Si è rotto il firewall......e adesso?!?!

Realizzazione di un firewall in clusterad alta disponibilità con PfSense

F. M. Taurino (CNR/SPIN) – R. Esposito, G. Tortone (INFN Napoli)

WS INFN Sicurezza Informatica – Bologna, 16-17 marzo 2010

Perché

● La maggior parte dei client è (o sta per essere inserito) in reti private (192.168, 172.16, 10.)

● Applicazioni “inutili” senza la presenza della Rete (posta imap, storage remoto, calcolo su cluster/grid)

● Per “sicurezza” si intende anche la garanzia di raggiungibilità delle proprie risorse

● Non vogliamo che i nostri utenti subiscano disservizi(e vengano poi da noi a lamentarsi...)

PfSense

● Sistema open source basato su FreeBSD 7.x e firewall stateful PF

● Distribuzione compatta, con installazione su hd/cf sotto i 200 megabyte ed eseguibile anche da live cd

● Configurazione semplificata web based mutuata dal progetto M0n0wall

● Funzioni avanzate e supporto a pacchetti aggiuntivi (captive portal, ntop, dual wan, etc)

Alta disponibilità

● Fra le caratteristiche salienti di PfSense c'e' il supporto al CARP (Common Address Redundancy Protocol), grazie al quale è possibile realizzare un cluster active/passive di firewall. Cluster di maggiori dimensioni oppure active/active sono allo studio

● Il server primario sincronizza lo stato delle tabelle di PF in tempo reale con il server secondario (pfsync)

● In caso di malfunzionamenti, il secondario acquisisce gli indirizzi ip interni ed esterni del primario senza nessuna interruzione del traffico di rete dei client

Occorrente

● Due server di marca (ma anche no...)● Potenza q.b. ai vostri client● Con almeno 3 schede di rete ciascuno

(lan, wan, sincronizzazione)● Preferibilmente doppio alimentatore, hd in raid

1, supporto al controllo remoto tipo IPMI, Drac, Ilo (per i palati fini...)

● Percorso di rete ridondato verso il router (2 switch e qualche cavo...)

Struttura

Installazione e configurazione

● Inserire il cd● Avanti, avanti, avanti....

● Screenshot e istruzioni assenti per decenza...

● Assegnazione ip alle schede LAN, WAN fisiche via testo

● Firefox su https://ip_scheda_lan

Cambiamo il tema...

Il tema pfsense_ng è più semplice(smoo...)

Verifica e configurazione interfacce

Definizione alias

Etichette mnemoniche per host e network da utilizzare nella definizione delle regole del firewall

Regole avanzate di NATting

E' possibile definire regole per cui pacchetti provenienti da network 172.16.x destinati a

network pubbliche interne non vengono nattati(client privati e server pubblici sulla stessa rete

fisica)

NB: in questo caso occorre configurare anche il router

CARP e sincronizzazione

Oltre a sincronizzare lo stato delle tabelle di PF, PfSense è in grado di sincronizzare anche la

configurazione di alias, regole di firewall e NAT(via XML-RPC), attraverso una interfaccia

dedicata (OPT1, con regole di fw MOLTO open).

IP virtuali

L'indirizzo IP privato da dare come gateway ai client è virtuale ed assegnato ad una scheda

“CARP”. Lo stesso è per l'indirizzo IP pubblico con cui questi accedono ad Internet.

Bisogna impostare a “0” l'ID degli ip virtuali del server master (e in automatico verranno impostati

a +100 sullo slave).

Vanno cambiate le regole di firewall e NAT per gestire i nuovi indirizzi.

Sul firewall secondario

● Installare● Configurare LAN, WAN e OPT1● Abilitare il sync● Attendere qualche secondo e verificare se le

impostazioni sono state importate(le password sono le stesse?)

● Dal primario verificare lo stato del CARP

Prove sul campo

● Con un pc con gateway impostato sull'IP CARP LAN, una sessione ssh aperta su server esterno alla rete locale ed un trasferimento di una grossa iso dal garr....

● ...power off del server primario attraverso la ILO

● ....e dopo un paio di secondi di “pausa” si riprende a lavorare come se nulla fosse accaduto!

Inoltre

● PfSense viene utilizzato a Napoli anche come captive portal per la rete wireless e wired degli studenti e come natter per dot1x (su macchina virtuale su host Vmware Esxi)

● Il pacchetto ntop, installabile dall'interfaccia web, si è dimostrato molto utile in più occasioni(top speakers?)

● Si può tirare su un server OpenVPN o IPSec con pochi clic del mouse...