Pensate davvero che il vostro firewall blocchi tutto il traffico non legittimato ad uscire dalla vostra rete?

Data la diffusione di software che incapsulano i loro pacchetti su http o altre porte TCP considerate tradizionalmente sicure, la risposta è molto probabilmente no.

I firewall di Palo Alto Networks, facendo uso della tecnologia proprietaria App-ID,  riescono comunque ad identificare le applicazioni in entrata e uscita dalla vostra rete, anche se criptate in SSL: in questo modo le politiche di sicurezza della vostra azienda non potranno più venire aggirate da applicazioni non immediatamente identificabili, e oltre a questo, data l’integrazione con Active Directory, le regole di firewalling potranno essere applicate al singolo utente anche se provvisto di IP dinamico.

Alla possibilità di identificare e bloccare selettivamente le applicazioni  si aggiunge l’identificazione e il blocco di virus, malware e attacchi di rete verso i vostri apparati (agisce cioè da IPS).

Generalmente, i firewall si supponga agiscano come gatepeeker, negando o permettendo il traffico in base alle policy amministrative, non è tuttavia un segreto per nessuno che quasi tutte le regole di firewalling permettano il traffico web, permettendo così agli  sviluppatori di prendersi per così dire gioco del sistema e far uscire i loro applicativi incapsulandoli in protocolli standard . Ad esempio, l’RPC over http di Microsoft viene usato frequentemente per mascherare connessioni da Outlook verso server Exchange al di fuori della rete interna. In pratica ciò equivale a chiudere la porta ma lasciare la finestra aperta.

L’unica eccezione sono i proxy applicativi, i quali mi “rigenerano” le applicazioni che passano attraverso il firewall garantendo così che solamente le applicazioni realmente approvate possano bypassare la rete interna.

Anche i proxy hanno tuttavia i loro problemi, non ultimo il dover tenere continuamente il passo con le nuove applicazioni, ed anche minimi cambiamenti nel protocollo usato da un’applicativo possono causare problemi di compatibilità impedendone l’uso all’utente finale.

Palo Alto risolve il dilemma implementando un sistema basato su signature che identifica oltre mille applicazioni differenti. Oltre a questo, vi sono altre signature per identificare i virus nel traffico di rete, malware o altri tentativi di exploit. Naturalmente, è lasciata all’amministratore di sistema la possibilità ultima di bloccare o permettere la singola applicazione o threat.

In aggiunta a quanto detto, integrato nel firewall è presente pure il database di classificazione URL di SurfControl, configurabile per gruppi o singolo utente piuttosto che per IP. E’ possibile avere quindi anche le funzionalità di URL filtering in un singolo box.

La possibilità di implementare l’apparato in modalità tap mode rende possibile analizzare il traffico in una rete senza causare alcun disservizio, la modalità virtual wire prevede invece l’utilizzo in linea del firewall in maniera del tutto trasparente ma con la possibilità aggiuntiva di bloccare il traffico indesiderato. Infine, la modalità L3 prevede di usarlo come vero e proprio firewall in sostituzione del precedente. Ovviamente, è possibile un mix delle tre situazioni sul medesimo appliance.

Per quanto riguarda la reportistica, ci si può soltanto sbizzarrire: oltre alla possibilità di cliccare sui vari grafici ed essere rimandati all’evento contestuale (protocollo, ip sorgente, ecc), è possibile costruire filtri con il solo uso del mouse,  con la possibilità di venir salvati per una successiva rapida riutilizzazione.

Maggiori dettagli su http://www.paloaltonetworks.com

Facciamo chiarezza sulle tipologie di indirizzi del nuovo protocollo Internet.
Gli indirizzi possono essere:

• -unicast, individuano una ed una sola interfaccia di rete
• -multicast, sono quelli che identificano un gruppo di nodi
• -anycast (novità!) sono dei particolari indirizzi multicast in cui il mittente comunica con il nodo più vicino di un gruppo

In questa pillola di saggezza informatica analizzeremo gli indirizzi unicast, che come potrete spesso vedere digitando “ifconfig” oppure “ipconfig” possono essere:

-link-local: per ogni interfaccia di un nodo viene generato automaticamente un indirizzo di tipo link-local utilizzabile solo a livello locale. Non bastano quindi per essere visibili sulla rete Internet. Il prefisso per i link-local unicast è fe80, mentre l’interface id (64 bit) è ricavato dall’indirizzo fisico (MAC address) dell’interfaccia. Poichè il MAC ha 48 bit viene aggiunto a metà  ff:fe (16 bit). Per esempio, se un’interfaccia di rete ha il MAC aa:bb:cc:dd:ee:ff il suo indirizzo locale sarà  fe80::aabb:ccff:fedd:eeff.
Cosa accade con IPv4 quando un nodo si connette ad una rete? Se non si configura manualmente un indirizzo statico, l’interfaccia aspetta desiderosa che un server DHCP le assegni un indirizzo. Se, sfortunatamente, non è presente alcun server o relay agent entra in gioco il protocollo APIPA (Automatic Private IP Address) che però non fa parte delle specifiche IPv4 ma fu introdotto da Microsoft ed è diventato, de facto, uno standard.
Con IPv6, grazie al fatto che l’indirizzo link local si basa sul MAC address, si ha una certezza del 100% che esso sia univoco, certezza non garantita da APIPA.
Inoltre la generazione del link local avviene non appena l’interfaccia viene accesa, e si ha quindi immediatamente un indirizzo con cui poter parlare nella propria rete privata.

-Global: sono indirizzi a visibilità  pubblica. Le prossime righe potranno assopirvi, quindi fate una pausa caffè, non vorrei mai che possiate perdervi un argomento così importante.

L’indirizzo è composto dai seguenti campi:

TLA ID (13bit): Top Level Aggregation identifier. Il TLA identifica il livello più alto della gerarchia di routing.
I TLA sono amministrati dalla IANA e allocati in registri Internet locali che a loro volta allocano i singoli ID TLA a provider di servizi Internet (ISP, Internet Service Provider) globali. Un campo di 13 bit può contenere fino a 8.192 ID TLA diversi. Per i router del livello più alto della gerarchia di routing di Internet IPv6 non è disponibile una route predefinita ma solo route con prefissi di 16 bit che corrispondono ai TLA allocati.

RISERVATO (8bit): il campo Riservato è riservato per un utilizzo futuro per l’espansione della dimensione dell’ID TLA o dell’ID NLA.

NLA ID (24 bit): il campo ID NLA indica il Next Level Aggregation Identifier. L’ID NLA identifica il sito di un cliente specifico. Esso consente all’ISP di creare più livelli di gerarchia di indirizzamento per organizzare l’indirizzamento e il routing e per identificare i siti. La struttura della rete dell’ISP non è visibile ai router senza route predefinita.

SLA ID (16bit): Site Level Aggregation Identifier. L’ID SLA viene utilizzato dalle singole organizzazioni per identificare le subnet all’interno del proprio sito. I 16 bit possono essere utilizzati dall’organizzazione per creare 65.536 subnet o più livelli di gerarchia di indirizzamento e un’infrastruttura di routing efficiente. Con 16 bit di flessibilità  di subnet, un prefisso unicast globale aggregabile assegnato a un’organizzazione equivale ad allocare all’organizzazione un ID di rete IPv4 di classe A (presupponendo che l’ultimo ottetto venga utilizzato per identificare i nodi nelle subnet). La struttura della rete del cliente non è visibile all’ISP.

L’indirizzo globale può essere formato dall’interface-ID, che come abbiamo già  visto è basato sul MAC address. Quindi un computer che si trova in Olanda o in Australia cambierà  il prefisso di rete ma non l’interface ID. E’ evidente che questo fatto comporta problemi di privacy, ma niente paura: esiste la possibilità  di generare la parte host dell’indirizzo randomicamente (oppure assegnarcene uno inventato di nostro pugno, in modo statico, proprio come si faceva con IPv4).

Aprile 2012, data stimata per l’esaurimento definitivo degli indirizzi IPv4 disponibili. La soluzione è una tecnologia innovativa già presente, i cui studi sono iniziati nel lontano 1994 da parte dell’IETF e che hanno portato alla prima pubblicazione del protocollo già nel 1998. Tale innovazione prende il nome di IPv6.

La caratteristica principale di questo nuovo protocollo è il numero di bit riservati agli indirizzi, ben 128 bit contro i 32 del vecchio protocollo IPv4. Tale cambiamento porta con sé la capacità di gestire 2¹²⁸ indirizzi (circa 3,4 × 10³⁸, cioè 666 mila miliardi di miliardi per metro quadro di superficie terreste), mentre IPv4 permette di indirizzarne solo 4 x 10⁹.

Entriamo un po’ più nello specifico. L’header IPv6 presenta parecchie modifiche rispetto a quello precedente, basti guardare il peso, 40byte contro i 20byte di quello IPv4. Nella seguente immagine si possono notare i campi mantenuti, i campi tolti, i campi rinominati e cambiati di posizione ed infine i campi nuovi.

IPv6 renderà obsoleti ARP e NAT, essenziali in questo momento, grazie a protocolli già inclusi in esso, tra cui per esempio NDP (Neighbor Discovery Protocol) che si occupa della scoperta degli altri nodi nella rete determinando il link layer address di quest’ultimi, di trovare i router disponibili e di mantenere informazioni riguardanti i percorsi per gli altri nodi attivi limitrofi; l’utilizzo del NAT non sarà più necessario in quanto lo smodato spazio di indirizzamento permetterà ad ogni dispositivo di rete di comunicare con il mondo con il proprio indirizzo.

Qui sopra abbiamo parlato di link layer address: ogni dispositivo di rete avrà a disposizione questo indirizzo auto-generato che gli permetterà di comunicare all’interno della propria rete con il protocollo NDP per poter ottenere la configurazione dell’indirizzo Ipv6 globale; quest’ultimo gli permetterà di comunicare con il resto della rete Internet.

I’m very exited to annuced that I have tested Mysql 5.1.47 clustered as a service/application on Oracle clusterware 11.2.0.1 using the new ACFS filesystem as a shared filesystem between 2 nodes. The trick is to create two virtual resources mysql.rg / mysql.res   to enclose the dependencies on all resource like this  ( → means depend on ) :

mysql.rg  → mysql.db → acfs → vip → mysql.res

It works very well, and the performance are good on a SAN, and the switchig is very fast!

Raccomended

Dopo tante orassion e aspetarea Cerealto el rosto semo andà a magnare
Ma magnare xe dire gnente: semo sta ospità da brava xente.
Che tuto ga fato parché se trovemo ben:note stellada, silensio, fogolar che sfrigola,  bianco par terana maravegia par i oci e  cor,  tuta la sera.E tuto,  xe sta pi che bon,  secondo che convien
Lucia e Silvano coa loro arte e passion ga fato centro su sto grupo de mati I ne ga delissia con un saco de piati; a tal punto che su so fiola go fato un sbregon
A ela, tuto vien perdonà:dal passà, al presente;  fino ala tersa generassion,la pol fare spigassi a perdifià!Cossì ga decretà la pansa, e el cor, de Gian con la so benedission
Tajadele come cavej d’angelo, rosto perfeto, formaj, fini liquori semo sta trattà in amicisia e da gran signori. Ah gl’i infusi, nettari celesti, dolxe rovina… saja questo: de aloro xe fato.  Graspa sassina!
Ocio Silvano, la strada ghemo imparà!Cerca de insegnarghe ben al canchel tegna lontan la xente a sdentegàma anca che l’ impara a conosserme, mi, da lontan.
Chel sbaja de festa se el me vede rivare co na sopressa in man e  bosse da svodare. All’ombria del coerto, fora in giardin se contaremo le storie; sempre pi bele man man che va xo el vin. A nome dei mati tuti e del capo altove femo gli auguri par tanti bei giorni ancora, in quel de Cerealto.

A Lucia e Silvano

da Gianmaria con stima e un grazie per la bella serata.