Firewall D-Link sinonimi di sicurezza

Presentazione sul tema: "Firewall D-Link sinonimi di sicurezza"— Transcript della presentazione:

1 Firewall D-Link sinonimi di sicurezza
Le soluzioni DFL per la sicurezza xxxxxxxxxx 31 Dicembre 1999

2 Agenda Introduzione alla sicurezza delle reti:
Cosa dobbiamo proteggere Contro chi dobbiamo proteggerci Aspetti legali relativi alla protezione dei dati Filosofia di progettazione di una rete sicura Scenari Applicativi: Ufficio base preparazione e progettazione di una rete per l'uso di un firewall configurazione per l'utilizzo di una singola connessione WAN (DHCP, IP statico o PPPoE) Gestione delle policy della sicurezza Vantaggi derivanti dall'uso di un firewall UTM in questo ambito Scenari Applicativi: Ufficio Avanzato Fault tolerance della connessione WAN Pubblicazione e protezione di un server (http/ftp o simili) Utilizzo delle VLAN Scenari Applicativi: Azienda multi sede Guida alla scelta della VPN corretta da implementare (IPSec, L2TP o PPTP) Gestioni accessi da remoto via VPN Creare un tunnel IPSec IPSec fault tolerance PPTP vpn Load Sharing

3 Cosa dobbiamo proteggere ?
Firewall Cosa dobbiamo proteggere ? Integrità dei dati riservati nessuno deve riuscire ad alterare i dati sensibili Confidenzialità dei dati solo chi è autorizzato deve poter trattare i dati Sicurezza nella comunicazioni Funzionalità e disponibilità della struttura IT Duttilità delle infrastrutture

4 Firewall Da chi dobbiamo proteggerci ? Pericoli “esterni”
hacker, cracker virus spam / phishing connessioni geografiche instabili sicurezza perimetrale Pericoli “interni” notebook / chiavi usb dipendenti spionaggio interno

5 Firewall Esistono gli Hacker ??

6 Firewall Esistono gli Hacker ??

7 Firewall Aspetti legali …..
D.P.S. ogni organizzazione che tratta dati personali (anche non sensibili) attraverso elaboratori elettronici è tenuta a compilarlo In generale è un documento di definizione delle strategie di sicurezza, e delle conseguenti policy che tutti i dipendenti, collaboratori, partner e fornitori devono adottare Il firewall non basta. Per quanto ben gestito non può proteggere da incidenti interni che esterni, deliberati o accidentali. La non osservanza ( dovuta non tanto a ispezioni del garante ma a banali incidenti) può causare il rischio di incorrere in sanzioni anche penali (e la responsabilità penale è personale) Problema p2p La questione dell’uso del software p2p è tuttora dibattuta in sede costituzionale: OdG ( Novembre 2008 ) “la questione dell'obbligo di riservatezza dei dati rileva sempre più in termini di tutela dei diritti e delle libertà altrui, in particolare per il contrasto alla diffusione, tramite internet, di materiale protetto da diritto d'autore, il cui traffico illecito genera danni per centinaia di milioni di euro per autori e produttori” Lo spamming È perseguibile tramite ricorso al garante della Privacy. Ogni rete non protetta può essere la base per uno spammer ……..

8 Firewall Filosofia di progettazione “sicura”
“It is easy to run a secure computer system. You merely have to disconnect all dial-up connections and permit only direct-wired terminals, put the machine and its terminals in a shielded room, and post a guard at the door.” F.T. Grampp and R.H. Morris È credibile questo approccio ? Esiste una rete sicura ? Quanto dobbiamo essere sicuri ? Quanto siamo disposti a spendere ??

9 Firewall Difesa multilivello

10 NetDefend IPS / UTM Firewall Family
SOHO Branch Office Small Business Medium Business Enterprise DFL-800 DFL-2500 DFL-210 DFL-1600 DFL-200 DFL-860 DFL-260

11 Firewall SoHo Branch Office Small Business DFL-200 DFL-800 DFL-210
Firewall Mbps IPSec Mbps Interfaccie WAN 1 DMZ 7 LAN Flash MB RAM MB Concurrent Sessions Policies VPN Tunnel DFL-800 Interfaccie & Performance Funzionalità avanzate Supporto 802.1q VLAN H.323/ SIP ALG IM / P2P Blocking Dual WAN per WAN Failover Outbound Traffic Load Balance Server Load Balance D-Link Switch Zone-Defense Firewall Mbps IPSec Mbps Interfaccie WAN 4 LAN 1 DMZ (1 DMZ configurabile come WAN) RAM MB Concurrent Sessions Policies VPN Tunnel DFL-210 Firewall Mbps IPSec Mbps Interfaccie WAN 4LAN 1DMZ Flash MB RAM MB Concurrent Sessions Policies VPN Tunnel Interfaccie & Performance

12 Firewall Funzionalità avanzate DFL-1600 Interfacciee & Performance
Firewall Mbps IPSec Mbps Interfaccie Gb Ethernet Flash MB RAM MB VPN Accelerator Cavium CN505 Concurrent Sessions ,000 Policies VPN Tunnel Funzionalità avanzate Supporto 802.1q VLAN 6 porte Gb configurabili (LAN/WAN/DMZ) H.323/ SIP ALG IM / P2P Blocking Outbound Traffic Load Balance Server Load Balance D-Link Switch Zone-Defense High Availability DFL-1600 Interfacciee & Performance 8 porte Gb configurabili (LAN/WAN/DMZ) Medium Business Enterprise DFL-2500 Interfaccie & Performance Firewall Mbps IPSec Mbps Interfaccie Gb Ethernet Flash MB RAM MB VPN Accelerator Cavium CN1010 Concurrent Sessions ,000,000 Policies ,000 VPN Tunnel ,500 12

13 Firewall Branch Office Small Business DFL-260 DFL-860
Interfaccie & Performance DFL-860 Firewall Mbps IPSec Mbps Interfaccie WAN 4 LAN 1 DMZ (1 DMZ configurabile come WAN) Concurrent Sessions Policies VPN Tunnel AV throughput Mbs IPS throughput Mbs Firewall Mbps IPSec Mbps Interfaccie WAN 1 DMZ 7 LAN Concurrent Sessions Policies VPN Tunnel AV througput Mbs IPS throughput Mbs Interfaccie & Performance Funzionalità avanzate Supporto 802.1q VLAN H.323/ SIP ALG IM / P2P Blocking Dual WAN per WAN Failover Outbound Traffic Load Balance Server Load Balance D-Link Switch Zone-Defense Supporto 802.1q VLAN H.323/ SIP ALG IM / P2P Blocking Outbound Traffic Load Balance D-Link Switch Zone-Defense Funzionalità avanzate

14 Firewall DFL-210 / DFL-260 Console LAN WAN DMZ

15 Firewall DFL-800 / DFL-860 Console LED di stato WAN1 LAN WAN2 DMZ

16 DFL-1600 Firewall CONFIGURAZIONE DI DEFAULT
La funzionalità logica delle porte LAN è riconfigurabile Console LAN3 LAN2 LAN1 LCD screen DMZ LED di stato WAN2 Pulsanti WAN1

17 DFL-2500 Firewall CONFIGURAZIONE DI DEFAULT
La funzionalità logica delle porte LAN è riconfigurabile Console Pulsanti LED di stato LAN3 LAN2 LCD screen LAN1 DMZ WAN1 WAN2 WAN3 WAN4

18 Ufficio base

19 Ufficio base Internet Come deve essere la rete ? LAN
ROUTER Internet LAN Dove inserire l’AP ?

20 I cardini della configurazione
3 passaggi per creare la configurazione: Creare gli oggetti e verificarli Creare le regole (regole IP, regole IDS ,regole di autenticazione utente o di bilanciamento tramite pipes) Creare e verificare le regole di routing

21 Firewall Il minimo per navigare WIZARD

22 Primo esempio – il minimo per navigare
IP Subnet mask Gateway LAN IP / 24 WAN IP / 24 WAN Gateway LAN /24

23 Primo esempio – il minimo per navigare - wizard
1 Configuriamo un indirizzo IP statico sul nostro PC del tipo x con x compreso tra 2 e 254 Apriamo il nostro browser internet e colleghiamoci alla seguente URL Verrà richiesta l’autorizzazione di accesso alla pagina: Usare come login: admin come Password: admin

24 Primo esempio – il minimo per navigare - wizard
2 Dopo un factory reset dell’apparato si aprirà automaticamente il wizard di configurazione che guida l’utente alla prima configurazione. Per proseguire clicchiamo su “next” N.b. bisogna permettere l’apertura di finestre pop-up al browser. Se necessario cambiamo la password di amministrazione della macchina N.b. Si può mantenere la password di default che è admin

25 Primo esempio – il minimo per navigare - wizard
3 Impostiamo l’ora dell’apparato Abilitiamo il periodo di spegnimento n.b. Non sottovalutiamo l’importanza dell’uso dell’ora corretta in quanto questa verrà indicata nei file di log e risulterà più semplice interpretarli. Selezioniamo l’interfaccia per la connessione geografica ( wan1 nell’esempio)

26 Primo esempio – il minimo per navigare - wizard
4 Selezioniamo il tipo di configurazione per l’interfaccia geografica. Per il mercato italiano solitamente : IP statico DHCP – ip assegnato automaticamente dal router / isp. Indirizzo ip, subnet, gateway e dns assegnati automaticamente PPPoE – usato con molti modem ADSL ethernet. Indirizzo ip, subnet, gateway e dns assegnati automaticamente

27 Primo esempio – il minimo per navigare - wizard
5 Indirizzo IP statico Impostiamo i parametri dell’interfaccia geografica Ricordiamoci di compilare TUTTI le voci richieste Per gli esempi successivi : IP address Network /24 Gateway E l’indirizzo di due server DNS Primary Secondary

28 Primo esempio – il minimo per navigare - wizard
5 PPPoE Impostiamo i parametri forniti dall’ISP n.b. Il campo Service non è obbligatorio DHCP ! In questo caso non verrà chiesta alcuna impostazione delle interfaccia !

29 Primo esempio – il minimo per navigare - wizard
6 Se necessario attiviamo il DHCP server con i parametri necessari Per gli esempi successivi : IP range Netmask Default gw DNS server

30 Primo esempio – il minimo per navigare - wizard
7 Attiviamo (se necessario) il supporto per: server NTP esterni Syslog server Per concludere il wizard ed attivare la configurazione clicchiamo su ACTIVATE Dopo aver controllato le impostazioni dell’interfaccia di rete del nostro PC ( attenzione al default gateway e server DNS !!! ) proviamo a fare un ping verso un server esterno per controllare che tutto funzioni correttamente

31 configurazione "manuale"
D-Link firewall Il minimo per navigare configurazione "manuale"

32 Primo esempio – il minimo per navigare - manuale
Creiamo ( o editiamo ) gli oggetti necessari: lan_ip  lannet  /24 wan1_ip  wannet  /24 wan1_defaultgw_ip  dnsserver1_ip  dnsserver2_ip  dhcpserver_range  c_class_subnet  Controlliamo la configurazione delle interfacce Controlliamo la tavola di routing N.B. Se non si segue il wizard di configurazione la default route NON è abilitata Controlliamo che i DNS siano impostato Controlliamo l’orologio di sistema .. Se necessario abilitiamo il DHPC server

33 Primo esempio – il minimo per navigare - manuale
1 Inseriamo (o modifichiamo) nell’Address Book gli oggetti necessari: lan_ip  lannet  /24 wan1_ip  wannet  /24 wan1_gw  wan1_dns1  Wan1_dns2  DHCPserver_range  c_class_subnet 

34 Primo esempio – il minimo per navigare - manuale
2 controlliamo le impostazioni delle interfacce ……. E le regole di filtraggio dei pacchetti

35 Primo esempio – il minimo per navigare - manuale
3 Infine controlliamo che sia stata aggiunta la default route per instradare il traffico dall’interfaccia geografica verso il router Dopo aver controllato le impostazioni dell’interfaccia di rete del nostro PC ( attenzione al default gateway e server DNS !!! ) proviamo a fare un ping verso un server esterno per controllare che tutto funzioni correttamente

36 Internet Gestione delle policy Piccolo ufficio …
File Server Server AD Mail server ( x esempio Windows SBS 2003 ) Internet Se c’è un server di posta interno perché lasciare l’accesso pop3/imap e smtp a i client ?? PC utenti Perché lasciare anche alla stampante l’accesso ad Internet ? Stampante di rete

37 Prima di tutto bisogna :
Gestione delle policy 1 Prima di tutto bisogna : DISABILTARE LA POLICY “ ALLOW STANDARD” Analizzare le necessità dell’azienda e creare di conseguenza le policy di nat . Per esempio se si usa soltanto : http ftp Tutti devono/ possono navigare in internet ? Possono farlo sempre ?

38 L’accesso ad internet serve sempre ?
Gestione delle policy 2 L’accesso ad internet serve sempre ? L’azienda è attiva nei weekend ? Lavora anche la notte ?? In caso di necessità particolari creiamo il nostro scheduling

39 L’accesso ad internet serve sempre ?
Gestione delle policy 3 L’accesso ad internet serve sempre ?

40 IDS / Antivirus / Web Content Filtering
Vantaggi firewall UTM Hacker Worm Virus Trojan Internet Pornography Gambling Malicious Sport IDS Firewall IDS / Antivirus / Web Content Filtering Antivirus Web Content Filtering NetDefend UTM Firewall DFL-260 DFL-860

41 Vantaggi firewall UTM 1 Come attivare l’antivirus :
Se necessario modificare o aggiungere un ALG nella lista sottostante (HTTP ALG, FTP ALG or SMTP ALG ) Ricordarsi di selezionare Audit ( solo logging ) o Protect all’interno dell’alg

42 Vantaggi firewall UTM 2 Come attivare l’antivirus :
Aggiungiamo un regola attraverso cui far passare il traffico http ( per esempio ) in modo che venga controllato dall’antivirus Alla voce “service” selezioniamo l’alg che abbiamo precedentemente creato Per le interfacce è ragionevole selezionare anche “any”

43 Vantaggi firewall UTM 3 Come attivare l’antivirus :
Spostiamo la regola appena creata prima di qualunque altra ( o comunque prima di qualunque regola che tratti lo stesso protocollo ) Salviamo ed attiviamo i cambiamenti

44 Ufficio avanzato

45 Fault tolerance Perché una doppia WAN su prodotti
per il mercato Small business ?? La connettività ad internet sta diventando FONDAMENTALE per la vita di una azienda, anche la più piccola Il costo Mbit delle connessioni internet asimmetriche sta scendendo continuamente Tutto il traffico generato al è ugualmente importante ( posta e https per esempio …) Se usiamo una HDSL ….vale la pena occupare la banda di una 2Mbit simmetrica con traffico http generico non rimunerativo ?? Bisogna cercare di ridurre al minimo le interazioni degli utenti con gli strumenti presenti in azienda

46 Fault tolerance LAN 192.168.1.0/24 Router Router
LAN IP / 24 WAN1 IP / 24 WAN1 Gateway WAN2 IP / 24 WAN2 Gateway Router IP address LAN /24 Router IP address IP Subnet mask Gateway

47 Fault tolerance 1 Prima di tutto bisogna configurare le interfacce wan1 e wan2 con i parametri necessari N.b. bisogna evitare che la macchina aggiunga la route di default in automatico

48 Fault tolerance 2 Nella main routing table aggiungiamo le rotte per l’interfacce wan1 e wan2. Il peso della rotta sull’interfaccia wan 1 deve essere superiore a quella della rotta per la wan2 ( come nell’esempio sottostante). Ricordiamoci di abilitare il monitoraggio della rotta come indicato nello screenshot . A nostra la scelta del metodo di monitoring

49 Fault tolerance 3 Per semplicità raggruppiamo le interfacce wan1 e wan2 in un’unica entità TUTTE le policy di sicurezza prevederanno la possibilità di accesso ad entrambe le interfacce. La segmentazione tra una interfaccia e l’altra verrà fatta dalle regole di routing

50 Fault tolerance 4 Sostituiamo quindi nelle policy che riguardano la comunicazione da lan verso l’interfaccia wan L’esempio mostra questa sostituzione nelle policy attive di default all’interno del firewall

51 Sappiamo leggere la routing table ?
Come leggere la routing table ? Nell’esempio precedente abbiamo messo mano alla routing table del firewall ma …… Sappiamo leggere la routing table ?

52 Come leggere la routing table ?
1 • Interface: L’interfaccia che deve essere indirizzata • Network: La rete che deve essere indirizzata • Gateway: Il gateway attraverso cui indirizzare i pacchetti • Local IP Address: L’indirizzo specificato verrà automaticamente reso pubblico su quella interfaccia. Verrà inoltre utilizzato per rispondere alle arp request. Se non è specificato alcun indirizzo verrà utilizzato l’indirizzo dell’interfaccia del firewall • Metric: Specifica la metrica della rotta

53 Come leggere la routing table ?
2 /24 B Router1 LAN: 1.1 E0 0.2 DST: DST: 1.2 E1 A /25 C /24 PC1: 1.5 G/W: 1.1 0.254 E Il PC1 invia un pacchetto all’indirizzo Router2 E1 2. Il PC1 invia un pacchetto all’indirizzo

54 LAN Pubblicazione di un server 192.168.1.0/24 FTP server
LAN IP / 24 WAN IP / 24 WAN Gateway FTP server VIRTUALE IP LAN /24 FTP server IP Subnet mask Gateway IP Subnet mask Gateway

55 Pubblicazione di un server
Utilizziamo come base di partenza la configurazione precedente Aggiungiamo gli oggetti necessari: ftpserver_ip  Ftpserver_public_ip  Aggiungiamo una voce statica nella tavola arp del firewall ( proxy arp ) Creiamo le regole necessaria al passaggio dei dati verso il server Sat ( Static address translation ) verso l’ip virtuale mappato sull’IP interno Allow da tutte le interfacce verso l’ip virtuale del servizio necessario Salviamo ed attiviamo i cambiamenti

56 Pubblicazione di un server
1 Aggiungiamo nell’address book: indirizzo del server FTP lato lan  indirizzo del server FTP lato wan  Ora creiamo una voce statica nella tavola arp del firewall in modo che risponda sull’interfaccia corretta (wan1) all’indirizzo “virtuale” da noi creato

57 Pubblicazione di un server
2 Creiamo una regola di filtraggio del traffico IP che associ staticamente ( SAT) all’IP pubblico virtuale l’IP privato interno alla rete del server Controlliamo che nel menu specifico per il SAT sia associato come “destination IP address” l’indirizzo IP interno del server

58 Pubblicazione di un server
3 Creiamo una ulteriore regola che permetta il passaggio ( Allow ) dei pacchetti da Sorgente tutte le reti o a vostra scelta un determinato indirizzo/range di IP Destinazione L’indirizzo IP “virtuale” da noi creato Salviamo i cambiamenti ed attiviamo la configurazione

59 Utilizzo delle VLAN Internet

60 Internet Utente Guest Utilizzo delle VLAN subnet 192.168.1.0/24
Internet Utente subnet /24 Guest subnet /24

61 Utilizzo delle VLAN 1 La Vlan verrà configurata come se fosse una interfaccia aggiuntiva della’apparato. Dobbiamo quindi aggiungere all’interno dell’Address Book gli indirizzi IP che saranno utilizzati da quella interfaccia “virtuale” . In questo esempio : indirizzo del “gateway” della vlan  Subnet utilizzata della vlan  /24

62 Utilizzo delle VLAN 2 Creiamo l’interfaccia “virtuale”
Specificando il Vlan ID prescelto E le regole che permettano la navigazione de quella interfaccia

63 Utilizzo delle VLAN 3 Salviamo i cambiamenti ed attiviamo la configurazione Se necessario e gradito è possibile abilitare il DHCP server anche sulla vlan. Per fare questo basta andare in System  DHCP  DHCP servers ed aggiungerlo indicando come Interface Filter l’interfaccia virtuale della VLAN creata Il passo successivo riguarda la configurazione dell’apparato esterno al firewall che dovrà gestire le Vlan e quindi …. Access Point MSSID con supporto Vlan Switch managed con supporto vlan 802.1q

64 Azienda multi sede

65 Da http://en.wikipedia.org/wiki/Virtual_private_network:
Scelta della VPN - definizione Da “A virtual private network (VPN) is a private communications network often used by companies or organizations, to communicate confidentially over a public network. VPN traffic can be carried over a public networking infrastructure on top of standard protocols, or over a service provider's private network. A VPN can send data (e.g., voice, data or video, or a combination of these media) across secured and/or encrypted private channels between two points.” Ricordiamoci anche che : Il termine VPN non è un marchio bensì un termine generico. Questo quindi non significa garanzia di interoperabilità e/o aderenza ad uno standard Cosa DEVE fornire una VPN ? Link “virtuale” tra due o più punti Cifratura dei dati Autenticazione degli utenti

66 Scelta della VPN IPSec PPTP L2TP (Layer 2 Tunnelling Protocol)
Secure VPN Encapsulating Security Payload (ESP): fornisce autenticazione, confidenzialità e controllo di integrità del messaggio Authentication Header (AH): garantisce l'autenticazione e l'integrità del messaggio ma non offre la confidenzialità Internet key exchange (IKE): implementa lo “scambio delle chiavi” per realizzare il flusso crittografato PPTP Criptazione dei dati Sviluppato da Microsoft, assicura autenticazione, criptazione e compressione dei dati. Generic Routing Encapsulation (GRE): GRE crea un collegamento point-to-point virtuale e questo è fatto in maniera che nessuno dei due punti si debba preoccupare dell’infrastruttura su cui passa la comunicazione L2TP (Layer 2 Tunnelling Protocol) Secure/Trusted VPN Standard IETF E’ un protocollo a livello 5 (session) che agisce però come un protocollo di livello 2 (data link) usando pacchetti UDP per incapsulare i pacchetti L2TP e per mantenere una connessione Point-to-Point. Deve essere associato ad un altro protocollo per implementare autenticazione, confidenzialità ed ntegrità dei dati (solitamente IPSec).

67 Internet Creare un VPn IPSec ( nella realtà) LAN LAN Router Router
Internet Router IP address Router IP address LAN IP / 24 WAN IP / 24 WAN Gateway LAN IP / 24 WAN IP / 24 WAN Gateway LAN /24 LAN /24 IP Subnet mask Gateway IP Subnet mask Gateway

68 Creare un VPn IPSec ( approssimazione locale …)
VPN LAN IP / 24 WAN IP / 24 WAN Gateway LAN IP / 24 WAN IP / 24 WAN Gateway LAN /24 LAN /24 IP Subnet mask Gateway IP Subnet mask Gateway

69 Creare un VPn IPSec ( approssimazione locale …)
1 Utilizziamo come base di partenza la configurazione precedente Aggiungiamo gli oggetti necessari: Vpn_remote_lannet  /24 Vpn_remote_ip  Aggiungiamo la chiave pre-condivisa ( psk – pre shared key) Se necessario scegliamo quali algoritmi utilizzare nella fase IKE ( o utilizziamo quelli preimpostati) Se necessario scegliamo quali algoritmi utilizzare nella fase IPSec ( o utilizziamo quelli preimpostati) Creiamo l’interfaccia “virtuale” tunnel IPSec Se non sono necessarie particolari regole di filtraggio dei pacchetti raggruppiamo le interface lan e VPN Permettiamo il passaggio di tutti i servizi ( o di quelli necessari ) su questo tunnel Salviamo e attiviamo i cambiamenti Creiamo una configurazione speculare sull’altro firewall Salviamo, attiviamo i cambiamenti Facciamo un “ ping test “

70 Creare un VPn IPSec ( approssimazione locale …)
2 Aggiungiamo gli oggetti necessari :

71 Creare un VPn IPSec ( approssimazione locale …)
3 Aggiungiamo l’interfaccia virtuale IPsec :

72 Creare un VPn IPSec ( approssimazione locale …)
4 Aggiungiamo l’interfaccia virtuale IPsec : selezionamo il metodo di autenticazione

73 Creare un VPn IPSec ( approssimazione locale …)
5 Ragguppiamo le interfacce Creiamo un policy che permetta il passaggio dati attraverso il tunnel creato

74 Fault tolerance su IPSec ( approssimazione locale …)
VPN LAN IP / 24 WAN1 IP / 24 WAN1 Gateway WAN2 IP / 24 WAN2 Gateway LAN IP / 24 WAN1 IP / 24 WAN1 Gateway WAN2 IP / 24 WAN2 Gateway / 24 LAN /24 LAN /24 IP Subnet mask Gateway IP Subnet mask Gateway

75 Fault tolerance su IPSec ( approssimazione locale …)
1 Utilizziamo come base di partenza la configurazione precedente e creiamo un tunnel utilizzando la seconda interfaccia del firewall Aggiungiamo quindi gli elementi necessari nell’address book : WAN2_ip WAN2_net WAN2_gw

76 Fault tolerance su IPSec ( approssimazione locale …)
2 Aggiungiamo la psk anche per il nuovo tunnel : Creiamo un nuovo tunnel ponendo attenzione a non permettere l’aggiunta automatica di rotte

77 Fault tolerance su IPSec
3 Abilitiamo il keep alive : Nella routing table aggiungiamo le rotte per i tunnel IPSec abilitanto il monitoring

78 Creiamo una VPN PPTP Internet PPTP /24 LAN /24

79 Creiamo una VPN PPTP Lo scopo della configurazione è creare un accesso “dial-up” semplice per utenti remoti Creiamo gli oggetti necessari ( n.b. non devono essere su una subnet utilizzata ) Creiamo il database locale degli utenti che potranno accedere via pptp Creiamo l’interfaccia virtuale PPTP Prepariamo le regole di autenticazione delgi utenti PPTP Permettiamo il traffico necessario dagli utenti PPTP verso la rete interessata …

80 Creiamo una VPN PPTP 1 Creiamo gli oggetti necessari alla configurazione del “server”

81 Creiamo una VPN PPTP 2 Creiamo un database per gli utenti che potranno usufruire della PPTP Aggiungiamo gli utenti …

82 Creiamo una VPN PPTP 3 Creiamo il tunnel VPN come indicato ….

83 Creiamo una VPN PPTP 4 Creiamo le regole per l’autenticazione degli utenti …

84 Creiamo una VPN PPTP 5 Infine creiamo una regola che permetta il traffico dalla “subnet” pptp verso la lan interna Salviamo ed attiviamo i cambiamenti

85 Load sharing LAN 192.168.1.0/24 Router Router LAN IP 192.168.1.1 / 24
LAN IP / 24 WAN1 IP / 24 WAN1 Gateway WAN2 IP / 24 WAN2 Gateway Router IP address LAN /24 Router IP address IP Subnet mask Gateway

86 Load sharing 1 Prima di tutto bisogna configurare le interfacce wan1 e wan2 con i parametri necessari N.b. bisogna evitare che la macchina aggiunga la route di default in automatico

87 Load sharing 2 Nella main routing table aggiungiamo le rotte per l’interfacce wan1 e wan2. Il peso della rotta sull’interfaccia wan 1 deve essere superiore a quella della rotta per la wan2 ( come nell’esempio sottostante). Ricordiamoci di abilitare il monitoraggio della rotta come indicato nello screenshot . A nostra la scelta del metodo di monitoring

88 Load sharing 3 Creiamo una seconda tabella di routing in cui inseriremo la route per la classe dell’interfaccia wan2, per la lan e le rotte per il gateway delle interfacce geografiche Il peso della rotta sull’interfaccia wan 2 deve essere superiore a quella della rotta per la wan1 ( come nell’esempio sottostante). Ricordiamoci di abilitare il monitoraggio della rotta come indicato nello screenshot . A nostra la scelta del metodo di monitoring

89 Load sharing 3 Creiamo ora una regola di routing ( PBR ) che instradi pacchetti verso la seconda tabella di routing che abbiamo preparato: Notiamo che l’interfaccia di destinazione è la wan1 ! La regola processerà tutti i pacchetti destinati a quell’interfaccia dalla main routing table e li instraderà verso la nuova tabella di routing da noi creata

90 Load sharing 4 Per semplicità raggruppiamo le interfacce wan1 e wan2 in un’unica entità TUTTE le policy di sicurezza prevederanno la possibilità di accesso ad entrambe le interfacce. La segmentazione tra una interfaccia e l’altra verrà fatta dalle regole di routing

91 Load sharing 4 Di seguito una immagine che mostra viene processato il traffico dal firewall

92 Firewall D-Link sinonimi di sicurezza
Grazie per l'attenzione ! Le soluzioni DFL per la sicurezza Milano 10 Febbraio 2009

93 Appendice A Codici prodotti firewall e accessori

94 Registrazione periferica2
Appendice B Diagramma uso licenze Maintenance Mode1 Registrazione periferica2 periodo validità abbonameto scaduto possibili azioni Periodo di prova 90 giorni (Advanced IPS) Ritorna in condizione “maintenance” servizio IPS “maintenance” rinnovare abbonamento IPS Firewall DFL-210/800/1600/2500 Nessun aggiornamento Acquista licenza valida 12 mesi (Advanced IPS) servizio WCF Periodo di prova 90 giorni IPS, AV, WCF Funzioni disabilitate rinnovare abbonamento Aggiornamento Marzo 2009 : allo stato attuale i firewall UTM vengono venduti con in bundle 1 anno di licenza IPS e 1 anno di licenza AV e’ comunque attivabile, prima dell’uso delle licenze annuali, un trial di 90 gg. Per licenza ( IPS / AV /WCF ) servizio IPS avanzato UTM Firewall DFL-260/860 (Optional) Package Bundled Acquista una licenza valida 12 mesi IPS, AV nessun agg. WCF disabilitato servizio Anti-Virus 1 Servizio IPS “maintenance” è un servizio incluso nel firewall 2 La registrazione del prodotto e’ necesaria per attivare le funzionalità 94 94

95 Appendice C 802.1q Port based VLAN

96 Appendice C 1 Le LAN estese, quando crescono troppo di dimensione, diventano fonte di problemi (sicurezza, traffico, colli di bottiglia, ecc ecc) Le VLAN, che sono delle LAN virtuali, sono state introdotte proprio per risolvere questi problemi. Infatti sono indipendenti dalla struttura fisica e possono suddividere la rete in più sotto reti logiche separate Le VLAN possono coprire un singolo Switch oppure l’intera LAN Le VLAN sono utilizzate anche nella realizzazione di rete di livello 3 che prevedono l’utilizzo di protocollo di Routing quali RIP, OSPF, ecc

97 Appendice C 2 Lo standard 802.1Q permette la creazione di VLAN (Virtual LAN) per porta. La VLAN può essere estesa ad altri Switch tramite il collegamento in uplink tra essi stessi, inserendo l’informazione di VLAN nel pacchetto dati inviato da uno Switch all’altro. Questa operazione è chiamata “TAG” del pacchetto Gli appartenenti ad ogni VLAN possono comunicare solo fra loro e condividere risorse presenti sui Server. Le porte di comunicazione fra le VLAN sono chiamate “porte di overlapping” Simmetriche > comunicazione Vlan tramite Routing Assimetriche > comunicazione Vlan direttamente tra le porta

98 Appendice C 3 Il gestore della rete può creare anche una VLAN di controllo/gestione che è in grado di accedere a tutte le VLAN operative. In uno Switch Layer3, ad ogni VLAN è possibile associare un indirizzo IP che diventa il default gateway di riferimento del gruppo. VLAN con differenti classi di indirizzi IP possono comunicare tra loro tramite Routing statico oppure protocolli di Routing dinamico quali RIP e OSPF

99 Appendice C 4