Firewall applicativo per la protezione di portali intranet/extranet Descrizione Soluzione Milano Hacking Team S.r.l. http://www.hackingteam.it Via della Moscova, 13 info@hackingteam.it 20121 MILANO (MI) - Italy Tel. +39.02.29060603 Fax +39.02.63118946 2006 Hacking Team Proprietà Riservata Numero Allegati: Pagina 1 di 6
STORIA DEL DOCUMENTO Versione Data Modifiche Effettuate 1.0 25/10/2006 Prima stesura INDICE 1 Descrizione della soluzione di Application Firewall... 3 1.1 Analisi del traffico... 3 1.2 DoS prevention...4 1.3 Configurazione...4 1.4 Amministrazione... 5 1.5 Alta affidabilità... 5 1.6 Prestazioni e scalabilità... 6 1.7 Funzionalità accessorie... 6 2006 Hacking Team Proprietà Riservata Numero Allegati: Pagina 2 di 6
1 Descrizione della soluzione di Application Firewall La soluzione descritta è il firewall applicativo Citrix Netscaler Application Firewall 7000. Si tratta di un apparato hardware su piattaforma Intel e sistema operativo Linux. I seguenti sottoparagrafi ne descrivono le principali caratteristiche tecniche. 1.1 Analisi del traffico Positive Security Model. Citrix Netscaler Application Firewall 7000 si basa su un approccio secondo il quale le regole di analisi del traffico vengono definite in funzione di tutti e soli i pattern ritenuti accettabili e non pericolosi per le applicazioni protette. Questo permette di implementare policy di sicurezza stringenti (il firewall filtra tutto il traffico non corrispondente a pattern esplicitamente definiti non pericolosi ) e garantisce protezione anche nei confronti di ampie classi di attacchi non noti all atto della configurazione. Evoluzione delle modalità di analisi del traffico. La scoperta di nuove tecniche di attacco comporta la necessità di adeguare le funzionalità di analisi del traffico di un firewall applicativo. Gli interventi richiesti per compiere tale adeguamento variano in base alle caratteristiche dell attacco che si vuole prevenire; si possono presentare tre casi: o nessun intervento richiesto: l attacco, anche se non noto all atto della configurazione del firewall, è caratterizzato da pattern che vengono comunque bloccati, in quanto esclusi dall insieme di pattern definiti accettabili (positive security model); o modifica della configurazione del firewall: l attacco è caratterizzato da pattern di attacco che, in base alla configurazione attuale, sarebbero considerati accettabili; è pertanto necessario intervenire sulla configurazione, fornendo una definizione più stringente dei pattern accettabili; o upgrade del motore di analisi del traffico: l attacco si basa su un paradigma differente da quello di qualsiasi altro attacco noto e la sua individuazione richiede una modifica della logica di analisi dei pacchetti HTTP. In questo caso, estremamente improbabile, il produttore provvede al rilascio di un pacchetto software di upgrade. Protocolli supportati. Citrix Netscaler Application Firewall 7000 esegue l analisi del traffico su protocollo HTTP e sui protocolli applicativi che utilizzano HTTP come trasporto. In particolare, è supportata l analisi dei protocolli applicativi basati su XML (SOAP). 2006 Hacking Team Proprietà Riservata Numero Allegati: Pagina 3 di 6
1.2 DoS prevention Citrix Netscaler Application Firewall 7000 dispone di funzionalità di limitazione del numero di richieste HTTP(S) (per unità di tempo) verso i web server protetti. Questo permette di evitare la saturazione delle risorse infrastrutturali su cui insistono le applicazioni. Il numero di richieste ricevute per unità di tempo può essere valutato per indirizzo IP sorgente o per sessione. Quando esso supera il limite impostato, il firewall gestisce le richieste in eccesso in uno dei seguenti modi: terminazione della connessione; restituzione di un messaggio di errore; introduzione di un ritardo nel processo di forwarding del traffico da e verso i web server protetti; eliminazione della richiesta. Le funzionalità di DoS prevention possono essere attivate anche quando l utilizzo della CPU dell apparato supera una percentuale predefinita (e configurabile). 1.3 Configurazione Citrix Netscaler Application Firewall 7000 supporta diverse modalità di configurazione, allo scopo di minimizzare i tempi per la messa in esercizio e consentire il fine tuning incrementale del firewall. Le caratteristiche che garantiscono questa flessibilità sono descritte di seguito. Bypass mode, Normal operation: in modalità Bypass Citrix Netscaler Application Firewall funziona come un normale proxy HTTP, e non esegue alcun filtraggio del traffico, permettendo di verificare la correttezza della sua configurazione a livello di rete e di URL rewriting. In modalità Normal il firewall analizza e filtra il traffico in base alla sua configurazione. Express mode, Enterprise mode: la modalità di funzionamento Express permette di impostare rapidamente una configurazione standard per l analisi del traffico per una o più applicazioni. Per la maggioranza delle applicazioni, tale configurazione è sufficiente per garantire protezione a fronte delle tecniche di attacco note. Per applicazioni con requisiti di sicurezza atipici e fortemente legati alla logica applicativa, Citrix Netscaler Application Firewall 7000 offre la modalità Enterprise, che permette la configurazione dettagliata dei pattern di traffico accettabili. Adaptive learning: configurando Citrix Netscaler Application Firewall 7000 in modalità Adaptive learning il firewall identifica i pattern accettabili osservando il traffico HTTP 2006 Hacking Team Proprietà Riservata Numero Allegati: Pagina 4 di 6
corrispondente al normale utilizzo di una applicazione. I pattern così identificati possono essere selettivamente inclusi nella configurazione del motore di analisi del traffico. 1.4 Amministrazione Citrix Netscaler Application Firewall 7000 prevede due modalità di amministrazione. CLI Interface: si tratta di una console di amministrazione su porta seriale, utilizzata per l impostazione dei parametri di configurazione di base (interfacce di rete, tavole di routing). Tale interfaccia viene solitamente utilizzata durante la prima installazione del firewall. Web Admin Interface: si tratta di una interfaccia web-based per la configurazione delle funzionalità di firewalling. Per l accesso a questa interfaccia è necessario utilizzare un browser IE 6.0. L accesso alle funzionalità amministrative avviene mediante protocollo HTTPS. Citrix Netscaler Application Firewall 7000 dispone di una interfaccia di rete dedicata per le connessioni di management, per consentire l amministrazione del firewall attraverso una rete fisicamente separata dalla rete esterna e dalla rete su cui si trovano i web server protetti. 1.5 Alta affidabilità Citrix Netscaler Application Firewall 7000 può essere installato in cluster di due o più nodi. Sono supportate due modalità di clustering. APS cluster (active-active): questa modalità di clustering prevede l utilizzo di due o più apparati contemporaneamente attivi. La configurazione del cluster viene impostata su un nodo del cluster, ed automaticamente propagata sugli altri. Se un nodo del cluster manifesta un malfunzionamento, le connessioni da esso gestite vengono re-dirette sugli altri nodi. Questa modalità richiede l utilizzo di un load balancer esterno per distribuire il traffico sui nodi del cluster. VRRP cluster (active-passive): questa modalità di clustering prevede l utilizzo di (esattamente) due apparati, dei quali soltanto uno, denominato primario, è attivo. La configurazione del cluster viene impostata sul nodo primario, ed automaticamente propagata sul secondario. Il nodo secondario è in hot-standby; esso non riceve traffico HTTP ed invia periodicamente pacchetti heartbeat per verificare la funzionalità del nodo primario. Se il secondario non riceve risposta ai pacchetti heartbeat, assume automaticamente l indirizzo IP del primario ed inizia a ricevere il traffico HTTP per i web 2006 Hacking Team Proprietà Riservata Numero Allegati: Pagina 5 di 6
server protetti. Questa modalità di clustering non richiede l utilizzo di un load balancer esterno. 1.6 Prestazioni e scalabilità Un singolo apparato Citrix Netscaler Application Firewall 7000 gestisce traffico HTTP(S) fino a 60 Mbps. Se viene utilizzato un cluster active-active il massimo volume di traffico gestito è pari a (60 Mbps * numero di nodi del cluster). Un cluster active-passive gestisce invece fino a 60 Mbps di traffico. 1.7 Funzionalità accessorie Citrix Netscaler Application Firewall 7000 svolge funzioni di proxy (ma non di inspection) per qualsiasi protocollo non HTTP (FTP; SMTP, ecc.). 2006 Hacking Team Proprietà Riservata Numero Allegati: Pagina 6 di 6