Evento de la serie "PROdemo: Laboratorio de soluciones de software", un proyecto especial del equipo de OCS Soft. En la reunión en línea, Alexander Kanin, experto preventa en seguridad de la información y equipos de red de OCS, habla sobre PT NGFW, un cortafuegos de nueva generación para sistemas de alta carga.
El evento lo inició Alexander Kanin, experto preventa en seguridad de la información en la empresa OCS Distribution. Hoy vamos a hablar sobre el nuevo producto Positive Technologies Next Generation Firewall.
Quería empezar la conversación con una descripción general de la línea de dispositivos. Todos los modelos PT NGFW tienen la misma funcionalidad y solo se diferencian en el rendimiento. Veamos en qué se diferencian las plataformas entre sí y qué tienen en común.
La serie más joven, PT NGFW 1010, en formato de escritorio y su serie relacionada, PT NGFW 1050, así como las series 20xx - 30xx, tienen un aspecto similar. Si comparamos las plataformas, los modelos más jóvenes PT NGFW 1010 y PT NGFW 1050 se basan en la plataforma Intel Atom con 4 y 16 núcleos respectivamente, la línea media o corporativa PT NGFW 2010-2020 tiene 16 y 24 núcleos, y PT NGFW 2050 es una plataforma de dos sockets, es decir, dos procesadores de 16 núcleos cada uno, lo que da un total de 32. Los modelos más antiguos, que se posicionan como dispositivos para centros de datos, también son plataformas de dos sockets, dos de 24 núcleos y dos de 32 núcleos. En cuanto a la memoria RAM, PT NGFW 1010, PT NGFW 1050 tienen 16 y 64 núcleos, PT NGFW 2010 tiene 128 GB de RAM, PT NGFW 2020, PT NGFW 2040 tienen 256. En la serie 30, en los modelos más antiguos, todos los dispositivos tienen 512 GB de memoria. En cuanto al almacenamiento, PT NGFW 1010 y PT NGFW 1050 son discos duros de 250 gigabytes, solo se diferencian en las interfaces, en PT NGFW 1010 es SATA, PT NGFW 1050 es NVMe. En la línea media, todos los dispositivos tienen 240 GB NVMe obligatoriamente, y los más antiguos tienen 960 GB también NVMe.
Ahora hablemos de las interfaces. Los dispositivos más jóvenes PT NGFW 1010 y PT NGFW 1050 tienen una configuración fija de puertos. Son dos puertos SFP+, de 10 Gbit, dos combinados, es decir, compartidos, ya sea SFP, ya sea cobre RG45, de 1 Gbit, y cuatro puertos de cobre gigabit dedicados. PT NGFW 1050 tiene además 4 ranuras para nanoSIM. Esto es una previsión para el futuro, por ahora no se utilizan de ninguna manera. En el futuro debería aparecer un módulo LTE que permita utilizar también esta interfaz. Las líneas más antiguas de las series 20 y 30 no tienen puertos de datos en la base, pero tienen la posibilidad de instalar hasta 5 tarjetas de red. De las tarjetas de red disponibles en este momento, se prevé una tarjeta de cobre gigabit de cuatro puertos, una de dos o cuatro puertos de 10-25 gigabit por segundo SFP28 y una tarjeta con dos puertos de 100 gigabit QSFP28.
Desde el punto de vista de la gestión, la administración de estos dispositivos. Todos los modelos tienen un puerto de consola, como debe tener cualquier dispositivo de red normal. En las series 20 y 30 hay un puerto BMC para la administración remota de la plataforma del servidor. Además, todos los modelos tienen un conector VGA, que está previsto para la administración de módulos de hardware de carga confiable, que se utiliza en los PAC certificados. En los PAC certificados se utiliza Sobol o Accord como módulos de carga.
Todos, incluso los modelos más jóvenes, tienen fuentes de alimentación redundantes, lo cual es muy importante para garantizar la tolerancia a fallos. Incluso el PT NGFW 1010 también tiene dos fuentes de alimentación. También me gustaría señalar que el PT NGFW 1010 está fabricado sin ventilador.
También podemos señalar que, además de la ejecución de VT-PAC, los NGFW están disponibles como máquinas virtuales, que se suministran como máquinas virtuales ya preparadas, imágenes preparadas para KVM y para VMware. También hay dos variantes: 1Dp y 10Dp. Se diferencian en los requisitos. 1Dp son 4 procesadores virtuales, 12 GB de memoria RAM y 30 GB de almacenamiento. En otra máquina virtual, 14 vCPU, 22 GB de memoria RAM y 30 GB de almacenamiento.
Ahora vamos a hablar de en qué se diferencian los modelos entre sí desde el punto de vista del rendimiento.
Quiero señalar que, inicialmente, al desarrollar NGFW, Positive Technologies hizo hincapié en el alto rendimiento de su producto. Para ello, tuvieron que escribir el núcleo del producto prácticamente desde cero. Abandonaron por completo el enfoque estándar de Linux en el procesamiento del tráfico, y el resultado fue impresionante. Como puede ver, las cifras presentadas en esta diapositiva corresponden al nivel de los principales proveedores extranjeros, y son ciertamente superiores a las de cualquier competidor nacional. Esto se consigue gracias a que abandonaron el pipeline estándar de procesamiento de paquetes que se utiliza en sistemas Linux. En NGFW todo el procesamiento se realiza en el espacio de usuario. Positive Technologies renunció al uso de funciones del núcleo para ello, el llamado kernelbypass para el procesamiento de paquetes. Y aislaron los recursos que utilizan los recursos de NGFW. Estos son los núcleos de la CPU, la memoria, los adaptadores de red. También se aplica el enfoque de copia cero o zero-copy. En el clon de PAC estándar de Linux, se utilizan diferentes espacios para el procesamiento de paquetes, y al pasar de uno a otro hay que copiar constantemente los datos, lo que introduce retrasos y limitaciones de rendimiento significativas. En este caso, tenemos que la tarjeta de red, por medio de DMA (Direct Memory Access), escribe los datos directamente en el espacio de usuario, y luego, en todas las etapas del procesamiento, la aplicación opera con los datos originales, sin copiarlos cada vez. Además, cada bloque funcional admite el procesamiento de paquetes por lotes, en lugar de individualmente, lo que también reduce los gastos generales. También podemos hablar de la tubería de procesamiento indivisible en su conjunto. Esto implica que el procesamiento de un paquete desde el momento en que se recibe en la tarjeta de red hasta que se envía al puerto de salida, se realiza estrictamente en el mismo núcleo de la CPU. Es decir, el curso del flujo no se interrumpe por la ejecución de interrupciones o no es desplazado por otros flujos.
Como puede ver, incluso la plataforma más joven puede proporcionar 5,5 gigabits por segundo y 1,3 millones de paquetes por segundo en modo LR7 firewalling y hasta 900 megabits por segundo con IPS. Aquí las cifras se presentan en dos variantes. Esto es simplemente firewalling y firewalling con IPS. Si se activan todos los módulos de seguridad, entre ellos el antivirus y el filtrado Rally, y el antivirus de flujo, el filtrado RL, el descifrado TLS, probablemente el más exigente de los módulos, entonces, en el modo de todos los módulos, el dispositivo más joven proporcionará 100 Mbit por segundo, PT NGFW1050 - 500 Mbit/s, PT NGFW 2010 - 1Gbit/s, PT NGFW 2020 - 2 Gbit/s, PT NGFW 2050 - 5 Gbit/s y los modelos más antiguos darán 10 Gbit/s con una diferencia en el número de paquetes por segundo, 15 o 20 millones.
Estas cifras se han tomado de los resultados de las pruebas de carga.
PT utiliza metodologías establecidas para realizar sus pruebas, para que la evaluación sea objetiva y se pueda confiar en ella. La base de las pruebas fueron 2 RFC 3511, ahora ya obsoletas, porque fueron escritas para firewalls de la generación anterior, es decir, para firewalls ordinarios. Y otro RFS que tomaron fue el 9411. Por supuesto, incluye seguridad, IPS, ataques en el tráfico. También incluye TLSDecrypt, es decir, el descifrado del tráfico. Contiene información sobre cómo organizar un entorno de pruebas, contiene configuraciones específicas de cliente-servidor, describe en detalle varias pruebas para evaluar el rendimiento.
Aquí se presenta una de las variantes de RFC, una mezcla de tráfico media que es más representativa de las redes corporativas. La mayor parte es TLS, que representa el 73%, seguido de SMB, HTTP, RDP y otros protocolos de aplicación. De hecho, Positive Technologies comparte activamente los resultados de las pruebas. No solo los resultados, sino también la metodología. Explican y muestran en detalle cómo lo hacen. Por lo tanto, al leer la hoja de datos, realmente se puede confiar en las cifras. No es ningún secreto que las hojas de datos de dispositivos similares de otros fabricantes tienen cifras infladas.
En esta diapositiva vemos los resultados más detallados del dispositivo más antiguo, el PT NGFW 3040. Aquí hay 160 Gbit/s en modo firewalling a nivel de aplicación con tráfico EMIX. Si activamos IPS en 100.000 firmas, obtendremos 60 Gbit/s y con todos los módulos de seguridad absolutamente habrá 10 Gbit/s.
Vamos a discutir la protección del plano de gestión.
En esta diapositiva vemos la salida de la consola del dispositivo del comando H-TOP. Este comando muestra cómo se utilizan los procesadores, cómo se emplean. Como puede ver, prácticamente todos los procesadores se utilizan al 100%, excepto uno. Esto habla de la misma reserva de recursos de la que hablaba antes. Es decir, la mayor parte de los procesadores se dedican al núcleo. Esto no significa que estén realmente completamente cargados. Los cargados se ven así para el kernel de Linux, que están ocupados. Un núcleo siempre se asigna para administrar el propio dispositivo, es decir, está completamente reservado para este fin. Por lo tanto, independientemente del flujo de datos que se envíe a la pasarela de seguridad, se ahogará o no, el administrador siempre podrá entrar y resolver el problema. Un núcleo, como he dicho, se reserva para la gestión, todos los demás para el dataplane, y un núcleo también puede estar un poco menos cargado, es una especie de intermediario entre otros núcleos, entre las aplicaciones NGFW. Por supuesto, la tolerancia a fallos es un componente muy importante para cualquier dispositivo de red, y para NGFW en particular.
Positive Technologies implementó un esquema clásico, solo que abandonaron VRRP, aunque no tiene por qué utilizarse necesariamente. En lugar de VRRP se utiliza un desarrollo propio. Ahora Positive Technologies habla de una cifra aproximada, de 300 ms para el cambio. Por supuesto, como se trata de Stateful Firewalling, es decir, con mantenimiento de la información sobre las sesiones, entre los nodos Active-Standby se sincronizan todas las tablas necesarias y las tablas de sesión, los registros art, las fibs y otra información. Para que se produzca la convergencia de los protocolos de enrutamiento dinámico al cambiar de modo activo a nodo de reserva, se admite Graceful-Restart. Lo mismo ocurre con Garpa, se admite para informar a los clientes de que se ha producido una migración. Se admiten las arquitecturas modernas de centros de datos, Leek-Spine. Es importante señalar que se proporciona una licencia especial para el nodo de reserva, ya que para construir un clúster tolerante a fallos, se necesitan dos dispositivos idénticos y con licencias idénticas.
Sistema de gestión. Cabe señalar de inmediato que, desde el punto de vista de la gestión del dispositivo, aquí se utiliza un módulo separado, y una máquina virtual separada o un appliance virtual. Es decir, si hablamos de un clúster tolerante a fallos de dos NGFW, entonces, de hecho, seguirá habiendo tres dispositivos. Se trata de un módulo de gestión separado, al que se conectan las pasarelas de seguridad, y dos pasarelas de seguridad.
La gestión se realiza a través de este módulo de gestión. En su interior, las pasarelas se conectan a él, se estructuran en una jerarquía. Si hablamos de tolerancia a fallos, entonces dos pasarelas de seguridad conectadas en el sistema de gestión aparecerán como una sola. En el interior construimos una jerarquía, todo empieza con el nivel global, creamos diferentes grupos de dispositivos que añadimos y ya administramos. Resulta muy cómodo, se construye una jerarquía tanto de gestión como de asignación de políticas de seguridad.
Además, cada dispositivo físico puede dividirse en firewalls lógicos. Un contexto virtual es lo mismo que un router virtual en el contexto del enrutamiento. Si necesitamos de alguna manera, de acuerdo con alguna segmentación, dividir lógicamente nuestra infraestructura empresarial, dividir el firewalling, entonces podemos hacerlo con un solo dispositivo.
Actualmente, se admiten hasta 256 contextos en cualquier NGFW, y no se requiere ninguna licencia adicional para ello.
Las políticas de seguridad también se aplican a los grupos de dispositivos de acuerdo con la jerarquía establecida, lo que permite adaptarlas a su lógica empresarial. Existe una combinación de reglas pre y post.
Podemos escribir reglas globales que se aplicarán a toda nuestra infraestructura. Estas constan de reglas pre y post. Las reglas pre van al principio de la lista, y las reglas post, respectivamente, al final de la lista. Toda nuestra jerarquía anidada, es decir, lo que teníamos bajo global, como, por ejemplo, un grupo de dispositivos, estará dentro. Las reglas pre, por ejemplo, en esta diapositiva de PRE offices, no estarán en medio de global, lo que garantiza una lógica común para toda la infraestructura. A continuación, toda esta lista de reglas se aplica por turnos al tráfico que se está procesando hasta que se activa la primera regla. Se admite el control de usuarios, se supone la integración con Active Directory y Open LDAP. Actualmente, solo se admite Active Directory. ¿Cómo se implementa esto? Hay un agente separado que actualmente se encuentra junto con el módulo de gestión, pero se supone que se extraerá por separado más adelante, dependiendo de la carga, del rendimiento que se requiera.
Este agente se conecta a ActiveDirectory mediante protocolos seguros (todo está encriptado), lee la información sobre grupos y usuarios de PLDAP. También lee el registro de eventos, del que toma información sobre qué usuarios se han conectado a qué máquinas, dónde se han autenticado, compara esta información de usuarios con las máquinas y sus direcciones IP. Y luego, esta información ya se puede utilizar en las reglas de seguridad.
Control de aplicaciones y subaplicaciones. El producto tiene un número suficientemente grande de firmas de aplicaciones. Aquí es importante señalar que, dado que se trata de un desarrollo nacional, el producto tiene en cuenta un gran número de aplicaciones nacionales.
Podemos reconocer las cosas más populares. Al mismo tiempo, se determina no solo la aplicación, sino también las acciones dentro de esta aplicación. De este modo, podemos, por ejemplo, permitir la descarga desde Yandex.Disk y prohibir la carga en Yandex.Disk. O, por ejemplo, prohibir la música, permitir el vídeo. Las acciones dentro de la aplicación se reconocen de la misma manera que la propia aplicación.
Al mismo tiempo, la base de firmas de aplicaciones es bastante amplia, actualmente se determinan 1687 aplicaciones, y esta lista se actualiza constantemente.
También está presente en el producto la base GeoIP, que permite correlacionar las direcciones IP que vemos en los disparos, que vemos en el tráfico, con su pertenencia geográfica, lo que puede ser importante y conveniente para construir su seguridad.
Es decir, podemos, por ejemplo, prohibir completamente la interacción con las direcciones IP asociadas a los EE.UU. Y una base que se presenta como relevante específicamente para el mercado ruso.
Por supuesto, el ingrediente principal del cortafuegos es el IPS. Aquí es imprescindible señalar que las reglas IPS que se utilizan en PT NGFW están escritas por expertos de la propia Postive Technologies, y no son reglas reutilizadas. Están profundamente integradas en el conducto de procesamiento del tráfico, para garantizar un alto rendimiento.
Si, por ejemplo, intenta insertar simplemente sus propias reglas similares, una sola regla puede provocar una fuerte degradación del rendimiento. Por lo tanto, no debe hacerlo. Postive Technologies ha tenido todo esto en cuenta aquí, este alto rendimiento solo se garantiza con sus propias reglas. Además, Postive Technologies lleva mucho tiempo en el mercado de la seguridad de la información. A menudo realizan diversas investigaciones, realizan auditorías de seguridad, pruebas de penetración. Una base de clientes bastante grande recurre a ellos.
Cabe señalar que el número de reglas es diferente en los distintos dispositivos. En los modelos más jóvenes, hasta 10 mil reglas, en las líneas más antiguas, hasta 100 mil reglas. Las reglas IPS se pueden perfilar. Podemos seleccionar de ellas las que sean interesantes y relevantes para nuestra infraestructura o para determinados segmentos de nuestra infraestructura, y utilizarlas únicamente. Y otras, por ejemplo, o bien excluirlas completamente de nuestro perfil, o bien colgarles reglas para que las omitan, no les presten atención.
Inspección TLS. Actualmente se admite Decrypt TLS 1.2 y TLS 1.3. Utilizando reglas de encriptación, puede especificar qué tráfico debe ser desencriptado, qué tráfico debe ser excluido de este proceso.
Esta funcionalidad es necesaria para poder reconocer en general la aplicación en el tráfico encriptado, para aplicarle reglas de seguridad, para analizarla con sistemas externos. Se utiliza el mecanismo de TLS-PROXY transparente directo. También se puede reflejar el tráfico desencriptado. Al reflejar, una copia de dicho tráfico desencriptado se envía a algún sistema externo. Puede ser un sistema de análisis de tráfico, por ejemplo, PTNAT, o puede ser un sistema DLP. Para configurar esta función, es necesario especificar un perfil de reflejo en la regla de desencriptación.
Y en el perfil ya se especifican las interfaces a las que se transferirá la copia del tráfico.
Si hablamos de la flexibilidad en la configuración que existe actualmente en el sistema, aquí cabe señalar que para cada regla existe un amplio conjunto de acciones.
Así, por ejemplo, se puede permitir el tráfico, se puede hacer "denegar", es decir, prohibir con notificación, se puede simplemente soltar, es decir, descartar el paquete, sin notificar a las partes de la comunicación lo que ha sucedido, se puede interrumpir la sesión enviando un restablecimiento de TSP al cliente, un restablecimiento de TSP al servidor o en ambos sentidos.
Lo mismo ocurre con el registro. El registro está configurado con bastante detalle. Aquí también puede elegir varias opciones de acciones cuando se activan las reglas.
Se puede registrar algo, algo no registrar. Se puede escribir en el registro cada vez que se activa una regla. Se puede hacer de forma que al principio de la sesión para la sesión TCP, es decir, al finalizar el TCP-handshake, después de esto se cree, es necesario que al final de la sesión se cree, se puede hacer de ambas maneras, ambas opciones, y se puede desactivar completamente el registro. Al mismo tiempo, en el sistema hay varios registros diferentes, uno está dedicado al tráfico, donde se registra la activación de las reglas de seguridad. Otro registro está dedicado al descifrado del tráfico. Hay un registro separado para IPS, un registro para antivirus, un registro para auditoría, en el que se registra el cambio en el sistema de gestión y las acciones en él, y también hay un registro de autenticación, en el que se registran las entradas y salidas al sistema de gestión.
Quiero destacar una característica interesante y útil. Cuando configuramos las reglas de seguridad, en la interfaz se resalta inmediatamente el tráfico que ha caído bajo esta regla. Y ni siquiera tenemos que ir al registro para verlo.
En el lado derecho de las reglas de seguridad hay un contador de activaciones, lo que se puede ver de inmediato. El sistema tiene una interfaz conveniente para trabajar tanto con el registro como con las propias reglas de seguridad, que nos permiten filtrar información, resaltar lo interesante, y en unos pocos clics podemos encontrar exactamente lo que nos interesa, lo que es importante. Al mismo tiempo, el sistema mismo puede sugerir qué se debe ingresar.
También, de las funciones, cabe destacar el filtrado de URL con categorías. Ya están en la base de datos, todos los firewalls más populares. En consecuencia, se pueden escribir reglas de seguridad que prohíban la comunicación en las redes sociales, pero permitan leer el feed de noticias. Los perfiles ya están todos. También se pueden crear perfiles propios, si queremos incluir o excluir algo a nuestra discreción.
También, en el sistema se utiliza un modelo de acceso basado en roles. Hay roles predefinidos de superadministrador, administrador del sistema y administrador de seguridad. Cada rol corresponde a un conjunto de accesos a varias funciones.
En términos generales, prevén simplemente la visualización de entidades, la creación y la realización de acciones sobre las entidades, su modificación y eliminación. Y una combinación diferente de estas posibilidades forma diferentes accesos basados en roles.
También apareció el soporte para Syslog, también una función obligatoria.
Ahora se pueden enviar todos los eventos a algunos sistemas externos. Apareció el soporte para antivirus de flujo, que permite detectar un archivo infectado en el tráfico transmitido. El archivo se considera infectado si su suma hash coincide con las firmas antivirus.
Se verifican los archivos transmitidos por HTTP y HTTPS, respectivamente, al descifrar HTTPS. Para la verificación, es necesario incluir el módulo de seguridad en la regla que permite la transmisión de tráfico. El bloqueo de la transmisión de un archivo infectado se acompaña de un restablecimiento de TCP tanto al cliente como al servidor, y del registro de este evento.
Ampliamos la tarjeta de eventos en los registros de NGFW. Ahora se puede abrir cada línea específica y ver toda la información detallada posible en ella.
Apareció el registro de acciones. Cuando digo que apareció, me refiero a la penúltima versión, la versión 1.5. Si lo resumimos, así es como se ve actualmente la funcionalidad de PT NGFW.
Desde el punto de vista del enrutamiento, aquí está todo lo necesario. Esto es OSPF, BGP, enrutamiento estático, soporte para SourceNAT y DestinationNAT, soporte para VRF. Desde el punto de vista de la seguridad, hay contextos virtuales, IPS, antivirus de flujo, filtrado de URL. Desde el punto de vista del servicio de administración, por supuesto, clase Active/Standby, soporte para VLAN para la configuración. Aquí, entiendo, se implica el soporte para VLAN en subinterfaces y en términos de reetiquetado de tráfico en modo transparente vWire. Soporte para GeoIP, identificación de usuarios, AppControl, registro, FQDN, inspección TLS. Y todo lo que ve en la diapositiva.
Si hablamos del desarrollo del producto, de lo que se espera en un futuro próximo, en marzo de 2025 esperamos la aparición de la función side-to-sideVPN. Sin duda, esta es una función extremadamente importante.
En mayo de 2025 aparecerá PBR (policy-based-routing). Por lo que sé, ya está en algún modo, solo queda "entregarlo" a la interfaz del producto. Aparecerá el soporte para SNMP para el monitoreo y la administración. Y a finales de 2025 esperamos la aparición de Remote-AccessVPN, junto con él aparecerá un cliente VPN para usarlo, y aparecerá un clúster geográficamente distribuido.
Sin duda, como cualquier dispositivo de red, NGFW puede averiarse ocasionalmente, por lo que todos los dispositivos se suministran con soporte técnico.
También se proporciona soporte técnico extendido, que incluye el reemplazo al siguiente día calendario del dispositivo averiado. Soporte 24/7, porque NGFW está en el perímetro y es un dispositivo críticamente importante. Se proporciona un tiempo de respuesta corto a las solicitudes y el reemplazo del equipo. También existe la posibilidad de reemplazar el equipo sin devolver los discos duros, si desea conservar sus datos. En esta captura de pantalla puede encontrar materiales adicionales sobre NGFW.
Ilustraciones proporcionadas por el servicio de prensa de Positive Technologies
Ahora en la página principal
