Prima parte del seminario su soluzione di firewalling opensource pfSense. Relatori: Michele Della Marina e Dario Tion Luogo: Knowledge Center DiTeDi - Tavagnacco (UD) Data: 8 settembre 2012

1. pfSense
soluzione firewall opensource
Michele Della Marina
Dario Tion
Settembre, 2012
Michele Della Marina - Dario Tion pfSense - soluzione firewall opensource

2. pfSense
soluzione firewall opensource
1969: nasce Internet
“TRUST” FRA I COMPUTER IN RETE
Michele Della Marina - Dario Tion pfSense - soluzione firewall opensource

3. pfSense
soluzione firewall opensource
1988: Robert Tappan Morris WORM
Vulnerabilita’ UNIX
DDOS
6000? 60000? computer infettati
Michele Della Marina - Dario Tion pfSense - soluzione firewall opensource

4. pfSense
soluzione firewall opensource
Secondo una statistica redatta nel 2010
gli attacchi informatici hanno colpito
circa il 75% dei business di tutto il mondo
MEGLIO PROTEGGERCI
Michele Della Marina - Dario Tion pfSense - soluzione firewall opensource

5. pfSense
soluzione firewall opensource
ARCHITETTURA TIPICA: 2 ZONE
WAN: zona pubblica
(untrusted)
LAN: zona privata
(trusted)
Michele Della Marina - Dario Tion pfSense - soluzione firewall opensource

6. pfSense
soluzione firewall opensource
ARCHITETTURA TIPICA: 3 ZONE
Pubblicazione servizi
DMZ: zona demilitarizzata
Michele Della Marina - Dario Tion pfSense - soluzione firewall opensource

7. pfSense
soluzione firewall opensource
PILA ISO/OSI
Open Systems Interconnection
Architettura logica della rete
Michele Della Marina - Dario Tion pfSense - soluzione firewall opensource

8. pfSense
soluzione firewall opensource
INCAPSULAMENTO
Michele Della Marina - Dario Tion pfSense - soluzione firewall opensource

9. pfSense
soluzione firewall opensource
COME E' FATTO UN PACCHETTO
Michele Della Marina - Dario Tion pfSense - soluzione firewall opensource

10. pfSense
soluzione firewall opensource
ANALISI DI RETE: WIRESHARK
Michele Della Marina - Dario Tion pfSense - soluzione firewall opensource

11. pfSense
soluzione firewall opensource
Michele Della Marina - Dario Tion pfSense - soluzione firewall opensource

12. pfSense
soluzione firewall opensource
FIREWALL “terza generazione”
application filter
FIREWALL “seconda generazione”
stateful filter
FIREWALL “prima generazione”
packet filter
PILA ISO/OSI
Michele Della Marina - Dario Tion pfSense - soluzione firewall opensource

13. pfSense
soluzione firewall opensource
PACKET FILTER FIREWALL
Michele Della Marina - Dario Tion pfSense - soluzione firewall opensource

14. pfSense
soluzione firewall opensource
REJECT or BLOCK
Michele Della Marina - Dario Tion pfSense - soluzione firewall opensource

15. pfSense
soluzione firewall opensource
STATEFUL FILTER FIREWALL
Michele Della Marina - Dario Tion pfSense - soluzione firewall opensource

16. pfSense
soluzione firewall opensource
STATEFUL FIREWALL RULES
- Rule
- Top->Bottom
- Default Policy
- Allow Back
Michele Della Marina - Dario Tion pfSense - soluzione firewall opensource

17. pfSense
soluzione firewall opensource
APPLICATION FIREWALL
PORTA
80,443
INTERNET
Michele Della Marina - Dario Tion pfSense - soluzione firewall opensource

18. pfSense
soluzione firewall opensource
APPLICATION FIREWALL
Michele Della Marina - Dario Tion pfSense - soluzione firewall opensource

19. pfSense
soluzione firewall opensource
FIREWALL FEATURES
- VLAN
- ROUTING
- NAT
- VPN
- QOS / BANDWIDTH MANAGEMENT
Michele Della Marina - Dario Tion pfSense - soluzione firewall opensource

20. pfSense
soluzione firewall opensource
VLAN: VIRTUAL LOCAL AREA NETWORK
1 Switch
N Segmenti di rete
- domini di broadcast
- “sicurezza”
- ottimo controllo e gestione
Michele Della Marina - Dario Tion pfSense - soluzione firewall opensource

21. pfSense
soluzione firewall opensource
FIREWALL FEATURES: ROUTING
Permette la
Livello 3 ISO/OSI comunicazione fra reti
diverse
Routing
statico/dinamico
Michele Della Marina - Dario Tion pfSense - soluzione firewall opensource

22. pfSense
soluzione firewall opensource
FIREWALL FEATURES: NAT/NAPT
Network Address Translation
PRO CONTRO
risolve carenza indirizzi IPv4 Si perde la possibilità di fare tracciamenti end-to-end
Non è necessario cambiare gli indirizzi della rete Alcune applicazioni possono non funzionare
privata per accedere ad Internet.
E’ un lavoro aggiuntivo per la CPU dei router che lo
Sicurezza, il traffico entrante non può raggiungere implementano
gli host sulla rete privata
Michele Della Marina - Dario Tion pfSense - soluzione firewall opensource

23. pfSense
soluzione firewall opensource
FIREWALL FEATURES: VPN
Virtual Private Network
Tunnel protetto nella rete pubblica
site 2 site
client 2 site
Michele Della Marina - Dario Tion pfSense - soluzione firewall opensource

24. pfSense
soluzione firewall opensource
FIREWALL FEATURES: QOS / BANDWIDTH MANAGEMENT
Gestione intelligente della banda
Michele Della Marina - Dario Tion pfSense - soluzione firewall opensource

25. pfSense
soluzione firewall opensource
FIREWALL: NON SOLO FIREWALL
RADIUS SERVER
DHCP SERVER
LDAP SERVER
ANTIVIRUS
ANTISPAM
SUPPORTO VLAN
Michele Della Marina - Dario Tion pfSense - soluzione firewall opensource

26. pfSense
soluzione firewall opensource
GESTIONE LOG
Chi segnala un attacco?
osservatorio attacchi italiano
- gestione mirata dei log
- allarmi automatici
- archiviazione protetta
Michele Della Marina - Dario Tion pfSense - soluzione firewall opensource

27. pfSense
soluzione firewall opensource
FIREWALL COMMERCIALI – FIREWALL OPENSOURCE
- alte performance (ASIC dedicati) - efficienti e “gratis”
- black box “già pronte” - flessibili da “personalizzare”
- features integrate - aperti a nuovi moduli
- supporto del vendor - comunità attive
Michele Della Marina - Dario Tion pfSense - soluzione firewall opensource

28. pfSense
soluzione firewall opensource
EQUIPAGGIAMENTO FIREWALL
Interfacce (rame, fibra, 10/100/1000)
Management (web,cli,console)
Stateful Throughput
DPI Throughput
Numero connessioni supportate
HA
IPV6
Michele Della Marina - Dario Tion pfSense - soluzione firewall opensource

29. pfSense
soluzione firewall opensource
SUGGERIMENTI
- Dove collocarlo? (censimento host/servizi, topologia, routing)
- Come collocarlo? (transparent/routed firewall?)
- Throughput: banda a disposizione (WAN e LAN)?
- Chi gestisce il firewall? Appliance vs OpenSource? Assistenza?
- Obiettivi: Filtrare applicazioni? Semplice protezione IPS/IDS? VPN?
- All deny rules? (permetto solo le regole necessarie)
- ATTENZIONE: attacchi dall'interno/social engineering
- LOG: storico? Strumenti per veloce ricerca di informazioni?
- ATTENZIONE: default configuration e default password
- Piattaforme supportate? Management? VPN Client?
- HA: ambiente critico?
Michele Della Marina - Dario Tion pfSense - soluzione firewall opensource

30. pfSense
soluzione firewall opensource
RIFERIMENTI
Michele Della Marina - Dario Tion pfSense - soluzione firewall opensource

31. pfSense
soluzione firewall opensource
RIFERIMENTI
BIBLIOGRAFIA ed IMMAGINI
Famiglia Simpson :-)
http://en.wikipedia.org/wiki/Morris_worm
http://en.wikipedia.org/wiki/Firewall_(computing)#cite_note-report_unm-2
www.symantec.com
www.malaboadvisoring.it
www.google.com
www.vmware.com
www.laontalk.com
www.guidaacquisti.net/
www.wikimedia.org
www.39italia.com
it.123rf.com/
www.silhouettesclipart.com
www.thenetworkthinkers.com/
www.neomedia.it
www.diablotin.com
www.wired.com
www.cisco.com
Michele Della Marina - Dario Tion pfSense - soluzione firewall opensource