Informazioni personali

Cerca nel blog

Translate

martedì 30 marzo 2010

Security for Dummies 001: c’era una volta il firewall

Negli annali della security si incontra molto presto il concetto di firewall. chiunque di noi sia cresciuto in questo ambiente ha sicuramente letto “bulding internet firewalls”  (chi non lo ha fatto si vergogni e veda di procurarsi immediatamente il volumazzo in questionehttp://rcm.amazon.com/e/cm?t=portadiferro-20&o=1&p=8&l=bpl&asins=1565928717&fc1=000000&IS2=1&lt1=_blank&m=amazon&lc1=0000FF&bc1=000000&bg1=FFFFFF&f=ifr).
Per anni il firewall è stata la panacea della security, da li arrivava il male e da li occorreva proteggersi.
Il perimetro della security però è cambiato col passare del tempo.
i maggiori cambiamenti che si sono presentati sono legati da un lato  al moltiplicarsi dei device capaci di connettersi ad internet ed alla loro delocalizzazione; dall’ altro dal cambiamento di uso degli strumenti informatici e la loro incredibile pervasività nei contesti tanto aziendali quanto personali.
Contemporaneamente si è sviluppato un ecosistema criminale il cui obiettivo è, come ovvio aspettarsi da attività illecite, sfruttare questa situazione per produrre in maniera efficace ed efficiente flussi di denaro. per rendersi conto di cosa parliamo considerate che oggi come oggi il crimine informatico inteso nella sua accezione più estesa, rende alle organizzazioni criminali più dello spaccio di droga.
Per capire se e come difendersi diventa quindi necessario avere almeno in termini generici, una chiara visione di cosa sia il mondo dell’IT attuale quali siano gli asset che vanno protetti, perché, da chi e da cosa.
lo scopo che ci si prefigge qui, quindi, è di dare una introduzione ai tre aspetti citati sopra:

  • il nuovo perimetro della rete
  • il nuovo uso degli strumenti informatici
  • l’ecosistema criminale

Le nuove Reti

Volendo fare un poco di storia dell’informatica, tutti sicuramente ricordano come vi sia stato, a partire dagli anni 80 in poi, il passaggio veloce dalla vecchia informatica concentrata alla nuova informatica distribuita.
La chiave di volta è stata sicuramente la introduzione del personal computer che ha introdotto la delocalizzazione delle capacità di calcolo e spostato l’effort dal mainframe centralizzato al pc locale.
Questo processo tra alti e bassi, ripensamenti e cambi di rotta parziali, ‘e’ andato avanti incessantemente sono ai giorni nostri.
I momenti di rottura più grossi in questa storia tutt’altro che lineare (la legge di Moore non vale solo per la capacità di calcolo dei processori)  sono stati fondamentalmente 3, rigorosamente non in ordine cronologico:

  • l’introduzione dei portatili
  • internet e la banda larga
  • gli smartphone

Questi 3 elementi hanno dato il la ad una crescita inarrestabile della informatica distribuita rendendo impossibile il ritorno alla soluzione centralizzata.
Fondamentalmente quello che questi 3 momenti di rottura hanno portato è stata la possibilità di delocalizzare non solo l’elaborazione in termini di device (il cardine della informatica distribuita) ma di delocalizzare anche il sito di elaborazione spostando il device in grado di elaborare informazioni dalla scrivania dell’ufficio a ovunque si è connessi.
In questo senso la crescente capacità di calcolo dei portatili e la durata delle batterie da un lato, la possibilità di distribuire non solo dati statici ma dati dinamici e capacità di elaborazione attraverso web services dall’altro, ha reso lo scambio di informazioni e di applicazioni estremamente facile ed efficace.
La introduzione di smartdevice, quali gli smartphone, ha poi dato una accelerazione a questo trend con un occhio particolare all’accesso alla posta elettronica allargando la base di uso della connettività dal tradizionale canale fornito da un provider di accesso ai fornitori di fonia cellulare.
Come ogni circolo virtuoso i tre aspetti si sono autoalimentati a vicenda,  ed oggi come oggi collegarsi ad internet per accedere ad informazioni anche aziendali (magari via vpn ssl) diventa fattibile ovunque basta che ci sia una copertura con almeno uno degli attori di connettività: provider telefonico, ISP o provider di fonia cellulare.
Contestualmente è aumentata la fame di banda consumata, a seguito delle esigenze di trasferimento dati sempre crescenti.
Digital Divide è il termine che è stato coniato per identificare chi, in una società sempre più connessa, non dispone di sufficiente banda. Chi avrebbe pensato al Digital Divide solo 10 anni fa?
Le nuove reti che sono nate sono quindi reti in cui vi sono miriadi di device eterogenei che sono in grado di scambiare informazioni attraverso alcuni canali “pseudostandard” quali la posta elettronica ed il web browsing. il risultato è che le tradizionali definizioni di perimetro sono oggi come oggi non più compatibili con la realtà delle nostre strutture di rete. Servizi “esterni” al nostro perimetro aziendale sono sempre più comuni, si pensi alla gestione della posta e servizi come rim o goodlink, o ai classici crm come salesforce;  gli utenti sono sempre più fuori: la fonia stessa si e’ liberata dai lacci della localizzazione geografica con la fonia IP e la videoconferenza, webex o raindance docet.

Il nuovo uso delle reti

Aumenta la connettività e la capacità elaborativa ma noi ce ne facciamo?
Fondamentalmente abbiamo spostato il nostro modo di comunicare sui canali che funzionano meglio: quasi tutta la comunicazione oggi come oggi avviene attraverso la posta elettronica.
Cosi come avviene attraverso il web il reperimento delle informazioni extra aziendali (e sempre più spesso anche aziendali, con intranet ed extranet).
Il risultato di questo spostamento è che oggi come oggi oltre il 70% della proprietà intellettuale risiede nei nostri archivi di posta.

Dove risiedono i dati aziendali

  Volendo mappare dove risiedono i dati aziendali oggi, si evince che sono distribuiti principalmente in 4 aree:

  • Su server interni quali i mail server, i database servers, i file servers
  • I desktoplaptop tipicamente sotto forma di documenti su file systems e archivi di posta locali, come i pst files di outlook
  • Su servizi online, si pensi ai server ftp, i servizi online di crm, i motori di ricerca, l’online banking e cosi via
  • In contenitori più tradizionali, come ad esempio gli archivi cartacei.

l’ordine in questo caso rappresenta l’ordine di importanza degli archivi. La presenza del cartaceo, se si esclude la pubblica amministrazione con la sua atavica arretratezza in termini di introduzione di nuove tecnologie, pur rimanendo e’ sempre meno presente, e soprattutto meno “essenziale” nelle operazioni di business operation.
contestualmente alla distribuzione dei dati su questi archivi va considerato come i dati e le infromazioni ad essi correlati sono trasportate trasmesse o ricevute.
La immagine seguente illustra i canali in termini di importanza seguendo un senso di rotazione orario:

come si vede i due canali principali di comunicazione sono la Posta Elettronica ed il Web.
Il motivo di questo spostamento è legato ai fattori che venivano descritti in precedenza, ma anche ad una caratteristica interessante: entrambi i media (posta e web browsing) hanno punti in comune che li rendono sinergici:

HTML

Innanzi tutto entrambi condividono un metalinguaggio descrittivo quale HTML.
Infatti sia la posta che le pagine web usano l’ HTML per il rendering della pagina in quanto questo permette da un lato la possibilità di introdurre contenuti di tipo “rich”  (grafica e quant’altro), dall’altro di essere host di applicazioni dinamiche che utilizzano protocolli di livello superiore (si pensi a java piuttosto che flash o xml).

RFC, facilità e  Standardizzazione

Entrambi i meccanismi di comunicazione si appoggiano a standard consolidati, molto conosciuti e quindi di facile implementazione. I protocolli sono stati disegnati (SMTP per la posta e HTTP per il web) per un ambiente distribuito e si appoggiano alle strutture native di internet, come la  risoluzione DNS per l’identificazione di Host mittenti e destinatari.
Utilizzano Well Known Port (25 per la posta e 80443 per il web) che di fatto sono “sempre” aperte al traffico
Consentono di incapsulare contenuti e risorse sui loro canali.
In particolare con la introduzione del protocollo mime la posta ha “imparato” a trasportare dati in formato non testuale (da qui la possibilità di inviare attachment di qualsiasi tipo o di fornire il layout in HTML) mentre l’HTTP da sempre ha consentito di incapsulare all’interno del protocollo altri protocolli.
In compenso l’HTTP che condividono i due media consente, sin dall’introduzione dei frame e dei css, la composizione di layout composte da oggetti anche dinamici e provenienti da sorgenti eterogenee e diverse anche geograficamente, presentandole come una risorsa unica e coerente.

Scarsa attitudine alla scurity

entrambi i protocolli sono stati pensati per essere efficienti ed efficaci, ma non sono stati implementati pensando alla security. questo ne ha indirettamente, però, decretato il successo rendendone facile l’implementazione, il deployment e l’uso.
Il fatto di demandare la sicurezza ai layer successivi en in particolare al livello applicativo (inteso non come layer della pila ISOOSI ma letteralmente al client di accesso, alla applicazione vera e propria) ha inoltre consentito lo sviluppo extra protocollare di contenuti, applicazioni e risorse molteplici rendendo sempre più ricco il contenuto informativo trasportabile.

Alcune considerazioni: What You Get is NOT What You See

Siccome stiamo comunque parlando di security non si posso omettere in questa descrizione alcune considerazioni in tal senso. Ho scritto al paragrafo precedente che il web browsing e la mail hanno una scrsa attitudine alla security. Uno dei principali motivi è legato al fatto che non esiste identità tra il rendering della pagina e la effettiva natura dei dati trasferiti.

Il fatto che una pagina web appaia come un unico coerente anche se composta da una moltitudine di sorgenti ,da sempre induce l’utente al tipico errore di considerare la pagine web come composta da un unico server.
Se da un lato questo semplifica la costruzione di oggetti dal contenuto informativo e capacità di delivery eccellenti (si pensi al fatto che i protocolli in questione  sono unreliable e quindi affidano al browserserver di posta i meccanismi di tramissione retry e fault tolerance necessari a rendere il contenuto disponile) dall’altro espone queste sorgenti ad un possibile hacking.
Considerando che posta e web browsing sono il canale di maggior distribuzione delle informazioni (vedi sopra) risulta evidente come anche er una attività di tipo criminale questi canali diventino appetibili.
Vedremo nel prossimo post legato alla descrizione dell’ecosistema criminale come e perché questi canali vengono usati.

Riassumendo i primi due punti

Risulta evidente come vi sia stato e sia tutt’ora in atto, un cambio notevole delle nostre reti e dell’approccio informativo che abbiamo grazie ad esse.
La distribuzione delle capacità di calcolo su device sempre più piccoli e trasportabili, la maggiore disponibilità di banda e la disponibilità su internet di servizi sempre più sofisticati e di valore anche in ambito aziendale, oltre che personale, ha cambiato il modo in cui le reti sono percepite e si usano.
La commistione dell’uso dei canali di comunicazione web e mail in ambito privato ed aziendale ha inoltre ridotto ulteriormente la definizione del perimetro aziendale anche in termini di modalità di uso delle risorse. Web browsing, chat, posta e persino blog e  siti di social networking servono sia all’uso personale che a quello aziendale. la presenza della mia azienda cisco sia su facebook , u;tube che su twitter ne è un esempio, cosi come la presenza di questo blog. Essere su facebook risponde quindi sia ad esigenze ludichepersonali che a precise esigenze di comunicazione aziendale, si pensi ad esempio alle possibilità di sviluppo di canali di viral marketing (per chi non le conoscesse, non si tratta di una forma di malware, ma di forme pubblicitarie basate sul passaparola).
I vecchi criteri di definizione e filtro del perimetro aziendale in termini di logistica, geografia, elementi costitutivi e funzioni di uso non risponde più alle esigenze correnti.
Il non voler accettare o vedere questi cambiamenti in atto è pericoloso perché espone la azienda ed il privato al rischio di essere tagliato fuori dai modelli di comunicazione corrente. e questo significa indirettamente incidere al cuore del business che fa della comunicazione il veicolo principale della generazione di business e quindi di revenue.
Attenzione che non si tratta di speculazioni arbitrarie di un amante di internet, ma del fatto che su questi canali si muovono miliardi di euro in maniera sia diretta che indiretta, esserne fuori significa non far parte di questo modello di crescita economica, e quindi confinare il proprio mercato al perimetro strettamente locale.
Dimostrazione ne sia che oramai non esiste azienda di un certo livello che non abbia una esposizione su internet sia in termini di presenza informativa (communication marketing) che di servizio al cliente (CRM) come supporto o definizione contatti.
Anche nel nostro paese, l’Italia, nonostante il Digital Divide che colpisce gran parte del territorio ed una diffusa arretratezza informatica che pervade tutti i livelli della vita pubblica, privata ed aziendale (diminuendo nei fatti sensibilmente la nostra competitività) tali segni sono evidenti ed il trend è inarrestabile.

Introducendo Security for Dummies

Dopo la bellissima esperienza della manifestazione del Clusit mi sono posto un paio di traguardi da porre sul blog.
Il primo traguardo consiste in una serie di articoli che parlino di security con due caratteristiche:

  • un livello di comprensibilità elevato  (da qui il security for Dummies)
  • portare la visione della security al di sopra dello stack TCPIP

Entrambe le caratteristiche sono perfettamente integrate ai contenuti generali di questo blog, che come noto, è strumento di servizio alla mia attività, ancorché assolutamente personal in termini di effort e contenuti.
Il secondo traguardo è di traghettare alcuni contenuti dall’italiano all’inglese. Questo secondo traguardo nasce dalla esigenza di allineare il mio ruolo (area med) con i post. Ora per evitare che ci siano incomprensioni utilizzerò per i post non in italiano il secondo blog PostOffice2 lasciando a PostOffice la maggioranza dei contenuti in lingua italiana.
Ma torniamo  al primo traguardo: office Security for Dummies vuole essere una semplice guida per comprendere gli aspetti della security non strettamente legati al TCPIP, e quindi eviterà di trattare firewall, IPS vpn e cose del genere, se non per la loro presenza accidentale all’interno dell’ecosistema security.
Ho usato altri post in passato per affrontare questioni inerenti al “risk management” e come calcolare il rapporto costo beneficio di una soluzione, e quindi anche su questi argomenti si farà riferimento esternamente per approfondimenti o digressioni.

Security for Dummies 002: l’ecosistema criminale

Se nel precedente post abbiamo descritto come sia cambiato il mondo delle reti informatiche negli ultimi anni, qui vedremo come sia cambiato di conseguenza l’ecosistema criminale, introducendo, di qua e di la, alcuni concetti cari alla security di oggi.

Perché lo fai

Innanzitutto capiamoci:

  1. il motivo per cui un criminale compie le sue azioni è per ottenere denaro.
  2. le azioni che il criminale compie sono orientate a:
    1. consentirgli il reperimento diretto del denaro
    2. consentirgli di creare l’ambiente adatto che poi gli permetterà di agire come al punto 2.1

per ottenere denaro i veicoli disponibili sono fondamentalmente:

  1. truffa, o assimilabile, con la vendita illecita di prodottiservizi o non rispondenti alle caratteristiche dichiarate, o senza pagare gli oneri dovuti allo stato, o col mancato invio del materiale acquistato
  2. truffa, o assimilabile, con l’acquisizione di dati personali dell’utente al fine di prelevare direttamente denaro da questi o procurargli danno direttoindiretto
  3. truffa, o assimilabile, con l’acquisizione di dati personali dell’utente al fine di rivendere tali informazioni a terzi
  4. Tentativo di blocco dei servizi della vittima al fine di procurare danno per conto terzi, coprire attività illecite concorrenti, estorcere denaro direttamente la vittima

Visti cosi gli attacchi informatici non differiscono molto dalle classiche attività criminali cui siamo più abituati: furto, truffa, pizzo; ritroviamo nel mondo informatico tutti gli elementi tipici di una normale attività criminale.
Questi obiettivi vengono perseguiti in diversi modi e diverse tecniche, alcune di tipo squisitamente informatico, altre con l’uso del media informatico come oggetto complementare (si pensi ad esempio al social engineering).
Finiti i tempi del romanticismo e dell’hacker come figura anarcoide o in cerca di pubblicità per colmare un ego smisurato, adesso siamo in un ambito industriale dove i numeri sono essenziali per giustificare le attività e dove le economie di scala sono essenziali.
la costruzione di un corretto ecosistema criminale quindi richiede la creazione di un meccanismo che consenta:

  1. perseguire gli obiettivi citati in precedenza al punto 2.1 sul maggior numero possibile di soggetti
  2. perseguire tali obiettivi evitando l’intervento delle strutture predisposte al controllo e alla imposizione delle leggi
  3. consentire una facile gestione dei flussi di denaro
  4. implementare, quando possibile, attività collaterali remunerative.

Dal punto di vista informatico tutto questo si è tradotto in trend specifici molto evidenti e chiari agli addetti al settore:
Utilizzare HTTP ed SMTP come media è molto remunerativo perché consente di raggiungere una enorme platea di potenziali vittime.
Utilizzare SMTP ed HTTP risulta comodo perché consente di evitare le più comuni difese perimetrali. I firewall infatti sono obbligati a far passare il traffico di porta 25 e 80443 pena il blocco di quei servizi a valore aggiunto di cui si portava nel post recedente.
Inoltre data la natura distribuita del traffico gestito da questi due protocolli risulta molto più difficile il backtracking per risalire al “mandante” delle operazioni.
L’utilizzo di tecniche “piramidali” e “peer to peer” in questo senso consente l’interposizione di layer di controllo che possono rendere virtualmente impossibile risalire all’esecutore primo della attività criminali in oggetto.
Le transazioni economiche generate sono piccole e distribuite quindi più facilmente mascherabili anche ad una analisi dei flussi finanziari.

Le basi

Come detto in precedenza la idea di base è la seguente:
Devo cercare di mandare informazioni o dati al maggior numero di utenti possibile per compiere le mie zioni illegittime.
Per fare questo posso usare 2 canali la posta elettronica ed il web browsing (web servicesweb server).

In principio era lo SPAM …

Per quello che concerne la posta il problema consiste, fondamentalmente, nel cercare di mandarne il più possibile al maggior numero di utenti. per fare ciò e per evitare che mi blocchino la sorgente di flusso devo cercare di mandare la posta dal maggior numero di sorgenti possibile.
Per fare questa operazione devo cercare di convertire il maggior numero di macchine possibile in “mail server di solo invio” , le macchine devono essere distribuite geograficamente e, ovviamente, non riconducibili a me in quanto a proprietà.
In altre parole devo usare della macchine di utenti ignari per poter fare questa operazione.
la mail può essere quindi utilizzata direttamente per:

  1. truffare il cliente in qualche modo
  2. sfruttare il fatto che sia in formato html per spingere il malcapitato ad accedere ad un falso web server
  3. sfruttare , java, flash, adobe services, attachment, vulnerabilità  o quant’altro nell’ html all’interno della mail per fare attività di deployment di oggetti software o dorettamente information gathering
  4. marketing

All’inizio la principale attività era il marketing, è questa la origine del famigerato SPAM.
La  linea di demarcazione tra il mass mailing legittimo (dalle mailing lists al mass marketing) allo spam e’ estremamente sottile, la stessa definizione di SPAM come UBE (Unsolicited Bulk Email) non rende chiara la sua definizione.
L’introduzione di regolamentazioni nazionali diverse hanno portato a definire come legittima la mail inviata solo su esplicita autorizzazione in caso di invio massivo, ma anche questo è non definibile a priori in maniera semplice, nel termine UBE infatti ricadono anche moltissime comunicazioni legittime. Si pensi ad esempio al fatto che tutte le mail sono, in origine, non sollecitate, considerando strettamente il termine UBE verrebbero considerati spam anche gli invii di auguri natalizi o pasquali.
Quello che è consistente con le attività criminali è il fatto che tali invii devono provenire da sorgenti non rintracciabili.
Ora dato che la sorgente IP di una transazione smtp è, in realtà, relativamente facile da rintracciare la idea di base è quella di effettuare gli invii da macchine insospettabili e tenere l’invio per brevi periodi di tempo (nell’ordine di poche decine di minuti) per poi far ritornare queste macchine silenti.
Lo SPAM come attività si è quindi evoluto in canale di diffusione di virus (doom, I love you e via dicendo), attività di information gathering o truffa (phishing, scam) e, quindi, in canale di diffusione di malware.
Per far questo la pagina html che contiene il messaggio spesso è linkata a web services, web server contraffatti o web server compromessi.

…ed adesso abbiamo il web

interfacciandoci al web abbiamo alcune caratteristiche interessanti nella creazione di un ecosistema criminale corretto: la possibilità di utilizzare diverse tecniche di contraffazione delle url mi permettono di mascherare gli indirizzi presentando un sito in guisa di un altro.
I protocolli che uso possono essere inseriti all’interno del flusso httphttps.
Posso sfruttare vulnerabilità indipendenti dal sistema operativo in uso ma legate ai browser più diffusi o ai servizi quali flash, adobe, java  e cosi via supportati da qualsiasi browser.
Anche in questo caso, associando magari ad azioni quali il dns poisoning o a protocolli masterslave o peer to peer, posso distribuire le mie risorse ovunque, su qualsiasi macchina ospite opportunamente compromessa in maniera trasparente all’utente. tanto ci pensa l;HTML a rappresentare il tutto poi come una pagina legittima e coerente.
esiste a questo punto un uovo di colombo che ha garantito la creazione di ecosistemi efficienti ed efficaci, la creazione del concetto di botnet.
Affronteremo questo oggetto misterioso nel prossimo post di “Security for Dummies 003: BOTNET”
ciao
A

mercoledì 17 marzo 2010

Going Beta – la nuova serie “S”

Cosa bolle in pentola.
Come avevo scritto in precedenza sto  testando il nuovo AsyncOS per la serie “S” con le novità.
Ho già abbondantemente parlato in precedenza del CIWUC, Cisco IronPort Web Usage Control.
Devo ammettere che anche le altre le novità sono estremamente interessanti.
Eccone alcuni succosi:
Antivirus: fa la sua comparsa il secondo motore antivirus, Sophos.
I due motori MacAfee e Sophos non possono andare contemporaneamente , ma si può segliere quale utilizzare, nel caso si licenzino entrambi, a livello di access policy.
Cisco Mobile User Security: questa nuova voce fa riferimento alla integrazione possibile con gli apparati Cisco ASA per gestire i mobile user

la idea fondamentalmente è la seguente:
un utente remoto si connette attraverso il clinet cisco ssl Anyconnect su un ASA.
A seguito della autenticazione ASA determina un profilo per questo utente che viene associato opportunamente ad una policy di WSA. In questo modo l’utente può effettuare il browsing della rete restando compliant alle regole aziendali in merito alla navigazione.
Il client AnyConnet consente di definire diverse policy di connessione, la piu interessante è la possibilità di avere l’Always ON.
In altre parole il portatile (o iphone) appena acceso alza il client anyconnect che cerca di effettuare la connessione cercando l’ASA più vicino.

In caso di disconnessione per mancanza di rete (si pensi alla rete wireless o allo spostamento da una rete ad una altra di un utente, ad esempio) il client anyconnet ritenta appena disponibile la rete una nuova connessione senza richiedere all’utente di reimmettere le credenziali.
Lo sto usando sul mio PC aziendale e sono francamente entusiasta, finalmente non divento piu matto a immettere il mio token per rientrare in rete tutte le volte che il mio provider decide che internet è un lusso non garantito anche se pago il canone 🙂
Anyconnect è anche in grado di gestire correttamente le eccezzioni quali la connessione vincolata ad un proxy, come quando ci si connette da un albergo.
PS: funziona anche si Wondows7 e, udite udite, su vista!!!!
Il risultato è che un utente può connettersi, attraverso internet, alla propria rete aziendale ed alle sue risorse intranet praticamente ovunque e con un bassissimo effort di gestione permettendo contestualmente l’enforcing di regole di navigazione e di security adatte alle varie circostanze della navigazione.
Identities: Ai parametri di definizione delle Identities troviamo adesso la possibilità di difinire utenti per location: remote o locale.
considerando che i profili remote possono essere definiti sia per subnet che attraverso un ASA si aprono scenari interessanti per la definizione delle policy degli utenti.
Diventa fattibile quindi la discriminazione di policy basate per location e quindi gestire l’accesso alle risporse della intranet, ad esempio, in maniera diversa nel caso l’accesso sia locale o remoto. Nel caso non sia presente un ASA ed il relativo client anyconnect lavorando sulle subnet si possono comunque ottenere policy opportunamente granulari, si pensi ad esempio alla possibilità di immettere utenti non compliant ai requirement NACNAP in una rete IP di “quarantena” e gestire conseguentemente anche le politiche di browsing.
Access Policy-url filtering: nelle access policy le novità CHE riguardano la parte di URL filtering sono associate al motore CIWUC.
La prima cosa che balza all’occhio (ma le voci sono in fondo ) è la presenza delle voci “safe search” e “content rating”.
la prima voce fa riferimento alla abilitazione del tag safesearch che viene gestito dai principali search content provider:Bing, Google Search, Yahoo Search
questa permette di ripulire i risulktati provenienti da una ricerca da fonti non sicure.
La seconda voce fa riferimento alla possibilità di filtrare contenuti marcati come “adult” lasciando l’accesso generale al sito. Siti come youtube, flicker o craiglist offrono questo tipo di rating consentendo cosi di mantenere l’accesso al sito eliminando solo i contenuti indesiderati.
Access Policy-Application visibility and Control: questa parte è completamente nuova e fa riferimento al motore di gestione delle applicazioni.
Istant messengers, conferencing (il primo messo webex…mi sembra doveroso), media P2P.
finalmente possiamo gestire rate limiting e controllo sulle applicazioni sia a livello di policy per utente che a livello generale.
la lista delle applicazioni è al momento incompleta, ma andiamo sono in beta fresca fresca non posso pretendere tutto. Intanto google, yahoo ed msn messenger ci sono (e gli posso pure bloccare il file transfert)!
Access Policy–DVS Anti Malware: qui la cosa si fa piu semplice posso scegliere se usare, per policy, webroot o MacAfee 🙂
Overall Badwith Limit: posso, adesso, decidere anche se limitare la banda per lo streaming media indipendentemente da chi si connette. la bada disponibile verrà divisa tra gli utenti, anche tenendo conto delle limitiazioni imposte a livello di access policy. In altre parole salvo indicazione diversa la banda dispobile verrà divisa in maniera paritetica tra gli utenti che navigano a meno che non sorgano ulteriori  limitazioni provenienti da Access policy.
Outbound Malware Scanning: qui possiamo scegliere se fare la scansione degli upload per il malware e scegliere il motore antivirus da utilizzare. possiamo anche disciminare per URL se fare o meno questa scansione.
Non ho descritto tutto, alcune features non ho ancora avuto il tempo neanche di guardarle, (ad esempio le SaaS policies), in compenso alcuni servizi come l’integrazione con un DLP esterno (RSA, Vontu, Palisade) sono al momento fuori dalla mia portata (non ho un network cosi grande che giustifichi il costo di un  DLP :)) ma apppena ho news possiamo parlarne.
Per il momento il feedback generale è che il prodotto fa un ulteriore step avanti mantenendo le caratteristiche di solidità e facilità che lo contraddistinguono. la roadmap è ricca e piena e quindi le novità non si fermeranno certo a questa release che dovrebbe uscire giugnoluglio, quindi l’invito a mettere feature request sempre e comunque via appliance interface è sempre valido anzi ancora piu importante visto l’effort di sviluppo sulla piattaforma.
è troppo presto per parlare dell’impatto sulle performance dei nuovi servizi, ma ad occhio e croce l’antivirus non dovrebbe cambiarci la vita…e le nuove possibilità di gestione dovrebbero pesare meno degli improvement che sono stati fatti al motore e che non si vedono.