Scopri le 5 caratteristiche che fanno di un
firewall un vero Next Generation FireWall
(NGFW)
Heros Deidda
System Engineer Sidin
BYOD e Sviluppo del Wireless
“Enterprise Wireless LAN Market to
Expand 70 Percent by 2018”
Sviluppo Del Paradigma Cloud
http://www.businesswire.com/news/home/20150421006874/en/Worldwide-Cloud-Infrastructure-Market-Growth-Expected-Accelerate#.VUd87fntmko
«L’infrastruttura per il cloud IT crescerà del 35% anno
su anno raggiungendo nel 2015 i 25 miliardi di $»
• Il cloud continua a
crescere in numero di
servizi erogati, varietà
e qualità
• Nasce e si afferma il
fenomeno dello
Shadow IT.
Applicazioni Cloud
opportunità ma anche
vettori di rischio
APT e Mercato Delle Minacce
AV industry in 1998..
AV industry in 2015
• Offuscamento,
Polimorfismo ed unicità
dei malware
• Tecniche di evasione
avanzate da Sandbox
• Filiera e mercato
organizzato per lo
sviluppo, la distribuzione
e lo sfruttamento di
exploit, artefatti, botnet
ecc. (es:DeepWeb)
• Minacce di Attacchi
“dall’interno”
• SMB non immune:
Ramsomware
Non Solo UTM Leader…
NSS Labs Reccommended
http://www.fortiguard.com/advisory/UpcomingAdvisories.html http://www.fortinet.com/resource_center/whitepapers/breach-detection-systems-beyond-hype.html
http://www.fortinet.com/sites/default/files/whitepapers/Next-Generation-Firewall-Comparative-Analysis-SVM.pdf
Next Gen Intrusion Prevention System
http://www.fortinet.com/sites/default/files/analystreports/Next-Gen-Intrusion-Prevention-System-Test-Report.pdf
Aprile 2015:
“Il FortiGate-1500D ha
bloccato il 99.2% degli
exploit dimostrandosi
efficace contro tutte le
tecniche di evasione e
superando tutti I test di
stabilità. Il fortiGate-
1500D ha gestito
11,727 Mbps di traffico
superando gli 11Gbps
dichiarati”
http://www.fortinet.com/press_releases/2015/fortinet-recieves-best-positioning-all-vendors-latest-nss-labs-next-gen-ips.html
#1: Application Awareness
and Control
Riconoscimento Delle Applicazioni..
..E Dei Contenuti Cloud SaaS
Controllo Delle Applicazioni: Profilo
• Nuove
Categorizzazioni per
Tipologia di Servizi
ed Applicazioni
• Azioni di
Allow,Block,
Monitor,Reset
• Applicazione di un
profilo di Traffic
shaping
sull’applicazione
• Deep inspection
delle Applicazioni
Cloud
Controllo Delle Applicazioni: Profilo
• Fra le categorie di
“applicazioni sono
presenti anche le
Botnet: Es:
Zeus.botnet,
ZeroAccess
CryptoLocker e
CryptoWall
• E’ possibile selezionare
nel dettaglio le
signature (oltre 3300)
• Notifica utenti via http
(Replacement
Message), Application
Control Traffic Shaping
http://cookbook.fortinet.com/protecting-web-server/
Firewall Policy Side
• Sulla 5.2.X le firewall policy
permettono di decidere tutte
le condizioni da applicare
su una maschera unica
• Fra queste condizioni è
necessario abilitare l profilo
di application control per
vederlo applicato sul traffico
• Anche il traffic shaping può
essere realizzato a livello di
policy. La profilazione sul
profilo di application control
ha la priorità e scavalca
l’impostazione della policy
Risk Level Description Example
Critical Applications that are used to conceal activity
to evade detection. Tor, SpyBoss
High Applications that can cause data leakage, or
prone to vulnerabilities or downloading malware.
Remote Desktop, File Sharing, P2P
Medium Applications that can be misused VoIP, Instant Messaging, File
Storage, WebEx, Gmail
Elevated Applications are used for personal
communications or can lower productivity. Gaming, Facebook, Youtube
Low Business Related Applications or other
harmless applications. Windows Updates
Applicazioni e Rischio
Application Control Risk VS Threat Weight
• Sono concetti Diversi. Il Threat Weight è personalizzabile dall’utente e
determina la vista su FortiView
Custom Signature
http://video.fortinet.com/uploads/documents/IPS%20Signature%20Syntax%20Guide.pdf
F-SBID(--par1 opzione;--par2 opzione;...) name: il nome della signature
app_cat: categoria
protocol: tcp,udp ecc
pattern: un contenuto di cui fare match
Context (*):
si usa tipicamente dopo un pattern per
definirne lo scope
• packet: il pacchetto IP (default)
• uri: campo uri dell’http (L7)
• header: header section di HTTP,POP3,SSH ecc. (L7)
• body: body section di HTTP,POP3,SSH ecc. (L7)
E’ possibile usare più condizioni come nella signatura di questa
pagina. Le condizioni sono valutate in AND
(*) Spesso il body di una PDU HTTP è frammentato su più pacchetti IP (dimensione tipica <=1514bytes)
per questo motivo il context va scelto oculatamente
Custom Signature: WordPress CVE-2015-3440
http://klikki.fi/adv/wordpress2.html
F-SBID(--name "WordPressCVE-2015-3440"; --app_cat 15; --protocol tcp;--service http; --pattern "POST /wp-comments-post.php" --context uri; -- within 26,context; --data_size >64000,HTTP_CONTENT;)
Caratteristiche Generali della signature:
--name il nome della signature
--il protocollo usato è tcp (L4)
--il servizio da riconoscere è l’http (sul layer7)
-- la categoria della signatura è «network service»
Prima condizione:
-- cerca la stringa «POST /wp-comments-post.php» (--pattern)
nell’uri dell’http (-- context uri) fra i primi 26 caratteri del contesto
Seconda Condizione:
--la dimensione deve essere maggiore di 64000 byte (--data_size)
all’interno del contenuto HTTP (HTTP_CONTENT)
Capire l’Attacco!
Context uri
Context host Context body
Context body
Altre Custom Signature
F-SBID( --name "SSLv3.0"; --app_cat 15; --protocol tcp; --flow bi_direction; --service SSL; --pattern "|16 03 00|"; --within 3,packet;) Come la prima ma ottimizzata!!! F-SBID( --name "SSLv3.Server.Hello"; --protocol tcp; --flow from_server; --service SSL; --seq =,1,relative; --pattern "|16 03 00|"; --within 3,packet; ) F-SBID( --name "TLSv1.0"; --app_cat 15; --protocol tcp; --flow bi_direction; --service SSL; --pattern "|16 03 01|"; --within 3,packet;) F-SBID( --name "TLSv1.1"; --app_cat 15; --protocol tcp; --flow bi_direction; --service SSL; --pattern "|16 03 02|"; --within 3,packet;) F-SBID( --name "TLSv1.2"; --app_cat 15; --protocol tcp; --flow bi_direction; --service SSL; --pattern "|16 03 03|"; --within 3,packet; ) Match con il tentativo di web surfing di un windows XP o Windows 2003 server F-SBID( --attack_id 8151; --vuln_id 8151; --name "Windows.NT.5.Web.Surfing"; --default_action drop_session; --service HTTP; --protocol tcp; --app_cat 25; --flow from_client; --pattern "Windows NT 5."; --no_case; --context header; )
http://video.fortinet.com/uploads/documents/IPS%20Signature%20Syntax%20Guide.pdf
#2: User Identity Awareness
And Control
Servizi di Autenticazione
• User Identity nelle Firewall Policy
– Utenti locali, Utenti guest, 2 Factor
Authentication
– Supporto LDAP,TATACS+, Radius
– SSO Active Directory Windows, Novell e
Radius SSO (RSSO), NTLM
• Device Identity nelle Firewall Policy
– Riconoscimento dei dispositivi fissi e mobili,
Windows, MAC, Android, linux
– Associazione statica per MacAddress e/o tipo
di device
– Creazioni di gruppi di dispositivi
• Client VPN (IPSEC, SSL)
– PKI e Certificati X.509
– X.509 certificates, SCEP support, OCSP
• User Identity sulle interfacce
• Administration Console (CLI, GUI)
SSL VPN
Captive portal
User identiity Firewall Policy
Device identity
FortiGate Administ
ration
2 Factor Authenticat
ion
IPSEC VPN
Network
Access
User e Device Awareness
User e Device nelle
firewall Policy
Captive Portal anche
direttamente sull’interfaccia!
L’identificazione del
device va abilitata
sull’interfaccia
rabatan
0625504561
Your
password
for WIFI is:
x3F0!#Pr
Expires in:
4 hours
Guest Management
Guest Access
Temporary user Provisioning &
Access
• Permette la creazione di profili
temporanei a staff non IT
• Assegna una quota di tempo ed
una password temporanee
• Si può dstribuire attraverso
stampa, sms o email
• Possibile creare gruppi di utenti
assieme
2FA Integrata
Supporto Esteso dell’autenticazione
• La soluzione è già integrata e completa. Per ogni fortigate sono già
compresi 2 softoken, altri token acquistabili
• Ulteriormente estensibile ed applicabile a gruppi di firewall usando il
FortiAuthenticator
FortiToken • Token Hardware • Software mobile e fisso
Email SMS via sms Gateway
Notifiche agli utenti
Replacement Messages
Distinti per informare in caso di rilevamento virus,url filtering, fail nella login ecc.
Supportato in modalità Proxy e Flow Based UTM
Customizzabile, può essere assegnato per VDOM
FortiTOP bar come soluzione alternativa
#3: Content Security
with Integrated IPS, Antivirus, and Web
Filtering
H/W Acceleration: FortiASIC
FortiGate with FortiASIC
CPU
offload
Initial session
setup
Instruction
download
• Network Processors (NP):
– Direttamente legati alle interfacce di
rete, fanno offload sulle sessioni fino al
layer 4.
• Security Processors (SP):
– Direttamente legati alle interfacce di
rete, implementano caratteristiche
complesse (Attack Detection, Flow
Based AntiVirus)
• Content Processors (CP):
-- DES/3DES/AES enc/decr, SHA-1,
MD5 HMAC, IPSEC engine, Public key
crypto engine, Content processing
engine, SSL/TLS protocol engine for
inspection and acceleration. Key
eXchange SSL processor
http://docs.fortinet.com/d/fortigate-hardware-acceleration
Servizi IPS
IPS Signature Oltre 7,000+ Signature
Zero-day Threat Protection & Research
Signature Customizzabili (analogamente
alle Applicazioni Customizzabili
Categorizzato per Severity, OS,
Protocollo, Target
Quarantena degli Utenti, Packet Logging
Deployment Options One-arm Sniffer Mode
Severity OS Protocol
Applications Target (Client/Server)
WIDS/WIPS Sul Wireless
• Rogue APs: Access Point che creano punti di accesso non autorizzati (e quindi breccie alla
sicurezza) nell’infrastruttura wired
• Honeypot / Evil Twin Attack: Un Access Point «evil» si finge agli occhi del client l’AP
leggittimo, ad esempio emettendo un segnale più forte. Questo tipo di attacco permette di
«spiare» tutte le comunicazioni, nonché username e password usate per l’associazione
• Ad Hoc Networks: deve essere prevenuta la creazione di reti ad hoc fra computer autorizzati
(con accessso alle risorse aziendali) e computer non autorizzati
• Asleap Attack: Sfrutta una debolezza dell’autenticazione LEAP per rubare le credenziali
dell’utente
• Association Flooding: cerco di far vedere all’AP quanti più client fittizi possibili fino a far
saturare la tabella delle associazioni degli AP e provocare un DoS per le nuove associaizioni
• Broadcasting De-Authentication: invio di frame di de-autenticazione all’AP, genera un DoS
• EAPOL Flooding: l’attaccante «inonda» di richieste l’authentication server. generando un
DoS applicativo
• Long Duration Attack: Occupo continuamente per il massimo tempo possibile il canale con
valori elevati. In questo modo deterioro il servizio
• Null SSID Probe Response: verifica la presenza di AP che rispondono ad un probe con un
SSID nullo (mette in crisi lo stack di alcuni device)
Antivirus Overview
AntiMalware Modalità Proxy e Flow based (flow
based supportata da SP2)
Heuristic AV Engine
File Analysis with Cloud-based or on-
premise sandboxing
AV con Diversi Database: Normal,
Extended ed extreme
Botnet IP Blacklist Database
Fortigate AV Engine 2.0
Code Emulator
• Stack di emulazione
leggero, per
riconoscere evasioni
• Ottimizzato per la
protezione da injection
di Malware attraverso
applicazioni web 2.0
compromesse
• Tecnologia CPRL
signature: ogni
signature in grado di
riconoscere fino a 50k
artefatti “simili”
Signature Match (CPRL/Checksum)
File Campione
Decryption/unpacking System
Code Emulator Behavior Analysis
Suspicious Forward to cloud-based FortiGuard AV
service
Pass No Further Action
FortiGate AV Engine 2.0
Blocked File discarded, option to
Quarantine and event logged
http://www.fortinet.com/sites/default/files/basicfiles/Fighting_Advanced_Threats.pd
#4: SSL Encryption and Decryption so threats can’t hide in HTTPS traffic
SSL Offloading
SSL Offloading Permette di risparmiare risorse sui server
di backend terminando SSL sul Fortigate
SSL Inspection Permette l’inspezione attraverso I servizi
UTM di contenuti criptati
Disponibile in due modalità: “SSL Cert
Inspection” e “Full SSL Inspection”
SSL può essere applicato selettivamente
al WebFiltering per escludere alcune
categorie (Es: banche, Sanità)
SSL Inspection Option
SSL Content Inspection
Web
Server
SSL-secured session SSL-secured session
HTTPS://
• Il Fortigate può fare Man-In-The-Middle su SSL tra
il browser ed il server
• I dati vengono decriptati dal Fortigate, ispezionati,
quindi nuovamente criptati ed invati al browser
• Il Fortigate deve creare “al Volo” certificati validi
per il dominio che il browser sta richiedendo. Li
Firma con la chiave privata di una CA corporate
• Il certificato pubblico della CA corporate va
installato sul browser affinchè questo accetti che
sia usato in tutte le firme
#5: Advanced Threat Protection and
Intelligence
File Submission 1
?
Advanced Threat Protection
• Filtering con più vettori di
protezione
• Supporta eseguibili ,DLL, PDF,
Windows Office Docs,
Javascript, AdobeFlash e
JavaArchive (JAR) files –
Media files: .avi, .mpeg, .mp3,
.mp4
• Integrato con il Fortigate
supporta analisi su SSL
FortiSandbox: Fortinet APT Protection
Malicious
Analysis
output
3
Nuove signature AV 4
2 Analisi Centralizzata dei file
Call Back Detection
Full Virtual Sandbox
Componenti Fondamentali
• Simula velocemente l’attività analizzando il codice
• Indipendente dall’OS ed immune ad evasione ed
obfuscation
• Applica I motori più efficaci per rilevare minacce
(95%+ Reactive e Proactive) engine
• Lavora come un efficinete prefiltro
Code Emulation
Cloud Query
AV Engine
• Esamina in real-time, l’attività sul ciclo di vita
• Fornisce informazioni dettagliate sul comportamento
e le azioni intraprese dall’artefatto
• Verifica l’intelligence presente sulla FortiSandbox
Community. Verificato da FortiGuard
• Identifica le possibilità di movimento dell’artefatto ,
eventuali callback a C&C
Fortigate:Integrazione con FortiSandBox
Integrazione con FortiSandbox/ FortiCloud Sandbox
• La submission dei file viene fatta dall’AV engine sui file sospetti o
per tutti I file su richiesta
• I risultati sono riportati sulla Dashboard Del Fortigate
FortiCloud Sandbox/ FortiSandbox
I file Sospetti con relativi log vengono sottomessi attraverso
uploadd
1 I Risultati dello sono disponibili sul portale
FortiCloudl
2
Sommario Dei Risultati sui Widget Fortigate
3
DOMANDE?
[email protected] System Engineer Sidin
Top Related