View
139
Download
0
Category
Preview:
DESCRIPTION
Presentazione DiTeDi del 8 novembre 2014 su OverLayer 7 Firewalling, tenuta da Michele Della Marina e Dario Tion di Darnet UK LTD - parte 1 di 2
Citation preview
Over Layer 7 – fantasia o realtà? Over Layer 7 – fantasia o realtà?
M. Della Marina – D. TionM. Della Marina – D. Tion
● firewalling Layer 3 e limiti
● firewalling Layer 7 e limiti
● il concetto di Layer 8
● alcuni contesti operativi
● alcune funzionalità proposte dal mercato
OBIETTIVI
Mr. BOB
● Network/Security Admin senior
● Gestisce un team IT di 2 persone
● Opera in una azienda di medie dimensioni:● 50 dipendenti● utenti frequentemente in trasferta● dispositivi aziendali portatili
CHI CI ACCOMPAGNA?
Miss. ALICE
● Sales manager
● Dispone di un computer personale e tablet aziendale
● E' spesso in trasferta, accede costantemente alle risorse aziendali anche da remoto
● E' un pochino distratta ;) ma ha delle intuizioni geniali
CHI CI ACCOMPAGNA?
LO SCENARIO [1]
LE REGOLE (ACL)
ATTENZIONEa non dimenticare
le ACL per il trafficodi ritorno
I PROBLEMI [1] IL MIO NOTEBOOK
HA UN VIRUS!!!Spedisce mail
a tante persone!
La rete è lenta; c'è tanto traffico;Il mailserver è in liste SPAM
Non capisco cosa sta succedendo.NON HO VISIBILITA' SUL SISTEMA
Mr. BOB
● Installa un firewall Layer 3 sulla rete
● Attiva i sistemi di log management e analizza il traffico
● Identifica il traffico mail e ne capisce la provenienza
● Blocca temporaneamente l'invio tramite regola ad hoc
● Bonifica il computer client di Alice
● Crea regole di filtraggio con limiti di connessione
● Configura i sistemi di alerting del firewall
FORZA, BOB!!!
LO SCENARIO [2] ORA LA RETE E'
SOTTO CONTROLLO!
● visibilità sulle regole applicate
● gestione STATEFUL
● misurazione traffico
● Logging e alerting
● Limite alle connessioni
● Analisi di tutte le connessioni attive
STATEFUL FIREWALL PASSA SOLO QUELLO
CHE E' MEMORIZZATO NELLA TABELLADELLE SESSIONI
ISO/OSI STACK ORA SIAMO QUI!
I PROBLEMI [2] IL MIO NOTEBOOK
E' MOLTO LENTO NELL'ACCESSO A INTERNET...Che sia colpa del filmche sto scaricando?
TRAFFICO TORRENT
SU PORTA 80/TCP
La rete è lenta;Vedo molte sessioni aperte verso
Webserver esterni sulla porta 80/TCPNon capisco cosa sta succedendo
Si tratta di normale attività o meno?
NON HO VISIBILITA' SULLA REALE TIPOLOGIA
DI TRAFFICO
Ieri & Oggi
Mr. BOB
● Installa un firewall Layer 7 sulla rete
● Attiva i sistemi di deep packet inspection
● Identifica il traffico anomalo e ne capisce la provenienza
● Recrimina contro Alice :)
● Blocca / rallenta il protocollo Torrent / p2p
● Configura i sistemi di alerting del firewall per traffico anomalo
FORZA, BOB!!![2] A volte...A volte...
è meglio rallentareè meglio rallentareche bloccare... che bloccare...
ISO/OSI STACK
ORA SIAMO QUI!
Deep Packet Inspection
Deep Traffic Inspection
Deep Traffic Inspection
SSL ?
UTM(unified threat management)
PORRE MOLTA ATTENZIONE PORRE MOLTA ATTENZIONE nel dimensionamento nel dimensionamento
e scelta degli UTMe scelta degli UTM
Signature Più signaturePiù signature
== maggior controllomaggior controllo
maggiore protezionemaggiore protezione
Aggiornamento Signature
Ciò NON significa che possoCiò NON significa che possoevitare di fare aggiornamentievitare di fare aggiornamenti
ai miei sistemi e smettere di curareai miei sistemi e smettere di curaretutta la catena di sicurezza aziendaletutta la catena di sicurezza aziendale
Il mio firewall/UTM ha protetto Il mio firewall/UTM ha protetto automaticamente e rapidamente i miei sistemi automaticamente e rapidamente i miei sistemi
da attacchi basati su bug del software, comeda attacchi basati su bug del software, comeHeartbleed e ShellShockHeartbleed e ShellShock
Window of Vulnerability
Heuristic: Zero day protection
PROTOCOL ANOMALY DETECTIONIdentificazione di anomalie nel protocollo
PATTERN MATCHINGIdentificazioni file potenzialmente dannosi
(exe, js, script, etc.)
BEHAVIOR ANALYSISAnalisi del comportamento
(DoS, dDoS, port scan, address scan)
SAND BOXAnalisi del comportamento in ambiente protetto
LE botNET 75% of organizations,
a host accesses a malicious website
63% of the organizations are infected with bots like me ;)
(Checkpoint Security Report)
Suggerimenti di BOB
ATTENZIONE AI DATI DI TARGA DEI DISPOSITIVI
Come sono stati misurati?
Sono adeguati alla mia infrastruttura?
CERCATE SEMPRE
DI FARE UN
TRY & BUY
CHIEDETE SEMPRE
INFO SU FREQUENZA
DI AGGIORNAMENTO
SIGNATURE
CONFRONTATEVI CON
ALTRI AMMINISTRATORI
DI SISTEMA
ATTENZIONE
AI COSTI
DI GESTIONE
Coffee Time
Recommended