10 Funzioni Utili Del Vostro Firewall

10 funzioni utili che il vostro
firewall dovrebbe avere
Bloccare le minacce è solo il principio…
PROTEZIONE ALLA VELOCITÀ DEL BUSINESS
Indice
PROTEZIONE ALLA VELOCITÀ DEL BUSINESS
Il firewall si evolve
1
Application Firewall
2
1ª funzione utile: gestione dei flussi video
3
2ª funzione utile: gestione della banda per gruppi
4
3ª funzione utile: Controllo dei messaggi WebMail in uscita
5
4ª funzione utile: imposizione delle applicazioni
6
5ª funzione utile: blocco dell’upload tramite FTP
7
6ª funzione utile: controllo di applicazioni P2P
8
7ª funzione utile: gestione dei flussi musicali
9
8ª funzione utile: ripartizione della banda in base alla priorità 10
9ª funzione utile: blocco dei documenti confidenziali
11
10ª funzione utile: blocco dei file vietati e invio di notifiche
12
Somma delle funzionalità
13
Il firewall si evolve
Le funzioni di un firewall tradizionale sono limitate al blocco delle
minacce e delle intrusioni.
I firewall di classe business offrono un livello di protezione superiore
contro le minacce, grazie all’integrazione di servizi UTM (Unified
Threat Management) come anti-virus, anti-spyware, prevenzione
delle intrusioni, filtraggio dei contenuti e persino anti-spam.
La maggior parte del traffico che
transita attraverso un firewall non è
costituito da minacce, bensì da dati e
applicazioni. Sulla base di questa
considerazione nasce Application
Firewall, che consente di gestire e
controllare i dati e le applicazioni che
attraversano il firewall.
...ma bloccare le minacce
è solo il principio
1
Application Firewall
Cosa fa?
Application Firewall offre controllo e gestione della
larghezza di banda, monitoraggio degli accessi a
livello di applicazione, prevenzione di eventuali fughe
di dati, restrizioni al trasferimento di file e documenti
specifici e molto altro.
Come funziona?
Application Firewall consente di personalizzare il
controllo degli accessi a livello di utente, applicazione,
fascia oraria o sottorete IP. Così gli amministratori
possono creare policy per tutte le applicazioni
accessibili e, per la prima volta, gestirle davvero.
Dati e applicazioni
Minacce
■
■
Compromessi
Indesiderati
Non minacce
■
■
Sicuri
Produttivi
Consente di classificare, controllare e gestire
le applicazioni e i dati che attraversano il firewall.
2
1ª funzione utile: gestione dei flussi video
L’accesso ai siti di streaming video come youtube.com può essere utile, ma è spesso
oggetto di abuso. Bloccare l’accesso al sito può essere un rimedio, ma la soluzione migliore consiste nel limitare la larghezza di banda concessa ai siti di questo tipo.
Creare una policy per limitare i flussi video
■ Utilizzare il motore DPI (Deep Packet Inspection) per cercare nell’intestazione HTTP
l’host = www.youtube.com
■ Applicare restrizioni alla larghezza di banda del traffico con questa intestazione
Larghezza di banda desiderata
per flussi video
Larghezza di banda fornita
È possibile limitare la larghezza di banda riservata alle
applicazioni in specifiche fasce orarie, ad esempio dalle 9:00 alle 18:00
3
2ª funzione utile: gestione della banda per gruppi
La prima funzione utile ha consentito all’amministratore di limitare la larghezza di banda concessa a siti di streaming
video come youtube.com. Ora però i dirigenti si lamentano che i "video di notizie finanziarie" che guardano ogni giorno
sono troppo lenti. Si potrebbe aumentare la larghezza di banda per tutti gli utenti oppure, ancor meglio, gestire la
larghezza di banda in base a gruppi.
Creare una policy per non limitare la larghezza di banda dei dirigenti
■ Applicare la policy al gruppo "dirigenti" importato dal server LDAP
■ Utilizzare il motore DPI (Deep Packet Inspection) per cercare nell’intestazione HTTP l’host = www.youtube.com
■ Assegnare una larghezza di banda garantita al traffico con questa intestazione
Larghezza di banda desiderata
per flussi video
Larghezza di banda fornita ai dirigenti
Larghezza di banda fornita agli altri utenti
4
3ª funzione utile: Controllo dei messaggi WebMail in uscita
Supponiamo che la protezione anti-spam esistente sia in grado di rilevare e bloccare un
normale messaggio e-mail in uscita contenente informazioni confidenziali dell’azienda.
Ma cosa succede se un dipendente utilizza un servizio di WebMail come Yahoo® o
Gmail® per inviare all’esterno informazioni di tipo riservato o confidenziale?
Creare una policy per bloccare le e-mail riservate e confidenziali
■ Il motore DPI (Deep Packet Inspection) cerca nel corpo dell’e-mail = "Riservato" o
"Confidenziale"
■ Bloccare il messaggio e notificare al mittente che il messaggio contiene informazioni
aziendali riservate o confidenziali
OK
Da: [email protected]
A: [email protected]
Oggetto: Approvazione orario settimanale
Diego
Il tuo orario per la prossima settimana è approvato.
Giovanni
Da: [email protected]
A: [email protected]
Oggetto: Piano di sviluppo del progetto
Ecco il nostro piano di sviluppo
9 Gennaio – Versione 7.0
Questo documento è riservato e confidenziale
STOP
5
4ª funzione utile: imposizione delle applicazioni
Il Direttore: desidera che come browser standard venga utilizzato Internet Explorer (IE) 7.0.
Missione dell’amministratore: assicurarsi che tutti i computer aziendali utilizzino solo
ed esclusivamente IE 7.0.
Possibili soluzioni
1. Verificare personalmente ogni giorno il browser utilizzato in ogni computer
2. Impostare uno script che verifichi quotidianamente il browser utilizzato in ogni computer
3. Impostare una policy in Application Firewall e non pensarci più
Creare una policy "Ho cose più importanti da fare"
■ Il motore DPI (Deep Packet Inspection) cerca nell’intestazione
HTTP l’agente utente = MSIE 7.0
■ Consentire il traffico da IE 7.0 e bloccare gli altri browser
6
5ª funzione utile: blocco dell’upload tramite FTP
L’azienda utilizza un sito FTP per lo scambio di file voluminosi con uno dei partner e desidera
che solo il project-manager dell‘azienda partner possa caricare i file sul sito aziendale.
Creare una policy per consentire l‘upload tramite FTP solo a determinati utenti
■ Il motore DPI (Deep Packet Inspection) cerca il comando FTP = PUT
■ Il motore DPI cerca il nome utente autenticato = "pm_partner"
■ Consentire l’operazione PUT se entrambi i parametri sono veri
vendite_partner: invio file
marketing_partner: invio file
vendite_partner: invio file
pm_partner: invio file
È anche possibile disabilitare i comandi FTP
ritenuti "non necessari" per un determinato server FTP
7
6ª funzione utile: controllo di applicazioni P2P
Problema 1: le applicazioni P2P (peer-to-peer), come ad esempio BitTorrent, possono consumare moltissima larghezza di banda e veicolare file dannosi di ogni tipo.
Problema 2: la creazione di nuove applicazioni P2P o l’esecuzione di semplici modifiche in
quelle esistenti, ad esempio la modifica del numero di versione, avvengono continuamente.
Creare una policy per rilevare le applicazioni P2P
Il motore DPI (Deep Packet Inspection) cerca la firma di un’applicazione P2P nell’elenco
delle firme IPS
Elenco firme IPS
BitTorrent-6.1
BitTorrent-6.0.3
BitTorrent-6.0.2
BitTorrent-6.0.1
… altre centinaia
Elenco firme IPS
+
Vengono ricevuti e
applicati
aggiornamenti
provenienti da
SonicWALL
=
Elenco firme IPS
BitTorrent-6.1.1
BitTorrent-6.1
BitTorrent-6.0.3
BitTorrent-6.0.2
… altre centinaia
■
Il risultato
È possibile gestire e controllare
le applicazioni P2P
Non occorre perdere tempo ad
aggiornare le regole relative alle
firme IPS
■
È possibile bloccare le applicazioni P2P o limitarle, applicando
restrizioni alla larghezza di banda e alle fasce orarie consentite
8
7ª funzione utile: gestione dei flussi musicali
I siti di streaming audio e le radio online comportano un elevato consumo di larghezza
di banda, ma esistono ragioni legittime per accedere a tali siti, legate ad esempio all’attività aziendale. Questa problematica può essere affrontata in due modi.
Controllo in base al sito Web
Creare un elenco dei siti di streaming audio che si desidera gestire
Creare una policy per identificare i siti di streaming audio
■ Utilizzare il motore DPI (Deep Packet Inspection) per cercare nell’intestazione
HTTP l’host = elenco di blocco siti di streaming audio
Controllo in base all’estensione dei file
Creare un elenco di estensioni dei file audio che si desidera gestire
Creare una policy per il rilevamento dei flussi audio
■ Utilizzare il motore DPI (Deep Packet Inspection) per cercare nell’intestazione
HTTP l’estensione di file = elenco di blocco estensioni di file audio
Una volta "rilevato" il flusso audio,
è possibile bloccarlo o semplicemente gestire
la larghezza di banda concessa.
9
8ª funzione utile: ripartizione della banda in base alla priorità
Molte applicazioni mission-critical, come ad esempio SAP®, Salesforce.com® e SharePoint®,
sono basate su Internet oppure operano su reti geograficamente disperse. Garantendo a
queste applicazioni la priorità nell‘ottenere la larghezza di banda necessaria per il corretto
funzionamento si può migliorare la produttività dell’azienda.
Creare una policy per dare priorità di banda all’applicazione SAP
■ Il motore DPI (Deep Packet Inspection) cerca la firma dell’applicazione o il nome
dell’applicazione
■ Assegnare all’applicazione SAP una priorità di banda maggiore rispetto alle altre applicazioni
SAP
Salesforce.com
SharePoint
Altre
La priorità di un’applicazione è impostabile anche in base alla
data (ad esempio priorità alle applicazioni di vendita a fine trimestre)
10
9ª funzione utile: blocco dei documenti confidenziali
In alcune aziende, la posta elettronica in uscita non transita attraverso il sistema di sicurezza
e-mail, oppure questo sistema non controlla il contenuto degli allegati dei messaggi. In
entrambi i casi è possibile che allegati con contenuto riservato e confidenziale
fuoriescano senza problemi dall‘azienda.
Poiché il traffico di rete in uscita attraversa il firewall, è possibile rilevare e
bloccare questi dati durante il transito.
Creare una policy per bloccare gli allegati e-mail contrassegnati
come "Riservati" o "Confidenziali"
■ Il motore DPI (Deep Packet Inspection) cerca nel messaggio e-mail
il contenuto = "Confidenziale"
il contenuto = "Di proprietà dell’azienda"
il contenuto = "Riservato" e così via …
L’operazione può essere eseguita anche sul
contenuto basato su FTP!
11
10ª funzione utile: blocco dei file vietati e invio di notifiche
E-mail
Vietato.pif
FTP
Il vostro firewall è in grado di bloccare questi file?
■ Un file EXE scaricato da una pagina Web
■ Un file EXE allegato a un messaggio e-mail
■ Un file EXE trasferito via FTP
Rischio per la sicurezza
Come vengono gestiti i file PIF, SRC o VBS?
Attività: si sta tentando di scaricare
FTP
Vietato.vbs
Sito Web
DOWNLOAD
Vietato.exe
SonicWALL NSA con
Application Firewall
o ricevere un file con un’estensione
vietata (.exe, .pif, .src o .vbs).
Azione: in base ai criteri aziendali,
il file è stato bloccato.
Altre informazioni: per un elenco
completo dei file vietati, consultare
la sezione Sicurezza della intranet
aziendale.
Creare un elenco di estensioni di file vietate
Creare una policy per bloccare i file con estensioni vietate
■ Il motore DPI (Deep Packet Inspection) cerca nell‘intestazione HTTP, negli allegati
e-mail o su FTP = estensioni di file vietate
Se il file viene bloccato, inviare una notifica
12
Somma delle funzionalità
Firewall ad alte prestazioni
+ Gestione unificata delle minacce
+ Application Firewall
Appliance per la sicurezza di rete SonicWALL
Prestazioni, protezione e controllo puntuale
13
PROTEZIONE ALLA VELOCITÀ DEL BUSINESS
Per saperne di più ...
■ Per un confronto delle appliance della serie SonicWALL NSA dotate di Application Firewall:
http://www.sonicwall.com/us/products/NSA_Series.html
■ Per scaricare la scheda tecnica: http://www.sonicwall.com/downloads/NSA_Series_DS_US.pdf
■ Esempi pratici di Application Firewall con esempi di prodotto:
http://www.sonicwall.com/downloads/SonicOS_Application_Firewall_Practical_Examples_Guide_technote.pdf
■
Guida all‘uso di Application Firewall:
http://www.sonicwall.com/downloads/Application_Firewall_5.1e_Feature_Module.pdf
Per eventuali commenti su questo e-book o su altri e-book o whitepaper di SonicWALL, inviare
un‘e-mail a [email protected].
Profilo di SonicWALL
SonicWALL® è un leader riconosciuto in soluzioni complete per la sicurezza delle informazioni. Le soluzioni
SonicWALL integrano servizi, software e hardware intelligenti e dinamici che eliminano rischi, costi e
complicazioni dalle reti aziendali ad alte prestazioni. Per ulteriori informazioni, visitare il sito Web aziendale
all‘indirizzo www.sonicwall.com.
©2008 SonicWALL e il logo SonicWALL sono marchi registrati di SonicWALL, Inc. I nomi di altri prodotti o società qui menzionati possono essere marche e/o marchi registrati delle
rispettive società. Con riserva di modifiche. 10/08 SW 466