14354991089_a990402c4f_kSlide thumbnail

Προστασία από δικτυακές επιθεσεις

Η υπηρεσία FoD (Firewall on Demand) παρέχει στους φορείς του ΕΔΕΤ τη δυνατότητα προστασίας έναντι δικτυακών επιθέσεων (DoS/DDos) που στοχέυουν στο συνοριακό δρομολογητή τους ή στα εσωτερικά τους δίκτυα.

Η ταυτοποίηση των χρηστων για την είσοδο στη διαχειριστική σελίδα πραγματοποιείται με τη χρήση SAML (Shibboleth). Η εξουσιοδότηση βασίζεται σε ένα συνδυασμό συγκεκριμένων attributes του Shibboleth και το address space που βρίσκεται υπό τη διαχείριση του φορέα όπως αυτό είναι καταχωρημένο στη βάση του RIPE. Το λογισμικό που επιλέχθηκε για την υλοποίηση της υπηρεσίας βασίζεται αποκλειστικά σε ανοιχτό κώδικα και υλοποιήθηκε από το NOC.

Χρήστες Υπηρεσίας

Τα εξής χαρακτηριστικά απαιτούνται για τους διαχειριστές και πρέπει να απελευθερώνονται από τον οικείο IdP προς τον SP σύμφωνα με την τεκμηρίωση πολιτικής και διαδικασιών που παρέχεται από την Ομοσπονδία AAI του ΕΔΕΤ:

Χαρακτηριστικό Περιγραφή
eduPersonPrincipalName Παρέχει μια συμβολοσειρά κειμένου που χρησιμοποιείται ως μοναδικό αναγνωριστικό του διαχεριστή στην εφαρμογή διαχείρισης.
eduPersonEntitlement Μια συγκεκριμένη τιμή σε μορφή URN πρέπει να επιστρέφεται προκειμένου ένας χρήστης να εξουσιοδοτείται ως διαχειριστής: urn:mace:grnet.gr:fod:admin
mail Διεύθυνση e-mail (μία ή περισσότερες) του διαχειριστή. Χρησιμοποιείται για ειδοποιήσεις από την εφαρμογή διαχείρισης. Μπορεί επίσης να χρησιμοποιηθεί για περαιτέρω επικοινωνία με το διαχειριστή, με προηγούμενη συγκατάθεσή του.
givenName (optional) Το όνομα του διαχειριστή.
sn (optional) Το επώνυμο του διαχειριστή.

Διαδικασία Υλοποίησης

Σχετικά με την υπηρεσία

Η υπηρεσία δίνει τη δυνατότητα στους χρήστες να περιορίσουν ενεργές επιθέσεις που στοχεύουν στο δικτυακό τους εξοπλισμό. Βασίζεται στη δημιουργία δυναμικών φίλτρων firewall, τα οποία εφαρμόζονται στο δίκτυο με τη χρήση του διαχειριστικού πρωτοκόλλου NETCONFκαι διαδίδονται στις συμβατές (Juniper) δικτυακές συσκευές του δικτύου κορμού της ΕΔΕΤ μέσω του BGP flowspec NLRI.

Για την ορθή συμπλήρωση της αίτησης ενός νέου φίλτρου είναι απαραίτητο η διεύθυνση προορισμού να ανήκει στο δίκτυο διαχείρισης του φορέα από τον οποίο προέρχεται ο χρήστης. Στην παρούσα φάση περιορίζονται επιθέσεις ανά υποδίκτυα /29.

Τα αιτήματα για νέα φίλτρα εφαρμόζονται άμεσα στο δίκτυο και ως εκ τούτου θα πρέπει να δίνται ιδιαίτερη προσοχή κατά την αίτησή τους. Τα φίλτρα που έχουν εφαρμοσθεί στο δίκτυο αφαιρούνται μετά το πέρας της ημερομηνίας λήξης τους, ενώ οι χρήστες μπορούν να τα ενεργοποιήσουν ξανά μέσω της αντίστοιχης επιλογής. Παράλληλα, δίνεται η δυνατότητα για απενεργοποίηση αιτημάτων πριν τη λήξη τους κατά τη βούληση του χρήστη.

Ψηφιακές Υπηρεσίες Ασφάλειας: Firewall on Demand (FoD)- Προστασία, εντοπισμός, ενημέρωση, διαμεσολάβηση, και αντιμετώπιση περιστατικών ασφαλείας

Περισσότερες πληροφορίες σχετικά με το εκπαιδευτικό περιεχόμενο για την Υπηρεσία FoD εδώ

Ασφάλεια

Για λόγους ασφάλειας, η υποβολή αιτημάτων καταγράφεται ενημερώνοντας τους διαχειριστές της υπηρεσίας με την αποστολή ενός ηλεκτρονικού μηνύματος. Οι διαχειριστές της υπηρεσίας μπορούν ανά πάσα στιγμή να αφαιρέσουν ενεργά αιτήματα από το δίκτυο, εάν κάτι τέτοιο κριθεί αναγκαίο.

Αιτήματα ή διευκρινίσεις που αφορούν στη λειτουργία της υπηρεσίας υποβάλλονται στο helpdesk του ΕΔΕΤ

τηλ:800‐11‐47638

e‐mail: helpdesk [AT] grnet gr.