10 Funzioni Utili Del Vostro Firewall
Transcript
10 Funzioni Utili Del Vostro Firewall
10 funzioni utili che il vostro firewall dovrebbe avere Bloccare le minacce è solo il principio… PROTEZIONE ALLA VELOCITÀ DEL BUSINESS Indice PROTEZIONE ALLA VELOCITÀ DEL BUSINESS Il firewall si evolve 1 Application Firewall 2 1ª funzione utile: gestione dei flussi video 3 2ª funzione utile: gestione della banda per gruppi 4 3ª funzione utile: Controllo dei messaggi WebMail in uscita 5 4ª funzione utile: imposizione delle applicazioni 6 5ª funzione utile: blocco dell’upload tramite FTP 7 6ª funzione utile: controllo di applicazioni P2P 8 7ª funzione utile: gestione dei flussi musicali 9 8ª funzione utile: ripartizione della banda in base alla priorità 10 9ª funzione utile: blocco dei documenti confidenziali 11 10ª funzione utile: blocco dei file vietati e invio di notifiche 12 Somma delle funzionalità 13 Il firewall si evolve Le funzioni di un firewall tradizionale sono limitate al blocco delle minacce e delle intrusioni. I firewall di classe business offrono un livello di protezione superiore contro le minacce, grazie all’integrazione di servizi UTM (Unified Threat Management) come anti-virus, anti-spyware, prevenzione delle intrusioni, filtraggio dei contenuti e persino anti-spam. La maggior parte del traffico che transita attraverso un firewall non è costituito da minacce, bensì da dati e applicazioni. Sulla base di questa considerazione nasce Application Firewall, che consente di gestire e controllare i dati e le applicazioni che attraversano il firewall. ...ma bloccare le minacce è solo il principio 1 Application Firewall Cosa fa? Application Firewall offre controllo e gestione della larghezza di banda, monitoraggio degli accessi a livello di applicazione, prevenzione di eventuali fughe di dati, restrizioni al trasferimento di file e documenti specifici e molto altro. Come funziona? Application Firewall consente di personalizzare il controllo degli accessi a livello di utente, applicazione, fascia oraria o sottorete IP. Così gli amministratori possono creare policy per tutte le applicazioni accessibili e, per la prima volta, gestirle davvero. Dati e applicazioni Minacce ■ ■ Compromessi Indesiderati Non minacce ■ ■ Sicuri Produttivi Consente di classificare, controllare e gestire le applicazioni e i dati che attraversano il firewall. 2 1ª funzione utile: gestione dei flussi video L’accesso ai siti di streaming video come youtube.com può essere utile, ma è spesso oggetto di abuso. Bloccare l’accesso al sito può essere un rimedio, ma la soluzione migliore consiste nel limitare la larghezza di banda concessa ai siti di questo tipo. Creare una policy per limitare i flussi video ■ Utilizzare il motore DPI (Deep Packet Inspection) per cercare nell’intestazione HTTP l’host = www.youtube.com ■ Applicare restrizioni alla larghezza di banda del traffico con questa intestazione Larghezza di banda desiderata per flussi video Larghezza di banda fornita È possibile limitare la larghezza di banda riservata alle applicazioni in specifiche fasce orarie, ad esempio dalle 9:00 alle 18:00 3 2ª funzione utile: gestione della banda per gruppi La prima funzione utile ha consentito all’amministratore di limitare la larghezza di banda concessa a siti di streaming video come youtube.com. Ora però i dirigenti si lamentano che i "video di notizie finanziarie" che guardano ogni giorno sono troppo lenti. Si potrebbe aumentare la larghezza di banda per tutti gli utenti oppure, ancor meglio, gestire la larghezza di banda in base a gruppi. Creare una policy per non limitare la larghezza di banda dei dirigenti ■ Applicare la policy al gruppo "dirigenti" importato dal server LDAP ■ Utilizzare il motore DPI (Deep Packet Inspection) per cercare nell’intestazione HTTP l’host = www.youtube.com ■ Assegnare una larghezza di banda garantita al traffico con questa intestazione Larghezza di banda desiderata per flussi video Larghezza di banda fornita ai dirigenti Larghezza di banda fornita agli altri utenti 4 3ª funzione utile: Controllo dei messaggi WebMail in uscita Supponiamo che la protezione anti-spam esistente sia in grado di rilevare e bloccare un normale messaggio e-mail in uscita contenente informazioni confidenziali dell’azienda. Ma cosa succede se un dipendente utilizza un servizio di WebMail come Yahoo® o Gmail® per inviare all’esterno informazioni di tipo riservato o confidenziale? Creare una policy per bloccare le e-mail riservate e confidenziali ■ Il motore DPI (Deep Packet Inspection) cerca nel corpo dell’e-mail = "Riservato" o "Confidenziale" ■ Bloccare il messaggio e notificare al mittente che il messaggio contiene informazioni aziendali riservate o confidenziali OK Da: [email protected] A: [email protected] Oggetto: Approvazione orario settimanale Diego Il tuo orario per la prossima settimana è approvato. Giovanni Da: [email protected] A: [email protected] Oggetto: Piano di sviluppo del progetto Ecco il nostro piano di sviluppo 9 Gennaio – Versione 7.0 Questo documento è riservato e confidenziale STOP 5 4ª funzione utile: imposizione delle applicazioni Il Direttore: desidera che come browser standard venga utilizzato Internet Explorer (IE) 7.0. Missione dell’amministratore: assicurarsi che tutti i computer aziendali utilizzino solo ed esclusivamente IE 7.0. Possibili soluzioni 1. Verificare personalmente ogni giorno il browser utilizzato in ogni computer 2. Impostare uno script che verifichi quotidianamente il browser utilizzato in ogni computer 3. Impostare una policy in Application Firewall e non pensarci più Creare una policy "Ho cose più importanti da fare" ■ Il motore DPI (Deep Packet Inspection) cerca nell’intestazione HTTP l’agente utente = MSIE 7.0 ■ Consentire il traffico da IE 7.0 e bloccare gli altri browser 6 5ª funzione utile: blocco dell’upload tramite FTP L’azienda utilizza un sito FTP per lo scambio di file voluminosi con uno dei partner e desidera che solo il project-manager dell‘azienda partner possa caricare i file sul sito aziendale. Creare una policy per consentire l‘upload tramite FTP solo a determinati utenti ■ Il motore DPI (Deep Packet Inspection) cerca il comando FTP = PUT ■ Il motore DPI cerca il nome utente autenticato = "pm_partner" ■ Consentire l’operazione PUT se entrambi i parametri sono veri vendite_partner: invio file marketing_partner: invio file vendite_partner: invio file pm_partner: invio file È anche possibile disabilitare i comandi FTP ritenuti "non necessari" per un determinato server FTP 7 6ª funzione utile: controllo di applicazioni P2P Problema 1: le applicazioni P2P (peer-to-peer), come ad esempio BitTorrent, possono consumare moltissima larghezza di banda e veicolare file dannosi di ogni tipo. Problema 2: la creazione di nuove applicazioni P2P o l’esecuzione di semplici modifiche in quelle esistenti, ad esempio la modifica del numero di versione, avvengono continuamente. Creare una policy per rilevare le applicazioni P2P Il motore DPI (Deep Packet Inspection) cerca la firma di un’applicazione P2P nell’elenco delle firme IPS Elenco firme IPS BitTorrent-6.1 BitTorrent-6.0.3 BitTorrent-6.0.2 BitTorrent-6.0.1 … altre centinaia Elenco firme IPS + Vengono ricevuti e applicati aggiornamenti provenienti da SonicWALL = Elenco firme IPS BitTorrent-6.1.1 BitTorrent-6.1 BitTorrent-6.0.3 BitTorrent-6.0.2 … altre centinaia ■ Il risultato È possibile gestire e controllare le applicazioni P2P Non occorre perdere tempo ad aggiornare le regole relative alle firme IPS ■ È possibile bloccare le applicazioni P2P o limitarle, applicando restrizioni alla larghezza di banda e alle fasce orarie consentite 8 7ª funzione utile: gestione dei flussi musicali I siti di streaming audio e le radio online comportano un elevato consumo di larghezza di banda, ma esistono ragioni legittime per accedere a tali siti, legate ad esempio all’attività aziendale. Questa problematica può essere affrontata in due modi. Controllo in base al sito Web Creare un elenco dei siti di streaming audio che si desidera gestire Creare una policy per identificare i siti di streaming audio ■ Utilizzare il motore DPI (Deep Packet Inspection) per cercare nell’intestazione HTTP l’host = elenco di blocco siti di streaming audio Controllo in base all’estensione dei file Creare un elenco di estensioni dei file audio che si desidera gestire Creare una policy per il rilevamento dei flussi audio ■ Utilizzare il motore DPI (Deep Packet Inspection) per cercare nell’intestazione HTTP l’estensione di file = elenco di blocco estensioni di file audio Una volta "rilevato" il flusso audio, è possibile bloccarlo o semplicemente gestire la larghezza di banda concessa. 9 8ª funzione utile: ripartizione della banda in base alla priorità Molte applicazioni mission-critical, come ad esempio SAP®, Salesforce.com® e SharePoint®, sono basate su Internet oppure operano su reti geograficamente disperse. Garantendo a queste applicazioni la priorità nell‘ottenere la larghezza di banda necessaria per il corretto funzionamento si può migliorare la produttività dell’azienda. Creare una policy per dare priorità di banda all’applicazione SAP ■ Il motore DPI (Deep Packet Inspection) cerca la firma dell’applicazione o il nome dell’applicazione ■ Assegnare all’applicazione SAP una priorità di banda maggiore rispetto alle altre applicazioni SAP Salesforce.com SharePoint Altre La priorità di un’applicazione è impostabile anche in base alla data (ad esempio priorità alle applicazioni di vendita a fine trimestre) 10 9ª funzione utile: blocco dei documenti confidenziali In alcune aziende, la posta elettronica in uscita non transita attraverso il sistema di sicurezza e-mail, oppure questo sistema non controlla il contenuto degli allegati dei messaggi. In entrambi i casi è possibile che allegati con contenuto riservato e confidenziale fuoriescano senza problemi dall‘azienda. Poiché il traffico di rete in uscita attraversa il firewall, è possibile rilevare e bloccare questi dati durante il transito. Creare una policy per bloccare gli allegati e-mail contrassegnati come "Riservati" o "Confidenziali" ■ Il motore DPI (Deep Packet Inspection) cerca nel messaggio e-mail il contenuto = "Confidenziale" il contenuto = "Di proprietà dell’azienda" il contenuto = "Riservato" e così via … L’operazione può essere eseguita anche sul contenuto basato su FTP! 11 10ª funzione utile: blocco dei file vietati e invio di notifiche E-mail Vietato.pif FTP Il vostro firewall è in grado di bloccare questi file? ■ Un file EXE scaricato da una pagina Web ■ Un file EXE allegato a un messaggio e-mail ■ Un file EXE trasferito via FTP Rischio per la sicurezza Come vengono gestiti i file PIF, SRC o VBS? Attività: si sta tentando di scaricare FTP Vietato.vbs Sito Web DOWNLOAD Vietato.exe SonicWALL NSA con Application Firewall o ricevere un file con un’estensione vietata (.exe, .pif, .src o .vbs). Azione: in base ai criteri aziendali, il file è stato bloccato. Altre informazioni: per un elenco completo dei file vietati, consultare la sezione Sicurezza della intranet aziendale. Creare un elenco di estensioni di file vietate Creare una policy per bloccare i file con estensioni vietate ■ Il motore DPI (Deep Packet Inspection) cerca nell‘intestazione HTTP, negli allegati e-mail o su FTP = estensioni di file vietate Se il file viene bloccato, inviare una notifica 12 Somma delle funzionalità Firewall ad alte prestazioni + Gestione unificata delle minacce + Application Firewall Appliance per la sicurezza di rete SonicWALL Prestazioni, protezione e controllo puntuale 13 PROTEZIONE ALLA VELOCITÀ DEL BUSINESS Per saperne di più ... ■ Per un confronto delle appliance della serie SonicWALL NSA dotate di Application Firewall: http://www.sonicwall.com/us/products/NSA_Series.html ■ Per scaricare la scheda tecnica: http://www.sonicwall.com/downloads/NSA_Series_DS_US.pdf ■ Esempi pratici di Application Firewall con esempi di prodotto: http://www.sonicwall.com/downloads/SonicOS_Application_Firewall_Practical_Examples_Guide_technote.pdf ■ Guida all‘uso di Application Firewall: http://www.sonicwall.com/downloads/Application_Firewall_5.1e_Feature_Module.pdf Per eventuali commenti su questo e-book o su altri e-book o whitepaper di SonicWALL, inviare un‘e-mail a [email protected]. Profilo di SonicWALL SonicWALL® è un leader riconosciuto in soluzioni complete per la sicurezza delle informazioni. Le soluzioni SonicWALL integrano servizi, software e hardware intelligenti e dinamici che eliminano rischi, costi e complicazioni dalle reti aziendali ad alte prestazioni. Per ulteriori informazioni, visitare il sito Web aziendale all‘indirizzo www.sonicwall.com. ©2008 SonicWALL e il logo SonicWALL sono marchi registrati di SonicWALL, Inc. I nomi di altri prodotti o società qui menzionati possono essere marche e/o marchi registrati delle rispettive società. Con riserva di modifiche. 10/08 SW 466