Déploiement d’un pare-feu haute disponibilité

Slides:



Advertisements
Présentations similaires
Vous désirez offrir l accès internet à vos clients? Mais dans toute sécurité, facile et avantageux!
Advertisements

Module Architectures et Administration des réseaux
Qualité de Service sur Linux
FIREWALL Exposé NT Réseaux
Présentation téléphonie IP du 9 Octobre 2008
Page d accueil.
Sécurisez votre information Quelle sécurité pour votre cabinet comptable?
World Communication Awards
RIP* *Routing Information Protocol. Sommaire 1)Théorie 1)Configuration 1)Vérification.
Firewall sous Linux Netfilter / iptables.
DUDIN Aymeric MARINO Andrès
Ingénieurs 2000 – Année 2004/ Ludovic LELION
Présentation CLUSIR 8 janvier 2002
Réseaux Privés Virtuels
2-Generalites FTP:Protocole De transfert de fichiers sur un réseau TCP/IP. Permet de copier des fichiers depuis ou vers un autre ordinateur du reseaux,d'administrer.
Système de stockage réseaux NAS - SAN
Simulateurs de réseaux Ns-3 et Ns-2.
Mars 2013 Grégory Petit
ADR Active and Dynamic Routing. Plan Introduction au routage Les réseaux actifs Les agents Mise à jour des matrices de routage Architecture du routage.
Chef de projet : COUDERC Antoine Equipe : DELMON - GENIEZ - LACROIX
Le filtrage IP Ahmed Serhrouchni ENST’Paris CNRS.
Guide MQ WebSphere MQ v7.0.1 et V7.1 1er retours d’experiences
Le protocole FTP.
L'équilibrage de charge Utilisation, principe et solutions
Virtual Private Network
Linux – les VPN.
Projet JSimula.
Portail Captif IPv6 Hassnae MNIE FILALI Gwenaël CHOLET Frédéric PASCAL
Netfilter/Iptables Introduction.
Linux – les VPN. Introduction  de plus en plus utilisés  utilisent :  les tunnels  la cryptographie  certificats X509 via une autorité de certification.
Étude comparative.
Partage connexion Internet sous XP Familial pour un réseau WIFI.
Comparaison entre RIP et OSPF en utilisant OPNET
1 Gestion des intérêts d’une communauté au moyen d’un agent intelligent El Bachir Boukherouaa, El Bachir Gardouh, Claude Frasson Laboratoire HERON Informatique.
Progression Sécurité & réseaux TCP/IP - Cours1 : Révision réseaux
INFODATADAY 2013 INTEGRIX+ : Modules GRH et AO (Gestion des Ressources Humaines et Always-On) Version 2014.
 Administration - Système windows, linux..Passerelle Internet sous linux Présenter par : Mounir GRARI 2012/2013.
Module Routage Où dois-je envoyer ce paquet ???
Firewall SAOUDI Lalia Ce modèle peut être utilisé comme fichier de démarrage pour présenter des supports de formation à un groupe. Sections Cliquez.
Agrégation de Liens A Guyancourt le
VPN sous Linux Essaka Cynthia Serbin Laurent. Sommaire  Introduction  Vpnd  LRP  Freeswan.
Heatbeat au LAL Marec erwan Charbonnel Jaclin.
SOLUTION DE VIDEOSURVEILLANCE SUR IP
Institut Supérieur d’Informatique
Répartition des adresses IP
Master 1 SIGLIS Ingénierie des réseaux Stéphane Tallard Chapitre 4 – Couche réseau Master 1 SIGLIS1 Ingénierie des réseaux - Chapitre 4 La couche réseau.
Le projet Gestion Commerciale
FTP : File Transfer Protocol (protocole de transfert de fichier ) est un protocole de communication destiné à l'échange informatique de fichiers sur.
Les Réseaux Informatiques
Le marché du travail GLC 205. Un choix de carrière ajusté et réaliste implique: Une bonne connaissance de soi au plan des intérêts, des aptitudes et des.
Participation aux Webinars – Quelques consignes à suivre!
LE PARE-FEU AMON. MAI 2002.
Mission 2 : Mission 2 : Répartition de charges (Serveur Web) BTS SIO2Camboulas Damien Riviere Mathieu Calas Guilhem Sirvin Alexis.
Une évolution économique du contrôle des réseaux de télécommunication
L’enseignement de spécialité SLAM
VTP.
Option RIO - Septembre 2003 Bonjour, Cet exposé fait l’état de l’art
Sécurité Réseau Alain AINA AFNOG 2003.
Présentation Promo Fév./Mars Objectifs Proposer des produits s’intégrant dans la mise en œuvre d’outils de Communications Unifiées pour les TPE/PME.
Architecture Client/Serveur
Projet 6 : Virtualisation
La menace augmente…. Virus Vers Intrusions Violations de protocoles Denis de services.
Tutoriel Inscription et règlement. Si vous n’avez pas de compte sur Sciencesconf.org, vous devez en créer un Si vous avez déjà un compte, vous devez.
Introduction Rappels : Accès serveurs Unix Ensimag via ssh et sftp
Comprendre la redondance de la couche 3
Utilisation de la plateforme DomoLeaf en mode Adhérent 1 (Accessible avec une carte d’accès, en vente auprès de votre distributeur)
Gérer notre Réseau Intégrateurs. Sommaire Vous donner les clés pour s’engager ensemble dans le futur…
SOLUTION DE VIDEOSURVEILLANCE SUR IP. Premier serveur de vidéosurveillance en réseau, CamTrace possède une architecture innovante qui permet d’isoler.
Gérald Masquelier Antoine Mottier Cédric Pronzato Les Firewalls.
Hot Standby Router Protocol (HSRP) - Partage de charge
Transcription de la présentation:

Déploiement d’un pare-feu haute disponibilité Conntrackd Déploiement d’un pare-feu haute disponibilité

Notions préliminaires (rappel) Netfilter framework (part feu noyau linux) Souvent confondu avec iptables Intégré en mars 2000 (2.3) Bien documenté Bien structuré et pensé ! Système de « hooks » Fonctions de callback référençables sur les « hooks » Permet le développement aisé de modules Netfilter framework implément le part feu au niveau du noyau linux Intégré en mars 2000 (kernel version 2.3) Ecrit de zero (ancien part feu n’était plus adapté..) Bien documenté (cf Netfilter.org) Bien structuré et pensé ! Système de « hooks » : points d’acroche sur lesquel on peut référencer une fonction de callback Permet le développement aisé de modules et applications

Notions préliminaires Plus de précision sur les hooks 5 hooks Plusieurs fonctions de callback peuvent être enregistré sur chaque (système de priorité) nf_register_hook() permet d’enregistrer une fonction de callback Les fonctions de callback peuvent retourner 5 valeurs différentes qui seront utilisés par Netfilter ACCEPT : Le paquet continu son chemin DROP : Le paquet est silencieusement détruit QUEUE : Passes the packet to userspace via the nf_queue facility. Thus a userspace program will do the packet handling for us. STOLEN : Silently holds the packet until something happens, so that it temporarily does not continue to travel through the stack. This is usually used to collect defragmented IP packets. REPEAT : Forces the packet to reenter the hook. En gros, les hooks permettent d’enregistrer des fonctions qui vont gérer les paquets; les framework base ensuite sa décision sur le retour des fonctions…

Notions préliminaires Stateful vs Stateless Intérêt d’être Stateful Granularité accrue Performances accrues Protocol helpers possible (L7) Nombreuses possibilités offertes Module de connection tracking de netfilter Statefull vs Stateless Dans le cadre de firewall, Ne pas confondre avec les protocoles; TCP possède des états alors que UDP n’en possède pas et pourtant netfilter va quand même etre statefull avec UDP… Intérêt d’être Statefull Granularité accrue : il est possible de faire des rêgles plus précises, pas seulement basé sur le paquet qu’on examine mais sur ce qui c’est passé avant également Performances accrues : Du fait de l’implémentation, il est plus rapide de se référencer à la tables des états (implémenté avec une hashtable) que d’effectuer une prise de décision depuis zéro (en évaluant les rêgles une a une). Protocol helpers possible (L7) : Possibilité de créer des programmes pour permettre à certains protocoles sale de pouvoir passer le firewall (ex FTP Actif) Nombreuses possibilités offertes Le Module de connection tracking de netfilter permet de rentre le firewall statefull (rmq: ce module est également nécessaire pour le NAT)

Notions préliminaires Module de connection tracking de NF Informations mémorisées 4 Etats de connexion : New Established Related Invalid Utilise des fonction de callback Module de connection tracking de NF Informations mémorisées (IP src, IP DST, PORts SRC ET DST, Protocol, Etat, Timeout) > Prise de décision plus intéligente Ne filtre pas les paquet lui-même, se contente de mémoriser des informations 4 Etats de connexion : New : Traffic observé que dans une direction Established : Communication dans les 2 send observée Related : Connection liée à une autre ( helper ) Invalid : Paquet qui ne se sont pas comporté normalement Avec les définitions ci-dessus, UDP est statefull ! Utilise des fonction de callback (4) pour se lier à Netfilter (Creation d’une conntrack, Défragmentation, Helper, Mise a jour d’une conntrack)

Conntrack-tools Userspace tools Conntrack Conntrackd HA Statistiques Repose sur libnetfilter_conntrack Encore mis a jours, nouvelles fonctionalité, correction de bugs (7/2009) Userspace tools Conntrack : Diagnostic, affichage optimisé des informations du module de connection tracking (info dans /proc/net/ip_conntrack), possibilité de filtrer l’affichage …. Conntrackd : Permet la synchronisation de la table d’état entre plusieurs firewall; permet ainsi d’implémenter des firewall statefull à haute disponibilitée. Peut également être utilisé pour exporter des statistiques.. Repose sur libnetfilter_conntrack fournis par le projet netfilter. Cette librairie permet De lister / Recuperer / inserer/ modifier /supprimer des entrées de la table de connection tracking du noyau

Architecture à 1 Firewall Single point of failure !

2 Firewall valent mieux qu’un ! Problème : Comment faire pour que le trafic utilise l’un ou l’autre des firewall ? Autre formulation : On souhaite que le trafic passe toujours par un firewall qui marche; la transition doit être rapide et sans intervention.

Failover Plusieurs Protocoles : VRRP CARP (openBSD) … RFC 3768 IP et @MAC virtuelles (00-00-5E-00-01-XX) Priorité de 0 à 254 CARP (openBSD) Pas de RFC IP protocol 112 (choisit de force !) … VRRP RFC 3768 IP et @MAC virtuelles (00-00-5E-00-01-XX) XX étant le numéro du groupe VRRP (VRID) Un maitre et des esclaves Priorité de 0 à 254 Si le maitre ne parle plus, l’esclave avec la priorité la plus haute prend le relai Le maitre répond aux requètes ARP et à l’adresse IP l'adresse multicast 224.0.0.18 avec un numéro de protocole IP 112, CARP Philosophie similaire Né du conflit OpenBSD/Cisco (qui détient le brevet sur VRRP) OpenBSD a pris de force le numéro 112 de protocol (suite au silence de l’IANA) “We are strongly entertaining the thought of writing a OVRRP protocol (which we would design to be maximally conflicting, of course) “ Nous faisons le choix d’utiliser VRRP pour la suite du fait qu’il est documenté dans une RFC…

2 Firewall avec VRRP! L’adresse IP virtuelle 10.0.0.254 est partagée par les deux firewall sur le lan A. L’adresse IP virtuelle 10.0.1.254 est partagée par les deux firewall sur le lan B. L’adresse IP virtuelle 10.0.0.254 est partagée par les deux firewall sur le lan A. L’adresse IP virtuelle 10.0.1.254 est partagée par les deux firewall sur le lan B. Deux instance de VRRP sont exexuté sur chaque firewall (une par ip virtuelle)…

Ou en sommes nous ? Failover mis en place Si un firewall tombe, un second est là… Et la table d’états dans tout ça ? Perdue car pas de synchronisation Qu’elle est le problème ? Règles de part feu « stateful » NAT Helpers… Failover mis en place Si un firewall tombe, un second est là… Et la table d’états dans tout ça ? Perdue car pas de synchronisation Qu’elle est le problème ? Si on n’exploite pas le coté statefull : AUCUN! Règles de part feu « statefull » : Si on pert la table d’état, on a plus d’états sur les connection et les régles basé sur les états vont échoué (ESTABLISHED) NAT : Le NAT repose sur la table d’état, les communications NAT vont être coupées! Ex: Intéruption de transfert de données … Helpers…

2 Firewall en HA (conntrackd + VRRP) Apparition d’un lien de synchronisation Possibilité d’avoir plus de 2 firewall Pour le moment Actif/Passif Implémentation d’un mode Actif/Actif avec équilibrage de charge prévu… Meme structure que précédement, apparition d’un lien dédié entre les firewall destiné à la synchronisation de la table d’état Possibilité d’avoir plus de 2 firewall Pour le moment Actif/Passif Implémentation d’un mode Actif/Actif avec équilibrage de charge prévu…

Fonctionnement de conntrackd Mises à jour envoyés en multicast 3 protocoles de synchronisation (au choix) No track (best effort) Ft-fw Alarm Mises à jour envoyés en multicast : 1 seul envoi pour tous les replicas 3 protocoles de synchronisation (au choix) ; Le protocole de synchro est essentiel, il doit assurer que les tables sont constament synchronisé, sinon conntrackd ne sert a rien ! No track (best effort) : non fiable, envoie des données, pas aquitement… Ft-fw : Protocole fiable (ACK,NACK) : Dernier implémenté (plus récent) Alarm : Protocole par inondation , renvoie périodiquement l’intégralité de la table ; permet de resynchroniser rapidement mais très gourmand en bande passante.

Autres solutions Nombreuses solutions commerciales (checkpoint, juniper, arkoon, cisco, sonicwall…) Dans le monde BSD : pfsync + CARP Nombreuses solutions commerciales (checkpoint, juniper, arkoon, cisco, sonicwall…) Dans le monde BSD : pfsync + CARP pfsync equivaut a conntrackd et CARP à VRRP, pf équivaut à netfilter.

Démonstration

Des questions ?

Merci de votre attention