GUIA DIMENSIONAMIENTO FIREWALL USG6000 SERIES NGFW Destacado

Última respuesta ag. 10, 2019 10:21:44 152 5 5 3

Objetivo

El propósito de esta publicación es explicar los criterios necesarios para dimensionar un firewall USG6000 series NGFW para diferentes escenarios.


Introducción

Primero se explicaran algunos conceptos básicos para realizar el dimensionamiento de un Next Generation Firewall (NGFW).


¿Qué es un UTM y cuál es la diferencia con un firewall?

En realidad no existe un fuerte diferenciamiento entre un firewall  y un UTM (United threat Management). UTM es la evolución natural del firewall donde, además de las funcionalidades de firewall, el UTM agrega nuevos servicios. La más importante de esta es la inspección profunda de paquetes pero también incluye servicio como filtrado de contenido y anti-spam. El UTM es capaz de analizar la porción de data de los paquete de datos lo cual contrasta con el firewall cuya inspección de estado solo se basa en la inspección del estado de los encabezados de los paquetes de datos  pero no de la data.

 

La diferencia es análoga a un policía vial que revisa si un conductor tiene la documentación en regla del vehículo y además que el conductor traiga su licencia de manejo. El UTM es un policía vial que, además, revisa el interior del vehículo.

 

La inspección profunda incluye tres componentes principales.

 

· Anti-virus: La solución reconoce la transferencia de archivos a través de un protocolo (web, correo electrónico, mensajería instantánea, etc.) y escaneo de archivos en búsqueda de virus, troyanos y/o algún otro tipo de malware nocivo para la red de datos.

·Sistema de prevención de intrusos (IPS, Intrusion prevention system): La solución aquí analiza la parte de la data del paquete por ataques conocidos a vulnerabilidades. Incluso, puede reconocer cuando malwares instalados en las PCs de usuarios se comunican con un command and control (C2).

·Anti-malware: Es parecido a cómo trabaja IPS, solo cambia en los componentes de búsqueda como: por ejemplo: malware desarrollado en JavaScript o Active-X que leen los navegadores web de los usuarios.


Next Generation Firewall (NGFW) o Firewall de próxima generación.

Los firewalls de próxima generación o NGFW fueron desarrollados con la motivación de resolver la deficiencia de desempeño presentada en los UTM, entregando recursos de control de aplicación e inspección profunda de paquetes en una arquitectura con alto desempeño y cohesiva.

 

Recursos complementarios como proxy web, protección contra virus, malware y otros, presentes en los UTM, no forman parte de la arquitectura de un NGFW, estas características fueron removidas y tercerizadas, garantizando altas tasas de escalabilidad para grandes ambientes.

 

La principal contribución del NGFW está en los avances tecnológicos generados a partir de la inspección profunda de paquetes y en la visibilidad de aplicaciones, independientemente de protocolos y puertos. Estos recursos, en conjunto, no sólo permiten evitar ataques sino que principalmente crean políticas de control de acceso más dinámicas y eficientes para los desafíos actuales de seguridad.


Principales diferencias entre un UTM Y NGFW

A pesar de que ambos conceptos presentan diferencias sustanciales, aún existe una cierta dificultad en el entendimiento de los mismos. Muchos fabricantes sostienen que actualmente no existe diferencia, en la práctica, entre los dos tipos de soluciones. Esto porque el principal desafío de los UTM para grandes ambientes se resolvió con la maduración de la tecnología desarrollada.

 

Algunos lideres de opinión, defienden que los NGFW están indicados para entornos de gran intensidad de tráfico, especialmente empresas complejas, telecomunicaciones y otras que centralizan una gran cantidad de tráfico de datos. Y en estos casos, separar los activos de seguridad es fundamental para la escalabilidad y resiliencia del ambiente. Por lo tanto, un UTM sería recomendable para el mercado de pequeñas y medianas empresas (SMB), donde el tráfico de datos es inferior.

 

El hecho es que, independientemente del término utilizado y del tamaño de la empresa, lo más importante a ser analizado durante el proceso de compra de una solución de seguridad lógica perimetral, es si los recursos ofrecidos atienden a los requisitos funcionales y de crecimiento del ambiente, siendo este el punto más relevante, independientemente si el concepto utilizado es UTM o NGFW.

 

Otro aspecto de fundamental importancia es analizar la tecnología que se está empleando para ofrecer los recursos de UTM y NGFW. Ambos trajeron, de hecho, grandes contribuciones al mercado de seguridad lógica perimetral con diversos fabricantes. Otros, sin embargo, sólo trataron de cambiar su nomenclatura, sin agregar tecnología a las soluciones entregadas al mercado.


Y su empresa, ¿ya está lista para los nuevos desafíos de ciberseguridad?


1era. Consideración para dimensionar un firewall de próxima generación (NGFW) de la serie USG6000.

Firewall throughput (Rendimiento firewall).

 

Es conocido que todos los fabricantes midan sus equipos de la forma más conveniente. Por eso es importante un rendimiento superior a la necesaria.

 

Por ejemplo, el rendimiento de firewall es medido por Huawei usando la normatividad RFC 2544 y RFC 3511 donde se utilizan grandes paquetes y tráfico UDP unidireccional. La comunicación UDP no requiere una respuesta del receptor (un paquete de ACK) por lo cual es más eficiente. En situaciones típicas el tráfico es un balance entre tráfico TCP y UDP, por lo cual el valor bajaría aún más.

 

Una regla moderada es considerar el tráfico real soportado en ser un quinto (1/5) del valor con paquetes grandes UDP.


Performance NGFW.

 

Cuando al prender los servicios NGFW y la modalidad cambie a NGFW, el performance también cambia mucho. La diferencia es que en modo NGFW la solución estará haciendo un análisis más detallado del tráfico, reduciendo el performance.

 

No todos los servicios pesan lo mismo. El filtro de contenido es el más liviano con un pequeño cambio en el performance. La prevención de intrusos y el anti-malware tiene un impacto moderado. Mientras que el anti-virus que escanea y analiza archivos enviados es el más intenso y, entonces, el que más reduce el perfomance.

 

Miercom, especifica el performance con 5 opciones…


·      Firewall

·      Firewall + IPS

·      Firewall + Anti-virus

·      NGFW = Firewall + IPS + Anti-malware + Anti-virus + Filtrado de contenido


Es importante que el usuario final especifique el performance necesario para los servicios que desee utilizar. En esa consideración, debería incluir la regla que el performance pedido debería ser por lo menos 5 veces mayor a la máxima desea.


USG6000 SERIES NFWG

090237i63p261yx9jxgq11.png?image.png


2da. Consideración para dimensionar un firewall de próxima generación (NGFW) de la serie USG6000.

Conexiones concurrentes por usuario

 

Cuando un usuario navega por un portal de internet, típicamente utiliza varias conexiones concurrentes. Esto es debido a que los portales de internet están compuesto por tres elementos principales: dominio, hosting y la página web por sí misma. Además de bajar el código HTML y código (JavaScript CSS) embebido en la página, las paginas frecuentes hacen referencia a información adicional tales como imágenes, flash, Javascript y CSS stylesheet. Cada referencia abre una nueva conexión hacia internet y a través del firewall. Además, nuevas tecnologías como AJAX, corresponden a programas basados en Javascript embebidas en HTML que sondean y actualizan las páginas webs de forma continua. Por ejemplo, una página web de finanzas puede mostrar el precio de actualización actual del dólar, mientras este cambia, sin necesidad de intervención del usuario final.


Entonces ¿Cuántas conexiones promedio utiliza un usuario? Bueno, la respuesta no muy querida, es depende. Mientras es bastante seguro asumir que un usuario use típicamente unas 50 conexiones concurrentes, eso también depende si el usuario también este utilizando ciertas aplicaciones como Skype o DropBox que pueden superar las 200 conexiones concurrentes. Además, es posible que PCs infectadas puedan estar utilizando muchísimas conexiones concurrentes (enviando spam o atacando otros dispositivos en la red).


Una estimación moderada seria 200 conexiones concurrentes por usuario donde podrían ser más o menos conexiones dependiendo del control que se tiene sobra las mismas.


USG6000 SERIES NFWG

090708q9g59p3y59tcp8lg.png?image.png090717j7ev2viovve9x2vg.png?image.png

 

3era. Consideración para dimensionar un firewall de próxima generación (NGFW) de la serie USG6000.

Topología perimetral

 

La topología en donde se coloque el equipo también es una consideración a tomar en cuenta. El equipo es totalmente perimetral cuando la comunicación que atraviesa el USG6000 consiste solamente de tráfico de Internet.

 

En estas circunstancias, el requerimiento de performance no es muy elevado. El ancho de banda no supera la suma de enlaces a internet ya que cualquier comunicación entre usuarios y entre los usuarios y los servidores no pasa por el USG6000

 

La topología totalmente perimetral requiere poco ancho de banda pero también es menos segura ya que el NGFW, al no ver el tráfico, no puede contener problemas de ninguna forma.

090924y3qczv3el5vo5z5z.png?image.png

Topología con zonas de seguridad.

 

La zona de seguridad más conocida es la DMZ. Es una zona que típicamente los usuarios locales pueden acceder pero esta no puede acceder a los usuarios locales. Colocando la DMZ en una red diferente que la de los usuarios (LAN), permite que el USG6000 pueda escanear ese tráfico protegiendo los usuarios en la LAN y los servidores en la DMZ.

091028zg9iad3d9rnhaa3t.png?image.png

Modo transparente

 

En modo transparente, el USG6000 debe estar conectado en línea con la ruta predeterminada a internet, preferentemente lo más cerca posible del router de salida a internet.

 

En modo transparente, el navegador de internet no sabe explícitamente usar el servidor proxy. Simplemente envía la solicitud de navegación como el resto del tráfico. El tráfico pasará por un gateway predeterminado a través de la red hasta llegar al USG6000. A continuación, el NGFW NAT aplicará la solicitud a la dirección externa del USG6000.

 

En la siguiente imagen las flechas verdes indican el flujo de tráfico predeterminado a través de la red. Todo el tráfico pasa por el USG6000. El USG6000 verá la dirección IP del cliente para todas las solicitudes, pero las pondrá en NAT para que el router de internet vea todo el tráfico de red como proveniente del USG6000.

091309n0x3vndkkk6vnzot.png?image.png

Modo totalmente transparente.

 

Como su nombre lo indica, el modo totalmente transparente, es completamente transparente o “invisible” para los otros dispositivos de la red.

 

En modo totalmente transparente, el USG6000 debe actuar como un puente. Como puente, el USG6000 trabaja en la capa 2. Debido a que no se ocupa de las direcciones IP y simplemente pasa el tráfico sin que NAT ingrese las IP de origen.

 

El modo totalmente transparente requiere de dos interfaces juntas como una única interfaz externa. Esta interfaz puenteada debe colocarse literalmente en línea entre el tráfico que sale de los switches o router y el router de internet.


En la siguiente imagen. Las flechas vedes indican el flujo de tráfico predeterminado a través de la red. La flecha roja son las dos interfaces en modo puente. Todo el tráfico fluirá a través del USG600. El USG6000 verá la IP del cliente y la pasará sin cambiarla. El router de internet verá todo el tráfico proveniente de la IP del cliente original.

 

La flecha morada representa el tráfico de la interfaz interna del USG6000. La administración del USG6000 se realizara a través de la interfaz  y también se usará cuando se conecte a Active Directory u otros recursos internos.

091720bx5jffdd258irjpd.png?image.png

4ta. Consideración para dimensionar un USG6000 Series NGFW

Cambios y crecimiento futuro.

 

Es importante evaluar la cantidad de usuarios dentro de los siguientes 3 años.

 

SSL

Conexiones concurrentes donde se desencripta y examina trafico SSL.

 

En Huawei cada modelo de equipo más grande soporta más conexiones concurrentes de este tipo.

 

Funcionalidades. 

·      Cantidad de tuneles VPN site-to-site

·      Cantidad de clientes VPN (IPSec y SSL-VPN)

·      Disponibilidad activo/activo


Ejemplo práctico.

 

Un cliente con 300 usuarios, requiere remplazar su firewall y/o UTM por uno de Huawei de última generación. ¿Cuál debería usuar?

 

Haciendo una estimación moderada de 200 conexiones concurrentes por usuario, nos estaría dando un USG6650 como la solución apropiada.

092119sj2mrvrmurb4r32i.png?image.png 092142nqrgj6vllf3cq6eu.png?image.png


Pero, asumiendo que la cantidad de usuarios se quede en 300, que solo desea utilizar firewall + Services Awareness + IPS.

092323m6iwv2m4jn99vjv6.png?image.png092339wzbvjkjvbzy2r1rm.png?image.png


El performance de 8.8 Gbit/s la cual usando la regla de 5, resulta en 1.76 Gbit/s de tráfico real. Esta cantidad es más que suficiente para cualquier cantidad de WANs en la que se esté balanceando el tráfico. Si se desea encender también la funcionalidad anti-virus se bajaría a 1.53 Gbit/s, todavía aceptables.

 

Analizando las conexiones concurrentes soportadas, en modo NGFW utiliza 8 millones de conexiones. Esto es un equivalente a 26,666.66 conexiones por usuario. Un cálculo más que excelente, opinaría que esta cantidad de conexiones por usuario es excelente para los 300 usuarios. Seri más preocupante ver que la cantidad de conexiones concurrentes fuera inferior a las 200 conexiones por usuario, sin que haya controles sobre las aplicaciones usadas.

 

Pero qué pasaría si el cliente implementaría una DMZ. Eso incrementaría la cantidad de conexiones concurrentes utilizadas por usuarios aunque no por mucho. Conexiones internas son normalmente pocas y controlables. Por otro lado, con una DMZ el USG6000 vería el tráfico entre los usuarios y la DMZ.

 

Si el tráfico a la DMZ es elevado como, por ejemplo, todos los usuarios suben y bajan archivos a un servidor en la DMZ, entonces el USG6650 seguiría siendo el más recomendable.


Conclusión

Espero que esta guía sea de ayuda para conocer cómo dimensionar un equipo Huawei USG6000 series NGFW.


Quedo abierto a cualquier pregunta y/o comentario.


Saludos!


  • x
  • convención:

Publicado 2019-8-6 12:48:25 Útil(1) Útil(1)
Excelente aporte con información muy precisa y clara. Sera de gran ayuda.

Gracias por compartir.

Saludos @jorge
  • x
  • convención:

Administrador Publicado 2019-8-7 09:17:27 Útil(1) Útil(1)
Muchas, pero muchas cosas que no tenía en consideración, en verdad muy buen aporte, esta guía me ayudara mucho en mis certificaciones de seguridad.
  • x
  • convención:

Mexicano%2C%20con%20m%C3%A1s%20de%2010%20a%C3%B1os%20de%20experiencia%20en%20el%20%C3%A1mbito%20de%20Redes%20y%20TICs%20en%20general%20y%20m%C3%A1s%20de%20dos%20dentro%20de%20Huawei%2C%20en%20donde%20cuento%20con%20doble%20certificaci%C3%B3n%20HCIP%20(Routing%20and%20Switching%20y%20WLAN)%2C%20actualmente%20encargado%20de%20ayudarlos%20con%20sus%20dudas%20y%20comentarios%20dentro%20de%20la%20comunidad.
Moderador Publicado 2019-8-7 09:43:36 Útil(0) Útil(0)
@VictorSaa y @sbrahms

Gracias por sus comentarios, cualquier duda y/o pregunta respecto a este publicación, quedo a sus ordenes.

Saludos!
  • x
  • convención:

Senior Cybersecurity Engineer
Moderador Publicado 2019-8-7 14:49:49 Útil(0) Útil(0)
Una publicación muy interesante y con información importante para dimensionar de forma correcta a los NGFW. El detalle en cada punto nos hace comprender los conceptos de forma simple, los usuarios encontraran muy útil esta publicación que seguramente guardaran en sus favoritos. Gracias por compartir y te invito a seguir contribuyendo con más publicaciones en el foro. Saludos.
  • x
  • convención:

Ingeniero%20en%20Comunicaciones%20y%20Electr%C3%B3nica%20con%2020%20a%C3%B1os%20de%20experiencia%20en%20el%20%C3%A1rea%20de%20las%20telecomunicaciones%20para%20voz%20y%20datos%2C%20comparto%20mi%20experiencia%20dando%20clases%20en%20la%20Universidad%20Polit%C3%A9cnica%20de%20Quer%C3%A9taro.
Moderador Publicado 2019-8-10 10:21:44 Útil(0) Útil(0)
Gracias por el aporte.
Saludos
  • x
  • convención:

Me%20gusta%20compartir%20informaci%C3%B3n%20y%20experiencias%2C%20aprender%20nuevos%20temas%20y%20conocer%20gente%20con%20el%20mismo%20inter%C3%A9s

Responder

Responder
Debe iniciar sesión para responder la publicación Inicio de sesi | Registrarse

Aviso: Para garantizar sus legítimos derechos e intereses, la comunidad y los terceros no publicarán contenido que pueda generar riesgos legales a las partes, por ejemplo, pornografía, contenido político, contenido sobre juego, consumo y tráfico de drogas, así como contenido que viole los derechos de propiedad intelectual de terceros, por ejemplo, secretos comerciales, marcas, derechos de autor, patentes y privacidad personal. No comparta su cuenta ni su contraseña con terceros. Todas las operaciones realizadas usando su cuenta se considerarán como sus acciones y todas las consecuencias que estas acciones generen serán responsabilidad suya. Para obtener información detallada, consulte la “ Política de privacidad.”
Si el botón para adjuntar no está disponible, actualice Adobe Flash Player con la versión más reciente

¡Ingresa y disfruta de todos los beneficios para los miembros!

Aterrizaje
Respuesta rápida Desplácese hasta arriba