La presentazione è in caricamento. Aspetta per favore

La presentazione è in caricamento. Aspetta per favore

Gestione rete e nodi E.P..

PubblicatoGianleone Natale Modificato 6 anni fa

Presentazioni simili

Presentazione sul tema: "Gestione rete e nodi E.P.."— Transcript della presentazione:

1 Gestione rete e nodi E.P.

2 Necessita’ fondamentali
Identificazione nodi utente Protezione del nodo Identificazione dell’amministratore / responsabile Protezione dei servizi comuni Richiede maggiore attenzione Protezione dei nodi utente Separazione dei servizi di passaggio verso la WAN Rete per ospiti (INFN-Web, eduroam)

3 Protezione della rete Come ottenere una protezione ottimale della rete? Protezione da Accessi non autorizzati ed attacchi da WAN Comunicazione verso l’interno solo attraverso nodi controllati (bastion host) Accessi non autorizzati ed attacchi da LAN Presuppone la conoscenza di nodi connessi e relativi responsabili Segmentazione della rete per limitare il traffico broadcast e filtrare accessi tra sottoreti Separazione dei nodi per tipo di traffico ed eventualmente servizi offerti Protezione dei servizi comuni Servizi su VLAN specifica Nodi raggiungibili solo sulle porte dedicate al servizio offerto Separazione da tutti gli accessi degli utenti

4 ACL Metodo di protezione principale: ACL Due tipi di ACL
Protezione dalla WAN ACL sul router Protezione dalla LAN ACL sul centro stella

5 Criteri Segmentazione della rete Tipologia di nodi
Funzionalita’ separate devono poter essere associate a VLAN separate Criteri legati all’accesso (ACL tra le VLAN) Tipologia di nodi Nodi utente/gruppo Farm di calcolo Nodi di servizio (servizi di rete) Nodi di accesso (bastion host) Nodi ospiti Nodi “critici” Amministrazione Servizi interni Stampanti pubbliche Stampanti private Apparati di rete NAS e dischi condivisi Sistemi obsoleti / nodi di laboratorio

6 Esempio: Wi-fi Non raggiungibili dall’esterno
Con filtri da/verso la LAN Eduroam Si fornisce solo passaggio INFN-Web INFN-dot1x Per utenti locali o INFN Accesso ai nodi locali Accesso alle risorse

7 Esperienza attuale Filtro sul router Problemi rilevati
Pacchetti in entrata solo per connessioni established Problemi rilevati Traceroute E’ necessario che funzioni? Vidyo Funziona solo attraverso il proxy Perdita di performance ~10% Test con meeting CMS – non sembra un problema Team Speak AFS ?

8 Protezione servizi Le iptables non sono sufficienti
Al momento non sono puntuali “Chiudono” servizi invece di “aprire” le porte necessarie Metodo ACL su 6509 Iptables mantenute in modo sistematico per proteggere I nodi singoli da eventuali problemi nella VLAN Vantaggi: Permette filtri tra sottoreti Banco di prova per riscrittura ACL su router Tabella delle verita’ Quali porte devono essere accessibili Da dove devono essere accessibili Chi deve accedere e come Mantenuta su wiki Accesso per i membri del SICR VPN dedicata

9 Nodi membri del SICR (1) Allo stesso tempo Richiesta Nodi utente
Porte aperte necessarie per applicazioni (esempio videoconferenza) Nodi di servizio Semplice accesso alla rete dei servizi Richiesta Accesso semplice alla gestione dei servizi Garanzia delle funzionalita’ utente Mantenimento della protezione della rete dei servizi

10 Nodi membri del SICR (2) Separazione delle reti SICR e servizi
Opzioni Sottorete dedicata per I nodi dei membri del servizio (e stampanti) Nodi sulle VLAN utente VPN “selettivo” sulla rete 26 (split tunnel) Pacchetti scambiati con la rete dei servizi tramite VPN Verso tutte le altre reti nodo utente

11 GARR mailbox dns1 login vpn R www 6509 stampanti

12 Tavola della verita’ L’applicazione della ACL deve essere verificata e quindi monitorata puntualmente, per evitare disagi all’utenza Riempimento tabella servizi ed accessi necessari (AS, CB) Analisi delle performance del 6509 che svolgera’ un ruolo diverso rispetto all’attuale: il controllo dei pacchetti richiedera’ un maggior uso della CPU

13 Come procedere (1) Classificazione nodi “di servizio” ?
In generale questi devono esporre solo il servizio Porte ed i protocolli necessari Verso la rete 26 Ssh (tutti) http (ove necessario) Verso la LAN Esempio: wikisicr – ma e’ necessario aprila alla lan ? Verso la WAN (c’e’ una differenza rispetto al punto precedente) ? Esempio: il DNS espone la porta 53

14 Come procedere (2) Separazione nodi SICR Divisione della 11
64 per i nodi accesso utente 64 vuoti 128 per la VLAN dei membri del SICR con accesso all’ssh sulla 26 Preparazione VPN dedicata + ssh Bastion host per i nodi dei servizi Test split tunnel Migrazione sulla sottorete 11

15 Come procedere (3) Preparazione e test ACL
Nodo per nodo: Definizione porte e protocolli da esporre Test con implementazione come regole firewall Inserimento in tabella Scrittura ACL ed implementazione sul centro stella

16 Nodi di accesso (bastion hosts)
Rete dedicata all’accesso degli utenti dal mondo esterno Separata dai nodi utente e dai servizi x Protocolli utilizzati: SSH VPN Macchine virtuali ridondate Cluster oVirt dedicato 3 macchine virtuali per servizio su 3 macchine fisiche Anche per queste reti tabella analoga Quali servizi devono essere resi disponibili tramite questi nodi?

17 Servizi “locali” Reti con numerazione privata per
Stampanti Access point Apparati di rete (switch) NAS e dischi condivisi ?? Macchine di laboratorio obsolete WinXP Oscilloscopi con Win 2000 In alcuni casi e’ semplice definire gli accessi necessari In altri meno…

18 VLAN per gli “ospiti” Eduroam/INFN-Web Dedicate agli ospiti
Possono ospitare nodi non conosciuti Devono quindi essere separate dal resto della LAN Merita ulteriore discussione Doppie ACL ? Connessione fisica con indirizzamento verso il router? GARR R 6509

19 Nodi utente In generale non offrono servizi
O non dovrebbero offrirne Esempio contrario: siti web personali o di gruppo Da scoraggiare e se possibile eliminare Spostamento su DMZ con regole speciali Per proteggere i nodi utente e gli altri Necessaria riscrittura regole ACL Da zero con criteri opposti alle attuali Dovrebbe comportare semplificazione Criteri simili alla 26 Survey per sottorete Tramite scan dei nodi e “interrogazione” Nodo per nodo per capire le necessita’ Scopo finale: costruzione tabella

20 Identificazione dei nodi
Nodi identificati da ip Corrispondono ad un responsabile Come assicurare che il nodo sia veramente quello dichiarato ? Verificare corrispondenza mac/ip Strumenti di monitor attuali Cacti permette di navigare attraverso I mac e gli ip con vari filtri Arpwatch segnala cambi di mac address Script di check sugli ip “rubati” Al momento non c’e’ forzatura della regola

21 Problemi attuali Ip rubati Nodi vaganti Flip-flop Responsabili scaduti
Dinamici Caso meno frequente (?) Statici Errori di configurazione IP non autorizzati presi “per pigrizia” o perche’ non si ha diritto Nodi vaganti Esempio tipico: esercitazioni Flip-flop Responsabili scaduti Relazione con gestione utenze e responsabili nodi

22 Come risolvere il problema
Gli switch HP supportano l’autenticazione tramite radius Possibile usare Credenziali utente MAC address come credenziali Assicura l’identificazione del nodo e quindi del responsabile Assicura la corretta classificazione del nodo Piu’ pratico per nodi fissi Evita lo scambio di password (magari…) La porta switch si “apre” solo se l’utente e’ autenticato Da studiare DHCP con indirizzi fissi per tutte le VLAN DHCP “dinamico” per l’attuale DHCP

23 DHCP Al momento Se un utente prende un indirizzo x su porta DHCP si connette Qualsiasi sia la macchina Con Radius la porta e’ protetta (solo un MAC autorizzato passa) ma: Cosa succede se c’e’ un DHCP non autorizzato sulla VLAN ? Soluzione: DHCP snooping Le richieste DHCP vengono girate dallo switch direttamente al server autorizzato Per rivedere le ACL sul DHCP Survey sui nodi autorizzati

24 Mobilita’ utenti con IP fisso
Il metodo “DHCP con autenticazione” Permette la mobilita’ degli utenti ma: Suppone cablaggio a capienza! Altrimenti si rischia il caos nella richiesta attivazioni E comunque non ci guadagnamo nulla Protezione iniziale Porte con MAC address bloccato Preparazione moduli per richiesta spostamento nodi Eventualmente automatico quando il sistema diventa DHCP Preparazione piano per cablaggio a capienza Attenzione: necessario seguire da vcino tutti i lavori !!!

25 Attenzione Tutti I nodi sono spostabili ?
Esempio: nodi di laboratori studenti

26 Come procedere Sperimentazione con switch Applicazione alla rete DHCP
Radius ed autenticazione DHCP snooping Applicazione alla rete DHCP Verifica protezione Studio passaggio a DHCP con indirizzi fissi per VLAN utente

Scaricare ppt "Gestione rete e nodi E.P.."

Presentazioni simili

Riunione SICR E. P.. Aggiornamenti Certificati  Digicert  Server  Personali per dipendenti ed associati  Certificati INFN per laureandi non associati.

Riunione SICR E. P.. Aggiornamenti Certificati  Digicert  Server  Personali per dipendenti ed associati  Certificati INFN per laureandi non associati.
Riunione SICR 24/6/2015. Cluster Cluster oVirt – Pronto alla migrazione dei servizi – Macchina virtuale radius per guest_conf in funzione – Tempi migrazione.

Riunione SICR 24/6/2015. Cluster Cluster oVirt – Pronto alla migrazione dei servizi – Macchina virtuale radius per guest_conf in funzione – Tempi migrazione.
 Network Address Traslation: tecnica che permette di trasformare gli indirizzi IP privati in indirizzi IP pubblici  Gli indirizzi devono essere univoci.

 Network Address Traslation: tecnica che permette di trasformare gli indirizzi IP privati in indirizzi IP pubblici  Gli indirizzi devono essere univoci.
Evoluzione di TRIP: Eduroam, portale Web e autenticazione su IdP INFN Riccardo Veraldi, Vincenzo Ciaschini - CNAF.

Evoluzione di TRIP: Eduroam, portale Web e autenticazione su IdP INFN Riccardo Veraldi, Vincenzo Ciaschini - CNAF.
Riunione gruppo reti E. P.. IPMI Porta da mascherare sul router Scan IPMI e piano di indirizzamento (privato ?) Da fare nel piano generale quando si ha.

Riunione gruppo reti E. P.. IPMI Porta da mascherare sul router Scan IPMI e piano di indirizzamento (privato ?) Da fare nel piano generale quando si ha.
Riunione SICR E. P.. Certificati  Digicert  Server  Personali per dipendenti ed associati  Non associati e macchine su phys.uniroma1.it ?  Problema.

Riunione SICR E. P.. Certificati  Digicert  Server  Personali per dipendenti ed associati  Non associati e macchine su phys.uniroma1.it ?  Problema.
Report Scansioni – Auditing Gruppo Auditing Franco Brasolin BO Patrizia Belluomo CT Roberto Cecchini FI (chair) Michele Michelotto PD (speaker)

Report Scansioni – Auditing Gruppo Auditing Franco Brasolin BO Patrizia Belluomo CT Roberto Cecchini FI (chair) Michele Michelotto PD (speaker)
Virtualizzazione nell’INFN Andrea Chierici 11 Dicembre 2008.

Virtualizzazione nell’INFN Andrea Chierici 11 Dicembre 2008.
Cluster di login E. P.. Scopo del cluster di login Fornire accesso alle macchine interne ed ai servizi Evitare gli attacchi diretti alle macchine interne.

Cluster di login E. P.. Scopo del cluster di login Fornire accesso alle macchine interne ed ai servizi Evitare gli attacchi diretti alle macchine interne.
Implementazione di TRIP ai LNF Commissione Calcolo e Reti 31 maggio 2007 Massimo Pistoni.

Implementazione di TRIP ai LNF Commissione Calcolo e Reti 31 maggio 2007 Massimo Pistoni.
Gruppo Netarch Incontro di lavoro della CCR Napoli 25-27 gennaio 2010 Connessioni Tier1/Tier2 a GARR-X 1 GM, Incontro di lavoro della CCR – Napoli 25-27.

Gruppo Netarch Incontro di lavoro della CCR Napoli gennaio 2010 Connessioni Tier1/Tier2 a GARR-X 1 GM, Incontro di lavoro della CCR – Napoli
PRIN NAPOLI Enzo Capone, Gianpaolo Carlino, Alessandra Doria, Rosario Esposito, Leonardo Merola, Silvio Pardi, Arturo Sanchez Pineda.

PRIN NAPOLI Enzo Capone, Gianpaolo Carlino, Alessandra Doria, Rosario Esposito, Leonardo Merola, Silvio Pardi, Arturo Sanchez Pineda.
Riunione SICR E. P.. Aggiornamenti Certificati  Digicert  Server  Personali per dipendenti ed associati  Certificati INFN per laureandi non associati.

Riunione SICR E. P.. Aggiornamenti Certificati  Digicert  Server  Personali per dipendenti ed associati  Certificati INFN per laureandi non associati.
I dispositivi di rete. La Scheda Di Rete La scheda di rete, o LAN adapter è un circuito stampato che collega il cavo per il collegamento internet al PC.

I dispositivi di rete. La Scheda Di Rete La scheda di rete, o LAN adapter è un circuito stampato che collega il cavo per il collegamento internet al PC.
UNIVERSITA' DEGLI STUDI DI PERUGIA Facoltà di Scienze Matematiche, Fisiche e Naturali Corso di Laurea Magistrale in Informatica Anno Accademico 2010 -

UNIVERSITA' DEGLI STUDI DI PERUGIA Facoltà di Scienze Matematiche, Fisiche e Naturali Corso di Laurea Magistrale in Informatica Anno Accademico
1 14 marzo 2006 sommaruga andrea Fondazione Ordine Ingegneri di Milano VPN: Reti Private Virtuali VPN: RETI PRIVATE VIRTUALI LE POSSIBILITA' DI ACCESSO.

1 14 marzo 2006 sommaruga andrea Fondazione Ordine Ingegneri di Milano VPN: Reti Private Virtuali VPN: RETI PRIVATE VIRTUALI LE POSSIBILITA' DI ACCESSO.
A dvanced N etwork T echnologies Lab oratory Infrastrutture e Protocolli per Internet Laboratorio 5 Politecnico di Milano Stefano NapoliAlberto Pollastro.

A dvanced N etwork T echnologies Lab oratory Infrastrutture e Protocolli per Internet Laboratorio 5 Politecnico di Milano Stefano NapoliAlberto Pollastro.
Riunione SICR E. P.. Aggiornamenti Migrazioni  Installate nuove macchine  Dell 630 e 730xd  Altre migrazioni:  DNS secondario  Preparazione macchina.

Riunione SICR E. P.. Aggiornamenti Migrazioni  Installate nuove macchine  Dell 630 e 730xd  Altre migrazioni:  DNS secondario  Preparazione macchina.
Università degli Studi - “ G. d'Annunzio ” Chieti - Pescara FACOLTÀ DI ECONOMIA Corso di laurea in Economia Informatica/s Seminario di: Giovanni Placentino.

Università degli Studi - “ G. d'Annunzio ” Chieti - Pescara FACOLTÀ DI ECONOMIA Corso di laurea in Economia Informatica/s Seminario di: Giovanni Placentino.
Alma Mater Studiorum - Università di Bologna Facoltà di Scienze Matematiche Fisiche e Naturali Dipartimento di Scienze dell’Informazione Supporto al multihoming.

Alma Mater Studiorum - Università di Bologna Facoltà di Scienze Matematiche Fisiche e Naturali Dipartimento di Scienze dell’Informazione Supporto al multihoming.

Presentazioni simili

Annunci Google