Περί της υπηρεσίας

Περί της υπηρεσίας


Περιγραφή της Υπηρεσίας




Η υπηρεσία FoD (Firewall on Demand) παρέχει στους φορείς του ΕΔΕΤ τη δυνατότητα προστασίας  έναντι δικτυακών επιθέσεων (DoS/DDos) που στοχέυουν στο συνοριακό δρομολογητή τους ή στα εσωτερικά τους δίκτυα.


Η ταυτοποίηση των χρηστων για την είσοδο στη διαχειριστική σελίδα πραγματοποιείται με τη χρήση SAML (Shibboleth). Η εξουσιοδότηση βασίζεται σε ένα συνδυασμό συγκεκριμένων attributes του Shibboleth και το address space που βρίσκεται υπό τη διαχείριση του φορέα όπως αυτό είναι καταχωρημένο στη βάση του RIPE. Το λογισμικό που επιλέχθηκε για την υλοποίηση της υπηρεσίας βασίζεται αποκλειστικά σε ανοιχτό κώδικα και υλοποιήθηκε από το NOC.


Χρήστες της Υπηρεσίας




Τα εξής χαρακτηριστικά απαιτούνται για τους διαχειριστές και πρέπει να απελευθερώνονται από τον οικείο IdP προς τον SP σύμφωνα με την τεκμηρίωση πολιτικής και διαδικασιών που παρέχεται από την Ομοσπονδία AAI του ΕΔΕΤ:



  • eduPersonPrincipalName: Παρέχει μια συμβολοσειρά κειμένου που χρησιμοποιείται ως μοναδικό αναγνωριστικό του διαχεριστή στην εφαρμογή διαχείρισης

  • eduPersonEntitlementΜια συγκεκριμένη τιμή σε μορφή URN πρέπει να επιστρέφεται προκειμένου ένας χρήστης να εξουσιοδοτείται ως διαχειριστής: urn:mace:grnet.gr:fod:admin

  • mail: Διεύθυνση e-mail (μία ή περισσότερες) του διαχειριστή. Χρησιμοποιείται για ειδοποιήσεις από την εφαρμογή διαχείρισης. Μπορεί επίσης να χρησιμοποιηθεί για περαιτέρω επικοινωνία με το διαχειριστή, με προηγούμενη συγκατάθεσή του.

  • givenName (optional): Το όνομα του διαχειριστή.

  • sn (optional): Το επώνυμο του διαχειριστή


Υλοποίηση της Υπηρεσίας




Η υπηρεσία δίνει τη δυνατότητα στους χρήστες να περιορίσουν ενεργές επιθέσεις που στοχεύουν στο δικτυακό τους εξοπλισμό. Βασίζεται στη δημιουργία δυναμικών φίλτρων firewall, τα οποία εφαρμόζονται στο δίκτυο με τη χρήση του διαχειριστικού πρωτοκόλλου NETCONF και διαδίδονται στις συμβατές (Juniper) δικτυακές συσκευές του δικτύου κορμού της ΕΔΕΤ μέσω του BGP flowspec NLRI.


Για την ορθή συμπλήρωση της αίτησης ενός νέου φίλτρου είναι απαραίτητο η διεύθυνση προορισμού να ανήκει στο δίκτυο διαχείρισης του φορέα από τον οποίο προέρχεται ο χρήστης. Στην παρούσα φάση περιορίζονται επιθέσεις ανά υποδίκτυα /29.


Τα αιτήματα για νέα φίλτρα εφαρμόζονται άμεσα στο δίκτυο και ως εκ τούτου θα πρέπει να δίνται ιδιαίτερη προσοχή κατά την αίτησή τους. Τα φίλτρα που έχουν εφαρμοσθεί στο δίκτυο αφαιρούνται μετά το πέρας της ημερομηνίας λήξης τους, ενώ οι χρήστες μπορούν να τα ενεργοποιήσουν ξανά μέσω της αντίστοιχης επιλογής. Παράλληλα, δίνεται η δυνατότητα για απενεργοποίηση αιτημάτων πριν τη λήξη τους κατά τη βούληση του χρήστη.


Ασφάλεια




Για λόγους ασφάλειας, η υποβολή αιτημάτων καταγράφεται ενημερώνοντας τους διαχειριστές της υπηρεσίας με την αποστολή ενός ηλεκτρονικού μηνύματος. Οι διαχιριστές της υπηρεσίας μπορούν ανά πάσα στιγμή να αφαιρέσουν ενεργά αιτήματα από το δίκτυο, εάν κάτι τέτοιο κριθεί αναγκαίο.


Αιτήματα ή διευκρινίσεις που αφορούν στη λειτουργία της υπηρεσίας θα πρέπει να υποβάλλονται στο helpdesk του ΕΔΕΤ, τηλεφωνικά στο 800‐11‐47638 ή μέσω e‐mail στο helpdesk -στο- grnet gr.

Σχετικές δημοσιεύσεις




Παρουσίαση στο TNC2012


Paper: http://www.noc.grnet.gr/sites/default/files/tnc2012_misc_Leonidas.pdf


Πηγαίος Κώδικας




Mε git ως: git clone https://github.com/grnet/flowspy


ή από τη σελίδα https://github.com/grnet/flowspy κάτω από την ενότητα Files