La presentazione è in caricamento. Aspetta per favore

La presentazione è in caricamento. Aspetta per favore

Firewall D-Link sinonimi di sicurezza Le soluzioni DFL per la sicurezza xxxxxxxxxx 31 Dicembre 1999.

Presentazioni simili


Presentazione sul tema: "Firewall D-Link sinonimi di sicurezza Le soluzioni DFL per la sicurezza xxxxxxxxxx 31 Dicembre 1999."— Transcript della presentazione:

1 Firewall D-Link sinonimi di sicurezza Le soluzioni DFL per la sicurezza xxxxxxxxxx 31 Dicembre 1999

2 Agenda Introduzione alla sicurezza delle reti: Cosa dobbiamo proteggere Contro chi dobbiamo proteggerci Aspetti legali relativi alla protezione dei dati Filosofia di progettazione di una rete sicura Scenari Applicativi: Ufficio base preparazione e progettazione di una rete per l'uso di un firewall configurazione per l'utilizzo di una singola connessione WAN (DHCP, IP statico o PPPoE) Gestione delle policy della sicurezza Vantaggi derivanti dall'uso di un firewall UTM in questo ambito Scenari Applicativi: Ufficio Avanzato Fault tolerance della connessione WAN Pubblicazione e protezione di un server (http/ftp o simili) Utilizzo delle VLAN Scenari Applicativi: Azienda multi sede Guida alla scelta della VPN corretta da implementare (IPSec, L2TP o PPTP) Gestioni accessi da remoto via VPN Creare un tunnel IPSec IPSec fault tolerance PPTP vpn Load Sharing

3 Firewall Cosa dobbiamo proteggere ? Integrità dei dati riservati nessuno deve riuscire ad alterare i dati sensibili Confidenzialità dei dati solo chi è autorizzato deve poter trattare i dati Sicurezza nella comunicazioni Funzionalità e disponibilità della struttura IT Duttilità delle infrastrutture

4 Firewall Da chi dobbiamo proteggerci ? Pericoli esterni hacker, cracker virus spam / phishing connessioni geografiche instabili sicurezza perimetrale Pericoli interni notebook / chiavi usb dipendenti spionaggio interno sicurezza perimetrale

5 Firewall Esistono gli Hacker ??

6 Firewall Esistono gli Hacker ??

7 Firewall Aspetti legali ….. D.P.S. ogni organizzazione che tratta dati personali (anche non sensibili) attraverso elaboratori elettronici è tenuta a compilarlo In generale è un documento di definizione delle strategie di sicurezza, e delle conseguenti policy che tutti i dipendenti, collaboratori, partner e fornitori devono adottare Il firewall non basta. Per quanto ben gestito non può proteggere da incidenti interni che esterni, deliberati o accidentali. La non osservanza ( dovuta non tanto a ispezioni del garante ma a banali incidenti) può causare il rischio di incorrere in sanzioni anche penali (e la responsabilità penale è personale) Problema p2p La questione delluso del software p2p è tuttora dibattuta in sede costituzionale: OdG ( Novembre 2008 ) la questione dell'obbligo di riservatezza dei dati rileva sempre più in termini di tutela dei diritti e delle libertà altrui, in particolare per il contrasto alla diffusione, tramite internet, di materiale protetto da diritto d'autore, il cui traffico illecito genera danni per centinaia di milioni di euro per autori e produttori Lo spamming È perseguibile tramite ricorso al garante della Privacy. Ogni rete non protetta può essere la base per uno spammer ……..

8 Firewall Filosofia di progettazione sicura It is easy to run a secure computer system. You merely have to disconnect all dial-up connections and permit only direct-wired terminals, put the machine and its terminals in a shielded room, and post a guard at the door. F.T. Grampp and R.H. Morris È credibile questo approccio ? Esiste una rete sicura ? Quanto dobbiamo essere sicuri ? Quanto siamo disposti a spendere ??

9 Firewall Difesa multilivello

10 NetDefend IPS / UTM Firewall Family SOHO Branch Office Small Business Medium Business Enterprise DFL-800 DFL-210 DFL-1600 DFL-2500 DFL-260 DFL-860 DFL-200 Firewall

11 Firewall 46 Mbps IPSec 15 Mbps Interfaccie 1WAN 4LAN 1DMZ Flash 128 MB RAM 32 MB Concurrent Sessions 3000 Policies 500 VPN Tunnel 80 SoHo DFL-200 Interfaccie & Performance Branch OfficeSmall Business Firewall 70 Mbps IPSec 45 Mbps Interfaccie 2 WAN 1 DMZ 7 LAN Flash 128 MB RAM 128 MB Concurrent Sessions Policies 1000 VPN Tunnel 300 DFL-800 Interfaccie & Performance Funzionalità avanzate Supporto 802.1q VLAN H.323/ SIP ALG IM / P2P Blocking Dual WAN per WAN Failover Outbound Traffic Load Balance Server Load Balance D-Link Switch Zone-Defense Firewall 80 Mbps IPSec 25 Mbps Interfaccie 1 WAN 4 LAN 1 DMZ (1 DMZ configurabile come WAN) Flash 128 MB RAM 64 MB Concurrent Sessions Policies 500 VPN Tunnel 100 DFL-210 Interfaccie & Performance Funzionalità avanzate Supporto 802.1q VLAN H.323/ SIP ALG IM / P2P Blocking Outbound Traffic Load Balance D-Link Switch Zone-Defense Firewall

12 Firewall 300 Mbps IPSec 120 Mbps Interfaccie 6 Gb Ethernet Flash 128 MB RAM 512 MB VPN Accelerator Cavium CN505 Concurrent Sessions 400,000 Policies 2500 VPN Tunnel 1200 Funzionalità avanzate Supporto 802.1q VLAN 6 porte Gb configurabili (LAN/WAN/DMZ) H.323/ SIP ALG IM / P2P Blocking Outbound Traffic Load Balance Server Load Balance D-Link Switch Zone-Defense High Availability DFL-1600 Interfacciee & Performance Funzionalità avanzate Supporto 802.1q VLAN 8 porte Gb configurabili (LAN/WAN/DMZ) H.323/ SIP ALG IM / P2P Blocking Outbound Traffic Load Balance Server Load Balance D-Link Switch Zone-Defense High Availability Medium BusinessEnterprise DFL-2500 Interfaccie & Performance Firewall 600 Mbps IPSec 210 Mbps Interfaccie 8 Gb Ethernet Flash 128 MB RAM 512 MB VPN Accelerator Cavium CN1010 Concurrent Sessions 1,000,000 Policies 4,000 VPN Tunnel 2,500 Firewall

13 Branch OfficeSmall Business Firewall 150 Mbps IPSec 60 Mbps Interfaccie 2 WAN 1 DMZ 7 LAN Concurrent Sessions Policies 1000 VPN Tunnel 300 AV througput 40 Mbs IPS throughput 40 Mbs DFL-860 Interfaccie & Performance Funzionalità avanzate Supporto 802.1q VLAN H.323/ SIP ALG IM / P2P Blocking Dual WAN per WAN Failover Outbound Traffic Load Balance Server Load Balance D-Link Switch Zone-Defense Firewall 80 Mbps IPSec 25 Mbps Interfaccie 1 WAN 4 LAN 1 DMZ (1 DMZ configurabile come WAN) Concurrent Sessions Policies 500 VPN Tunnel 100 AV throughput 20 Mbs IPS throughput 20 Mbs DFL-260 Interfaccie & Performance Funzionalità avanzate Supporto 802.1q VLAN H.323/ SIP ALG IM / P2P Blocking Outbound Traffic Load Balance D-Link Switch Zone-Defense Firewall

14 WAN LAN DMZ Console DFL-210 / DFL-260 Firewall

15 WAN1 WAN2 LAN DMZ Console DFL-800 / DFL-860 LED di stato Firewall

16 DFL-1600 LED di stato Pulsanti LAN1 DMZ Console LAN3 LAN2 CONFIGURAZIONE CONFIGURAZIONE DI DEFAULT La funzionalità logica delle porte LAN è riconfigurabile WAN2 WAN1 LCD screen Firewall

17 DFL-2500 WAN3WAN4 Console LAN3 LAN2 LAN1 DMZ WAN1WAN2 CONFIGURAZIONE CONFIGURAZIONE DI DEFAULT La funzionalità logica delle porte LAN è riconfigurabile LCD screen LED di stato Pulsanti Firewall

18 Ufficio base

19 LAN ROUTER Come deve essere la rete ? Dove inserire lAP ?

20 I cardini della configurazione 3 passaggi per creare la configurazione: Creare gli oggetti e verificarli Creare le regole (regole IP, regole IDS,regole di autenticazione utente o di bilanciamento tramite pipes) Creare e verificare le regole di routing

21 Firewall

22 Primo esempio – il minimo per navigare 0 IP Subnet mask Gateway LAN IP / 24 WAN IP / 24 WAN Gateway LAN /24

23 Configuriamo un indirizzo IP statico sul nostro PC del tipo x con x compreso tra 2 e 254 Apriamo il nostro browser internet e colleghiamoci alla seguente URL Verrà richiesta lautorizzazione di accesso alla pagina: Usare come login: admin come Password: admin Primo esempio – il minimo per navigare - wizard 1

24 Dopo un factory reset dell apparato si aprir à automaticamente il wizard di configurazione che guida l utente alla prima configurazione. Per proseguire clicchiamo su next N.b. bisogna permettere l apertura di finestre pop- up al browser. Se necessario cambiamo la password di amministrazione della macchina N.b. Si può mantenere la password di default che è admin Primo esempio – il minimo per navigare - wizard 2

25 Impostiamo l ora dell apparato Abilitiamo il periodo di spegnimento n.b. Non sottovalutiamo l importanza dell uso dell ora corretta in quanto questa verr à indicata nei file di log e risulter à pi ù semplice interpretarli. Selezioniamo l interfaccia per la connessione geografica ( wan1 nell esempio) Primo esempio – il minimo per navigare - wizard 3

26 Selezioniamo il tipo di configurazione per linterfaccia geografica. Per il mercato italiano solitamente : IP statico DHCP – ip assegnato automaticamente dal router / isp. Indirizzo ip, subnet, gateway e dns assegnati automaticamente PPPoE – usato con molti modem ADSL ethernet. Indirizzo ip, subnet, gateway e dns assegnati automaticamente Primo esempio – il minimo per navigare - wizard 4

27 Impostiamo i parametri dell interfaccia geografica Ricordiamoci di compilare TUTTI le voci richieste Per gli esempi successivi : IP address Network /24 Gateway E l indirizzo di due server DNS Primary Secondary Primo esempio – il minimo per navigare - wizard 5 Indirizzo IP statico

28 Impostiamo i parametri forniti dall ISP n.b. Il campo Service non è obbligatorio Primo esempio – il minimo per navigare - wizard 5 PPPoE DHCP ! In questo caso non verrà chiesta alcuna impostazione delle interfaccia !

29 Se necessario attiviamo il DHCP server con i parametri necessari Per gli esempi successivi : IP range Netmask Default gw DNS server Primo esempio – il minimo per navigare - wizard 6

30 Attiviamo (se necessario) il supporto per: server NTP esterni Syslog server Per concludere il wizard ed attivare la configurazione clicchiamo su ACTIVATE Dopo aver controllato le impostazioni dell interfaccia di rete del nostro PC ( attenzione al default gateway e server DNS !!! ) proviamo a fare un ping verso un server esterno per controllare che tutto funzioni correttamente Primo esempio – il minimo per navigare - wizard 7

31 D-Link firewall

32 Primo esempio – il minimo per navigare - manuale 0 Creiamo ( o editiamo ) gli oggetti necessari: lan_ip lannet /24 wan1_ip wannet /24 wan1_defaultgw_ip dnsserver1_ip dnsserver2_ip dhcpserver_range c_class_subnet Controlliamo la configurazione delle interfacce Controlliamo la tavola di routing N.B. Se non si segue il wizard di configurazione la default route NON è abilitata Controlliamo che i DNS siano impostato Controlliamo lorologio di sistema.. Se necessario abilitiamo il DHPC server

33 Inseriamo (o modifichiamo) nell Address Book gli oggetti necessari: lan_ip lannet /24 wan1_ip wannet /24 wan1_gw wan1_dns Wan1_dns DHCPserver_range c_class_subnet Primo esempio – il minimo per navigare - manuale 1

34 controlliamo le impostazioni delle interfacce ……. E le regole di filtraggio dei pacchetti Primo esempio – il minimo per navigare - manuale 2

35 Infine controlliamo che sia stata aggiunta la default route per instradare il traffico dall interfaccia geografica verso il router Dopo aver controllato le impostazioni dell interfaccia di rete del nostro PC ( attenzione al default gateway e server DNS !!! ) proviamo a fare un ping verso un server esterno per controllare che tutto funzioni correttamente Primo esempio – il minimo per navigare - manuale 3

36 Gestione delle policy Piccolo ufficio … File Server Server AD Mail server ( x esempio Windows SBS 2003 ) Stampante di rete PC utenti Perché lasciare anche alla stampante laccesso ad Internet ? Se cè un server di posta interno perché lasciare laccesso pop3/imap e smtp a i client ??

37 Gestione delle policy 1 Prima di tutto bisogna : DISABILTARE LA POLICY ALLOW STANDARD Analizzare le necessità dellazienda e creare di conseguenza le policy di nat. Per esempio se si usa soltanto :http ftp Tutti devono/ possono navigare in internet ? Possono farlo sempre ?

38 Gestione delle policy 2 Laccesso ad internet serve sempre ? Lazienda è attiva nei weekend ? Lavora anche la notte ?? In caso di necessità particolari creiamo il nostro scheduling

39 Gestione delle policy 3 Laccesso ad internet serve sempre ?

40 Vantaggi firewall UTM IDS Antivirus Web Content Filtering Trojan Virus Worm Hacker Gambling Pornography Malicious Sport NetDefend UTM Firewall DFL-260 DFL-860 IDS / Antivirus / Web Content Filtering Firewall

41 Vantaggi firewall UTM 1 Come attivare lantivirus : Se necessario modificare o aggiungere un ALG nella lista sottostante (HTTP ALG, FTP ALG or SMTP ALG ) Ricordarsi di selezionare Audit ( solo logging ) o Protect allinterno dellalg

42 Vantaggi firewall UTM 2 Come attivare lantivirus : Aggiungiamo un regola attraverso cui far passare il traffico http ( per esempio ) in modo che venga controllato dallantivirus Alla voce service selezioniamo lalg che abbiamo precedentemente creato Per le interfacce è ragionevole selezionare anche any

43 Vantaggi firewall UTM 3 Come attivare lantivirus : Spostiamo la regola appena creata prima di qualunque altra ( o comunque prima di qualunque regola che tratti lo stesso protocollo ) Salviamo ed attiviamo i cambiamenti

44 Ufficio avanzato

45 Fault tolerance Perché una doppia WAN su prodotti per il mercato Small business ?? La connettività ad internet sta diventando FONDAMENTALE per la vita di una azienda, anche la più piccola Il costo Mbit delle connessioni internet asimmetriche sta scendendo continuamente Tutto il traffico generato al è ugualmente importante ( posta e https per esempio …) Se usiamo una HDSL ….vale la pena occupare la banda di una 2Mbit simmetrica con traffico http generico non rimunerativo ?? Bisogna cercare di ridurre al minimo le interazioni degli utenti con gli strumenti presenti in azienda

46 LAN /24 IP Subnet mask Gateway LAN IP / 24 WAN1 IP / 24 WAN1 Gateway WAN2 IP / 24 WAN2 Gateway Router IP address Router IP address Fault tolerance 0

47 1 N.b. bisogna evitare che la macchina aggiunga la route di default in automatico Prima di tutto bisogna configurare le interfacce wan1 e wan2 con i parametri necessari

48 Fault tolerance 2 Nella main routing table aggiungiamo le rotte per linterfacce wan1 e wan2. Il peso della rotta sullinterfaccia wan 1 deve essere superiore a quella della rotta per la wan2 ( come nellesempio sottostante). Ricordiamoci di abilitare il monitoraggio della rotta come indicato nello screenshot. A nostra la scelta del metodo di monitoring

49 Fault tolerance 3 Per semplicità raggruppiamo le interfacce wan1 e wan2 in ununica entità TUTTE le policy di sicurezza prevederanno la possibilità di accesso ad entrambe le interfacce. La segmentazione tra una interfaccia e laltra verrà fatta dalle regole di routing

50 Fault tolerance 4 Sostituiamo quindi nelle policy che riguardano la comunicazione da lan verso linterfaccia wan Lesempio mostra questa sostituzione nelle policy attive di default allinterno del firewall

51 Come leggere la routing table ? 0 Nellesempio precedente abbiamo messo mano alla routing table del firewall ma …… Sappiamo leggere la routing table ?

52 Come leggere la routing table ? 1 Interface: Linterfaccia che deve essere indirizzata Network: La rete che deve essere indirizzata Gateway: Il gateway attraverso cui indirizzare i pacchetti Local IP Address: Lindirizzo specificato verrà automaticamente reso pubblico su quella interfaccia. Verrà inoltre utilizzato per rispondere alle arp request. Se non è specificato alcun indirizzo verrà utilizzato lindirizzo dellinterfaccia del firewall Metric: Specifica la metrica della rotta

53 LAN: 1.1 PC1: 1.5 G/W: 1.1 Router2 Router1 E E /24 1.Il PC1 invia un pacchetto allindirizzo Il PC1 invia un pacchetto allindirizzo A /25 C DST: DST: E /24 B Come leggere la routing table ? 2

54 Pubblicazione di un server 0 LAN /24 IP Subnet mask Gateway LAN IP / 24 WAN IP / 24 WAN Gateway IP Subnet mask Gateway FTP server FTP server VIRTUALE IP

55 Pubblicazione di un server 0 Utilizziamo come base di partenza la configurazione precedente Aggiungiamo gli oggetti necessari: ftpserver_ip Ftpserver_public_ip Aggiungiamo una voce statica nella tavola arp del firewall ( proxy arp ) Creiamo le regole necessaria al passaggio dei dati verso il server Sat ( Static address translation ) verso lip virtuale mappato sullIP interno Allow da tutte le interfacce verso lip virtuale del servizio necessario Salviamo ed attiviamo i cambiamenti

56 Aggiungiamo nell address book: indirizzo del server FTP lato lan indirizzo del server FTP lato wan Ora creiamo una voce statica nella tavola arp del firewall in modo che risponda sull interfaccia corretta (wan1) all indirizzo virtuale da noi creato Pubblicazione di un server 1

57 Creiamo una regola di filtraggio del traffico IP che associ staticamente ( SAT) all IP pubblico virtuale l IP privato interno alla rete del server Controlliamo che nel menu specifico per il SAT sia associato come destination IP address l indirizzo IP interno del server Pubblicazione di un server 2

58 Creiamo una ulteriore regola che permetta il passaggio ( Allow ) dei pacchetti da Sorgente tutte le reti o a vostra scelta un determinato indirizzo/range di IP Destinazione L indirizzo IP virtuale da noi creato Salviamo i cambiamenti ed attiviamo la configurazione Pubblicazione di un server 3

59 Utilizzo delle VLAN 0

60 0 Guest subnet /24 Utente subnet /24

61 Utilizzo delle VLAN 1 La Vlan verrà configurata come se fosse una interfaccia aggiuntiva dellaapparato. Dobbiamo quindi aggiungere allinterno dellAddress Book gli indirizzi IP che saranno utilizzati da quella interfaccia virtuale. In questo esempio : indirizzo del gateway della vlan Subnet utilizzata della vlan /24

62 Utilizzo delle VLAN 2 Creiamo linterfaccia virtuale Specificando il Vlan ID prescelto E le regole che permettano la navigazione de quella interfaccia

63 Utilizzo delle VLAN 3 Salviamo i cambiamenti ed attiviamo la configurazione Il passo successivo riguarda la configurazione dellapparato esterno al firewall che dovrà gestire le Vlan e quindi …. Access Point MSSID con supporto Vlan Switch managed con supporto vlan 802.1q Se necessario e gradito è possibile abilitare il DHCP server anche sulla vlan. Per fare questo basta andare in System DHCP DHCP servers ed aggiungerlo indicando come Interface Filter linterfaccia virtuale della VLAN creata

64 Azienda multi sede

65 Scelta della VPN - definizione Da :http://en.wikipedia.org/wiki/Virtual_private_network A virtual private network (VPN) is a private communications network often used by companies or organizations, to communicate confidentially over a public network. VPN traffic can be carried over a public networking infrastructure on top of standard protocols, or over a service provider's private network. A VPN can send data (e.g., voice, data or video, or a combination of these media) across secured and/or encrypted private channels between two points. Ricordiamoci anche che : Il termine VPN non è un marchio bens ì un termine generico. Questo quindi non significa garanzia di interoperabilit à e/o aderenza ad uno standard Cosa DEVE fornire una VPN ? Link virtuale tra due o più punti Cifratura dei dati Autenticazione degli utenti

66 Scelta della VPN IPSec Secure VPN Encapsulating Security Payload (ESP): fornisce autenticazione, confidenzialit à e controllo di integrit à del messaggio Authentication Header (AH): garantisce l'autenticazione e l'integrit à del messaggio ma non offre la confidenzialit à Internet key exchange (IKE): implementa lo scambio delle chiavi per realizzare il flusso crittografato PPTP Secure VPN Criptazione dei dati Sviluppato da Microsoft, assicura autenticazione, criptazione e compressione dei dati. Generic Routing Encapsulation (GRE): GRE crea un collegamento point-to-point virtuale e questo è fatto in maniera che nessuno dei due punti si debba preoccupare dell infrastruttura su cui passa la comunicazione L2TP (Layer 2 Tunnelling Protocol) Secure/Trusted VPN Standard IETF E un protocollo a livello 5 (session) che agisce però come un protocollo di livello 2 (data link) usando pacchetti UDP per incapsulare i pacchetti L2TP e per mantenere una connessione Point-to- Point. Deve essere associato ad un altro protocollo per implementare autenticazione, confidenzialit à ed ntegrit à dei dati (solitamente IPSec).

67 LAN /24 IP Subnet mask Gateway LAN IP / 24 WAN IP / 24 WAN Gateway Router IP address LAN /24 IP Subnet mask Gateway Router IP address LAN IP / 24 WAN IP / 24 WAN Gateway Creare un VPn IPSec ( nella realtà) 0

68 LAN /24 IP Subnet mask Gateway LAN IP / 24 WAN IP / 24 WAN Gateway LAN /24 IP Subnet mask Gateway LAN IP / 24 WAN IP / 24 WAN Gateway VPN Creare un VPn IPSec ( approssimazione locale …) 0

69 Utilizziamo come base di partenza la configurazione precedente Aggiungiamo gli oggetti necessari: Vpn_remote_lannet /24 Vpn_remote_ip Aggiungiamo la chiave pre-condivisa ( psk – pre shared key) Se necessario scegliamo quali algoritmi utilizzare nella fase IKE ( o utilizziamo quelli preimpostati) Se necessario scegliamo quali algoritmi utilizzare nella fase IPSec ( o utilizziamo quelli preimpostati) Creiamo linterfaccia virtuale tunnel IPSec Se non sono necessarie particolari regole di filtraggio dei pacchetti raggruppiamo le interface lan e VPN Permettiamo il passaggio di tutti i servizi ( o di quelli necessari ) su questo tunnel Salviamo e attiviamo i cambiamenti Creiamo una configurazione speculare sullaltro firewall Salviamo, attiviamo i cambiamenti Facciamo un ping test Creare un VPn IPSec ( approssimazione locale …) 1

70 2 Aggiungiamo gli oggetti necessari :

71 Creare un VPn IPSec ( approssimazione locale …) 3 Aggiungiamo linterfaccia virtuale IPsec :

72 Creare un VPn IPSec ( approssimazione locale …) 4 Aggiungiamo linterfaccia virtuale IPsec : selezionamo il metodo di autenticazione

73 Creare un VPn IPSec ( approssimazione locale …) 5 Ragguppiamo le interfacce Creiamo un policy che permetta il passaggio dati attraverso il tunnel creato

74 Fault tolerance su IPSec ( approssimazione locale …) LAN /24 IP Subnet mask Gateway LAN IP / 24 WAN1 IP / 24 WAN1 Gateway WAN2 IP / 24 WAN2 Gateway IP Subnet mask Gateway LAN IP / 24 WAN1 IP / 24 WAN1 Gateway WAN2 IP / 24 WAN2 Gateway / 24 VPN LAN /24

75 Fault tolerance su IPSec ( approssimazione locale …) Utilizziamo come base di partenza la configurazione precedente e creiamo un tunnel utilizzando la seconda interfaccia del firewall Aggiungiamo quindi gli elementi necessari nelladdress book : WAN2_ip WAN2_net WAN2_gw 1

76 Fault tolerance su IPSec ( approssimazione locale …) Aggiungiamo la psk anche per il nuovo tunnel : Creiamo un nuovo tunnel ponendo attenzione a non permettere laggiunta automatica di rotte 2

77 Fault tolerance su IPSec Abilitiamo il keep alive : Nella routing table aggiungiamo le rotte per i tunnel IPSec abilitanto il monitoring 3

78 PPTP /24 LAN /24 Creiamo una VPN PPTP

79 0 Lo scopo della configurazione è creare un accesso dial-up semplice per utenti remoti Creiamo gli oggetti necessari ( n.b. non devono essere su una subnet utilizzata ) Creiamo il database locale degli utenti che potranno accedere via pptp Creiamo linterfaccia virtuale PPTP Prepariamo le regole di autenticazione delgi utenti PPTP Permettiamo il traffico necessario dagli utenti PPTP verso la rete interessata …

80 Creiamo una VPN PPTP 1 Creiamo gli oggetti necessari alla configurazione del server

81 Creiamo una VPN PPTP 2 Creiamo un database per gli utenti che potranno usufruire della PPTP Aggiungiamo gli utenti …

82 Creiamo una VPN PPTP 3 Creiamo il tunnel VPN come indicato ….

83 Creiamo una VPN PPTP 4 Creiamo le regole per lautenticazione degli utenti …

84 Creiamo una VPN PPTP 5 Infine creiamo una regola che permetta il traffico dalla subnet pptp verso la lan interna Salviamo ed attiviamo i cambiamenti

85 LAN /24 IP Subnet mask Gateway LAN IP / 24 WAN1 IP / 24 WAN1 Gateway WAN2 IP / 24 WAN2 Gateway Router IP address Router IP address Load sharing 0 0

86 N.b. bisogna evitare che la macchina aggiunga la route di default in automatico Prima di tutto bisogna configurare le interfacce wan1 e wan2 con i parametri necessari Load sharing 1

87 Nella main routing table aggiungiamo le rotte per linterfacce wan1 e wan2. Il peso della rotta sullinterfaccia wan 1 deve essere superiore a quella della rotta per la wan2 ( come nellesempio sottostante). Ricordiamoci di abilitare il monitoraggio della rotta come indicato nello screenshot. A nostra la scelta del metodo di monitoring Load sharing 2

88 Creiamo una seconda tabella di routing in cui inseriremo la route per la classe dellinterfaccia wan2, per la lan e le rotte per il gateway delle interfacce geografiche Il peso della rotta sullinterfaccia wan 2 deve essere superiore a quella della rotta per la wan1 ( come nellesempio sottostante). Ricordiamoci di abilitare il monitoraggio della rotta come indicato nello screenshot. A nostra la scelta del metodo di monitoring Load sharing 3

89 Creiamo ora una regola di routing ( PBR ) che instradi pacchetti verso la seconda tabella di routing che abbiamo preparato: Notiamo che linterfaccia di destinazione è la wan1 ! La regola processerà tutti i pacchetti destinati a quellinterfaccia dalla main routing table e li instraderà verso la nuova tabella di routing da noi creata Load sharing 3

90 Per semplicità raggruppiamo le interfacce wan1 e wan2 in ununica entità TUTTE le policy di sicurezza prevederanno la possibilità di accesso ad entrambe le interfacce. La segmentazione tra una interfaccia e laltra verrà fatta dalle regole di routing Load sharing 4

91 4 Di seguito una immagine che mostra viene processato il traffico dal firewall

92 Firewall D-Link sinonimi di sicurezza Le soluzioni DFL per la sicurezza Milano 10 Febbraio 2009

93 Codici prodotti firewall e accessori Appendice A

94 Diagramma uso licenze IPS Firewall DFL-210/800/1600/2500 UTM Firewall DFL-260/860 Maintenance Mode 1 Registrazione periferica 2 periodo validità abbonameto scaduto possibili azioni Periodo di prova 90 giorni (Advanced IPS) Acquista licenza valida 12 mesi (Advanced IPS) Periodo di prova 90 giorni Ritorna in condizione maintenance Nessun aggiornamento IPS, AV, WCF Funzioni disabilitate IPS, AV nessun agg. WCF disabilitato servizio IPS maintenance servizio IPS avanzato servizio Anti-Virus servizio WCF Package Bundled 1 Servizio IPS maintenance è un servizio incluso nel firewall 2 La registrazione del prodotto e necesaria per attivare le funzionalità Acquista una licenza valida 12 mesi rinnovare abbonamento rinnovare abbonamento (Optional) Appendice B

95 Appendice C 0

96 Le LAN estese, quando crescono troppo di dimensione, diventano fonte di problemi (sicurezza, traffico, colli di bottiglia, ecc ecc) Le VLAN, che sono delle LAN virtuali, sono state introdotte proprio per risolvere questi problemi. Infatti sono indipendenti dalla struttura fisica e possono suddividere la rete in più sotto reti logiche separate Le VLAN possono coprire un singolo Switch oppure lintera LAN Le VLAN sono utilizzate anche nella realizzazione di rete di livello 3 che prevedono lutilizzo di protocollo di Routing quali RIP, OSPF, ecc Appendice C 1

97 Lo standard 802.1Q permette la creazione di VLAN (Virtual LAN) per porta. La VLAN può essere estesa ad altri Switch tramite il collegamento in uplink tra essi stessi, inserendo linformazione di VLAN nel pacchetto dati inviato da uno Switch allaltro. Questa operazione è chiamata TAG del pacchetto Gli appartenenti ad ogni VLAN possono comunicare solo fra loro e condividere risorse presenti sui Server. Le porte di comunicazione fra le VLAN sono chiamate porte di overlapping Simmetriche > comunicazione Vlan tramite Routing Assimetriche > comunicazione Vlan direttamente tra le porta Appendice C 2

98 Il gestore della rete può creare anche una VLAN di controllo/gestione che è in grado di accedere a tutte le VLAN operative. In uno Switch Layer3, ad ogni VLAN è possibile associare un indirizzo IP che diventa il default gateway di riferimento del gruppo. VLAN con differenti classi di indirizzi IP possono comunicare tra loro tramite Routing statico oppure protocolli di Routing dinamico quali RIP e OSPF Appendice C 3

99 4


Scaricare ppt "Firewall D-Link sinonimi di sicurezza Le soluzioni DFL per la sicurezza xxxxxxxxxx 31 Dicembre 1999."

Presentazioni simili


Annunci Google