Tuesday, September 18, 2018

Firewalls and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Need for Speed

I was looking for resources on campus network design and found cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se slides (pdf) from a 2011 Network Startup Resource Center presentation. These two caught my attention:



This bocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365red me, so I Tweeted about it.

This started some discussion, and prompted me to see what NSRC suggests for architecture cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se days. You can find cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 latest, from April 2018, here. Here is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 bottom line for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir suggested architecture:






What do you think of this architecture?

My Tweet has attracted some attention from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 high speed network researcher community, some of whom assume I must be a junior security apprentice who equates "firewall" with "security." Long-time blog readers will laugh at that, like I did. So what was my problem with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 original recommendation, and what problems do I have (if any) with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 2018 version?

First, let's be clear that I have always differentiated between visibility and control. A firewall is a poor visibility tool, but it is a control tool. It controls inbound or outbound activity according to its ability to perform in-line traffic inspection. This inline inspection comes at a cost, which is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 major concern of those responding to my Tweet.

Notice how cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 presentation author thinks about firewalls. In cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 slides above, from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 2018 version, he says "firewalls don't protect users from getting viruses" because "clicked links while browsing" and "email attachments" are "both encrypted and firewalls won't help." Therefore, "since firewalls don't really protect users from viruses, let's focus on protecting critical server assets," because "some campuses can't develop cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 political backing to remove firewalls for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 majority of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 campus."

The author is arguing that firewalls are an inbound control mechanism, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y are ill-suited for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 most prevalent threat vectors for users, in his opinion: "viruses," delivered via email attachment, or "clicked links."

Mail administrators can protect users from many malicious attachments. Desktop anti-virus can protect users from many malicious downloads delivered via "clicked links." If that is your worldview, of course firewalls are not important.

His argument for firewalls protecting servers is, implicitly, that servers may offer services that should not be exposed to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Internet. Racá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r than disabling those services, or limiting access via identity or local address restrictions, he says a firewall can provide that inbound control.

These arguments completely miss cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 point that firewalls are, in my opinion, more effective as an outbound control mechanism. For example, a firewall helps restrict adversary access to his victims when cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y reach outbound to establish post-exploitation command and control. This relies on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 firewall identifying cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attempted C2 as being malicious. To cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 extent intruders encrypt cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir C2 (and sites fail to inspect it) or use covert mechanisms (e.g., C2 over Twitter), firewalls will be less effective.

The previous argument assumes admins rely on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 firewall to identify and block malicious outbound activity. Admins might alternatively identify cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 activity cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365mselves, and direct cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 firewall to block outbound activity from designated compromised assets or to designated adversary infrastructure.

As some Twitter responders said, it's possible to do some or all of this without using a stateful firewall. I'm aware of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 cool tricks one can play with routing to control traffic. Ken Meyers and I wrote about some of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se approaches in 2005 in my book Extrusion Detection. See chapter 5, "Layer 3 Network Access Control."

Implementing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se non-firewall-based security choices requries a high degree of diligence, which requires visibility. I did not see this emphasized in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 NSRC presentation. For example:


These are fine goals, but I don't equate "manageability" with visibility or security. I don't think "problems and viruses" captures cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 magnitude of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 threat to research networks.

The core of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 reaction to my original Tweet is that I don't appreciate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 need for speed in research networks. I understand that. However, I can't understand cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 requirement for "full bandwidth, un-filtered access to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Internet." That is a recipe for disaster.

On cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r hand, if you define partner specific networks, and allow essentially site-to-site connectivity with exquisite network security monitoring methods and operations, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n I do not have a problem with eliminating firewalls from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 architecture. I do have a problem with unrestricted access to adversary infrastructure.

I understand that security doesn't exist to serve itself. Security exists to enable an organizational mission. Security must be a partner in network architecture design. It would be better to emphasize enhance monitoring for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 networks discussed above, and think carefully about enabling speed without restrictions. The NSRC resources on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 science DMZ merit consideration in this case.

3 comments:

Nick Buraglio said...



This is an interesting and insightful interpretation. However, as you noted, within cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 research community cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re are needs and requirements for running at rates that are not feasible for currently available firewalls and UTMs to digest and transit without eicá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r failing (thus causing a self-created DoS) or incurring packet loss (also causing a self-generated DoS). While this is an edge case, is is a very valid use case that has existed outside of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 typical enterprise architecture that 99% of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 computing world identifies with. Along those same lines, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re is a real question that should be answered, and that is one of architecture. Where do I need what? Just placing a UTM or stateful firewall at a border is all too often cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 de facto check box for “now I am secure", and as you stated in regard to running firewall free, "Implementing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se non-firewall-based security choices requires a high degree of diligence, which requires visibility.”. While true, this is a statement that I take issue with, because it implies that dropping a magic box at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 egress of a network removes that requirement, which it clearly does not. I would instead amend that statement to “successful security requires a high degree of diligence[, which requires visibility].”, because it is a never-ending, perpetual process that never, ever ends, and requires constant re-evluation. Just as importantly, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 stereotypical enterprise concept of “I’ll just put a firewall at my border” breaks down very quickly when more complicated designs come into play, specifically architectures that don’t have single or even dual “border” designs. By utilizing visibility and operational diligence one can successfully manage security of a network just as well regardless of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 technical execution.
It’s very important to consider more than typical network designs, as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y are far more common than most would care to believe, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 more we recognize this cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 better off we can be from an end to end perspective and more importantly, we can better provider an optimal experience for those that use cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 resources. Those of us that live on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 fringe areas of networking and security are appreciative of your willingness to re-evaluate your statements, as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y hold a sizable amount of influence in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 community.

Michael said...

I wonder how much of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir bandwidth is going to unmonitored malicious traffic?

povlhp said...

Most companies does not think about outbound filtering, and it is usually a very efficient security measure.

If you look at servers, you could use iptables or ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r local firewall to at least complicate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 job of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 malware.

And for servers, having a proxy server with whitelisted domain names only (and a firewall/router with whitelisted IPs for ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r procols) would make cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m more or less secure, even if an idiot runs some bad stuff on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m, or opens a bad link. No contact to stage 2 or C&C server.

Aucá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365nticating proxy server for workstations (and handling of needed ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r protocols as changes) is also vey effective. Most malware can not aucá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365nticate agains a proxy. But more stuff starts using IE to get URLs.

But I completely agree, controlling outbound traffic is a very important step if you want security.