információbiztonság: l8+ tűzfalak
TRANSCRIPT
- Nélküle
- Könnyű üzemeltetés
- Nagy teljesítmény
- Fejlesztői szabadság
- Gyors üzleti bevezetés
2
- Vele
- Biztonságos(abb)
Vele vagy nélküle
Rémtörténet
Cél szentesíti az eszközt
3
- Monitoring
- Meglevő alkalmazások csendes figyelése
- Naplózási problémák átvállalása, naplók készítése
- Rendszerek dokumentációinak fél-automata elkészítése
- Ismert elemek detektív figyelése
- Korai riasztás
- Ismerkedés, munkafolyamatok
- Felkészülés az aktív védelemre
- Tűzfal
- Valami aktív dolog
- Ismert adatok kikényszerítése
- Szervezett, dokumentált, teljes alkalmazási környezet
Mit akarok és mit engednek?
Kiszerelés
4
- Csomagolás tetszőleges- Appliance vagy Virtuális ketyere
- Szeparált rendszerek fizikai eszközön belül
- SSL gyorsítás igazából csak Appliance-ben a kártya miatt
- Teljesítmény- Végtelen, megközelíthetetlen
- Valójában látszólag megrázóan alacsony
- Kompromisszumok- Teljesítmény miatt a feladatra kell koncentrálni
- Dokumentáltság miatt adagolás csak az orvos előírása szerint!
- Meg kell szokni
- Fejlesztők szabadságharca
- Területek- Webes alkalmazások – WAF, WAM, W\w{2}
- Adatbázisok – DAF, DAM, D\w{2}
3kg, maradhat?
Elhelyezés
5
- Feladat-orientáltak- Kevés kiegészítő „sallang”, nem „teljes hálózati” megoldás
- Tűzfal és alkalmazás illetve alkalmazás és adatbázis közé
- Releváns forgalom sokkal kevesebb, mint a minden forgalom
- Szabadság vagy sem- Bridge mód, reverse proxy, agent, stb.
- Védelem- Általános támadási minták és eljárások
- Alkalmazásra vonatkozó egyedi jellemzők
- Minden paraméter, érték és XML, SQL cellák, stb.
- Karakterisztikák ellenőrzése
- A verseny nagy- Előfizethető adatbázisok
- Sok a kiegészítő komponens- Korlátozza a választhatóságot
- Nem biztos, hogy üzemeltethetőbb
Fájni fog
Életfogytig tartó tanulás
6
- Leküzdhető akadályok
- Szabályrendszer
- A tanulás látszik a legnagyobb buktatónak
- Alkalmazás fejlesztők bevonása fokozni szokta a problémákat
- „Látott-e már eleget?” döntés nehezen felvállalható
- Dinamikára fel kell készülni
Az EU ajánlásával
Összefoglalás
7
- CISCO ACE kiváltás: F5
- Igények alapján- Sok kicsi VM – Mbps alapon licenszelve (25Mbps-10Gbps)
- Dedikált eszközök – appliance (4Gbps – 600Gbps+)
- Context-ek – fizikai szeparáció – nagyobb appliance (vCMP 8-48 vCMP)
- Feladatok alapján- Alap / Good / Better / Best bundle
- Extra igények- HSM, FIPS
- SSO, SAML szerepkörök
- Malware/web védelem – userszám licensz nélkül (100-80.000 user / eszköz telj.)
- Login-védelem – aktív user ellenőrzés OTP nélkül
- Egyéb megoldások- Citrix NetScaler, A10, Imperva, McAfee
Javaslatok
OOOO A4
9
A biztonság a részletekben rejlik. A részleteket igyekszik miden szervezet jól elrejteni.
Korunk támadásai azonban követve a kihívásokat az általános irány helyett a
célzott irányba fordultak el. A támadás önmagában már nagyon finom, alig
észrevehető módosítást jelent. Biztonsági oldalról a hálózati réteg védelme már
elfogadott. A hálózat után az általános, protokoll szintű védelmek és IPS
technológiák is elfogadottá váltak a köztudatban. A védekezés következő iránya
és szintje az egyedi protokollok és üzenetek szintje. Ezt a szélmalom harcot is
meg kell vívni, most azonban már az üzleti alkalmazások felelőseivel, fejlesztőivel.
Már nem mindegy, hogy mit is kommunikálunk a hálózaton, hiszen jelentős
támadási felületet biztosítunk már automatizált eszközökkel szemben is. El kell
fogadtatni, hogy a jövőben minden webservice vagy database call pontos
dokumentáltságot követel meg, amit ellenőrizni, felügyelni szeretnénk. A külső
kontroll növelheti a biztonságot, hiszen a kapott leírást igyekszik kikényszeríteni,
még akkor is, ha a kódolás nem egészen úgy sikerült.