Nessuna domanda su filtri di paccheto, perché è roba della triennale. Questi firewall servono per implementare segmentazione e segregazione. Come posso andare a implementare queste tecniche: vlan, nat, firewall, dmz, … vediamo i proxy firewall, nextgen firewall e accenni di vpn.
sono dei processi applicativi, quindi non ragioniamo a livelli 3 e 4 su tcpip ma ragioniamo a livello 5. questo significa che se voglio fare un filtro di pacchetto questo lavora a 2 3 4 e tutti i protocolli applicativi saranno protetti dalle funzionalità di quei firewall.
L’application gateway conosce le logiche applicative. L’altra grossa differenza è che questi non sono in kernel space, i packet filter si, perchè è kernel che se ne occupa a livello 3 e 4, dopo ho un software applicativo che scrive e legge da una socket.
Sono dei processi applicativi che fanno da proxy praticamente, un proxy è un intermediario praticamente. Un tempo poteva essere interessante andare a usare un proxy aziendale che cacheva le pagine web e dava risorse ai client configurati per andarsi a interfacciare con quello specifico proxy. Questo evitava di fare interrogazioni direttamente al server. tutto il traffico praticamente si esaurisce nella rete locale senza fare traffico inutile su internet. Ci si è accorti che avere un sol punto in cui andare a ispezionare tutto quanto è un’ottima cosa come sec e quindi perché non mettere qualche controllo di sicurezza sul proxy server.
Posso anche andare a fare protezione dall’esterno ed evitare che per esempio malware entrino all’interno della rete locale. A volte questo è veramente l’unico modo per andare a difendere web application, soprattutto se sono applicazioni che ho comprato, ma di cui non ho i sorgenti.
I web application firewall sono praticamente gli unici che puoi comprare e ora hanno le funzionalità di application gateway. Rispetto a un filtro ho un controllo completo del protocollo applicativo ma ho anche degli svantaggi <inserisci slides con pro e contro>
Andare a fare il nuovo setup della configurazione di rete di ogni client potrebbe essere un lavoro oneroso se abbiamo tante macchine, anche se si auspica di avere un sistema automatico. Alcuni di questi problemi li posso risolvere con proxy trasparenti. in questo modo è come se il client fosse convinto di andare a parlare con il server ma sta parlando con il proxy in maniera automatica. E’ come se facessi un NAT e redirigo tutto quanto su proxy, devo gestire header che possono cambiare e questo proxy generi al volo certificati digitali per siti che vogliono contattare. Sono tecnologie che esistono, ma non risolvono tutti i problemi.
Implementazione classica: reverse proxy con apache (reverse proxy, perché è nella rete del server). Tutto va al reverse proxy perché banalmente il nome del sito punta al reverse proxy. Con apache2 basta andare a giocare un pochino con le impostazioni per andare ad avere un proxy (normale o reverse). Posso anche configurarlo per andare a intercettare tutti gli upload file e analizzarli, o farne un copia in tmp. Posso anche andare a configurarlo per poter fare pulizia di input e andare a evitare di avere sql injection.
L’idea è fare un overlay network per fare sembrare due reti, che possono essere locali, come un’unica grande rete. Tipicamente creo un canale di comunicazione cifrato facendo finta che questi due computer siano collegati direttamente. Questo posso farlo con ipsec a livello 2, oppure anche con ssl o tls a livello più alto. A seconda di che cosa voglio fare ho diverse soluzioni.
Con una VPN posso creare un collegamento tra due sotto reti, host o utente e rete. quando posso meglio andare a usare ipsec perché ha un overhead molto più basso rispetto a tls/ssl. Anche se tls è comodo per andare a connettere utenti che sono in mobilità. Le vpn garantiscono la sicurezza del canale di comunicazione, ma non del contenuto.
praticamente metti insieme tutte le cose che abbiamo visto prima e qualsiasi vendor grande ha delle soluzioni di tipo, soprattutto quelle che vendono soluzioni di sicurezza.
L’idea è quella di cercare di andare a monitorare un determinato sistema. Si spera sempre di avere sempre attaccanti esterni se ne abbiamo interni è decisamente peggio. Chi difende la rete, non sa esattamente che cosa succede, si deve basare su informazioni di monitoraggio. Deve configurare gli apparati di rete per inviarmi dei dati su che cosa sta succedendo all’interno della rete.
Tante delle contromisure sono fatte manualmente e il collo di bottiglia sono spesso gli operatori si sicurezza.