ACL..una soluzione per limitare il traffico indesiderato e aumentare la sicurezza informatica sui nodi che offrono servizi, poi sui nodi degli utenti.. Cristina & sandro

dns1 www mailbox Oggi sono applicate delle ACL sul router di frontiera e (tutti ??) i nodi che offrono servizi di rete hanno definite Iptables loginvpn GARR R 6509

R GARR dns1 www mailbox Stampanti ? loginvpn Per aumentare il filtro sul traffico indesiderato si pensa di introdurre ACL sui vari rami della stella...si e’ accennato anche alla creazione di VLAN per stampanti..

R 6509 GARR dns1 www mailbox stampanti loginvpn Si procedera’ per passi. Il primo inserimento di ACL riguardera’ la VLAN sulla quale sono connessi tutti i nodi che offrono servizi di rete (network )

Tabella non leggibile, inserita solo per dire che 62 nodi della network sono stati controllati con una scansione di nmap, effettuata nella mattinata di venerdi’ 3 giugno. Le colonne TCP e UDP riportano le porte che hanno risposto.

Scansione nmap di un nodo ~]# nmap -sT -sU Starting Nmap 5.00 ( ) at :57 CEST Interesting ports on LM-Server.roma1.infn.it ( ): Not shown: 1992 closed ports PORT STATE SERVICE 22/tcp open ssh 25/tcp open smtp 111/tcp open rpcbind 7496/tcp open unknown 8649/tcp open unknown 111/udp open|filtered rpcbind 123/udp open|filtered ntp 514/udp open|filtered syslog MAC Address: 00:20:ED:17:17:7F (Giga-byte Technology CO.) Nmap done: 1 IP address (1 host up) scanned in seconds ~]#

www1.roma1.infn.it testdip.roma1.infn.it pcgattap.roma1.infn.it kalipe.roma1.infn.it oblio.roma1.infn.it wiki.roma1.infn.it dns1new.roma1.infn.it login1.roma1.infn.it manchester.roma1.infn.it boris.roma1.infn.it nimbus.roma1.infn.it iFlexAble.roma1.infn.it shaun.roma1.infn.it cactivm.roma1.infn.it feather.roma1.infn.it new-sl6x.roma1.infn.it new-sl7x.roma1.infn.it rhcs5.roma1.infn.it rhcs6.roma1.infn.it www2.roma1.infn.it wp.roma1.infn.it pcsupport1.roma1.infn.it swsicr03-26.roma1.infn.it Questi 23 nodi sono registrati nel DNS e non sono stati controllati dalla scansione di nmap, effettuata nella mattinata di venerdi’ 3 giugno: nodi spenti o non piu’ esistenti ?

Come procedere e cosa fare Avere evidenza dei desiderata: cosa e’ permesso e da dove, cosa e’ vietato Analisi della realta’ attuale: realizzare una tavola della verita’ per tutti i nodi e servizi collegati alla network Per ogni nodo dobbiamo sapere quali servizi offre Quali porte TCP e UDP devono essere aperte Tutte le altre porte saranno chiuse

Desiderata Una soluzione per limitare il traffico indesiderato e quindi aumentare la sicurezza informatica sui nodi che offrono servizi Gli obiettivi devono essere chiari Deve essere evidente quale traffico si intende consentire e quale negare Uno schema riassuntivo deve essere sempre aggiornato e consultabile per evitare dubbi e perplessita’: wikisicr ?

Partendo da una analisi della situazione attuale, realizzare una tavola della verita’ Per ogni nodo dobbiamo sapere quali servizi offre Quali porte TCP e UDP devono essere aperte Tutte le altre porte saranno chiuse …le Iptables sui singoli nodi rimarranno ? (esula dall’inserimento delle ACL ed e’ solo curiosita’..)

Tabella della verita’ NodoIp addressservizioAccesso dalla WAN Accesso dalla LAN Lm- server.roma1.infn.it LicenzeTCP: UDP: TCP: UDP Afsbck.roma1.infn.it Backup volumi AFS (anche nazionali ?) TCP: UDP: TCP: UDP: Okisicr.roma1.infn.it Stampante per utenti SICR TCP: UDP: TCP: UDP: ….

Tavola della verita’ Per ogni nodo e/o servizio chi riempie la tavola ?..nel passato i tentativi di creare questa puntuale verifica sono miseramente falliti. Non ha senso creare una ACL e poi modificarla alla bisogna L’applicazione della ACL deve essere verificata e quindi monitorata puntualmente, per evitare disagi all’utenza Analisi delle performances del 6509 che svolgera’ un ruolo diverso rispetto all’attuale: il controllo dei pacchetti richiedera’ un maggior uso della CPU

OGGI E’ IL 9 GIUGNO

AUGURI Carlo !!