1 / 37

Netgroup Sottogruppo Firewall

Netgroup Sottogruppo Firewall. Commissione Calcolo e Reti Workshop CCR Stefano Zani, Riccaredo Veraldi. S.Z.’03. Netgroup sottogruppo “Firewall”. Componenti: F . Brasolin, R.Veraldi, S.Zani, A.Veloce, S.Lusso, A.Forte, M.Masciarelli, C.Soprano.

Download Presentation

Netgroup Sottogruppo Firewall

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript


  1. NetgroupSottogruppo Firewall Commissione Calcolo e Reti Workshop CCR Stefano Zani, Riccaredo Veraldi S.Z.’03

  2. Netgroupsottogruppo “Firewall” • Componenti: F.Brasolin, R.Veraldi, S.Zani, A.Veloce, S.Lusso, A.Forte, M.Masciarelli, C.Soprano. • Scopo del gruppo:Provare varie piattaforme di Firewall e fornirne una valutazione dal punto di vista della funzionalità, gestibilita’ e prestazioni nell’ottica di possibili applicazioni nelle sezioni INFN. • Le prove : • Configurazione • Verifica degli eventuali sistemi di management. • Verifica delle prestazioni del Box al variare della complessità delle configurazioni. • Le prove degli apparati sono state effettuate a Frascati ed al CNAF. S.Z.’03

  3. GARR Netgroupsottogruppo “Firewall”Layout di test dei Laboratori Nazionali d Frascati Fast Eth. (Verso rete locale) PC2 192.84.128.20 Fast Ethernet Switch Outside Software utilizzato: Netperf versione 2.1pl3 Redhat 7.2 Kernel 2.4.9-21 ICMP Bomber Caratteristiche dei PC di test: PC1: Duron 800 256MB di RAM – Fast Ethernet 3c905c PC2 Pentium III 1.6Ghz - 256MB di RAM – Fast Ethernet on board Intel 192.84.128.2 Firewall Inside 192.84.129.1 PC1 192.84.129.10 S.Z.’03

  4. GARR Netgroupsottogruppo “Firewall”Layout di test del CNAF Test2 Test1 Firewall 192.168.200.10 192.168.200.20 192.168.200.1 192.168.200.2 eth1 eth1 eth0 eth0 131.154.99.15 131.154.99.14 Indirizzo pubblico Indirizzo pubblico Software utilizzato: Netperf versione 2.1pl3 Redhat 7.2 Kernel 2.4.9-21 Caratteristiche dei PC di test: PC1 e PC2 : IBM Xseries 330 Biprocessori PIII 800 512MB 2 Fast Ethernet on Board. S.Z.’03

  5. Netgroupsottogruppo “Firewall”Piattaforme provate • Cisco PIX 515 • Box OpenBSD • Infoguard IGWall • Symantec 5300 • Clavister(In uso a UniBari e Caspur) • Nokia + CheckPoint S.Z.’03

  6. Netgroupsottogruppo “Firewall”Prove effettuate • Configurazione dei parametri di base e delle regole. • Misura del throughput passante. • Misura del throughput in TCP e UDP fra due PC collegati Back to Back utilizzando Netperf • Ripetizione delle misure frapponendo il firewall fra i pc • Misura con il firewall in modalità “Passante” (O senza regole configurate) • Misure ripetute all’aumentare della complessità delle regole. • # ./netperf -l 120 -H 192.84.129.10 • # ./netperf -t UDP_STREAM -H 192.84.129.10 -- -m 50000 S.Z.’03

  7. Netgroupsottogruppo “Firewall”Considerazioni sulle prestazioni Tutte le piattaforme provate hanno sostenuto un Throughput di circa 100 Mb/s indipendentemente dalla complessita`delle ACL definite fino ad alcune centinaia di regole. Nessuno dei Box ha introdotto ritardi significativi. Il Round trip con o senza firewall e` pressoche’ invariato (Ritardo dell’ordine dei microsecondi). In realta` per “Stressare” Veramente un firewall Occorrerebbe simulare un attacco da centinaia di nodi. Per avere una stima piu realistica delle performance reali si e’proceduto all’impiego in produzione delle piattaforme ritenute piu interesanti grazie alla disponibilita` della Sezione di Bologna ad inserirle sul link di accesso al GARR . Collegamento Back to Back Throughput misurato in TCP: 93.70 Throughput misurato in UDP:95.80 Test con access-list ip any any (Passante) Throughput misurato in TCP: 93.03 Throughput misurato in UDP: 95.60 PING (Media) 356 usec Test con firewall e acl di 84 linee Throughput misurato in TCP: 93.20 Throughput misurato in UDP: 95.54 PING (Media) 371 usec Con firewall e acl di 270 linee Throughput misurato in TCP: 93.10 Throughput misurato in UDP: 95.39 PING (Media) Media 427 usec

  8. Netgroupsottogruppo “Firewall”Cisco PIX 515 (LNF) Articolo Descrizione Quantita’ PIX-515 PIX 515 Chassis only 1 CAB-ACI SF-PIX-6.1 PIX-515UR-SW PIX-4FE PIX Four-port 10/100 Ethernet interface, RJ45 1 PIX-VPN-ACCEL VPN Accelerator Card (VAC) for PIX Firewall 1 Caratteristiche Firewall CISCO Testato: • Piattaforma modulare • Sistema operativo proprietario • “IOS like” • Disponibilita` di schede fino a 1 • Gb/s e moduli VPN. • Configurazione “macchinosa” • Poco user friendly nella • gestione • Costo elevato delle schede • opzionali S.Z.’03

  9. Netgroupsottogruppo “Firewall”Cisco PIX 515 (Esempio di configurazione) nameif ethernet0 outside security0 //Interfaccia Insicura verso il router  nameif ethernet1 inside security100 //Interfaccia Sicura verso la LAN hostname pixlnf // Access-List applicata sull’interfaccia Inside in Ingresso che permette // qualsiasi tipo di traffico dalla LAN verso Internet access-list acl_inside_in permit ip any any // Access-List applicata sull’interfaccia Outside in Ingresso di 84 entry // con match sull’ultima entry … access-list acl_out_test2 permit tcp any host 192.84.129.28 eq 22 access-list acl_out_test2 permit tcp any host 192.84.129.29 eq 22 access-list acl_out_test2 permit tcp any host 192.84.129.20 eq www access-list acl_out_test2 permit tcp any host 192.84.129.21 eq www access-list acl_out_test2 permit tcp any host 192.84.129.22 eq www access-list acl_out_test2 permit tcp any host 192.84.129.23 eq www access-list acl_out_test2 permit tcp any host 192.84.129.20 range 7000 7009 access-list acl_out_test2 permit tcp any host 192.84.129.21 range 7000 7009 … icmp permit any outside //Traffico ICMP permesso icmp permit any inside //Traffico ICMP permesso ip address outside 192.84.128.2 255.255.255.0 ip address inside 192.84.129.1 255.255.255.0 … //NAT Disabilitato nat (inside) 0 0.0.0.0 0.0.0.0 0 0 static (inside,outside) 192.84.129.0 192.84.129.0 netmask 255.255.255.0 0 0 access-group acl_out_test2in interface outside access-group acl_inside_in in interface inside S.Z.’03

  10. Netgroupsottogruppo “Firewall”Cisco PIX 515 (con ping flooding) Link con il GARR a 32Mbps LAN in produzione GARR PC 3 con Ping flooding verso PC1 con il software ICMP Bomber Interfaccia Fast-Ethernet 5/0/1 192.84.128.1 PC 2 (firew2) 192.84.128.10 Client Netperf Interfaccia ETH 0 - Outside 192.84.128.2 I valori di throughput rilevati sotto ICMP Flooding sono da Considerarsi nella norma. Interfaccia ETH 1 - Inside 192.84.129.1 Con ICMP negato PC 1 (firew1) 192.84.129.10 Server Netperf in ascolto S.Z.’03

  11. Netgroupsottogruppo “Firewall”Box Open BSD 192.168.200.10 Firewall 192.168.200.20 192.168.200.2 192.168.200.1 Test2 eth1 eth1 Test1 eth0 eth0 131.154.99.14 OpenBsd 131.154.99.15 Caratteristiche del Box OpenBSD 1 PIII 800 512MB RAM 2x FastEthernet SysOp. OpenBSD 3.1 STABLE Esempio di file pf.conf # $OpenBSD: pf.conf,v 1.3 2001/11/16 22:53:24 dhartmei Exp $ # # See pf.conf(5) for syntax and examples # pass all packets in and out (these are the implicit first two rules) # pass in all # pass out all block in on fxp0 all #Fa passare le connessioni ssh (Setup o syn) e permette il ritorno dei pacchetti associati pass in on fxp0 inet proto tcp from any to any port 22 flags S/SA keep state # pass in on fxp0 inet proto { tcp, udp } from any to any port 500 keep state pass in on fxp0 inet proto { tcp, udp } from any to any port 501 keep state .. pass in on fxp0 inet proto { tcp, udp } from any to any port > 10000 keep state pass in on fxp0 inet proto icmp from any to any keep state Il sistema e’ parso molto stabile sia in termini di throughput che di delay anche con ACL da 5000 linee! S.Z.’03

  12. Netgroupsottogruppo “Firewall”Box OpenBSD (Note di configurazione) Abilitazione al BOOT di PF editare /etc/rc.conf pf=YES pf_rules=/etc/pf.conf # Packet filter rules file Per abilitarlo al volo il comando e' pfctl -e Le regole vanno inserite nel pf.conf Per renderle operative .. dinfn# pfctl -f /etc/pf.conf Per Verificare le ACL pfctl -s rules Per Verificare lo stato delle connessioni pfctl -s state Per fare il "Flush" dei filtri pfctl -F all Configurazione delle Interfacce in /etc/hostname.<INTERFACE> Configurazione funzionalità di Bridging /etc/bridgename.bridge# (dove # e' il numero del bridge per esempio 0) add fxp0 add fxp1 up Abilitazione dell'IP Forwarding Scommentare nel file /etc/sysctl.conf la linea relativa all'IP Forwarding net.inet.ip.forwarding=1 • Sistema economico ed efficiente • Possibilita’ di implementare un firewall “nascosto” tramite bridging • Funzionalita’ avanzate di traffic shaping management associato alle ACL (ver >=3.3) • Firewall basato su di un S.O. Noto ed Open • Gestione dei log a carico del sistemista S.Z.’03

  13. Netgroupsottogruppo “Firewall”IGWALL (InfoGuard) (LNF) • Sistema completo e ricco di funzionalita accessorie • Buona analisi dei log • InfoGuard IGWALL Ver. 3.2 • Interfaccia Web HTTPS • S.O. Linux (IP Tables) • NAT • DHCP Server • Portscan Detection • Accounting • VPN IPSec (Client SSH Sentinel sui client). • Log Server • Antispam • Packet Filtering • ACL confgurabili solo regola per regola. • Firewall basato su di un S.O. Noto ed Open • Box Gigabit costoso e non ancora disponibile S.Z.’03

  14. Netgroupsottogruppo “Firewall”IGWALL (InfoGuard) (LNF) S.Z.’03

  15. Netgroupsottogruppo “Firewall”IGWALL (InfoGuard) (LNF) S.Z.’03

  16. Netgroupsottogruppo “Firewall”5300 (Symantech) (CNAF) • Symantec 5300 • Software Proprietario (Linux based) • Management console per windows. • NAT • Accounting • VPN • Antivirus • Packet Filtering • IDS (Con LiveUpdate!) • Dei box provati e’quello che • racchiude in se il maggior numero • di funzioni. • IDS di scarsa qualita’ • Firewall basato su di un S.O. Noto ed Open • Manca la versione Gigabit • Il prezzo della versione presa in • esame è decisamente elevato. S.Z.’03

  17. Netgroupsottogruppo “Firewall”5300 (Symantech) (CNAF) S.Z.’03

  18. Netgroupsottogruppo “Firewall”5300 (Symantech) (CNAF) Definizione delle regole

  19. Netgroupsottogruppo “Firewall”5300 (Symantech) (CNAF) VPN S.Z.’03

  20. Netgroupsottogruppo “Firewall”5300 (Symantech) (CNAF) IDS S.Z.’03

  21. Netgroupsottogruppo “Firewall”NOKIA IP330 (CNAF) L’apparato si propone come device unico di accesso e messa in sicurezza della rete geografica. • Sistema completo di numerose funzioni • Per piccole realta` sostituisce anche il router • configurazione delle regole macchinosa • anche se guidata da una buona interfaccia grafica. • Firewall basato su di un SO. Noto ed Open. • Prezzo elevato • NOKIA IP330 • Interfaccia Web • Supporto di interfacce WAN V35 T1/E1 • Funziuonalità di routing (RIP,OSPF,BGP) • Firewall (Firewall1) • VPN IPSec . • IDS • Packet Filtering S.Z.’03

  22. Netgroupsottogruppo “Firewall”NOKIA IP330 (CNAF) S.Z.’03

  23. Netgroupsottogruppo “Firewall”NOKIA IP330 (CNAF) S.Z.’03

  24. Netgroupsottogruppo “Firewall”NOKIA IP330 (CNAF) S.Z.’03

  25. Netgroupsottogruppo “Firewall”Clavister Caratteristiche principali Performance: 800Mb/s su PIII 800Mhz, 2Gb Garantiti su macchine tipo DELL1650 4Gb su macchine basate su PCIX. • Clavister Firewall+VPN server • S.O.+Software Proprietari (<1MB) • Management console per windows in grado di gestire più firewall anche geograficamente distribuiti. • Supporto Vlan 802.1q! • Packet Filter • Traffic Shaping • NAT • VPN • Tool di Analisi dei Log • Ottima scalabilita’ delle performance fino 4Gb/s • Efficace gestione dei log ed analisi dei parametri di rete. • S.O. e software proprietari • Supporto del Vlan Tagging • Configurazione iniziale non banale. • Al prezzo del software va aggiunto il costo della “macchina su cui farlo “Girare”

  26. Netgroupsottogruppo “Firewall”Clavister Configurazione delle regole

  27. Netgroupsottogruppo “Firewall”Clavister Log Analyzer

  28. Netgroupsottogruppo “Firewall”Clavister Real time monitoring

  29. Netgroupsottogruppo “Firewall”Clavister VPN IPSec

  30. Netgroupsottogruppo “Firewall”un po di prezzi..

  31. GARR GARR Netgroupsottogruppo “Firewall” Configurazione tipica Senza firewall Introduzione del firewall L’introduzione di un firewall scarica la CPU del Router o dello switch dalla valutazione delle ACL. Se Router o Switch gestiscono ACL in Hardware l’unico vantaggio E’ nella semplicita` di gestione. ACL Access Router Access Router Firewall ACL L3 Switch L3 Switch Rete locale Rete locale

  32. Netgroupsottogruppo “Firewall”Test sul campo(Clavister) • L’inserimento del Clavister sul link di produzione della Sezione di Bologna ha dato un riscontro estremamente positivo: • La configurazione iniziale e` stata un po impegnativa ma la casa madre ci ha supportati. • La creazione delle ACL e’ stata semplice. • A livello di performance non si sono notati rallentamenti della rete mentre ovviamente si e’ scaricata la CPU del router di accesso di sezione. • Sono state apprezzate le funzionalita’ di analisi dei log e di monitoring della attivita’ di rete. • E’ possibile visualizzare graficamente oltre all’occupazione di banda, il carico di CPU ed il numero di Drop anche numerose altre informazioni quali per esempio il numero di HIT per una specifica regola.

  33. Netgroupsottogruppo “Firewall”Test sul campo(BSD) • L’inserimento del firewall OpenBSD sul link di produzione della Sezione di Bologna ha dato un riscontro estremamente positivo: • Il firewall e’ stato installato in modalita’ bridging senza indirizzi IP associati alle interfacce di rete (firewall invisibile) • La creazione delle ACL e’ stata semplice. • A livello di performance non si sono notati rallentamenti della rete mentre ovviamente si e’ scaricata la CPU del router di accesso di sezione. • E’ stato possibile valutare il carico di CPU sul firewall in corrispondenza di picchi di 20Mbit/s l’utilizzo della CPU e’ stato di circa il 7%

  34. Netgroupsottogruppo “Firewall”Screen Shot del Clavister impiegato sul link di INFN sez. Di Bologna

  35. Netgroupsottogruppo “Firewall”Conclusioni… • Le soluzioni di tipo Appliance (PIX, Nokia, Symanyec, Infoguard) non sono state ritenute particolarmente interessanti sia per fattori economici sia perche’ non introducono particolari benefit in termini di prestazioni. • I due firewall piu interessanti • OpenBSD • E` la soluzione piu economica • E’ facilmente adottabile da chi non deve gestire bande eccessive (dipende dall’hardware su cui e’ installato) • PF e’ un ottimo packet filter • Clavister • Sicurezza • Performance e scalabilita’ • Management e monitoring S.Z.’03

  36. Netgroupsottogruppo “Firewall”Sviluppi e novita`… Altre soluzioni potenzialmente interessanti che non sono state ancora provate sono: I firewall della Netscreen (www.netscreen.com) che utilizzano degli ASIC per la valutazione delle ACL e dovrebbero avere prezzi relativamente conteunti. Cisco Firewall Service Module per Cisco Catalyst 6500 che è un firewall integrato su di una scheda che si inserisce direttamente sulla matrice di switch di un Catalyst 6500 (consumando 1 slot) e permette di operare in modalità non bloccante fino a 4-5 Gb/s. Ovviamente questa soluzione è indicata per realtà che gestiscono un traffico passante molto sostenuto.

  37. Netgroupsottogruppo “Firewall”Riferimenti… Questa presentazione e’ gia` disponibile su web http://www.infn.it/netgroup e la nota tecnica e` in fase di pubblicazione. Cisco: http://www.cisco.com/en/US/products/hw/vpndevc/ps2030/ Symantec: http://www.symantec.com Clavister: http://www.clavister.com Infoguard: http://www.infoguard.com/ Nokia: http://www.nokia.com (Networks) OpenBSD (PF): http://www.openbsd.com/faq/faq6.html#PF http://www.openbsd.org/faq/pf/index.html

More Related