Si è rotto il firewall... ...e adesso?!?! Realizzazione di un firewall in cluster ad alta disponibilità con PfSense F. M. Taurino (CNR/SPIN) – R. Esposito, G. Tortone (INFN Napoli) WS INFN Sicurezza Informatica – Bologna, 16-17 marzo 2010
PfSense Cluster
May 25, 2015
Realizzazione di un firewall in cluster ad alta disponibilità con PfSense
Welcome message from author
This document is posted to help you gain knowledge. Please leave a comment to let me know what you think about it! Share it to your friends and learn new things together.
Transcript
Si è rotto il firewall......e adesso?!?!
Realizzazione di un firewall in clusterad alta disponibilità con PfSense
F. M. Taurino (CNR/SPIN) – R. Esposito, G. Tortone (INFN Napoli)
WS INFN Sicurezza Informatica – Bologna, 16-17 marzo 2010
Perché
● La maggior parte dei client è (o sta per essere inserito) in reti private (192.168, 172.16, 10.)
● Applicazioni “inutili” senza la presenza della Rete (posta imap, storage remoto, calcolo su cluster/grid)
● Per “sicurezza” si intende anche la garanzia di raggiungibilità delle proprie risorse
● Non vogliamo che i nostri utenti subiscano disservizi(e vengano poi da noi a lamentarsi...)
PfSense
● Sistema open source basato su FreeBSD 7.x e firewall stateful PF
● Distribuzione compatta, con installazione su hd/cf sotto i 200 megabyte ed eseguibile anche da live cd
● Configurazione semplificata web based mutuata dal progetto M0n0wall
● Funzioni avanzate e supporto a pacchetti aggiuntivi (captive portal, ntop, dual wan, etc)
Alta disponibilità
● Fra le caratteristiche salienti di PfSense c'e' il supporto al CARP (Common Address Redundancy Protocol), grazie al quale è possibile realizzare un cluster active/passive di firewall. Cluster di maggiori dimensioni oppure active/active sono allo studio
● Il server primario sincronizza lo stato delle tabelle di PF in tempo reale con il server secondario (pfsync)
● In caso di malfunzionamenti, il secondario acquisisce gli indirizzi ip interni ed esterni del primario senza nessuna interruzione del traffico di rete dei client
Occorrente
● Due server di marca (ma anche no...)● Potenza q.b. ai vostri client● Con almeno 3 schede di rete ciascuno
(lan, wan, sincronizzazione)● Preferibilmente doppio alimentatore, hd in raid
1, supporto al controllo remoto tipo IPMI, Drac, Ilo (per i palati fini...)
● Percorso di rete ridondato verso il router (2 switch e qualche cavo...)
Struttura
Installazione e configurazione
● Inserire il cd● Avanti, avanti, avanti....
● Screenshot e istruzioni assenti per decenza...
● Assegnazione ip alle schede LAN, WAN fisiche via testo
● Firefox su https://ip_scheda_lan
Cambiamo il tema...
Il tema pfsense_ng è più semplice(smoo...)
Verifica e configurazione interfacce
Definizione alias
Etichette mnemoniche per host e network da utilizzare nella definizione delle regole del firewall
Regole avanzate di NATting
E' possibile definire regole per cui pacchetti provenienti da network 172.16.x destinati a
network pubbliche interne non vengono nattati(client privati e server pubblici sulla stessa rete
fisica)
NB: in questo caso occorre configurare anche il router
CARP e sincronizzazione
Oltre a sincronizzare lo stato delle tabelle di PF, PfSense è in grado di sincronizzare anche la
configurazione di alias, regole di firewall e NAT(via XML-RPC), attraverso una interfaccia
dedicata (OPT1, con regole di fw MOLTO open).
IP virtuali
L'indirizzo IP privato da dare come gateway ai client è virtuale ed assegnato ad una scheda
“CARP”. Lo stesso è per l'indirizzo IP pubblico con cui questi accedono ad Internet.
Bisogna impostare a “0” l'ID degli ip virtuali del server master (e in automatico verranno impostati
a +100 sullo slave).
Vanno cambiate le regole di firewall e NAT per gestire i nuovi indirizzi.
Sul firewall secondario
● Installare● Configurare LAN, WAN e OPT1● Abilitare il sync● Attendere qualche secondo e verificare se le
impostazioni sono state importate(le password sono le stesse?)
● Dal primario verificare lo stato del CARP
Prove sul campo
● Con un pc con gateway impostato sull'IP CARP LAN, una sessione ssh aperta su server esterno alla rete locale ed un trasferimento di una grossa iso dal garr....
● ...power off del server primario attraverso la ILO
● ....e dopo un paio di secondi di “pausa” si riprende a lavorare come se nulla fosse accaduto!
Inoltre
● PfSense viene utilizzato a Napoli anche come captive portal per la rete wireless e wired degli studenti e come natter per dot1x (su macchina virtuale su host Vmware Esxi)
● Il pacchetto ntop, installabile dall'interfaccia web, si è dimostrato molto utile in più occasioni(top speakers?)
● Si può tirare su un server OpenVPN o IPSec con pochi clic del mouse...
Related Documents
