Next Generation Firewall Considerazioni generali e prove sul campo Massimo Pistoni (INFN LNF) Stefano Zani (INFN CNAF) Workshop CCR Biodola,

Slides:



Advertisements
Presentazioni simili
La riduzione dei privilegi in Windows
Advertisements

Corso aggiornamento ASUR10
Sistemi Operativi Menù: 1) Introduzione al sistema operativo
Gestione dei laboratori Come rendere sicura la navigazione internet e l'uso della rete Lorenzo Nazario.
LA SICUREZZA INFORMATICA
Le reti informatiche!! Le reti di telecomunicazioni hanno permesso una maggior diffusione delle informazioni che possono essere trasmesse e ricevute.
IL NOSTRO LABORATORIO. Di INFORMATICA..
Responsabile: Ing. Daniele Bocci CORSO INTEGRATO DI INFORMATICA Master in Management Infermieristico.
CSN1 2 Aprile 2003 P. Morettini 1 Relazione sulla CCR La riunione di Commissione Calcolo e Reti del 6 Marzo è stata in parte dedicata alla discussione.
Aspetti critici rete LAN e WAN per i Tier-2
A.A. 2007/2008Corso: Sicurezza 1 © Danilo Bruschi Sicurezza dei calcolatori e delle reti Proteggere la rete: tecnologie Lez. 13.
Progetto Sicurezza 2 Fase di setup Prof. A. De Santis
Reti di Calcolatori L-S Un Sistema Decentrato di Allocazione del Carico per Applicazioni di Calcolo Distribuito Mauro Bampo.
Decreto Interministeriale 16 agosto 2005 Misure di preventiva acquisizione di dati anagrafici dei soggetti che utilizzano postazioni pubbliche non vigilate.
Wireless Authentication
Il nostro computer navigando su Internet è molto esposto a rischio di virus, spyware o hacker che minacciano lintegrità dei nostri dati. Proteggere il.
SICUREZZA INFORMATICA
Norman SecureTide Soluzione sul cloud potente per bloccare le spam e le minacce prima che entrino all'interno della rete.
Norman Security Suite Sicurezza premium facile da usare.
Norman Endpoint Protection Sicurezza all'avanguardia in tutta facilità!
WebTitan Novembre 2012 Download your WebTitan Virtual Appliance at
Firenze 17 Giugno 2010 Sala Grazzini 9.30Registrazione e welcome coffee 9.45Benvenuto di S&NT Informatica 10.00Il nuovo Desktop Microsoft per la PMI Italiana:
VIRTUALIZZAZIONE Docente: Marco Sechi Modulo 1.
Sicurezza Informatica. Conoscere ed evitare! 2/19 I Virus e le truffe informatiche.
Networking Specialist
La rete GARR stato ed evoluzione a GARR-Giganet
Sicurezza nella Sezione INFN di Bologna Franco Brasolin Servizio Calcolo e Reti Sezione INFN di Bologna Riunione Referenti – Bologna 17 Novembre 2003 –
Reti di calcolatori LS1 Service Middleware Reti di calcolatori LS progetto di Andrea Belardi Infrastruttura dedicata alla gestione di servizi disponibili.
UNITA’ 02 Malware.
Workshop CCR Otranto - giugno 2006 Gruppo storage CCR Status Report Alessandro Brunengo.
Luca Tampieri - INFN Firenze1 Intrusion Detection Systems Cosa sono gli Intrusion Detection Systems (IDS) e a cosa servono Snort Demarc, Acid e SnortSnarf.
IT SECURITY Malware.
Sicurezza e attacchi informatici
30 agosto Progetto Quarantena Gateway Security Appliance.
Cloud SIA V anno.
I FIREWALL. COSA SONO I FIREWALL? LAN MONDO ESTERNO UN FIREWALL E’ UN SISTEMA CHE SUPPORTA UNA POLITICA DI CONTROLLO DEGLI ACCESSI FRA DUE RETI (POLITICHE.
Riunione CCR 21/12/2005 Gruppo Storage Relazione sulla analisi di infrastrutture Fibre Channel e presentazione attivita’ per il 2006 Alessandro Brunengo.
Presentazione Servizi. Di Cosa Ci Occupiamo Hera02 cura per le Aziende i seguenti tre assetti: 1 – I servizi di Telecomunicazioni: Connessione Dati verso.
Riunione Servizi Servizio Calcolo e Reti 13 settembre 2004 Silvia Arezzini.
31 ottobre Security Assessment per Cassa Centrale Analisi delle modalità di deployment di server e di postazioni utente. Simulazione di consulente.
Analisi di sicurezza della postazione PIC operativa
Note: deve essere possibile utilizzare il protocollo BGP sui router per propagare le due reti visibili su internet tale soluzione deve essere concordata.
I sistemi operativi Funzioni principali e caratteristiche.
23 dicembre SICUREZZA DEL NETWORKING Analisi del livello di sicurezza dell’infrastruttura di rete.
Realizzazione di hotspot wireless per l’Università degli Studi di Milano Marcello Meroni, Michele de Varda, DIVISIONE TELECOMUNICAZIONI UNIVERSITÀ DEGLI.
The Unified Threat Management Security Appliance Hystrix
Commissione Calcolo e Reti Gruppo Multimediale Stefano Zani, Alfredo Pagano INFN-CNAF Bologna, 3 Marzo 2008.
Referaggio apparati di rete 2015 Seconde priorità Gruppo referee rete Fulvia Costa Paolo Lo Re Enrico Mazzoni Stefano Zani Roma 1, CCR marzo 2015.
26 Giugno 2007CSN1 - Frascati1 Temi di attualità nella CCR Accanto alla tradizionale attività di controllo dei finanziamenti per le infrastrutture di calcolo.
 Network Address Traslation: tecnica che permette di trasformare gli indirizzi IP privati in indirizzi IP pubblici  Gli indirizzi devono essere univoci.
Firewall Next Steps Stefano Zani (INFN CNAF) CCR Roma, 14 Settembre 2015 Credit: Stephen Sauer 1.
Esigenze di rete per il calcolo LHC Workshop CCR LNL, Febbraio 2011 Stefano Zani INFN CNAF 1S.Zani INFN CNAF.
Tavola Rotonda Firewall, Next Generation Firewall e soluzioni per la sicurezza Stefano Zani (INFN CNAF) CCR LNF, 29 Maggio 2015 Credit: Stephen.
Test del Next Generation FireWall Fortigate 1500D Massimo Pistoni WS CCR maggio 2016.
Uso della rete geografica e richieste di upgrade CCR 31/3/2015 (Roma) S.Zani.
LNGS, Workshop CCR 2008, Giugno Sondaggio Utenti INFN Valeria Ardizzone INFN Catania Ombretta Pinazza CNAF.
Discussione sul dimensionamento dei collegamenti per conferenze. R. Gomezel, R. Veraldi, S. Zani Commissione Calcolo e Reti Frascati, 31 Maggio 2007.
Netgroup (Rapporto di aggiornamento alla Commissione) Stefano Zani (INFN CNAF) CCR Roma, Ottobre 2013.
Uno sguardo al prossimo futuro 1 Workshop Atlas RPC Roma1 26/3/2015 R. Santonico.
Aggiornamento Netgroup R.Gomezel Commissione Calcolo e Reti Presidenza 5/10/2010-7/10/2010.
Aggiornamento Netgroup R.Gomezel Commissione Calcolo e Reti LNF 29/09/ /10/2008.
Referaggio apparati di rete 2013 Seconde priorità Gruppo referee rete Fulvia Costa Paolo Lo Re Enrico Mazzoni Stefano Zani Referaggi aprile 2013.
Virus informatici Samuele Mazzoli 1B 2014/2015. indice I virus informatici Come fare per proteggersi Come si classificano Componenti dei virus Chi crea.
Attività Gruppo Virtualizzazione Andrea Chierici CNAF CCR
Disaster Recovery Resoconto delle attività del Gruppo di Lavoro DR CCR CNAF 5-7/2/2013 S.Zani.
Aggiornamento Netgroup R.Gomezel Commissione Calcolo e Reti LNF 29/09/ /10/2009.
Cluster di login E. P.. Scopo del cluster di login Fornire accesso alle macchine interne ed ai servizi Evitare gli attacchi diretti alle macchine interne.
Transcript della presentazione:

Next Generation Firewall Considerazioni generali e prove sul campo Massimo Pistoni (INFN LNF) Stefano Zani (INFN CNAF) Workshop CCR Biodola, 17 Maggio Credit: Stephen Sauer

Introduzione Dopo una analisi generale fatta lo scorso anno sulle piattaforme di firewalling più diffuse, è iniziata una attività più mirata al test di Next Generation Firewall con l’obiettivo di individuare gli apparati giusti da mettere in campo nelle sedi che ospitano i principali servizi nazionali. Considerando i contesti di CNAF ed LNF, gli accessi alla rete geografica da proteggere sono dell’ordine di 2x10Gb/s (Full Duplex) Visti i costi elevati dei firewall di nuova generazione, si sono prese in considerazione alcune soluzioni infrastrutturali alternative alla protezione generale di tutti i nodi di una struttura. Protezione di un solo ramo della rete (richiede intervento sulla struttura) Protezione su tutto il traffico escludendo quello di trasferimento dati (GridFTP, Xrootd) che, come volume è preponderante. 2

Router WAN LAN Server o servizi da proteggere Trasferimento dati (traffico scientifico) White Listing Del traffico che Non devo controllare Firewall (HW) (FPGA/ASIC) 3 Pc Utenti Router WAN LAN calcolo Scientifico Server o servizi da proteggere Trasferimento dati (traffico scientifico) Firewall (HW) (FPGA/ASIC) 3 Pc Utenti

4 Alimentazione ridondata Prestazioni dell’ordine della decina di Gigabit/s in “full threat prevention”. Possibilità di funzionare in modalità “Transparent” Analisi e discriminazione del traffico in base alla applicazione e non solo sulla base del numero di porta utilizzata. Questo prevede che avvenga un processo di deep packet inspection a wire speed. Rilevamento automatico dei “Threat” ed aggiornamento frequente delle “Signature” – Anti virus – Anti spyware – IPS Meccanismi di protezione dai DoS (Denial of Service) in modo da proteggere un servizio sotto attacco, riconoscendo e fermando solo flussi relativi all’attacco ma lasciando raggiungibile il servizio stesso. Possibilità di funzionare in ridondanza (disponendo di due apparati) URL Filtering: blocco delle connessioni verso siti pericolosi attraverso un servizio di DB aggiornato dei siti considerati fonte di malware. Caratteristiche di base (Di una soluzione da utilizzare in produzione)

5 CISCO 6506 WAN General IP CISCO 6509Nexus 7018 LHCOPN LHCONE TIER1 Pc uffici Concentratore uffici Posizionamento del firewall sulla rete di produzione del CNAF durante la prova Test sul campo Inserimento in modalità VIRTUAL WIRE Paloalto PA 5050 Serv Naz Sysinfo SD

6 Il firewall collegato in virtual wire a protezione degli uffici. E’ stato configurato all’inizio in modalità “permit all” ma con tutte le funzioni di Threat prevention attive, in modo da definire le regole di “Blocking” Successivamente a mano. Nel giro di pochissimi minuti ha fornito un quadro della distribuzione del traffico che lo attraversava ed ha classificato secondo le sue regole di default i vari flussi a seconda della “Pericolosità”. Test sul campo (Prime impressioni)

Le dashboard danno l’idea a “Colpo d’occhio”di cosa stia avvenendo sulla rete

Individuazione e classificazione dei “threat” efficace

Valutazione della minaccia e blocco del traffico relativo E’ possibile attribuire livelli di pericolosità differenti da quelle di default per ogni flussi di traffico rilevato. Una volta identificata una minaccia, il sistema mostra gli IP interessati. Se si ritiene di bloccarla, si riesce facilmente a stabilire le politiche di blocco. Già dai primi giorni di “Analisi” del traffico, il firewall ha individuato virus su PC sfuggiti agli antivirus locali e tentativi di sfruttamento di vulnerabilità su “Demoni” esposti. 9

Nodi interessati dal “Threat” Sorgenti-Destinazioni del traffico relativo al threat

Esempio di inserimento di una regola per bloccare un determinato spyware (sipvicius nel caso specifico)

Creazione di un filtro di blocco per uno spyware Si può scegliere di bloccare la minaccia in vari modi arrivando a bloccare tutto il traffico dall’IP che l’ha generata.

Data Filtering (File blocking) Antivirus online Si può impostare il Firewall per bloccare in automatico i file entranti ritenuti pericolosi (fra gli eseguibili o potenzialmente eseguibili). Per altre realtà questo sistema può essere utilizzato anche per evitare che escano file dalla azienda.

DOS Protection C’è una sezione dedicata ai DoS nella quale si possono definire le politiche da seguire in modo automatico tra cui c’è la possibilità di definire il massimo “rate” di conessioni oppure bloccare il traffico identificato come DoS per un certo tempo. In questo modo si riesce a mantenere la raggiungibilità di un servizio anche durante un attacco di tipo DoS.

15 Piattaforma bi alimentata e con totale separazione hardware del control plane dal data plane (Sempre gestibile anche sotto attacco ed a full rate) 12x 1Gb SFP ports + 4X 10Gb SFP+ ports – Max Throughput 10Gb/s (5Gb/s Full threat prevention) Possibilità di dividere il firewall in sistemi virtuali indipendenti (fino a 125). Routing (RIP,OSPF, BGP) – Può funzionare come ROUTER VPN (Lan to Lan o funzionalità di VPN concentrator) Possibilità di funzionare in modalità Virtual Wire, L2 ed L3 (Routing) contemporaneamente senza dovere partizionare il FW in differenti contesti virtuali. Supporto di IPv6 Implementazione di QoS sul traffico che lo attraversa(Traffic shaping) Utilizzo di FPGA (Quindi HW Riprogrammabile): Con gli aggiornamenti si può cambiare anche il comportamento dell’HW. Possibilità di funzionare in HA (clustering) Principali caratteristiche della piattaforma Paloalto in prova (PA 5050)

Application Matching Classificazione delle applicazioni indipendentemente dalle porte utilizzate in hardware (utilizzo delle applicazioni come criterio di matching). Possibilità di creazione della “signature” di una applicazione custom sconosciuta al sistema (cattura del traffico e profilazione) IDS ed IPS integrato. – Riconoscimento dei “Threat” dovuti ad attacchi automatici, virus, worm, malware, spyware con aggiornamento automatico delle signature (dei comportamenti sospetti sulla rete). FILE BLOCKING anche su determinate applicazioni specifiche. URL Filtering (allo scopo di bloccare le connessioni verso siti pericolosi attraverso un servizio di DB dei siti considerati fonte di malware o “threats” In generale) – Si può uitilizzare anche una URL category come criterio di matching (Posso per esempio applicare regole di antivirus solo per URL relative a determinate categorie di sito). Meccanismi di protezione dai DoS (Denial of Service) in modo da mantenere utilizzabile un servizio sotto attacco, riconoscendo e fermando solo i flussi di traffico “Malevolo” o comunque mitigando l’effetto del DoS. Sistema di logging e reportistica avanzata integrati (senza bisogno di ricorrere a componenti aggiuntivi) Tool automatico per la conversione delle ACL CISCO in regole da applicare sul Paloalto (anche se ovviamente consigliano di riscriverle comunque da zero vista la enorme differenza di filosofia della piattaforma)

Principali famiglie di firewall paloalto Appliance HW: PA Gbps (2Gbps threat) PA Gbps (5Gbps threat) PA Gbps (10Gbps threat) PA Gbps (60Gbps threat) PA Gbps (100Gbps threat) Soluzioni Virtuali Versioni per Amazon, Azure, VMware ESXi™ and NSX™, Citrix Netscaler ® SDX™, Microsoft Hyper-V ® and KVM/OpenStack ® VM-1000 HW 1Gbps (600 Mbps threat prevention) 17

Conclusioni In generale l’adozione di un Next Generation Firewall è certamente di grande aiuto nella gestione della sicurezza. La definizione di ACL complesse ha ormai raggiunto il limite hardware del router di frontiera del CNAF (e mi dicono che anche LNF sta soffrendo su questo punto) Le “feature” principalmente legate alla capacità di rilevare attacchi dalla analisi del comportamento delle applicazioni sulla rete rendono questo strumento enormemente più potente rispetto ai firewall di vecchia generazione. Il sistema di blocco automatico dei tentativi di intrusione oltre a costituire un ottimo sistema di intrusion detection, da il tempo eventualmente di mettere in sicurezza i sistemi vulnerabili mantenendo in sicurezza il centro. Per quanto riguarda la piattaforma Paloalto nello specifico il sistema di riferimento per il CNAF sarebbe il PA

Conclusioni Per quanto riguarda il CNAF nello specifico, l’ideale è installarlo fra il router di frontiera ed il router del GARR in modo da proteggere anche il router stesso, tutti i Servizi Nazionali, il Sistema informativo ed i PC dei dipendenti (escludendo il traffico relativo al trasferimento dati scientifici) 19 CISCO 6506 WAN General IP CISCO 6509Nexus 7018 LHCOPN LHCONE TIER1 Pc uffici Concentratore uffici Inserimento in modalità VIRTUAL WIRE Serv Naz Sysinfo SD

Ringraziamenti Paloalto Networks per averci dato a disposizione il Firewall ed il supporto tecnico (Alessio Agnello e Alberto Bugini) L’installazione del PA-5050 è stata seguita in ambito Netgroup e sono intervenuti anche alcuni colleghi da altre Sezioni – Sandra Parlati, Gianluca Peco, Piero Spinnato, Riccardo Veraldi. Gli utenti del CNAF che hanno fatto da “Cavia per più di un mese”. 20

FINE 21

Backup slides 22

Alcuni commenti e domande raccolti da una prima lettura del documento sui FW che sta girando in Netgroup 23 Cecchini:”Il gioco vale la candela?” “Se avessimo un paio di NGFW da un anno cosa ci saremmo risparmiati?” “In un ambiente "aperto" come il nostro, siamo sicuri che le eccezioni alle regole non si rivelino una gestione pesante?” “Privacy: Siamo sicuri che questi sistemi che fanno analisi del payload non violino alcuna regola imposta dal garante sulla privacy ?” (Un po provocatoria ed in subordine alle altre) Guarracino:“Utilizzare le funzionalità evolute delle ACL sui router che già abbiamo che permettono di creare ACL piu’ dinamiche” Inspection Rules (CBAC Contesxt Based Access) Veraldi: “L’utilizzo di un sistema come ARGUS in abbinamento ad un Firewall L4 potrebbe essere sufficiente”.. Da investigare Pistoni:“Come si contrastano attacchi che prendono di mira un servizio aperto all’esterno senza entrare nel merito del payload ?”

Discussione Aperta Domande a cui vorrei trovare risposte dalla discussione Quali delle tecnologie di cui abbiamo discusso vogliamo approfondire? (Tenendo conto del tempo reale che potremo investire) Quali collaborazioni sono possibili ed utili per svolgere un lavoro che sia efficace ? – GARR e’ interessato ad approfondire alcuni aspetti assieme a noi? Considerazioni Credo valga assolutamente la pena avere almeno in prova qualche NGFW per valutare sul campo la tecnologia 24