La presentazione è in caricamento. Aspetta per favore

La presentazione è in caricamento. Aspetta per favore

ACL..una soluzione per limitare il traffico indesiderato e aumentare la sicurezza informatica sui nodi che offrono servizi, poi sui nodi degli utenti..

Presentazioni simili


Presentazione sul tema: "ACL..una soluzione per limitare il traffico indesiderato e aumentare la sicurezza informatica sui nodi che offrono servizi, poi sui nodi degli utenti.."— Transcript della presentazione:

1 ACL..una soluzione per limitare il traffico indesiderato e aumentare la sicurezza informatica sui nodi che offrono servizi, poi sui nodi degli utenti.. Cristina & sandro

2 dns1 www mailbox Oggi sono applicate delle ACL sul router di frontiera e (tutti ??) i nodi che offrono servizi di rete hanno definite Iptables loginvpn GARR R 6509

3 R GARR dns1 www mailbox Stampanti ? loginvpn Per aumentare il filtro sul traffico indesiderato si pensa di introdurre ACL sui vari rami della stella...si e’ accennato anche alla creazione di VLAN per stampanti..

4 R 6509 GARR dns1 www mailbox stampanti loginvpn Si procedera’ per passi. Il primo inserimento di ACL riguardera’ la VLAN sulla quale sono connessi tutti i nodi che offrono servizi di rete (network 141.108.26.0)

5 Tabella non leggibile, inserita solo per dire che 62 nodi della network 141.108.26.0 sono stati controllati con una scansione di nmap, effettuata nella mattinata di venerdi’ 3 giugno. Le colonne TCP e UDP riportano le porte che hanno risposto.

6 Scansione nmap di un nodo [root@nessusvm ~]# nmap -sT -sU 141.108.26.2 Starting Nmap 5.00 ( http://nmap.org ) at 2016-06-09 11:57 CEST Interesting ports on LM-Server.roma1.infn.it (141.108.26.2): Not shown: 1992 closed ports PORT STATE SERVICE 22/tcp open ssh 25/tcp open smtp 111/tcp open rpcbind 7496/tcp open unknown 8649/tcp open unknown 111/udp open|filtered rpcbind 123/udp open|filtered ntp 514/udp open|filtered syslog MAC Address: 00:20:ED:17:17:7F (Giga-byte Technology CO.) Nmap done: 1 IP address (1 host up) scanned in 1074.29 seconds [root@nessusvm ~]#

7 www1.roma1.infn.it141.108.26.1 testdip.roma1.infn.it141.108.26.4 pcgattap.roma1.infn.it141.108.26.5 kalipe.roma1.infn.it141.108.26.11 oblio.roma1.infn.it141.108.26.12 wiki.roma1.infn.it141.108.26.21 dns1new.roma1.infn.it141.108.26.31 login1.roma1.infn.it141.108.26.33 manchester.roma1.infn.it141.108.26.51 boris.roma1.infn.it141.108.26.81 nimbus.roma1.infn.it141.108.26.94 iFlexAble.roma1.infn.it141.108.26.97 shaun.roma1.infn.it141.108.26.99 cactivm.roma1.infn.it141.108.26.110 feather.roma1.infn.it141.108.26.111 new-sl6x.roma1.infn.it141.108.26.128 new-sl7x.roma1.infn.it141.108.26.129 rhcs5.roma1.infn.it141.108.26.143 rhcs6.roma1.infn.it141.108.26.144 www2.roma1.infn.it141.108.26.150 wp.roma1.infn.it141.108.26.152 pcsupport1.roma1.infn.it141.108.26.230 swsicr03-26.roma1.infn.it141.108.26.244 Questi 23 nodi sono registrati nel DNS e non sono stati controllati dalla scansione di nmap, effettuata nella mattinata di venerdi’ 3 giugno: nodi spenti o non piu’ esistenti ?

8 Come procedere e cosa fare Avere evidenza dei desiderata: cosa e’ permesso e da dove, cosa e’ vietato Analisi della realta’ attuale: realizzare una tavola della verita’ per tutti i nodi e servizi collegati alla network 141.108.26.0 Per ogni nodo dobbiamo sapere quali servizi offre Quali porte TCP e UDP devono essere aperte Tutte le altre porte saranno chiuse

9 Desiderata Una soluzione per limitare il traffico indesiderato e quindi aumentare la sicurezza informatica sui nodi che offrono servizi Gli obiettivi devono essere chiari Deve essere evidente quale traffico si intende consentire e quale negare Uno schema riassuntivo deve essere sempre aggiornato e consultabile per evitare dubbi e perplessita’: wikisicr ?

10 Partendo da una analisi della situazione attuale, realizzare una tavola della verita’ Per ogni nodo dobbiamo sapere quali servizi offre Quali porte TCP e UDP devono essere aperte Tutte le altre porte saranno chiuse …le Iptables sui singoli nodi rimarranno ? (esula dall’inserimento delle ACL ed e’ solo curiosita’..)

11 Tabella della verita’ NodoIp addressservizioAccesso dalla WAN Accesso dalla LAN Lm- server.roma1.infn.it 141.108.26.2LicenzeTCP: UDP: TCP: UDP Afsbck.roma1.infn.it141.108.26.3Backup volumi AFS (anche nazionali ?) TCP: UDP: TCP: UDP: Okisicr.roma1.infn.it141.108.26.6Stampante per utenti SICR TCP: UDP: TCP: UDP: ….

12 Tavola della verita’ Per ogni nodo e/o servizio chi riempie la tavola ?..nel passato i tentativi di creare questa puntuale verifica sono miseramente falliti. Non ha senso creare una ACL e poi modificarla alla bisogna L’applicazione della ACL deve essere verificata e quindi monitorata puntualmente, per evitare disagi all’utenza Analisi delle performances del 6509 che svolgera’ un ruolo diverso rispetto all’attuale: il controllo dei pacchetti richiedera’ un maggior uso della CPU

13 OGGI E’ IL 9 GIUGNO

14 AUGURI Carlo !!


Scaricare ppt "ACL..una soluzione per limitare il traffico indesiderato e aumentare la sicurezza informatica sui nodi che offrono servizi, poi sui nodi degli utenti.."

Presentazioni simili


Annunci Google