Presentación del webinar Community Live

SD-WAN Blindada: AMP y Threat Grid

Con la colaboración de Mariana Méndez, Lizbeth Gómez y Uriel Islas.

En este webinar integraremos Advanced Malware Protection y Thread Grid a nuestra red SD-WAN, esta integración brinda inteligencia sobre amenazas a nivel global, fortaleciendo las defensas de la red. Incorpora motores de análisis dinámico que permiten bloquear archivos maliciosos en tiempo real, y cuenta con la capacidad de monitorear y analizar de manera continua el comportamiento y el tráfico de los datos. 

Nota: El participante que nos envió la pregunta ganadora es J. Andrés M.

Recuerde que la presentación está disponible en pdf para su comodidad. Si este documento le ha resultado útil, no olvide calificar esta publicación con un voto de utilidad para validar su relevancia. ¡Muchas gracias!, 

---

¿Cómo enviar una pregunta?

Ponemos a su disposición nuestro evento Ask Me Anything (AMA) en cuyo foro podrán externar dudas y solicitar apoyo de nuestros expertos en casos específicos de los temas abordados. ¡Esperamos sus preguntas!

Ir al foro de Discusión
 

---

Lista de las Q&A del webinar Community Live

Encuentre la lista de preguntas formuladas durante el seminario web Community Live de nuestro evento. Cualquier duda que no haya sido respondida durante la sesión será resuelta posteriormente aquí o en el foro de "Preguntas".

Lista de Preguntas y Respuestas (Q&A)

• SD-WAN Blindada: AMP y Threat Grid
• Pregunta: Hola, ¿la diferencia de Snort y Zscaler/Umbrella cuando usamos SD.WAN? Gracias - Antolín R. (13min.)
• Pregunta: Hola, qué versión de Cat SD-WAN se está usando...? - Ciro M. (15min.)
• Pregunta: para endpoint, más para el tema de Ransomware. - Freddy MB (15min.)
• Pregunta: Al generar o actualizar certificados de seguridad, pueden ser auto firmados o firmados por una CA? y se deben hacer todos los CSR es decir vManage, vBond, etc.? - Roberto D. (19min.)
• Pregunta: Hola... ¿Cuál es la ventaja de AMP Endpoint vs XDR, para el tema de Ransomware de usuarios finales? - Freddy MB (19min.)
• Pregunta: ¿O cuál sería la mejor opción para proteger a los usuario finales contra Ransomware? - Freddy MB (20min.)
• Pregunta: Hola, ¿Snort solo trabaja en línea (conexión a internet), también se puede hacer offline o existe otro forma? Gracias - Antolín R. (22min.)
• Pregunta: Hola, threat grid, se puede integrar con terraform? - Antolín R. (32min.)
• Pregunta: Se puede integrar SDWAN Catalyst con Umbrella? - David R. (40min.)
• Pregunta: Que tipo de certificados utiliza SD WAN? - Galo N. (41min.)
• Pregunta: Hola team, ¿estas opciones de seguridad refuerzan a Umbrella SIG o deben trabajar de manera independiente? - Lucio G. (43min.)
• Pregunta: el licenciamiento de thread grid, el que mencionaban para acceso a la consola y para el análisis de archivos, cuanto tiempo cubre la suscripción? - Miguel O. (45min.)
• Pregunta: las licencias para los 4 tipos de usuarios, cuanto tiempo es su durabilidad? - Roberto D. (53min.)
• Pregunta: Puede ser modificado el has56 y afectar la detección? - Enrique D. (59min.)
• Pregunta: Si, nuestra fabrica se encuentra dentro de un Tenant, ¿es posible considerar esta solución? Entiendo que nuestro proveedor nos ofrece servicios con el entendido de que los controladores están compartidos con otras empresas (por poco cantida...
• Pregunta: En caso de usar Umbrella SIG para habilitar estos features de seguridad para los enrutadores SD-WAN en sucursales, en tema de licenciamiento se tiene que licenciar por cantidad de usuario de cada sucursal ? - René H. (78min.)
• Pregunta: Al no tener la nube configurada y que el router no sepa a donde mandar los archivos para su análisis, cuál será el comportamiento? algún error o log en particular o comportamiento erróneo? - Ire R. (90min.)
• Pregunta: Existe la integración con Umbrella DNS, pero, ¿Puede realizarse también con Umbrella SIG (SWG)? - J. Andrés M. (103min.)
• Pregunta del Chat: Para lograr estos features de seguridad en los router, solo se necesita considerar temas de licenciamiento DNA ? Hay algún otro requerimiento ? - René H. (15min.)
• Pregunta del Chat: Hay alguna plataforma demo, donde podamos interactuar con los equipos - Kevin H. (67min.)
• Pregunta del Chat: como se integra con la red LAN estoy en proceso de compra del ISE - Danilo Z. (68min.)
• Pregunta PQ#1: ¿Cuáles son las soluciones On-Prem de seguridad que ofrece SD-WAN?​
• Pregunta PQ#2: ¿Cuál de los siguientes roles es necesario dentro de Threat Grid para poder integrarse con SD-WAN?​
• Pregunta PQ#3: ¿Cuáles son las 3 opciones en Cisco Catalyst Manager para habilitar AMP en SD-WAN?​

---

Pregunta: Hola, ¿la diferencia de Snort y Zscaler/Umbrella cuando usamos SD.WAN? Gracias - Antolín R. (13min.)

Respuesta (Daniel M.): Hola Antolín, Snort y Zscaler son dos herramientas de seguridad en red, pero tienen diferentes enfoques y funcionalidades:

• Snort: Analiza el tráfico de red en tiempo real para detectar patrones de comportamiento sospechoso o malicioso basado en firmas.
• Zscaler: Actúa como un intermediario entre los usuarios y los recursos de internet, protegiendo a los usuarios sin importar dónde se encuentren. Además de la seguridad web, proporciona servicios como acceso remoto seguro y optimización de aplicaciones en la nube.

Pregunta: Hola, qué versión de Cat SD-WAN se está usando...? - Ciro M. (15min.)

Respuesta (Amanda N.): Hola Ciro, aquí están usando 20.12.2 en unified Policy.

Pregunta: para endpoint, más para el tema de Ransomware. - Freddy MB (15min.)

Respuesta (Amanda N.): Hola Freddy, ¿podrías ayudarme a elaborar un poco más la pregunta por favor?

Pregunta: Al generar o actualizar certificados de seguridad, pueden ser auto firmados o firmados por una CA? y se deben hacer todos los CSR es decir vManage, vBond, etc.? - Roberto D. (19min.)

Respuesta (Daniel M.): Hola Roberto! En SD-WAN utilizamos certificados para diferentes propósitos como por ejemplo, para levantar control connections, para el Web certificate, para Remote Access, S2S, SSL y de más. El único certificado que puede ser auto firmado es el Web certificate, todos los demás es necesario ser firmados por un CA. y me gustaría mencionar que entre estas features los certificados no son compartidos entre ellos.

Pregunta: Hola... ¿Cuál es la ventaja de AMP Endpoint vs XDR, para el tema de Ransomware de usuarios finales? - Freddy MB (19min.)

Respuesta (Daniel B.): Hola Freddy, Cisco Secure Endpoint (AMP for Endpoints) es una solución EDR que puede ser integrada con Cisco XDR lo cual nos permitirá poder mandar los eventos y detecciones de Secure Endpoint para poder correlacionar estos eventos/datos con otros productos de seguridad que tengas integrados en tu ambiente XDR, lo que nos podrá proporcionar una vista más amplia organiza y avanzada sobre las amenazas y detecciones en tu ambiente, lo que podrá permitir aplicar respuestas automatizadas a estas mismas.

Pregunta: ¿O cuál sería la mejor opción para proteger a los usuario finales contra Ransomware? - Freddy MB (20min.)

Respuesta (Daniel B.): Hola Freddy, Cisco Secure Endpoint para Endpoints cuenta con varios motores para la detección de Malware, estos pueden ser: Signature-Based Detection (detección a tráves de firmas), Behavioral Analysis (detección Dinámica), análisis a tráves de la nube, ExPrev (Exploit Prevention).

Pregunta: Hola, ¿Snort solo trabaja en línea (conexión a internet), también se puede hacer offline o existe otro forma? Gracias - Antolín R. (22min.)

Respuesta (Daniel M.): Hola Antolín, dependiendo de las features que se requieran habilitar, en este caso el Snort Engine es desplegado en un container hosteado dentro de IOS-XE, para la feature específica de AMP, es requerido que el router cuente con NATDIA para acceso a internet.

Pregunta: Hola, threat grid, se puede integrar con terraform? - Antolín R. (32min.)

Respuesta (Daniel B.): Hola Antolín, no tenemos una integración nativa para terraform, sin embargo puede ser posible mediante APIs, en el siguiente documento puede ver como generar las APIs para TG: https://panacea.threatgrid.com/mask/doc/mask/help-api-overview?region=US 

Pregunta: Se puede integrar SDWAN Catalyst con Umbrella? - David R. (40min.)

Respuesta (Daniel M.): Hola David! Sí, Cisco SD-WAN se puede integrar con Umbrella para mejorar la seguridad de la red al proporcionar protección contra amenazas basadas en DNS.

Pregunta: Que tipo de certificados utiliza SD WAN? - Galo N. (41min.)

Respuesta (Amanda N.): En SD-WAN se utilizan certificados SSL para diferentes propósitos. El principal es establecer la infraestructura de SD-WAN y autenticarla. Sin embargo, también se emplean otros certificados para diversas capacidades de seguridad en los routers. Los certificados utilizados para la infraestructura de SD-WAN no son reutilizables para otros fines. Es decir, si es necesario configurar alguna otra función que requiera certificados, como acceso remoto (FLEXVPN) o SSL, se deben configurar nuevos certificados.

Pregunta: Hola team, ¿estas opciones de seguridad refuerzan a Umbrella SIG o deben trabajar de manera independiente? - Lucio G. (43min.)

Respuesta (Amanda N.): Hola Lucio, puedes usar métodos de seguridad juntos o por separado según tus necesidades. Agregar más capas de seguridad aumenta la protección, pero podría ralentizar un poco el procesamiento de datos lo cual podría afectar el rendimiento en aplicaciones sensibles al tiempo. Las soluciones 'On-Premises' se instalan localmente, mientras que servicios como Umbrella o Zscaler son 'Security as a Service' y ofrecen más funciones que un router típico.

Pregunta: el licenciamiento de thread grid, el que mencionaban para acceso a la consola y para el análisis de archivos, cuanto tiempo cubre la suscripción? - Miguel O. (45min.)

Respuesta (Daniel B.): Hola Miguel. La duración de cada licenciamiento puede variar en el contrato del paquete que se elija, la duración puede ser entre 1 o 3 años. Aquí puedes ver la información de las licencias: https://www.cisco.com/c/en/us/products/collateral/security/amp-threat-grid-cloud/datasheet-c78-733495.html#Licensing 

Pregunta: las licencias para los 4 tipos de usuarios, cuanto tiempo es su durabilidad? - Roberto D. (53min.)

Respuesta (Daniel B.): Hola Roberto el tiempo puede variar entre 1, 3 o 5 años y depende del paquete que se elija, aquí más información sobre las licencias: https://www.cisco.com/c/en/us/products/collateral/security/amp-threat-grid-cloud/datasheet-c78-733495.html#Licensing 

Pregunta: Puede ser modificado el has56 y afectar la detección? - Enrique D. (59min.)

Respuesta (Daniel B.): Hola Enrique, el análisis y detección de archivos es basado en SHA256 el cual es un valor único por archivo, si este es modificado estarías hablando de un archivo totalmente diferente.

Pregunta: Si, nuestra fabrica se encuentra dentro de un Tenant, ¿es posible considerar esta solución? Entiendo que nuestro proveedor nos ofrece servicios con el entendido de que los controladores están compartidos con otras empresas (por poco cantidad de vEdges que tenemos). - Erik H. (71min.)

Respuesta (Amanda N.): ¡Hola Eric! En el caso de los vEdges, esta integración no es compatible. Sin embargo, si en tu vManage tenant tienes cEdges (IOS XE en controller mode), no habrá ningún impedimento.

Pregunta: En caso de usar Umbrella SIG para habilitar estos features de seguridad para los enrutadores SD-WAN en sucursales, en tema de licenciamiento se tiene que licenciar por cantidad de usuario de cada sucursal ? - René H. (78min.)

Respuesta (Amanda N.): Por lo que tengo entendido, el licenciamiento de Umbrella SIG generalmente se basa en la cantidad de túneles que se conectarán a través de SIG y el ancho de banda (BW), más que en la cantidad de usuarios en cada sucursal. Esto significa que, al planificar, debes considerar el número de túneles y el ancho de banda requerido para cada conexión en lugar de simplemente contar el número de usuarios.

Pregunta: Al no tener la nube configurada y que el router no sepa a donde mandar los archivos para su análisis, cuál será el comportamiento? algún error o log en particular o comportamiento erróneo? - Ire R. (90min.)

Respuesta (Daniel M.): Hola Ire, para utilizar AMP es necesario tener configurado en el equipo la conexión a Internet (DIA). En los primero pasos, el Snort Engine analizara el SHA256 hash e intentara hacer la búsqueda en el local cache para decidir mediante el hash si el archivo es malicioso. Si el hash no hace match con alguna entrada en el local cache, es entonces cuando se envía a AMP cloud. Si AMP cloud no responde, la descarga del archivo será permitida.

Pregunta: Existe la integración con Umbrella DNS, pero, ¿Puede realizarse también con Umbrella SIG (SWG)? - J. Andrés M. (103min.)

Respuesta (TBC): En espera.

Pregunta del Chat: Para lograr estos features de seguridad en los router, solo se necesita considerar temas de licenciamiento DNA ? Hay algún otro requerimiento ? - René H. (15min.)

Respuesta (TBC): En espera.

Pregunta del Chat: Hay alguna plataforma demo, donde podamos interactuar con los equipos - Kevin H. (67min.)

Respuesta (Amanda N.): ¡Hola Kevin! Sí, si contactas a tu equipo de cuenta (Account Team), puedes preguntarles sobre la herramienta dCloud. Allí encontrarás topologías preconfiguradas para realizar pruebas.

Pregunta del Chat: como se integra con la red LAN estoy en proceso de compra del ISE - Danilo Z. (68min.)

Respuesta (Amanda N.): ¡Hola Danilo! ISE puede trabajar con dispositivos SD-WAN. Sin embargo, la integración de AMP y Threat Grid no es necesaria para esta configuración.

Pregunta PQ#1: ¿Cuáles son las soluciones On-Prem de seguridad que ofrece SD-WAN?​

Opciones de respuesta: a) VPN de seguridad, DNVPN, Filtrado de URL, AMP y TG b) Zbfw, VPN punto a punto, AMP y TG, IPS/IDS c) IPS/IDS, AMP y TG, Filtrado de URL, zbfw, DNS/Capa de seguridad, descifrado SSL/TLS // Respuesta Correcta: c) IPS/IDS, AMP y TG, Filtrado de URL, zbfw, DNS/Capa de seguridad, descifrado SSL/TLS

Pregunta PQ#2: ¿Cuál de los siguientes roles es necesario dentro de Threat Grid para poder integrarse con SD-WAN?​

Opciones de respuesta: a) Device Admin b) Cualquier usuario puede c) Admin/Org Admin // Respuesta Correcta: c) Admin/Org Admin

Pregunta PQ#3: ¿Cuáles son las 3 opciones en Cisco Catalyst Manager para habilitar AMP en SD-WAN?​

Opciones de respuesta: a) A través de Políticas Centralizadas, Políticas Localizadas y templates b) A través de Políticas de Seguridad, Políticas Unificadas (Unified Policies) y Policy Groups/Config Groups c) A través de Cloud OnRamp, Políticas de Seguridad y templates // Respuesta Correcta: b) A través de Políticas de Seguridad, Políticas Unificadas (Unified Policies) y Policy Groups/Config Groups

---

Nuestros expertos

Mariana Méndez es Ingeniera en Sistemas Computacionales con especialidad en redes, graduada de la Universidad Tecnológica Centroamericana (UNITEC). Cuenta con experiencia en la administración de sistemas de comunicaciones, habiendo trabajado en Red UNO e Interjet. Desde hace más de dos años, forma parte del equipo de SD-WAN en el Centro de Asistencia Técnica de Cisco (TAC). Ha publicado documentación técnica para cisco.com. Actualmente, brinda mentoría dentro de Cisco y posee las certificaciones CCNP ENCORE, Implementación de SD-WAN y DevNet.

Lizbeth Gómez es Ingeniera en Comunicaciones y Electrónica -con especialidad en Comunicaciones- del Instituto Politécnico Nacional (IPN) en México. Ella Ingresó al equipo del TAC de Cisco para la tecnología SD-WAN. Actualmente cuenta con tres años de experiencia en esta tecnología y se desempeña como Escalation Engineer de SD-WAN. Lizbeth ha creado documentación pública de SD-WAN para cisco.com, así como videos para el canal oficial de Cisco en YouTube. 

Uriel Islas se unió a Cisco en 2019, donde comenzó su carrera con el equipo de ATS México. Luego de tres años trabajando en el equipo de TAC, pasó al equipo de SSPT, aprovechando la oportunidad de trabajar con clientes en un amplio portafolio de productos de Seguridad en la Nube, y así poder seguir aprendiendo de ello durante este tiempo.