Gestione rete e nodi E.P..

Slides:



Advertisements
Presentazioni simili
Riunione SICR E. P.. Aggiornamenti Certificati  Digicert  Server  Personali per dipendenti ed associati  Certificati INFN per laureandi non associati.
Advertisements

Riunione SICR 24/6/2015. Cluster Cluster oVirt – Pronto alla migrazione dei servizi – Macchina virtuale radius per guest_conf in funzione – Tempi migrazione.
 Network Address Traslation: tecnica che permette di trasformare gli indirizzi IP privati in indirizzi IP pubblici  Gli indirizzi devono essere univoci.
Evoluzione di TRIP: Eduroam, portale Web e autenticazione su IdP INFN Riccardo Veraldi, Vincenzo Ciaschini - CNAF.
Riunione gruppo reti E. P.. IPMI Porta da mascherare sul router Scan IPMI e piano di indirizzamento (privato ?) Da fare nel piano generale quando si ha.
Riunione SICR E. P.. Certificati  Digicert  Server  Personali per dipendenti ed associati  Non associati e macchine su phys.uniroma1.it ?  Problema.
Report Scansioni – Auditing Gruppo Auditing Franco Brasolin BO Patrizia Belluomo CT Roberto Cecchini FI (chair) Michele Michelotto PD (speaker)
Virtualizzazione nell’INFN Andrea Chierici 11 Dicembre 2008.
Cluster di login E. P.. Scopo del cluster di login Fornire accesso alle macchine interne ed ai servizi Evitare gli attacchi diretti alle macchine interne.
Implementazione di TRIP ai LNF Commissione Calcolo e Reti 31 maggio 2007 Massimo Pistoni.
Gruppo Netarch Incontro di lavoro della CCR Napoli gennaio 2010 Connessioni Tier1/Tier2 a GARR-X 1 GM, Incontro di lavoro della CCR – Napoli
PRIN NAPOLI Enzo Capone, Gianpaolo Carlino, Alessandra Doria, Rosario Esposito, Leonardo Merola, Silvio Pardi, Arturo Sanchez Pineda.
Riunione SICR E. P.. Aggiornamenti Certificati  Digicert  Server  Personali per dipendenti ed associati  Certificati INFN per laureandi non associati.
I dispositivi di rete. La Scheda Di Rete La scheda di rete, o LAN adapter è un circuito stampato che collega il cavo per il collegamento internet al PC.
UNIVERSITA' DEGLI STUDI DI PERUGIA Facoltà di Scienze Matematiche, Fisiche e Naturali Corso di Laurea Magistrale in Informatica Anno Accademico
1 14 marzo 2006 sommaruga andrea Fondazione Ordine Ingegneri di Milano VPN: Reti Private Virtuali VPN: RETI PRIVATE VIRTUALI LE POSSIBILITA' DI ACCESSO.
A dvanced N etwork T echnologies Lab oratory Infrastrutture e Protocolli per Internet Laboratorio 5 Politecnico di Milano Stefano NapoliAlberto Pollastro.
Riunione SICR E. P.. Aggiornamenti Migrazioni  Installate nuove macchine  Dell 630 e 730xd  Altre migrazioni:  DNS secondario  Preparazione macchina.
Università degli Studi - “ G. d'Annunzio ” Chieti - Pescara FACOLTÀ DI ECONOMIA Corso di laurea in Economia Informatica/s Seminario di: Giovanni Placentino.
Alma Mater Studiorum - Università di Bologna Facoltà di Scienze Matematiche Fisiche e Naturali Dipartimento di Scienze dell’Informazione Supporto al multihoming.
Riunione SICR E. P.. Aggiornamenti Migrazioni  Installate nuove macchine  Dell 630 e 730xd  Altre migrazioni:  DNS secondario  Preparazione macchina.
ACL..una soluzione per limitare il traffico indesiderato e aumentare la sicurezza informatica sui nodi che offrono servizi, poi sui nodi degli utenti..
Riunione SICR 12/2/2015. Rete Intervento 6509 – Sostituzione scheda avvenuta con successo – Fase di configurazione nuova scheda – Programmazione spostamento.
AFS NELLA SEZIONE DI PADOVA aree_utenti: attualmente nessuno ha la proria home in AFS e quasi nessuno utilizza l'area utenti di AFS. /usr/local: si preferisce.
Riunione SICR E. P..
Virtual Private Networks
Infrastruttura cloud servizi realizzata nella Sezione di Napoli
Configurazione Router IR794- IG601
NAT, Firewall, Proxy Processi applicativi.
Vulnerability Assessment
TCP/IP.
Sistema di Autenticazione unica (Single-Sign-On) (azione #8)
CARATTERISTICHE DI UN DATACENTER
Rete e comunicazione Appunti.
Reti di computer.
TCP/IP. Sommario  Introduzione al TCP/IP  Indirizzi IP  Subnet Mask  Frame IP  Meccanismi di comunicazione tra reti diverse  Classi di indirizzi.
Breve report su corso RedHat Enterprise Virtualization (RH318)
Sistema di Autenticazione unica (Single-Sign-On) (azione #8)
Riccardo Veraldi - Riunione CCR
Stato dei lavori E. P..
Attivita’ e compiti del Servizio Impianti Calcolo e Reti
Stato Acquisti Switch/Router T2
Sicurezza e Grid Computing
Meccanismi di caricamento e aggiornamento dei dati
Implementazione di TRIP e Eduroam
INFN-TS INFN - Sezione di Trieste - C. Strizzolo - L. Strizzolo.
Reti di comunicazione Appunti.
Stato dei lavori E. P..
Riunione gruppo reti 9/4/2015.
Alessandro Ruggieri Marco Esposito Marco De Rossi
INFN-AAI Autenticazione e Autorizzazione
Riunione SICR 31/5/2017 E. P..
Sistema di Autenticazione unica (Single-Sign-On) (azione #8)
analizzatore di protocollo
Sala di Videoconferenza … quale strumento usare ?
SUBNETTING E SUPERNETTING
Corso di Ingegneria del Web A A Domenico Rosaci 1
Organizzazione di una rete Windows 2000
INTERNET «IL MONDO DI OGGI»
COME PROTEGGERSI Ing. Massimiliano Zuffi
Concetti introduttivi
Commercialisti & Revisori
Firewalling.
Le reti informatiche di Roberto Minotti 17/01/2019.
Le reti informatiche di Roberto Minotti 15/02/2019.
Corso base per Operatori di Protezione Civile
Il giornalista del futuro
INFN-AAI Autenticazione e Autorizzazione
IT SECURITY Sicurezza in rete
CLOUD.
Transcript della presentazione:

Gestione rete e nodi E.P.

Necessita’ fondamentali Identificazione nodi utente Protezione del nodo Identificazione dell’amministratore / responsabile Protezione dei servizi comuni Richiede maggiore attenzione Protezione dei nodi utente Separazione dei servizi di passaggio verso la WAN Rete per ospiti (INFN-Web, eduroam)

Protezione della rete Come ottenere una protezione ottimale della rete? Protezione da Accessi non autorizzati ed attacchi da WAN Comunicazione verso l’interno solo attraverso nodi controllati (bastion host) Accessi non autorizzati ed attacchi da LAN Presuppone la conoscenza di nodi connessi e relativi responsabili Segmentazione della rete per limitare il traffico broadcast e filtrare accessi tra sottoreti Separazione dei nodi per tipo di traffico ed eventualmente servizi offerti Protezione dei servizi comuni Servizi su VLAN specifica Nodi raggiungibili solo sulle porte dedicate al servizio offerto Separazione da tutti gli accessi degli utenti

ACL Metodo di protezione principale: ACL Due tipi di ACL Protezione dalla WAN ACL sul router Protezione dalla LAN ACL sul centro stella

Criteri Segmentazione della rete Tipologia di nodi Funzionalita’ separate devono poter essere associate a VLAN separate Criteri legati all’accesso (ACL tra le VLAN) Tipologia di nodi Nodi utente/gruppo Farm di calcolo Nodi di servizio (servizi di rete) Nodi di accesso (bastion host) Nodi ospiti Nodi “critici” Amministrazione Servizi interni Stampanti pubbliche Stampanti private Apparati di rete NAS e dischi condivisi Sistemi obsoleti / nodi di laboratorio

Esempio: Wi-fi Non raggiungibili dall’esterno Con filtri da/verso la LAN Eduroam Si fornisce solo passaggio INFN-Web INFN-dot1x Per utenti locali o INFN Accesso ai nodi locali Accesso alle risorse

Esperienza attuale Filtro sul router Problemi rilevati Pacchetti in entrata solo per connessioni established Problemi rilevati Traceroute E’ necessario che funzioni? Vidyo Funziona solo attraverso il proxy Perdita di performance ~10% Test con meeting CMS – non sembra un problema Team Speak AFS ?

Protezione servizi Le iptables non sono sufficienti Al momento non sono puntuali “Chiudono” servizi invece di “aprire” le porte necessarie Metodo ACL su 6509 Iptables mantenute in modo sistematico per proteggere I nodi singoli da eventuali problemi nella VLAN Vantaggi: Permette filtri tra sottoreti Banco di prova per riscrittura ACL su router Tabella delle verita’ Quali porte devono essere accessibili Da dove devono essere accessibili Chi deve accedere e come Mantenuta su wiki Accesso per i membri del SICR VPN dedicata

Nodi membri del SICR (1) Allo stesso tempo Richiesta Nodi utente Porte aperte necessarie per applicazioni (esempio videoconferenza) Nodi di servizio Semplice accesso alla rete dei servizi Richiesta Accesso semplice alla gestione dei servizi Garanzia delle funzionalita’ utente Mantenimento della protezione della rete dei servizi

Nodi membri del SICR (2) Separazione delle reti SICR e servizi Opzioni Sottorete dedicata per I nodi dei membri del servizio (e stampanti) Nodi sulle VLAN utente VPN “selettivo” sulla rete 26 (split tunnel) Pacchetti scambiati con la rete dei servizi tramite VPN Verso tutte le altre reti nodo utente

GARR mailbox dns1 login vpn R www 6509 stampanti

Tavola della verita’ L’applicazione della ACL deve essere verificata e quindi monitorata puntualmente, per evitare disagi all’utenza Riempimento tabella servizi ed accessi necessari (AS, CB) Analisi delle performance del 6509 che svolgera’ un ruolo diverso rispetto all’attuale: il controllo dei pacchetti richiedera’ un maggior uso della CPU

Come procedere (1) Classificazione nodi “di servizio” ? In generale questi devono esporre solo il servizio Porte ed i protocolli necessari Verso la rete 26 Ssh (tutti) http (ove necessario) Verso la LAN Esempio: wikisicr – ma e’ necessario aprila alla lan ? Verso la WAN (c’e’ una differenza rispetto al punto precedente) ? Esempio: il DNS espone la porta 53

Come procedere (2) Separazione nodi SICR Divisione della 11 64 per i nodi accesso utente 64 vuoti 128 per la VLAN dei membri del SICR con accesso all’ssh sulla 26 Preparazione VPN dedicata + ssh Bastion host per i nodi dei servizi Test split tunnel Migrazione sulla sottorete 11

Come procedere (3) Preparazione e test ACL Nodo per nodo: Definizione porte e protocolli da esporre Test con implementazione come regole firewall Inserimento in tabella Scrittura ACL ed implementazione sul centro stella

Nodi di accesso (bastion hosts) Rete dedicata all’accesso degli utenti dal mondo esterno Separata dai nodi utente e dai servizi 141.108.11.x Protocolli utilizzati: SSH VPN Macchine virtuali ridondate Cluster oVirt dedicato 3 macchine virtuali per servizio su 3 macchine fisiche Anche per queste reti tabella analoga Quali servizi devono essere resi disponibili tramite questi nodi?

Servizi “locali” Reti con numerazione privata per Stampanti Access point Apparati di rete (switch) NAS e dischi condivisi ?? Macchine di laboratorio obsolete WinXP Oscilloscopi con Win 2000 In alcuni casi e’ semplice definire gli accessi necessari In altri meno…

VLAN per gli “ospiti” Eduroam/INFN-Web Dedicate agli ospiti Possono ospitare nodi non conosciuti Devono quindi essere separate dal resto della LAN Merita ulteriore discussione Doppie ACL ? Connessione fisica con indirizzamento verso il router? GARR R 6509

Nodi utente In generale non offrono servizi O non dovrebbero offrirne Esempio contrario: siti web personali o di gruppo Da scoraggiare e se possibile eliminare Spostamento su DMZ con regole speciali Per proteggere i nodi utente e gli altri Necessaria riscrittura regole ACL Da zero con criteri opposti alle attuali Dovrebbe comportare semplificazione Criteri simili alla 26 Survey per sottorete Tramite scan dei nodi e “interrogazione” Nodo per nodo per capire le necessita’ Scopo finale: costruzione tabella

Identificazione dei nodi Nodi identificati da ip Corrispondono ad un responsabile Come assicurare che il nodo sia veramente quello dichiarato ? Verificare corrispondenza mac/ip Strumenti di monitor attuali Cacti permette di navigare attraverso I mac e gli ip con vari filtri Arpwatch segnala cambi di mac address Script di check sugli ip “rubati” Al momento non c’e’ forzatura della regola

Problemi attuali Ip rubati Nodi vaganti Flip-flop Responsabili scaduti Dinamici Caso meno frequente (?) Statici Errori di configurazione IP non autorizzati presi “per pigrizia” o perche’ non si ha diritto Nodi vaganti Esempio tipico: esercitazioni Flip-flop Responsabili scaduti Relazione con gestione utenze e responsabili nodi

Come risolvere il problema Gli switch HP supportano l’autenticazione tramite radius Possibile usare Credenziali utente MAC address come credenziali Assicura l’identificazione del nodo e quindi del responsabile Assicura la corretta classificazione del nodo Piu’ pratico per nodi fissi Evita lo scambio di password (magari…) La porta switch si “apre” solo se l’utente e’ autenticato Da studiare DHCP con indirizzi fissi per tutte le VLAN DHCP “dinamico” per l’attuale DHCP

DHCP Al momento Se un utente prende un indirizzo 141.108.13.x su porta DHCP si connette Qualsiasi sia la macchina Con Radius la porta e’ protetta (solo un MAC autorizzato passa) ma: Cosa succede se c’e’ un DHCP non autorizzato sulla VLAN ? Soluzione: DHCP snooping Le richieste DHCP vengono girate dallo switch direttamente al server autorizzato Per rivedere le ACL sul DHCP Survey sui nodi autorizzati

Mobilita’ utenti con IP fisso Il metodo “DHCP con autenticazione” Permette la mobilita’ degli utenti ma: Suppone cablaggio a capienza! Altrimenti si rischia il caos nella richiesta attivazioni E comunque non ci guadagnamo nulla Protezione iniziale Porte con MAC address bloccato Preparazione moduli per richiesta spostamento nodi Eventualmente automatico quando il sistema diventa DHCP Preparazione piano per cablaggio a capienza Attenzione: necessario seguire da vcino tutti i lavori !!!

Attenzione Tutti I nodi sono spostabili ? Esempio: nodi di laboratori studenti

Come procedere Sperimentazione con switch Applicazione alla rete DHCP Radius ed autenticazione DHCP snooping Applicazione alla rete DHCP Verifica protezione Studio passaggio a DHCP con indirizzi fissi per VLAN utente

Feed-back: Privacy Policy Feed-back
Sul progetto: SlidePlayer Condizioni di utilizzo

© 2024 SlidePlayer.it Inc. All rights reserved.