Firewalling pfsense-part1

Michele Della Marina - Dario Tion pfSense - soluzione firewall opensource

pfSensesoluzione firewall opensource

Michele Della MarinaMichele Della MarinaDario TionDario Tion

Settembre, 2012Settembre, 2012



1969: nasce Internet1969: nasce Internet““TRUST” FRA I COMPUTER IN RETETRUST” FRA I COMPUTER IN RETE



Vulnerabilita’ UNIX

DDOS

6000? 60000? computer infettati

1988: Robert Tappan Morris1988: Robert Tappan Morris WORMWORM



Secondo una statistica redatta nel 2010gli attacchi informatici hanno colpito

circa il 75% dei business di tutto il mondo

MEGLIO PROTEGGERCIMEGLIO PROTEGGERCI



WAN: zona pubblica (untrusted)

LAN: zona privata (trusted)

ARCHITETTURA TIPICA: 2 ZONEARCHITETTURA TIPICA: 2 ZONE



ARCHITETTURA TIPICA: 3 ZONEARCHITETTURA TIPICA: 3 ZONE

Pubblicazione serviziDMZ: zona demilitarizzata



PILA ISO/OSIPILA ISO/OSI

Open Systems InterconnectionArchitettura logica della rete



INCAPSULAMENTOINCAPSULAMENTO



COME E' FATTO UN PACCHETTOCOME E' FATTO UN PACCHETTO



ANALISI DI RETE: WIRESHARKANALISI DI RETE: WIRESHARK





PILA ISO/OSIPILA ISO/OSI

FIREWALL “terza generazione”FIREWALL “terza generazione”application filterapplication filter

FIREWALL “prima generazione”FIREWALL “prima generazione”packet filterpacket filter

FIREWALL “seconda generazione”FIREWALL “seconda generazione”stateful filterstateful filter



PACKET FILTER FIREWALLPACKET FILTER FIREWALL



REJECT or BLOCKREJECT or BLOCK



STATEFUL FILTER FIREWALLSTATEFUL FILTER FIREWALL



STATEFUL FIREWALL RULESSTATEFUL FIREWALL RULES

- Rule- Top->Bottom- Default Policy - Allow Back



APPLICATION FIREWALLAPPLICATION FIREWALL

PORTA 80,443

INTERNETINTERNET



APPLICATION FIREWALLAPPLICATION FIREWALL



FIREWALL FEATURESFIREWALL FEATURES

- VLAN- ROUTING- NAT- VPN- QOS / BANDWIDTH MANAGEMENT



VLAN: VIRTUAL LOCAL AREA NETWORKVLAN: VIRTUAL LOCAL AREA NETWORK

1 SwitchN Segmenti di rete

- domini di broadcast- “sicurezza”- ottimo controllo e gestione



FIREWALL FEATURES: ROUTINGFIREWALL FEATURES: ROUTING

Permette la comunicazione fra reti

diverseLivello 3 ISO/OSI

Routing statico/dinamico



FIREWALL FEATURES: NAT/NAPTFIREWALL FEATURES: NAT/NAPTNetwork Address TranslationNetwork Address Translation

CONTRO

Si perde la possibilità di fare tracciamenti end-to-end

Alcune applicazioni possono non funzionare

E’ un lavoro aggiuntivo per la CPU dei router che lo implementano

PRO

risolve carenza indirizzi IPv4

Non è necessario cambiare gli indirizzi della rete privata per accedere ad Internet.

Sicurezza, il traffico entrante non può raggiungere gli host sulla rete privata



FIREWALL FEATURES: VPNFIREWALL FEATURES: VPNVirtual Private NetworkVirtual Private Network

Tunnel protetto nella rete pubblicaTunnel protetto nella rete pubblica

site 2 siteclient 2 site



FIREWALL FEATURES: QOS / BANDWIDTH MANAGEMENTFIREWALL FEATURES: QOS / BANDWIDTH MANAGEMENT

Gestione intelligente della banda



RADIUS SERVERRADIUS SERVER

DHCP SERVERDHCP SERVER

LDAP SERVERLDAP SERVER

ANTIVIRUSANTIVIRUS

ANTISPAMANTISPAM

SUPPORTO VLANSUPPORTO VLAN

FIREWALL: NON SOLO FIREWALLFIREWALL: NON SOLO FIREWALL



- gestione mirata dei log- allarmi automatici- archiviazione protetta

GESTIONE LOGGESTIONE LOG

Chi segnala un attacco?

osservatorio attacchi italiano



FIREWALL COMMERCIALI – FIREWALL OPENSOURCEFIREWALL COMMERCIALI – FIREWALL OPENSOURCE

- alte performance (ASIC dedicati)- black box “già pronte”- features integrate- supporto del vendor

- efficienti e “gratis”- flessibili da “personalizzare”- aperti a nuovi moduli- comunità attive



EQUIPAGGIAMENTO FIREWALLEQUIPAGGIAMENTO FIREWALL

Interfacce (rame, fibra, 10/100/1000)Management (web,cli,console)Stateful ThroughputDPI ThroughputNumero connessioni supportateHAIPV6



SUGGERIMENTISUGGERIMENTI

- Dove collocarlo? (censimento host/servizi, topologia, routing)

- Come collocarlo? (transparent/routed firewall?)

- Throughput: banda a disposizione (WAN e LAN)?

- Chi gestisce il firewall? Appliance vs OpenSource? Assistenza?

- Obiettivi: Filtrare applicazioni? Semplice protezione IPS/IDS? VPN?

- All deny rules? (permetto solo le regole necessarie)

- ATTENZIONE: attacchi dall'interno/social engineering

- LOG: storico? Strumenti per veloce ricerca di informazioni?

- ATTENZIONE: default configuration e default password

- Piattaforme supportate? Management? VPN Client?

- HA: ambiente critico?



RIFERIMENTIRIFERIMENTI



RIFERIMENTIRIFERIMENTI

BIBLIOGRAFIA ed IMMAGINI

Famiglia Simpson :-)http://en.wikipedia.org/wiki/Morris_wormhttp://en.wikipedia.org/wiki/Firewall_(computing)#cite_note-report_unm-2

www.symantec.comwww.malaboadvisoring.itwww.google.comwww.vmware.comwww.laontalk.comwww.guidaacquisti.net/www.wikimedia.orgwww.39italia.comit.123rf.com/www.silhouettesclipart.comwww.thenetworkthinkers.com/www.neomedia.itwww.diablotin.comwww.wired.comwww.cisco.com

Technology

Firewalling pfsense-part1