las redes corporativas. La mayor parte es TLS, que representa el 73%, seguido de SMB, HTTP, RDP y otros protocolos de aplicación. De hecho, Positive Technologies comparte activamente los resultados de las pruebas. No solo los resultados, sino también la metodología. Explican y muestran en detalle cómo lo hacen. Por lo tanto, al leer la hoja de datos, realmente se puede confiar en las cifras. No es ningún secreto que las hojas de datos de dispositivos similares de otros fabricantes tienen cifras infladas.
En esta diapositiva vemos los resultados más detallados del dispositivo más grande, el PT NGFW 3040. Aquí hay 160 Gbit/s en modo firewalling a nivel de aplicación con tráfico EMIX. Si activamos IPS en 100.000 firmas, obtendremos 60 Gbit/s y con todos los módulos de seguridad obtendremos 10 Gbit/s.
Hablemos de la protección del plano de gestión.
En esta diapositiva vemos la salida de la consola del dispositivo del comando H-TOP. Este comando muestra cómo se utilizan los procesadores, cómo se emplean. Como puede ver, prácticamente todos los procesadores se utilizan al 100%, excepto uno. Esto habla de la reserva de recursos de la que hablaba antes. Es decir, la mayor parte de los procesadores están ocupados por el núcleo. Esto no significa que estén realmente completamente cargados. Los cargados se ven así para el kernel de Linux, que están ocupados. Un núcleo siempre se asigna para gestionar el propio dispositivo, es decir, está totalmente reservado para este fin. Así, independientemente del flujo de datos que se envíe a la pasarela de seguridad, se ahogue o no, el administrador siempre podrá entrar y resolver el problema. Un núcleo, como he dicho, está reservado para la gestión, todos los demás para el dataplane, y un núcleo también puede estar un poco menos cargado, es una especie de intermediario entre otros núcleos, entre las aplicaciones NGFW. Por supuesto, la tolerancia a fallos es un componente muy importante para cualquier dispositivo de red, y para el NGFW en particular.
Positive Technologies ha implementado un esquema clásico, solo que han abandonado VRRP, aunque no tiene por qué utilizarse. En lugar de VRRP se utiliza un desarrollo propio. Ahora Positive Technologies habla de una cifra aproximada de 300 ms para la conmutación. Por supuesto, como estamos hablando de Stateful Firewalling, es decir, con el mantenimiento de la información de la sesión, entre los nodos Active-Standby se sincronizan todas las tablas necesarias y las tablas de sesión, los registros art, las fibs y otra información. Para que se produzca la convergencia de los protocolos de enrutamiento dinámico al conmutar de un nodo activo a uno de reserva, se admite Graceful-Restart. Lo mismo ocurre con Garpa, que se admite para informar a los clientes de que se ha producido una migración. Se admiten las arquitecturas modernas de centros de datos, Leek-Spine. Es importante señalar que se proporciona una licencia especial para el nodo de reserva, ya que para construir un clúster tolerante a fallos, se necesitan dos dispositivos idénticos y con el mismo licenciamiento.
Sistema de gestión. Cabe señalar de inmediato que, desde el punto de vista de la gestión del dispositivo, aquí se utiliza un módulo separado, y una máquina virtual separada o un appliance virtual. Es decir, si hablamos de un clúster tolerante a fallos de dos NGFW, entonces, de hecho, seguirá habiendo tres dispositivos. Se trata de un módulo de gestión separado, al que se conectan las pasarelas de seguridad, y dos pasarelas de seguridad.
La gestión se realiza a través de este módulo de gestión. En su interior, las pasarelas se conectan a él, se estructuran en una jerarquía. Si hablamos de tolerancia a fallos, entonces dos pasarelas de seguridad conectadas en el sistema de gestión aparecerán como una sola. En el interior construimos una jerarquía, todo empieza con el nivel global, creamos diferentes grupos de dispositivos que añadimos y ya administramos. Resulta muy cómodo, se construye una jerarquía tanto de gestión como de asignación de políticas de seguridad.
Además, cada dispositivo físico puede dividirse en firewalls lógicos. Un contexto virtual es lo mismo que un router virtual en el contexto del enrutamiento. Si necesitamos de alguna manera, lógicamente, de acuerdo con alguna segmentación, dividir la gestión de nuestra infrastructura empresarial, dividir el firewalling, entonces podemos hacerlo con un solo dispositivo.
Actualmente se admiten hasta 256 contextos en cualquier NGFW, y no se requiere ninguna licencia adicional para ello.
Las políticas de seguridad también se aplican a los grupos de dispositivos de acuerdo con la jerarquía establecida, lo que permite adaptarlas a su lógica empresarial. Existe una combinación de reglas pre y post.
Podemos escribir reglas globales que se aplicarán a toda nuestra infraestructura. Estas constan de reglas pre y post. Las reglas pre van al principio de la lista y las reglas post, respectivamente, al final de la lista. Toda nuestra jerarquía anidada, es decir, lo que teníamos bajo global, como, por ejemplo, un grupo de dispositivos, estará dentro. Las reglas pre, por ejemplo, en esta diapositiva de PRE offices, no estarán en medio de global, lo que garantiza una lógica común para toda la infraestructura. A continuación, toda esta lista de reglas se aplica por turnos al tráfico que se está procesando hasta que se activa la primera regla. Se admite el control de usuarios, se supone la integración con Active Directory y Open LDAP. Actualmente solo se admite Active Directory. ¿Cómo se implementa esto? Hay un agente separado que actualmente se encuentra junto con el módulo de gestión, pero se supone que se sacará por separado más adelante, dependiendo de la carga, del rendimiento que se requiera.
Este agente se conecta a ActiveDirectory mediante protocolos seguros (todo está encriptado), lee PLDAP de allí información sobre grupos, información sobre usuarios. También lee el registro de eventos, del que toma información sobre qué usuarios se han conectado a qué máquinas, dónde se han autenticado, compara esta información de usuarios con las máquinas y con sus direcciones IP. Y luego, esta información ya se puede utilizar en las reglas de seguridad.
Control de aplicaciones y subaplicaciones. El producto tiene un número suficientemente grande de firmas de aplicaciones. Aquí es importante señalar que, dado que se trata de un desarrollo nacional, el producto tiene en cuenta un gran número de aplicaciones nacionales.
Podemos reconocer las cosas más populares. Al mismo tiempo, se determina no solo la aplicación, sino también las acciones dentro de esta aplicación. De este modo, podemos, por ejemplo, permitir la descarga desde Yandex.Disk y prohibir la carga en Yandex.Disk. O, por ejemplo, prohibir la música, permitir el vídeo. Las acciones dentro de la aplicación se reconocen exactamente igual que la propia aplicación.
Al mismo tiempo, la base de firmas de aplicaciones es bastante amplia, actualmente se determinan 1687 aplicaciones, y esta lista se actualiza constantemente.
También está presente en el producto la base GeoIP, que permite comparar las direcciones IP que vemos en los disparos, que vemos en el tráfico, con su afiliación geográfica, lo que puede ser importante y conveniente para construir su seguridad.
Es decir, podemos, por ejemplo, prohibir completamente la interacción con las direcciones IP asociadas con los EE.UU. Y una base que se presenta como relevante específicamente para el mercado ruso.
Por supuesto, el ingrediente principal del cortafuegos es IPS. Aquí es imprescindible señalar que las reglas IPS que se utilizan en PT NGFW están escritas por expertos de la propia Postive Technologies, y no son reglas reutilizadas. Están profundamente integradas en el conducto de procesamiento de tráfico, para garantizar un alto rendimiento.
Si, por ejemplo, intenta insertar simplemente sus propias reglas similares, entonces una sola regla puede conducir a una fuerte degradación del rendimiento. Por lo tanto, no debe hacerlo. Postive Technologies ha tenido todo esto en cuenta aquí, un rendimiento tan alto solo se garantiza con sus propias reglas. Además, Postive Technologies lleva mucho tiempo en el mercado de la seguridad de la información. A menudo llevan a cabo diversas investigaciones, realizan auditorías de seguridad, pruebas de pin. Una base de clientes bastante grande se dirige a ellos.
Tenga en cuenta que el número de reglas es diferente en los diferentes dispositivos. En los modelos más jóvenes hasta 10 mil reglas, en las líneas más antiguas hasta 100 mil reglas. Las reglas IPS se pueden perfilar. Podemos seleccionar de ellas las que sean interesantes y relevantes para nuestra infraestructura o para algunos segmentos específicos de nuestra infraestructura, y utilizar solo esas. Y otras, por ejemplo, o bien excluirlas completamente de nuestro perfil, o bien colgar en ellas reglas para que las dejen pasar, no les presten atención.
Inspección TLS. Actualmente se admite Decrypt TLS 1.2 y TLS 1.3. Utilizando reglas de encriptación, puede especificar qué tráfico debe ser desencriptado, qué tráfico debe ser excluido de este proceso.
Esta funcionalidad es necesaria para poder reconocer en general la aplicación en el tráfico encriptado, para aplicarle reglas de seguridad, para analizarla con sistemas externos. Se utiliza el mecanismo de TLS-PROXY transparente directo. También se puede reflejar el tráfico desencriptado. Al reflejar, una copia de dicho tráfico desencriptado se envía a algún sistema externo. Puede ser un sistema de análisis de tráfico, por ejemplo, PTNAT, o puede ser un sistema DLP. Para configurar esta función, es necesario especificar un perfil de reflejo en la regla de desencriptación.
Y en el perfil ya se especifican las interfaces a las que se transferirá la copia del tráfico.
Si hablamos de la flexibilidad en la configuración que existe actualmente en el sistema, aquí se puede señalar que para cada regla hay un amplio conjunto de acciones.
Así, por ejemplo, se puede permitir el tráfico, se puede hacer "denegar", es decir, prohibir con notificación, se puede simplemente soltar, es decir, descartar el paquete, sin notificar a las partes de la comunicación lo que ha sucedido, se puede romper la sesión enviando TSP-reset al cliente, TSP-reset al servidor o en ambos sentidos.
Lo mismo ocurre con el registro. El registro está configurado con bastante detalle. Aquí también puede elegir varias opciones de acciones cuando se activan las reglas.
Se puede registrar algo, algo no registrar. Se puede, cada vez que se activa una regla, escribir en el registro. Se puede hacer de tal manera que al principio de la sesión para la sesión TCP, es decir, al finalizar el TCP-handshake, después de esto para que se cree, es necesario que al final de la sesión esto se cree, se puede que tanto así, como de otra manera, ambas opciones, y se puede desactivar completamente el registro. Al mismo tiempo, en el sistema hay varios registros diferentes, uno está dedicado al tráfico, donde se registra la activación de las reglas de seguridad. Otro registro está dedicado al descifrado del tráfico. Hay un registro separado para IPS, un registro para antivirus, un registro para auditoría, en el que se registra el cambio en el sistema de gestión y las acciones en él, y también hay un registro de autenticación, donde se registran las entradas y salidas en el sistema de gestión.
Quiero señalar una característica interesante y útil. Cuando configuramos las reglas de seguridad, en la interfaz se resalta inmediatamente el tráfico que ha caído bajo esta regla. Y ni siquiera es necesario ir al registro para verlo.
En el lado derecho de las reglas de seguridad hay un contador de activaciones, lo que lo hace inmediatamente visible. El sistema tiene una interfaz conveniente para trabajar tanto con el registro como con las propias reglas de seguridad, que nos permiten filtrar información, resaltar lo que es interesante, y en unos pocos clics podemos encontrar exactamente lo que es interesante, lo que es importante. Al mismo tiempo, el sistema puede sugerir qué introducir.
También, de las funciones, cabe destacar el filtrado de URL con categorías. Ya están en la base de datos, todos los firewalls más populares. En consecuencia, se pueden escribir reglas de seguridad que prohíban la comunicación en las redes sociales, pero permitan la lectura de las noticias. Los perfiles ya están todos. También se pueden crear perfiles propios, si queremos incluir o excluir algo a nuestra discreción.
Además, el sistema utiliza un modelo de acceso basado en roles. Hay roles predefinidos de superadministrador, administrador del sistema y administrador de seguridad. Cada rol corresponde a un conjunto de accesos a varias funciones.
En términos generales, prevén simplemente la visualización de entidades, la creación y la realización de acciones sobre las entidades, su modificación y eliminación. Y una combinación diferente de estas posibilidades forma diferentes accesos basados en roles.
También apareció el soporte para Syslog, también una función obligatoria.
Ahora se pueden enviar todos los eventos a algunos sistemas externos. Apareció el soporte para antivirus de flujo, que permite detectar un archivo infectado en el tráfico transmitido. Un archivo se considera infectado si su suma hash coincide con las firmas antivirus.
Se comprueban los archivos transmitidos por HTTP y HTTPS, respectivamente, al descifrar HTTPS. Para la comprobación, es necesario incluir el módulo de seguridad en la regla que permite la transmisión de tráfico. El bloqueo de la transmisión de un archivo infectado va acompañado de un restablecimiento de TCP tanto al cliente como al servidor, y del registro de este evento.
Se ha ampliado la tarjeta de evento en los registros de NGFW. Ahora se puede abrir cada línea específica y ver toda la información detallada posible en ella.
Apareció el registro de acciones. Cuando digo que apareció, me refiero a la penúltima versión, la versión 1.5. Si lo resumimos, así es como se ve actualmente la funcionalidad de PT NGFW.
Desde el punto de vista del enrutamiento, aquí está todo lo necesario. Esto es OSPF, BGP, enrutamiento estático, soporte para SourceNAT y DestinationNAT, soporte para VRF. Desde el punto de vista de la seguridad, hay contextos virtuales, IPS, antivirus de flujo, filtrado de URL. Desde el punto de vista del mantenimiento y la administración, por supuesto, clase Active/Standby, soporte para VLAN para la configuración. Aquí, entiendo, se implica el soporte para VLAN en subinterfaces y en términos de reetiquetado de tráfico en modo transparente vWire. Soporte para GeoIP, identificación de usuarios, AppControl, registro, FQDN, inspección TLS. Y todo lo que ve en la diapositiva.
Si hablamos del desarrollo del producto, de lo que se espera en un futuro próximo, en marzo de 2025 esperamos la aparición de la función side-to-sideVPN. Sin duda, esta es una función extremadamente importante.
En mayo de 2025 aparecerá PBR (policy-based-routing). Por lo que sé, ya está en algún modo, queda por "entregarlo" a la interfaz del producto. Aparecerá el soporte para SNMP para la monitorización y la gestión. Y a finales de 2025 esperamos la aparición de Remote-AccessVPN, junto con él aparecerá un cliente VPN para poder utilizarlo, y aparecerá un clúster geográficamente distribuido.
Sin duda, como cualquier dispositivo de red, NGFW puede averiarse de vez en cuando, por lo que todos los dispositivos se suministran con soporte técnico.
También se proporciona soporte técnico ampliado, que incluye la sustitución al siguiente día natural del dispositivo averiado. Soporte 24/7, porque NGFW está en el perímetro y es un dispositivo de misión crítica. Se proporciona un tiempo de respuesta corto a las solicitudes y la sustitución del equipo. También existe la posibilidad de sustituir el equipo sin devolver los discos duros, si desea conservar sus datos. En esta captura de pantalla puede consultar materiales adicionales sobre NGFW.
Las ilustraciones son proporcionadas por el servicio de prensa de Positive Technologies