L8+ tűzfalak

Kis-Szabó András

rendszermérnök

- Nélküle

- Könnyű üzemeltetés

- Nagy teljesítmény

- Fejlesztői szabadság

- Gyors üzleti bevezetés

2

- Vele

- Biztonságos(abb)

Vele vagy nélküle

Rémtörténet

Cél szentesíti az eszközt

3

- Monitoring

- Meglevő alkalmazások csendes figyelése

- Naplózási problémák átvállalása, naplók készítése

- Rendszerek dokumentációinak fél-automata elkészítése

- Ismert elemek detektív figyelése

- Korai riasztás

- Ismerkedés, munkafolyamatok

- Felkészülés az aktív védelemre

- Tűzfal

- Valami aktív dolog

- Ismert adatok kikényszerítése

- Szervezett, dokumentált, teljes alkalmazási környezet

Mit akarok és mit engednek?

Kiszerelés

4

- Csomagolás tetszőleges- Appliance vagy Virtuális ketyere

- Szeparált rendszerek fizikai eszközön belül

- SSL gyorsítás igazából csak Appliance-ben a kártya miatt

- Teljesítmény- Végtelen, megközelíthetetlen

- Valójában látszólag megrázóan alacsony

- Kompromisszumok- Teljesítmény miatt a feladatra kell koncentrálni

- Dokumentáltság miatt adagolás csak az orvos előírása szerint!

- Meg kell szokni

- Fejlesztők szabadságharca

- Területek- Webes alkalmazások – WAF, WAM, W\w{2}

- Adatbázisok – DAF, DAM, D\w{2}

3kg, maradhat?

Elhelyezés

5

- Feladat-orientáltak- Kevés kiegészítő „sallang”, nem „teljes hálózati” megoldás

- Tűzfal és alkalmazás illetve alkalmazás és adatbázis közé

- Releváns forgalom sokkal kevesebb, mint a minden forgalom

- Szabadság vagy sem- Bridge mód, reverse proxy, agent, stb.

- Védelem- Általános támadási minták és eljárások

- Alkalmazásra vonatkozó egyedi jellemzők

- Minden paraméter, érték és XML, SQL cellák, stb.

- Karakterisztikák ellenőrzése

- A verseny nagy- Előfizethető adatbázisok

- Sok a kiegészítő komponens- Korlátozza a választhatóságot

- Nem biztos, hogy üzemeltethetőbb

Fájni fog

Életfogytig tartó tanulás

6

- Leküzdhető akadályok

- Szabályrendszer

- A tanulás látszik a legnagyobb buktatónak

- Alkalmazás fejlesztők bevonása fokozni szokta a problémákat

- „Látott-e már eleget?” döntés nehezen felvállalható

- Dinamikára fel kell készülni

Az EU ajánlásával

Összefoglalás

7

- CISCO ACE kiváltás: F5

- Igények alapján- Sok kicsi VM – Mbps alapon licenszelve (25Mbps-10Gbps)

- Dedikált eszközök – appliance (4Gbps – 600Gbps+)

- Context-ek – fizikai szeparáció – nagyobb appliance (vCMP 8-48 vCMP)

- Feladatok alapján- Alap / Good / Better / Best bundle

- Extra igények- HSM, FIPS

- SSO, SAML szerepkörök

- Malware/web védelem – userszám licensz nélkül (100-80.000 user / eszköz telj.)

- Login-védelem – aktív user ellenőrzés OTP nélkül

- Egyéb megoldások- Citrix NetScaler, A10, Imperva, McAfee

Javaslatok

Kérdések és válaszok

8

Köszönöm a figyelmet!

Kis-Szabó András

Andras.Kis-Szabo@snt.hu

OOOO A4

9

A biztonság a részletekben rejlik. A részleteket igyekszik miden szervezet jól elrejteni.

Korunk támadásai azonban követve a kihívásokat az általános irány helyett a

célzott irányba fordultak el. A támadás önmagában már nagyon finom, alig

észrevehető módosítást jelent. Biztonsági oldalról a hálózati réteg védelme már

elfogadott. A hálózat után az általános, protokoll szintű védelmek és IPS

technológiák is elfogadottá váltak a köztudatban. A védekezés következő iránya

és szintje az egyedi protokollok és üzenetek szintje. Ezt a szélmalom harcot is

meg kell vívni, most azonban már az üzleti alkalmazások felelőseivel, fejlesztőivel.

Már nem mindegy, hogy mit is kommunikálunk a hálózaton, hiszen jelentős

támadási felületet biztosítunk már automatizált eszközökkel szemben is. El kell

fogadtatni, hogy a jövőben minden webservice vagy database call pontos

dokumentáltságot követel meg, amit ellenőrizni, felügyelni szeretnénk. A külső

kontroll növelheti a biztonságot, hiszen a kapott leírást igyekszik kikényszeríteni,

még akkor is, ha a kódolás nem egészen úgy sikerült.