Upload
dario-tion
View
1.351
Download
2
Embed Size (px)
DESCRIPTION
Prima parte del seminario su soluzione di firewalling opensource pfSense. Relatori: Michele Della Marina e Dario Tion Luogo: Knowledge Center DiTeDi - Tavagnacco (UD) Data: 8 settembre 2012
Citation preview
Michele Della Marina - Dario Tion pfSense - soluzione firewall opensource
pfSensesoluzione firewall opensource
Michele Della MarinaMichele Della MarinaDario TionDario Tion
Settembre, 2012Settembre, 2012
Michele Della Marina - Dario Tion pfSense - soluzione firewall opensource
pfSensesoluzione firewall opensource
1969: nasce Internet1969: nasce Internet““TRUST” FRA I COMPUTER IN RETETRUST” FRA I COMPUTER IN RETE
Michele Della Marina - Dario Tion pfSense - soluzione firewall opensource
pfSensesoluzione firewall opensource
Vulnerabilita’ UNIX
DDOS
6000? 60000? computer infettati
1988: Robert Tappan Morris1988: Robert Tappan Morris WORMWORM
Michele Della Marina - Dario Tion pfSense - soluzione firewall opensource
pfSensesoluzione firewall opensource
Secondo una statistica redatta nel 2010gli attacchi informatici hanno colpito
circa il 75% dei business di tutto il mondo
MEGLIO PROTEGGERCIMEGLIO PROTEGGERCI
Michele Della Marina - Dario Tion pfSense - soluzione firewall opensource
pfSensesoluzione firewall opensource
WAN: zona pubblica (untrusted)
LAN: zona privata (trusted)
ARCHITETTURA TIPICA: 2 ZONEARCHITETTURA TIPICA: 2 ZONE
Michele Della Marina - Dario Tion pfSense - soluzione firewall opensource
pfSensesoluzione firewall opensource
ARCHITETTURA TIPICA: 3 ZONEARCHITETTURA TIPICA: 3 ZONE
Pubblicazione serviziDMZ: zona demilitarizzata
Michele Della Marina - Dario Tion pfSense - soluzione firewall opensource
pfSensesoluzione firewall opensource
PILA ISO/OSIPILA ISO/OSI
Open Systems InterconnectionArchitettura logica della rete
Michele Della Marina - Dario Tion pfSense - soluzione firewall opensource
pfSensesoluzione firewall opensource
INCAPSULAMENTOINCAPSULAMENTO
Michele Della Marina - Dario Tion pfSense - soluzione firewall opensource
pfSensesoluzione firewall opensource
COME E' FATTO UN PACCHETTOCOME E' FATTO UN PACCHETTO
Michele Della Marina - Dario Tion pfSense - soluzione firewall opensource
pfSensesoluzione firewall opensource
ANALISI DI RETE: WIRESHARKANALISI DI RETE: WIRESHARK
Michele Della Marina - Dario Tion pfSense - soluzione firewall opensource
pfSensesoluzione firewall opensource
Michele Della Marina - Dario Tion pfSense - soluzione firewall opensource
pfSensesoluzione firewall opensource
PILA ISO/OSIPILA ISO/OSI
FIREWALL “terza generazione”FIREWALL “terza generazione”application filterapplication filter
FIREWALL “prima generazione”FIREWALL “prima generazione”packet filterpacket filter
FIREWALL “seconda generazione”FIREWALL “seconda generazione”stateful filterstateful filter
Michele Della Marina - Dario Tion pfSense - soluzione firewall opensource
pfSensesoluzione firewall opensource
PACKET FILTER FIREWALLPACKET FILTER FIREWALL
Michele Della Marina - Dario Tion pfSense - soluzione firewall opensource
pfSensesoluzione firewall opensource
REJECT or BLOCKREJECT or BLOCK
Michele Della Marina - Dario Tion pfSense - soluzione firewall opensource
pfSensesoluzione firewall opensource
STATEFUL FILTER FIREWALLSTATEFUL FILTER FIREWALL
Michele Della Marina - Dario Tion pfSense - soluzione firewall opensource
pfSensesoluzione firewall opensource
STATEFUL FIREWALL RULESSTATEFUL FIREWALL RULES
- Rule- Top->Bottom- Default Policy - Allow Back
Michele Della Marina - Dario Tion pfSense - soluzione firewall opensource
pfSensesoluzione firewall opensource
APPLICATION FIREWALLAPPLICATION FIREWALL
PORTA 80,443
INTERNETINTERNET
Michele Della Marina - Dario Tion pfSense - soluzione firewall opensource
pfSensesoluzione firewall opensource
APPLICATION FIREWALLAPPLICATION FIREWALL
Michele Della Marina - Dario Tion pfSense - soluzione firewall opensource
pfSensesoluzione firewall opensource
FIREWALL FEATURESFIREWALL FEATURES
- VLAN- ROUTING- NAT- VPN- QOS / BANDWIDTH MANAGEMENT
Michele Della Marina - Dario Tion pfSense - soluzione firewall opensource
pfSensesoluzione firewall opensource
VLAN: VIRTUAL LOCAL AREA NETWORKVLAN: VIRTUAL LOCAL AREA NETWORK
1 SwitchN Segmenti di rete
- domini di broadcast- “sicurezza”- ottimo controllo e gestione
Michele Della Marina - Dario Tion pfSense - soluzione firewall opensource
pfSensesoluzione firewall opensource
FIREWALL FEATURES: ROUTINGFIREWALL FEATURES: ROUTING
Permette la comunicazione fra reti
diverseLivello 3 ISO/OSI
Routing statico/dinamico
Michele Della Marina - Dario Tion pfSense - soluzione firewall opensource
pfSensesoluzione firewall opensource
FIREWALL FEATURES: NAT/NAPTFIREWALL FEATURES: NAT/NAPTNetwork Address TranslationNetwork Address Translation
CONTRO
Si perde la possibilità di fare tracciamenti end-to-end
Alcune applicazioni possono non funzionare
E’ un lavoro aggiuntivo per la CPU dei router che lo implementano
PRO
risolve carenza indirizzi IPv4
Non è necessario cambiare gli indirizzi della rete privata per accedere ad Internet.
Sicurezza, il traffico entrante non può raggiungere gli host sulla rete privata
Michele Della Marina - Dario Tion pfSense - soluzione firewall opensource
pfSensesoluzione firewall opensource
FIREWALL FEATURES: VPNFIREWALL FEATURES: VPNVirtual Private NetworkVirtual Private Network
Tunnel protetto nella rete pubblicaTunnel protetto nella rete pubblica
site 2 siteclient 2 site
Michele Della Marina - Dario Tion pfSense - soluzione firewall opensource
pfSensesoluzione firewall opensource
FIREWALL FEATURES: QOS / BANDWIDTH MANAGEMENTFIREWALL FEATURES: QOS / BANDWIDTH MANAGEMENT
Gestione intelligente della banda
Michele Della Marina - Dario Tion pfSense - soluzione firewall opensource
pfSensesoluzione firewall opensource
RADIUS SERVERRADIUS SERVER
DHCP SERVERDHCP SERVER
LDAP SERVERLDAP SERVER
ANTIVIRUSANTIVIRUS
ANTISPAMANTISPAM
SUPPORTO VLANSUPPORTO VLAN
FIREWALL: NON SOLO FIREWALLFIREWALL: NON SOLO FIREWALL
Michele Della Marina - Dario Tion pfSense - soluzione firewall opensource
pfSensesoluzione firewall opensource
- gestione mirata dei log- allarmi automatici- archiviazione protetta
GESTIONE LOGGESTIONE LOG
Chi segnala un attacco?
osservatorio attacchi italiano
Michele Della Marina - Dario Tion pfSense - soluzione firewall opensource
pfSensesoluzione firewall opensource
FIREWALL COMMERCIALI – FIREWALL OPENSOURCEFIREWALL COMMERCIALI – FIREWALL OPENSOURCE
- alte performance (ASIC dedicati)- black box “già pronte”- features integrate- supporto del vendor
- efficienti e “gratis”- flessibili da “personalizzare”- aperti a nuovi moduli- comunità attive
Michele Della Marina - Dario Tion pfSense - soluzione firewall opensource
pfSensesoluzione firewall opensource
EQUIPAGGIAMENTO FIREWALLEQUIPAGGIAMENTO FIREWALL
Interfacce (rame, fibra, 10/100/1000)Management (web,cli,console)Stateful ThroughputDPI ThroughputNumero connessioni supportateHAIPV6
Michele Della Marina - Dario Tion pfSense - soluzione firewall opensource
pfSensesoluzione firewall opensource
SUGGERIMENTISUGGERIMENTI
- Dove collocarlo? (censimento host/servizi, topologia, routing)
- Come collocarlo? (transparent/routed firewall?)
- Throughput: banda a disposizione (WAN e LAN)?
- Chi gestisce il firewall? Appliance vs OpenSource? Assistenza?
- Obiettivi: Filtrare applicazioni? Semplice protezione IPS/IDS? VPN?
- All deny rules? (permetto solo le regole necessarie)
- ATTENZIONE: attacchi dall'interno/social engineering
- LOG: storico? Strumenti per veloce ricerca di informazioni?
- ATTENZIONE: default configuration e default password
- Piattaforme supportate? Management? VPN Client?
- HA: ambiente critico?
Michele Della Marina - Dario Tion pfSense - soluzione firewall opensource
pfSensesoluzione firewall opensource
RIFERIMENTIRIFERIMENTI
Michele Della Marina - Dario Tion pfSense - soluzione firewall opensource
pfSensesoluzione firewall opensource
RIFERIMENTIRIFERIMENTI
BIBLIOGRAFIA ed IMMAGINI
Famiglia Simpson :-)http://en.wikipedia.org/wiki/Morris_wormhttp://en.wikipedia.org/wiki/Firewall_(computing)#cite_note-report_unm-2
www.symantec.comwww.malaboadvisoring.itwww.google.comwww.vmware.comwww.laontalk.comwww.guidaacquisti.net/www.wikimedia.orgwww.39italia.comit.123rf.com/www.silhouettesclipart.comwww.thenetworkthinkers.com/www.neomedia.itwww.diablotin.comwww.wired.comwww.cisco.com