Firewall on Demand

<?xml version="1.0" encoding="utf-8"?>

<django-objects version="1.0">

    <object pk="1" model="sites.site">

        <field type="CharField" name="domain">example.com</field>

        <field type="CharField" name="name">example.com</field>

    </object>

    <object pk="2" model="flatpages.flatpage">

        <field type="CharField" name="url">/fod/about/info/</field>

        <field type="CharField" name="title">Περί της υπηρεσίας</field>

        <field type="TextField" name="content">&lt;h5&gt;Εισαγωγή&lt;/h5&gt;

Η υπηρεσία FoD (Firewall on Demand) παρέχει στην εκπαιδευτική και ακαδημαϊκή κοινότητα τη δυνατότητα για προστασία έναντι δικτυακών επιθέσεων που στοχέυουν στο δικτυακό εξοπλισμό που διαχειρίζονται.

Ειδικότερα, η υπηρεσία απευθύνεται στα NOC των ιδρυμάτων‐φορέων του δικτύου ΕΔΕΤ που έχουν ανάγκες για βραχυπρόθεσμη προστασία έναντι δικτυακών επιθέσεων με προορισμό τον εξοπλισμό που διαχειρίζονται.

Για τη διασφάλιση της ακεραιότητας της υπηρεσίας και προκειμένου αυτή να μην αποτελέσει πηγή επιθέσεων, το authentication των χρηστων πραγματοποιείται με τη χρήση Shibboleth. Το authorisation βασίζεται σε ένα συνδυασμό συγκεκριμένων attributes του Shibboleth με το address space που κάθε φορέας διαχειρίζεται.

Το λογισμικό που επιλέχθηκε για την υλοποίηση της υπηρεσίας βασίζεται αποκλειστικά σε ανοιχτό κώδικα.

Αιτήματα ή διευκρινίσεις που αφορούν στη λειτουργία της υπηρεσίας θα πρέπει να υποβάλλονται στο helpdesk του ΕΔΕΤ, τηλεφωνικά στο 800‐11‐47638 ή μέσω e‐mail στο helpdesk -στο- grnet.gr.

<h5>Συμμετοχή</h5>

Η συμμετοχή στην υπηρεσία προϋποθέτη την ορθή διαμόρφωση συγκεκριμένων Shibboleth attributes:

                                <ul>

                                <li>HTTP_EPPN</li>

                                <li>HTTP_SHIB_HOMEORGANIZATION</li>

                                <li>HTTP_SHIB_INETORGPERSON_MAIL</li>

                                <li>Ένα κατάλληλο HTTP_SHIB_EP_ENTITLEMENT το οποίο παρέχεται από το Helpdesk</li>

                                </ul>

                                Προεραιτικά:

                                <ul>

                                <li>HTTP_SHIB_INETORGPERSON_GIVENNAME</li>

                                <li>HTTP_SHIB_PERSON_SURNAME</li>

                                </ul>

<h5>Χρήση</h5>

Η υπηρεσία δίνει τη δυνατότητα στους χρήστες να περιορίσουν ενεργές επιθέσεις που στοχεύουν στο δικτυακό τους εξοπλισμό. Βασίζεται στη δημιουργία δυναμικών φίλτρων firewall οι οποίοι εφαρμόζονται στο δίκτυο με τη χρήση του διαχειριστικού πρωτοκόλλου netconf και διαδίδονται στις συμβατές (Juniper) διτκυακές συσκευές του δικτύου κορμού της ΕΔΕΤ μέσω του BGP flowspec NLRI.

Για την ορθή συμπλήρωση της αίτησης ενός νέου φίλτρου είναι απαραίτητο η διεύθυνση προορισμού να ανήκει στο δίκτυο διαχείρισης του φορέα από τον οποίο προέρχεται ο χρήστης. Στην παρούσα φάση περιορίζονται επιθέσεις ανά /29 υποδίκτυα.

Τα αιτήματα για νέα φίλτρα εφαρμόζονται άμεσα στο δίκτυο και ως εκ τούτου θα πρέπει να δίνται ιδιαίτερη προσοχή κατά την αίτησή τους. Τα φίλτρα που έχουν εφαρμοσθεί στο δίκτυο αφαιρούνται μετά το πέρας της ημερομηνίας λήξης τους, ενώ οι χρήστες μπορούν να τα ενεργοποιήσουν ξανά μέσω της αντίστοιχης επιλογής. Παράλληλα, δίνεται η δυνατότητα για απενεργοποίηση αιτημάτων πριν τη λήξη τους κατά τη βούληση του χρήστη

<h5>Ασφάλεια</h5>

Για λόγους ασφαλείας, η υποβολή αιτημάτων καταγράφεται ενημερώνοντας τους διαχειριστές της υπηρεσίας.

Οι διαχιριστές της υπηρεσίας μπορούν ανά πάσα στιγμή να αφαιρέσουν ενεργά αιτήματα από το δίκτυο, εάν κάτι τέτοιο κριθεί αναγκαίο

</field>

        <field type="BooleanField" name="enable_comments">False</field>

        <field type="CharField" name="template_name"></field>

        <field type="BooleanField" name="registration_required">False</field>

        <field to="sites.site" name="sites" rel="ManyToManyRel"><object pk="1"></object></field>

    </object>

    <object pk="1" model="flatpages.flatpage">

        <field type="CharField" name="url">/fod/about/terms-of-service/</field>

        <field type="CharField" name="title">Όροι χρήσης της υπηρεσίας Firewall on Demand</field>

        <field type="TextField" name="content">    &lt;p&gt;

        <em>Τελευταία Ενημέρωση: 9 Ιανουαρίου 2011. </em>

    </p>

Η υπηρεσία FoD παρέχεται από την ΕΔΕΤ Α.Ε. προς την ακαδημαϊκή και ερευνητική κοινότητα και η χρήση της υπηρεσίας οφείλει να γίνεται μόνο για την προώθηση ακαδημαϊκών, εκπαιδευτικών και ερευνητικών σκοπών.

Οι παρακάτω όροι εφαρμόζονται από όλους τους χρήστες της υπηρεσίας. Οι παρόντες όροι χρήσης, όπως κάθε φορά ισχύουν και τροποποιούνται, αποτελούν τη σύμβαση μεταξύ των χρηστών της υπηρεσίας και της ΕΔΕΤ Α.Ε. Για τη χρήση της υπηρεσίας είναι απαραίτητη η αποδοχή των παρακάτω όρων.

    <h3>Δυνητικοί Χρήστες</h3>

Η υπηρεσία απευθύνεται στα Κέντρα Δικτύων (ή σε αντίστοιχες δομές) των εγκεκριμένων από το ΔΣ &lt;a href="http://www.noc.grnet.gr/node/35" target="_blank"&gt;φορέων&lt;/a&gt; της ΕΔΕΤ Α.Ε που συμμετέχουν στην ομοσπονδιακή ταυτοποίηση με τη χρήση Shibboleth. Η υπηρεσία παρέχεται προκειμένου να περιοριστούν δικτυακές επιθέσεις που στοχεύουν στον εξοπλισμό των φορέων. Η είσοδος και χρήση της υπηρεσίας προϋποθέτη την ορθή διαμόρφωση συγκεκριμένων ιδιοτήτων του Shibboleth.</field>

        <field type="BooleanField" name="enable_comments">False</field>

        <field type="CharField" name="template_name"></field>

        <field type="BooleanField" name="registration_required">False</field>

        <field to="sites.site" name="sites" rel="ManyToManyRel"><object pk="1"></object></field>

    </object>

</django-objects>