Firewall D-Link sinonimi di sicurezza Le soluzioni DFL per la sicurezza xxxxxxxxxx 31 Dicembre 1999

Agenda Introduzione alla sicurezza delle reti: Cosa dobbiamo proteggere Contro chi dobbiamo proteggerci Aspetti legali relativi alla protezione dei dati Filosofia di progettazione di una rete sicura Scenari Applicativi: Ufficio base preparazione e progettazione di una rete per l'uso di un firewall configurazione per l'utilizzo di una singola connessione WAN (DHCP, IP statico o PPPoE) Gestione delle policy della sicurezza Vantaggi derivanti dall'uso di un firewall UTM in questo ambito Scenari Applicativi: Ufficio Avanzato Fault tolerance della connessione WAN Pubblicazione e protezione di un server (http/ftp o simili) Utilizzo delle VLAN Scenari Applicativi: Azienda multi sede Guida alla scelta della VPN corretta da implementare (IPSec, L2TP o PPTP) Gestioni accessi da remoto via VPN Creare un tunnel IPSec IPSec fault tolerance PPTP vpn Load Sharing

Cosa dobbiamo proteggere ? Firewall Cosa dobbiamo proteggere ? Integrità dei dati riservati nessuno deve riuscire ad alterare i dati sensibili Confidenzialità dei dati solo chi è autorizzato deve poter trattare i dati Sicurezza nella comunicazioni Funzionalità e disponibilità della struttura IT Duttilità delle infrastrutture

Firewall Da chi dobbiamo proteggerci ? Pericoli “esterni” hacker, cracker virus spam / phishing connessioni geografiche instabili sicurezza perimetrale Pericoli “interni” notebook / chiavi usb dipendenti spionaggio interno

Firewall Esistono gli Hacker ?? http://www.corriere.it/esteri/08_agosto_11/russia_georgia_guerra_online_f94db8ca-67a3-11dd-a385-00144f02aabc.shtml

Firewall Esistono gli Hacker ?? http://archiviostorico.corriere.it/2007/maggio/18/Mosca_attacco_informatico_all_Estonia_co_9_070518112.shtml

Firewall Aspetti legali ….. D.P.S. ogni organizzazione che tratta dati personali (anche non sensibili) attraverso elaboratori elettronici è tenuta a compilarlo In generale è un documento di definizione delle strategie di sicurezza, e delle conseguenti policy che tutti i dipendenti, collaboratori, partner e fornitori devono adottare Il firewall non basta. Per quanto ben gestito non può proteggere da incidenti interni che esterni, deliberati o accidentali. La non osservanza ( dovuta non tanto a ispezioni del garante ma a banali incidenti) può causare il rischio di incorrere in sanzioni anche penali (e la responsabilità penale è personale) Problema p2p La questione dell’uso del software p2p è tuttora dibattuta in sede costituzionale: OdG ( Novembre 2008 ) “la questione dell'obbligo di riservatezza dei dati rileva sempre più in termini di tutela dei diritti e delle libertà altrui, in particolare per il contrasto alla diffusione, tramite internet, di materiale protetto da diritto d'autore, il cui traffico illecito genera danni per centinaia di milioni di euro per autori e produttori” Lo spamming È perseguibile tramite ricorso al garante della Privacy. Ogni rete non protetta può essere la base per uno spammer ……..

Firewall Filosofia di progettazione “sicura” “It is easy to run a secure computer system. You merely have to disconnect all dial-up connections and permit only direct-wired terminals, put the machine and its terminals in a shielded room, and post a guard at the door.” F.T. Grampp and R.H. Morris È credibile questo approccio ? Esiste una rete sicura ? Quanto dobbiamo essere sicuri ? Quanto siamo disposti a spendere ??

Firewall Difesa multilivello

NetDefend IPS / UTM Firewall Family SOHO Branch Office Small Business Medium Business Enterprise DFL-800 DFL-2500 DFL-210 DFL-1600 DFL-200 DFL-860 DFL-260

Firewall SoHo Branch Office Small Business DFL-200 DFL-800 DFL-210 Firewall 70 Mbps IPSec 45 Mbps Interfaccie 2 WAN 1 DMZ 7 LAN Flash 128 MB RAM 128 MB Concurrent Sessions 25000 Policies 1000 VPN Tunnel 300 DFL-800 Interfaccie & Performance Funzionalità avanzate Supporto 802.1q VLAN H.323/ SIP ALG IM / P2P Blocking Dual WAN per WAN Failover Outbound Traffic Load Balance Server Load Balance D-Link Switch Zone-Defense Firewall 80 Mbps IPSec 25 Mbps Interfaccie 1 WAN 4 LAN 1 DMZ (1 DMZ configurabile come WAN) RAM 64 MB Concurrent Sessions 12000 Policies 500 VPN Tunnel 100 DFL-210 Firewall 46 Mbps IPSec 15 Mbps Interfaccie 1WAN 4LAN 1DMZ Flash 128 MB RAM 32 MB Concurrent Sessions 3000 Policies 500 VPN Tunnel 80 Interfaccie & Performance

Firewall Funzionalità avanzate DFL-1600 Interfacciee & Performance Firewall 300 Mbps IPSec 120 Mbps Interfaccie 6 Gb Ethernet Flash 128 MB RAM 512 MB VPN Accelerator Cavium CN505 Concurrent Sessions 400,000 Policies 2500 VPN Tunnel 1200 Funzionalità avanzate Supporto 802.1q VLAN 6 porte Gb configurabili (LAN/WAN/DMZ) H.323/ SIP ALG IM / P2P Blocking Outbound Traffic Load Balance Server Load Balance D-Link Switch Zone-Defense High Availability DFL-1600 Interfacciee & Performance 8 porte Gb configurabili (LAN/WAN/DMZ) Medium Business Enterprise DFL-2500 Interfaccie & Performance Firewall 600 Mbps IPSec 210 Mbps Interfaccie 8 Gb Ethernet Flash 128 MB RAM 512 MB VPN Accelerator Cavium CN1010 Concurrent Sessions 1,000,000 Policies 4,000 VPN Tunnel 2,500 12

Firewall Branch Office Small Business DFL-260 DFL-860 Interfaccie & Performance DFL-860 Firewall 80 Mbps IPSec 25 Mbps Interfaccie 1 WAN 4 LAN 1 DMZ (1 DMZ configurabile come WAN) Concurrent Sessions 12000 Policies 500 VPN Tunnel 100 AV throughput 20 Mbs IPS throughput 20 Mbs Firewall 150 Mbps IPSec 60 Mbps Interfaccie 2 WAN 1 DMZ 7 LAN Concurrent Sessions 25000 Policies 1000 VPN Tunnel 300 AV througput 40 Mbs IPS throughput 40 Mbs Interfaccie & Performance Funzionalità avanzate Supporto 802.1q VLAN H.323/ SIP ALG IM / P2P Blocking Dual WAN per WAN Failover Outbound Traffic Load Balance Server Load Balance D-Link Switch Zone-Defense Supporto 802.1q VLAN H.323/ SIP ALG IM / P2P Blocking Outbound Traffic Load Balance D-Link Switch Zone-Defense Funzionalità avanzate

Firewall DFL-210 / DFL-260 Console LAN WAN DMZ

Firewall DFL-800 / DFL-860 Console LED di stato WAN1 LAN WAN2 DMZ

DFL-1600 Firewall CONFIGURAZIONE DI DEFAULT La funzionalità logica delle porte LAN è riconfigurabile Console LAN3 LAN2 LAN1 LCD screen DMZ LED di stato WAN2 Pulsanti WAN1

DFL-2500 Firewall CONFIGURAZIONE DI DEFAULT La funzionalità logica delle porte LAN è riconfigurabile Console Pulsanti LED di stato LAN3 LAN2 LCD screen LAN1 DMZ WAN1 WAN2 WAN3 WAN4

Ufficio base

Ufficio base Internet Come deve essere la rete ? LAN ROUTER Internet LAN Dove inserire l’AP ?

I cardini della configurazione 3 passaggi per creare la configurazione: Creare gli oggetti e verificarli Creare le regole (regole IP, regole IDS ,regole di autenticazione utente o di bilanciamento tramite pipes) Creare e verificare le regole di routing

Firewall Il minimo per navigare WIZARD

Primo esempio – il minimo per navigare IP 192.168.1.10 Subnet mask 255.255.255.0 Gateway 192.168.1.1 LAN IP 192.168.1.1 / 24 WAN IP 192.168.5.2 / 24 WAN Gateway 192.168.5.1 LAN 192.168.1.0/24

Primo esempio – il minimo per navigare - wizard 1 Configuriamo un indirizzo IP statico sul nostro PC del tipo 192.168.1.x con x compreso tra 2 e 254 Apriamo il nostro browser internet e colleghiamoci alla seguente URL Verrà richiesta l’autorizzazione di accesso alla pagina: Usare come login: admin come Password: admin

Primo esempio – il minimo per navigare - wizard 2 Dopo un factory reset dell’apparato si aprirà automaticamente il wizard di configurazione che guida l’utente alla prima configurazione. Per proseguire clicchiamo su “next” N.b. bisogna permettere l’apertura di finestre pop-up al browser. Se necessario cambiamo la password di amministrazione della macchina N.b. Si può mantenere la password di default che è admin

Primo esempio – il minimo per navigare - wizard 3 Impostiamo l’ora dell’apparato Abilitiamo il periodo di spegnimento n.b. Non sottovalutiamo l’importanza dell’uso dell’ora corretta in quanto questa verrà indicata nei file di log e risulterà più semplice interpretarli. Selezioniamo l’interfaccia per la connessione geografica ( wan1 nell’esempio)

Primo esempio – il minimo per navigare - wizard 4 Selezioniamo il tipo di configurazione per l’interfaccia geografica. Per il mercato italiano solitamente : IP statico DHCP – ip assegnato automaticamente dal router / isp. Indirizzo ip, subnet, gateway e dns assegnati automaticamente PPPoE – usato con molti modem ADSL ethernet. Indirizzo ip, subnet, gateway e dns assegnati automaticamente

Primo esempio – il minimo per navigare - wizard 5 Indirizzo IP statico Impostiamo i parametri dell’interfaccia geografica Ricordiamoci di compilare TUTTI le voci richieste Per gli esempi successivi : IP address 192.168.5.2 Network 192.168.5.0/24 Gateway 192.168.5.1 E l’indirizzo di due server DNS Primary 212.216.112.112 Secondary 212.216.172.62

Primo esempio – il minimo per navigare - wizard 5 PPPoE Impostiamo i parametri forniti dall’ISP n.b. Il campo Service non è obbligatorio DHCP ! In questo caso non verrà chiesta alcuna impostazione delle interfaccia !

Primo esempio – il minimo per navigare - wizard 6 Se necessario attiviamo il DHCP server con i parametri necessari Per gli esempi successivi : IP range 192.168.1.100-192.168.1.150 Netmask 255.255.255.0 Default gw 192.168.1.1 DNS server 212.216.112.112

Primo esempio – il minimo per navigare - wizard 7 Attiviamo (se necessario) il supporto per: server NTP esterni Syslog server Per concludere il wizard ed attivare la configurazione clicchiamo su ACTIVATE Dopo aver controllato le impostazioni dell’interfaccia di rete del nostro PC ( attenzione al default gateway e server DNS !!! ) proviamo a fare un ping verso un server esterno per controllare che tutto funzioni correttamente

configurazione "manuale" D-Link firewall Il minimo per navigare configurazione "manuale"

Primo esempio – il minimo per navigare - manuale Creiamo ( o editiamo ) gli oggetti necessari: lan_ip  192.168.1.1 lannet  192.168.1.0/24 wan1_ip  192.168.5.2 wannet  192.168.5.0/24 wan1_defaultgw_ip  192.168.5.1 dnsserver1_ip  212.216.112.112 dnsserver2_ip  212.216.172.62 dhcpserver_range  192.168.1.100-192.168.1.150 c_class_subnet  255.255.255.0 Controlliamo la configurazione delle interfacce Controlliamo la tavola di routing N.B. Se non si segue il wizard di configurazione la default route NON è abilitata Controlliamo che i DNS siano impostato Controlliamo l’orologio di sistema .. Se necessario abilitiamo il DHPC server

Primo esempio – il minimo per navigare - manuale 1 Inseriamo (o modifichiamo) nell’Address Book gli oggetti necessari: lan_ip  192.168.1.1 lannet  192.168.1.0/24 wan1_ip  192.168.5.2 wannet  192.168.5.0/24 wan1_gw  192.168.5.1 wan1_dns1  212.216.112.112 Wan1_dns2  212.216.172.62 DHCPserver_range  192.168.1.100-192.168.1.150 c_class_subnet  255.255.255.0

Primo esempio – il minimo per navigare - manuale 2 controlliamo le impostazioni delle interfacce ……. E le regole di filtraggio dei pacchetti

Primo esempio – il minimo per navigare - manuale 3 Infine controlliamo che sia stata aggiunta la default route per instradare il traffico dall’interfaccia geografica verso il router Dopo aver controllato le impostazioni dell’interfaccia di rete del nostro PC ( attenzione al default gateway e server DNS !!! ) proviamo a fare un ping verso un server esterno per controllare che tutto funzioni correttamente

Internet Gestione delle policy Piccolo ufficio … File Server Server AD Mail server ( x esempio Windows SBS 2003 ) Internet Se c’è un server di posta interno perché lasciare l’accesso pop3/imap e smtp a i client ?? PC utenti Perché lasciare anche alla stampante l’accesso ad Internet ? Stampante di rete

Prima di tutto bisogna : Gestione delle policy 1 Prima di tutto bisogna : DISABILTARE LA POLICY “ ALLOW STANDARD” Analizzare le necessità dell’azienda e creare di conseguenza le policy di nat . Per esempio se si usa soltanto : http ftp Tutti devono/ possono navigare in internet ? Possono farlo sempre ?

L’accesso ad internet serve sempre ? Gestione delle policy 2 L’accesso ad internet serve sempre ? L’azienda è attiva nei weekend ? Lavora anche la notte ?? In caso di necessità particolari creiamo il nostro scheduling

L’accesso ad internet serve sempre ? Gestione delle policy 3 L’accesso ad internet serve sempre ?

IDS / Antivirus / Web Content Filtering Vantaggi firewall UTM Hacker Worm Virus Trojan Internet Pornography Gambling Malicious Sport IDS Firewall IDS / Antivirus / Web Content Filtering Antivirus Web Content Filtering NetDefend UTM Firewall DFL-260 DFL-860

Vantaggi firewall UTM 1 Come attivare l’antivirus : Se necessario modificare o aggiungere un ALG nella lista sottostante (HTTP ALG, FTP ALG or SMTP ALG ) Ricordarsi di selezionare Audit ( solo logging ) o Protect all’interno dell’alg

Vantaggi firewall UTM 2 Come attivare l’antivirus : Aggiungiamo un regola attraverso cui far passare il traffico http ( per esempio ) in modo che venga controllato dall’antivirus Alla voce “service” selezioniamo l’alg che abbiamo precedentemente creato Per le interfacce è ragionevole selezionare anche “any”

Vantaggi firewall UTM 3 Come attivare l’antivirus : Spostiamo la regola appena creata prima di qualunque altra ( o comunque prima di qualunque regola che tratti lo stesso protocollo ) Salviamo ed attiviamo i cambiamenti

Ufficio avanzato

Fault tolerance Perché una doppia WAN su prodotti per il mercato Small business ?? La connettività ad internet sta diventando FONDAMENTALE per la vita di una azienda, anche la più piccola Il costo Mbit delle connessioni internet asimmetriche sta scendendo continuamente Tutto il traffico generato al è ugualmente importante ( posta e https per esempio …) Se usiamo una HDSL ….vale la pena occupare la banda di una 2Mbit simmetrica con traffico http generico non rimunerativo ?? Bisogna cercare di ridurre al minimo le interazioni degli utenti con gli strumenti presenti in azienda

Fault tolerance LAN 192.168.1.0/24 Router Router LAN IP 192.168.1.1 / 24 WAN1 IP 192.168.5.2 / 24 WAN1 Gateway 192.168.5.1 WAN2 IP 192.168.6.2 / 24 WAN2 Gateway 192.168.6.1 Router IP address 192.168.6.1 LAN 192.168.1.0/24 Router IP address 192.168.5.1 IP 192.168.1.10 Subnet mask 255.255.255.0 Gateway 192.168.1.1

Fault tolerance 1 Prima di tutto bisogna configurare le interfacce wan1 e wan2 con i parametri necessari N.b. bisogna evitare che la macchina aggiunga la route di default in automatico

Fault tolerance 2 Nella main routing table aggiungiamo le rotte per l’interfacce wan1 e wan2. Il peso della rotta sull’interfaccia wan 1 deve essere superiore a quella della rotta per la wan2 ( come nell’esempio sottostante). Ricordiamoci di abilitare il monitoraggio della rotta come indicato nello screenshot . A nostra la scelta del metodo di monitoring

Fault tolerance 3 Per semplicità raggruppiamo le interfacce wan1 e wan2 in un’unica entità TUTTE le policy di sicurezza prevederanno la possibilità di accesso ad entrambe le interfacce. La segmentazione tra una interfaccia e l’altra verrà fatta dalle regole di routing

Fault tolerance 4 Sostituiamo quindi nelle policy che riguardano la comunicazione da lan verso l’interfaccia wan L’esempio mostra questa sostituzione nelle policy attive di default all’interno del firewall

Sappiamo leggere la routing table ? Come leggere la routing table ? Nell’esempio precedente abbiamo messo mano alla routing table del firewall ma …… Sappiamo leggere la routing table ?

Come leggere la routing table ? 1 • Interface: L’interfaccia che deve essere indirizzata • Network: La rete che deve essere indirizzata • Gateway: Il gateway attraverso cui indirizzare i pacchetti • Local IP Address: L’indirizzo specificato verrà automaticamente reso pubblico su quella interfaccia. Verrà inoltre utilizzato per rispondere alle arp request. Se non è specificato alcun indirizzo verrà utilizzato l’indirizzo dell’interfaccia del firewall • Metric: Specifica la metrica della rotta

Come leggere la routing table ? 2 192.168.0.0/24 B Router1 LAN: 1.1 E0 0.2 DST:192.168.0.150 DST:192.168.0.60 1.2 E1 A 192.168.0.128/25 C 192.168.1.0/24 PC1: 1.5 G/W: 1.1 0.254 E0 1 .254 Il PC1 invia un pacchetto all’indirizzo 192.168.0.150 Router2 E1 2. Il PC1 invia un pacchetto all’indirizzo 192.168.0.60

LAN Pubblicazione di un server 192.168.1.0/24 FTP server LAN IP 192.168.1.1 / 24 WAN IP 192.168.5.2 / 24 WAN Gateway 192.168.5.1 FTP server VIRTUALE IP 192.168.5.20 LAN 192.168.1.0/24 FTP server IP 192.168.1.10 Subnet mask 255.255.255.0 Gateway 192.168.1.1 IP 192.168.1.20 Subnet mask 255.255.255.0 Gateway 192.168.1.1

Pubblicazione di un server Utilizziamo come base di partenza la configurazione precedente Aggiungiamo gli oggetti necessari: ftpserver_ip  192.168.1.20 Ftpserver_public_ip  192.168.5.20 Aggiungiamo una voce statica nella tavola arp del firewall ( proxy arp ) Creiamo le regole necessaria al passaggio dei dati verso il server Sat ( Static address translation ) verso l’ip virtuale mappato sull’IP interno Allow da tutte le interfacce verso l’ip virtuale del servizio necessario Salviamo ed attiviamo i cambiamenti

Pubblicazione di un server 1 Aggiungiamo nell’address book: indirizzo del server FTP lato lan  192.168.1.20 indirizzo del server FTP lato wan  192.168.5.20 Ora creiamo una voce statica nella tavola arp del firewall in modo che risponda sull’interfaccia corretta (wan1) all’indirizzo “virtuale” da noi creato

Pubblicazione di un server 2 Creiamo una regola di filtraggio del traffico IP che associ staticamente ( SAT) all’IP pubblico virtuale l’IP privato interno alla rete del server Controlliamo che nel menu specifico per il SAT sia associato come “destination IP address” l’indirizzo IP interno del server

Pubblicazione di un server 3 Creiamo una ulteriore regola che permetta il passaggio ( Allow ) dei pacchetti da Sorgente tutte le reti o a vostra scelta un determinato indirizzo/range di IP Destinazione L’indirizzo IP “virtuale” da noi creato Salviamo i cambiamenti ed attiviamo la configurazione

Utilizzo delle VLAN Internet

Internet Utente Guest Utilizzo delle VLAN subnet 192.168.1.0/24 Internet Utente subnet 192.168.1.0/24 Guest subnet 10.0.0.0/24

Utilizzo delle VLAN 1 La Vlan verrà configurata come se fosse una interfaccia aggiuntiva della’apparato. Dobbiamo quindi aggiungere all’interno dell’Address Book gli indirizzi IP che saranno utilizzati da quella interfaccia “virtuale” . In questo esempio : indirizzo del “gateway” della vlan  10.0.0.1 Subnet utilizzata della vlan  10.0.0.0/24

Utilizzo delle VLAN 2 Creiamo l’interfaccia “virtuale” Specificando il Vlan ID prescelto E le regole che permettano la navigazione de quella interfaccia

Utilizzo delle VLAN 3 Salviamo i cambiamenti ed attiviamo la configurazione Se necessario e gradito è possibile abilitare il DHCP server anche sulla vlan. Per fare questo basta andare in System  DHCP  DHCP servers ed aggiungerlo indicando come Interface Filter l’interfaccia virtuale della VLAN creata Il passo successivo riguarda la configurazione dell’apparato esterno al firewall che dovrà gestire le Vlan e quindi …. Access Point MSSID con supporto Vlan Switch managed con supporto vlan 802.1q

Azienda multi sede

Da http://en.wikipedia.org/wiki/Virtual_private_network: Scelta della VPN - definizione Da http://en.wikipedia.org/wiki/Virtual_private_network: “A virtual private network (VPN) is a private communications network often used by companies or organizations, to communicate confidentially over a public network. VPN traffic can be carried over a public networking infrastructure on top of standard protocols, or over a service provider's private network. A VPN can send data (e.g., voice, data or video, or a combination of these media) across secured and/or encrypted private channels between two points.” Ricordiamoci anche che : Il termine VPN non è un marchio bensì un termine generico. Questo quindi non significa garanzia di interoperabilità e/o aderenza ad uno standard Cosa DEVE fornire una VPN ? Link “virtuale” tra due o più punti Cifratura dei dati Autenticazione degli utenti

Scelta della VPN IPSec PPTP L2TP (Layer 2 Tunnelling Protocol) Secure VPN Encapsulating Security Payload (ESP): fornisce autenticazione, confidenzialità e controllo di integrità del messaggio Authentication Header (AH): garantisce l'autenticazione e l'integrità del messaggio ma non offre la confidenzialità Internet key exchange (IKE): implementa lo “scambio delle chiavi” per realizzare il flusso crittografato PPTP Criptazione dei dati Sviluppato da Microsoft, assicura autenticazione, criptazione e compressione dei dati. Generic Routing Encapsulation (GRE): GRE crea un collegamento point-to-point virtuale e questo è fatto in maniera che nessuno dei due punti si debba preoccupare dell’infrastruttura su cui passa la comunicazione L2TP (Layer 2 Tunnelling Protocol) Secure/Trusted VPN Standard IETF E’ un protocollo a livello 5 (session) che agisce però come un protocollo di livello 2 (data link) usando pacchetti UDP per incapsulare i pacchetti L2TP e per mantenere una connessione Point-to-Point. Deve essere associato ad un altro protocollo per implementare autenticazione, confidenzialità ed ntegrità dei dati (solitamente IPSec).

Internet Creare un VPn IPSec ( nella realtà) LAN LAN Router Router Internet Router IP address 192.168.5.1 Router IP address 192.168.6.1 LAN IP 192.168.1.1 / 24 WAN IP 192.168.5.2 / 24 WAN Gateway 192.168.5.1 LAN IP 192.168.2.1 / 24 WAN IP 192.168.6.2 / 24 WAN Gateway 192.168.6.1 LAN 192.168.1.0/24 LAN 192.168.2.0/24 IP 192.168.2.10 Subnet mask 255.255.255.0 Gateway 192.168.2.1 IP 192.168.1.10 Subnet mask 255.255.255.0 Gateway 192.168.1.1

Creare un VPn IPSec ( approssimazione locale …) VPN LAN IP 192.168.1.1 / 24 WAN IP 192.168.5.2 / 24 WAN Gateway 192.168.5.1 LAN IP 192.168.2.1 / 24 WAN IP 192.168.5.3 / 24 WAN Gateway 192.168.5.1 LAN 192.168.2.0/24 LAN 192.168.1.0/24 IP 192.168.2.10 Subnet mask 255.255.255.0 Gateway 192.168.2.1 IP 192.168.1.10 Subnet mask 255.255.255.0 Gateway 192.168.1.1

Creare un VPn IPSec ( approssimazione locale …) 1 Utilizziamo come base di partenza la configurazione precedente Aggiungiamo gli oggetti necessari: Vpn_remote_lannet  192.168.2.0/24 Vpn_remote_ip  192.168.5.3 Aggiungiamo la chiave pre-condivisa ( psk – pre shared key) Se necessario scegliamo quali algoritmi utilizzare nella fase IKE ( o utilizziamo quelli preimpostati) Se necessario scegliamo quali algoritmi utilizzare nella fase IPSec ( o utilizziamo quelli preimpostati) Creiamo l’interfaccia “virtuale” tunnel IPSec Se non sono necessarie particolari regole di filtraggio dei pacchetti raggruppiamo le interface lan e VPN Permettiamo il passaggio di tutti i servizi ( o di quelli necessari ) su questo tunnel Salviamo e attiviamo i cambiamenti Creiamo una configurazione speculare sull’altro firewall Salviamo, attiviamo i cambiamenti Facciamo un “ ping test “

Creare un VPn IPSec ( approssimazione locale …) 2 Aggiungiamo gli oggetti necessari :

Creare un VPn IPSec ( approssimazione locale …) 3 Aggiungiamo l’interfaccia virtuale IPsec :

Creare un VPn IPSec ( approssimazione locale …) 4 Aggiungiamo l’interfaccia virtuale IPsec : selezionamo il metodo di autenticazione

Creare un VPn IPSec ( approssimazione locale …) 5 Ragguppiamo le interfacce Creiamo un policy che permetta il passaggio dati attraverso il tunnel creato

Fault tolerance su IPSec ( approssimazione locale …) VPN LAN IP 192.168.1.1 / 24 WAN1 IP 192.168.5.2 / 24 WAN1 Gateway 192.168.5.1 WAN2 IP 192.168.6.2 / 24 WAN2 Gateway 192.168.6.1 LAN IP 192.168.2.1 / 24 WAN1 IP 192.168.5.3 / 24 WAN1 Gateway 192.168.5.1 WAN2 IP 192.168.6.3 / 24 WAN2 Gateway 192.168.6.1 / 24 LAN 192.168.1.0/24 LAN 192.168.2.0/24 IP 192.168.1.10 Subnet mask 255.255.255.0 Gateway 192.168.1.1 IP 192.168.2.10 Subnet mask 255.255.255.0 Gateway 192.168.2.1

Fault tolerance su IPSec ( approssimazione locale …) 1 Utilizziamo come base di partenza la configurazione precedente e creiamo un tunnel utilizzando la seconda interfaccia del firewall Aggiungiamo quindi gli elementi necessari nell’address book : WAN2_ip WAN2_net WAN2_gw

Fault tolerance su IPSec ( approssimazione locale …) 2 Aggiungiamo la psk anche per il nuovo tunnel : Creiamo un nuovo tunnel ponendo attenzione a non permettere l’aggiunta automatica di rotte

Fault tolerance su IPSec 3 Abilitiamo il keep alive : Nella routing table aggiungiamo le rotte per i tunnel IPSec abilitanto il monitoring

Creiamo una VPN PPTP Internet PPTP 10.0.0.0/24 LAN 192.168.1.0/24

Creiamo una VPN PPTP Lo scopo della configurazione è creare un accesso “dial-up” semplice per utenti remoti Creiamo gli oggetti necessari ( n.b. non devono essere su una subnet utilizzata ) Creiamo il database locale degli utenti che potranno accedere via pptp Creiamo l’interfaccia virtuale PPTP Prepariamo le regole di autenticazione delgi utenti PPTP Permettiamo il traffico necessario dagli utenti PPTP verso la rete interessata …

Creiamo una VPN PPTP 1 Creiamo gli oggetti necessari alla configurazione del “server”

Creiamo una VPN PPTP 2 Creiamo un database per gli utenti che potranno usufruire della PPTP Aggiungiamo gli utenti …

Creiamo una VPN PPTP 3 Creiamo il tunnel VPN come indicato ….

Creiamo una VPN PPTP 4 Creiamo le regole per l’autenticazione degli utenti …

Creiamo una VPN PPTP 5 Infine creiamo una regola che permetta il traffico dalla “subnet” pptp verso la lan interna Salviamo ed attiviamo i cambiamenti

Load sharing LAN 192.168.1.0/24 Router Router LAN IP 192.168.1.1 / 24 LAN IP 192.168.1.1 / 24 WAN1 IP 192.168.5.2 / 24 WAN1 Gateway 192.168.5.1 WAN2 IP 192.168.6.2 / 24 WAN2 Gateway 192.168.6.1 Router IP address 192.168.6.1 LAN 192.168.1.0/24 Router IP address 192.168.5.1 IP 192.168.1.10 Subnet mask 255.255.255.0 Gateway 192.168.1.1

Load sharing 1 Prima di tutto bisogna configurare le interfacce wan1 e wan2 con i parametri necessari N.b. bisogna evitare che la macchina aggiunga la route di default in automatico

Load sharing 2 Nella main routing table aggiungiamo le rotte per l’interfacce wan1 e wan2. Il peso della rotta sull’interfaccia wan 1 deve essere superiore a quella della rotta per la wan2 ( come nell’esempio sottostante). Ricordiamoci di abilitare il monitoraggio della rotta come indicato nello screenshot . A nostra la scelta del metodo di monitoring

Load sharing 3 Creiamo una seconda tabella di routing in cui inseriremo la route per la classe dell’interfaccia wan2, per la lan e le rotte per il gateway delle interfacce geografiche Il peso della rotta sull’interfaccia wan 2 deve essere superiore a quella della rotta per la wan1 ( come nell’esempio sottostante). Ricordiamoci di abilitare il monitoraggio della rotta come indicato nello screenshot . A nostra la scelta del metodo di monitoring

Load sharing 3 Creiamo ora una regola di routing ( PBR ) che instradi pacchetti verso la seconda tabella di routing che abbiamo preparato: Notiamo che l’interfaccia di destinazione è la wan1 ! La regola processerà tutti i pacchetti destinati a quell’interfaccia dalla main routing table e li instraderà verso la nuova tabella di routing da noi creata

Load sharing 4 Per semplicità raggruppiamo le interfacce wan1 e wan2 in un’unica entità TUTTE le policy di sicurezza prevederanno la possibilità di accesso ad entrambe le interfacce. La segmentazione tra una interfaccia e l’altra verrà fatta dalle regole di routing

Load sharing 4 Di seguito una immagine che mostra viene processato il traffico dal firewall

Firewall D-Link sinonimi di sicurezza Grazie per l'attenzione ! Le soluzioni DFL per la sicurezza Milano 10 Febbraio 2009

Appendice A Codici prodotti firewall e accessori

Registrazione periferica2 Appendice B Diagramma uso licenze Maintenance Mode1 Registrazione periferica2 periodo validità abbonameto scaduto possibili azioni Periodo di prova 90 giorni (Advanced IPS) Ritorna in condizione “maintenance” servizio IPS “maintenance” rinnovare abbonamento IPS Firewall DFL-210/800/1600/2500 Nessun aggiornamento Acquista licenza valida 12 mesi (Advanced IPS) servizio WCF Periodo di prova 90 giorni IPS, AV, WCF Funzioni disabilitate rinnovare abbonamento Aggiornamento Marzo 2009 : allo stato attuale i firewall UTM vengono venduti con in bundle 1 anno di licenza IPS e 1 anno di licenza AV e’ comunque attivabile, prima dell’uso delle licenze annuali, un trial di 90 gg. Per licenza ( IPS / AV /WCF ) servizio IPS avanzato UTM Firewall DFL-260/860 (Optional) Package Bundled Acquista una licenza valida 12 mesi IPS, AV nessun agg. WCF disabilitato servizio Anti-Virus 1 Servizio IPS “maintenance” è un servizio incluso nel firewall 2 La registrazione del prodotto e’ necesaria per attivare le funzionalità 94 94

Appendice C 802.1q Port based VLAN

Appendice C 1 Le LAN estese, quando crescono troppo di dimensione, diventano fonte di problemi (sicurezza, traffico, colli di bottiglia, ecc ecc) Le VLAN, che sono delle LAN virtuali, sono state introdotte proprio per risolvere questi problemi. Infatti sono indipendenti dalla struttura fisica e possono suddividere la rete in più sotto reti logiche separate Le VLAN possono coprire un singolo Switch oppure l’intera LAN Le VLAN sono utilizzate anche nella realizzazione di rete di livello 3 che prevedono l’utilizzo di protocollo di Routing quali RIP, OSPF, ecc

Appendice C 2 Lo standard 802.1Q permette la creazione di VLAN (Virtual LAN) per porta. La VLAN può essere estesa ad altri Switch tramite il collegamento in uplink tra essi stessi, inserendo l’informazione di VLAN nel pacchetto dati inviato da uno Switch all’altro. Questa operazione è chiamata “TAG” del pacchetto Gli appartenenti ad ogni VLAN possono comunicare solo fra loro e condividere risorse presenti sui Server. Le porte di comunicazione fra le VLAN sono chiamate “porte di overlapping” Simmetriche > comunicazione Vlan tramite Routing Assimetriche > comunicazione Vlan direttamente tra le porta

Appendice C 3 Il gestore della rete può creare anche una VLAN di controllo/gestione che è in grado di accedere a tutte le VLAN operative. In uno Switch Layer3, ad ogni VLAN è possibile associare un indirizzo IP che diventa il default gateway di riferimento del gruppo. VLAN con differenti classi di indirizzi IP possono comunicare tra loro tramite Routing statico oppure protocolli di Routing dinamico quali RIP e OSPF

Appendice C 4