La presentazione è in caricamento. Aspetta per favore

La presentazione è in caricamento. Aspetta per favore

Firewall Next Steps Stefano Zani (INFN CNAF) CCR Roma, 14 Settembre 2015 Credit: Stephen Sauer 1.

Presentazioni simili


Presentazione sul tema: "Firewall Next Steps Stefano Zani (INFN CNAF) CCR Roma, 14 Settembre 2015 Credit: Stephen Sauer 1."— Transcript della presentazione:

1 Firewall Next Steps NETGROUP@CCR Stefano Zani (INFN CNAF) CCR Roma, 14 Settembre 2015 Credit: Stephen Sauer 1

2 Firewall ed apparati di sicurezza Come procediamo ? Non è passato molto tempo dalla tavola rotonda sui firewall (29 Maggio) e non c’è stata molta attività sul tema. Primi test sul Next Generation Firewall Software finanziato alla sede di Ferrara Un report è già pronto grazie ad Andrea Donati ed i colleghi di Ferrara (diventerà una nota). In generale sembra una buona soluzione come firewall classico anche se la parte di IDP è in realtà limitata: “Compiling IDP signatures... Warning W5774: - Failed to add some signature(s) in rule abcdef: maximum number of signatures reached - not all signatures will be used (FWCore Error code: 42002004) Done.” In pratica per la funzione più rilevante bisogna scegliere a priori da quali tipi di attacco ci si vuole difendere. Il Documento di riepilogo delle varie attività di valutazione da cui è stata ricavata la presentazione fatta al Workshop (https://agenda.infn.it/materialDisplay.py?contribId=23&sessionId=7&materialId=slides&confI d=9201) è quasi pronto. 2

3 Prossimi passi Test su traffico di produzione di una o due piattaforme di Next Generation Firewall di fascia medio alta (Sicuramente Fortinet presso i LNF e magari anche PaloAlto presso CNAF o altra sede) allo scopo di verificare se effettivamente ci sia una efficacia reale degli strumenti soprattutto sulla capacità di riconoscere attacchi di tipo DDoS o che sfruttino vulnerabilità di componenti web. 1)Qualora una delle piattaforme si dimostrasse effettivamente efficace, occorrerà cercare di reperire i fondi per un finanziamento speciale che però porterà a spese ricorrenti per l’aggiornamento delle signature (Spese cha vanno da un minimo di 800 € a 20-30 K€ per le piattaforme più performanti). 2)Sulla base delle prove sul campo, si cercherà di definire le configurazioni in cui impegnare il firewall.. a)Sul link geografico b)Sul link geografico ma con “Match List” specifiche in modo da ridurre la quantità di traffico su cui deve effettivamente operare. c)Su collegamenti interni che ospitano solo alcuni servizi (Non protegge da DDoS sugli altri apparati della sede ospitante quali ad esempio il router). Si può pensare ad avere le prime impressioni basate sulla esperienza fatta sul campo già nei primi mesi del 2016. 3

4 Campi di investigazione NFV – Attività con GARR (Anche se le soluzioni di firewalling sembrano per ora limitate a packet filter) E’ certamente utile approfondire l’utilizzo di IDS tipo ARGUS sulle nostre reti (Ci vuole il tempo per farlo). 4

5 Considerazioni finali Firewall di basso costo (SW o HW) per sezioni che non abbiano Switch Router di fascia alta ingrado di sopportare ACL pesanti in HW si possono all’occorrenza finanziare Per sedi con bande di accesso importanti e che ospitano servizi fondamentali, occorre provare ancora sul campo per identificare le piattaforme idonee (visti I costi). Non è escluso che ci troveremo a dovere correre ai ripari con soluzioni di firewalling ad alte prestazioni qualora I nostri apparati di frontiera non riuscissero più a reggere la complessità delle regole e la quantità in continuo aumento di scan ed attacchi…. Il recente problema di degrado di servizio sul router di frontiera del CNAF era in qualche modo legato alla gestione in HW delle ACL.. 5

6 Fine 6


Scaricare ppt "Firewall Next Steps Stefano Zani (INFN CNAF) CCR Roma, 14 Settembre 2015 Credit: Stephen Sauer 1."

Presentazioni simili


Annunci Google