Tavola Rotonda Firewall, Next Generation Firewall e soluzioni per la sicurezza Stefano Zani (INFN CNAF) CCR LNF, 29 Maggio 2015 Credit: Stephen.

Slides:



Advertisements
Presentazioni simili
DiFMon Distributed Flow Monitor Claudio Mazzariello, Francesco Oliviero, Dario Salvi.
Advertisements

Informatica e Telecomunicazioni
ISA Server 2004 Enterprise Edition Preview. ISA Server 2004.
Il Consolidamento di Servizi Virtual Server 2005 PierGiorgio Malusardi Evangelist - IT Professional Microsoft.
Gestione dei laboratori Come rendere sicura la navigazione internet e l'uso della rete Lorenzo Nazario.
Anno Accademico Corso di Informatica Informatica per Scienze Biologiche e Biotecnologie Anno Accademico
CSN1 2 Aprile 2003 P. Morettini 1 Relazione sulla CCR La riunione di Commissione Calcolo e Reti del 6 Marzo è stata in parte dedicata alla discussione.
Aspetti critici rete LAN e WAN per i Tier-2
A.A. 2007/2008Corso: Sicurezza 1 © Danilo Bruschi Sicurezza dei calcolatori e delle reti Proteggere la rete: tecnologie Lez. 13.
Concetti introduttivi
Reti di Calcolatori IL LIVELLO RETE.
Progetto di una architettura per lesecuzione distribuita e coordinata di azioni Progetto per lesame di Reti di Calcolatori L-S Prof. Antonio Corradi Finistauri.
Wireless Authentication
Il Firewall Sistemi di elaborazione dellinformazione : Sicurezza Anno Accademico 2001/2002 Martini Eros.
Istituto Nazionale di Fisica Nucleare Roma,12 febbraio 2001 Netgroup meeting Situazione attuale e attivita futura - R.Gomezel 1 Netgroup meeting Situazione.
Case study Maiora srl.
Marketing RetailMultivideo su IPver 1.0 Multivideoconferenza su IP.
Situazione attuale delle reti e problematiche
Benvenuti a Un incontro informativo di grande valore ed alto contenuto sulla Virtualizzazione e sistemi ad alta disponibiltà per le PMI.
ZyXEL Sicurezza e semplicità. Agenda Presentazione della Società Concetti di base per i prodotti di sicurezza La gamma ZyWALL La gamma Prestige.
La rete di istituto Maninder Bansal 5Bz Vital Ivo 5Bz Anno scolastico 2005/06.
VIRTUALIZZAZIONE Docente: Marco Sechi Modulo 1.
Agenti Mobili Intelligenti e Sicurezza Informatica
GAC: mercato Verticale dedicato alle aziende che sviluppano attività su commessa, ovvero legate alla realizzazione di progetti o di prodotti non di serie.
Virtualization by Security A novel antivirus for personal computers Università degli Studi di Bergamo Corso di Laurea Specialistica In Ingegneria Informatica.
Works in progress.  Semplificazione e maggiore efficienza della gestione  Risparmio (nel medio periodo)  Riallocazione delle risorse (hardware e timesheet)
Sicurezza nella Sezione INFN di Bologna Franco Brasolin Servizio Calcolo e Reti Sezione INFN di Bologna Riunione Referenti – Bologna 17 Novembre 2003 –
Dal click alla pagina web... Centro di Calcolo Corso Internet 22 Novembre 1996 Stefano Bistarelli Università di Chieti-Pescara “G. D’Annunzio” Dipartimento.
Reti di computer Non esiste una classificazione univoca delle reti ma due aspetti hanno un particolare importanza Tecnologia di trasmissione Scala.
Confronto soluzioni di connettività 23/04/2015 Estensori: L.Cazzani (Referente interna Rete Istituto), F. Fusili (Responsabile esterno Rete Istituto);
Livello 3 Network (Rete)
Prof. ing. Paolo Bidello AA 2005/2006 Laboratorio Informatico Promemoria degli argomenti: Reti locali (LAN)
Tecnologie di Sicurezza in Internet APPLICAZIONI Architetture di firewall AA Ingegneria Informatica e dell’Automazione.
Luca Tampieri - INFN Firenze1 Intrusion Detection Systems Cosa sono gli Intrusion Detection Systems (IDS) e a cosa servono Snort Demarc, Acid e SnortSnarf.
Meeting Referenti Sicurezza Network Franco Brasolin Servizio Calcolo e Reti Sezione INFN di Bologna Meeting Referenti – Bologna 28 Aprile 2004 – F. Brasolin.
Di Succi Marco Corso di Sicurezza dei Sistemi Informativi A.A. 2009/2010.
I FIREWALL. COSA SONO I FIREWALL? LAN MONDO ESTERNO UN FIREWALL E’ UN SISTEMA CHE SUPPORTA UNA POLITICA DI CONTROLLO DEGLI ACCESSI FRA DUE RETI (POLITICHE.
Simulazione Computer Essentials
Riunione CCR 21/12/2005 Gruppo Storage Relazione sulla analisi di infrastrutture Fibre Channel e presentazione attivita’ per il 2006 Alessandro Brunengo.
Note: deve essere possibile utilizzare il protocollo BGP sui router per propagare le due reti visibili su internet tale soluzione deve essere concordata.
Progetti 2015/2016. Proj1: Traduzione di regole snort in regole iptables Snort: – analizza i pacchetti che transitano in rete, confrontandoli con un database.
I sistemi operativi Funzioni principali e caratteristiche.
Commissione Calcolo e Reti Gruppo Multimediale Stefano Zani, Alfredo Pagano INFN-CNAF Bologna, 3 Marzo 2008.
CNAF 6 Novembre Layout del testbed  wn a OS SL5.0 8 GB RAM kernel xen_3.1.0 SMP  wn a OS SL5.0 8 GB RAM kernel.
Implementazioni di un analizzatore di protocollo Esistono quattro fondamentali tradeoff per la realizzazione di un analizzatore di protocollo:  Analisi.
Referaggio apparati di rete 2012 Sessione giugno Gruppo referee rete Fulvia Costa Enrico Mazzoni Paolo Lo Re Stefano Zani Roma, CCR
Referaggio apparati di rete 2015 Seconde priorità Gruppo referee rete Fulvia Costa Paolo Lo Re Enrico Mazzoni Stefano Zani Roma 1, CCR marzo 2015.
26 Giugno 2007CSN1 - Frascati1 Temi di attualità nella CCR Accanto alla tradizionale attività di controllo dei finanziamenti per le infrastrutture di calcolo.
Domenico Elia1Riunione PRIN STOA-LHC / Bologna Attività per ALICE: sommario e prospettive Domenico Elia Riunione PRIN STOA-LHC Bologna, 18 Giugno.
 Network Address Traslation: tecnica che permette di trasformare gli indirizzi IP privati in indirizzi IP pubblici  Gli indirizzi devono essere univoci.
Next Generation Firewall Considerazioni generali e prove sul campo Massimo Pistoni (INFN LNF) Stefano Zani (INFN CNAF) Workshop CCR Biodola,
Firewall Next Steps Stefano Zani (INFN CNAF) CCR Roma, 14 Settembre 2015 Credit: Stephen Sauer 1.
(possibili scenari) Gruppo Multimedia Stefano Zani (INFN CNAF) Commissione Calcolo e Reti Frascati, Dicembre 2007.
Esigenze di rete per il calcolo LHC Workshop CCR LNL, Febbraio 2011 Stefano Zani INFN CNAF 1S.Zani INFN CNAF.
VLAN Virtual LAN.
Referaggio apparati di rete 2014 Seconde priorità Gruppo referee rete Fulvia Costa Paolo Lo Re Enrico Mazzoni Stefano Zani CNAF, CCR 1-2 aprile 2014.
Test del Next Generation FireWall Fortigate 1500D Massimo Pistoni WS CCR maggio 2016.
Uso della rete geografica e richieste di upgrade CCR 31/3/2015 (Roma) S.Zani.
Discussione sul dimensionamento dei collegamenti per conferenze. R. Gomezel, R. Veraldi, S. Zani Commissione Calcolo e Reti Frascati, 31 Maggio 2007.
Netgroup (Rapporto di aggiornamento alla Commissione) Stefano Zani (INFN CNAF) CCR Roma, Ottobre 2013.
Aggiornamento Netgroup R.Gomezel Commissione Calcolo e Reti Presidenza 5/10/2010-7/10/2010.
Aggiornamento Netgroup R.Gomezel Commissione Calcolo e Reti LNF 29/09/ /10/2008.
Referaggio apparati di rete 2013 Seconde priorità Gruppo referee rete Fulvia Costa Paolo Lo Re Enrico Mazzoni Stefano Zani Referaggi aprile 2013.
Aggiornamento Netgroup R.Gomezel Commissione Calcolo e Reti LNF 29/09/ /10/2009.
CCR - Roma 15 marzo 2007 Gruppo storage CCR Report sulle attivita’ Alessandro Brunengo.
Cluster di login E. P.. Scopo del cluster di login Fornire accesso alle macchine interne ed ai servizi Evitare gli attacchi diretti alle macchine interne.
Referaggio apparati di rete 2016 Gruppo referee rete Fulvia Costa Paolo Lo Re Enrico Mazzoni Stefano Zani.
NAT, Firewall, Proxy Processi applicativi.
Transcript della presentazione:

Tavola Rotonda Firewall, Next Generation Firewall e soluzioni per la sicurezza Stefano Zani (INFN CNAF) CCR LNF, 29 Maggio 2015 Credit: Stephen Sauer 1

Firewall ed apparati di sicurezza Intro La sicurezza informatica di un centro, è sempre più legata ad un effetto combinato di più fattori, dei quali il “Firewall” costituisce solo uno dei componenti. I firewall si sono evoluti nel tempo da semplici packet filter a Next Generation Firewall che integrano anche le funzioni di DPI (Deep Packet Inspection), IPS (Intrusion Prevention System). Molti di questi sistemi basandosi su processori dedicati (ASIC e NPU), analizzando il payload del traffico a line rate, sono in grado di riconoscere attacchi a livello applicativo basandosi su signature che sono in continuo aggiornamento analogamente a quanto accade per gli anti virus. Questi sistemi dichiarano di essere in grado di contrastare in maniera efficace anche attacchi di tipo DDoS e “Scan” intensivi alla ricerca di vulnerabilità applicative tramite accessi ripetuti su porte lecite. 2

ACL su router (o switch) Sistema utilizzato più diffusamente all’INFN CONTRO: Complessità delle regole: ACL da 500 o più linee diventano pesanti da gestire sia per chi le scrive, sia per i router. Necessità di frequenti interventi sul router di frontiera per la modifica delle ACL  Rischio per la connettività. Poco efficaci contro attacchi distribuiti (originati simultaneamente da differenti host o reti) Non sono in grado di discriminare pattern di attacco relativi a malware o exploit in rapida evoluzione. PRO: Gestite generalmente in ASIC  le performance crescono linearmente con la connettività del centro. Non introducono costi aggiuntivi o ricorrenti oltre a quelli di normale manutenzione dei router. Router WAN LAN ACL access-list 103 permit tcp any any established ! ! Chiusura Accesso reti CINESI, Koreane, Polacche Francesi e Brasiliane che fanno scan continui (ultima segnalazione ) access-list 103 deny ip any access-list 103 deny ip any access-list 103 deny ip any access-list 103 deny ip any access-list 103 deny ip any access-list 103 deny ip any access-list 103 deny ip any access-list 103 deny ip any access-list 103 deny ip any access-list 103 deny ip any access-list 103 deny ip any access-list 103 deny ip any access-list 103 deny ip any access-list 103 deny ip any access-list 103 deny ip any 3

Firewall ed apparati di sicurezza Next Generation Firewall CONTRO: Costi elevati: Acquisto e costi ricorrenti per l’aggiornamento delle signature (analogamente agli anti virus) Le piattaforme HW spesso sono poco scalabili e ad un aumento sostanziale della connettività del centro, corrisponde spesso l’acquisto di un nuovo firewall. E’ possibile incorrere in falsi positivi che taglino parte del traffico di produzione. PRO: Device separato dal Router di accesso  scarica l’apparato di rete e può essere gestito da differenti contesti amministrativi. Controllo del payload a wire speed (soluzioni HW dedicate)  Controllo a livello applicativo e non solo a livello di indirizzo/porta. Aggiornamento automatico delle “Signature” degli attacchi e dei malware più diffusi. Piattaforme di gestione in genere evolute ed in grado di gestire più facilmente configurazioni complesse 4

Firewall ed apparati di sicurezza NGFW e costi indicativi: Le soluzioni sul mercato sono molte: Fin dallo scorso anno abbiamo incontrato vari produttori di NGFW quali Paloalto, Checkpoint, McAfee, Fortinet e Clavister. I prezzi indicaivi sono: 1.8K€ +800 €/anno -> 4 Gb/s (<=1G IPS) (Clavister) 20 K€ +10K€/anno -> 8x10Gb/s (10 Gb/s IPS). (Fortinet) Fino a soluzioni in grado di arrivare anche a 120 Gb/s (60 Gb/s IPS) che arrivano a costare cifre superiori ai 160K€ + 73K€ /anno di listino (Palo Alto) “La velocità di banda di connessione delle nostre sedi è generalmente di un ordine di grandezza superiore alla banda gestita dal Firewall che potremmo permetterci”. Anche a livello internazionale, fra i principali centri di calcolo di LHC, si parla di Science DMZ (LHCOPN ed LHCONE richiedono non vi siano Firewall fra i nodi che collegano) 5

Spunti di discussione “Classificazione del traffico per ridurre il carico sui firewall” Router WAN Firewall (HW) (ASIC) LAN Policy Based Routing Server o servizio da proteggere Servizi meno esposti per i quali non è necessaria la protezione di un NGFW Router WAN LAN Server o servizio da proteggere Servizi meno esposti per i quali non è necessaria la protezione di un NGFW White Listing Del traffico che Non devo controllare Firewall (HW) (ASIC) 6

Spunti di discussione Approccio SDN L’indirizzamento dei singoli flussi (SDN - Openflow) consente di realizzare le funzioni equivalenti ad elementi quali: Load Balancer: Riscrivendo l’IP di destinazione solo per traffico destinato a certe porte Span Port: Replicando tutto il traffico di una porta su di un’altra porta fisica Pachet Filter: “Droppando” specifici flussi (IP-SRC-PORT/IP-DST-PORT)  DROP L’ecosistema di APPS che si stanno sviluppando attorno agli SDN Controller, inizia a coprire anche il settore della sicurezza come per esempio il progetto Defense4all basato su OpenDaylight che dovrebbe essere in grado di contrastare attacchi di tipo DDoS attuando reazioni automatiche a determinati pattern - (R&D) 7

Spunti di discussione NFV e FW virtuali Con il concetto di NFV (Network Function Virtualizaiton), si intende virtualizzare i componenti principali della rete: (Switch, Router, Load Balancer ed appunto i Firewall). Uno degli obiettivi dell’ ETSI (European Telecommunication Standard Institute) con il supporto di NFV è quello di diminuire i costi della rete in termini sia di CAPEX che OPEX. VM Switching Firewall (HW) (ASIC) VM VF VR Una distribuzione delle funzionalità di rete sugli hypervisor necessita di un ottimo sistema di gestione per amministrare tutti I componenti come fossero uno solo. Non si hanno le performance degli ASIC ma si può scalare con il numero delle VM che svolgono le funzionalità di rete Hypervisor Switch(Router) 8

Spunti di discussione NFV e FW virtuali - PRESTAZIONI Performance 3-4 Gb/s per CORE per operazioni molto leggere sui pacchetti (NO FW o DPI) Per funzioni di Switching di base e Routing, le prestazioni sono già di buon livello n x Gb/s Per funzioni di DPI, si parla di numeri dell’ordine del centinaio di Mb/s (Paloalto- VM-1000-HW - 600Mb/s). Colli di Bottiglia TCP stack e Linux kernel (nelle VM che virtualizzano elementi di rete) Virtual Switch della Hypervisor Possibili elementi che possono contribuire ad un aumento delle prestazioni Virtual Switch ottimizzati - Intel DPDK (Data Plane Development Kit) Librerie e driver ottimizzati per il processamento rapido dei pacchetti Inetrfacce di rete virtuali dedicate (Bypas delle Hypervisor) SR-IOV (Single Root I/0 Virtualization): Una sorta di meccanismo di DMA fra la scheda e la porzione di memoria del Guest-OS (della macchina virtuale) N CORE dedicati al processamento dei paccetti 9

Alcuni commenti e domande raccolti da una prima lettura del documento sui FW che sta girando in Netgroup Cecchini:”Il gioco vale la candela?” “Se avessimo un paio di NGFW da un anno cosa ci saremmo risparmiati?” “In un ambiente "aperto" come il nostro, siamo sicuri che le eccezioni alle regole non si rivelino una gestione pesante?” “Privacy: Siamo sicuri che questi sistemi che fanno analisi del payload non violino alcuna regola imposta dal garante sulla privacy ?” (Un po provocatoria ed in subordine alle altre) Guarracino:“Utilizzare le funzionalità evolute delle ACL sui router che già abbiamo che permettono di creare ACL piu’ dinamiche” Inspection Rules (CBAC Contesxt Based Access) Veraldi: “L’utilizzo di un sistema come ARGUS in abbinamento ad un Firewall L4 potrebbe essere sufficiente”.. Da investigare Pistoni:“Come si contrastano attacchi che prendono di mira un servizio aperto all’esterno senza entrare nel merito del payload ?” 10

Discussione Aperta Domande a cui vorrei trovare risposte dalla discussione Quali delle tecnologie di cui abbiamo discusso vogliamo approfondire? (Tenendo conto del tempo reale che potremo investire) Quali collaborazioni sono possibili ed utili per svolgere un lavoro che sia efficace ? – GARR e’ interessato ad approfondire alcuni aspetti assieme a noi? Considerazioni Credo valga assolutamente la pena avere almeno in prova qualche NGFW per valutare sul campo la tecnologia 11

Fine 12

13