Il blog di DiRete

Nuovo logo per SonicWALL

Da così

a così

Dietro un logo la storia di una marca che nel nostro caso è legata al Puoi contarci.

E visto che dietro alla marca c’è un’azienda fatta di persone… in bocca al lupo a Claudia, Cristiano & co

(trattando io SonicWALL meno di altri verrò perdonato per chi ho dimenticato…)

DiRete è ancora caso Dell SonicWALL

Sono davvero orgoglioso: nel nuovo numero di ICT Security Dell SonicWALL ha deciso di raccontare un nostro caso aziendale.

Un caloroso applauso all’ing. Paolo Risolver Melchiori sia per l’attività svolta che per essere l’unico che il giorno della foto è venuto con la camicia bianca “d’ordinanza”. Non siamo tutti ma trovarci insieme in ufficio è un’impresa. 🙂

Trovate il dettaglio di quello che ha combinato (soprattutto) il buon Paolo nell’articolo. E’ un caso davvero interessante tecnicamente perché il sistema SonicWALL di analisi e controllo è stato inserito senza che il resto della rete del cliente se ne accorgesse.

Anche i meno tecnici poi apprezzeranno che mettere la mano alla security di un cliente con 6.000 utenti e sedi in 50 nazioni non è banale.

Puoi contarci.

EOLO 1 XDSL 0

Giovedì mattina, è quasi primavera, la vita all’istituto scolastico X di una nota località dell’hinterland milanese è frenetica. I quasi mille studenti si danno da fare, le centinaia di dispositivi mobile fanno fumare gli access point Ruckus e il bravo firewall Sonicwall gestisce permessi, servizi e 5 connessioni internet tra ADSL, HDSL ed EOLO.
Ad un tratto una serie di allarmi giungono dal sistema di monitoraggio automatico. Tutte le linee xdsl sono saltate all’improvviso, contemporaneamente. Più tardi si scoprirà che durante uno scavo sono stati tranciati numerosi cavi telefonici.

Eppure … niente panico, nessuna interruzione delle attività, nessun disagio particolare, se non il tempo impiegato per l’analisi e l’individuazione del problema.

L’application firewall di Sonicwall sapendo dell’assenza di 4 linee su 5 interviene con maggior rigore e lo shaping si fa carico di un bel lavoro, ma i 12 Megabit di EOLO Business bastano al punto che dalla scuola ci scrivono:

ciao Ragazzi,
non vi preoccupate, ci hanno comunicato che sono stati tranciati dei cavi perché in zona stanno facendo dei lavori, dovrebbero quanto prima ripristinare il tutto.
Stiamo notando che solo con EOLO stiamo viaggiando benissimo 🙂

Ancora una volta EOLO dimostra che non basta portare la banda larga, ma che diversificare i media trasmissivi (cavo/radio) è fondamentale!

Alla faccia di chi dice che il rame è più affidabile 🙂 EOLO 1, XDSL 0.

Come “funzionano” i virus?

Molto spesso i nostri clienti non si rendono realmente conto di cosa voglia dire la parola “sicurezza” associata ad un concetto generico e distante come l’informatica. Ancor più spesso gli antivirus vengono installati solo perché “bisogna farlo” senza capire fino in fondo quali rischi corrano PC, server, router e NAS se vengono lasciati liberi sulla rete.

Riporto qui  un articolo (in inglese) rilasciato da DELL SonicWALL, di cui DiRete è Partner da anni, una delle aziende leader nel settore della network security. Il testo è molto tecnico ma si riesce bene a capire come:

1) si installi il Trojan in questione;

2) vada a criptare i dati presenti sul disco del PC infettato;

3) come cerchi di aggiornarsi secondo un ben preciso schema prestabiliti di domini internet fasulli;

4) comunichi con le altre piattaforme passando le credenziali;

5) chieda 300€/$ per la restituzione del file originali entro 72 ore!

Soluzioni? varie:

• Fare backup (e controllarli!!!);
• Installare Antivirus (DiRete consiglia PANDA) , antispyware e altri sistemi di protezione lato PC;
• Tenere sempre aggiornati Sistema Operativo (Windows, OSX o distribuzione Linux che sia) e programmi aggiuntivi;
• Se inoltre siete un’azienda è fortemente consigliato l’utilizzo di un firewall capace di riconoscere ed annientare tali minacce grazie ai sistemi di Deep Packet Inspection

L’importanza dell’IPS (Intrusion Prevention System) Sonicwall

(questo post è rimasto sull’iphone per un bel pezzo … e solo oggi ho avuto il tempo di analizzare i log e … non funzionava … per via dell’IPS sonicwall! Fantastico!)

L’IPS (Intrusion Prevention System) è quel motore presente nei dispositivi di sicurezza più recenti, che intercetta le chiamate internet che sfruttano le vulnerabilità dei software presenti in azienda.
Il caso che raccontiamo oggi è un esempio: un noto software di controllo remoto (PcAnywhere di Symantec) ha un baco ed espone ad un rischio enorme chi l’ha installato.
La soluzione? Appena scoperto il bug, spegnere il software (ma con relativa interruzione del servizio).
Quando verrà rilasciata la patch correttiva correre ad installarla (magari su 50 pc …)

Oppure, se avete l’IPS Sonicwall … semplicemente non far nulla! I tecnici di Sonicwall hanno già identificato le chiamate anomale e il firewall le stoppa ancor prima che arrivino al pc col bug 😉

Easy, no? 😉

Ecco il link alla notizia:
http://www.crn.com/news/security/232601301/symantec-pcanywhere-exposes-200-000-systems-to-attack.htm

A cosa serve un firewall che blocca il traffico in uscita?

Spesso i clienti ci chiedono di lasciare il traffico da LAN a WAN tutto aperto, cioè di non imporre filtri sulle connessioni in uscita dalla rete aziendale. È molto più comodo, forse, ma espone al rete a tanti problemi che si potrebbero evitare come i virus che cambiano i DNS detti DNS Changer Malware (più informazioni le potete trovare qui http://www.dcwg.org/).

Se si impostano correttamente le regole sui firewall (noi consigliamo SonicWALL) anche in caso di infezione non si possono contattare i server fasulli/ostili!

L’importanza dell’IPS Sonicwall

L’IPS (Intrusion Prevention System) è quel motore presente nei dispositivi di sicurezza più recenti, che intercetta le chiamate internet che sfruttano le vulnerabilità dei software presenti in azienda.
Il caso di oggi è un esempio: un noto software di controllo remoto (PcAnywhere di Symantec) ha un baco ed espone ad un rischio enorme chi l’ha installato.
La soluzione? Appena scoperto il bug, spegnere il software (ma con relativa interruzione del servizio).
Quando verrà rilasciata la patch correttiva correre ad installarla (magari su 50 pc …)

Oppure, se avete l’IPS Sonicwall … semplicemente non far nulla! I tecnici di Sonicwall hanno già identificato le chiamateA anomale e il firewall le stoppa ancor prima che arrivino al pc col bug 😉

Easy, no? 😉

Ecco il link alla notizia:
http://www.crn.com/news/security/232601301/symantec-pcanywhere-exposes-200-000-systems-to-attack.htm

DiRete in California con SonicWALL

Come tanti di voi sanno, DiRete non tratta solamente connessioni ad internet marchiate NGI, in particolare per quanto concerne il networking siamo Silver Partner certificati SonicWALL.

Quest’anno siamo stati invitati al SonicWALL Peak Performance 2011, di fatto l’evento che raccoglie tutti i maggiori partner mondiali, che si è tenuto a Palm Spring (California). DiRete ha scelto di mandare il sottoscritto come rappresentante di una delle 4 aziende italiane presenti.

L’evento è stato un modo per conoscere numerose realtà che riescono a dare servizi sia di sicurezza che gestione rete nelle situazioni più diverse. Sono stati presentati alcuni nuovi modelli di firewall e alcune nuove funzionalità che mirano a rendere le nostre soluzioni sempre più complete, versatili e gestibili. Oltre ad innumerevoli particolari tecnico/commerciali di scarso interesse per questo blog, possiamo evidenziare anche la presenza di molti sponsor che presentavano i propri prodotti in abbinamento con le soluzioni di SonicWALL. La somma di tutti questi fattori ha definito meglio l’ambito di interesse dell’intera manifestazione che voleva essere un volano per l’intero sistema di sicurezza alla cui base rimangono soluzioni di altissima qualità prodotte dall’azienda Californiana.

Tra le nuove feature mostrate abbiamo il sistema, totalmente rivoluzionato, della protezione dati CDP (Continuos Data Protection), piuttosto che la nuova release del sistema di monitoraggio e gestione remota GMS 7.0 (Global Management System). Le novità non si fermano qua con l’aggiornamento continuo dei firmware ormai arrivato alla versione 5.8.1 e relativa roadmap per il futuro. Tralasciando aspetti troppo tecnici o commerciali, vi segnalo anche la presentazione della serie NSA 250M che può essere integrata con moduli esterni per aumentare il numero e la tipologia di interfacce (T1/E1, ADSL Annex A & B, 2GbE SFP ).

Chiaramente il convegno è stato un momento anche per condividere la Vision aziendale e capire quale strada il colosso della sicurezza informatica sta seguendo per dare servizi migliori ad ogni livello, dai semplici TZ100 veri e propri firewall con capacità computazionali da piccolo ufficio all’enorme SuperMassive E10000 che ormai è stato già configurato e installato in alcune parti del globo con le sue caratteristiche da centro stella per realtà decisamente più complicate.

Seguiranno articoli più precisi per andare a scoprire alcune delle caratteristiche dei nuovi sistemi SonicWALL, per ora aggiungo solo un saluto da parte di DiRete direttamente da uno dei posti più spettacolari del pianeta (già ho colto l’occasione per fare un “giretto in zona“)

Asterisk: niente audio sui client sip remoti e firewall Sonicwall.

Il nostro centralino Asterisk è ormai ad un eccellente livello di funzionalità. Ogni giorno impariamo cose nuove e siamo ormai praticamente pronti al test da qualche cliente ed alla commercializzazione del pacchetto (vedremo, a breve, di costruire un’offerta commerciale).

Oggi, però, abbiamo riscontrato (nuovamente) un problema già visto in passato: i softphone (usiamo eyebeam) connessi da reti remote si autenticano correttamente sul centralino, ma l’audio non passa.
“Sniffando” il traffico (sul ns. server linux il comando è: tcpdump -i eth0 -n -v not port 22 (not port 22 serve per evitare che ci si autosniffi essendo collegati in ssh)) si scopre che i pacchetti RPT (Real Time Transport Protocol) vengono mandati da asterisk all’ip privato del softphone.

Si apre quindi il tema, annoso, del VOIP su reti nattate. Premesso che il centralino non è nattato ma ha un ip pubblico sulla scheda di rete, il client non è nella stessa situazione e viene nattato dal router della connessione dietro cui si trova.

La soluzione standard, “banalmente” è quella di aggiungere una riga al file sip.conf:

nat = yes

o, se come noi usate l’ottimo voiceone (ne parleremo a breve), potete anche impostare il nat direttamente sulle singole estensioni che userete fuori dalla rete dell’ufficio (non che non lo si possa fare senza voiceone, ma con quest’ultimo è, evidentemente, tutto più semplice)

Questo, di per sè, sistema le cose … a patto … di non avere un firewall Sonicwall con attivo il flag su ” Enable SIP Transformations”, perché in quel caso, il sonic ci metterà uno zampino malefico e non funzionerà nulla!!!

In effetti, dal manuale, è chiaro che il firewall con quell’opzione attiva si occupa di cambiare l’ip scritto dentro i pacchetti ma, secondo logica, dovrebbe farlo correttamente, non al contrario (l’esempio, a onor del vero, è per il caso opposto: sip client in lan nattato e proxy asterisk remoto non nattato):

Selecting Enable SIP Transformations transforms SIP messages between LAN (trusted) and WAN/DMZ (untrusted). You need to check this setting when you want the SonicWALL security appliance to do the SIP transformation. If your SIP proxy is located on the public (WAN) side of the SonicWALL and SIP clients are on the LAN side, the SIP clients by default embed/use their private IP address in the SIP/Session Definition Protocol (SDP) messages that are sent to the SIP proxy, hence these messages are not changed and the SIP proxy does not know how to get back to the client behind the SonicWALL. Selecting Enable SIP Transformations enables the SonicWALL to go through each SIP message and change the private IP address and assigned port. Enable SIP Transformation also controls and opens up the RTP/RTCP ports that need to be opened for the SIP session calls to happen. NAT translates Layer 3 addresses but not the Layer 7 SIP/SDP addresses, which is why you need to select Enable SIP Transformations to transform the SIP messages.
Tip: In general, you should check the Enable SIP Transformations box unless there is another NAT traversal solution that requires this feature to be turned off. SIP Transformations works in bi- directional mode, meaning messages are transformed going from LAN to WAN and vice versa.