Over Layer 7 – fantasia o realtà? Over Layer 7 – fantasia o realtà?

M. Della Marina – D. TionM. Della Marina – D. Tion

● firewalling Layer 3 e limiti

● firewalling Layer 7 e limiti

● il concetto di Layer 8

● alcuni contesti operativi

● alcune funzionalità proposte dal mercato

OBIETTIVI

Mr. BOB

● Network/Security Admin senior

● Gestisce un team IT di 2 persone

● Opera in una azienda di medie dimensioni:● 50 dipendenti● utenti frequentemente in trasferta● dispositivi aziendali portatili

CHI CI ACCOMPAGNA?

Miss. ALICE

● Sales manager

● Dispone di un computer personale e tablet aziendale

● E' spesso in trasferta, accede costantemente alle risorse aziendali anche da remoto

● E' un pochino distratta ;) ma ha delle intuizioni geniali

CHI CI ACCOMPAGNA?

LO SCENARIO [1]

LE REGOLE (ACL)

ATTENZIONEa non dimenticare

le ACL per il trafficodi ritorno

I PROBLEMI [1] IL MIO NOTEBOOK

HA UN VIRUS!!!Spedisce mail

a tante persone!

La rete è lenta; c'è tanto traffico;Il mailserver è in liste SPAM

Non capisco cosa sta succedendo.NON HO VISIBILITA' SUL SISTEMA

Mr. BOB

● Installa un firewall Layer 3 sulla rete

● Attiva i sistemi di log management e analizza il traffico

● Identifica il traffico mail e ne capisce la provenienza

● Blocca temporaneamente l'invio tramite regola ad hoc

● Bonifica il computer client di Alice

● Crea regole di filtraggio con limiti di connessione

● Configura i sistemi di alerting del firewall

FORZA, BOB!!!

LO SCENARIO [2] ORA LA RETE E'

SOTTO CONTROLLO!

● visibilità sulle regole applicate

● gestione STATEFUL

● misurazione traffico

● Logging e alerting

● Limite alle connessioni

● Analisi di tutte le connessioni attive

STATEFUL FIREWALL PASSA SOLO QUELLO

CHE E' MEMORIZZATO NELLA TABELLADELLE SESSIONI

ISO/OSI STACK ORA SIAMO QUI!

I PROBLEMI [2] IL MIO NOTEBOOK

E' MOLTO LENTO NELL'ACCESSO A INTERNET...Che sia colpa del filmche sto scaricando?

TRAFFICO TORRENT

SU PORTA 80/TCP

La rete è lenta;Vedo molte sessioni aperte verso

Webserver esterni sulla porta 80/TCPNon capisco cosa sta succedendo

Si tratta di normale attività o meno?

NON HO VISIBILITA' SULLA REALE TIPOLOGIA

DI TRAFFICO

Ieri & Oggi

Mr. BOB

● Installa un firewall Layer 7 sulla rete

● Attiva i sistemi di deep packet inspection

● Identifica il traffico anomalo e ne capisce la provenienza

● Recrimina contro Alice :)

● Blocca / rallenta il protocollo Torrent / p2p

● Configura i sistemi di alerting del firewall per traffico anomalo

FORZA, BOB!!![2] A volte...A volte...

è meglio rallentareè meglio rallentareche bloccare... che bloccare...

ISO/OSI STACK

ORA SIAMO QUI!

Deep Packet Inspection

Deep Traffic Inspection

Deep Traffic Inspection

SSL ?

UTM(unified threat management)

PORRE MOLTA ATTENZIONE PORRE MOLTA ATTENZIONE nel dimensionamento nel dimensionamento

e scelta degli UTMe scelta degli UTM

Signature Più signaturePiù signature

== maggior controllomaggior controllo

maggiore protezionemaggiore protezione

Aggiornamento Signature

Ciò NON significa che possoCiò NON significa che possoevitare di fare aggiornamentievitare di fare aggiornamenti

ai miei sistemi e smettere di curareai miei sistemi e smettere di curaretutta la catena di sicurezza aziendaletutta la catena di sicurezza aziendale

Il mio firewall/UTM ha protetto Il mio firewall/UTM ha protetto automaticamente e rapidamente i miei sistemi automaticamente e rapidamente i miei sistemi

da attacchi basati su bug del software, comeda attacchi basati su bug del software, comeHeartbleed e ShellShockHeartbleed e ShellShock

Window of Vulnerability

Heuristic: Zero day protection

PROTOCOL ANOMALY DETECTIONIdentificazione di anomalie nel protocollo

PATTERN MATCHINGIdentificazioni file potenzialmente dannosi

(exe, js, script, etc.)

BEHAVIOR ANALYSISAnalisi del comportamento

(DoS, dDoS, port scan, address scan)

SAND BOXAnalisi del comportamento in ambiente protetto

LE botNET 75% of organizations,

a host accesses a malicious website

63% of the organizations are infected with bots like me ;)

(Checkpoint Security Report)

Suggerimenti di BOB

ATTENZIONE AI DATI DI TARGA DEI DISPOSITIVI

Come sono stati misurati?

Sono adeguati alla mia infrastruttura?

CERCATE SEMPRE

DI FARE UN

TRY & BUY

CHIEDETE SEMPRE

INFO SU FREQUENZA

DI AGGIORNAMENTO

SIGNATURE

CONFRONTATEVI CON

ALTRI AMMINISTRATORI

DI SISTEMA

ATTENZIONE

AI COSTI

DI GESTIONE

Coffee Time