Tavola Rotonda Firewall, Next Generation Firewall e soluzioni per la sicurezza Stefano Zani (INFN CNAF) CCR LNF, 29 Maggio 2015 Credit: Stephen Sauer 1
Firewall ed apparati di sicurezza Intro La sicurezza informatica di un centro, è sempre più legata ad un effetto combinato di più fattori, dei quali il “Firewall” costituisce solo uno dei componenti. I firewall si sono evoluti nel tempo da semplici packet filter a Next Generation Firewall che integrano anche le funzioni di DPI (Deep Packet Inspection), IPS (Intrusion Prevention System). Molti di questi sistemi basandosi su processori dedicati (ASIC e NPU), analizzando il payload del traffico a line rate, sono in grado di riconoscere attacchi a livello applicativo basandosi su signature che sono in continuo aggiornamento analogamente a quanto accade per gli anti virus. Questi sistemi dichiarano di essere in grado di contrastare in maniera efficace anche attacchi di tipo DDoS e “Scan” intensivi alla ricerca di vulnerabilità applicative tramite accessi ripetuti su porte lecite. 2
ACL su router (o switch) Sistema utilizzato più diffusamente all’INFN CONTRO: Complessità delle regole: ACL da 500 o più linee diventano pesanti da gestire sia per chi le scrive, sia per i router. Necessità di frequenti interventi sul router di frontiera per la modifica delle ACL Rischio per la connettività. Poco efficaci contro attacchi distribuiti (originati simultaneamente da differenti host o reti) Non sono in grado di discriminare pattern di attacco relativi a malware o exploit in rapida evoluzione. PRO: Gestite generalmente in ASIC le performance crescono linearmente con la connettività del centro. Non introducono costi aggiuntivi o ricorrenti oltre a quelli di normale manutenzione dei router. Router WAN LAN ACL access-list 103 permit tcp any any established ! ! Chiusura Accesso reti CINESI, Koreane, Polacche Francesi e Brasiliane che fanno scan continui (ultima segnalazione ) access-list 103 deny ip any access-list 103 deny ip any access-list 103 deny ip any access-list 103 deny ip any access-list 103 deny ip any access-list 103 deny ip any access-list 103 deny ip any access-list 103 deny ip any access-list 103 deny ip any access-list 103 deny ip any access-list 103 deny ip any access-list 103 deny ip any access-list 103 deny ip any access-list 103 deny ip any access-list 103 deny ip any 3
Firewall ed apparati di sicurezza Next Generation Firewall CONTRO: Costi elevati: Acquisto e costi ricorrenti per l’aggiornamento delle signature (analogamente agli anti virus) Le piattaforme HW spesso sono poco scalabili e ad un aumento sostanziale della connettività del centro, corrisponde spesso l’acquisto di un nuovo firewall. E’ possibile incorrere in falsi positivi che taglino parte del traffico di produzione. PRO: Device separato dal Router di accesso scarica l’apparato di rete e può essere gestito da differenti contesti amministrativi. Controllo del payload a wire speed (soluzioni HW dedicate) Controllo a livello applicativo e non solo a livello di indirizzo/porta. Aggiornamento automatico delle “Signature” degli attacchi e dei malware più diffusi. Piattaforme di gestione in genere evolute ed in grado di gestire più facilmente configurazioni complesse 4
Firewall ed apparati di sicurezza NGFW e costi indicativi: Le soluzioni sul mercato sono molte: Fin dallo scorso anno abbiamo incontrato vari produttori di NGFW quali Paloalto, Checkpoint, McAfee, Fortinet e Clavister. I prezzi indicaivi sono: 1.8K€ +800 €/anno -> 4 Gb/s (<=1G IPS) (Clavister) 20 K€ +10K€/anno -> 8x10Gb/s (10 Gb/s IPS). (Fortinet) Fino a soluzioni in grado di arrivare anche a 120 Gb/s (60 Gb/s IPS) che arrivano a costare cifre superiori ai 160K€ + 73K€ /anno di listino (Palo Alto) “La velocità di banda di connessione delle nostre sedi è generalmente di un ordine di grandezza superiore alla banda gestita dal Firewall che potremmo permetterci”. Anche a livello internazionale, fra i principali centri di calcolo di LHC, si parla di Science DMZ (LHCOPN ed LHCONE richiedono non vi siano Firewall fra i nodi che collegano) 5
Spunti di discussione “Classificazione del traffico per ridurre il carico sui firewall” Router WAN Firewall (HW) (ASIC) LAN Policy Based Routing Server o servizio da proteggere Servizi meno esposti per i quali non è necessaria la protezione di un NGFW Router WAN LAN Server o servizio da proteggere Servizi meno esposti per i quali non è necessaria la protezione di un NGFW White Listing Del traffico che Non devo controllare Firewall (HW) (ASIC) 6
Spunti di discussione Approccio SDN L’indirizzamento dei singoli flussi (SDN - Openflow) consente di realizzare le funzioni equivalenti ad elementi quali: Load Balancer: Riscrivendo l’IP di destinazione solo per traffico destinato a certe porte Span Port: Replicando tutto il traffico di una porta su di un’altra porta fisica Pachet Filter: “Droppando” specifici flussi (IP-SRC-PORT/IP-DST-PORT) DROP L’ecosistema di APPS che si stanno sviluppando attorno agli SDN Controller, inizia a coprire anche il settore della sicurezza come per esempio il progetto Defense4all basato su OpenDaylight che dovrebbe essere in grado di contrastare attacchi di tipo DDoS attuando reazioni automatiche a determinati pattern - (R&D) 7
Spunti di discussione NFV e FW virtuali Con il concetto di NFV (Network Function Virtualizaiton), si intende virtualizzare i componenti principali della rete: (Switch, Router, Load Balancer ed appunto i Firewall). Uno degli obiettivi dell’ ETSI (European Telecommunication Standard Institute) con il supporto di NFV è quello di diminuire i costi della rete in termini sia di CAPEX che OPEX. VM Switching Firewall (HW) (ASIC) VM VF VR Una distribuzione delle funzionalità di rete sugli hypervisor necessita di un ottimo sistema di gestione per amministrare tutti I componenti come fossero uno solo. Non si hanno le performance degli ASIC ma si può scalare con il numero delle VM che svolgono le funzionalità di rete Hypervisor Switch(Router) 8
Spunti di discussione NFV e FW virtuali - PRESTAZIONI Performance 3-4 Gb/s per CORE per operazioni molto leggere sui pacchetti (NO FW o DPI) Per funzioni di Switching di base e Routing, le prestazioni sono già di buon livello n x Gb/s Per funzioni di DPI, si parla di numeri dell’ordine del centinaio di Mb/s (Paloalto- VM-1000-HW - 600Mb/s). Colli di Bottiglia TCP stack e Linux kernel (nelle VM che virtualizzano elementi di rete) Virtual Switch della Hypervisor Possibili elementi che possono contribuire ad un aumento delle prestazioni Virtual Switch ottimizzati - Intel DPDK (Data Plane Development Kit) Librerie e driver ottimizzati per il processamento rapido dei pacchetti Inetrfacce di rete virtuali dedicate (Bypas delle Hypervisor) SR-IOV (Single Root I/0 Virtualization): Una sorta di meccanismo di DMA fra la scheda e la porzione di memoria del Guest-OS (della macchina virtuale) N CORE dedicati al processamento dei paccetti 9
Alcuni commenti e domande raccolti da una prima lettura del documento sui FW che sta girando in Netgroup Cecchini:”Il gioco vale la candela?” “Se avessimo un paio di NGFW da un anno cosa ci saremmo risparmiati?” “In un ambiente "aperto" come il nostro, siamo sicuri che le eccezioni alle regole non si rivelino una gestione pesante?” “Privacy: Siamo sicuri che questi sistemi che fanno analisi del payload non violino alcuna regola imposta dal garante sulla privacy ?” (Un po provocatoria ed in subordine alle altre) Guarracino:“Utilizzare le funzionalità evolute delle ACL sui router che già abbiamo che permettono di creare ACL piu’ dinamiche” Inspection Rules (CBAC Contesxt Based Access) Veraldi: “L’utilizzo di un sistema come ARGUS in abbinamento ad un Firewall L4 potrebbe essere sufficiente”.. Da investigare Pistoni:“Come si contrastano attacchi che prendono di mira un servizio aperto all’esterno senza entrare nel merito del payload ?” 10
Discussione Aperta Domande a cui vorrei trovare risposte dalla discussione Quali delle tecnologie di cui abbiamo discusso vogliamo approfondire? (Tenendo conto del tempo reale che potremo investire) Quali collaborazioni sono possibili ed utili per svolgere un lavoro che sia efficace ? – GARR e’ interessato ad approfondire alcuni aspetti assieme a noi? Considerazioni Credo valga assolutamente la pena avere almeno in prova qualche NGFW per valutare sul campo la tecnologia 11
Fine 12
13