Securepoint Cluster Konfiguration Best Practice

Transkript

1 Securepoint Cluster Konfiguration Best Practice Securepoint GmbH! 1

2 Wichtige Information Aktuelle Software Installieren sie immer die neueste Version der Software. Nur in der aktuellen Version sind die neusten Funktionen, Sicherheits-Erweiterungen und Fehlerkorrekturen enthalten. Aktuelle Dokumentation Die aktuelle Dokumentation zu unseren Produkten finden sie auf unserer Wiki Seite: Für weiterführende Informationen, kontaktieren sie unseren Support: Telefon: Oder nutzen sie unser Support Portal: Historie des Dokuments Datum Beschreibung 01 September 2013 Erste Version des Dokuments 06 September 2013 Abschnitt Applikationen in der Cluster-Konfiguration erweitert (ea) 16 September 2013 Hinweis zu SW-Version eingefügt (ea) Securepoint GmbH! 2

3 Inhalt Einleitung zur Cluster-Konfiguration! 5 Voraussetzungen! 5 Eine Cluster-Lizenz:! 5 Zwei identische Appliances mit mindestens 3 Ethernet Schnittstellen:! 6 Die eingesetzten Switches und Router unterstützen gratuitous ARP :! 6 Funktionsweise des Clusters! 6 Das Cluster VRR Protokoll! 7 Umschalten des Clusters! 7 Hotwire-Interface! 9 Konfiguration abgleichen! 10 Beispiel-Konfiguration: Externes DSL Modem! 11 Erstes Mitglied des Clusters (UTM 1)! 11 Zweites Mitglied des Clusters (UTM 2)! 11 Inbetriebnahme der UTMs! 11 Hotwire-Interface! 11 Cluster-Konfiguration! 12 Beispiel Konfiguration: Externer Router! 20 Erstes Mitglied des Clusters UTM 1:! 20 Zweites Mitglied des Clusters UTM 2:! 20 Inbetriebnahme der UTMs! 20 Hotwire Interface! 20 Cluster Konfiguration! 21 NAT in der Cluster Konfiguration! 30 Securepoint GmbH! 3

4 Applikationen in der Cluster Konfiguration! 34 Kommunikation von Applikationen, die auf der Firewall laufen! 34 Syslog! 35 HTTP-Proxy! 35 Mailrelay! 35 RADIUS-/LDAP-/AD-Anbindung! 35 IPSec! 35 SSLVPN-Server! 35 SSLVPN-Clients! 35 POP3 Proxy! 35 Clientless VPN! 36 Nameserver! 36 CLI Befehle! 36 Einschränkungen! 38 DHCP Client Interface und HA Interface kombinieren! 38 Securepoint GmbH! 4

5 Einleitung zur Cluster-Konfiguration Die Cluster-Konfiguration dient der Absicherung geschäftskritischer Prozesse. Securepoint stellt dazu einen Aktiv/Passiv-Cluster zur Verfügung. Die UTMs innerhalb des Clusters überwachen sich gegenseitig und schalten bei Bedarf automatisch auf das Gerät mit dem besten Status um. Bei korrekter Konfiguration und eingesetzter Hardware ist ein manueller Eingriff des Administrators dabei nicht mehr notwendig. Abb: 1.1 Voraussetzungen Zum Cluster-Betrieb sind folgende Voraussetzungen notwendig: Eine Cluster-Lizenz: Zur Konfiguration und den Betrieb des Clusters benötigen sie eine gültige Lizenz. Die Cluster-Lizenz beantragen sie im Securepoint Reseller Portal: Als Endkunde wenden sie sich bitte an einen autorisierten Securepoint Reseller: Achtung! Die Menüpunkte zur Cluster-Konfiguration sind erst sichtbar, wenn eine v11-cluster- Lizenz importiert wurde. Securepoint GmbH! 5

6 Zwei identische Appliances mit mindestens 3 Ethernet Schnittstellen und gleicher Firmware: Im einfachsten Fall (siehe Abbildung 1.1) haben sie ein Eingangs-Interface (internes LAN) und ein Ausgangs-Interface (externes LAN). Die dritte Schnittstelle wird für den Abgleich der Konfiguration und das Connection-Tracking benötigt. Diese Schnittstelle - im Folgenden auch als Hotwire-Schnittstelle bezeichnet - kann keine weitere Netzwerkfunktion übernehmen. Achtung! Die Firmware auf beiden Maschinen muss exakt den gleichen Stand haben! Die eingesetzten Switches und Router unterstützen gratuitous ARP 1 : Wenn es im Cluster zum Master/Backup Wechsel kommt, entweder absichtlich oder aufgrund eines Fehlers, sendet die neu im Cluster aktive UTM, gratuitous ARP Pakete an ihre Umgebung, um die neuen MAC Adresse bekannt zu geben. Unterstützen die Switches bzw. Router diese Funktion nicht, können sie erst verzögert über die neu im Cluster aktive UTM kommunizieren. Funktionsweise des Clusters Der Cluster verwendet eindeutige IP und MAC Adressen für die beiden Mitglieder des Clusters und virtuelle IP-Adressen für den Cluster selber. Die virtuellen IP-Adressen sind nur auf dem aktiven Mitglied des Clusters aktiv. Fällt das aktive Mitglied des Clusters ganz oder teilweise aus, dann wechseln die virtuellen IP-Adressen auf das zweite Mitglied des Clusters. Für die Clients und Server in einer Cluster Konfiguration ist die virtuelle IP-Adresse der Kommunikationspartner im Routing (also zum Beispiel das Standard Gateway, siehe Abb. 1.2). 1 Securepoint GmbH! 6

7 Abb.: 1.2 Das Cluster VRR Protokoll VRRP (Virtual Router Redundancy Protocol) ist das Kommunikations-Protokoll des Clusters. Es ist nur auf den Schnittstellen aktiv, die als HA-Schnittstelle konfiguriert sind. Über dieses Protokoll ermitteln die Mitglieder des Clusters, in welchem Zustand sie und ihr Partner sich befinden. Mit Hilfe von tcpdump können sie das Protokoll auf einer HA-Schnittstelle sichtbar machen: Es sind keine speziellen Firewall Regeln notwendig, um die Kommunikation mit dem VRR- Protokoll zu ermöglichen. Umschalten des Clusters Das Umschalten innerhalb des Clusters kann unter folgenden Bedingungen passieren: Das aktive Mitglied eines Clusters wird neugestartet oder ganz heruntergefahren. Ein oder mehrere HA-Interfaces haben keinen physikalischen Link mehr. Securepoint GmbH! 7

8 Der Link eines HA-Interfaces ist aktiv, aber aufgrund eines defekten oder falsch konfigurierten Switches kommen die VRRP Pakete nicht beim Cluster Partner an. Die Cluster Funktion wird auf dem aktiven Cluster-Partner durch den Administrator deaktiviert. Falls sie mehr als zwei HA Interfaces aktiviert haben, besteht im Fehlerfall die Möglichkeit, dass eine unterschiedliche Anzahl von HA-Interfaces nicht mehr kommunizieren können. In diesem Fall wird die UTM das aktive Mitglied werden, auf der die meisten Interfaces einen Link haben, solange sich die UTMs über wenigstens ein HA-Interface noch sehen. Sehen sich die UTMs auf keinem Interface mehr, gehen beide davon aus, dass das zweite Mitglied des Clusters nicht mehr vorhanden ist und beide werden aktiv im Cluster. Tabelle, Verhalten im Cluster, Beispiel zwei HA Interfaces: HA Interface 1 HA Interface 2 UTM 1 Status UTM 2 Status UTM 1 UP, UTM 2 UP UTM 1 UP, UTM 2 UP Aktiv Passiv UTM 1 DOWN, UTM 2 UP UTM 1 UP, UTM 2 UP Passiv Aktiv UTM 1 DOWN, UTM 2 DOWN UTM 1 UP, UTM 2 UP Aktiv Passiv UTM 1 DOWN, UTM 2 DOWN UTM 1 UP, UTM 2 DOWN Aktiv Aktiv UTM 1 DOWN, UTM 2 DOWN UTM 1 DOWN, UTM 2 DOWN Aktiv Aktiv Hierbei ist zu beachten, dass UTM 1 eine höhere Priorität als UTM 2 hat. Ist der Zustand in der Tabelle aktiv und als rot gekennzeichnet bedeutet das, dass sich die beiden Mitglieder des Clusters nicht mehr sehen und davon ausgehen, dass der jeweils andere Partner nicht mehr vorhanden ist. Beide Cluster Mitglieder sind dann aktiv. Eine Netzwerkkommunikation ist dann allerdings generell nicht mehr möglich, da das Problem in der Umgebung liegt. Securepoint GmbH! 8

9 Hotwire-Interface Das Hotwire-Interface ist ein exklusives Interface, welches nur zum synchronisieren der Konfiguration der Cluster-Mitglieder und Abgleich der laufenden Verbindungen (Connection-Tracking) verwendet wird. Dieses Interface hat keine weitere Funktion und sollte bei der Auswahl der Appliance entsprechend einkalkuliert werden. Für die Synchronisation der Konfiguration wird das SSH-Protokoll (TCP/22) verwendet. Das Connection Tracking wird über den Port 3780 (UDP) abgeglichen. Ist ein Ethernet- Interface als Hotwire gekennzeichnet, werden die Regeln für die Kommunikation automatisch generiert. Für die SSH-Verbindung müssen öffentliche Schlüssel zwischen den Mitgliedern des Clusters ausgetauscht werden. Der Abgleich der Konfiguration kann in beide Richtungen zwischen den Cluster Mitgliedern erfolgen. Das Connection-Tracking wird immer automatisch von dem Master im Cluster zum Backup übertragen (Abb. 1.3). Abb.: 1.3 Achtung! Die Hotwire Verbindung sollte immer über eine direkte Kabelverbindung erfolgen (kein Switch etc. dazwischen). Stellen sie bitte sicher das niemand zu dem Zeitpunkt administrativ das Mitglied des Clusters verwendet, zu dem sie synchronisieren wollen. Securepoint GmbH! 9

10 Konfiguration abgleichen Über die Hotwire-Schnittstelle wird die Konfiguration synchronisiert. Änderungen die auf der einen Maschinen im Cluster gemacht wurden, können über diese Schnittstelle auf das andere Gerät übertragen werden. In der Regel ist die Konfiguration nach der Inbetriebnahme des Clusters also nur noch auf einer Maschine notwendig. Wir empfehlen, dazu die Master zu verwenden. Der Abgleich erfolgt immer manuell. Der Administrator entscheidet, wann er die Konfiguration im Cluster abgleichen möchte. Folgende Konfigurations-Punkte werden nicht abgeglichen: 1. IP-Adressen die eindeutig zu einer Maschine gehören und die auf Ethernet- oder VLAN- Schnittstellen konfiguriert wurden. Das sind die IP-Adressen, die Sie im WebInterface unter dem Punkt Netzwerk -> Netzwerkkonfiguration einstellen. Wenn Sie ein Ethernet- oder VLAN-Interface neu erzeugen, wird dies sehr wohl übertragen, aber nicht die Information über die IP-Adressen dieser Schnittstelle. Diese müssen bei Bedarf manuell auf dem Cluster-Mitglied konfiguriert werden und sind immer eindeutig einer UTM zugewiesen. Verwechseln sie diese IP-Adressen nicht mit virtuellen IPs auf einem HA-Interface, die sich beide Maschinen im Cluster teilen. 2. Active-Directory-Appliance-Account. Dieser Account ist immer eindeutig im AD. Erstellen sie unterschiedliche Namen auf beiden Maschinen und melden sie sich getrennt am Active Directory an. Achtung! Es ist nicht zwingend notwendig eindeutige IP-Adressen auf Schnittstellen zu konfigurieren auf dem sie ein HA Interface mit virtuellen IP-Adressen betreiben wollen. Möchten sie aber über diese Schnittstelle das Mitglied des Clusters eindeutig identifizieren, ist dies erforderlich, da sie sonst nur (über die virtuelle IP-Adresse) auf die Maschine gelangen, die gerade Master ist. Securepoint GmbH! 10

11 Beispiel-Konfiguration: Externes DSL Modem In diesen Beispiel wird eine Konfiguration aufgezeigt, mit der sie einen UTM Cluster an einer DSL Leitung betreiben können. Die Einwahl erfolgt direkt durch die UTM. Netzwerkkonfiguration: Erstes Mitglied des Clusters (UTM 1) Interne IP-Adresse:! /24 Externe DSL Verbindung mittels PPPoE. Hotwire-IP-Adresse:! /24 Zweites Mitglied des Clusters (UTM 2) Interne IP-Adresse:!! /24 Externe DSL Verbindung mittels PPPoE. Hotwire-IP-Adresse:! /24 Als virtuelle IP-Adresse wird /24 definiert. Diese IP-Adresse ist das Standard-Gateway des internen Netzwerks. Inbetriebnahme der UTMs Verwenden Sie für die Inbetriebnahme den Installations-Wizard der UTM. Stellen sie sicher, dass das externe Interface noch nicht am DSL Modem angeschlossen ist, um eine evtl. Doppel-Einwahl zu verhindern. Die Konfiguration der beiden UTMs sollte sich bis zu diesem Zeitpunkt nur durch die interne IP-Adresse unterscheiden. Importieren sie die erworbene Cluster-Lizenz im letzten Schritt des Wizards und starten sie die Maschinen nach Abschluss des Assistenten neu. Sind die beiden UTMs mit dem internen Switch verbunden, sollten sie nun von ihrem administrativen Client auf beide Geräte gelangen. Hotwire-Interface Verbinden sie nun beide UTMs physikalisch mit dem von ihnen ausgewählten Hotwire Interface. Dieses muss auf den Maschinen der selbe Port sein, zum Beispiel LAN 3. Securepoint GmbH! 11

12 Cluster-Konfiguration Die UTMs haben innerhalb des Clusters eine unterschiedliche Priorität. Die höhere Priorität hat der Master, die Niedrigere das Backup-System. In unserem Beispiel wird die UTM mit der eindeutigen internen IP-Adresse Master sein. Loggen sie sich auf diese Maschine mittels des Web-Interfaces ein. Öffnen sie nun den Netzwerk Dialog, zu finden unter dem Menüpunkt Netzwerk -> Netzwerkkonfiguration. Dort fügen sie die IP-Adresse des zukünftigen Hotwire-Interfaces hinzu. In unserem Fall bekommt LAN3 (eth2) die IP-Adresse /24. Abb.: 1.4 Securepoint GmbH! 12

13 Im nächsten Schritt öffnen sie den Cluster-Dialog (Netzwerk -> Clusterkonfiguration) und starten sie den Cluster Setup Wizard, wählen die Hotwire-Schnittstelle aus und geben die IP-Adresse der Hotwire Gegenstelle an. Abb.: 1.5 In Step 2 des Wizards wählen sie das zukünftige HA-Interface aus. In unserem Fall ist das die interne Schnittstelle. Die Virtuelle IP-Adresse soll sein. Sie können auf eine HA-Schnittstelle auch mehrere virtuelle IP-Adressen setzen. Diese IP-Adressen müssen nicht in der gleichen Broadcast Domain 2 der anderen IP-Adressen liegen. Nachdem sie den Wizard durchlaufen haben, können auch weitere HA Schnittstellen konfiguriert werden. Abb.: Securepoint GmbH! 13

14 Im Step 3 des Wizards werden die Schnittstellen definiert, die auf dem Backup System (auch Spare genannt) nicht hochgefahren werden. In unserer Konfiguration wollen wir das nicht für ppp0 (DSL Interface). Die Einwahl soll nur durch die gerade aktive UTM im Cluster (Master) erfolgen. So ist es ihnen möglich, beide externen Interfaces der UTM an das DSL Modem anzuschliessen. Falls ihr Modem nur einen LAN Port besitzt, verwenden sie einen extra Switch. Abb.: 1.7 Securepoint GmbH! 14

15 Im nächsten Schritt können sie Applikationen definieren die auf dem Backup System nicht aktiv sein sollen. Das Verhalten entspricht dem Schritt 3. Wir wählen hier die Applikation DHCP Server aus, falls die UTM auch als DHCP Server agieren soll, also den Clients im internen Netz IP-Adressen vergeben soll. Falls sie eine UTM verwenden, die auch als Access Point dient, deaktivieren sie hier auch die Applikation WLAN-Server. Abb.: 1.8 Im letzten Schritt des Wizards legen sie die Passphrase für die Kommunikation der beiden UTMs auf den HA Schnittstellen fest (VRR Protokoll) und die Priorität der aktuellen Appliance. Wir möchten, dass diese UTM die höhere Priorität hat, also im Regelfall Master ist. Abb.: 1.9 Securepoint GmbH! 15

16 Die Konfiguration sieht nun wie folgt aus. Der Clusterstatus zeigt noch keinen Zustand an, weil der Cluster noch nicht auf aktiv geschaltet ist. Der Synchronisationsstatus steht auf rot, weil die Gegenstelle nicht erreichbar ist. Abb.: 1.10 Unter dem Punkt Einstellungen erzeugen sie nun einen SSH Public Key und kopieren ihn in die Zwischenablage. Abb.: 1.11 Securepoint GmbH! 16

17 Nun wird es Zeit, die zweite UTM im Cluster zu konfigurieren. Loggen sie sich über die IP- Adresse auf das Web-Interface ein. Öffnen sie den Dialog Clusterkonfiguration und bearbeiten sie die Schnittstelle eth2 um sie als Hotwire zu kennzeichnen. Geben sie in dem Dialog als lokale IP-Adresse /24 und als Gegenstelle die bereits konfigurierte UTM mit der IP-Adresse ein. Abb.: 1.12 Securepoint GmbH! 17

18 Wechseln sie danach in den Dialog Clusterkonfiguration -> Einstellungen und generieren dort ebenfalls einen SSH Key. Kopieren sie den SSH Key von der ersten UTM aus der Zwischenablage in das Feld SSH-Schlüssel der Gegenstelle. Wechseln sie auf die erste UTM und kopieren sie den SSH Key der zweiten UTM in das Feld SSH-Schlüssel der Gegenstelle. Auf beiden Seiten sollte sich nun ein lokaler SSH Schlüssel und jeweils der SSH Schlüssel der Gegenstelle gefinden. Speichern sie die Einstellungen auf beiden UTMs in diesem Dialog durch Betätigung der Speichern Schaltfläche. Der Synchronisationsstatus sollte nun von rot auf orange wechseln. Das bedeutet, die beiden UTMs sehen sich über die Hotwire-Schnittstelle, aber die Konfiguration ist nicht synchronisiert. Beachten sie bitte, dass der Status in bestimmten Intervallen aktualisiert wird. Wenn sie in dem Dialog Schnittstellen die Aktualisierungs-Schaltfläche betätigen, können sie den Vorgang beschleunigen. Abb.: 1.13 Loggen sie sich nun aus dem aus der zweiten Maschine aus und wechseln sie wieder in das WebInterface der ersten UTM, unserem Master. Betätigen sie nun den Button Konfiguration synchronisieren das erste Mal. Wenn die Synchronisation erfolgreich abgeschlossen wurde, steht jetzt der Synchronisationsstatus auf grün. Die beiden UTMs sind abgeglichen. Alles was sie auf der Master bereits konfiguriert haben, befindet sich jetzt auch auf der Backup Maschine. Sie können dies überprüfen, indem sie sich auf der Backup Maschine einloggen und die entsprechenden Dialoge öffnen. Da wir von der von uns definierten Master UTM die Synchronisation durchgeführt haben, wird die Cluster Priorität der zweiten Maschine (Backup) automatisch auf niedrig gestellt. Würden sie die Priorität auf der jetzigen Backup UTM auf Hoch stellen und von da aus auch die Konfiguration synchronisieren, würde die erste Maschine automatisch zum Backup degradiert und die vormals Backup UTM zum Master. Securepoint GmbH! 18

19 Im letzen Schritt aktivieren Sie den Cluster. Schliessen sie die externen Interfaces an das DSL Modem an. Im Dialog Clusterkonfiguration, wechseln sie auf den Punkt Einstellungen und aktivieren sie den Cluster. Dieser Schritt muss auf beiden UTMs getrennt ausgeführt werden. Ihr Cluster ist nun in Betrieb und der Master des Clusters hat unsere virtuelle IP- Adresse auf dem internen Interface. Abb.: 1.14 Falls der Status nicht sofort aktualisiert wird, können sie auch hier wieder die Schaltfläche zum neu laden drücken. Securepoint GmbH! 19

20 Beispiel Konfiguration: Externer Router In diesen Beispiel wird eine Konfiguration aufgezeigt wenn sie ein UTM Cluster an einem externen Router betreiben möchten. Der Router ist das Gateway zum Internet. Eventuell haben sie von ihrem Provider ein öffentliches Netz zur Verfügung gestellt bekommen. In unserem Beispiel verwenden wir ein privates Netz. Die Vorgehensweise ist dann analog. In diesem Beispiel werden wir zwei HA Schnittstellen konfigurieren. Für die interne und die externe Schnittstelle. Netzwerkkonfiguration: Erstes Mitglied des Clusters UTM 1: Interne IP-Adresse:!! /24 Externe IP-Adresse:! /24 Hotwire IP-Adresse:! /24 Zweites Mitglied des Clusters UTM 2: Interne IP-Adresse:! /24 Extern IP-Adresse:!! /24 Hotwire IP-Adresse:! /24 Die Virtuellen IPs, die sich beide Mitglieder des Clusters teilen sollen, sind die IP-Adressen /24 für intern und /24 für extern. Die IP-Adresse ist das Standard-Gateway des internen Netzwerks. Inbetriebnahme der UTMs Verwenden Sie für die Inbetriebnahme den Installations-Wizard der UTM. Die Konfiguration der beiden UTMs sollte sich bis zu diesem Zeitpunkt nur durch die interne und externe IP-Adresse unterscheiden. Importieren sie die erworbene Cluster-Lizenz im letzten Schritt des Wizards und starten sie die Maschinen nach Abschluss des Assistenten neu. Sind die beiden UTMs mit dem internen Switch verbunden, sollten sie nun von ihrem administrativen Client auf beide Geräte gelangen. Hotwire Interface Verbinden sie nun beide UTMs physikalisch mit dem von ihnen ausgewählten Hotwire Interface. Dieses muss auf den Maschinen der selbe Port sein, zum Beispiel LAN 3. Securepoint GmbH! 20

21 Cluster Konfiguration Die UTMs haben innerhalb des Clusters eine unterschiedliche Priorität. Die höhere Priorität hat der Master, die Niedrigere das Backup-System. In unserem Beispiel wird die UTM mit der eindeutigen internen IP-Adresse Master sein. Loggen sie sich auf diese Maschine mittels des Web-Interfaces ein. Öffnen sie nun den Netzwerk-Dialog, zu finden unter dem Menüpunkt Netzwerk -> Netzwerkkonfiguration. Und fügen sie die IP-Adresse des zukünftigen Hotwire-Interfaces hinzu. In unserem Fall bekommt LAN3 (eth2) die IP-Adresse /24. Abb.: 1.15 Securepoint GmbH! 21

22 Im nächsten Schritt öffnen sie den Cluster Dialog (Netzwerk -> Clusterkonfiguration) und starten den Cluster Setup Wizard, wählen die Hotwire-Schnittstelle aus und geben die IP- Adresse der Hotwire-Gegenstelle an. Abb.: 1.16 In Step 2 des Wizards wählen sie das zukünftige HA Interface aus. Wir beginnen mit der internen Schnittstelle. Die Virtuelle IP-Adresse soll /24 sein. Sie können auf eine HA-Schnittstelle auch mehrere virtuelle IP-Adressen setzen. Diese IP-Adressen müssen nicht in der gleichen Broadcast Domain der anderen IP-Adressen sein. Nachdem sie den Wizard durchlaufen haben, werde wir auch die weitere HA Schnittstellen konfigurieren. Abb.: 1.17 Securepoint GmbH! 22

23 Im Step 3 des Wizards werden Schnittstellen definiert, die auf dem Backup System (auch Spare genannt) nicht hochgefahren werden. In unserer Konfiguration haben wir keine solche Schnittstelle. Falls sie die Einwahl über ein DSL Modem machen wollen, welches direkt an der UTM terminiert ist, beachten sie bitte die Konfiguration im Abschnitt Beispiel- Konfiguration: Externes DSL-Modem. Abb.: 1.18 Securepoint GmbH! 23

24 Im nächsten Schritt können sie Applikationen definieren die auf dem Backup System nicht aktiv sein sollen. Das Verhalten entspricht dem Schritt 3. Wir wählen hier die Applikation DHCP Server aus, falls die UTM auch als DHCP Server agieren soll, sprich den Clients im internen Netz IP-Adressen vergeben soll. Falls sie eine UTM verwenden, die auch als Access Point dient, deaktivieren sie hier auch die Applikation WLAN-Server. Abb.: 1.19 Im letzten Schritt des Wizards legen sie die Passphrase für die Kommunikation der beiden UTMs auf den HA Schnittstellen fest (VRR-Protokoll) und die Priorität. Wir möchten das diese UTM die höhere Priorität hat, sprich im Regelfall Master ist. Abb.: 1.20 Securepoint GmbH! 24

25 Die Konfiguration sieht nun wie folgt aus. Der Clusterstatus zeigt noch keinen Zustand an, weil der Cluster noch nicht auf aktiv geschaltet ist. Der Synchronisationsstatus steht auf rot, weil die Gegenstelle nicht erreichbar ist. Abb.: 1.21 Unter dem Punkt Einstellungen erzeugen sie nun einen SSH Public Key und kopieren ihn in die Zwischenablage. Abb.: 1.22 Securepoint GmbH! 25

26 Nun wird es Zeit, die zweite UTM im Cluster zu konfigurieren. Loggen sie sich über die IP- Adresse auf das Web-Interface ein. Öffnen sie den Dialog Clusterkonfiguration und bearbeiten sie die Schnittstelle eth2 um sie als Hotwire zu kennzeichnen. Geben sie in dem Dialog als lokale IP-Adresse /24 und als Gegenstelle die bereits konfigurierte UTM mit der IP-Adresse ein. Abb.: 1.23 Securepoint GmbH! 26

27 Wechseln sie danach in den Dialog Clusterkonfiguration -> Einstellungen und generieren dort ebenfalls einen SSH Key. Kopieren sie den SSH Key von der ersten UTM aus der Zwischenablage in das Feld SSH-Schlüssel der Gegenstelle. Wechseln sie auf die erste UTM und kopieren sie den SSH Key der zweiten UTM in das Feld SSH-Schlüssel der Gegenstelle. Auf beiden Seiten sollte sich nun jeweils ein lokaler SSH Schlüssel und der SSH Schlüssel der Gegenstelle befinden. Speichern sie die Einstellungen auf beiden UTMs in diesem Dialog durch betätigen der Speichern Schaltfläche. Der Synchronisationsstatus sollte nun von rot auf orange wechseln. Das bedeutet, die beiden UTMs sehen sich über die Hotwire Schnittstelle, aber die Konfiguration ist nicht synchronisiert. Beachten sie bitte, dass der Status in bestimmten Intervallen aktualisiert wird. Wenn sie in dem Dialog Schnittstellen die Aktualisierungs-Schaltfläche betätigen, können sie den Vorgang beschleunigen. Abb.: 1.24 Loggen sie sich nun aus dem aus der zweiten Maschine aus und wechseln sie wieder in das Web-Interface der ersten UTM, unserem Master. Betätigen sie nun den Button Konfiguration synchronisieren das erste Mal. Wenn die Synchronisation erfolgreich abgeschlossen wurde, steht jetzt der Synchronisationsstatus auf grün. Die beiden UTMs sind abgeglichen. Alles was sie auf der Master bereits konfiguriert haben, befindet sich jetzt auch auf der Backup Maschine. Sie können dies überprüfen, indem sie sich auf der Backup Maschine einloggen und die entsprechenden Dialoge öffnen. Da wir von der von uns definierten Master UTM die Synchronisation durchgeführt haben, wird die Cluster Priorität der zweiten Maschine (Backup) automatisch auf niedrig gestellt. Würden Sie die Priorität auf der jetzigen Backup UTM auf Hoch stellen und von da aus auch die Konfiguration synchronisieren, würde die erste Maschine automatisch zum Backup degradiert und die vormals Backup UTM zum Master. Securepoint GmbH! 27

28 Wechseln Sie nun auf den Punkt Einstellungen und aktivieren sie den Cluster. Dieser Schritt muss auf beiden UTMs getrennt ausgeführt werden. Ihr Cluster ist nun in Betrieb und der Master des Clusters hat unsere virtuelle IP-Adresse auf dem internen Interface. Abb.: 1.25 Nun muss noch die externe Schnittstelle auf HA Betrieb konfiguriert werden. Bearbeiten sie diese Schnittstelle in der Clusterkonfiguration und stellen sie das Interface im Dialog auf Schnittstelle für High Availability benutzen. Abb.: 1.26 Securepoint GmbH! 28

29 Im zweiten Reiter des Dialogs stellen sie die virtuelle IP-Adresse ein, die wir vorab ausgewählt haben. Abb.: 1.27 Speichern sie die Einstellungen und synchronisieren sie den Cluster damit die zweite Maschine die gleiche Konfiguration besitzt. Die Konfiguration ist sofort aktiv und ihr Cluster konfiguriert. Abb.: 1.28 Securepoint GmbH! 29

30 NAT in der Cluster Konfiguration In bestimmten Konstellationen ist es notwendig die NAT Einstellungen anzupassen. Wir beziehen uns hier auf das Beispiel Cluster Konfiguration: Externer Router. Die externen IP-Adressen des Clusters sind in der selben Broadcast Domain und die Standardroute der UTMs zeigt auf den Router der die Internet Verbindung herstellt. Externe IP UTM 1:! /24 Externe IP UTM 2:! /24 Virtuelle IP Cluster:! /24 IP des Routers:! /24 Die UTM 1 soll Master sein und besitzt die virtuelle IP-Adresse. Setzen wir nun einen ping aus dem internen Netz auf die IP-Adresse des Routers ab, sehen wir Folgendes im tcpdump der UTM1 auf dem externen Interface. Der Ping wird von unserem Client im Standard-Regelwerk nicht über die virtuelle IP- Adresse des Clusters genatet, sondern über die dem Master eindeutige IP-Adresse Das kommt zustande, weil die eindeutige IP-Adresse die erste IP auf der Schnittstelle ist und der Router sich in der gleichen Broadcast Domain befindet. Wechselt der Cluster auf das Backup System, wird dort nicht mehr die IP-Adresse sondern die IP-Adresse stehen. Securepoint GmbH! 30

31 Um das zu ändern erstellen wir unter Firewall -> Portfilter -> Netzwerkobjekte ein neues Objekt mit der virtuellen IP-Adresse auf dem Cluster Interface. Abb.: 1.29 Wechseln sie in den Reiter Portfilter und bearbeiten sie die HideNAT Regel. In unserem Fall Regel Nummer 1. Abb Securepoint GmbH! 31

32 Ersetzen sie das Objekt external-interface durch ihr gerade erstelltes Objekt HA- Externe-IP. Speichern sie die Regel ab und aktualisieren sie das Regelwerk. Synchonisieren sie danach den Cluster. Abb.: 1.31 Securepoint GmbH! 32

33 Wenn sie den Ping Test wiederholen, sollten sie Folgendes sehen. Beachten sie: Wenn ihr Ping auf den Router ohne Unterbrechung lief, ist dieser noch im Conntrack gespeichert, der Ping wird also noch über die falsche IP-Adresse genatet. Unterbrechen sie den Ping und warten sie mindestens 30 Sekunden. Starten sie den Ping dann neu. Achtung! Achten sie darauf, dass Sie für NAT Einstellungen immer eindeutige IP-Adressen in den Netzwerkobjekten benutzen, wenn das NAT über ein HA Interface konfiguriert wird. Das gilt nicht nur für HideNATs sondern auch Portweiterleitungen bzw. Destination NATs. Securepoint GmbH! 33

34 Applikationen in der Cluster Konfiguration Ähnliches wie in dem Beispiel NAT in der Cluster Konfiguration kann auch für Applikationen zutreffen. Wir beziehen uns hier wieder auf die Cluster Konfiguration mit dem externen Router. Als Applikation nehmen wir uns das Mailrelay heraus. Sie möchten s über das Mailrelay der UTMs verschicken und empfangen. Sie haben dazu entsprechende PTR, A, MX Records und SPF Einträge in den TXT Records ihrer Domain gemacht, die auf die externe virtuelle IP-Adresse des Clusters zeigen. Damit das Mailrelay nun auch s über diese virtuelle IP verschickt, müssen sie in der Applikation die ausgehende IP-Adresse korrekt einstellen. In unserem Fall die virtuelle IP Abb.: 1.32 Synchronisieren sie danach wieder die Cluster Konfiguration. Achtung! Das Mailrelay kommuniziert jetzt immer mit der virtuellen IP-Adresse Auch der interne Mailserver wird mit dieser IP als Absender kontaktiert. Bitte berücksichtigen Sie das bei der Konfiguration Ihres Mailservers, sollte dieser nur SMTP-Verbindungen von bestimmten IPs akzeptieren. Kommunikation von Applikationen, die auf der Firewall laufen Alle Applikationen, die von der Firewall selber eine Verbindung aufbauen, verwenden dafür (sofern nicht anders konfiguriert) die primären IPs der Schnittstellen. Sollten Sie Management-IPs aus der gleichen Broadcast-Domäne verwenden sind diese primären IPs nicht die virtuellen IP-Adressen. Securepoint GmbH! 34

35 Syslog Das bedeutet, dass beispielsweise Syslog-Nachrichten von der Management-IP der Master verschickt werden, wenn diese die aktive Maschine im Cluster ist, und von der Management-IP der Spare wenn diese aktiviert wurde. Folgende weitere Applikationen sind betroffen: HTTP-Proxy Sollte ein Parent-Proxy in Benutzung sein, der Verbindungen nur von einer bestimmten IP annimmt, muss diese unter Anwendungen -> HTTP-Proxy -> Ausgehende Adresse angegeben werden. Mailrelay Bitte beachten Sie dazu die Hinweise im Abschnitt Applikationen in der Cluster- Konfiguration RADIUS-/LDAP-/AD-Anbindung Sollte der Server nur Verbindungen von bestimmten IPs zulassen, müssen auf dem Ziel- Server jeweils die Management-IPs beider Geräte freigegeben werden. IPSec Alle IPSec-Verbindungen müssen in Phase 1 so angepasst werden, dass im Feld Local Gateway eine der virtuellen IPs fest eingetragen ist. SSLVPN-Server Alle SSLVPN-Server-Instanzen müssen so angepasst werden, dass unter Einstellungen -> Erweitert die Option Multihome aktiviert ist. SSLVPN-Clients Alle SSLVPN-Client-Instanzen müssen so angepasst werden, dass Sie eine der virtuellen IPs zum Verbindungsaufbau verwenden. Führen Sie dazu folgende CLI-Befehle aus: Zum Feststellen der ID der SSLVPN-Verbindung: firewall> openvpn get Zum Setzen der lokalen Adresse; firewall> openvpn set id <ID> local_addr <VIRTUELLE-IP> local_port <FREIER-PORT> Zum Aktivieren der Einstellungen: firewall> appmgmt restart application openvpn POP3 Proxy Der POP3-Proxy kommuniziert immer mit der Management-IP, sofern diese in der gleichen Broadcast-Domain wie das Default-Gateway ist. Dies ist bei der Beschränkung des Zugriffs auf POP3-Server auf bestimmte IP-Adressen in deren Konfiguration zu beachten. Securepoint GmbH! 35

36 Clientless VPN Verbindungen zu RDP/VNC-Servern werden immer mit den Management-IPs aufgebaut. Dies ist bei der Beschränkung des Zugriffs auf RDP/VNC-Server auf bestimmte IP- Adressen in deren Konfiguration zu beachten. Nameserver Verbindungen zu DNS-Servern werden immer mit den Management-IPs aufgebaut. Dies ist bei der Beschränkung des Zugriffs auf DNS-Server auf bestimmte IP-Adressen in deren Konfiguration zu beachten. CLI Befehle Im folgenden werden Befehle für die Securepoint CLI beschrieben. CLI Befehle: cluster info Ausgabe: cluster_state:! backup/master/none Der Cluster State gibt an wer im Cluster gerade Master oder Backup ist oder ob der Cluster überhaupt aktiv ist. Die Ausgabe bezieht sich immer auf die Maschine, auf der dieser Befehl ausführt wird. sync_state:!! synchronized/pending/error Im welchen Zustand befindet sich die Konfiguration. Dabei bedeutet synchronized, das sie auf beiden UTMS des Clusters gleich ist. Der Zustand pending bedeutet, die UTMs haben einen unterschiedlichen Stand. In beiden Fällen können die Mitglieder miteinander kommunizieren. Der Zustand error weist darauf hin das sie keine Daten austauschen können. Das könnte der Fall sein, wenn kein Hotwire Interface konfiguriert ist, die Verkabelung nicht korrekt ist, die SSH Keys nicht ausgetauscht wurden, oder falsche SSH Keys verwendet werden. hotwire_dev:!! ethx Auf welchen Interface ist das Hotwire Interface konfiguriert. CLI Befehl: system config synchronize Durch diesen Befehl kann die Konfiguration über die Hotwire Schnittstelle an den Cluster Partner übertragen werden. Dabei wird die Konfiguration von der UTM verwendet, auf der sie den Befehl ausführen. Falls sie in der CLI eine Konfigurationsänderung durchgeführt haben, speichern sie diese erst lokal durch den CLI Befehl system config save name <Name ihrer Konfiguration>. Erst dann synchronisieren die Konfiguration des Clusters. Ansonsten wird die Änderung nicht übertragen. Securepoint GmbH! 36

37 CLI Befehl: extc value get application "securepoint_firewall" variable "UPDATE_TRIGGER_DELAY" Zeigt den Delay in Sekunden an, bevor im Fehlerfall, von Master auf Backup geschaltet wird. Der Standardwert ist 2 Sekunden. Securepoint GmbH! 37

38 CLI Befehl: extc value set application "securepoint_firewall" variable "UPDATE_TRIGGER_DELAY" value 2 Verändert den Delay, für den Fehlerfall, das von Master auf Backup geschaltet wird. Der Standardwert ist 2 Sekunden und sollte nicht niedriger eingestellt werden. Falls ihre Appliances im Cluster eine hohe Grundlast haben sollten, stellen sie den Wert höher ein. Die Einstellung ist sofort aktiv und kann via system config synchronize auf den Partner übertragen werden. Einschränkungen DHCP Client Interface und HA Interface kombinieren Konfigurieren sie kein HA Interface auf einem Ethernet oder VLAN Interface auf dem sie DHCP Client konfiguriert haben, also die UTM auf dem Interface eine IP-Adresse dynamisch zugewiesen bekommt. Sollte der DHCP Server nicht erreichbar sein nachdem sie die UTM gestartet haben und ist sie in dem Augenblick auch der Master im Cluster, wird die virtuelle IP-Adresse vom Interface entfernt sobald der DHCP Server wieder erreichbar ist und die UTM eine neue IP-Adresse vom DHCP Server empfängt. Securepoint GmbH! 38