[Darnet][[ditedi] over layer 7 firewalling - part 2
-
Upload
dario-tion -
Category
Technology
-
view
167 -
download
0
description
Transcript of [Darnet][[ditedi] over layer 7 firewalling - part 2
Over Layer 7 – fantasia o realtà? (part 2) Over Layer 7 – fantasia o realtà? (part 2)
M. Della Marina – D. TionM. Della Marina – D. Tion
LO SCENARIO [3]
I PROBLEMI [3] Ho bisogno di lavorareHo bisogno di lavoraredal telefono, dal pc,dal telefono, dal pc,dal mio computerdal mio computer
di casadi casa
Come faccio a garantireCome faccio a garantirele funzionalità ad Alicele funzionalità ad Alice
pur proteggendo l'aziendapur proteggendo l'aziendae i suoi dati?e i suoi dati?
LE NUOVE SFIDEsicurezza perimetrale?
LE NUOVE SFIDEsicurezza perimetrale?
LE NUOVE SFIDEInternet of things [IoT]
LE NUOVE SFIDEeffetti “virali”
Il tuo smartphoneIl tuo smartphone
può infettare può infettare
la rete aziendalela rete aziendale
LE NUOVE SFIDEnuove modalità di accesso al dato
nuove esigenze di controllo Oggi dobbiamo Oggi dobbiamo
poter accedere ai dati poter accedere ai dati in qualunque momentoin qualunque momento
da qualsiasi luogoda qualsiasi luogocon qualsiasi dispositivocon qualsiasi dispositivo
Come distinguo Come distinguo le attività illecite le attività illecite da quelle lecite?da quelle lecite?
NUOVO APPROCCIO
E' necessario spostare il controllo
Dai DISPOSITIVI All' UTENTE
The user is the weakest security link
in a organisation.
Introduciamo il concetto di Layer 8nel modello ISO/OSI
ISO/OSI STACK
MA ESISTE IL LAYER 8?
LAYER 8 PICNIC?
(Problem In Chair, Not In Computer)
Layer 8 problem
Layer 8 is used to refer to "user" or "political" layer on top of the OSI model of computer networking.
The OSI model is a 7-layer abstract model that describes an architecture of data communications for networked computers The layers build upon each other, allowing for abstraction of specific functions in each one. The top (7th) layer is the Application Layer describing methods and protocols of software applications.
It is then held that the user is the 8th layer.
Network appliances vendor like Cyberoam claim that Layer 8 allows IT administrators to identify users,control Internet activity of users in the network, set user based policies and generate reports by username.
According to Bruce Schneier and RSA:
Layer 8: The individual person.Layer 9: The organization.Layer 10: Government or legal compliance
Since the OSI layer numbers are commonly used to discuss networking topics, a troubleshooter may describe an issue caused by a user to be a layer 8 issue (Wikipedia)
RFC 2321 - “RITA” I layer over 7 sono
stati citati (anno 1998) nel RFC 2321
“RITA” (Reliable Internet Troubleshooting Agent)
This tool has broad areas of application at all levels of the OSI model; in addition to uses in the physical,network, transport and application layers, it has been used to successfully address problems at the political and religious layers as well. (April Fools' Day Request for Comments)
ISO/OSI STACK “reloaded” Mah ...
I PROBLEMI [3bis] Ho bisogno di lavorareHo bisogno di lavoraredal telefono, dal pc,dal telefono, dal pc,dal mio computerdal mio computer
di casadi casa
Come faccio a garantireCome faccio a garantirele funzionalità ad Alicele funzionalità ad Alice
pur proteggendo l'aziendapur proteggendo l'aziendae i suoi dati?e i suoi dati?
L'idea di BOB
In accordo con le policy aziendali, per Alice ho necessità di:
● Consentre l'accesso ai dat dell'area “Sales”● Monitorare gli accessi ai dat● Defnire un orario di accesso da remoto (VPN)● Limitare l'utlizzo di Facebook e YouTube● Bloccare l'utlizzo di DropBox● Incrociare i dat del controllo accessi/tmbratura
con gli accessi ai dat● Limitare l'accesso ai dat alle sole aree geografche consentte● Impedire il collegamento VPN se Alice ha installato
sui propri devices applicazioni non sicure
Ho bisogno di definire un insieme di policy di sicurezzache devono essere applicate ad Alice
Indipententemente dalle modalità e da luogo di fruizione dei dati
Mr. BOB (in un ambiente ideale)
● Si confronta con il CISO e assieme identificano le esigenze di security dell'azienda, basandosi su log e dati raccolti dai sistemi in essere
● Si confronta con il fornitore per identificare la soluzione tecnologica più adatta (magari concordando un P.O.C. e documentandosi/testando adeguatamente il prodotto)
● Progetta gruppi e policy da implementare, secondo una roadmap estesa in tempo adeguato (mesi!)
● Configura l' “Identity Based Policy Manager” con la dovutaprudenza e a step successivi
● Monitora il comportamento del sistema e i feedback utente
FORZA, BOB!!![3] Firewall...Firewall...
Ma quanto mi costi... Ma quanto mi costi...
In primo luogo è necessario identificare l'utente, via:
● Credenziali● Token di autenticazione● Sistemi biometrici● IPSEC/VPN● SSL/VPN● Certificati
Il firewall può usare DB locali ointerfacciarsi con LDAP, Radius, SSO...
Identificazione utente
Definizione utenti/gruppi
Identity Based Policy
Come vedete, ogni policy Come vedete, ogni policy è è dinamicamentedinamicamente associabile associabile
a utenti e/o gruppia utenti e/o gruppi
User centric logs/reports Sono in grado di comprendereSono in grado di comprendereil comportamento della reteil comportamento della reteda diversi punti di vista....da diversi punti di vista....
Geo-IP filter Posso bloccare traffico Posso bloccare traffico
relativo a specificherelativo a specifichearee geografichearee geografiche
BotNET filter Utilizzano servizi cloudUtilizzano servizi cloud
per identificare possibili botNETper identificare possibili botNETattive sulla reteattive sulla rete
Endpoint control Tramite un agente Tramite un agente posso controllare posso controllare
l'hardware e il software l'hardware e il software installato sui clientinstallato sui client
Mobile devices control Posso bloccare la connessione Posso bloccare la connessione
a dispositivi con app non autorizzate a dispositivi con app non autorizzate
I player se ritenete Gartner affidabile... se ritenete Gartner affidabile...
User Threat Quotient (UTQ)
Next steps
Time to eat
Over Layer 7 – fantasia o realtà?Over Layer 7 – fantasia o realtà?
Michele Della Marina Michele Della Marina [email protected] [email protected]
Dario TionDario [email protected]@darnetltd.co.uk
Thanks to:Thanks to:Google ImageGoogle Image
DELL-Sonicwall, Sophos, CheckPoint, PaloAlto DELL-Sonicwall, Sophos, CheckPoint, PaloAlto GartnerGartner
Bob Aggiustatuto & Alice nel suo paeseBob Aggiustatuto & Alice nel suo paeseTamron, il cafè e la pastaTamron, il cafè e la pasta
The crazy horse The crazy horse