2. OBIETTIVI
● firewalling Layer 3 e limiti
● firewalling Layer 7 e limiti
● il concetto di Layer 8
● alcuni contesti operativi
● alcune funzionalità proposte dal mercato
3. CHI CI ACCOMPAGNA?
Mr. BOB
● Network/Security Admin senior
● Gestisce un team IT di 2 persone
● Opera in una azienda di medie dimensioni:
● 50 dipendenti
● utenti frequentemente in trasferta
● dispositivi aziendali portatili
4. CHI CI ACCOMPAGNA?
Miss. ALICE
● Sales manager
● Dispone di un computer personale e tablet aziendale
● E' spesso in trasferta, accede costantemente alle risorse
aziendali anche da remoto
● E' un pochino distratta ;) ma ha delle intuizioni geniali
6. LE REGOLE (ACL)
ATTENZIONE
a non dimenticare
le ACL per il traffico
di ritorno
7. I PROBLEMI [1]
IL MIO NOTEBOOK
HA UN VIRUS!!!
Spedisce mail
a tante persone!
La rete è lenta; c'è tanto traffico;
Il mailserver è in liste SPAM
Non capisco cosa sta succedendo.
NON HO VISIBILITA' SUL SISTEMA
8. FORZA, BOB!!!
Mr. BOB
● Installa un firewall Layer 3 sulla rete
● Attiva i sistemi di log management e analizza il traffico
● Identifica il traffico mail e ne capisce la provenienza
● Blocca temporaneamente l'invio tramite regola ad hoc
● Bonifica il computer client di Alice
● Crea regole di filtraggio con limiti di connessione
● Configura i sistemi di alerting del firewall
9. LO SCENARIO [2] ORA LA RETE E'
SOTTO CONTROLLO!
● visibilità sulle regole applicate
● gestione STATEFUL
● misurazione traffico
● Logging e alerting
● Limite alle connessioni
● Analisi di tutte le connessioni attive
12. I PROBLEMI [2]
IL MIO NOTEBOOK
E' MOLTO LENTO NELL'
ACCESSO A INTERNET...
Che sia colpa del film
che sto scaricando?
TRAFFICO
TORRENT
SU
PORTA 80/TCP
La rete è lenta;
Vedo molte sessioni aperte verso
Webserver esterni sulla porta 80/TCP
Non capisco cosa sta succedendo
Si tratta di normale attività o meno?
NON HO VISIBILITA'
SULLA REALE TIPOLOGIA
DI TRAFFICO
14. FORZA, BOB!!![2]
Mr. BOB
● Installa un firewall Layer 7 sulla rete
● Attiva i sistemi di deep packet inspection
● Identifica il traffico anomalo e ne capisce la provenienza
● Recrimina contro Alice :)
● Blocca / rallenta il protocollo Torrent / p2p
● Configura i sistemi di alerting del firewall per
traffico anomalo
AA vvoollttee......
èè mmeegglliioo rraalllleennttaarree
cchhee bbllooccccaarree......
24. Heuristic:
Zero day protection
PROTOCOL ANOMALY DETECTION
Identificazione di anomalie nel protocollo
PATTERN MATCHING
Identificazioni file potenzialmente dannosi
(exe, js, script, etc.)
BEHAVIOR ANALYSIS
Analisi del comportamento
(DoS, dDoS, port scan, address scan)
SAND BOX
Analisi del comportamento in ambiente protetto
25. LE botNET 75% of organizations,
a host accesses a malicious website
63% of the organizations
are infected with bots like me ;)
(Checkpoint Security Report)
26. Suggerimenti di BOB
ATTENZIONE AI DATI
DI TARGA DEI DISPOSITIVI
Come sono stati misurati?
Sono adeguati alla
mia infrastruttura?
CERCATE SEMPRE
DI FARE UN
TRY & BUY
CHIEDETE SEMPRE
INFO SU FREQUENZA
DI AGGIORNAMENTO
SIGNATURE
CONFRONTATEVI CON
ALTRI AMMINISTRATORI
DI SISTEMA
ATTENZIONE
AI COSTI
DI GESTIONE