Firewall applicativo per la protezione di portali intranet/extranet



Documenti analoghi
Lezione 1 Introduzione

Sicurezza nelle applicazioni multimediali: lezione 9, firewall. I firewall

2.1 Configurare il Firewall di Windows

Improve your management productivity

IL SERVIZIO DI POSTA ELETTRONICA

Modulo Antivirus per Petra 3.3. Guida Utente

Si applica a: Windows Server 2008

Reti di Telecomunicazione Lezione 8

PSNET UC RUPAR PIEMONTE MANUALE OPERATIVO

Firewall e NAT A.A. 2005/2006. Walter Cerroni. Protezione di host: personal firewall

SCENARI D'UTILIZZO DELLE NUOVE SOLUZIONI. Fabrizio Cassoni Content Security Manager

Software Servizi Web UOGA

Firewall e Abilitazioni porte (Port Forwarding)

Domande e risposte su Avira ProActiv Community

InitZero s.r.l. Via P. Calamandrei, Arezzo

Lo scenario: la definizione di Internet

Desktop Video Conference

WebFax- manuale utente

Sviluppo siti e servizi web Programmi gestionali Formazione e Consulenza Sicurezza informatica Progettazione e realizzazione di reti aziendali

Intel One Boot Flash Update Utility Guida dell utente

Allegato 3 Sistema per l interscambio dei dati (SID)

Configurazione modalità autenticazione utenti sui firewall D-Link Serie NetDefend (DFL-200, DFL-700, DFL-1100)

Sicurezza delle reti 1

Sparkasse. Analisi tecnica. Upgrade della struttura di url-filtering Websense. Bolzano. Tel Fax

Introduzione alle applicazioni di rete

FIREWALL: LA PROTEZIONE PER GLI ACCESSI ESTERNI

Università Degli Studi dell Insubria. Centro Sistemi Informativi e Comunicazione (SIC) Rete Wireless di Ateneo UninsubriaWireless

Reti di Telecomunicazione Lezione 6

TeamPortal. Servizi integrati con ambienti Gestionali

Andrea Gradella. Coordinatore divisione antivirus di Symbolic S.p.A.

Ministero del Lavoro e della Previdenza Sociale

MODELLO CLIENT/SERVER. Gianluca Daino Dipartimento di Ingegneria dell Informazione Università degli Studi di Siena

IT Cloud Service. Semplice - accessibile - sicuro - economico

Registratori di Cassa

Progettare un Firewall

INDICAZIONI GENERALI

Prodotto <ADAM DASHBOARD> Release <1.0> Gennaio 2015

Elementi sull uso dei firewall

TERM TALK. software per la raccolta dati

Progetto Firewall in alta affidabilità

Concessione del servizio di comunicazione elettronica certificata tra pubblica amministrazione e cittadino- PostaCertificat@

Prova di Esame - Rete Internet (ing. Giovanni Neglia) Lunedì 24 Gennaio 2005, ore 15.00

ALLEGATO AL CONTRATTO DI FORNITURA DEL SERVIZIO LEGALMAIL

Simulazione seconda prova Sistemi e reti Marzo 2016

Network Topology. Configurazione HA USG300

LINEE GUIDA PER LA PREDISPOSIZIONE DEL DOCUMENTO DI PROGETTO DEL SISTEMA DI GIOCO

Sicurezza nelle reti

Si S curezza a sw w net Il c orr r e r tto design del t uo s istema i nform r atico una soluzione

Distribuzione internet in alberghi, internet cafè o aziende che vogliono creare una rete "ospite"

Architettura del. Sintesi dei livelli di rete. Livelli di trasporto e inferiori (Livelli 1-4)

Offerta Enterprise. Dedichiamo le nostre tecnologie alle vostre potenzialità. Rete Privata Virtuale a larga banda con tecnologia MPLS.

B.P.S. Business Process Server ALLEGATO C10

Appliance software Sophos UTM

NOTE OPERATIVE. Prodotto Inaz Download Manager. Release 1.3.0

Allegato 1 CIG FF PROCEDURA DI AFFIDAMENTO PER LA FORNITURA DI UNA PIATTAFORMA PER SERVICE MASHUP AND DELIVERY CAPITOLATO TECNICO

Architetture e strumenti per la sicurezza informatica

Programma analitico d'esame. Versione

Indice. Indice Premessa e scopo del documento Ambiente operativo Architettura di sistema... 5

SPSS Statistics per Windows - Istruzioni di installazione per (Licenza per utenti singoli)

Progetto Virtualizzazione

Infrastruttura VMware

Console di Monitoraggio Centralizzata

Prova di Esame - Rete Internet (ing. Giovanni Neglia) Lunedì 24 Gennaio 2005, ore 15.00

SISTEMI E RETI. Crittografia. Sistemi distribuiti e configurazione architetturale delle applicazioni WEB.

Introduzione a Windows XP Professional Installazione di Windows XP Professional Configurazione e gestione di account utente

Software di gestione della stampante

Sicurezza applicata in rete

Mida Directory. Introduzione. Mida Directory

capitolo 8 LA CHECKLIST PER LA VALUTV ALUTAZIONEAZIONE TECNOLOGICA

Istruzioni di installazione di IBM SPSS Modeler Text AnalyticsServer per Windows

Servizi ASP. ASP su Centro Servizi TeamSystem Contratto e SLA

Le Soluzioni Tango/04 per adempiere alla normativa sugli amministratori di sistema

SurfCop. Informazioni sul prodotto

Emoticon - Mettiamoci la faccia

crazybrain snc Presentazione_VisualFTP.pdf Pag. 1 VisualFTP Presentazione del prodotto Web partner:

2.5. L'indirizzo IP identifica il computer di origine, il numero di porta invece identifica il processo di origine.

Aggiornamenti Sistema Addendum per l utente

INTERNET INTRANET EXTRANET

IBM SPSS Statistics per Linux - Istruzioni di installazione (Licenza per sito)

Installazione di GFI Network Server Monitor

I SERVIZI DI DATA VENDING DI BORSA ITALIANA. Milano 3 Ottobre Training & Congress Center - Palazzo Mezzanotte

Receptionist 2.0. La soluzione semplice ed affidabile per il contact center

SEGNALIBRO NON È DEFINITO.

PRESENTAZIONE. Chi è B-Bright

Corso avanzato di Reti e sicurezza informatica

Dettaglio attività e pianificazione. snamretegas.it. San Donato Milanese Aprile 2014

SISTEMA DI LOG MANAGEMENT

Le caselle di Posta Certificata attivate da Aruba Pec Spa hanno le seguenti caratteristiche:

Cos'è una vlan. Da Wikipedia: Una LAN virtuale, comunemente

per la sicurezza della vostra azienda Be ready for what s next! Kaspersky Open Space Security

RETI DI COMPUTER Reti Geografiche. (Sez. 9.8)

MODALITA DI UTILIZZO DEL TELEDISTACCO APPLICATO AD IMPIANTI DI PRODUZIONE DA FONTE EOLICA

La gestione integrata della sicurezza in Agenzia ANSA: dal firewalling all'utm Michelangelo Uberti, Sales Engineer Babel S.r.l.

Davide Casale, Politecnico di Torino

Le fattispecie di riuso

PROCEDURA DI COORDINAMENTO TRA GESTORI DI RETE AI SENSI DEGLI ARTICOLI 34 E 35 DELL ALLEGATO A ALLA DELIBERA ARG/ELT 99/08 (TICA)

DW-SmartCluster (ver. 2.1) Architettura e funzionamento

MODULO 02. Iniziamo a usare il computer

Università Degli Studi dell Insubria. Centro Sistemi Informativi e Comunicazione (SIC) Rete Wireless di Ateneo UninsubriaWireless

Aspetti di sicurezza in Internet e Intranet. arcipelago

Transcript:

Firewall applicativo per la protezione di portali intranet/extranet Descrizione Soluzione Milano Hacking Team S.r.l. http://www.hackingteam.it Via della Moscova, 13 info@hackingteam.it 20121 MILANO (MI) - Italy Tel. +39.02.29060603 Fax +39.02.63118946 2006 Hacking Team Proprietà Riservata Numero Allegati: Pagina 1 di 6

STORIA DEL DOCUMENTO Versione Data Modifiche Effettuate 1.0 25/10/2006 Prima stesura INDICE 1 Descrizione della soluzione di Application Firewall... 3 1.1 Analisi del traffico... 3 1.2 DoS prevention...4 1.3 Configurazione...4 1.4 Amministrazione... 5 1.5 Alta affidabilità... 5 1.6 Prestazioni e scalabilità... 6 1.7 Funzionalità accessorie... 6 2006 Hacking Team Proprietà Riservata Numero Allegati: Pagina 2 di 6

1 Descrizione della soluzione di Application Firewall La soluzione descritta è il firewall applicativo Citrix Netscaler Application Firewall 7000. Si tratta di un apparato hardware su piattaforma Intel e sistema operativo Linux. I seguenti sottoparagrafi ne descrivono le principali caratteristiche tecniche. 1.1 Analisi del traffico Positive Security Model. Citrix Netscaler Application Firewall 7000 si basa su un approccio secondo il quale le regole di analisi del traffico vengono definite in funzione di tutti e soli i pattern ritenuti accettabili e non pericolosi per le applicazioni protette. Questo permette di implementare policy di sicurezza stringenti (il firewall filtra tutto il traffico non corrispondente a pattern esplicitamente definiti non pericolosi ) e garantisce protezione anche nei confronti di ampie classi di attacchi non noti all atto della configurazione. Evoluzione delle modalità di analisi del traffico. La scoperta di nuove tecniche di attacco comporta la necessità di adeguare le funzionalità di analisi del traffico di un firewall applicativo. Gli interventi richiesti per compiere tale adeguamento variano in base alle caratteristiche dell attacco che si vuole prevenire; si possono presentare tre casi: o nessun intervento richiesto: l attacco, anche se non noto all atto della configurazione del firewall, è caratterizzato da pattern che vengono comunque bloccati, in quanto esclusi dall insieme di pattern definiti accettabili (positive security model); o modifica della configurazione del firewall: l attacco è caratterizzato da pattern di attacco che, in base alla configurazione attuale, sarebbero considerati accettabili; è pertanto necessario intervenire sulla configurazione, fornendo una definizione più stringente dei pattern accettabili; o upgrade del motore di analisi del traffico: l attacco si basa su un paradigma differente da quello di qualsiasi altro attacco noto e la sua individuazione richiede una modifica della logica di analisi dei pacchetti HTTP. In questo caso, estremamente improbabile, il produttore provvede al rilascio di un pacchetto software di upgrade. Protocolli supportati. Citrix Netscaler Application Firewall 7000 esegue l analisi del traffico su protocollo HTTP e sui protocolli applicativi che utilizzano HTTP come trasporto. In particolare, è supportata l analisi dei protocolli applicativi basati su XML (SOAP). 2006 Hacking Team Proprietà Riservata Numero Allegati: Pagina 3 di 6

1.2 DoS prevention Citrix Netscaler Application Firewall 7000 dispone di funzionalità di limitazione del numero di richieste HTTP(S) (per unità di tempo) verso i web server protetti. Questo permette di evitare la saturazione delle risorse infrastrutturali su cui insistono le applicazioni. Il numero di richieste ricevute per unità di tempo può essere valutato per indirizzo IP sorgente o per sessione. Quando esso supera il limite impostato, il firewall gestisce le richieste in eccesso in uno dei seguenti modi: terminazione della connessione; restituzione di un messaggio di errore; introduzione di un ritardo nel processo di forwarding del traffico da e verso i web server protetti; eliminazione della richiesta. Le funzionalità di DoS prevention possono essere attivate anche quando l utilizzo della CPU dell apparato supera una percentuale predefinita (e configurabile). 1.3 Configurazione Citrix Netscaler Application Firewall 7000 supporta diverse modalità di configurazione, allo scopo di minimizzare i tempi per la messa in esercizio e consentire il fine tuning incrementale del firewall. Le caratteristiche che garantiscono questa flessibilità sono descritte di seguito. Bypass mode, Normal operation: in modalità Bypass Citrix Netscaler Application Firewall funziona come un normale proxy HTTP, e non esegue alcun filtraggio del traffico, permettendo di verificare la correttezza della sua configurazione a livello di rete e di URL rewriting. In modalità Normal il firewall analizza e filtra il traffico in base alla sua configurazione. Express mode, Enterprise mode: la modalità di funzionamento Express permette di impostare rapidamente una configurazione standard per l analisi del traffico per una o più applicazioni. Per la maggioranza delle applicazioni, tale configurazione è sufficiente per garantire protezione a fronte delle tecniche di attacco note. Per applicazioni con requisiti di sicurezza atipici e fortemente legati alla logica applicativa, Citrix Netscaler Application Firewall 7000 offre la modalità Enterprise, che permette la configurazione dettagliata dei pattern di traffico accettabili. Adaptive learning: configurando Citrix Netscaler Application Firewall 7000 in modalità Adaptive learning il firewall identifica i pattern accettabili osservando il traffico HTTP 2006 Hacking Team Proprietà Riservata Numero Allegati: Pagina 4 di 6

corrispondente al normale utilizzo di una applicazione. I pattern così identificati possono essere selettivamente inclusi nella configurazione del motore di analisi del traffico. 1.4 Amministrazione Citrix Netscaler Application Firewall 7000 prevede due modalità di amministrazione. CLI Interface: si tratta di una console di amministrazione su porta seriale, utilizzata per l impostazione dei parametri di configurazione di base (interfacce di rete, tavole di routing). Tale interfaccia viene solitamente utilizzata durante la prima installazione del firewall. Web Admin Interface: si tratta di una interfaccia web-based per la configurazione delle funzionalità di firewalling. Per l accesso a questa interfaccia è necessario utilizzare un browser IE 6.0. L accesso alle funzionalità amministrative avviene mediante protocollo HTTPS. Citrix Netscaler Application Firewall 7000 dispone di una interfaccia di rete dedicata per le connessioni di management, per consentire l amministrazione del firewall attraverso una rete fisicamente separata dalla rete esterna e dalla rete su cui si trovano i web server protetti. 1.5 Alta affidabilità Citrix Netscaler Application Firewall 7000 può essere installato in cluster di due o più nodi. Sono supportate due modalità di clustering. APS cluster (active-active): questa modalità di clustering prevede l utilizzo di due o più apparati contemporaneamente attivi. La configurazione del cluster viene impostata su un nodo del cluster, ed automaticamente propagata sugli altri. Se un nodo del cluster manifesta un malfunzionamento, le connessioni da esso gestite vengono re-dirette sugli altri nodi. Questa modalità richiede l utilizzo di un load balancer esterno per distribuire il traffico sui nodi del cluster. VRRP cluster (active-passive): questa modalità di clustering prevede l utilizzo di (esattamente) due apparati, dei quali soltanto uno, denominato primario, è attivo. La configurazione del cluster viene impostata sul nodo primario, ed automaticamente propagata sul secondario. Il nodo secondario è in hot-standby; esso non riceve traffico HTTP ed invia periodicamente pacchetti heartbeat per verificare la funzionalità del nodo primario. Se il secondario non riceve risposta ai pacchetti heartbeat, assume automaticamente l indirizzo IP del primario ed inizia a ricevere il traffico HTTP per i web 2006 Hacking Team Proprietà Riservata Numero Allegati: Pagina 5 di 6

server protetti. Questa modalità di clustering non richiede l utilizzo di un load balancer esterno. 1.6 Prestazioni e scalabilità Un singolo apparato Citrix Netscaler Application Firewall 7000 gestisce traffico HTTP(S) fino a 60 Mbps. Se viene utilizzato un cluster active-active il massimo volume di traffico gestito è pari a (60 Mbps * numero di nodi del cluster). Un cluster active-passive gestisce invece fino a 60 Mbps di traffico. 1.7 Funzionalità accessorie Citrix Netscaler Application Firewall 7000 svolge funzioni di proxy (ma non di inspection) per qualsiasi protocollo non HTTP (FTP; SMTP, ecc.). 2006 Hacking Team Proprietà Riservata Numero Allegati: Pagina 6 di 6

2024 © DocPlayer.it Privacy Policy | Condizioni del servizio | Feed-back