Scopri le 5 caratteristiche che fanno di un

firewall un vero Next Generation FireWall

(NGFW)

Heros Deidda

System Engineer Sidin

BYOD e Sviluppo del Wireless

“Enterprise Wireless LAN Market to

Expand 70 Percent by 2018”

Sviluppo Del Paradigma Cloud

http://www.businesswire.com/news/home/20150421006874/en/Worldwide-Cloud-Infrastructure-Market-Growth-Expected-Accelerate#.VUd87fntmko

«L’infrastruttura per il cloud IT crescerà del 35% anno

su anno raggiungendo nel 2015 i 25 miliardi di $»

• Il cloud continua a

crescere in numero di

servizi erogati, varietà

e qualità

• Nasce e si afferma il

fenomeno dello

Shadow IT.

Applicazioni Cloud

opportunità ma anche

vettori di rischio

APT e Mercato Delle Minacce

AV industry in 1998..

AV industry in 2015

• Offuscamento,

Polimorfismo ed unicità

dei malware

• Tecniche di evasione

avanzate da Sandbox

• Filiera e mercato

organizzato per lo

sviluppo, la distribuzione

e lo sfruttamento di

exploit, artefatti, botnet

ecc. (es:DeepWeb)

• Minacce di Attacchi

“dall’interno”

• SMB non immune:

Ramsomware

Non Solo UTM Leader…

NSS Labs Reccommended

http://www.fortiguard.com/advisory/UpcomingAdvisories.html http://www.fortinet.com/resource_center/whitepapers/breach-detection-systems-beyond-hype.html

http://www.fortinet.com/sites/default/files/whitepapers/Next-Generation-Firewall-Comparative-Analysis-SVM.pdf

Next Gen Intrusion Prevention System

http://www.fortinet.com/sites/default/files/analystreports/Next-Gen-Intrusion-Prevention-System-Test-Report.pdf

Aprile 2015:

“Il FortiGate-1500D ha

bloccato il 99.2% degli

exploit dimostrandosi

efficace contro tutte le

tecniche di evasione e

superando tutti I test di

stabilità. Il fortiGate-

1500D ha gestito

11,727 Mbps di traffico

superando gli 11Gbps

dichiarati”

http://www.fortinet.com/press_releases/2015/fortinet-recieves-best-positioning-all-vendors-latest-nss-labs-next-gen-ips.html

#1: Application Awareness

and Control

Riconoscimento Delle Applicazioni..

..E Dei Contenuti Cloud SaaS

Controllo Delle Applicazioni: Profilo

• Nuove

Categorizzazioni per

Tipologia di Servizi

ed Applicazioni

• Azioni di

Allow,Block,

Monitor,Reset

• Applicazione di un

profilo di Traffic

shaping

sull’applicazione

• Deep inspection

delle Applicazioni

Cloud

Controllo Delle Applicazioni: Profilo

• Fra le categorie di

“applicazioni sono

presenti anche le

Botnet: Es:

Zeus.botnet,

ZeroAccess

CryptoLocker e

CryptoWall

• E’ possibile selezionare

nel dettaglio le

signature (oltre 3300)

• Notifica utenti via http

(Replacement

Message), Application

Control Traffic Shaping

http://cookbook.fortinet.com/protecting-web-server/

Firewall Policy Side

• Sulla 5.2.X le firewall policy

permettono di decidere tutte

le condizioni da applicare

su una maschera unica

• Fra queste condizioni è

necessario abilitare l profilo

di application control per

vederlo applicato sul traffico

• Anche il traffic shaping può

essere realizzato a livello di

policy. La profilazione sul

profilo di application control

ha la priorità e scavalca

l’impostazione della policy

Risk Level Description Example

Critical Applications that are used to conceal activity

to evade detection. Tor, SpyBoss

High Applications that can cause data leakage, or

prone to vulnerabilities or downloading malware.

Remote Desktop, File Sharing, P2P

Medium Applications that can be misused VoIP, Instant Messaging, File

Storage, WebEx, Gmail

Elevated Applications are used for personal

communications or can lower productivity. Gaming, Facebook, Youtube

Low Business Related Applications or other

harmless applications. Windows Updates

Applicazioni e Rischio

Application Control Risk VS Threat Weight

• Sono concetti Diversi. Il Threat Weight è personalizzabile dall’utente e

determina la vista su FortiView

Custom Signature

http://video.fortinet.com/uploads/documents/IPS%20Signature%20Syntax%20Guide.pdf

F-SBID(--par1 opzione;--par2 opzione;...) name: il nome della signature

app_cat: categoria

protocol: tcp,udp ecc

pattern: un contenuto di cui fare match

Context (*):

si usa tipicamente dopo un pattern per

definirne lo scope

• packet: il pacchetto IP (default)

• uri: campo uri dell’http (L7)

• header: header section di HTTP,POP3,SSH ecc. (L7)

• body: body section di HTTP,POP3,SSH ecc. (L7)

E’ possibile usare più condizioni come nella signatura di questa

pagina. Le condizioni sono valutate in AND

(*) Spesso il body di una PDU HTTP è frammentato su più pacchetti IP (dimensione tipica <=1514bytes)

per questo motivo il context va scelto oculatamente

Custom Signature: WordPress CVE-2015-3440

http://klikki.fi/adv/wordpress2.html

F-SBID(--name "WordPressCVE-2015-3440"; --app_cat 15; --protocol tcp;--service http; --pattern "POST /wp-comments-post.php" --context uri; -- within 26,context; --data_size >64000,HTTP_CONTENT;)

Caratteristiche Generali della signature:

--name il nome della signature

--il protocollo usato è tcp (L4)

--il servizio da riconoscere è l’http (sul layer7)

-- la categoria della signatura è «network service»

Prima condizione:

-- cerca la stringa «POST /wp-comments-post.php» (--pattern)

nell’uri dell’http (-- context uri) fra i primi 26 caratteri del contesto

Seconda Condizione:

--la dimensione deve essere maggiore di 64000 byte (--data_size)

all’interno del contenuto HTTP (HTTP_CONTENT)

Capire l’Attacco!

Context uri

Context host Context body

Context body

Altre Custom Signature

F-SBID( --name "SSLv3.0"; --app_cat 15; --protocol tcp; --flow bi_direction; --service SSL; --pattern "|16 03 00|"; --within 3,packet;) Come la prima ma ottimizzata!!! F-SBID( --name "SSLv3.Server.Hello"; --protocol tcp; --flow from_server; --service SSL; --seq =,1,relative; --pattern "|16 03 00|"; --within 3,packet; ) F-SBID( --name "TLSv1.0"; --app_cat 15; --protocol tcp; --flow bi_direction; --service SSL; --pattern "|16 03 01|"; --within 3,packet;) F-SBID( --name "TLSv1.1"; --app_cat 15; --protocol tcp; --flow bi_direction; --service SSL; --pattern "|16 03 02|"; --within 3,packet;) F-SBID( --name "TLSv1.2"; --app_cat 15; --protocol tcp; --flow bi_direction; --service SSL; --pattern "|16 03 03|"; --within 3,packet; ) Match con il tentativo di web surfing di un windows XP o Windows 2003 server F-SBID( --attack_id 8151; --vuln_id 8151; --name "Windows.NT.5.Web.Surfing"; --default_action drop_session; --service HTTP; --protocol tcp; --app_cat 25; --flow from_client; --pattern "Windows NT 5."; --no_case; --context header; )

http://video.fortinet.com/uploads/documents/IPS%20Signature%20Syntax%20Guide.pdf

#2: User Identity Awareness

And Control

Servizi di Autenticazione

• User Identity nelle Firewall Policy

– Utenti locali, Utenti guest, 2 Factor

Authentication

– Supporto LDAP,TATACS+, Radius

– SSO Active Directory Windows, Novell e

Radius SSO (RSSO), NTLM

• Device Identity nelle Firewall Policy

– Riconoscimento dei dispositivi fissi e mobili,

Windows, MAC, Android, linux

– Associazione statica per MacAddress e/o tipo

di device

– Creazioni di gruppi di dispositivi

• Client VPN (IPSEC, SSL)

– PKI e Certificati X.509

– X.509 certificates, SCEP support, OCSP

• User Identity sulle interfacce

• Administration Console (CLI, GUI)

SSL VPN

Captive portal

User identiity Firewall Policy

Device identity

FortiGate Administ

ration

2 Factor Authenticat

ion

IPSEC VPN

Network

Access

User e Device Awareness

User e Device nelle

firewall Policy

Captive Portal anche

direttamente sull’interfaccia!

L’identificazione del

device va abilitata

sull’interfaccia

rabatan

erabatan@acme.com

0625504561

Your

password

for WIFI is:

x3F0!#Pr

Expires in:

4 hours

Guest Management

Guest Access

Temporary user Provisioning &

Access

• Permette la creazione di profili

temporanei a staff non IT

• Assegna una quota di tempo ed

una password temporanee

• Si può dstribuire attraverso

stampa, sms o email

• Possibile creare gruppi di utenti

assieme

2FA Integrata

Supporto Esteso dell’autenticazione

• La soluzione è già integrata e completa. Per ogni fortigate sono già

compresi 2 softoken, altri token acquistabili

• Ulteriormente estensibile ed applicabile a gruppi di firewall usando il

FortiAuthenticator

FortiToken • Token Hardware • Software mobile e fisso

Email SMS via sms Gateway

Notifiche agli utenti

Replacement Messages

Distinti per informare in caso di rilevamento virus,url filtering, fail nella login ecc.

Supportato in modalità Proxy e Flow Based UTM

Customizzabile, può essere assegnato per VDOM

FortiTOP bar come soluzione alternativa

#3: Content Security

with Integrated IPS, Antivirus, and Web

Filtering

H/W Acceleration: FortiASIC

FortiGate with FortiASIC

CPU

offload

Initial session

setup

Instruction

download

• Network Processors (NP):

– Direttamente legati alle interfacce di

rete, fanno offload sulle sessioni fino al

layer 4.

• Security Processors (SP):

– Direttamente legati alle interfacce di

rete, implementano caratteristiche

complesse (Attack Detection, Flow

Based AntiVirus)

• Content Processors (CP):

-- DES/3DES/AES enc/decr, SHA-1,

MD5 HMAC, IPSEC engine, Public key

crypto engine, Content processing

engine, SSL/TLS protocol engine for

inspection and acceleration. Key

eXchange SSL processor

http://docs.fortinet.com/d/fortigate-hardware-acceleration

Servizi IPS

IPS Signature Oltre 7,000+ Signature

Zero-day Threat Protection & Research

Signature Customizzabili (analogamente

alle Applicazioni Customizzabili

Categorizzato per Severity, OS,

Protocollo, Target

Quarantena degli Utenti, Packet Logging

Deployment Options One-arm Sniffer Mode

Severity OS Protocol

Applications Target (Client/Server)

WIDS/WIPS Sul Wireless

• Rogue APs: Access Point che creano punti di accesso non autorizzati (e quindi breccie alla

sicurezza) nell’infrastruttura wired

• Honeypot / Evil Twin Attack: Un Access Point «evil» si finge agli occhi del client l’AP

leggittimo, ad esempio emettendo un segnale più forte. Questo tipo di attacco permette di

«spiare» tutte le comunicazioni, nonché username e password usate per l’associazione

• Ad Hoc Networks: deve essere prevenuta la creazione di reti ad hoc fra computer autorizzati

(con accessso alle risorse aziendali) e computer non autorizzati

• Asleap Attack: Sfrutta una debolezza dell’autenticazione LEAP per rubare le credenziali

dell’utente

• Association Flooding: cerco di far vedere all’AP quanti più client fittizi possibili fino a far

saturare la tabella delle associazioni degli AP e provocare un DoS per le nuove associaizioni

• Broadcasting De-Authentication: invio di frame di de-autenticazione all’AP, genera un DoS

• EAPOL Flooding: l’attaccante «inonda» di richieste l’authentication server. generando un

DoS applicativo

• Long Duration Attack: Occupo continuamente per il massimo tempo possibile il canale con

valori elevati. In questo modo deterioro il servizio

• Null SSID Probe Response: verifica la presenza di AP che rispondono ad un probe con un

SSID nullo (mette in crisi lo stack di alcuni device)

Antivirus Overview

AntiMalware Modalità Proxy e Flow based (flow

based supportata da SP2)

Heuristic AV Engine

File Analysis with Cloud-based or on-

premise sandboxing

AV con Diversi Database: Normal,

Extended ed extreme

Botnet IP Blacklist Database

Fortigate AV Engine 2.0

Code Emulator

• Stack di emulazione

leggero, per

riconoscere evasioni

• Ottimizzato per la

protezione da injection

di Malware attraverso

applicazioni web 2.0

compromesse

• Tecnologia CPRL

signature: ogni

signature in grado di

riconoscere fino a 50k

artefatti “simili”

Signature Match (CPRL/Checksum)

File Campione

Decryption/unpacking System

Code Emulator Behavior Analysis

Suspicious Forward to cloud-based FortiGuard AV

service

Pass No Further Action

FortiGate AV Engine 2.0

Blocked File discarded, option to

Quarantine and event logged

http://www.fortinet.com/sites/default/files/basicfiles/Fighting_Advanced_Threats.pd

#4: SSL Encryption and Decryption so threats can’t hide in HTTPS traffic

SSL Offloading

SSL Offloading Permette di risparmiare risorse sui server

di backend terminando SSL sul Fortigate

SSL Inspection Permette l’inspezione attraverso I servizi

UTM di contenuti criptati

Disponibile in due modalità: “SSL Cert

Inspection” e “Full SSL Inspection”

SSL può essere applicato selettivamente

al WebFiltering per escludere alcune

categorie (Es: banche, Sanità)

SSL Inspection Option

SSL Content Inspection

Web

Server

SSL-secured session SSL-secured session

HTTPS://

• Il Fortigate può fare Man-In-The-Middle su SSL tra

il browser ed il server

• I dati vengono decriptati dal Fortigate, ispezionati,

quindi nuovamente criptati ed invati al browser

• Il Fortigate deve creare “al Volo” certificati validi

per il dominio che il browser sta richiedendo. Li

Firma con la chiave privata di una CA corporate

• Il certificato pubblico della CA corporate va

installato sul browser affinchè questo accetti che

sia usato in tutte le firme

#5: Advanced Threat Protection and

Intelligence

File Submission 1

?

Advanced Threat Protection

• Filtering con più vettori di

protezione

• Supporta eseguibili ,DLL, PDF,

Windows Office Docs,

Javascript, AdobeFlash e

JavaArchive (JAR) files –

Media files: .avi, .mpeg, .mp3,

.mp4

• Integrato con il Fortigate

supporta analisi su SSL

FortiSandbox: Fortinet APT Protection

Malicious

Analysis

output

3

Nuove signature AV 4

2 Analisi Centralizzata dei file

Call Back Detection

Full Virtual Sandbox

Componenti Fondamentali

• Simula velocemente l’attività analizzando il codice

• Indipendente dall’OS ed immune ad evasione ed

obfuscation

• Applica I motori più efficaci per rilevare minacce

(95%+ Reactive e Proactive) engine

• Lavora come un efficinete prefiltro

Code Emulation

Cloud Query

AV Engine

• Esamina in real-time, l’attività sul ciclo di vita

• Fornisce informazioni dettagliate sul comportamento

e le azioni intraprese dall’artefatto

• Verifica l’intelligence presente sulla FortiSandbox

Community. Verificato da FortiGuard

• Identifica le possibilità di movimento dell’artefatto ,

eventuali callback a C&C

Fortigate:Integrazione con FortiSandBox

Integrazione con FortiSandbox/ FortiCloud Sandbox

• La submission dei file viene fatta dall’AV engine sui file sospetti o

per tutti I file su richiesta

• I risultati sono riportati sulla Dashboard Del Fortigate

FortiCloud Sandbox/ FortiSandbox

I file Sospetti con relativi log vengono sottomessi attraverso

uploadd

1 I Risultati dello sono disponibili sul portale

FortiCloudl

2

Sommario Dei Risultati sui Widget Fortigate

3

DOMANDE?

h.deidda@sidin.com System Engineer Sidin