S.Z.’03 Netgroup Sottogruppo Firewall Commissione Calcolo e Reti Workshop CCR Stefano Zani,...

S.Z.’03

NetgroupSottogruppo Firewall

Commissione Calcolo e Reti

Workshop CCR

Stefano Zani, Riccaredo Veraldi

Netgroupsottogruppo “Firewall”

• Componenti: F.Brasolin, R.Veraldi, S.Zani, A.Veloce, S.Lusso, A.Forte, M.Masciarelli, C.Soprano.

• Scopo del gruppo: Provare varie piattaforme di Firewall e fornirne una valutazione dal punto di vista della funzionalità, gestibilita’ e prestazioni nell’ottica di possibili applicazioni nelle sezioni INFN.

• Le prove :– Configurazione– Verifica degli eventuali sistemi di management. – Verifica delle prestazioni del Box al variare della

complessità delle configurazioni.• Le prove degli apparati sono state effettuate a Frascati

ed al CNAF.

S.Z.’03


Layout di test dei Laboratori Nazionali d Frascati

Firewall

Inside

OutsideFast Ethernet Switch

GARR Fast Eth. (Verso rete locale)

PC2

PC1192.84.129.10

192.84.129.1

192.84.128.20

192.84.128.2

S.Z.’03

Software utilizzato: Netperf versione 2.1pl3Redhat 7.2 Kernel 2.4.9-21ICMP Bomber

Caratteristiche dei PC di test: PC1: Duron 800 256MB di RAM – Fast Ethernet 3c905cPC2 Pentium III 1.6Ghz - 256MB di RAM – Fast Ethernet on board Intel

Netgroupsottogruppo “Firewall”Layout di test del CNAF

Test1 Test2Firewall

192.168.200.10

192.168.200.20

192.168.200.2

192.168.200.1

131.154.99.14 131.154.99.15eth0 eth0

eth1eth1

GARR

Indirizzo pubblicoIndirizzo pubblico

S.Z.’03

Software utilizzato: Netperf versione 2.1pl3Redhat 7.2 Kernel 2.4.9-21

Caratteristiche dei PC di test: PC1 e PC2 : IBM Xseries 330 Biprocessori PIII 800 512MB 2 Fast Ethernet on Board.


Piattaforme provate

• Cisco PIX 515• Box OpenBSD• Infoguard IGWall• Symantec 5300• Clavister (In uso a

UniBari e Caspur)• Nokia + CheckPoint

S.Z.’03


Prove effettuate

• Configurazione dei parametri di base e delle regole.• Misura del throughput passante.

• Misura del throughput in TCP e UDP fra due PC collegati Back to Back utilizzando Netperf

• Ripetizione delle misure frapponendo il firewall fra i pc• Misura con il firewall in modalità “Passante” (O

senza regole configurate)• Misure ripetute all’aumentare della complessità

delle regole.

# ./netperf -l 120 -H 192.84.129.10 # ./netperf -t UDP_STREAM -H 192.84.129.10 -- -m 50000

S.Z.’03


Considerazioni sulle prestazioni

Collegamento Back to BackThroughput misurato in TCP: 93.70 Throughput misurato in UDP:95.80

Test con access-list ip any any (Passante)Throughput misurato in TCP: 93.03Throughput misurato in UDP: 95.60PING (Media) 356 usec

Test con firewall e acl di 84 linee Throughput misurato in TCP: 93.20Throughput misurato in UDP: 95.54PING (Media) 371 usec

Con firewall e acl di 270 linee Throughput misurato in TCP: 93.10Throughput misurato in UDP: 95.39PING (Media) Media 427 usec

Tutte le piattaforme provate hanno sostenuto un Throughput di circa 100 Mb/s indipendentemente dalla complessita`delle ACL definite fino ad alcune centinaia di regole. Nessuno dei Box ha introdotto ritardi significativi. Il Round trip con o senza firewall e` pressoche’ invariato (Ritardo dell’ordine dei microsecondi).

In realta` per “Stressare” Veramente un firewall Occorrerebbe simulare un attacco da centinaia di nodi.

Per avere una stima piu realistica delle performance reali si e’proceduto all’impiego in produzione delle piattaforme ritenute piu interesanti grazie alla disponibilita` della Sezione di Bologna ad inserirle sul linkdi accesso al GARR .

Netgroupsottogruppo “Firewall”Cisco PIX 515 (LNF)

Caratteristiche Firewall CISCO Testato:

Articolo Descrizione Quantita’

PIX-515 PIX 515 Chassis only 1

CAB-ACI

SF-PIX-6.1

PIX-515UR-SW

PIX-4FE PIX Four-port 10/100 Ethernet interface, RJ45

1

PIX-VPN-ACCEL

VPN Accelerator Card (VAC) for PIX Firewall

1

S.Z.’03

•Piattaforma modulare•Sistema operativo proprietario “IOS like”•Disponibilita` di schede fino a 1 Gb/s e moduli VPN.

•Configurazione “macchinosa”•Poco user friendly nella gestione•Costo elevato delle schede opzionali


Cisco PIX 515 (Esempio di configurazione)

nameif ethernet0 outside security0 //Interfaccia Insicura verso il router nameif ethernet1 inside security100 //Interfaccia Sicura verso la LANhostname pixlnf

// Access-List applicata sull’interfaccia Inside in Ingresso che permette // qualsiasi tipo di traffico dalla LAN verso Internetaccess-list acl_inside_in permit ip any any

// Access-List applicata sull’interfaccia Outside in Ingresso di 84 entry// con match sull’ultima entry …access-list acl_out_test2 permit tcp any host 192.84.129.28 eq 22 access-list acl_out_test2 permit tcp any host 192.84.129.29 eq 22 access-list acl_out_test2 permit tcp any host 192.84.129.20 eq www access-list acl_out_test2 permit tcp any host 192.84.129.21 eq www access-list acl_out_test2 permit tcp any host 192.84.129.22 eq www access-list acl_out_test2 permit tcp any host 192.84.129.23 eq www access-list acl_out_test2 permit tcp any host 192.84.129.20 range 7000 7009 access-list acl_out_test2 permit tcp any host 192.84.129.21 range 7000 7009 …icmp permit any outside //Traffico ICMP permessoicmp permit any inside //Traffico ICMP permessoip address outside 192.84.128.2 255.255.255.0ip address inside 192.84.129.1 255.255.255.0…//NAT Disabilitato nat (inside) 0 0.0.0.0 0.0.0.0 0 0static (inside,outside) 192.84.129.0 192.84.129.0 netmask 255.255.255.0 0 0 access-group acl_out_test2in interface outsideaccess-group acl_inside_in in interface inside

S.Z.’03

PC 1 (firew1)192.84.129.10

Server Netperf in ascolto

Interfaccia ETH 1 - Inside192.84.129.1

Con ICMP negato

Interfaccia ETH 0 - Outside192.84.128.2

Interfaccia Fast-Ethernet 5/0/1192.84.128.1

PC 2 (firew2)192.84.128.10Client Netperf

LAN in produzioneGARR

Link con il GARR a 32Mbps

PC 3 con Ping flooding verso PC1 con il software ICMP Bomber


Cisco PIX 515 (con ping flooding)

S.Z.’03

I valori di throughputrilevati sotto ICMPFlooding sono da Considerarsi nella norma.


Box Open BSD

Caratteristiche del Box OpenBSD1 PIII 800 512MB RAM2x FastEthernet

SysOp. OpenBSD 3.1 STABLE

Test1Test2

Firewall

OpenBsd

192.168.200.10

192.168.200.20

192.168.200.2

192.168.200.1

131.154.99.14 131.154.99.15

eth0 eth0

eth1eth1

S.Z.’03

Esempio di file pf.conf

# $OpenBSD: pf.conf,v 1.3 2001/11/16 22:53:24 dhartmei Exp $## See pf.conf(5) for syntax and examples

# pass all packets in and out (these are the implicit first two rules)# pass in all# pass out allblock in on fxp0 all#Fa passare le connessioni ssh (Setup o syn) e permette il ritorno dei pacchetti associati pass in on fxp0 inet proto tcp from any to any port 22 flags S/SA keep state #pass in on fxp0 inet proto { tcp, udp } from any to any port 500 keep statepass in on fxp0 inet proto { tcp, udp } from any to any port 501 keep state..pass in on fxp0 inet proto { tcp, udp } from any to any port > 10000 keep statepass in on fxp0 inet proto icmp from any to any keep state

Il sistema e’ parso molto stabile sia in termini di throughput che di delay anche con ACL da 5000 linee!


Box OpenBSD (Note di configurazione)Configurazione delle Interfacce in /etc/hostname.<INTERFACE>

Configurazione funzionalità di Bridging

/etc/bridgename.bridge# (dove # e' il numero del bridge per esempio 0)

add fxp0

add fxp1

up

Abilitazione dell'IP Forwarding

Scommentare nel file /etc/sysctl.conf la linea relativa all'IP Forwarding net.inet.ip.forwarding=1

Abilitazione al BOOT di PF

editare /etc/rc.conf

pf=YES

pf_rules=/etc/pf.conf # Packet filter rules file

Per abilitarlo al volo il comando e' pfctl -e

Le regole vanno inserite nel pf.conf

Per renderle operative ..

dinfn# pfctl -f /etc/pf.conf

Per Verificare le ACL

pfctl -s rules

Per Verificare lo stato delle connessioni

pfctl -s state

Per fare il "Flush" dei filtri

pfctl -F all

S.Z.’03

•Sistema economico ed efficiente•Possibilita’ di implementare un firewall “nascosto” tramite bridging•Funzionalita’ avanzate di traffic shaping management associato alle ACL (ver >=3.3)

•Firewall basato su di un S.O. Noto ed Open•Gestione dei log a carico del sistemista


IGWALL (InfoGuard) (LNF)

InfoGuard IGWALL Ver. 3.2

•Interfaccia Web HTTPS•S.O. Linux (IP Tables)•NAT•DHCP Server•Portscan Detection•Accounting•VPN IPSec (Client SSH Sentinel sui client).•Log Server•Antispam•Packet Filtering

S.Z.’03

•Sistema completo e ricco di funzionalita accessorie•Buona analisi dei log

•ACL confgurabili solo regola per regola.•Firewall basato su di un S.O. Noto ed Open•Box Gigabit costoso e non ancora disponibile


IGWALL (InfoGuard) (LNF)

S.Z.’03


5300 (Symantech) (CNAF)

Symantec 5300

•Software Proprietario (Linux based)•Management console per windows.•NAT•Accounting•VPN•Antivirus•Packet Filtering•IDS (Con LiveUpdate!)

•Dei box provati e’quello che racchiude in se il maggior numero di funzioni.•IDS di scarsa qualita’•Firewall basato su di un S.O. Noto ed Open•Manca la versione Gigabit•Il prezzo della versione presa in esame è decisamente elevato.

S.Z.’03



S.Z.’03



Definizione delle regole



S.Z.’03

VPN



S.Z.’03

IDS

Netgroupsottogruppo “Firewall”NOKIA IP330 (CNAF)

NOKIA IP330

•Interfaccia Web•Supporto di interfacce WAN V35 T1/E1 •Funziuonalità di routing (RIP,OSPF,BGP)•Firewall (Firewall1)•VPN IPSec .•IDS•Packet Filtering

•Sistema completo di numerose funzioni•Per piccole realta` sostituisce anche il router

•configurazione delle regole macchinosa anche se guidata da una buona interfaccia grafica.•Firewall basato su di un SO. Noto ed Open.

•Prezzo elevato

L’apparato si propone come device unico di accesso e messa in sicurezza della rete geografica.

S.Z.’03

Netgroupsottogruppo “Firewall”NOKIA IP330 (CNAF)

S.Z.’03


Clavister

Clavister Firewall+VPN server•S.O.+Software Proprietari (<1MB)•Management console per windows in grado di gestire più firewall anche geograficamente distribuiti.•Supporto Vlan 802.1q!•Packet Filter •Traffic Shaping•NAT•VPN•Tool di Analisi dei Log

Caratteristiche principali

Performance: 800Mb/s su PIII 800Mhz, 2Gb Garantiti su macchine tipo DELL1650 4Gb su macchine basate su PCIX.

•Ottima scalabilita’ delle performance fino 4Gb/s •Efficace gestione dei log ed analisi dei parametri di rete.•S.O. e software proprietari•Supporto del Vlan Tagging•Configurazione iniziale non banale.•Al prezzo del software va aggiunto il costo della “macchina su cui farlo “Girare”


ClavisterConfigurazione delle regole


Clavister

Log Analyzer


Clavister

Real time monitoring


ClavisterVPN IPSec


un po di prezzi..

Firewall ACL IDS VPN Gigabit PrezzoCisco PIX 515 Si No Disponibile(Vpn

Accelerator Card)Disponibile da

525 in poi (+3000€ ad interfaccia)

~8.000€

Nokia IP330 Si Si (Realsecure Nokia)

Si (Check Point-1) Non disponibile per ora

26.500 €(Unlimited)

Symantec SGS 5300

Si Si Si Non disponibile per ora

17.300€ (256 users)

34.173€ (Unlimited)

Infoguard IGWALL

Si No Si Disponibile

Come opzione

5.907€ (Unlimited)

Box BSD Si (pf) No (SNORT configurabile a

parte??)

Configurabile Disponibile

(Performance dipendenti

dall’hardware)

~0€ (+il PC)

Clavister Si No Si Fino a 2Gb su PCIX

~7200€ (Illimitata +2 anni upgrade e

certificazione per 2 persone)


Configurazione tipica Senza firewall

GARR

ACL

AccessRouter

L3 Switch

GARR

Rete locale

AccessRouter

L3 Switch

Firewall

Rete locale

Introduzione del firewall

ACL

L’introduzione di un firewallscarica la CPU del Routero dello switch dalla valutazionedelle ACL.

Se Router o Switch gestisconoACL in Hardware l’unico vantaggioE’ nella semplicita` di gestione.


Test sul campo(Clavister)

•L’inserimento del Clavister sul link di produzione della Sezione di Bologna ha dato un riscontro estremamente positivo:•La configurazione iniziale e` stata un po impegnativa ma la casa madre ci ha supportati. •La creazione delle ACL e’ stata semplice.•A livello di performance non si sono notati rallentamenti della rete mentre ovviamente si e’ scaricata la CPU del router di accesso di sezione.•Sono state apprezzate le funzionalita’ di analisi dei log e di monitoring della attivita’ di rete.•E’ possibile visualizzare graficamente oltre all’occupazione di banda, il carico di CPU ed il numero di Drop anche numerose altre informazioni quali per esempio il numero di HIT per una specifica regola.

Netgroupsottogruppo “Firewall”Test sul campo(BSD)

•L’inserimento del firewall OpenBSD sul link di produzione della Sezione di Bologna ha dato un riscontro estremamente positivo:•Il firewall e’ stato installato in modalita’ bridging senza indirizzi IP associati alle interfacce di rete (firewall invisibile)•La creazione delle ACL e’ stata semplice.•A livello di performance non si sono notati rallentamenti della rete mentre ovviamente si e’ scaricata la CPU del router di accesso di sezione.•E’ stato possibile valutare il carico di CPU sul firewall in corrispondenza di picchi di 20Mbit/s l’utilizzo della CPU e’ stato di circa il 7%


Screen Shot del Clavister impiegato sul link di INFN sez. Di Bologna


Conclusioni…

S.Z.’03

Le soluzioni di tipo Appliance (PIX, Nokia, Symanyec, Infoguard) non sono state ritenute particolarmente interessanti sia per fattori economici sia perche’ non introducono particolari benefit in termini di prestazioni.

I due firewall piu interessantiOpenBSD •E` la soluzione piu economica •E’ facilmente adottabile da chi non deve gestire bande eccessive (dipende dall’hardware su cui e’ installato) •PF e’ un ottimo packet filter Clavister•Sicurezza•Performance e scalabilita’•Management e monitoring


Sviluppi e novita`…

Altre soluzioni potenzialmente interessanti che non sono state ancora provate sono: I firewall della Netscreen (www.netscreen.com) che utilizzano degli ASIC per la valutazione delle ACL e dovrebbero avere prezzi relativamente conteunti.Cisco Firewall Service Module per Cisco Catalyst 6500 che è un firewall integrato su di una scheda che si inserisce direttamente sulla matrice di switch di un Catalyst 6500 (consumando 1 slot) e permette di operare in modalità non bloccante fino a 4-5 Gb/s. Ovviamente questa soluzione è indicata per realtà che gestiscono un traffico passante molto sostenuto.

http://www.netscreen.com/


Riferimenti…

Questa presentazione e’ gia` disponibile su web http://www.infn.it/netgroup e la nota tecnica e` in fase di pubblicazione.

Cisco: http://www.cisco.com/en/US/products/hw/vpndevc/ps2030/Symantec: http://www.symantec.comClavister: http://www.clavister.comInfoguard: http://www.infoguard.com/Nokia: http://www.nokia.com (Networks)OpenBSD (PF): http://www.openbsd.com/faq/faq6.html#PF http://www.openbsd.org/faq/pf/index.html

http://www.infn.it/netgroup

http://www.infn.it/netgroup

http://www.cisco.com/en/US/products/hw/vpndevc/ps2030/

http://www.symantec.com/

http://www.clavister.com/

http://www.infoguard.com/

http://www.nokia.com/

http://www.openbsd.com/faq/faq6.html#PF

S.Z.’03 Netgroup Sottogruppo Firewall Commissione Calcolo e Reti Workshop CCR Stefano Zani,...

Documents

Transcript of S.Z.’03 Netgroup Sottogruppo Firewall Commissione Calcolo e Reti Workshop CCR Stefano Zani,...