Una estructura de firewall en alta disponibilidad presenta las siguientes ventajas:



Documentos relacionados
FIREWALL EN ALTA DISPONIBILIDAD

Diseño e implementación de un sistema de seguridad perimetral ZENTYAL. Henry Alexander Peñaranda Mora cod Byron Falla cod

Firewall Firestarter. Establece perímetros confiables.

Tipos de conexiones de red en software de virtualizacio n: VirtualBox y VMware

UNIVERSIDAD INDUSTRIAL DE SANTANDER DIVISIÓN DE SERVICIOS DE INFORMACIÓN PLIEGO DE CONDICIONES DEFINITIVOS


HOWTO: Cómo configurar SNAT

Gestión y diagnóstico básico de switches ConneXium TCSESM instalados en arquitecturas redundantes (anillo)

PRACTICA CAPITULO 2 MODULO 1 PROTOCOLOS Y LA FUNCIONALIDAD DE LA CAPA DE APLICACIÓN

INTERNET 4º ESO INFORMATICA / DEP. TECNOLOGIA

Arquitectura de sistema de alta disponibilidad

! " " & '( ) ( (( * (+,-.!(/0"" ) 8-*9:!#;9"<!""#

ing Solution La forma más efectiva de llegar a sus clientes.

10 razones para cambiarse a un conmutador IP

EL MODELO DE ESTRATIFICACIÓN POR CAPAS DE TCP/IP DE INTERNET

Examen Cisco Online CCNA4 V4.0 - Capitulo 5. By Alen.-

PROYECTO INTEGRADO CLUSTER DE ALTA DISPONIBILIDAD CON HAPROXY Y KEEPALIVED. Antonio Madrena Lucenilla 21 de Diciembre de 2012 I.E.S.

COMO CONFIGURAR UNA MAQUINA VIRTUAL EN VIRTUALBOX PARA ELASTIX

PRACTICA CAPITULO 2 MODULO 1 PROTOCOLOS Y LA FUNCIONALIDAD DE LA CAPA DE APLICACIÓN

Capítulo 5. Cliente-Servidor.

Guía de Instalación para clientes de WebAdmin

Configuración de Aspel-SAE 6.0 para trabajar Remotamente

WINDOWS : TERMINAL SERVER

HOWTO: Cómo configurar DNAT para publicar los servicios internos hacia Internet

Práctica de laboratorio Configuración de políticas de acceso y de valores de DMZ

CAPITULO IV. HERRAMIENTAS DE CÓDIGO ABIERTO

Roles y Características

16/04/2010 SELVA. Redes Convergentes RUTEO REDUNDANTE

Laboratorio de Redes y Sistemas Operativos Trabajo Práctico Final

Cable Modems. problemas de rendimiento del cable módem del ubr900. Preguntas. Introducción. Traducción por computadora

66.69 Criptografía y Seguridad Informática FIREWALL

PROTOCOLOS DE ENRUTAMIENTO

Configuración de Aspel-SAE 5.0 para trabajar Remotamente

Central telefónica IP* By MilNet Internet Server. Tecnología inteligente

Almacenamiento virtual de sitios web HOSTS VIRTUALES

LiLa Portal Guía para profesores

Configuración de Aspel-SAE 6.0 para trabajar Remotamente

NAT y DHCP Server en los Speedlan

Windows Server Windows Server 2003

INTRODUCCION. Ing. Camilo Zapata Universidad de Antioquia

Use QGet para administrar remotamente las descargas múltiples BT

Acronis License Server. Guía del usuario

1. Instala servicios de configuración dinámica, describiendo sus características y aplicaciones.

Práctica 1: Configuración de una Red Local. Estaciones de Trabajo

MANUAL DE USUARIO PARA LA INSTALACION DE LOS AGENTES COMMVAULT SIMPANA 9.0

Alta Disponibilidad! Capa 3!

CONFIGURACIÓN BÁSICA DE UNA VPN EN WINDOWS XP PROFESIONAL

Concentradores de cableado

Laboratorio de PCs. Práctica 3: Montaje de una red de Área local

INSTALACIÓ N A3ERP. Informática para empresas INTRODUCCIÓN CONSIDERACIONES GENERALES DE LA INSTALACIÓN PAQUETES DE INSTALACIÓN PREDEFINIDOS

RECETA ELECTRÓNICA Informe de Seguridad

INSTITUTO TECNOLÓGICO DE SALINA CRUZ. Fundamentos De Redes. Semestre Agosto-Diciembre Reporte De Lectura

Redes de Nueva Generación Área de Ingeniería Telemática. Diseño de Campus LAN

Oficina Online. Manual del administrador

CONFIGURACIÓN DE UNA VPN TIPO INTRANET:

Unidad IV: TCP/IP. 4.1 Modelo Cliente-Servidor

Dispositivos de Red Hub Switch

Configurar un firewall con failover en PFSense 2.0.1

Configuración de una NIC

Una ACL es una lista secuencial de sentencias de permiso o denegación que se aplican a direcciones IP o protocolos de capa superior.

Alta Disponibilidad. Qué es? Cómo se consigue?

Gemelo Backup Online P E R S O N A L I N D I C E. Qué es Gemelo Backup Online Personal. Gemelo Backup Online WEB

EL MODELO DE ESTRATIFICACIÓN POR CAPAS DE TCP/IP DE INTERNET

Semana 10: Fir Fir w e a w lls

Transferencia Electrónica de Archivos (TEA) Normas Técnicas

Redes de área local Aplicaciones y Servicios Linux Enrutamiento

Banco de la República Bogotá D. C., Colombia. Dirección General de Tecnología ESTRATEGIAS DE CONTINGENCIA PARA ENTIDADES AUTORIZADAS USCI-GI-3

INSTALACIÓN, OPERACIÓN Y PROGRAMACIÓN DE EQUIPOS Y SISTEMAS TELEFÓNICOS

Beneficios estratégicos para su organización. Beneficios. Características V

Instituto Tecnológico de Las América. Materia Sistemas operativos III. Temas. Facilitador José Doñe. Sustentante Robín Bienvenido Disla Ramirez

Configuración de Apache

Guia rápida EPlus Cliente-Servidor

GedicoPDA: software de preventa

Propuesta de Portal de la Red de Laboratorios Virtuales y Remotos de CEA

Ing. Ma. Eugenia Macías Ríos. Administración de Redes

CFGM. Servicios en red. Unidad 2. El servicio DHCP. 2º SMR Servicios en Red

La Pirámide de Solución de TriActive TRICENTER

LINEAMIENTOS ESTÁNDARES APLICATIVOS DE VIRTUALIZACIÓN

CCNA 2. Laboratorio Enrutamiento por defecto con los protocolos RIP e IGRP (Hecho con Packet Tracer 4.11)

Qué es un servicio de Proxy?

HOWTO: Cómo configurar la alta disponibilidad

TUTORIAL PARA CREAR UN SERVIDOR FTP

Mondopad v1.8. Inicio rápido

Servicio de Informática Vicerrectorado de Tecnologías de la Información y la Comunicación

Conexión a red LAN con servidor DHCP

Manual ServiGuard 5.3 Cámaras Sony Z20, RZ30N, RZ Instalación de la cámara

INSTALACIÓN A3ERP INTRODUCCIÓN CONSIDERACIONES GENERALES DE LA INSTALACIÓN PAQUETES DE INSTALACIÓN PREDEFINIDOS

SIEWEB. La intranet corporativa de SIE

La vida en un mundo centrado en la red

Gracias a ese IP único que tiene cada ordenador conectado a la red de internet se pueden identificar y comunicar los ordenadores.

Infraestructura Tecnológica. Sesión 10: Sistemas cortafuego

HOWTO: Cómo configurar el acceso web en varios interfaces de Integra

QUÉ ES UN SERVIDOR Y CUÁLES SON LOS PRINCIPALES TIPOS DE SERVIDORES? (PROXY, DNS, WEB, FTP, SMTP, ETC.) (DV00408A)

Migrar una organización Microsoft Exchange 2003 a Microsoft Exchange 2007

Almacenamiento virtual de sitios web HOST VIRTUALES

LISTA DE CONTROL DEL SERVICIO MÓVIL DE UNIVISION MOBILE

BBVA emarkets Seguridad

Lo que usted necesita saber sobre routers y switches. Conceptos generales.

Colegio Salesiano Don Bosco Academia Reparación Y Soporte Técnico V Bachillerato Autor: Luis Orozco. Subneteo

Transcripción:

NOTA. LOS EJEMPLOS BRINDADOS DEBEN SER CORREGIDOS PARA ADECUARLOS A VERSIONES DE OPENBSD 4.7 EN ADELANTE. CONSULTAR www.redklee.com.ar PARA AGREGADOS A ESTE DOCUMENTO. Esquema de firewall en alta disponibilidad Alcances Se describirá en este documento las ventajas y la configuración de una estructura de firewall en alta disponibilidad, utilizando herramientas OpenSource. Ventajas Una estructura de firewall en alta disponibilidad presenta las siguientes ventajas: - Continuidad de servicio frente a fallas de hardware. - Permitir actualizaciones de software sin interrupción del servicio. Si además se puede contar con más de una conexión a internet, puede continuar el servicio aún frente a una caída de uno de los enlaces. Es posible definir un enlace como principal y tener el otro inactivo como también tener ambos activos simultáneamente con balanceo del tráfico Propuesta La propuesta realizada por RedKlee contempla los siguientes aspectos: 1- Instalar una estructura de firewall con equipos redundantes. 2- Contar con al menos dos accesos internet, provistos por distintos proveedores (ISP). 3- Frente a una falla el usuario no debe tener ninguna interrupción de su conexión. 4- Posibilidad de usar los dos enlaces internet uno como activo y el otro como backup o tenerlos ambos activos.

Implementación Para la estructura de firewall redundantes nuestra propuesta es realizarlo con una instalación basada en el sistema operativo OpenBSD. La decisión de usar OpenBSD se basa en varios aspectos: - Sistema operativo muy estable y totalmente orientado desde su concepción hacia la seguridad. - Software de filtrado de paquetes pf, muy sencillo de usar y con muchas funcionalidades integradas. - Configuración de alta disponibilidad usando el protocolo CARP, estabilizada desde hace varias versiones. - Pseudo-interface pfsync que permite configurar un firewall "stateful" en alta disponibilidad. - Instalación muy sencilla, que ocupa poco espacio en disco y con requerimientos de hardware mínimos. Ampliando los puntos anteriores: - En http://www.openbsd.org puede leerse: Only one remote hole in the default install, in more than 10 years! The OpenBSD project produces a FREE, multi-platform 4.4BSD-based UNIX-like operating system. Our efforts emphasize portability, standardization, correctness, proactive security and integrated cryptography. - El software de filtrado de paquetes (packet filter) de OpenBSD se denomina pf además de filtrar tráfico TCP/IP puede hacer también traslación de direcciones (NAT - Network Address Traslation). pf es capaz de hacer también normalización del tráfico TCP/IP, así como control de ancho de banda. Está disponible en el kernel genérico desde el año 2001 (versión OpenBSD 3.0) por lo que a través de los años se le han agregado muchas funcionalidades y es muy estable y probado. Las reglas son muy sencillas y en pocas líneas de un archivo de configuración

puede lograrse un firewall con muchas funcionalidades.

- El propósito de CARP (Common Address Redundancy Protocol) es el de permitir que varios hosts en el mismo segmento de red, compartan una dirección IP. CARP es una alternativa gratis a VRRP (Virtual Router Redundancy Protocol) y HSRP (Hot Standby Router Protocol) El grupo de hosts que comparte una dirección IP se denomina "grupo de redundancia". Dentro de un grupo un host se designa como master y los demás como backups. El host master es quien responde al tráfico dirigido a la dirección IP compartida. En caso de falla del master, el host backup de mayor prioridad es quien pasa a tener identidad de master. - La interface virtual pfsync expone los cambios en la tabla de estados usada por pf. Si esta interface virtual se asocia a una interface física estos cambios de estado pueden ser transmitidos a otros hosts, de manera que todos los hosts de un grupo puedan tener la información de la tabla de estados del host master. En caso de tener que tomar su lugar las conexiones pueden seguir sin interrupción. Esto permite configurar firewalls stateful en alta disponibilidad y este el gran factor diferenciador de OpenBSD. En un firewall stateful se puede determinar con seguridad cuando un paquete pertenece a una conexión existente o sea a una conexión que ya ha establecido un estado. De esta manera se obtiene una mayor performance ya que no es necesario verificar cada paquete contra todas las reglas. Si no se dispusiera del sincronismo de estados, cuando un host backup tomara la identidad de un master que ha fallado, cancelaría todas las conexiones, porque no podría determinar si los paquetes son pertenecientes a una conexión existente. - La instalación de OpenBSD que permite configurar todas estas opciones es muy rápida y ocupa aproximadamente 500 MB de espacio en disco. Detalles de la implementación

En el siguiente gráfico se representan los esquemas de conexión de una instalación de un firewall que tiene: - Dos equipos en alta disponibilidad - Dos proveedores de internet - Una zona desprotegida. EXTERNA - Una zona desmilitarizada. DMZ - Una zona protegida. INTERNA En cada una de las interfaces, cada equipo tiene su propia dirección IP y a su vez una dirección IP de cada interface carp es la que ven los demás equipos conectados. Como decíamos antes, en esta configuración uno de los equipos se configura

como master y es quien "maneja" la IP virtual de cada interface. El otro equipo se configura como backup. La interface que vincula ambos equipos, que para tener baja latencia y seguridad suele ser simplemente un cable de red cruzado, es por donde se transfieren los paquetes de pfsync, para mantener las tablas de estado sincronizadas. Cómo se entera el host backup que el host master está activo? La característica del protocolo carp es que los equipos que son master se anuncian como activos enviando a intervalos regulares paquetes de datos. Para usar carp, se necesita configurar en cada host un Virtual Host ID (VHID), una dirección IP virtual. Además dos parámetros que son advbase y advskew, que controlan cuan frecuentemente se envía un anuncio. Cuando un host recibe anuncios con un advbase menor al propio, supone que otro host está actuando como master. Cuando deja de recibirlos, comienza a enviar los anuncios, indicando que ahora ese host tiene la función de master. Si se quieren tener varios host backup, se define la prioridad con que deben actuar como master asignando valores crecientes del parámetro advbase. Todos los parámetros de configuración de carp, se asignan con el comando ifconfig que en este sistema operativo maneja todos los tipos de interfaces tanto sean reales como virtuales. Esto simplifica muchísimo la configuración. A modo de ejemplo, veamos la configuración de la interface con uno de los dos ISP. En el equipo master: ifconfig if1 201.202.203.204 netmask 255.255.255.0 ifconfig carp1 201.202.203.210 vhid 1 advsbase 0 pass 1234 carpdev if1 En el equipo backup: ifconfig if1 201.202.203.205 netmask 255.255.255.0 ifconfig carp1 201.202.203.210 vhid 1 advsbase 10 pass 1234 carpdev if1 El significado de los parámetros es el siguiente: if1: nombre de la interface física carp1: nombre de la interface virtual 201.202.203.204: dirección IP del host master 201.202.203.205: dirección IP del host backup 201.202.203.210: dirección IP de la interface virtual

vhid: virtual host id advbase: valor base que determina si el host es master o backup pass: password que se usa para la autenticación de los mensajes carpdev: interface física asociada Estos valores se incluyen en los archivos de configuración de las respectivas interfaces, de manera que estén disponibles después del inicio del host. Cómo manejar dos proveedores de internet? Una alternativa es tener un proveedor principal y otro de backup. Mientras el proveedor principal está activo se envía el tráfico por esta conexión y si se detecta una falla se comienza a enviar por el de backup Otra alternativa es que ambas conexiones estén activas simultáneamente. Si bien es perfectamente posible enviar el mismo tipo de tráfico por ambas interfaces, esto a veces trae inconvenientes con sitios seguros en los cuales se validan las direcciones IP de origen. Una alternativa interesante es manejar por cada enlace distintos tipos de tráfico. Por ejemplo, tráfico de navegación (http y https) por un ISP y tráfico de mail y otros protocolos por otro ISP. En caso de falla de cualquiera de los enlaces, se puede manejar todo el tráfico por el restante. Cómo se hace este ruteo variable? Todas estas funcionalidades pueden manejarse directamente con pocas reglas del sistema de filtrado de paquetes pf. Esta capacidad del filtrado de paquetes de OpenBSD es lo que brinda muchas posibilidades de implementación. Supongamos los siguientes requerimientos: - Permitir desde la red interna acceso hacia internet de los puertos de http y https. Rutear este tráfico por el ISP1. - Permitir desde la red interna acceso hacia internet de los puertos de pop3 y smtp. Rutear este tráfico por el ISP2. - No permitir tráfico iniciado en internet hacia la red interna. Veamos algunas reglas para obtener esta funcionalidad. # Variables ext_if1 = "if1" ext_if2 = "if2" int_if = "if3" www_ports = "{" 80 443 "}" mail_ports = "{" 25 110 "}" # interface donde se conecta el ISP1 # interface donde se conecta el ISP2 # interface donde se conecta la red interna # ports permitidos para navegación # ports permitidos para mail

# NAT de cualquier server de la red interna con la IP de la interface externa # correspondiente a cada ISP nat on $ext_if1 from $int_if:network to any -> $ext_if1 nat on $ext_if2 from $int_if:network to any -> $ext_if2 # Inicialmente se bloquea todo el tráfico de entrada. block in log # Ya que pf puede bloquear tanto el tráfico de entrada o de salida, pero es más # simple filtrar en una dirección. # Elegimos filtrar el tráfico de entrada. Una vez que se permite el tráfico de entrada # en una interface, no se bloquea su salida. pass out keep state # Aceptamos en la interface interna tráfico http y https y se rutea por ISP1 pass in on $int_if route-to ($ext_if1) inet proto tcp from $int_if:network to any port $www_ports keep state # Aceptamos en la interface interna tráfico smtp y pop3 y se rutea por ISP2 pass in on $int_if route-to ($ext_if2) inet proto tcp from $int_if:network to any port $mail_ports keep state Se puede observar que con muy pocas reglas (6 en total) se obtiene la funcionalidad deseada. Cómo detectar caídas de un ISP y como cambiar las reglas de filtrado? Para detectar la caída de una conexión se dispone de ifstated. Este daemon puede monitorear las interfaces y a su vez ejecutar comandos externos para monitorear conexiones. Dependerá de cada tipo de conexión como se monitoree. Una vez que se detectó la caída de un ISP, es necesario cambiar las reglas de filtrado para redireccionar el tráfico. Esto nuevamente puede hacerse utilizando una funcionalidad de pf. En este caso es el concepto de anchor, que permite tener reglas definidas que pueden cargarse y descargarse en forma dinámica sin necesidad de hacerlo con el juego completo de reglas, ya que esto afectaría las conexiones existentes, que se están traficando por el ISP que no falló.

Norberto H. Altalef Julio 2006

2024 © DocPlayer.es Política de privacidad | Condiciones del servicio | Feedback