Η υπηρεσία FoD (Firewall on Demand) παρέχει στους φορείς του ΕΔΥΤΕ τη δυνατότητα προστασίας έναντι δικτυακών επιθέσεων (DoS/DDos) που στοχέυουν στο συνοριακό δρομολογητή τους ή στα εσωτερικά τους δίκτυα.
Η ταυτοποίηση των χρηστων για την είσοδο στη διαχειριστική σελίδα πραγματοποιείται με τη χρήση SAML (Shibboleth). Η εξουσιοδότηση βασίζεται σε ένα συνδυασμό συγκεκριμένων attributes του Shibboleth και το address space που βρίσκεται υπό τη διαχείριση του φορέα όπως αυτό είναι καταχωρημένο στη βάση του RIPE. Το λογισμικό που επιλέχθηκε για την υλοποίηση της υπηρεσίας βασίζεται αποκλειστικά σε ανοιχτό κώδικα και υλοποιήθηκε από το NOC.
Χρήστες Υπηρεσίας
Τα εξής χαρακτηριστικά απαιτούνται για τους διαχειριστές και πρέπει να απελευθερώνονται από τον οικείο IdP προς τον SP σύμφωνα με την τεκμηρίωση πολιτικής και διαδικασιών που παρέχεται από την Ομοσπονδία AAI του ΕΔΥΤΕ:
Χαρακτηριστικό |
Περιγραφή |
---|---|
eduPersonPrincipalName | Παρέχει μια συμβολοσειρά κειμένου που χρησιμοποιείται ως μοναδικό αναγνωριστικό του διαχεριστή στην εφαρμογή διαχείρισης. |
eduPersonEntitlement | Μια συγκεκριμένη τιμή σε μορφή URN πρέπει να επιστρέφεται προκειμένου ένας χρήστης να εξουσιοδοτείται ως διαχειριστής: urn:mace:grnet.gr:fod:admin |
Διεύθυνση e-mail (μία ή περισσότερες) του διαχειριστή. Χρησιμοποιείται για ειδοποιήσεις από την εφαρμογή διαχείρισης. Μπορεί επίσης να χρησιμοποιηθεί για περαιτέρω επικοινωνία με το διαχειριστή, με προηγούμενη συγκατάθεσή του. | |
givenName (optional) | Το όνομα του διαχειριστή. |
sn (optional) | Το επώνυμο του διαχειριστή. |
Διαδικασία Υλοποίησης
Σχετικά με την υπηρεσία
Η υπηρεσία δίνει τη δυνατότητα στους χρήστες να περιορίσουν ενεργές επιθέσεις που στοχεύουν στο δικτυακό τους εξοπλισμό. Βασίζεται στη δημιουργία δυναμικών φίλτρων firewall, τα οποία εφαρμόζονται στο δίκτυο με τη χρήση του διαχειριστικού πρωτοκόλλου NETCONFκαι διαδίδονται στις συμβατές (Juniper) δικτυακές συσκευές του δικτύου κορμού της ΕΔΥΤΕ μέσω του BGP flowspec NLRI.
Για την ορθή συμπλήρωση της αίτησης ενός νέου φίλτρου είναι απαραίτητο η διεύθυνση προορισμού να ανήκει στο δίκτυο διαχείρισης του φορέα από τον οποίο προέρχεται ο χρήστης. Στην παρούσα φάση περιορίζονται επιθέσεις ανά υποδίκτυα /29.
Τα αιτήματα για νέα φίλτρα εφαρμόζονται άμεσα στο δίκτυο και ως εκ τούτου θα πρέπει να δίνται ιδιαίτερη προσοχή κατά την αίτησή τους. Τα φίλτρα που έχουν εφαρμοσθεί στο δίκτυο αφαιρούνται μετά το πέρας της ημερομηνίας λήξης τους, ενώ οι χρήστες μπορούν να τα ενεργοποιήσουν ξανά μέσω της αντίστοιχης επιλογής. Παράλληλα, δίνεται η δυνατότητα για απενεργοποίηση αιτημάτων πριν τη λήξη τους κατά τη βούληση του χρήστη.
Ψηφιακές Υπηρεσίες Ασφάλειας: Firewall on Demand (FoD)- Προστασία, εντοπισμός, ενημέρωση, διαμεσολάβηση, και αντιμετώπιση περιστατικών ασφαλείας
Ασφάλεια
Για λόγους ασφάλειας, η υποβολή αιτημάτων καταγράφεται ενημερώνοντας τους διαχειριστές της υπηρεσίας με την αποστολή ενός ηλεκτρονικού μηνύματος. Οι διαχειριστές της υπηρεσίας μπορούν ανά πάσα στιγμή να αφαιρέσουν ενεργά αιτήματα από το δίκτυο, εάν κάτι τέτοιο κριθεί αναγκαίο.
Αιτήματα ή διευκρινίσεις που αφορούν στη λειτουργία της υπηρεσίας υποβάλλονται στο helpdesk του ΕΔΕΤ
τηλ: 800‐11‐47638
e‐mail: helpdesk {AT} grnet gr