La presentazione è in caricamento. Aspetta per favore

La presentazione è in caricamento. Aspetta per favore

Test del Next Generation FireWall Fortigate 1500D Massimo Pistoni WS CCR 16-20 maggio 2016.

PubblicatoAngela Agostini Modificato 8 anni fa

Presentazioni simili

Presentazione sul tema: "Test del Next Generation FireWall Fortigate 1500D Massimo Pistoni WS CCR 16-20 maggio 2016."— Transcript della presentazione:

1 Test del Next Generation FireWall Fortigate 1500D Massimo Pistoni WS CCR 16-20 maggio 2016

2 Specifiche tecniche 17 maggio 2016La Biodola - Isola D'Elba2 Hardware specifications, Performances porte 10Gb/s SFP+8 16 porte 1Gb/s SFP16 16 porte 1Gb/s RJ4516 IP F/W Throughput (1512,512,64 Byte) 80/80/55 Gbps IPS Throughput13 Gbps NGFW Throughput5,5 Gbps

3 Appliances Router di frontiera 17 maggio 2016La Biodola - Isola D'Elba3 WLAN controller VPN Concentrator Captive Portal Load Balancer / Traffic Shaper Next Generation FireWall Fortigate 1500D

4 NGFW / WLC Partizionabile in 10 domini Installabile in configurazione HA Configurazione LNF 17 maggio 2016La Biodola - Isola D'Elba4 GARR WLC Bridge/Firewall FAP-221C-E

5 NGFW Filtri abilitati in ingresso (Garr  LNF): –Application Control –Intrusion Prevention System –Antivirus Filtri abilitati in uscita (Garr  LNF): –Application Control –Intrusion Prevention System –Antivirus –Web filtering 17 maggio 2016La Biodola - Isola D'Elba5

6

7 Application Control Applicazioni gia’ suddivise in categorie, ma selezionabili anche singolarmente: Filtrati i botnet Abilitate tutte le altre applicazioni Monitorate categorie Proxy e Remote.Access 17 maggio 2016La Biodola - Isola D'Elba7

8

9 Intrusion Protection Signatures gia’ categorizzate secondo severity, ma selezionabili anche singolarmente Predefinito comportamento di default Pass o Block per ciascuna signature: Block per Critical e High severity Default per Medium e Low Block di SIPVicious.SIP.Scanner 17 maggio 2016La Biodola - Isola D'Elba9

10

11 Anti Virus Signatures predefinite Detect Virus impostato su Block Controllo su tutti i protocolli (previsti) Blocco del codice eseguibile via smtp impostato su disable Scan di Mobile malware abilitato 17 maggio 2016La Biodola - Isola D'Elba11

12

13 Web Filter (solo out) Siti gia’ categorizzati secondo rischio e/o contenuto, ma selezionabili anche singolarmente (o con uso di wildchar) Block della categoria “security risk” –Con eccezione per Dynamic DNS Abilitate tutte le altre categorie Block di siti specifici puntati nei mail di phishing ricevuti dagli utenti LNF 17 maggio 2016La Biodola - Isola D'Elba13

14

15

16 Monitor Funzionalita’ di monitoring attraverso la voce Fortiview –Now, 5 minutes, 1 hour, 24 hours Filtri di ricerca e di selezione anche in combinazione (AND) –Sources, Destinations, Interfaces, Policies, Countries, Sessions, Applications, Cloud Applications, Web sites, Threats, etc. Rappresentazione in tabella o in bolle 17 maggio 2016La Biodola - Isola D'Elba16

17

18

19

20

21

22

23

24

25

26

27

28

29

30

31

32

33 Log & Report Vengono raccolti i log su RAM o su HD Possono essere inoltrati anche: –log server esterno (syslogd) –FortiAnalyzer (apposita VM), consigliato! I log sono generati in quantita’ esagerata (varie centinaia di record/s) Il Fortigate e’ comunque in grado di visualizzare un po’ di log (7 gg.) Gestione degli alert via e-mail 17 maggio 2016La Biodola - Isola D'Elba33

34

35

36

37

38

39

40

41

42

43 WLAN controller Creato apposito dominio per la gestione degli Access Point (WLC) –Definizione di interfaccia di connessione con protocollo CAPWAP abilitato –Definiti i radius server dei LNF Definiti 3 SSID in local bridge mode –INFN-dot1y  131 (la stessa di INFN-dot1x) –eduroma  202 (la stessa di eduroam) –INFN-WWW  400 (dietro al nuovo captive portal tino-SAML) 17 maggio 2016La Biodola - Isola D'Elba43

44

45 AP Profiles Creato apposito profilo per gli access point dei LNF –Abilitati tutti i canali di entrambe le radio interface (2,4 GHz 802.11n/g/b e 5 GHz 802.11ac/n/a) –Deploy di tutti e 3 i SSID su entrambe le radio interface Configurato il Wireless Intrusion Detection System –Impostazioni di default con il rogue AP detection disabilitato 17 maggio 2016La Biodola - Isola D'Elba45

46

47

48 Managed APs Connessione di AP alla rete (su porta trunk) L’AP configura un proprio IP via DHCP Il WLC effettua un autodiscovery dell’AP Il WLC prende il controllo dell’AP (Authorize) Il WLC effettua il deploy del profilo LNF sull’AP 17 maggio 2016La Biodola - Isola D'Elba48

49

50 Tino SAML Installato nuovo Captive Portal tino-SAML che permette l’autenticazione tramite portale AAI-INFN L’IDP restituisce la uid del’utente che si autentica sul portale e un entitlement che permette l’accesso alla rete wifi Godiva e’ stato modificato per gestire i visitatori e attribuire tale entitlement 17 maggio 2016La Biodola - Isola D'Elba50

51

52 Conclusioni Fatti salvi alcuni piccoli problemi riscontrati, in parte sanati durante la demo, il fortigate sembra un valido strumento per aumentare la sicurezza dei sistemi informatici connessi sulla LAN Anche come WLC svolge egregiamente il suo lavoro L’interfaccia di gestione appare semplice ed abbastanza intuitiva 17 maggio 2016La Biodola - Isola D'Elba52

53 Ringraziamenti demo F/W Ditta Fortinet ed in particolar modo: –Fabrizio Amato –Alessandro Fontana Partner Ikran Services ed in particolare –Olga Levun –Marco Novelli Staff del Servizio di Calcolo LNF –Dario Spigone 17 maggio 2016La Biodola - Isola D'Elba53

54 Ulteriori ringraziamenti Update Godiva: Bisegni, Serafini Tino-Saml: Veraldi (update a cura di Maselli e Pistoni) Form di auto-registrazione: Serafini, Orru’, Tota Membri del WG AAI-INFN Servizio Sistema Informativo di AC Servizio di Calcolo LNF 17 maggio 2016La Biodola - Isola D'Elba54

55 Discussione e domande 17 maggio 201655La Biodola - Isola D'Elba

Scaricare ppt "Test del Next Generation FireWall Fortigate 1500D Massimo Pistoni WS CCR 16-20 maggio 2016."

Presentazioni simili

Unità D2 Database nel web. Obiettivi Comprendere il concetto di interfaccia utente Comprendere la struttura e i livelli che compongono unapplicazione.

Unità D2 Database nel web. Obiettivi Comprendere il concetto di interfaccia utente Comprendere la struttura e i livelli che compongono unapplicazione.
RETI INFORMATICHE Una panoramica su Internet WS_FTP

RETI INFORMATICHE Una panoramica su Internet WS_FTP
ISA Server 2004 Configurazione di Accessi via VPN

ISA Server 2004 Configurazione di Accessi via VPN
Asso Dschola e UT1 Navigazione protetta con Asso.Dschola e la blacklist dell’Università di Tolosa.

Asso Dschola e UT1 Navigazione protetta con Asso.Dschola e la blacklist dell’Università di Tolosa.
Direzione Generale Sistemi Informativi Reti telematiche e minori: lesperienza nelle scuole Reti telematiche e minori: lesperienza nelle scuole Roma, 17.

Direzione Generale Sistemi Informativi Reti telematiche e minori: lesperienza nelle scuole Reti telematiche e minori: lesperienza nelle scuole Roma, 17.
Amministratore di sistema di Educazione&Scuola

Amministratore di sistema di Educazione&Scuola
Sicurezza e Policy in Active Directory

Sicurezza e Policy in Active Directory
SEVER RAS.

SEVER RAS.
Rete Wireless per Informatica Grafica

Rete Wireless per Informatica Grafica
A.A. 2007/2008Corso: Sicurezza 1 © Danilo Bruschi Sicurezza dei calcolatori e delle reti Proteggere la rete: tecnologie Lez. 13.

A.A. 2007/2008Corso: Sicurezza 1 © Danilo Bruschi Sicurezza dei calcolatori e delle reti Proteggere la rete: tecnologie Lez. 13.
Punto di partenza 802.11b , 802.11a, 802,11g sono tecnologie per creare reti ethernet senza fili Copertura di 20 m di raggio indoor (3 muri) da ogni stazione.

Punto di partenza b , a, 802,11g sono tecnologie per creare reti ethernet senza fili Copertura di 20 m di raggio indoor (3 muri) da ogni stazione.
La Sicurezza nelle reti Wireless

La Sicurezza nelle reti Wireless
Test sul Cisco VPN Concentrator

Test sul Cisco VPN Concentrator
Wireless Authentication

Wireless Authentication
Il Firewall Sistemi di elaborazione dellinformazione : Sicurezza Anno Accademico 2001/2002 Martini Eros.

Il Firewall Sistemi di elaborazione dellinformazione : Sicurezza Anno Accademico 2001/2002 Martini Eros.
Norman SecureTide Soluzione sul cloud potente per bloccare le spam e le minacce prima che entrino all'interno della rete.

Norman SecureTide Soluzione sul cloud potente per bloccare le spam e le minacce prima che entrino all'interno della rete.
ZyXEL Sicurezza e semplicità. Agenda Presentazione della Società Concetti di base per i prodotti di sicurezza La gamma ZyWALL La gamma Prestige.

ZyXEL Sicurezza e semplicità. Agenda Presentazione della Società Concetti di base per i prodotti di sicurezza La gamma ZyWALL La gamma Prestige.
AREZZO, 20 OTTOBRE 2007 IZ3HAD Configurazione di un client per laccesso alla rete nazionale.

AREZZO, 20 OTTOBRE 2007 IZ3HAD Configurazione di un client per laccesso alla rete nazionale.
Smau Security - 25 ottobre 2002Communication Valley – Telefonia e wireless Smau Security 2002 Reti wireless e telefonia tradizionale Il punto di vista.

Smau Security - 25 ottobre 2002Communication Valley – Telefonia e wireless Smau Security 2002 Reti wireless e telefonia tradizionale Il punto di vista.
EUCIP IT Administrator Modulo 5 - Sicurezza Informatica 7 - Sicurezza di rete AICA © 2005.

EUCIP IT Administrator Modulo 5 - Sicurezza Informatica 7 - Sicurezza di rete AICA © 2005.

Presentazioni simili

Annunci Google