Sicurezza e Datacenter
Per cultura personale stavo cercando sulla (mostruosa) intranet Cisco delle risorse su datecenter e sicurezza. Non solo ho trovato una miniera di risorse, ma ne ho anche trovata una pubblica, che i tengo a segnalare:
Cisco Datacenter SecurityEtichette: cisco
Nasce www.icasi.org
E' notizia fresca (di giovedì scorso) la costituzione di ICASI,
Industry Consortium for Advancement of Security on the Internet. [
link]
ICASI intends to be a trusted forum for addressing international, multi-product security challenges. This trusted forum extends the ability of information technology vendors to proactively address complex security issues and better protect enterprises, governments, and citizens, and the critical IT infrastructures that support them. ICASI shares the results of its work with the IT industry through papers and other media.
La cosa non può che farmi piacere. Sono un sostenitore del fatto che la sicurezza più efficace sia fatta di tecnologie, procedure e persone, e che la protezione offerta sia tanto più efficace quanto più queste tre entità si parlano fra di loro. Quindi tecnologie che collaborano, procedure che influenzano le tecnologie e viceversa, e sopratutto persone. Persone che interagiscono con le tecnologie e sottostanno alle policy di utilizzo, conoscendo i problemi.
La notizia della nascita di ICASI mi fa piacere perche vede seduti allo stesso tavolo diversi fornitori (Cisco per prima, con IBM, Intel, Juniper e Microsoft), tutti di rilievo e capaci di offrire tecnologie e servizi molto significativi. Se ci si parla, le cose non possono che migliorare, in uno scenario dove gli attacchi informatici sono sempre più pericolosi.
Gli obiettivi:
- Sicurezza per gli utilizzatori – Grazie ad ICASI e alla collaborazione, i vendor saranno più efficaci nell'identificare e combattere minacce che a volte sono al di fuori dell'ambito di un singolo vendor; quindi riducendo l'impatto di eventuali problemi di sicurezza.
- Flessibilità ed efficacia – ICASI ha come obiettivo quello di migliorare l'efficienza ed efficacia nella risoluzioni di minacce informatiche multivendor.
- Collaborazione - Si viene a creare un ambiente dove possono rapidamente essere scambiate le informazioni necessarie a risolvere rapidamente problemi di sicurezza cross-vendor. Informazioni che - caso per caso - potranno essere condivise.
- Innovazione e leadership – ICASI comprende aziende ognuna leader nel proprio settore e nel mondo e sfrutta l'esperienza di ognuna per innovare le modalità di risposta ai problemi di sicurezza, e l'efficacia quindi per gli utilizzatori di queste informazioni.
Etichette: cisco
E' Martedí..
In realtá é Mercoledí. Ad ogni modo puntualmente stamattina il mio fido Windows (XP,SP3) si aggiorna relativamente a
questo bollettino Microsoft. E come sempre il
Cisco Security Center ci suggerisce cosa puo fare la rete per permetterci di provare le patch con tranquillitá prima di implementarle. Ecco l'
IntelliShield Event Response a questo bollettino.
PS: Non ci posso credere...
Feliciano aveva
preannunciato la cosa gia la settimana scorsa eppure sto segnalando io il controbollettino cisco prima della sua analisi che aspetto con ansia. Mi sa che la ISSA European Conference oggi gli ha fatto perdere minuti prezioni ! ;-)
Etichette: cisco
Sicurezza Gestita
SearchSecurity: Managed security services to climb as IT costs risein 10 years, the market for outsourced security services will jump significantly. By 2018, 70% of all messaging security products will be offered as a service, and 65% of secure Web gateways and 85% of security intelligence products will be services (John Pescatore, Gartner Group)
Non é
che prendo per
oro colato tutto ció che dice Gartner, ma
su questo sono d'accordo. Mi
legge qualcuno di quelli che c'erano alla tavola rotonda a
cui ho partecipato ieri a
Ferrara, dove
ho detto che (
come Cisco)
vorrei piú partners
nello spazio della sicurezza gestita ?
Aspetto candidature (non solo per l'invito fatto, ma anche
perche vedo sempre piu segnali che é
una buona direzione nella quale andare)...
Etichette: cisco
Rootkit su IOS ?
Mi sono arrivate un bel po di email di chiarimenti sul
RootKit su IOS di cui si é parlato a EUSecWest. Siccome sono un
po' (si vede dal blog poco aggiornato, no?) preso per ora, faccio una risposta cumulativa, anzi la lascio fare alla voce ufficiale
Cisco:
Cisco Security Response: Rootkits on Cisco IOS DevicesEtichette: cisco
Bollettini vari
Bollettino di Microsoft di Aprile, segue la puntuale
analisi di Feliciano, alla quale segue la mia segnalazione del
Cisco Applied Mitigation Bulletin di Aprile che risponde alla solita domanda: Mi serve del tempo per testare le patch, la rete può fare qualcosa per darmi tempo ? (certo)
Etichette: cisco
RSA Conference: Novitá in casa Cisco!
In questi giorni a San Francisco c'é RSA Conference. E come ogni RSA Conference che si rispetti, anche questa volta Cisco ha approfittato per annunciare qualche prodotto nuovo e aggiornamenti.
Ecco l'annuncio, che riassumo molto sinteticamente :
Intrusion Prevention Systems: Cisco IPS versione 6.1 é un grosso passo avanti nell’utilizzo degli IPS da un punto di vista di monitoring e management integrato. Il software 6.1 inoltre ha tutta una serie di nuove funzionalità che lo mettono in pole position fra le tecnologie di IPS. In più il modulo IPS dentro ASA da oggi ha la possibilità di funzionare con performance fino a 650Mbps!
Firewall Service Module 4.0 (per Catalyst): FSWM 4.0 introduce un notevolissimo guadagno in performance. Se fino ad oggi eravamo su 5.5 (rispettabilissimi) Gigabit per secondo, adesso si arriva fino a 20 ed oltre con lo stesso hardware!
GET VPN: migliorie in ambito Group Encrypted Transport (GET) Virtual Private Network con supporto su piattaforma 7200 e prestazioni di tutto rilievo.
Cisco Security Agent 6.0: un agente software installabile su server o PC che identifica e mitiga rischi conosciuti e non, previene l’accesso alle informazioni sensibili ed incorpora antivirus. Lo vedo bene in ambito Data Leakage.
Web Application Firewall: Disponibile sia stand-alone sia integrato in Cisco ACE XML Gateway, é un firewall full-proxy in grado di ispezionare il traffico web HTML e XML.
Content filtering: arriva il content filter anche sui router con collaudata tecnologia Trend Micro.
SIP Firewalling su IOS Firewall: la protezione SIP arricchisce le funzionalità dei firewall IOS Cisco, permettendo l’applicazione di firewalling applicativo sul protocollo SIP, in ambito Voce su IP (VoIP).
Cisco MARS, Monitoring Analysis Response System 6.0: con MARS 6.0 e’ molto più semplice aggiungere al monitoring dispositivi di terze parti per i quali MARS non ha supporto nativo. Inoltre supporta la collezione dati via NetFlow v9 (ad esempio da ASA5580 e ASR 1000)
Cisco Security Manager 3.2: gestione semplificata delle signature IPS. E supporto di nuove piattaforme (ad esempio l’ASA 5580) .
Direi che di novitá per adesso ce ne sono. A questo sito ci sono gia alcuni approfondimenti, mentre nel mio piccolo magari ne faró anche io qualcuno fra non molto.
Etichette: cisco
Ciscoexpo 2008: le presentazioni
Sono state pubblicate le presentazioni di CiscoExpo. Ci sono anche quelle della sessione parallela sulla Sicurezza, coordinata dal sottoscritto. A questo
link.
Etichette: cisco
I nuovi biennali Mercoledí Cisco: IOS Security Advisory
Cisco ha di recente annunciato un cambio alla frequenza delle pubblicazioni per le Security Advisory di IOS. A partire dal prossimo 26 Marzo 2008, le Security Advisory saranno rilasciate in modo aggregato il quarto Mercoledí del mese di Marzo e Settembre di ogni anno.
Questo cambio non impedirá il rilascio puntuale di Security Advisory individuali per vulnerablitá di una certa importanza e per le quali e' stata gia fatta disclosure pubblica o per le quali siamo a conoscenza di casi di exploiting.
Cisco adotta questo approccio come risposta a sollecitazione da parte degli utilizzatori, che segnalano l'esigenza per una miglore prevedibilitá per i loro piani di aggiornamento e deployment.
Il formato corrente delle Security Advisory resta lo stesso. La tabella del software nelle advisory include per ogni treno di software, una lista di release raccomandate (dove possibile) che indirizzano le vulnerabilitá incluse nell'aggregato di Advisory.
Riassumo: Da adesso, le Security Advisory (solo di IOS) usciranno ogni quarto mercoledi di Marzo e Settembre. Ovviamente su qualcuna particolarmente critica ci sará la solita advisory puntuale ed in tempo reale. Immagino che iniziero ad avere piú da fare due mercoledí all'anno.
La referenza é al sito
www.cisco.com/go/psirtEtichette: cisco
Il bollettino Microsoft di Marzo
Anche ieri
Feliciano ha avuto
il suo bel daffare a sintetizzare la situazione vulnerability bullettin. Ieri infatti Microsoft ha rilasciato il
sommario di marzo, a valle di quattro bollettini di security che individuano dodici vulnerabilitá. Resta il patching seguendo le indicazioni del vendor (e piu informalmente il sempre ottimo riassunto di Feliciano, in questo caso) l'approccio piú raccomandabile. Spesso peró patchare immediatamente é impossibile, specie su sistemi critici e che sono in produzione.
In questo caso ci viene in aiuto il
Cisco Security Center, il portale Cisco sulla security offre bollettini di contenimento applicati a queste vulnerabilitá, sottolineando come l'uso di tecnologie Cisco opportunamente configurate permettano di erogare efficaci misure di contenimento nei confronti di queste vulnerabilitá, lasciando cosí il tempo di testare le patch con la massima tranquillitá.
Ulteriori informazioni qui:
http://tools.cisco.com/security/center/viewAlert.x?alertId=15330Etichette: cisco
Siamo Pronti!
Ho appena finito le slides per domani ! Sono contento del risultato, finora. Certo che contenti dovranno essere i partecipanti alla Sessione Security di CiscoExpo a domani! Abbiamo sponsor eccellenti, ospiti illustri, un'area dimostrativa da spavento, circa quattromila iscritti (okay, non tutti alla mia sessione... :-), un pubblico interessato e che fa domande (vero?). Ah, ed abbiamo anche le slides sulle quali lavoriamo (in cinque) da settimane. What Else ? A domani. E da dopodomani si ritorna alla tranquillitá quindi anche con qualche post d'interesse generale.
Etichette: cisco
In fermento per CiscoExpo
Sono assolutamente assorbito dai preparativi per
CiscoExpo la prossima settimana. I dati promettono bene, alla mia sessione sono iscritti diverse centinaia di persone. Ho un testimonial eccellente che ci racconterá di IPS e Sicurezza della VoIP, uno altrettanto di livello che racconterá della convergenza fra sicurezza logica e fisica e diversi collaboratori che renderanno la cosa abbastanza movimentata. Ovviamente vista la situazione mi hanno "sbattuto" su youtube (
qui. non ho il coraggio di mettere il video direttamente sul blog) assieme ad altri contributi. Sono un po deluso della scarsa (beh, praticamente nulla, dai) risposta al
forum di discussione sul quale ho chiesto spunti, il primo che mi dice "eeeeh, ma potevi anche parlare di..." guai a lui !
La prossima settimana saró emerso da questo periodaccio e ritorneró a spunti e commenti con un ritmo piu regolare. Ci vediamo martedi a ciscoexpo !
Etichette: cisco
Martedi Grasso
Come ogni secondo mercoledí del mese, il mio PC ieri mi ha detto : "updates are ready for your computer : click here to download updates". E io gli sono grato di ricordarsene lui, e lo lascio fare. In realta' mi aspettavo gia, perche
avevo letto sul blog di feliciano che stavolta sarebbe arrivato un insieme significativo di fix. Esattamente in parallelo mi arriva puntuale il
Cisco Applied Mitigation Bulletin di Febbraio. Anche in questo caso funzionalitá come ACL,
uRPF,
IP Source Guard,
DHCP Snooping ed altre che si trovano in IOS, ASA, Firewall Service Module, IPS e MARS, si dimostrano efficaci nel permetterci di prendere tempo per il patching che resta la soluzione definitiva.
Etichette: cisco
Cisco Expo
Da un bel po di tempo sto lavorando a
CiscoExpo. L'anno scorso é stato un buon successo globalmente ed anche io nel mio piccolo sono stato contento del risultato ottenuto con la sessione security. Dopo la sessione ho raccolto molte considerazioni e spunti interessanti e giusti. Peccato non averli saputi prima !
Ecco, quest'anno c'e' una novitá secondo me molto interessante, e cioé
i commenti, i suggerimenti, gli spunti, datemeli prima ! E' stato infatti creato all'interno del sito della manifestazione un'area dove possiamo scambiare spunti e considerazioni. Io ho scritto cosa ho in mente, la direzione verso la quale vorrei andare e ad un livello macroscopico i punti che vorrei toccare. Invito tutti ad un commento. Si puo fare direttamente su questo sito, o se preferisci come commento a questo post. Per ora ecco cosa abbiamo:
Titolo: "Proteggere lo Human Network nell'era della collaborazione, comunicazione e mobilità globale: Cisco Self Defending Nework"
Abstract: Mai come in questa era la rete ha permesso una esperienza ben oltre la semplice connettivitá: Collaborazione, comunicazione, accesso ubiquo e mobilitá sono solo alcune delle componenti che recentemente hanno portato la rete sempre più alla portata delle persone. In questo prolificare di nuove tecnologie e modi di interazione (blogging, social networking, video, mash-ups, per dirne alcuni), privacy individuale e confidenzialitá, integritá e disponibilitá dei dati in rete, possono essere a rischio se a proteggerli ci sono tecnologie tradizionali e di vecchia generazione. Cisco Self Defending Network, grazie a tecnologie innovative e di nuova generazione, un approccio collaborativo, adattativo ed integrato, é un significativo fattore di abilitazione per un uso sicuro delle nuove tecnologie. Inoltre grazie alla estensione verso la sicurezza fisica, Cisco offre ai propri utilizzatori non solo la tranquillitá nell'utilizzo della rete, ma anche la protezione fisica a persone, cose, immobili.
Agenda (questa e' ancora molto di massima...) :
- Scenario Attuale: Dal web alla portata di tutti alla collaborazione globale
- Tecnologie in evoluzione: VoIP sicura, Compliance, Datacenter Security, Sicurezza Fisica (testimonial di utilizzatori delle diverse tecnogie porteranno la loro esperienza)
- Oltre la tecnologia: Security Intelligence, Professionisti della Tecnologia e Convergenza fra Sicurezza Fisica e Logica
- Uno sguardo al futuro: la sicurezza informatica fra cinque anni
- Dibattito finale
Puoi anche aprire un nuovo thread di discussione! E cosí non voglio sentire nessun "eh, ma avresti potuto parlare di ....." :-)
E mi raccomando, arrivederci a Cisco Expo, le registrazioni sono aperte. Ovviamente
tutti alla sessione security !!Etichette: cisco
ASA: Bloccare certi URL con Regular Expressions
Gia quando mi sono posto il
problema di bloccare skype qualache tempo fa avevo usato le regular expressions, rendendomi conto che probabilmente avevo sfruttato quella funzionalitá della versione 8.0 deo software di ASA (o PIX) per una piccolissima percentuale. A farmi tornare in mente questa considerazione sulla potenza di questa feature é la pubblicazione di questo nuovo documento sul sito cisco:
ASA/PIX 8.x: Block Certain Websites (URLs) Using Regular Expressions With MPFMPF é Modular Policy Framework, che offre una grande felessibilitá nel configurare ASA. Le Regular Expressions (RegEx) invece possono essere usate per l'individuazione di specifiche stringhe con l'utilizzo di una sintassi molto flessibile. Uno dei possibili utilizzi é quello di individuare URL all'interno di pacchetti IP.
Questo documento, ad esempio spiega come utilizzare le RegEx per impedire il collegamento verso certi URL. Esempio: Non vuoi che ci si possa collegare chessó ad ebay, youtube, gazzetta, o roba simile ? Molto meglio farlo in questo modo che cercando di bloccare tutti gli indirizzi IP (che in certi casi possono essere talmente dinamici da rendere impossibile l'impresa). Buona lettura.
Etichette: cisco
TrustSec e Nexus 7000
Ai
primi di Dicembre avevo parlato di Cisco Trusted Security (
CTS),
promettendo anche degli aggiornamenti sullo sviluppo della questione. E fresco l'
annuncio del
nuovo Cisco Nexus 7000,
che sará anche un concreto
componente di CTS,
quindi mantengo la
promessa,
ecco il primo
aggiornamento:
Credo
ce ne siano per tutti i
gusti:
TrustSec,
802.1x,
Port ACL,
VLAN ACL,
Router ACL,
Security Group ACL,
Control Plane Policing,
Admission Control, Linksec (
802.1AE),
uRPF,
Dynamic ARP Inspection,
IP Source Guard,
giusto per
dirne alcune, e parlando solo
delle funzionalitá di sicurezza...
Questo intendo quando dico che lo switch é
un punto molto molto importante dal
quale tirar fuori sicurezza.
Etichette: cisco
Cisco PIX, un pezzo di storia se ne va.
E' con una vena di tristezza che leggo l'annuncio di End of Sales per il glorioso PIX Firewall :
Cisco PIX Security Appliances End-of-Sale AnnouncementOn January 28, 2008, Cisco announced the end-of-sale and end-of life dates for Cisco PIX Security Appliances, software, accessories, and licenses. The last day for purchasing Cisco PIX Security Appliance platforms/bundles will be July 28, 2008 and the last day to purchase accessories and licenses will be January 27, 2009. It is important to note that Cisco will continue to support Cisco PIX Security Appliance customers through July 27, 2013
PIX sará supportato fino a Luglio del 2013 anche se non sará piu acquistabile/ordinabile gia da Luglio di quest'anno.
PIX é sul mercato da una dozzina d'anni e che se ne sia sostenitori o no, non si puó non dargli atto di avere tuttora un ruolo da protagonista che pochi altri firewall ricoprono. Da quando
-poco piu di sette anni- sono il Security Specialist di Cisco l'ho visto maturare ed evolversi dalla versione 5 del software alla corrente 8 e consolidare costantemente la sua posizione di assoluto protagonista del mercato. PIX se ne va dunque ma lascia una traccia significativa, infatti da qualche anno il suo discendente
ASA, lo affianca e ne espande prestazioni e funzionalitá con una concezione attualissima e di nuova generazione.
ASA spazia dal piccolo
5505 al nuovissimo
5580-40, dai 150Mbps ai 20Gbps, da utilizzo casalingo a service provider, con funzionalitá significativamente superiori al PIX (basti pensare a Full IPS, Antivirus, Anti Spam, SSL VPN per dirne alcune).
Tanto di cappello al PIX per i suoi dodici anni di onorato servizio e in bocca al lupo ad ASA per l'ereditá che raccoglie e porta avanti!
Etichette: cisco
Nuovo ASA 5580 @ 20 Gbps !
E' notizia fresca di oggi il fatto che
cisco rilascia il fratello maggiore di tutti gli
ASA !
Cisco Pushes Firewall and VPN Performance to New Heights With New ASAIl
modello 5580, appena annunciato si presente interessante particolarmente in ambito dove la performance e' il requisito numero uno, quindi
Datacenter e
Service Providers. Le prestazioni sono davvero eccezionali. Alcuni numeri:
- fino a 20 (venti) Gigabit per secondo di throughput
- 10000 (diecimila) utenti VPN (IPsec/SSL) contemporanei
- 100000 (centomila) nuove connessioni per secondo
- 750000 (settecentocinquantamila) ACL
- 2000000 (duemilioni) di connessioni concorrenti
- 24 (ventiquattro) interfacce Gigabit
- 12 (dodici) interfacce 10(dieci)Gigabit
- ...e scusate se é poco !
Disponibile in due versioni, una "più light" 5580-20 ed una "full" 5580-40, ecco un confronto fra i diversi modelli (dal 5505 al 5580-40). Visti i numeri di cui sopra, non sono per il momento previsto moduli IPS o Anti-X.
5580 potrá montare la versione 8 ed anche la 7.x per chi ha necessità di una GD general Deployment e sarà gestibile graficamente attraverso ASDM o Cisco Security Manager.
Nel mio piccolo ho avuto il piacere di annunciarlo ad un evento aziendale oggi a Roma ad una sessantina di persone, praticamente in contemporanea all'annuncio mondiale !
Etichette: cisco
Cisco Applied Mitigation Bulletin: Gennaio 2008
Anche questo mese Microsoft ha rilasciato un
security update, a valle di due bollettini di security (
MS08-001 ,
MS08-002), individuando tre vulnerabilitá di impatto significativo (e di conseguenza, Feliciano ha avuto il suo bel daffare a scrivere la sua tradizionale ed apprezzata
analisi).
Il patching (seguendo le indicazioni del vendor) resta l'approccio piú raccomanda. Mi rendo conto peró che molti di quelli che gestiscono della realtá di una certa complessitá ed produzione, vogliano prima fare i loro test, restando cosí scoperti per un periodo di tempo variabile.
In questo caso e per questo motivo
Cisco Security Center, il (relativamente) nuovo portale Cisco sulla security offre bollettini di contenimento applicati a queste vulnerabilitá, sottolineando come l'uso di tecnologie Cisco opportunamente configurate permettano di erogare misure di contenimento nei confronti di queste vulnerabilitá, lasciando ai clienti il tempo di testare le patch con la massima tranquillitá.
A
questo link e' dettagliato cosa le tecnologie Cisco possono in questo caso specifico fare per una prevenzione dell'exploiting di queste vulnerabilitá.
Etichette: cisco
IPv6 e Sicurezza
Di IPv6 si parla poco e francamente io stesso nei riguardi del nuovo protocollo non sono andato molto oltre una infarinatura in particolare per quel che riguarda le funzionalita' di sicurezza e/o le nuove considerazioni di sicurezza da farci sopra. La questione é tornata ad esesre attuale recentemente con Windows Vista ed il fatto che implementa uno stack v6 attivo di default. Al di la di ripromettermi una bella rinfrescata sull'argomento, una rapidissima (e non certo esaustiva) é offerta da questo whitepaper:
IPv6: A Primer for Physical Security Professionals che in una decina di pagine sottolinea i punti principali. Per chi vuole approfondire ancora di piu é referenziata una presentazione di
Cisco Networkers del 2006 dal titolo
IPv6 Security che spiega piu in dettaglio e graficamente alcuni concetti. Buona rinfrescata !
Etichette: cisco
Cisco Security Report 2007
Cisco (finalmente) pubblica il suo
annual report sui trend di sicurezza. Dico finalmente perche da impiegato Cisco partecipo ad una quantitá innumerevole di forum di discussione interni (non per forza sempre attivamente quanto vorrei) e vedo argutissime osservazioni, validi spunti, interessanti previsioni, segnalazioni, insomma vedo tantissime opinioni (alcune delle quali condivido, altre sulle quali dico la mia, altre che faccio mie o altre che cerco di minimizzare), e fino a questi giorni non avevo visto tutta questa conoscenza formalizzata in un report. Questo per me e' un bel regalo di natale.
Mi piace per come é organizzato, secondo sette categorie di rischio
- Vulnerability
- Physical
- Legal
- Trust
- Identity
- Human
- Geopolitical
portando per ogni categoria di rischio la opinione di cisco su cosa si osserva, raccomandazioni e (cosa che piu mi piace), una previsione su come si svilupperá l'area nel breve futuro vale a dire nel prossimo anno.
Sono assolutamente d'accordo sulla convergenza della sicurezza fisica e logica (tanto che da un po mi sto interessando agli aspetti di sicurezza fisica). Chi mi conosce sa quanto posso supportare l'ipotesi di un non adeguato livello di sicurezza dell'RFID al momento in cui ce lo ritroveremo sempre piu spesso (e non per forza sempre piu consapevolmente) addosso.
Sulla raccomandazione di "
Enforce security policies and controls uniformly" devo prendere una posizione ? E' una raccomandazione che sfonda una porta aperta, come anche con la raccomandazione di "
Educate users about social engineering risks" !
Inedita (e mi fa molto piacere) la previsione di "
Expect increased spending on green technologies.", in altre parole se le tecnologie fanno quello che devono fare e l'impatto ambientale é minore, tanto meglio per tutti.
E' conciso, é facilmente leggibile, e raccoglie molte delle considerazioni che spesso riprendo su questo sito. Lo so che sono di parte, me l'ho preferito a molti altri report (di cui sono ghiotto).
Buona lettura.
Etichette: cisco
Cisco Applied mitigation Bullettin, Dicembre
Ieri é
stato rilasciato il bollettino di sicurezza Microsoft per Dicembre, che come al
solito é
stato in maniera
estremamente esauriente commentato da
Feliciano.
A valle,
segnalo questo Applied Mitigation Bullettin di
Cisco Security Center, che delinea come
tecnologie Cisco come
IOS Routers,
Switch,
NetFlow,
Firewall come ASA,
PIX,
FWSM e
Intrusion Prevention possono aiutare a
prevenire l'
exploiting di
queste specifiche vulnerabilitá, evidentemente
nell'
attesa di un
patching risolutivo. A
questa pagina l'
archivio di
questi bollettini.
Etichette: cisco
Cisco introduce Trusted Security
Ho appena finito di vedere un
webcast durante il quale é stata presentata la nuova tecnologia
Cisco Trusted Security (
TrustSec). Credo si tratti di uno dei
più significativi passi in avanti nella protezioni delle infrastrutture informatiche. Siamo stati abituati finora ad un controllo degli accessi prima di entrare su una rete. In principio si trattava di password (chi sei?). Ultimamente si trattava di
NAC (sai a posto?). Entrambi accorgimenti efficaci, ma nei quali mancava un ambito fondamentale: la presa in considerazione della
deperimetralizzazione progressiva delle reti. Una volta autenticato ed entrato sulla rete l'utente
può (
più o meno) fare
ciò che vuole e l'accesso alle applicazioni é demandato alla componente applicativa (ulteriori password, eventualmente, bellamente mascherate da
Single Sign On), piuttosto che l'accesso a determinati segmenti del sistema informativo é protetto da
protocol filtering (che va benissimo, ma ancora una volta si basa su "chi sei" o "da dove vieni" o, nel migliore dei casi "cosa stai cercando di fare").
TrustSec rivoluziona tutto questo, dando la
possibilità di mantenere coscienza di chi e' l'utente e del suo ruolo in ogni punto della rete. In pratica:
- Io ho un ruolo e la rete me lo riconosce e mi offre servizi coerentemente con questo
- La rete diventa un punto di enforcement per policy che erano già presenti a livello applicativo (Active Directory, Novell, ecc...)
- Cifratura hop-to-hop in modo da garantire la confidenzialitá dei dati in modo trasparente all'utente.
Non vedo l'ora di saperne (ancora di più), nel frattempo in questo whitepaper é spiegato meglio ciò che nel comunicato stampa é invece meno chiaro.
Etichette: cisco
Assenza, piccole modifiche un trucco noto.
Non sto scrivendo granche per ora, ed il motivo é semplice: ho una montagna di cose da fare. Che sono vivo si vede dal boxino di
twitter, sul quale mando frammenti prevalentemente nei ritagli di tempo, peró. In realtá qualcosina sul blog l'ho fatta. Ho sistemato l'orario dei post, che adesso dicono l'ora anziche la data, ho sistemato il footer in basso che riporta correttamente
disclaimer,
feed RSS e
Copyright ed ho aggiunto qualche link sulla colonna di destra. Una missione che vorrei almeno iniziare e' quella di fare luce sulle aree piu interessanti (per chi come me si occupa di sicurezza) del sito cisco.com, che é eccessivamente ampio. I link sulla colonna di destra sono l'inizio, e colgo l'occasione per ribadire il trucco del
barra-go-barra: pensa ad un prodotto o tecnologia cisco. Poi apri il browser e come URL scrivi:
http://cisco.com/go/
quello-che-hai-pensato.Etichette: cisco
SP1 per Cisco Security Manager
E' stato rilasciato il
Service Pack 1 per
Cisco Security Manager, il framework di gestione per molteplici tecnologie di sicurezza Cisco. Le
novitá nella versione 3.1.1 sono:
- Piú estese possibilitá di accesso ai device manager dei singoli dispositivi (utile per modifiche chirurgiche sul singolo device). Questo anche in caso che il device manager sia in ascolto su una porta diversa dalla standard 443
- Supporto per il nuovo sensore IPS 4270
- Supporto per CSM su Windows2003 SP2
- Un nuovo tool per l'esportazione di informazioni su un device in formato CSV
- .. e svariate piccole altre cose.
Anche Auto Update Server (AUS) che e' in bundle con CSM, viene aggiornato alle versione 3.1.1
Etichette: cisco
Tutti a Pisa Martedí
Martedì sarò a Pisa al convegno
Net&Systems Security 2007. Ho la
responsabilità dello
speech di apertura, dove
parlerò dello scenario attuale della sicurezza. ho letto alcuni
report e mi sono fatto alcune opinioni. Subito dopo
azzarderò anche qualche previsione sul futuro, come conseguenza di roba che succede
già oggi. Non
parlerò di tecnologia e nemmeno di
Cisco. Ho preparato buona parte della presentazione la scorsa settimana nei ritagli di tempo in viaggio (Matteo abbi ancora un po di pazienza..) e non credo di aver mai fatto una presentazione di questo tipo. Mi farete sapere
martedì se era interessante. Alle 14.10 ci
sarà una tavola rotonda sul
sempre dibattuto argomento delle figure professionali in sicurezza informatica:
Formazione Universitaria e Certificazioni Professionali a confronto. Il moderatore
sarà Claudio Telmon di
CLUSIT, i
panelist saremo io (a nome
Cisco ed
AIPSI), Massimo
Agrelli di Microsoft (a nome
AIPSI oltre che Microsoft), il Prof. Fabrizio
Baiardi ed il Prof. Giuseppe Cinque, dell'
Università di Pisa. Abbiamo
già un'idea degli spunti da proporre, ma gli organizzatori hanno avuto un'idea geniale: dato che le tavole rotonde sono belle se sono interattive,
fateci le domande in anticipo! Concludo poi alle 15.40 con
Tecnologie avanzate per la Sicurezza di rete, dove vorrei fare un po di luce su alcune
funzionalità poco conosciute delle tecnologie
Cisco. Se mi va via la voce sono rovinato, sono tre interventi in un giorno (ho fatto di meglio: 4 in un giorno l'
8 aprile 2003) .
Sono curioso di sentire anche altri interventi come quello di
Stefano Suin e di
Matteo Falsetti al mattino e molti di quelli pomeridiani (se riesco).
L'agenda é
qui, ci si registra (
gratis)
da qui. Se qualcuno vuole fare il VIP ed avere un posto riservato nelle prime file,
può chiedermi un codice da utilizzare per registrarsi.
Io e Massimo
Agrelli saremo in zona
già la sera prima. Entrambi abbiamo l'abitudine di cenare, se qualcuno si vuole unire, faccia un fischio, specie se é un locale e
può darci delle dritte.
Etichette: aipsi, cisco, speech
Configurare AnyConnect VPN Client
In casa cisco, c'é (da un pezzo) un nuovo client VPN che affianca
quello IPsec tradizionale. E'
AnyConnect SSL VPN Client (appena uscita la release 2.1) , che per l'appunto e' un client che usa
SSL anziche
IPsec. Fra l'altro é l'unico che per il momento funziona su
Vista 64bit. Siccome é nuovo, spero di fare cosa gradita segnalando questo nuovo documento su cisco.com documento:
ASA 8.x VPN Access with the AnyConnect SSL VPN Client, Configuration Example. Per il momento io continuo imperterrito ad usare il client IPsec, ma mi rendo con to che i client SSL stanno guadagnando molto di popolaritá, immagino perche sono piu
firewall friendly fra le altre cose.
Etichette: cisco
La bibbia del Telependolare
Per quasi cinque anni ho fatto parte degli
alpha (non era nemmeno una beta) tester di una soluzione per il Telelavoro. Non che sia rimasta in
alpha-stage per tutto quel tempo, anzi si e' evoluta a beta e poi e' stata mandata in produzione. Un ristretto numero di utenti del quale ho avuto la fortuna di far parte, ha continuato a far parte dello stadio
alpha a cui venivano aggiunte nuove funzionalità basate anche su immagini beta (o peggio) del software dei dispositivi usati. In pratica "prova le cose più belle e più nuove, ma sappi che probabilmente non funzionerà e devi darci una mano a capire perché e cosa non funziona". Questa soluzione per il telelavoro era basata su un router (prima un 806, poi un 831, poi un 1751) che stabiliva una
VPN IPsec permanente con un
concentratore (un 7200, mi sembra) dall'altra parte del mondo (a San
José, California). Dentro il tunnel
VPN passavano i miei dati ed anche la voce, visto che avevo potuto mettere un telefono IP a casa. La cosa bella era quindi che il mio interno dell'ufficio suonava (volendo) anche a casa, e la connessione permanente mi garantiva il collegamento come fossi in ufficio. All'inizio avevo una
DSL a 640k. Le telefonate non andavano benissimo, ma dopo aver messo una funzionalità di
QoS per il traffico voce all'interno del tunnel
IPsec le cose sono andate meglio. Poi ho messo un 831, che aveva l'accelerazione hardware ed e' andata ancora meglio. Nel frattempo avevamo implementato anche una funzionalità di
Dynamic Multipoint VPN (
DMVPN), in modo che se avessi dovuto telefonare ad un collega nella stessa situazione si stabilisse automaticamente un tunnel
IPsec fra casa mia e casa sua, e dentro ci andasse il traffico voce (e anche i dati, perché no). Poi ho cambiato casa e mi sono ritrovato una bella connessione in fibra (
che ride) fino su in casa. Due problemi: il
NAT dietro il quale ero (
fastweb NATta) e la velocità della fibra (10mega, anche se non li ho mai misurati), l'831 non poteva farcela più. Con due bottiglie di vino (
Amarone Masi) sono andato a San
José a convincere i colleghi che gestivano il tutto a farmi provare un router più potente e rifare tutto il
setup incapsulando opportunamente (e qualche altro accorgimento) l'
IPsec per passare attraverso il
NAT. L'approccio
amarone -
it litterally means big bitter, spiegavo ai colleghi
cingalesi (ed eccellenti ingegneri) ad un ristorante
indiano in
California (
how cosmopolitan) - ha funzionato ed abbiamo deciso di far le prove con un 1751 con acceleratore hardware e provare alcune modifiche sulla configurazione. In capo a qualche settimana il tutto funzionava. Poi é nata mia figlia ed il mio studio é diventato la sua cameretta ed io ho smantellato tutto. Ecco perché il post e' scritto al passato.
Mi é tornata in mente questa storia perché
NIST ha pubblicato
SP 800-114, User's Guide to Securing External Devices for Telework and Remote Access che (non ho ancora letto) come tutte le pubblicazioni del
NIST dovrebbe diventare se non la bibbia, comunque un riferimento significativo a chi vuole implementare una soluzione di telelavoro. La mia esperienza di telelavoro e' molto positiva, sia per la flessibilità' che da a me sia per l'aumento di produttività che da all'azienda per cui lavoro. Molto diversa, anche se certamente meno divertente di
quella di dilbert.
Referenze:
Enteprise Teleworker (su
cisco.com)
Business Ready Teleworker, Technical Overview (
PDF, 10mega)
Business Ready Teleworker, Design Guide (
PDF, 3.4mega)
Etichette: cisco
Bloccare Skype con ASA
Un collega mi ha chiesto un favore di configurare un firewall per lasciar passare tutto tranne skype, msn, yahoo, icq e quant'altro. Doppio panico, anzi triplo.
1. Ne ho sempre parlato e sono certo che "in linea di principio" si puo fare, ma mi capita sempre piu raramente di applicarmi e configurare, provare, fare troubleshooting. Mi capita raramente di "fare", insomma. La prendo come un'opportunitá per mettermi alla prova con me stesso.
2. Non ho "un firewall". Ebbene si, non e' che dato che lavoro in cisco ho l'ufficio pieno di router, switch, firewall, IPS, e quant'altro ed appoggio la tazza di caffe' su un Catalyst 6500 che mi fa anche da stufa. No. Ho solo un
PIX501, ma non fa quelle cose con le quali penso di approcciare il problema. Per fortuna un collega mi ha prestato un
ASA5505 (ah, grazie, eh!)
3. Ho poco tempo per farlo, diciamo un paio d'orette, perche ho una montagna di cose da fare e so gia che Skype non e' un'applicazione preconfigurata in ASA. La prendo con filosofia ed aggiungo all'opportunitá precedente.
Bene, a parte un momento di tribolazione sull'aggiornamento dell'immagine del software (mi serve la
versione 8.0) perche sul modello che ho usato, in rom monitor occorre specificare anche la porta ethernet, oltre a server, address e filename, non me la sono sbrigata proprio in cinque minuti, ad ogni modo ho scoperto:
- AOL e ICQ appena homesso l'inspection sull'http hanno smesso di andare, bene.
- MSN, Yahoo sono facili da bloccare, basta 'dire' al firewall di non lasciarli passare ed e' fatta.
- Skype e' proprio bastardo ! :-)
Per skype bisogna fare una configurazione abbastanza restrittiva. Ovviamente niente https, perche skype ci si infila dentro ed il firewall non riesce ad ispezionare con l'approfondimento che mi serve. Quindi ho lasciato passare solo DNS, http, pop3, smtp, imap4, ma malgrado la protocol compliance inspection skype si collega ugualmente. E scopro presto perche, leggendo questo documento. Perche l'handshaking di login e' fatto in http regolare, cito:
The Appendix shows the message dump of HTTP 1.1 GET
requests that a SC sent to skype.com and the responses it received,
when it was started by the user.
When SC was started for the first time after installation, it sent a
HTTP 1.1 GET request containing the keyword installed to
skype.com. This request was not sent in subsequent Skype runs.
The request is shown below:
GET /ui/0/97/en/installed HTTP/1.1
User-Agent: Skype™ Beta 0.97
Host: ui.skype.com
Cache-Control: no-cache
The 200 OK response SC received for this GET request:
HTTP/1.1 200 OK
Date: Tue, 20 Apr 2004 04:51:39 GMT
Server: Apache/2.0.47 (Debian GNU/Linux) PHP/4.3.5 mod_ssl/2.0.47 OpenSSL/0.9.7b
X-Powered-By: PHP/4.3.5
Cache-control: no-cache, must revalidate
Pragma: no-cache
Expires: 0
Content-Length: 0
Content-Type: text/html; charset=utf-8
Content-Language: en
Allora, se nella richiesta c'e' scritto User-Agent: Skype™ Beta 0.97, Host: ui.skype.com, io ci provo. metto sull'http una regular expression per la parola 'skype' case insensitive, quindi regex skype "[Ss][Kk][Yy][Pp][Ee]"
Bingo, skype *non* fa piú login.
Etichette: cisco
Cisco Security Blog!
Non posso non segnalare il nuovissimo
Cisco Security Blog. In questo momento c'e' su il primo post e la frequenza prevista e' di diveersi post al mese. io ho aggiunto il feed e prometto di riprendere e tradurre quanto di rilevante ci dovesse passare.
Etichette: cisco
Come si configura un ASA con CSC per trattare il traffico
Mi segnalano la pubblicazione di questo nuovo documento:
ASA: Send Network Traffic from the ASA to the CSC-SSM Configuration Example.
Parla di come configurare
ASA e
CSC in modo tale che il traffico sia processato da CSC. In buona sostanza si ridirige il traffico verso il CSC con l'uso di Modular Policy Framework (MPF).
Il CSC é quel modulo che, integrabile in ASA, offre protezione contro virus, spyware, spam, e svariate altre cose. Fa anche URL Filtering. Personalmente se prendessi un ASA, lo vorrei.
Etichette: cisco
Si puó bloccare traffico IM con ASA o PIX ?
Domanda gettonatissima. La risposta é ovviamente SI! Anche se in base alla situazione il firewall potrebbe o potrebbe non essere il punto piú efficace dove bloccare questo tipo di traffico.
Questo documento spiega come farlo su
PIX/
ASA usando
Modular Policy Framework (MPF).
Ci sono altre tecniche, piu, meno o diversamente efficaci, ampiamente discusse negli
archivi di sikurezza.org (keyword: instant, messaging, bloccare).
Etichette: cisco
Configurare ASA per usare RADIUS per l'autenticazione in WebVPN
Segnalo
questo documento che dimostra come configurare
ASA per utilizzare un server RADIUS (nell'esempio viene usato
ACS, nella versione 4.1) per l'autenticazione di utenti WebVPN. L'esempio prevede
ASDM 6.0(2) e ASA
8.0(2).
Etichette: cisco