Upload
francesco-taurino
View
1.146
Download
1
Embed Size (px)
DESCRIPTION
Realizzazione di un firewall in cluster ad alta disponibilità con PfSense
Citation preview
Si è rotto il firewall......e adesso?!?!
Realizzazione di un firewall in clusterad alta disponibilità con PfSense
F. M. Taurino (CNR/SPIN) – R. Esposito, G. Tortone (INFN Napoli)
WS INFN Sicurezza Informatica – Bologna, 16-17 marzo 2010
Perché
● La maggior parte dei client è (o sta per essere inserito) in reti private (192.168, 172.16, 10.)
● Applicazioni “inutili” senza la presenza della Rete (posta imap, storage remoto, calcolo su cluster/grid)
● Per “sicurezza” si intende anche la garanzia di raggiungibilità delle proprie risorse
● Non vogliamo che i nostri utenti subiscano disservizi(e vengano poi da noi a lamentarsi...)
PfSense
● Sistema open source basato su FreeBSD 7.x e firewall stateful PF
● Distribuzione compatta, con installazione su hd/cf sotto i 200 megabyte ed eseguibile anche da live cd
● Configurazione semplificata web based mutuata dal progetto M0n0wall
● Funzioni avanzate e supporto a pacchetti aggiuntivi (captive portal, ntop, dual wan, etc)
Alta disponibilità
● Fra le caratteristiche salienti di PfSense c'e' il supporto al CARP (Common Address Redundancy Protocol), grazie al quale è possibile realizzare un cluster active/passive di firewall. Cluster di maggiori dimensioni oppure active/active sono allo studio
● Il server primario sincronizza lo stato delle tabelle di PF in tempo reale con il server secondario (pfsync)
● In caso di malfunzionamenti, il secondario acquisisce gli indirizzi ip interni ed esterni del primario senza nessuna interruzione del traffico di rete dei client
Occorrente
● Due server di marca (ma anche no...)● Potenza q.b. ai vostri client● Con almeno 3 schede di rete ciascuno
(lan, wan, sincronizzazione)● Preferibilmente doppio alimentatore, hd in raid
1, supporto al controllo remoto tipo IPMI, Drac, Ilo (per i palati fini...)
● Percorso di rete ridondato verso il router (2 switch e qualche cavo...)
Struttura
Installazione e configurazione
● Inserire il cd● Avanti, avanti, avanti....
● Screenshot e istruzioni assenti per decenza...
● Assegnazione ip alle schede LAN, WAN fisiche via testo
● Firefox su https://ip_scheda_lan
Cambiamo il tema...
Il tema pfsense_ng è più semplice(smoo...)
Verifica e configurazione interfacce
Definizione alias
Etichette mnemoniche per host e network da utilizzare nella definizione delle regole del firewall
Regole avanzate di NATting
E' possibile definire regole per cui pacchetti provenienti da network 172.16.x destinati a
network pubbliche interne non vengono nattati(client privati e server pubblici sulla stessa rete
fisica)
NB: in questo caso occorre configurare anche il router
CARP e sincronizzazione
Oltre a sincronizzare lo stato delle tabelle di PF, PfSense è in grado di sincronizzare anche la
configurazione di alias, regole di firewall e NAT(via XML-RPC), attraverso una interfaccia
dedicata (OPT1, con regole di fw MOLTO open).
IP virtuali
L'indirizzo IP privato da dare come gateway ai client è virtuale ed assegnato ad una scheda
“CARP”. Lo stesso è per l'indirizzo IP pubblico con cui questi accedono ad Internet.
Bisogna impostare a “0” l'ID degli ip virtuali del server master (e in automatico verranno impostati
a +100 sullo slave).
Vanno cambiate le regole di firewall e NAT per gestire i nuovi indirizzi.
Sul firewall secondario
● Installare● Configurare LAN, WAN e OPT1● Abilitare il sync● Attendere qualche secondo e verificare se le
impostazioni sono state importate(le password sono le stesse?)
● Dal primario verificare lo stato del CARP
Prove sul campo
● Con un pc con gateway impostato sull'IP CARP LAN, una sessione ssh aperta su server esterno alla rete locale ed un trasferimento di una grossa iso dal garr....
● ...power off del server primario attraverso la ILO
● ....e dopo un paio di secondi di “pausa” si riprende a lavorare come se nulla fosse accaduto!
Inoltre
● PfSense viene utilizzato a Napoli anche come captive portal per la rete wireless e wired degli studenti e come natter per dot1x (su macchina virtuale su host Vmware Esxi)
● Il pacchetto ntop, installabile dall'interfaccia web, si è dimostrato molto utile in più occasioni(top speakers?)
● Si può tirare su un server OpenVPN o IPSec con pochi clic del mouse...