
<html>

<head>

<meta http-equiv="Content-Type" content="text/html; charset=Windows-1252">

</head>

<body style="word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space;">

Paul,

<div><br>

</div>

<div>Beyond explicit configuration for the cloud operator, documentation and API validation for the end user, is there anything specific you would like to see as a “warning label”? Does iptables do TCP sequence number validation? Where we can, we should strive

 to match iptables behavior.</div>

<div><br>

</div>

<div>Regarding OVS flows and security groups, we can provide a tool to explain how security group rules are mapped to the integration bridge. In the proposed solution contained in the blueprint, security group rule flows would be distinguished from other agent’s

 flows via cookie.</div>

<div><br>

</div>

<div>Regarding packet logging, I don’t know if OVS is capable of it. If iptables in Neutron does not currently support that feature, I don’t think Neutron should explicitly support out-of-tree features.</div>

<div><br>

</div>

<div>Amir</div>

<div><br>

<div>

<div>On Jun 3, 2014, at 6:59 AM, CARVER, PAUL <<a href="mailto:pc2929@att.com">pc2929@att.com</a>> wrote:</div>

<br class="Apple-interchange-newline">

<blockquote type="cite">

<div lang="EN-US" link="blue" vlink="purple" style="font-family: Helvetica; font-size: 12px; font-style: normal; font-variant: normal; font-weight: normal; letter-spacing: normal; line-height: normal; orphans: auto; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; widows: auto; word-spacing: 0px; -webkit-text-stroke-width: 0px;">

<div class="WordSection1" style="page: WordSection1;">

<div style="margin: 0in 0in 0.0001pt; font-size: 12pt; font-family: 'Times New Roman', serif;">

<span style="font-size: 11pt; font-family: Calibri, sans-serif; color: rgb(31, 73, 125);"> </span></div>

<div>

<div style="border-style: solid none none; border-top-color: rgb(181, 196, 223); border-top-width: 1pt; padding: 3pt 0in 0in;">

<div style="margin: 0in 0in 0.0001pt; font-size: 12pt; font-family: 'Times New Roman', serif;">

<span style="font-size: 10pt; font-family: Tahoma, sans-serif;">Amir Sadoughi wrote:<o:p></o:p></span></div>

<div style="margin: 0in 0in 0.0001pt; font-size: 12pt; font-family: 'Times New Roman', serif;">

<span style="font-size: 10pt; font-family: Tahoma, sans-serif;"> </span></div>

<div style="margin: 0in 0in 0.0001pt; font-size: 12pt; font-family: 'Times New Roman', serif;">

<span style="font-size: 10pt; font-family: Tahoma, sans-serif;">></span>Specifically, OVS lacks connection tracking so it won’t have a RELATED feature or stateful rules<span style="color: rgb(31, 73, 125);"><o:p></o:p></span></div>

<div style="margin: 0in 0in 0.0001pt; font-size: 12pt; font-family: 'Times New Roman', serif;">

<span style="font-size: 11pt; font-family: Calibri, sans-serif; color: rgb(31, 73, 125);">></span>for non-TCP flows. (OVS connection tracking is currently under development, to be released by 2015<span style="color: rgb(31, 73, 125);"><o:p></o:p></span></div>

<div style="margin: 0in 0in 0.0001pt; font-size: 12pt; font-family: 'Times New Roman', serif;">

<span style="font-size: 11pt; font-family: Calibri, sans-serif; color: rgb(31, 73, 125);"> </span></div>

<div style="margin: 0in 0in 0.0001pt; font-size: 12pt; font-family: 'Times New Roman', serif;">

<span style="font-size: 11pt; font-family: Calibri, sans-serif; color: rgb(31, 73, 125);">It definitely needs a big obvious warning label on this. A stateless firewall hasn’t been acceptable in serious<o:p></o:p></span></div>

<div style="margin: 0in 0in 0.0001pt; font-size: 12pt; font-family: 'Times New Roman', serif;">

<span style="font-size: 11pt; font-family: Calibri, sans-serif; color: rgb(31, 73, 125);">security environments for at least a decade. “Real” firewalls do things like TCP sequence number validation<o:p></o:p></span></div>

<div style="margin: 0in 0in 0.0001pt; font-size: 12pt; font-family: 'Times New Roman', serif;">

<span style="font-size: 11pt; font-family: Calibri, sans-serif; color: rgb(31, 73, 125);">to ensure that someone isn’t hi-jacking an existing connection and TCP flag validation to make sure that someone<o:p></o:p></span></div>

<div style="margin: 0in 0in 0.0001pt; font-size: 12pt; font-family: 'Times New Roman', serif;">

<span style="font-size: 11pt; font-family: Calibri, sans-serif; color: rgb(31, 73, 125);">isn’t “fuzzing” by sending invalid combinations of flags in order to uncover bugs in servers behind the firewall.<o:p></o:p></span></div>

<div style="margin: 0in 0in 0.0001pt; font-size: 12pt; font-family: 'Times New Roman', serif;">

<span style="font-size: 11pt; font-family: Calibri, sans-serif; color: rgb(31, 73, 125);"> </span></div>

<div style="margin: 0in 0in 0.0001pt; font-size: 12pt; font-family: 'Times New Roman', serif;">

<span style="font-size: 11pt; font-family: Calibri, sans-serif; color: rgb(31, 73, 125);"> </span></div>

<div style="margin: 0in 0in 0.0001pt; font-size: 12pt; font-family: 'Times New Roman', serif;">

<span style="color: rgb(31, 73, 125);">></span>- debugging OVS is new to users compared to debugging old iptables<o:p></o:p></div>

</div>

</div>

<div>

<div style="margin: 0in 0in 0.0001pt; font-size: 12pt; font-family: 'Times New Roman', serif;">

<span style="color: rgb(31, 73, 125);"> </span></div>

<div style="margin: 0in 0in 0.0001pt; font-size: 12pt; font-family: 'Times New Roman', serif;">

<span style="font-size: 11pt; font-family: Calibri, sans-serif; color: rgb(31, 73, 125);">This one is very important in my opinion. There absolutely needs to be a section in the documentation<o:p></o:p></span></div>

<div style="margin: 0in 0in 0.0001pt; font-size: 12pt; font-family: 'Times New Roman', serif;">

<span style="font-size: 11pt; font-family: Calibri, sans-serif; color: rgb(31, 73, 125);">on displaying and interpreting the rules generated by Neutron. I’m pretty sure that if you tell anyone<o:p></o:p></span></div>

<div style="margin: 0in 0in 0.0001pt; font-size: 12pt; font-family: 'Times New Roman', serif;">

<span style="font-size: 11pt; font-family: Calibri, sans-serif; color: rgb(31, 73, 125);">with Linux admin experience that Neutron security groups are iptables based, they should be able to<o:p></o:p></span></div>

<div style="margin: 0in 0in 0.0001pt; font-size: 12pt; font-family: 'Times New Roman', serif;">

<span style="font-size: 11pt; font-family: Calibri, sans-serif; color: rgb(31, 73, 125);">figure their way around iptables –L or iptables –S without much help.<o:p></o:p></span></div>

<div style="margin: 0in 0in 0.0001pt; font-size: 12pt; font-family: 'Times New Roman', serif;">

<span style="font-size: 11pt; font-family: Calibri, sans-serif; color: rgb(31, 73, 125);"> </span></div>

<div style="margin: 0in 0in 0.0001pt; font-size: 12pt; font-family: 'Times New Roman', serif;">

<span style="font-size: 11pt; font-family: Calibri, sans-serif; color: rgb(31, 73, 125);">If they haven’t touched iptables in a while, five minutes reading “man iptables” should be enough<o:p></o:p></span></div>

<div style="margin: 0in 0in 0.0001pt; font-size: 12pt; font-family: 'Times New Roman', serif;">

<span style="font-size: 11pt; font-family: Calibri, sans-serif; color: rgb(31, 73, 125);">for them to figure out the important options and they can readily see the relationship between<o:p></o:p></span></div>

<div style="margin: 0in 0in 0.0001pt; font-size: 12pt; font-family: 'Times New Roman', serif;">

<span style="font-size: 11pt; font-family: Calibri, sans-serif; color: rgb(31, 73, 125);">what they put in a security group and what shows up in the iptables chain. I don’t think there’s<o:p></o:p></span></div>

<div style="margin: 0in 0in 0.0001pt; font-size: 12pt; font-family: 'Times New Roman', serif;">

<span style="font-size: 11pt; font-family: Calibri, sans-serif; color: rgb(31, 73, 125);">anywhere near that ease of use on how to list the OvS ruleset for a VM and see how it corresponds<o:p></o:p></span></div>

<div style="margin: 0in 0in 0.0001pt; font-size: 12pt; font-family: 'Times New Roman', serif;">

<span style="font-size: 11pt; font-family: Calibri, sans-serif; color: rgb(31, 73, 125);">to the Neutron security group.<o:p></o:p></span></div>

<div style="margin: 0in 0in 0.0001pt; font-size: 12pt; font-family: 'Times New Roman', serif;">

<span style="font-size: 11pt; font-family: Calibri, sans-serif; color: rgb(31, 73, 125);"> </span></div>

<div style="margin: 0in 0in 0.0001pt; font-size: 12pt; font-family: 'Times New Roman', serif;">

<span style="font-size: 11pt; font-family: Calibri, sans-serif; color: rgb(31, 73, 125);"> </span></div>

<div style="margin: 0in 0in 0.0001pt; font-size: 12pt; font-family: 'Times New Roman', serif;">

<span style="font-size: 11pt; font-family: Calibri, sans-serif; color: rgb(31, 73, 125);">Finally, logging of packets (including both dropped and permitted connections) is mandatory in many<o:p></o:p></span></div>

<div style="margin: 0in 0in 0.0001pt; font-size: 12pt; font-family: 'Times New Roman', serif;">

<span style="font-size: 11pt; font-family: Calibri, sans-serif; color: rgb(31, 73, 125);">environments. Does OvS have the ability to do the necessary logging? Although Neutron<o:p></o:p></span></div>

<div style="margin: 0in 0in 0.0001pt; font-size: 12pt; font-family: 'Times New Roman', serif;">

<span style="font-size: 11pt; font-family: Calibri, sans-serif; color: rgb(31, 73, 125);">security groups don’t currently enable logging, the capabilities are present in the underlying<o:p></o:p></span></div>

<div style="margin: 0in 0in 0.0001pt; font-size: 12pt; font-family: 'Times New Roman', serif;">

<span style="font-size: 11pt; font-family: Calibri, sans-serif; color: rgb(31, 73, 125);">iptables and can be enabled with some work. If OvS doesn’t support logging of connections then<o:p></o:p></span></div>

<div style="margin: 0in 0in 0.0001pt; font-size: 12pt; font-family: 'Times New Roman', serif;">

<span style="font-size: 11pt; font-family: Calibri, sans-serif; color: rgb(31, 73, 125);">this feature definitely needs to be clearly marked as “not a firewall substitute” so that admins<o:p></o:p></span></div>

<div style="margin: 0in 0in 0.0001pt; font-size: 12pt; font-family: 'Times New Roman', serif;">

<span style="font-size: 11pt; font-family: Calibri, sans-serif; color: rgb(31, 73, 125);">are clearly informed that they still need a “real” firewall for audit compliance and may only<o:p></o:p></span></div>

<div style="margin: 0in 0in 0.0001pt; font-size: 12pt; font-family: 'Times New Roman', serif;">

<span style="font-size: 11pt; font-family: Calibri, sans-serif; color: rgb(31, 73, 125);">consider OvS based Neutron security groups as an additional layer of protection behind the<o:p></o:p></span></div>

<div style="margin: 0in 0in 0.0001pt; font-size: 12pt; font-family: 'Times New Roman', serif;">

<span style="font-size: 11pt; font-family: Calibri, sans-serif; color: rgb(31, 73, 125);">“real” firewall.<o:p></o:p></span></div>

<div style="margin: 0in 0in 0.0001pt; font-size: 12pt; font-family: 'Times New Roman', serif;">

<span style="font-size: 11pt; font-family: Calibri, sans-serif; color: rgb(31, 73, 125);"> </span></div>

</div>

</div>

_______________________________________________<br>

OpenStack-dev mailing list<br>

<a href="mailto:OpenStack-dev@lists.openstack.org" style="color: purple; text-decoration: underline;">OpenStack-dev@lists.openstack.org</a><br>

<a href="http://lists.openstack.org/cgi-bin/mailman/listinfo/openstack-dev" style="color: purple; text-decoration: underline;">http://lists.openstack.org/cgi-bin/mailman/listinfo/openstack-dev</a></div>

</blockquote>

</div>

<br>

</div>

</body>

</html>