Netfilter im Großeinsatz

Größe: px

Ab Seite anzeigen:

Download "Netfilter im Großeinsatz"

Ingrid Goldschmidt
vor 10 Jahren
Abrufe

1 Netfilter im Großeinsatz Maik Hentsche double.de> Alien8 Chemnitzer Linux Tage /40

2 Agenda Vorwort: Firewall-Konzepte Einführung in iptables/netfilter iptables-development: A moving target Shorewall Logdaten Hochverfügbarkeit 2/40

3 Konzepte

4 Konzepte Netzwerksicherheitspolicy durchsetzen Paketfilter (Layer 2-7) Paketeigenschaften, Paketraten,... VPNs NAT (Network Address Translation) Bandbreitenmanagement Routing Firewalls sind ein Konzept! 4/40

5 Bestandteile eines Firewallsystems Policy Paketfilter oder Application Layer Gateway Regel Management Logdatenauswertung Alarmierung 5/40

6 Bestandteile Internet Web Proxy externe DMZ interne DMZ AdminStation internes LAN 6/40

7 Iptables: Intro d/

8 Maiks erster Tag als iptables Commander 8/40

9 9/40

10 iptables/netfilter Intro 10/40

11 Regelgenerator: d/ Shorewall

12 Shorewall Netfilter Administrationsstool textbasiert (mehrere Konfigdateien) Administrationskommandos Flexible address management/routing support NAT, MASQ, Proxyarp, NETMAP, mehrere ISPs VPNs Bandbreitenmanagement Accounting transparente Paketfilter RTFM! 12/40

Administrationskommandos Flexible address management/routing support

13 Shorewall Bsp Einzelplatz Konfiguration in /etc/shorewall zones interfaces hosts policy rules Internet OpenVPN Tunnel ssh 13/40

14 Shorewall Zonen-Konzept 14/40

15 Shorewall Bsp: Server Konfiguration in /etc/shorewall zones interfaces hosts ssh web ssh openvpn:alles policy openvpn rules dns dns accounting smtp masq smtp/imap/pop3 tcdevices, tcclasses, tcrules silc ftp silc 15/40

policy openvpn rules dns dns accounting smtp masq

16 Shorewall Logging via ULOG via Syslog facility kern abgestuft nach Level/Priority destination df_shorewall_info { file ("/var/log/shorewall/info.log" owner(root) group(adm) ); }; filter f_shorewall_info { level (info) and match ("Shorewall"); }; log{ source (s_all); filter (f_shorewall_info); destination (df_shorewall_info); }; 16/40

$log" owner(root) group(adm) ); }; filter f_shorewall_info { level (info) and match$

17 Shorewall Light Firewall Hosts Administrativer Host neues Verzeichnis wie in /etc/shorewall shorewall -e <neues verzeichnis> \ /path/to/fw-script shorewall load firewall (auto via scp/ssh) /usr/share/shorewall-lite/shorecap > \ capabilities sonst: Makefiles 17/40

$verzeichnis> \ /path/to/fw-script shorewall load firewall (auto$

18 Netfilter d/ Development

19 iptables iptables, ip6tables, arptables, ebtables ->viel gemeinsamer Code Zusammenlegung ->Ziel pkttables langsam bei großer Anzahl Regeln -> nfhipac existiert, ist aber noch kein offizieller Patch 19/40

20 Userspace Kommunikation sei Netlink Device Abstraktion über Bibliotheken Subsysteme conntrack, ulog, queue, helper, count neue ABI für Regelübergabe XML, proc, Filesystem, Netlink 20/40

21 Logging mit ULOG

22 ULOG - Kernelspace Logging mit syslog schlechte automatische Auswertung, unflexibel ULOG neues Logziel für iptables benutzt Netlink Device Unterscheidung anhand Netlink Gruppe "Burst Modus" mehrere Lognachrichten zusammen versenden 22/40

23 ULOG - Userspace ulogd Versionen 1.24 und 2.00-alpha specter Version 1.4, Fork von ulogd 1.02 Plugin basiert hohe Flexibilität unterschiedliche Behandlung der Netlink Gruppen 23/40

24 Zentrale Logauswertung d/

25 Zentrale Logdatenauswertung Logdaten in zentraler Datenbank Auswertetools über diese Datenbank Filter (fertige/eigne) Korrelation Reports Alarmierung Sicherheit (Verschlüsselung, Signierung) Caching wenn Server nicht erreichbar 25/40

26 Prelude FW Sensor (Specter)... LibPrelude Local cache IDMEF/TLS Prelude-Manager LibPreludeDB 26/40

27 Prelude Sensor Sensor LibPrelude IDMEF/TLS FW Sensor LibPrelude IDMEF/TLS (Snort) (Specter)... Local cache Sensor Sensor LibPrelude (LML) PreludeManager LibPreludeD B PreWikka IDS Console LibPreludeD B IDMEF/TLS 27/40

28 Prewikka 28/40

29 Hochverfügbarkeit

30 Hochverfügbarkeit: Warum? Service funktioniert für die meisten Nutzer. Beispiel Availability (A) definiert als: A=(actual life time / end of life time) 0.95 High Availability: A>= 99.9 % (8.5 h downtime pro Jahr) Geplante Downtime zählt auch! Zuverlässigkeit: Seriell verbundene Systeme: R(t) = RS1(t) * RS2(t), System 1 System 2 Parallel verbundene Systeme: R(t) = RS1(t) + RS2(t)-RS1(t) * RS2(t) System 1 System 2 -> Schaffung redundanter Systeme! 30/40

31 Hochverfügbare Firewalls Hot/Standby ein System aktiv, zweites scharf aber inaktiv Load-Sharing Traffic wird zwischen mehreren Systemen aufgeteilt virtuelle IP/MAC Adresse Abgleich der Zustandstabellen 31/40

32 heartbeat Failover bei Node- oder Service Ausfall <=16 node Clusters heartbeat über serial, UDP bcast, mcast, ucast Active/Passive oder Active/Active (mehrere IPs) eingebautes Resource Monitoring STONITH mehr: Vortrag auf LinuxKongress /40

33 heartbeat Demo ha.cf: generelle Konfigs haressorces: Virtuelle Dienste authkeys: Cluster-Authentifizierung Services über Shellscripts in ressource.d/ 33/40

34 ucarp Entwickelt von OpenBSD Hot-Standby Cluster Antwort auf Cisco patentbelastetes VRRP ucarp --interface=eth0 --srcip= vhid=1 \ --pass=mypassword \ --addr= \ --upscript=/etc/vip-up.sh \ --downscript=/etc/vip-down.sh 14:44: arp who-has (ff:ff:ff:ff:ff:ff) tell :44: arp reply is-at 52:54:00:12:c3:d2 14:44: IP > : VRRPv2, Advertisement, vrid 1, prio 0, \ authtype none, intvl 1s, length 36 14:44: arp who-has (ff:ff:ff:ff:ff:ff) tell /40

35 State Synchronisation

36 ct_sync Connection tracking seit kernel erste Anstrengungen für State Sync -> ct_sync funktionierender Patch bis Verwendet NACK für Synchronisation Active-Active im Development Tree Nachteile: keine Unterstützung für NAT und Conntrack Helper Module "pretty much dead" 36/40

37 conntrackd Userspace Implementierung mit netlink Bibliotheken erste Veröffentlichung Mai 2006, ready to use (experimental) Protokoll Alarm ohne Rückmeldung, Multicast interner und externer Cache Active/Active (nur) mit symmetrischem Routing 37/40

38 conntrackd Master Slave external Cache external Cache conntrackd internal Cache conntrackd internal Cache Kernel Kernel 38/40

39 Messungen 39/40

40 NACK 40/40

41 Happy Firewalling! 41/40

42 Demonstration d/

43 Versuchsaufbau Quelle (Datenquelle) Router/Firewall Cluster / Ziel (Datensenke) /24 VIP /40

Ähnliche Dokumente

Eine hochverfügbare Firewall mit Linux-HA, iptables und fwbuilder

Eine hochverfügbare Firewall mit Linux-HA, iptables und fwbuilder FROSCON, 23.8.2009 Dr. Michael Schwartzkopff HA Firewall mit fwbuilder, Seite 1 Eine einfache Firewall Eine einfache Firewall mit Linux