Next Generation Firewall Considerazioni generali e prove sul campo Massimo Pistoni (INFN LNF) Stefano Zani (INFN CNAF) Workshop CCR Biodola, 17 Maggio Credit: Stephen Sauer

Introduzione Dopo una analisi generale fatta lo scorso anno sulle piattaforme di firewalling più diffuse, è iniziata una attività più mirata al test di Next Generation Firewall con l’obiettivo di individuare gli apparati giusti da mettere in campo nelle sedi che ospitano i principali servizi nazionali. Considerando i contesti di CNAF ed LNF, gli accessi alla rete geografica da proteggere sono dell’ordine di 2x10Gb/s (Full Duplex) Visti i costi elevati dei firewall di nuova generazione, si sono prese in considerazione alcune soluzioni infrastrutturali alternative alla protezione generale di tutti i nodi di una struttura. Protezione di un solo ramo della rete (richiede intervento sulla struttura) Protezione su tutto il traffico escludendo quello di trasferimento dati (GridFTP, Xrootd) che, come volume è preponderante. 2

Router WAN LAN Server o servizi da proteggere Trasferimento dati (traffico scientifico) White Listing Del traffico che Non devo controllare Firewall (HW) (FPGA/ASIC) 3 Pc Utenti Router WAN LAN calcolo Scientifico Server o servizi da proteggere Trasferimento dati (traffico scientifico) Firewall (HW) (FPGA/ASIC) 3 Pc Utenti

4 Alimentazione ridondata Prestazioni dell’ordine della decina di Gigabit/s in “full threat prevention”. Possibilità di funzionare in modalità “Transparent” Analisi e discriminazione del traffico in base alla applicazione e non solo sulla base del numero di porta utilizzata. Questo prevede che avvenga un processo di deep packet inspection a wire speed. Rilevamento automatico dei “Threat” ed aggiornamento frequente delle “Signature” – Anti virus – Anti spyware – IPS Meccanismi di protezione dai DoS (Denial of Service) in modo da proteggere un servizio sotto attacco, riconoscendo e fermando solo flussi relativi all’attacco ma lasciando raggiungibile il servizio stesso. Possibilità di funzionare in ridondanza (disponendo di due apparati) URL Filtering: blocco delle connessioni verso siti pericolosi attraverso un servizio di DB aggiornato dei siti considerati fonte di malware. Caratteristiche di base (Di una soluzione da utilizzare in produzione)

5 CISCO 6506 WAN General IP CISCO 6509Nexus 7018 LHCOPN LHCONE TIER1 Pc uffici Concentratore uffici Posizionamento del firewall sulla rete di produzione del CNAF durante la prova Test sul campo Inserimento in modalità VIRTUAL WIRE Paloalto PA 5050 Serv Naz Sysinfo SD

6 Il firewall collegato in virtual wire a protezione degli uffici. E’ stato configurato all’inizio in modalità “permit all” ma con tutte le funzioni di Threat prevention attive, in modo da definire le regole di “Blocking” Successivamente a mano. Nel giro di pochissimi minuti ha fornito un quadro della distribuzione del traffico che lo attraversava ed ha classificato secondo le sue regole di default i vari flussi a seconda della “Pericolosità”. Test sul campo (Prime impressioni)

Le dashboard danno l’idea a “Colpo d’occhio”di cosa stia avvenendo sulla rete

Individuazione e classificazione dei “threat” efficace

Valutazione della minaccia e blocco del traffico relativo E’ possibile attribuire livelli di pericolosità differenti da quelle di default per ogni flussi di traffico rilevato. Una volta identificata una minaccia, il sistema mostra gli IP interessati. Se si ritiene di bloccarla, si riesce facilmente a stabilire le politiche di blocco. Già dai primi giorni di “Analisi” del traffico, il firewall ha individuato virus su PC sfuggiti agli antivirus locali e tentativi di sfruttamento di vulnerabilità su “Demoni” esposti. 9

Nodi interessati dal “Threat” Sorgenti-Destinazioni del traffico relativo al threat

Esempio di inserimento di una regola per bloccare un determinato spyware (sipvicius nel caso specifico)

Creazione di un filtro di blocco per uno spyware Si può scegliere di bloccare la minaccia in vari modi arrivando a bloccare tutto il traffico dall’IP che l’ha generata.

Data Filtering (File blocking) Antivirus online Si può impostare il Firewall per bloccare in automatico i file entranti ritenuti pericolosi (fra gli eseguibili o potenzialmente eseguibili). Per altre realtà questo sistema può essere utilizzato anche per evitare che escano file dalla azienda.

DOS Protection C’è una sezione dedicata ai DoS nella quale si possono definire le politiche da seguire in modo automatico tra cui c’è la possibilità di definire il massimo “rate” di conessioni oppure bloccare il traffico identificato come DoS per un certo tempo. In questo modo si riesce a mantenere la raggiungibilità di un servizio anche durante un attacco di tipo DoS.

15 Piattaforma bi alimentata e con totale separazione hardware del control plane dal data plane (Sempre gestibile anche sotto attacco ed a full rate) 12x 1Gb SFP ports + 4X 10Gb SFP+ ports – Max Throughput 10Gb/s (5Gb/s Full threat prevention) Possibilità di dividere il firewall in sistemi virtuali indipendenti (fino a 125). Routing (RIP,OSPF, BGP) – Può funzionare come ROUTER VPN (Lan to Lan o funzionalità di VPN concentrator) Possibilità di funzionare in modalità Virtual Wire, L2 ed L3 (Routing) contemporaneamente senza dovere partizionare il FW in differenti contesti virtuali. Supporto di IPv6 Implementazione di QoS sul traffico che lo attraversa(Traffic shaping) Utilizzo di FPGA (Quindi HW Riprogrammabile): Con gli aggiornamenti si può cambiare anche il comportamento dell’HW. Possibilità di funzionare in HA (clustering) Principali caratteristiche della piattaforma Paloalto in prova (PA 5050)

Application Matching Classificazione delle applicazioni indipendentemente dalle porte utilizzate in hardware (utilizzo delle applicazioni come criterio di matching). Possibilità di creazione della “signature” di una applicazione custom sconosciuta al sistema (cattura del traffico e profilazione) IDS ed IPS integrato. – Riconoscimento dei “Threat” dovuti ad attacchi automatici, virus, worm, malware, spyware con aggiornamento automatico delle signature (dei comportamenti sospetti sulla rete). FILE BLOCKING anche su determinate applicazioni specifiche. URL Filtering (allo scopo di bloccare le connessioni verso siti pericolosi attraverso un servizio di DB dei siti considerati fonte di malware o “threats” In generale) – Si può uitilizzare anche una URL category come criterio di matching (Posso per esempio applicare regole di antivirus solo per URL relative a determinate categorie di sito). Meccanismi di protezione dai DoS (Denial of Service) in modo da mantenere utilizzabile un servizio sotto attacco, riconoscendo e fermando solo i flussi di traffico “Malevolo” o comunque mitigando l’effetto del DoS. Sistema di logging e reportistica avanzata integrati (senza bisogno di ricorrere a componenti aggiuntivi) Tool automatico per la conversione delle ACL CISCO in regole da applicare sul Paloalto (anche se ovviamente consigliano di riscriverle comunque da zero vista la enorme differenza di filosofia della piattaforma)

Principali famiglie di firewall paloalto Appliance HW: PA Gbps (2Gbps threat) PA Gbps (5Gbps threat) PA Gbps (10Gbps threat) PA Gbps (60Gbps threat) PA Gbps (100Gbps threat) Soluzioni Virtuali Versioni per Amazon, Azure, VMware ESXi™ and NSX™, Citrix Netscaler ® SDX™, Microsoft Hyper-V ® and KVM/OpenStack ® VM-1000 HW 1Gbps (600 Mbps threat prevention) 17

Conclusioni In generale l’adozione di un Next Generation Firewall è certamente di grande aiuto nella gestione della sicurezza. La definizione di ACL complesse ha ormai raggiunto il limite hardware del router di frontiera del CNAF (e mi dicono che anche LNF sta soffrendo su questo punto) Le “feature” principalmente legate alla capacità di rilevare attacchi dalla analisi del comportamento delle applicazioni sulla rete rendono questo strumento enormemente più potente rispetto ai firewall di vecchia generazione. Il sistema di blocco automatico dei tentativi di intrusione oltre a costituire un ottimo sistema di intrusion detection, da il tempo eventualmente di mettere in sicurezza i sistemi vulnerabili mantenendo in sicurezza il centro. Per quanto riguarda la piattaforma Paloalto nello specifico il sistema di riferimento per il CNAF sarebbe il PA

Conclusioni Per quanto riguarda il CNAF nello specifico, l’ideale è installarlo fra il router di frontiera ed il router del GARR in modo da proteggere anche il router stesso, tutti i Servizi Nazionali, il Sistema informativo ed i PC dei dipendenti (escludendo il traffico relativo al trasferimento dati scientifici) 19 CISCO 6506 WAN General IP CISCO 6509Nexus 7018 LHCOPN LHCONE TIER1 Pc uffici Concentratore uffici Inserimento in modalità VIRTUAL WIRE Serv Naz Sysinfo SD

Ringraziamenti Paloalto Networks per averci dato a disposizione il Firewall ed il supporto tecnico (Alessio Agnello e Alberto Bugini) L’installazione del PA-5050 è stata seguita in ambito Netgroup e sono intervenuti anche alcuni colleghi da altre Sezioni – Sandra Parlati, Gianluca Peco, Piero Spinnato, Riccardo Veraldi. Gli utenti del CNAF che hanno fatto da “Cavia per più di un mese”. 20

FINE 21

Backup slides 22

Alcuni commenti e domande raccolti da una prima lettura del documento sui FW che sta girando in Netgroup 23 Cecchini:”Il gioco vale la candela?” “Se avessimo un paio di NGFW da un anno cosa ci saremmo risparmiati?” “In un ambiente "aperto" come il nostro, siamo sicuri che le eccezioni alle regole non si rivelino una gestione pesante?” “Privacy: Siamo sicuri che questi sistemi che fanno analisi del payload non violino alcuna regola imposta dal garante sulla privacy ?” (Un po provocatoria ed in subordine alle altre) Guarracino:“Utilizzare le funzionalità evolute delle ACL sui router che già abbiamo che permettono di creare ACL piu’ dinamiche” Inspection Rules (CBAC Contesxt Based Access) Veraldi: “L’utilizzo di un sistema come ARGUS in abbinamento ad un Firewall L4 potrebbe essere sufficiente”.. Da investigare Pistoni:“Come si contrastano attacchi che prendono di mira un servizio aperto all’esterno senza entrare nel merito del payload ?”

Discussione Aperta Domande a cui vorrei trovare risposte dalla discussione Quali delle tecnologie di cui abbiamo discusso vogliamo approfondire? (Tenendo conto del tempo reale che potremo investire) Quali collaborazioni sono possibili ed utili per svolgere un lavoro che sia efficace ? – GARR e’ interessato ad approfondire alcuni aspetti assieme a noi? Considerazioni Credo valga assolutamente la pena avere almeno in prova qualche NGFW per valutare sul campo la tecnologia 24