Geolocalización. Nuevo feature de seguridad en Firebox WatchGuard

Continúan importantes avances en materia de seguridad perimetral en redes corporativas por parte "del rojo"

Geolocalización es el nuevo integrante de la familia de seguridad de los dispositivos WatchGuard M y T Series. Utiliza una base de datos de direcciones IP y países para identificar la locación geográfica de las conexiones a través del dispositivo Firebox (se descargan las huellas al dispositivo).

Recuerde actualizar el Feature Key desde su perfil en el portal de WatchGuard para el dispositivo correspondiente, cuente con Total Security o Basic Security.

Es importante mencionar que en nuestras pruebas de laboratorio, si hay una conexión establecida, la misma permanecerá disponible hasta que el socket sea cerrado y se vuelva a efectuar la petición hacía un pais/ destino para aplicar bloqueos por geolocalización.

Es posible aplicar excepciones por direcciones IP, es decir, si bloquea un país completo, puede agregar hasta 7 opciones excepciones a las mismas: Host IPv4, Network IPv4, Host Range IPv4, Host IPv6, Network IPv6, Host Range IPv6, FQDN. Importante es la favorable opción de exportar e importar las configuraciones correspondientes. 


Manos al Firebox!
Recuerde contar con la versión SO 11.12 y WSM 11.12

Configurando los países desde donde se requiere bloqueo de tráfico entrante/ saliente desde el Policy Manager 

Resultado gráfico de la configuración anterior efectuada por bloqueo en el Policy Manager de nuestro dispositivo Watchguard 

Líneas de logs en tiempo real, de un dispositivo Firebox T Series con Geolocalización activado en versión SO 11.12, condición: bloqueo de tráfico hacía y desde Venezuela:

2016-11-24 16:06:42 Deny 172.18.0.6 200.44.32.103 http/tcp 63412 80 1-Trusted 0-External blocked sites (geolocation destination) 52 127 (Internal Policy) proc_id="firewall" rc="101" msg_id="3000-0148" tcp_info="offset 8 S 556173509 win 8192" geo_dst="VEN" geo="geo_dst" 2016-11-24 16:10:32 Deny 172.18.0.6 200.16.95.137 https/tcp 63572 443 1-Trusted 0-External blocked sites (geolocation destination) 52 127 (Internal Policy) proc_id="firewall" rc="101" msg_id="3000-0148" tcp_info="offset 8 S 3558811280 win 8192" geo_dst="VEN" geo="geo_dst"

Vista desde el Firebox System Manager del servicio de seguridad Geolocalización

Conclusiones y sugerencias:

• Trabajar con este nuevo feature de seguridad, implica hacer upgrade al SO del dispositivo, recuerde siempre hacer los respaldo de imagen como de archivo de configuración.
• De nada le servirá aplicar bloqueos por geolocalización si no cuenta con líneas de bases de países de donde más reciba ataques o peticiones de paquetes no manejados desde Internet, recuerde que su servidor Dimension le suministrará esta información al detalle.
• 10/10 puntos de mi parte, a producción!

Adrián Gómez.
Director General, Gerente de Operaciones.
Servicios de Proyectos y Consultoría SGSI 0526

Lentitud en el Internet y la red de su empresa.

A continuación, le presentamos un enfoque en el que los gerentes de área deben muchas veces asumir, remangarse las mangas de la camisa, aflojarse la corbata y tomar el control de una situación "desesperante" en la red corporativa. 

Por muchos motivos, las redes empresariales están presentando este tipo de problemática o lentitud en cuanto a las redes internas o conexión a Internet, los Directivos o Gerentes de las empresas se hacen las siguientes preguntas, ¿Tanto dinero que hemos invertido en Infraestructura, y seguimos con los mismos problemas de lentitud en Internet y la red?

En ocasiones imaginamos que las únicas organizaciones que presentan este tipo de problemas son las pequeñas empresas, la experiencia que adquirimos con las implementaciones de nuestros clientes nos ha demostrado lo contrario, empresas con más de 100 usuarios también presentan este tipo de problema en su infraestructura tecnológica, causándoles dolores de cabeza y molestias a los empleados.

Existen diferentes factores que nos pueden indicar cuál es la razón de la lentitud de la conexión a la red o al Internet, pero muchas veces también aplica el desconocimiento ya que no le damos el uso adecuado a los dispositivos que se tienen en las empresas o no aprovechan al máximo las bondades de estos.

A continuación le presentamos una serie de pasos a seguir para conocer la infraestructura de las empresas y luego soluciones para optimizar el funcionamiento de su red.

• Identificar toda la infraestructura que tiene la empresa: identificar la cantidad de usuarios, servidores, equipos, dispositivos u otros equipos conectados a la red; y evaluar si existe una proyección de crecimiento de usuarios a corto, mediano o largo plazo, con la finalidad de ofrecer una solución lo más acertada a la necesidad del cliente.
• Identificar la cantidad de conexiones y servicios: levantar la información de los servicios internos y externos a los cuales demanda más consumo de la red.
• Identificar conexiones inalámbricas (wifi): Analizar las necesidades sobre las conexiones inalámbricas que se tienen en la actualidad en la empresa, determinar si es necesario ofrecer Wifi a sus clientes (según sea el modelo de negocio), o a sus usuarios internos.
•  Identificar, analizar y evaluar los end Point: Revisar los computadores de los usuarios finales, con antivirus o aplicaciones que detecten alguna infección o con algún virus, troyano o malware.
• Identificar sedes, sucursales y conexiones: cantidad de conexiones desde afuera a mi infraestructura tecnológica. Personal de la empresa que requieren conectarse desde afuera (empresa de servicios de consultorías, gerentes, vendedores, entre otros).
• Identificar los ISP: identificar cuáles son los proveedores de internet y la velocidad de conexión que adquirió como clientes. Ej.: 2 Mb. 4 Mb. 8Mb. 12 Mb.
•  Identificar departamentos prioridades: levantar la información de la cantidad de departamentos que tiene la organización, identificar los usuarios con mayor prioridad para las conexiones a Internet, con la finalidad de ofrecer mayor ancho de banda a estos cuando se realice la aplicación de políticas en los firewall.

Soluciones:

Una vez realizado todo el levantamiento de la información y análisis de la misma, obtenemos las soluciones más acertadas para aplicarlas a la infraestructura del cliente, atender la necesidad actual y solventar toda la problemática de lentitud en su red corporativa.

• ·         Segmentación de la red de Datos: Separar el universo de usuarios (la red local), de los servidores de sistemas, lógica o físicamente, según el tamaño de su infraestructura, si tiene disponibilidad de hardware (Switches), puede colocar todos los servidores en ese dispositivo y luego realizar configuraciones lógicas a nivel de firewall, con la finalidad que se cree una zona desmilitarizada para los servidores (DMZ), esto mejora la comunicación y rapidez en su red interna.
• ·         Implementar un equipo firewall: crear políticas lógicas en este dispositivo, con la finalidad de optimizar al máximo el rendimiento de su red. 
• ·         Establecer Prioridades de conexiones a internet: una vez identificada las prioridades por departamentos de la empresa, se crean políticas de accesos,  denegación o control de servicios según sea la necesidad del usuario en el firewall.
• ·         Resiliencia Tecnológica “Disaster Recovery”: Establecer un plan de contingencia a través de la programación de Backup a la data más importante de la empresa, ya sea en físico o en la nube, con la finalidad que en caso de ocurrir un ataque o desastre, el tiempo en recuperación de este evento sea lo más rápido posible y con esto se mantiene la disponibilidad de los servicios u operaciones de la organización.  

Jorge Aponte.

Ingeniero de Preventas.
Servicios de Proyectos y Consultoría SGSI 0526

Mobile Security y Network Discovery de WatchGuard como herramientas de valor en la gestión de la Infraestructura

En esta entrada abordaremos como aprovechar las bondades de estas dos poderosas herramientas en el nuevo sistema operativo de WatchGuard para desplegarlo en nuestras redes corporativas.

Dispositivos WatchGuard: T Series, M Series.
Sistema Operativo: 11.11.X
Licenciamiento:
Network Discovery forma parte de las suites: Total Security y Basic Security
Mobile Security: es un licenciamiento adicional, suministrado por número de usuarios conectados (no recurrentes) a estos usuarios se les concede el nombre de FireClient, el licenciamiento es basado en número de usuarios que varían desde 5 hasta 500 usuarios. Licenciamiento anual.

Visual de las dos principales suites de seguridad de WatchGuard para sus dispositivos y sus respectivos componentes. 

En el laboratorio de Operaciones SGSI 0526, nos hemos dedicado a desarrollar no solo el despliegue de estas herramientas, también hemos profundizado su utilidad y llevado a recomendar en la gestión de las infraestructuras de nuestros clientes y usuarios de dispositivos y tecnologías WatchGuard.

Comenzaremos con el Network Discovery:

El Network Discovery es un servicio ofrecido desde la versión de SO 11.11 que nos ayuda a visualizar todos los elementos de la red, definitivamente no se puede asegurar lo que no se conoce, por esa razón lo valioso de comprender el uso y alcance de esta poderosa herramienta. Quizá, haya escuchado la terminología "Shadow IT" ó "Sombra de IT" el 29 de agosto hicimos referencia a una lectura a través de nuestras redes sociales de esta, nada nueva tendencia, lea la noticia acá: https://www.facebook.com/ProyectosSGSI/posts/1768879500035312 fuente CIOAL

¿Que usuarios de una organización no ha pretendido llevar dispositivos a la red corporativa, hacer uso de aplicaciones no autorizados y descarga indebidas?

¿Desde cuando no se hace una revisión de ese servidor que lleva meses sin administrar y no sabe que tipo de conexiones esta estableciendo?

¿Tiene control de los puntos de acceso a la red y desconoce aquellos que pretenden ofrecer accesos falsos al que deben establecer los usuarios?

Network Discovery pretender ser más allá de un simple escanner de redes, pues nos permite a través de la interfaz Web-UI del Firebox establecer identidad de dispositivos para ser recordados y de esta forma, tener control de los elementos de red, mitigando de esta forma, el uso no autorizado de dispositivos, manteniendo a su vez un control de las conexiones de los principales elementos de la red para tomar las acciones necesarias.

Todos los elementos a ser escaneados deben estar detrás de la red: Interfaces Optional, LAN, Custom.
Nos permitirá conocer:

• Nombre del Host.
• Dirección IP.
• Dirección MAC.
• Tipo de dispositivo (Windows, Linux, iOS, Android, Otro)
• Puertos de conexión abiertos (TCP-UDP)

Algunas observaciones adicionales: 

• Servicio no disponible para dispositivos XTM
• Sugerimos establecer escaneos programados por interfaces, no a todos los segmentos de red de manera recurrente, ya que el consumo de procesamiento en el dispositivo se incrementa considerablemente.
• Si usted cuenta con un dispositivo T Series o M Series, le sugerimos aprovechar estas bondades de la versión a partir de SO 11.11.
• La customización de Network Discovery es a través de la interfaz Web-UI.

Algunas capturas de pantalla:

Network Discovery escaneando dos segmentos de red internos

Resultados de escaneos de puerto de switch Cisco SG300

Opciones de resultado de un dispositivo de la red

Mobile Security:

Este nuevo servicio de seguridad dará mucho de que hablar, de la mano de kaspersky, WatchGuard nos ha traido un excelente recurso para la fuerza laboral móvil y usuarios itinerantes de la red empresarial, no pertenece a las suites de seguridad Total Security ni Basic Security, su licenciamiento es basado en número de usuarios Fire Client que establezcan conexión (no recurrentes como mencioné en el principio de este artículo) consta de dos componentes:

• Mobile Security (componente o demonio que trabaja en el dispositivo Firebox)
• Fire Cliente (cliente a ser instalado en el dispositivo móvil dispositivos: Andoid iOS) 

Para que los usuarios se puedan conectar a la red deben hacer cumplimiento de:

• Versión del SO de sus dispositivos iOS y Android. (Usted determina a partir de que versión pueden conectarse a la red)
• No permite conexiones de dispositivos Android en modo root.
• No permitir conexiones de dispositivos Android con la opción de USB Debug habilitado.
• No permitir conexiones de dispositivos Android con la opción habilitada: instalar aplicaciones de fuentes desconocidas.
• No permitir dispositivos con aplicaciones tipo malware/ riskware.
• Dispositivos iOS con jailbroken.

Manos a la obra:

1.- Configurar el dispositivo Firebox la licencia correspondiente al Mobile Security, una vez adquirida con su reseller, regístrela en su respectivo perfil Live Security, índicando el dispositivo al que será aplicado.

Es importante tomar en cuenta que el Firebox le preguntará que interfaces internas adoptarán el escaneo de dispositivos móviles. En este sección debe agregar las interfaces correspondientes para tal fín (muy útil por si existe la situación de que alguién conecte un dispositivo inalámbrico en la red para conectar dispositivos móviles basados en iOS y Android)

Es importante tomar en cuenta que si no agregamos una interfaz interna en esta sección, entonces el servicio no trabajará en la misma.

Para habilitar Mobile Security en dispositivos que requieran establecer conexión VPN, podrá hacerlo siempre y cuando las conexiones sean tipo: SSL y Mobile VPN con protocolo Ipsec, excluyendo conexiones PPTP y L2TP en esta sección.

Las siguientes líneas de logs, se tomarón como muestra de un dispositivo con USB Debug habilitado, entre otras características los resultados fueron: "Conexión no establecida"

  Apply profile and compliance now. --- Current ---: Profile: [Interval: Keepalive:30s, compliance check:14400s, SDK update:24h. Monitor: App Installation:true Folder Monitor:true, folders:Root folder of Download, Documents] Compliance check list: [. Allowed: Versions:4.1.2 Not allowed: Device: [rooted:true, USB debug on:true, Unknown source on:true] App : [Malware:true, Adware:true, Riskware:true, Suspicious:false, Unsigned:false] Grace peroid:0s] --- To ---: Profile: [Interval: Keepalive:30s, compliance check:14400s, SDK update:24h. Monitor: App Installation:true Folder Monitor:true, folders:Root folder of Download, Documents] Compliance check list: [Allowed: Versions:4.1.2. Not allowed: Device: [rooted:true, USB debug on:true, Unknown source on:true] App : [Malware:true, Adware:true, Riskware:true, Suspicious:false, Unsigned:false] Grace peroid:0s] D 2016-07-18 16:02:10.794: AppService : Turn on App installation monitor D 2016-07-18 16:02:10.797: AppService : Enable application install monitor D 2016-07-18 16:02:11.089: AppService : Turn on Folder monitor D 2016-07-18 16:02:11.198: AppApplication : Start compliance check: Init complete. [2] D 2016-07-18 16:02:11.246: KavAntivirus : Starting compliance check... D 2016-07-18 16:02:11.364: CheckBaseRunnable : Thread 0, have 0, append 1 D 2016-07-18 16:02:11.397: CheckBaseRunnable : Thread 1, have 0, append 1 D 2016-07-18 16:02:11.442: CheckBaseRunnable : Thread [0] started: tasks:0 D 2016-07-18 16:02:11.445: CheckBaseRunnable : Thread [1] started: tasks:0 D 2016-07-18 16:02:18.646: CheckManager : Dispatch thread started D 2016-07-18 16:02:18.649: ComplianceCheckStateListener : Progress: Total:56 D 2016-07-18 16:02:18.653: CheckManager : Wait finish D 2016-07-18 16:02:20.396: CheckBaseRunnable : Thread 1, have 0, append 1 D 2016-07-18 16:02:20.399: CheckManager : Notify thread 1 D 2016-07-18 16:02:20.603: CheckBaseRun

Algunas pantallas de conectividad desde smartphone con Android:

App disponible en la tienda correspondiente.

Información del dispositivo, usuario validado e información adicional.

Adrián Gómez.
Director General, Gerente de Operaciones.
Servicios de Proyectos y Consultoría SGSI 0526