La presentazione è in caricamento. Aspetta per favore

La presentazione è in caricamento. Aspetta per favore

Firewall Next Steps Stefano Zani (INFN CNAF) CCR Roma, 14 Settembre 2015 Credit: Stephen Sauer 1.

PubblicatoAlessandra Galli Modificato 8 anni fa

Presentazioni simili

Presentazione sul tema: "Firewall Next Steps Stefano Zani (INFN CNAF) CCR Roma, 14 Settembre 2015 Credit: Stephen Sauer 1."— Transcript della presentazione:

1 Firewall Next Steps NETGROUP@CCR Stefano Zani (INFN CNAF) CCR Roma, 14 Settembre 2015 Credit: Stephen Sauer 1

2 Firewall ed apparati di sicurezza Come procediamo ? Non è passato molto tempo dalla tavola rotonda sui firewall (29 Maggio) e non c’è stata molta attività sul tema. Primi test sul Next Generation Firewall Software finanziato alla sede di Ferrara Un report è già pronto grazie ad Andrea Donati ed i colleghi di Ferrara (diventerà una nota). In generale sembra una buona soluzione come firewall classico anche se la parte di IDP è in realtà limitata: “Compiling IDP signatures... Warning W5774: - Failed to add some signature(s) in rule abcdef: maximum number of signatures reached - not all signatures will be used (FWCore Error code: 42002004) Done.” In pratica per la funzione più rilevante bisogna scegliere a priori da quali tipi di attacco ci si vuole difendere. Il Documento di riepilogo delle varie attività di valutazione da cui è stata ricavata la presentazione fatta al Workshop (https://agenda.infn.it/materialDisplay.py?contribId=23&sessionId=7&materialId=slides&confI d=9201) è quasi pronto. 2

3 Prossimi passi Test su traffico di produzione di una o due piattaforme di Next Generation Firewall di fascia medio alta (Sicuramente Fortinet presso i LNF e magari anche PaloAlto presso CNAF o altra sede) allo scopo di verificare se effettivamente ci sia una efficacia reale degli strumenti soprattutto sulla capacità di riconoscere attacchi di tipo DDoS o che sfruttino vulnerabilità di componenti web. 1)Qualora una delle piattaforme si dimostrasse effettivamente efficace, occorrerà cercare di reperire i fondi per un finanziamento speciale che però porterà a spese ricorrenti per l’aggiornamento delle signature (Spese cha vanno da un minimo di 800 € a 20-30 K€ per le piattaforme più performanti). 2)Sulla base delle prove sul campo, si cercherà di definire le configurazioni in cui impegnare il firewall.. a)Sul link geografico b)Sul link geografico ma con “Match List” specifiche in modo da ridurre la quantità di traffico su cui deve effettivamente operare. c)Su collegamenti interni che ospitano solo alcuni servizi (Non protegge da DDoS sugli altri apparati della sede ospitante quali ad esempio il router). Si può pensare ad avere le prime impressioni basate sulla esperienza fatta sul campo già nei primi mesi del 2016. 3

4 Campi di investigazione NFV – Attività con GARR (Anche se le soluzioni di firewalling sembrano per ora limitate a packet filter) E’ certamente utile approfondire l’utilizzo di IDS tipo ARGUS sulle nostre reti (Ci vuole il tempo per farlo). 4

5 Considerazioni finali Firewall di basso costo (SW o HW) per sezioni che non abbiano Switch Router di fascia alta ingrado di sopportare ACL pesanti in HW si possono all’occorrenza finanziare Per sedi con bande di accesso importanti e che ospitano servizi fondamentali, occorre provare ancora sul campo per identificare le piattaforme idonee (visti I costi). Non è escluso che ci troveremo a dovere correre ai ripari con soluzioni di firewalling ad alte prestazioni qualora I nostri apparati di frontiera non riuscissero più a reggere la complessità delle regole e la quantità in continuo aumento di scan ed attacchi…. Il recente problema di degrado di servizio sul router di frontiera del CNAF era in qualche modo legato alla gestione in HW delle ACL.. 5

6 Fine 6

Scaricare ppt "Firewall Next Steps Stefano Zani (INFN CNAF) CCR Roma, 14 Settembre 2015 Credit: Stephen Sauer 1."

Presentazioni simili

INTERNET FIREWALL Bastion host Laura Ricci.

INTERNET FIREWALL Bastion host Laura Ricci.
Amministratore di sistema di Educazione&Scuola

Amministratore di sistema di Educazione&Scuola
Aspetti critici rete LAN e WAN per i Tier-2

Aspetti critici rete LAN e WAN per i Tier-2
A.A. 2007/2008Corso: Sicurezza 1 © Danilo Bruschi Sicurezza dei calcolatori e delle reti Proteggere la rete: tecnologie Lez. 13.

A.A. 2007/2008Corso: Sicurezza 1 © Danilo Bruschi Sicurezza dei calcolatori e delle reti Proteggere la rete: tecnologie Lez. 13.
Giornata di incontro con i Borsisti GARR, Roma, 22.06.2010 Andrea Petricca Problematiche di rete nella sperimentazione di file-system distribuiti su WAN.

Giornata di incontro con i Borsisti GARR, Roma, Andrea Petricca Problematiche di rete nella sperimentazione di file-system distribuiti su WAN.
Progetto Sicurezza 2 Fase di setup Prof. A. De Santis

Progetto Sicurezza 2 Fase di setup Prof. A. De Santis
Wireless Authentication

Wireless Authentication
Istituto Nazionale di Fisica Nucleare Roma,12 febbraio 2001 Netgroup meeting Situazione attuale e attivita futura - R.Gomezel 1 Netgroup meeting Situazione.

Istituto Nazionale di Fisica Nucleare Roma,12 febbraio 2001 Netgroup meeting Situazione attuale e attivita futura - R.Gomezel 1 Netgroup meeting Situazione.
Progetto Videoconferenze relazione dei referees Luciano Barone Stefano Belforte Roberto Stroili Commissione Calcolo - 16 Maggio 2000.

Progetto Videoconferenze relazione dei referees Luciano Barone Stefano Belforte Roberto Stroili Commissione Calcolo - 16 Maggio 2000.
TASK 2: Ftp Partecipanti A. Chierici INFN-CNAF T. Ferrari A. Forte INFN-TO L. Gaido S. Lusso P. Mastroserio INFN-NA G. Tortone Coordinatori A. Forte, G.

TASK 2: Ftp Partecipanti A. Chierici INFN-CNAF T. Ferrari A. Forte INFN-TO L. Gaido S. Lusso P. Mastroserio INFN-NA G. Tortone Coordinatori A. Forte, G.
LNL CMS M.Biasotto, Firenze, 22 maggio 2003 1 Hardware e tools di installazione Massimo Biasotto INFN – Lab. Naz. di Legnaro.

LNL CMS M.Biasotto, Firenze, 22 maggio Hardware e tools di installazione Massimo Biasotto INFN – Lab. Naz. di Legnaro.
Le iniziative di comunicazione intraprese dal gruppo Inail-Ispesl-Regioni ( obiettivi, destinatari, percorso, strumenti e modalità ) A cura di Giuseppe.

Le iniziative di comunicazione intraprese dal gruppo Inail-Ispesl-Regioni ( obiettivi, destinatari, percorso, strumenti e modalità ) A cura di Giuseppe.
Slide 1 Un browser migliore Passa a Firefox – il modo più veloce, sicuro e intelligente per navigare sul Web.

Slide 1 Un browser migliore Passa a Firefox – il modo più veloce, sicuro e intelligente per navigare sul Web.
Prof. Antonio Martano ITIS “Pacinotti” Taranto

Prof. Antonio Martano ITIS “Pacinotti” Taranto
Gruppo Videoconferenze e Gruppo Multimediale Stefano Zani (INFN CNAF) Commissione Calcolo e Reti Roma, 20-21 Ottobre 2005.

Gruppo Videoconferenze e Gruppo Multimediale Stefano Zani (INFN CNAF) Commissione Calcolo e Reti Roma, Ottobre 2005.
Workshop sulle problematiche di calcolo e reti nell’INFN Paestum,9-12 giugno 2003 Report sull’ultimo HEPiX e proposte per le prossime edizioni Roberto.

Workshop sulle problematiche di calcolo e reti nell’INFN Paestum,9-12 giugno 2003 Report sull’ultimo HEPiX e proposte per le prossime edizioni Roberto.
Sicurezza nella Sezione INFN di Bologna Franco Brasolin Servizio Calcolo e Reti Sezione INFN di Bologna Riunione Referenti – Bologna 17 Novembre 2003 –

Sicurezza nella Sezione INFN di Bologna Franco Brasolin Servizio Calcolo e Reti Sezione INFN di Bologna Riunione Referenti – Bologna 17 Novembre 2003 –
1 L’ offerta Telecom Italia riservata a Confindustria Convenzione 2007.

1 L’ offerta Telecom Italia riservata a Confindustria Convenzione 2007.
CMS per la scuola con JOOMLA

CMS per la scuola con JOOMLA
Istituto Nazionale di Fisica Nucleare La Biodola, Isola d’Elba, 6-9 maggio 2002 AFS: Status Report WS CCR2002 - R.Gomezel Workshop sulle problematiche.

Istituto Nazionale di Fisica Nucleare La Biodola, Isola d’Elba, 6-9 maggio 2002 AFS: Status Report WS CCR R.Gomezel Workshop sulle problematiche.

Presentazioni simili

Annunci Google