Firewall Next Steps Stefano Zani (INFN CNAF) CCR Roma, 14 Settembre 2015 Credit: Stephen Sauer 1.

Slides:



Advertisements
Presentazioni simili
INTERNET FIREWALL Bastion host Laura Ricci.
Advertisements

Amministratore di sistema di Educazione&Scuola
Aspetti critici rete LAN e WAN per i Tier-2
A.A. 2007/2008Corso: Sicurezza 1 © Danilo Bruschi Sicurezza dei calcolatori e delle reti Proteggere la rete: tecnologie Lez. 13.
Giornata di incontro con i Borsisti GARR, Roma, Andrea Petricca Problematiche di rete nella sperimentazione di file-system distribuiti su WAN.
Progetto Sicurezza 2 Fase di setup Prof. A. De Santis
Wireless Authentication
Istituto Nazionale di Fisica Nucleare Roma,12 febbraio 2001 Netgroup meeting Situazione attuale e attivita futura - R.Gomezel 1 Netgroup meeting Situazione.
Progetto Videoconferenze relazione dei referees Luciano Barone Stefano Belforte Roberto Stroili Commissione Calcolo - 16 Maggio 2000.
TASK 2: Ftp Partecipanti A. Chierici INFN-CNAF T. Ferrari A. Forte INFN-TO L. Gaido S. Lusso P. Mastroserio INFN-NA G. Tortone Coordinatori A. Forte, G.
LNL CMS M.Biasotto, Firenze, 22 maggio Hardware e tools di installazione Massimo Biasotto INFN – Lab. Naz. di Legnaro.
Le iniziative di comunicazione intraprese dal gruppo Inail-Ispesl-Regioni ( obiettivi, destinatari, percorso, strumenti e modalità ) A cura di Giuseppe.
Slide 1 Un browser migliore Passa a Firefox – il modo più veloce, sicuro e intelligente per navigare sul Web.
Prof. Antonio Martano ITIS “Pacinotti” Taranto
Gruppo Videoconferenze e Gruppo Multimediale Stefano Zani (INFN CNAF) Commissione Calcolo e Reti Roma, Ottobre 2005.
Workshop sulle problematiche di calcolo e reti nell’INFN Paestum,9-12 giugno 2003 Report sull’ultimo HEPiX e proposte per le prossime edizioni Roberto.
Sicurezza nella Sezione INFN di Bologna Franco Brasolin Servizio Calcolo e Reti Sezione INFN di Bologna Riunione Referenti – Bologna 17 Novembre 2003 –
1 L’ offerta Telecom Italia riservata a Confindustria Convenzione 2007.
CMS per la scuola con JOOMLA
Istituto Nazionale di Fisica Nucleare La Biodola, Isola d’Elba, 6-9 maggio 2002 AFS: Status Report WS CCR R.Gomezel Workshop sulle problematiche.
CERN: FABBRICA DEI SOGNI L'Organizzazione Europea per la Ricerca Nucleare (in francese Conseil Européen pour la Recherche Nucléaire), identificata comunemente.
Gruppo Videoconferenze e Gruppo Multimediale Stefano Zani (INFN CNAF) Commissione Calcolo e Reti Roma, Marzo 2006.
Luca Tampieri - INFN Firenze1 Intrusion Detection Systems Cosa sono gli Intrusion Detection Systems (IDS) e a cosa servono Snort Demarc, Acid e SnortSnarf.
Dael Maselli – INFN LNF CCR – 17 Marzo Dael Maselli slide 2 CCR Oracle Collaboration Suite  Ci sono seri problemi con la suite della.
Sicurezza e attacchi informatici
Acceptable Use Policy (AUP) La Rete Italiana dell'Università e della Ricerca, denominata comunemente "Rete GARR", si fonda su progetti di collaborazione.
I FIREWALL. COSA SONO I FIREWALL? LAN MONDO ESTERNO UN FIREWALL E’ UN SISTEMA CHE SUPPORTA UNA POLITICA DI CONTROLLO DEGLI ACCESSI FRA DUE RETI (POLITICHE.
Riunione CCR 21/12/2005 Gruppo Storage Relazione sulla analisi di infrastrutture Fibre Channel e presentazione attivita’ per il 2006 Alessandro Brunengo.
Progetti 2015/2016. Proj1: Traduzione di regole snort in regole iptables Snort: – analizza i pacchetti che transitano in rete, confrontandoli con un database.
Auditing di sicurezza Report 2011 O. Pinazza per il gruppo Auditing CCR-INFN Tutorial Sicurezza CCR, LNF 15 febbraio
Implementazioni di un analizzatore di protocollo Esistono quattro fondamentali tradeoff per la realizzazione di un analizzatore di protocollo:  Analisi.
Referaggio apparati di rete 2012 Sessione giugno Gruppo referee rete Fulvia Costa Enrico Mazzoni Paolo Lo Re Stefano Zani Roma, CCR
Referaggio apparati di rete 2015 Seconde priorità Gruppo referee rete Fulvia Costa Paolo Lo Re Enrico Mazzoni Stefano Zani Roma 1, CCR marzo 2015.
26 Giugno 2007CSN1 - Frascati1 Temi di attualità nella CCR Accanto alla tradizionale attività di controllo dei finanziamenti per le infrastrutture di calcolo.
Referaggio apparati di rete per il 2010 Gruppo referee rete Enrico Mazzoni Fulvia Costa Paolo Lo Re Stefano Zani Roma, CCR
Stato di GARR-X Claudia Battista Workshop CCR INFN - Isola d’Elba 17 maggio 2011.
Next Generation Firewall Considerazioni generali e prove sul campo Massimo Pistoni (INFN LNF) Stefano Zani (INFN CNAF) Workshop CCR Biodola,
TRASHWARE TRASHWARE e RICICLO INFORMATICO - Seminario di studiLecce, 12 Maggio 2009 Cosimo Durante.
Referaggio sigla CALCOLO D. Bonacorsi, G. Carlino, P. Morettini CCR – Roma 9 Settembre 2014.
A.O.B.. Referee INFN L’INFN ci ha assegnato 2 referee: – Donatella Lucchesi (INFN PD) – Francesco Giacomini (CNAF) Inseriti in CSN1 Non chiarissima la.
Tavola Rotonda Firewall, Next Generation Firewall e soluzioni per la sicurezza Stefano Zani (INFN CNAF) CCR LNF, 29 Maggio 2015 Credit: Stephen.
Referaggio apparati di rete 2014 Seconde priorità Gruppo referee rete Fulvia Costa Paolo Lo Re Enrico Mazzoni Stefano Zani CNAF, CCR 1-2 aprile 2014.
Multimedia Rapporto di attività Stefano Zani (INFN CNAF) Commissione Calcolo e Reti Frascati, 29/9 – 1/ /9/2009S.Zani.
Progressi AAI. Agenda Report da WorkingGroup e WorkShop GARR AAI Stato avanzamento lavori Lavori in corso To Do List.
Uso della rete geografica e richieste di upgrade CCR 31/3/2015 (Roma) S.Zani.
LNGS, Workshop CCR 2008, Giugno Sondaggio Utenti INFN Valeria Ardizzone INFN Catania Ombretta Pinazza CNAF.
TRIP 27 Maggio 2013Riccardo Veraldi - CCR WS
R. Brunetti – INFN Torino WS. Sicurezza CNAF Bologna dicembre
Discussione sul dimensionamento dei collegamenti per conferenze. R. Gomezel, R. Veraldi, S. Zani Commissione Calcolo e Reti Frascati, 31 Maggio 2007.
Tool di Audio/Video collaborazione ed attività multimediali (Rapporto di aggiornamento alla Commissione) Stefano Zani (INFN CNAF) CCR Roma, Ottobre.
Netgroup (Rapporto di aggiornamento alla Commissione) Stefano Zani (INFN CNAF) CCR Roma, Ottobre 2013.
Stato e previsione rete nelle sedi INFN Survey ed ipotesi di sviluppo fino al 2018 CCR 8-10 Settembre 2018 (Roma) 1 S.Zani (Netgroup)
Aggiornamento Netgroup R.Gomezel Commissione Calcolo e Reti Presidenza 5/10/2010-7/10/2010.
Aggiornamento Netgroup R.Gomezel Commissione Calcolo e Reti LNF 29/09/ /10/2008.
Progetti CCR Referaggio progetti della Commissione Calcolo e RetiReferaggio progetti della Commissione Calcolo e Reti Referees: Tommaso Boccali, Alessandro.
Referaggio apparati di rete 2013 Seconde priorità Gruppo referee rete Fulvia Costa Paolo Lo Re Enrico Mazzoni Stefano Zani Referaggi aprile 2013.
P. Morettini. Organizzazione della CCR Le principali attività della CCR consistono da un lato nell’assegnazione di fondi per le infrastrutture di rete.
Gruppo Multimedia CCR Aggiornamento sui servizi di Teleconferenza Stefano Zani (INFN CNAF) Commissione Calcolo e Reti Roma, 3-5 Ottobre 2007.
Attività Gruppo Virtualizzazione Andrea Chierici CNAF CCR
Identità Digitali Rappresentanti del personale in assemblea a ROMA 9/10 giugno 2015 Daniela, Enrico e Silvia.
EEE e Cloud Enrico Fattibene, Andrea Ferraro INFN – CNAF Workshop di CCR sull'Infrastruttura Cloud 15 Dicembre 2014 Quest'opera è distribuita con Licenza.
Gruppo Mailing: studio sulla posta centralizzata Workshop CCR LNGS, 9 giugno 2008.
Multimedia Rapporto di attività Stefano Zani (INFN CNAF) Commissione Calcolo e Reti Frascati, Marzo /3/2009S.Zani.
Aggiornamento Netgroup R.Gomezel Commissione Calcolo e Reti LNF 29/09/ /10/2009.
P. Morettini 19/5/ Paolo Morettini - ATLAS Italia - Napoli.
Aggiornamento sui contratti ed accordi quadro nazionali hw e sw G. Vita Finzi Workshop CCR, LNS, 30 maggio 2014.
Transcript della presentazione:

Firewall Next Steps Stefano Zani (INFN CNAF) CCR Roma, 14 Settembre 2015 Credit: Stephen Sauer 1

Firewall ed apparati di sicurezza Come procediamo ? Non è passato molto tempo dalla tavola rotonda sui firewall (29 Maggio) e non c’è stata molta attività sul tema. Primi test sul Next Generation Firewall Software finanziato alla sede di Ferrara Un report è già pronto grazie ad Andrea Donati ed i colleghi di Ferrara (diventerà una nota). In generale sembra una buona soluzione come firewall classico anche se la parte di IDP è in realtà limitata: “Compiling IDP signatures... Warning W5774: - Failed to add some signature(s) in rule abcdef: maximum number of signatures reached - not all signatures will be used (FWCore Error code: ) Done.” In pratica per la funzione più rilevante bisogna scegliere a priori da quali tipi di attacco ci si vuole difendere. Il Documento di riepilogo delle varie attività di valutazione da cui è stata ricavata la presentazione fatta al Workshop ( d=9201) è quasi pronto. 2

Prossimi passi Test su traffico di produzione di una o due piattaforme di Next Generation Firewall di fascia medio alta (Sicuramente Fortinet presso i LNF e magari anche PaloAlto presso CNAF o altra sede) allo scopo di verificare se effettivamente ci sia una efficacia reale degli strumenti soprattutto sulla capacità di riconoscere attacchi di tipo DDoS o che sfruttino vulnerabilità di componenti web. 1)Qualora una delle piattaforme si dimostrasse effettivamente efficace, occorrerà cercare di reperire i fondi per un finanziamento speciale che però porterà a spese ricorrenti per l’aggiornamento delle signature (Spese cha vanno da un minimo di 800 € a K€ per le piattaforme più performanti). 2)Sulla base delle prove sul campo, si cercherà di definire le configurazioni in cui impegnare il firewall.. a)Sul link geografico b)Sul link geografico ma con “Match List” specifiche in modo da ridurre la quantità di traffico su cui deve effettivamente operare. c)Su collegamenti interni che ospitano solo alcuni servizi (Non protegge da DDoS sugli altri apparati della sede ospitante quali ad esempio il router). Si può pensare ad avere le prime impressioni basate sulla esperienza fatta sul campo già nei primi mesi del

Campi di investigazione NFV – Attività con GARR (Anche se le soluzioni di firewalling sembrano per ora limitate a packet filter) E’ certamente utile approfondire l’utilizzo di IDS tipo ARGUS sulle nostre reti (Ci vuole il tempo per farlo). 4

Considerazioni finali Firewall di basso costo (SW o HW) per sezioni che non abbiano Switch Router di fascia alta ingrado di sopportare ACL pesanti in HW si possono all’occorrenza finanziare Per sedi con bande di accesso importanti e che ospitano servizi fondamentali, occorre provare ancora sul campo per identificare le piattaforme idonee (visti I costi). Non è escluso che ci troveremo a dovere correre ai ripari con soluzioni di firewalling ad alte prestazioni qualora I nostri apparati di frontiera non riuscissero più a reggere la complessità delle regole e la quantità in continuo aumento di scan ed attacchi…. Il recente problema di degrado di servizio sul router di frontiera del CNAF era in qualche modo legato alla gestione in HW delle ACL.. 5

Fine 6