Test del Next Generation FireWall Fortigate 1500D Massimo Pistoni WS CCR 16-20 maggio 2016.

Slides:



Advertisements
Presentazioni simili
Unità D2 Database nel web. Obiettivi Comprendere il concetto di interfaccia utente Comprendere la struttura e i livelli che compongono unapplicazione.
Advertisements

RETI INFORMATICHE Una panoramica su Internet WS_FTP
ISA Server 2004 Configurazione di Accessi via VPN
Asso Dschola e UT1 Navigazione protetta con Asso.Dschola e la blacklist dell’Università di Tolosa.
Direzione Generale Sistemi Informativi Reti telematiche e minori: lesperienza nelle scuole Reti telematiche e minori: lesperienza nelle scuole Roma, 17.
Amministratore di sistema di Educazione&Scuola
Sicurezza e Policy in Active Directory
SEVER RAS.
Rete Wireless per Informatica Grafica
A.A. 2007/2008Corso: Sicurezza 1 © Danilo Bruschi Sicurezza dei calcolatori e delle reti Proteggere la rete: tecnologie Lez. 13.
Punto di partenza b , a, 802,11g sono tecnologie per creare reti ethernet senza fili Copertura di 20 m di raggio indoor (3 muri) da ogni stazione.
La Sicurezza nelle reti Wireless
Test sul Cisco VPN Concentrator
Wireless Authentication
Il Firewall Sistemi di elaborazione dellinformazione : Sicurezza Anno Accademico 2001/2002 Martini Eros.
Norman SecureTide Soluzione sul cloud potente per bloccare le spam e le minacce prima che entrino all'interno della rete.
ZyXEL Sicurezza e semplicità. Agenda Presentazione della Società Concetti di base per i prodotti di sicurezza La gamma ZyWALL La gamma Prestige.
AREZZO, 20 OTTOBRE 2007 IZ3HAD Configurazione di un client per laccesso alla rete nazionale.
Smau Security - 25 ottobre 2002Communication Valley – Telefonia e wireless Smau Security 2002 Reti wireless e telefonia tradizionale Il punto di vista.
EUCIP IT Administrator Modulo 5 - Sicurezza Informatica 7 - Sicurezza di rete AICA © 2005.
TechNet Security Workshop IV PierGiorgio Malusardi.
IPSec Fabrizio Grossi.
A cura di: Huber Roberto, Zaharulko Nicola, Debernardi Daniele.
Sicurezza nella Sezione INFN di Bologna Franco Brasolin Servizio Calcolo e Reti Sezione INFN di Bologna Riunione Referenti – Bologna 17 Novembre 2003 –
Assicurare la connettività alla città attraverso tecnologie wireless Candidata: Sonia Di Sario Relatore: dott. Stefano Bistarelli a.a. 2003/2004.
Certificati e VPN.
CUBE firewall Lic. Computers Center aprile 2003 Villafranca di Verona, Italia.
Tecnologie di Sicurezza in Internet APPLICAZIONI AA Ingegneria Informatica e dell’Automazione programma.
Comune di Vicopisano VicoNET Rete Civica del Comune di Vicopisano Paolo Alderigi Febbraio 2003.
Apparati di rete. Una infrastruttura di rete necessita non solo di un cablaggio e di armadi, ma anche di dispositivi attivi quali switch, router, firewall,
Il giornalista del futuro Soluzioni innovative per lavorare ovunque Grand Hotel De La Minerve Roma, 30 settembre 2004.
I FIREWALL. COSA SONO I FIREWALL? LAN MONDO ESTERNO UN FIREWALL E’ UN SISTEMA CHE SUPPORTA UNA POLITICA DI CONTROLLO DEGLI ACCESSI FRA DUE RETI (POLITICHE.
Specialist Security Solutions & Services Soluzioni in “real-time” per la gestione della sicurezza Alberto Dossena Product Marketing Manager.
Analisi di sicurezza della postazione PIC operativa
Note: deve essere possibile utilizzare il protocollo BGP sui router per propagare le due reti visibili su internet tale soluzione deve essere concordata.
23 dicembre SICUREZZA DEL NETWORKING Analisi del livello di sicurezza dell’infrastruttura di rete.
Realizzazione di hotspot wireless per l’Università degli Studi di Milano Marcello Meroni, Michele de Varda, DIVISIONE TELECOMUNICAZIONI UNIVERSITÀ DEGLI.
The Unified Threat Management Security Appliance Hystrix
Servizio Calcolo Alessandro Brunengo. Indice Attivita’ del servizio calcolo Infrastruttura (sala CED, rete) Servizi centrali Supporto al calcolo scientifico.
Configurazione accessi WiFi INFN Workshop CCR ’ Maggio
INFN-AAI HA SAML Identity Provider Dael Maselli Workshop CCR INFN GRID Maggio.
Come funziona Internet? Il codice IP, dinamico e statico Il servizio DNS Il sistema binario I Cavi Ethernet La rete di casa.
Riunione SICR E. P.. Aggiornamenti Certificati  Digicert  Server  Personali per dipendenti ed associati  Certificati INFN per laureandi non associati.
Riunione SICR 24/6/2015. Cluster Cluster oVirt – Pronto alla migrazione dei servizi – Macchina virtuale radius per guest_conf in funzione – Tempi migrazione.
Roberto Covati – Roberto Alfieri INFN di Parma. Incontri di lavoro CCR dicembre Sommario VmWare Server (in produzione dal 2004) VmWare ESX.
Referaggio apparati di rete 2015 Seconde priorità Gruppo referee rete Fulvia Costa Paolo Lo Re Enrico Mazzoni Stefano Zani Roma 1, CCR marzo 2015.
Office365 Antonella Monducci Francesca Del Corso INFN - Bologna.
C ontrol system based on a H ighly A bstracted and O pen S tructure 1 WP5 !CHAOS Computing Storing and Access Policy WP5 !CHAOS Computing Storing and Access.
 Network Address Traslation: tecnica che permette di trasformare gli indirizzi IP privati in indirizzi IP pubblici  Gli indirizzi devono essere univoci.
Next Generation Firewall Considerazioni generali e prove sul campo Massimo Pistoni (INFN LNF) Stefano Zani (INFN CNAF) Workshop CCR Biodola,
Evoluzione di TRIP: Eduroam, portale Web e autenticazione su IdP INFN Riccardo Veraldi, Vincenzo Ciaschini - CNAF.
Firewall Next Steps Stefano Zani (INFN CNAF) CCR Roma, 14 Settembre 2015 Credit: Stephen Sauer 1.
Tavola Rotonda Firewall, Next Generation Firewall e soluzioni per la sicurezza Stefano Zani (INFN CNAF) CCR LNF, 29 Maggio 2015 Credit: Stephen.
 Cenni su switch e vlan  Layout fisico per la rete della cloud  Layout virtuale dei computing nodes  Layout virtuale del nerwork node  Riassunto.
Configurazione accessi WiFi INFN Workshop CCR ' Maggio
Referaggio apparati di rete 2015 Gruppo referee rete Fulvia Costa Paolo Lo Re Enrico Mazzoni Stefano Zani Referaggi settembre 2014.
Attività e servizi di calcolo a Roma Tor Vergata R. Kwatera, R. Lulli, R. Sparvoli Roma Tor Vergata.
Riunione gruppo reti E. P.. IPMI Porta da mascherare sul router Scan IPMI e piano di indirizzamento (privato ?) Da fare nel piano generale quando si ha.
Riunione SICR E. P.. Certificati  Digicert  Server  Personali per dipendenti ed associati  Non associati e macchine su phys.uniroma1.it ?  Problema.
TRIP nell’era AAI CCR - 07/07/ Riccardo Veraldi - CCR.
Accesso alla rete WiFi INFN-dot1x & eduroam
TRIP 27 Maggio 2013Riccardo Veraldi - CCR WS
Discussione sul dimensionamento dei collegamenti per conferenze. R. Gomezel, R. Veraldi, S. Zani Commissione Calcolo e Reti Frascati, 31 Maggio 2007.
Aggiornamento Netgroup R.Gomezel Commissione Calcolo e Reti LNF 29/09/ /10/2008.
Referaggio apparati di rete 2013 Seconde priorità Gruppo referee rete Fulvia Costa Paolo Lo Re Enrico Mazzoni Stefano Zani Referaggi aprile 2013.
La gestione della rete e dei server. Lista delle attività  Organizzare la rete  Configurare i servizi di base  Creare gli utenti e i gruppi  Condividere.
Primo mese nel mondo reale ( L2 mode )
Transcript della presentazione:

Test del Next Generation FireWall Fortigate 1500D Massimo Pistoni WS CCR maggio 2016

Specifiche tecniche 17 maggio 2016La Biodola - Isola D'Elba2 Hardware specifications, Performances porte 10Gb/s SFP+8 16 porte 1Gb/s SFP16 16 porte 1Gb/s RJ4516 IP F/W Throughput (1512,512,64 Byte) 80/80/55 Gbps IPS Throughput13 Gbps NGFW Throughput5,5 Gbps

Appliances Router di frontiera 17 maggio 2016La Biodola - Isola D'Elba3 WLAN controller VPN Concentrator Captive Portal Load Balancer / Traffic Shaper Next Generation FireWall Fortigate 1500D

NGFW / WLC Partizionabile in 10 domini Installabile in configurazione HA Configurazione LNF 17 maggio 2016La Biodola - Isola D'Elba4 GARR WLC Bridge/Firewall FAP-221C-E

NGFW Filtri abilitati in ingresso (Garr  LNF): –Application Control –Intrusion Prevention System –Antivirus Filtri abilitati in uscita (Garr  LNF): –Application Control –Intrusion Prevention System –Antivirus –Web filtering 17 maggio 2016La Biodola - Isola D'Elba5

Application Control Applicazioni gia’ suddivise in categorie, ma selezionabili anche singolarmente: Filtrati i botnet Abilitate tutte le altre applicazioni Monitorate categorie Proxy e Remote.Access 17 maggio 2016La Biodola - Isola D'Elba7

Intrusion Protection Signatures gia’ categorizzate secondo severity, ma selezionabili anche singolarmente Predefinito comportamento di default Pass o Block per ciascuna signature: Block per Critical e High severity Default per Medium e Low Block di SIPVicious.SIP.Scanner 17 maggio 2016La Biodola - Isola D'Elba9

Anti Virus Signatures predefinite Detect Virus impostato su Block Controllo su tutti i protocolli (previsti) Blocco del codice eseguibile via smtp impostato su disable Scan di Mobile malware abilitato 17 maggio 2016La Biodola - Isola D'Elba11

Web Filter (solo out) Siti gia’ categorizzati secondo rischio e/o contenuto, ma selezionabili anche singolarmente (o con uso di wildchar) Block della categoria “security risk” –Con eccezione per Dynamic DNS Abilitate tutte le altre categorie Block di siti specifici puntati nei mail di phishing ricevuti dagli utenti LNF 17 maggio 2016La Biodola - Isola D'Elba13

Monitor Funzionalita’ di monitoring attraverso la voce Fortiview –Now, 5 minutes, 1 hour, 24 hours Filtri di ricerca e di selezione anche in combinazione (AND) –Sources, Destinations, Interfaces, Policies, Countries, Sessions, Applications, Cloud Applications, Web sites, Threats, etc. Rappresentazione in tabella o in bolle 17 maggio 2016La Biodola - Isola D'Elba16

Log & Report Vengono raccolti i log su RAM o su HD Possono essere inoltrati anche: –log server esterno (syslogd) –FortiAnalyzer (apposita VM), consigliato! I log sono generati in quantita’ esagerata (varie centinaia di record/s) Il Fortigate e’ comunque in grado di visualizzare un po’ di log (7 gg.) Gestione degli alert via 17 maggio 2016La Biodola - Isola D'Elba33

WLAN controller Creato apposito dominio per la gestione degli Access Point (WLC) –Definizione di interfaccia di connessione con protocollo CAPWAP abilitato –Definiti i radius server dei LNF Definiti 3 SSID in local bridge mode –INFN-dot1y  131 (la stessa di INFN-dot1x) –eduroma  202 (la stessa di eduroam) –INFN-WWW  400 (dietro al nuovo captive portal tino-SAML) 17 maggio 2016La Biodola - Isola D'Elba43

AP Profiles Creato apposito profilo per gli access point dei LNF –Abilitati tutti i canali di entrambe le radio interface (2,4 GHz n/g/b e 5 GHz ac/n/a) –Deploy di tutti e 3 i SSID su entrambe le radio interface Configurato il Wireless Intrusion Detection System –Impostazioni di default con il rogue AP detection disabilitato 17 maggio 2016La Biodola - Isola D'Elba45

Managed APs Connessione di AP alla rete (su porta trunk) L’AP configura un proprio IP via DHCP Il WLC effettua un autodiscovery dell’AP Il WLC prende il controllo dell’AP (Authorize) Il WLC effettua il deploy del profilo LNF sull’AP 17 maggio 2016La Biodola - Isola D'Elba48

Tino SAML Installato nuovo Captive Portal tino-SAML che permette l’autenticazione tramite portale AAI-INFN L’IDP restituisce la uid del’utente che si autentica sul portale e un entitlement che permette l’accesso alla rete wifi Godiva e’ stato modificato per gestire i visitatori e attribuire tale entitlement 17 maggio 2016La Biodola - Isola D'Elba50

Conclusioni Fatti salvi alcuni piccoli problemi riscontrati, in parte sanati durante la demo, il fortigate sembra un valido strumento per aumentare la sicurezza dei sistemi informatici connessi sulla LAN Anche come WLC svolge egregiamente il suo lavoro L’interfaccia di gestione appare semplice ed abbastanza intuitiva 17 maggio 2016La Biodola - Isola D'Elba52

Ringraziamenti demo F/W Ditta Fortinet ed in particolar modo: –Fabrizio Amato –Alessandro Fontana Partner Ikran Services ed in particolare –Olga Levun –Marco Novelli Staff del Servizio di Calcolo LNF –Dario Spigone 17 maggio 2016La Biodola - Isola D'Elba53

Ulteriori ringraziamenti Update Godiva: Bisegni, Serafini Tino-Saml: Veraldi (update a cura di Maselli e Pistoni) Form di auto-registrazione: Serafini, Orru’, Tota Membri del WG AAI-INFN Servizio Sistema Informativo di AC Servizio di Calcolo LNF 17 maggio 2016La Biodola - Isola D'Elba54

Discussione e domande 17 maggio La Biodola - Isola D'Elba

Feed-back: Privacy Policy Feed-back
Sul progetto: SlidePlayer Condizioni di utilizzo

© 2024 SlidePlayer.it Inc. All rights reserved.