SMPFR

Hello !!

Je vais bientôt refaire complètement les firewalls d'une boite qui bosse dans le Web (création et hébergement).

Actuellement c'est des GNAP montés en RAMdisk dont l'image est sur une clé USB reliée à la machine.
Donc les FW c'est du netfilter/iptable. Et toute la config (règles) se fait avec des fichiers texte (syntaxe maison) et des scripts Python maison qui parse les fichiers, puis créent toutes les règles iptables, et commit le tout sur les FW.

Bon struc ça commence à être relou, les fichiers de règles sont devenus énormes, et en plus on a d'autres problèmes liés à l'OS (dès que tu veux installer un truc sur le fw faut refaire l'image, pi les fichiers écrits ailleurs que dans /etc ne sont pas sauvegardés, etc...)

Donc là je commence à étudier un peu skon peut faire. Bien sûr les admins ont déjà un peu cogité à ça aussi.
En même temps on se dote d'une toute nouvelle salle serveur delamortkitue, et donc l'archi réseau en est aussi modifée. Voilà les premiers besoins identifiés pour le futur FW du site principal :
[*] 5 interfaces réseau (eth0 pour l'accès Net via un routeur fibre Completel)
[*] dont 3 en trunk 802.1Q car supportant 2 VLAN chacune
[*] possibilité de règle dynamiques pour bloquer des attaques type scan de port, donc blacklister temporairement une IP. On voudrait même, à terme, pouvoir coupler le fw avec un IDS - Snort ou autre.
[*] possibilité de load balancing entre deux FW clones
[*] pouvoir intégrer un agent SNMP v3 (bon ça on l'a déjà sur nos FW en fait) pour intégration à notre supervision (Nagios+Centreon). On veut avoir la BP, sur chaque interface of course, voire même pour chaque VLAN supporté, mais bon ça ca sera plus de l'ordre de la config de l'agent.
[*] Interface évoluée pour la définition des règles. Pas forcément tout graphique d'ailleurs, ca peut être écrire une règle à la main, mais avec une syntaxe 'achement plus simple que iptable.

Donc voilà ça fait quand même des demandes assez pointues. On se tourne vers du fw logiciel opensource simplement pcq les boiboites Checkpoint/Arkoon/&co bah spa donné.

Pour l'instant les premières solutions envisagées c'est :
[*] une distrib Linux + iptable + Shorewall. Des retours sur la Webmin de Shorewall ??
[*] Linux + iptable + FireHOL : simplifie la création des règles, mais incomplet pour ce qu'on veut, je pense notamment au couplage avec Snort ou au load balancing
[*] distrib toute prête IpCop : euh 5 interfaces, des VLAN et tout, va savoir s'en sortir IpCop ? :/

[*] et vu que ca a été souvent évoqué ici, perso je pensais à du pfSense.

Quelques petites questions sur pfSense pour ceux qui ont déjà bien les mains dedans :
1/ pour les techs habitués à Linux et iptable, le passage à FreeBSD et Packet Filter est pas trop dépaysant ?!? Pcq bon là on peut pas trop se planter, les techos auront pas le temps de passer la journée à apprendre les subtilités de BSD et PF.
2/ le FW n'a pas de notion de VLAN directement, je présume qu'on va définir des variables pour chaque VLAN donnant la plage d'adresses IP utilisées dans ce VLAN ??

Tout retour sur vos déploiements de ce genre de solutions est bienvenu. Peut-être aussi qu'il existe d'autres solutions encore non-évoquées ici !

moi perso je ne partirais par sur une solution libre mise sur un serveur classique qui n'est pas fait pour cela à la base. Traitement lent, faille possible sur l'os etc etc enfin ca dépent du traffic et de l'importance du truc quoi mais moi je ne ferais pas. Surtout qu'apparement y a de l'hebergement donc bon c'est bien soumis au monde.

Edith: et aussi un FW n'est pas fait pour faire du routage aussi or je suppose que si tu veux lui coller des trunks c'est pour faire du routage inter vlan?

Si tu parses tes fichiers de conf toi-meme, pourquoi tu te fais pas une syntaxe plus confortable ?

Connaissez vous Vyatta ? ... je n'en dis pas plus, allez voir par vous meme, c'est du gratuit, c'est du bon et c'est très efficace !

Bien sur, si les lignes de commandes vous font peur, passez votre chemin !

Ouais c'est un point de vue que je comprends de se méfier des failles de l'OS et/ou de la distrib, on l'a vu encore avec l'histoire de OpenSSH server des Debian. Mais bon un IOS un peu usine à gaz ou un autre truc du genre d'un Arkoon ou autre, bah le côté 'opaque' me gêne aussi un poil. Toi Dream tu préfère utiliser les appliances propriétaires donc ?
Enfin de toute façon sur ce point c'est pas moi qui choisit. C'est une petite PME, à la limite on pourrait passer un peu de temps avec des commerciaux Arkoon, vu que la boite est pas loin (Lyon est à une heure de route), mais bon je pense que les commerciaux seraient même pas motivés pour vendre à une petite structure...
Le traffic commence à être assez important quand même, plusieurs gros clients possédants plusieurs serveurs dédiés (y'a une plate-forme de vente style vente-privée, les archives images HD d'un Conseil Général), un certain nombre de servs Web mutualisés.

Pour le routage inter-VLAN, il y en aura un peu bien-sûr (pas tellement important en regard du traffic total), mais ça sera pas forcément le FW qui s'en chargera. Il y aura ptet un routeur juste "en-dessous" de lui.
Enfin après ça nous dérange pas trop de faire les deux sur la même machine, ça nous permet par ex. de filtrer finement les accès aux serveurs depuis le réseau utilisateur, etc...

ZEP> la syntaxe est tout à fait confortable. Mais le fichier fait plus de 1000 lignes, quand on cherche une règle existante bah c'est Ctrl+F dans l'éditeur de texte, etc... D'où l'envie d'une interface apportant encore plus de confort, souplesse, organisation, toussa.

Shreck> jamais entendu parler de Vyatta. Je viens d'ouvrir le site, je regarde ce soir sk'il en est.

Concernant vyatta, il y a 2 sites :
le COM : espace commercial ou ils vendent du support et des appliances
le ORG : espace communautaire

Il faut aller sur le ORG bien sur ... pas de différences de fonctions entre celui qui achete une appliance ou pas.


Voila ... apres tout est expliqué sur le site donc je ne precise rien d'autre

Pour le routage inter-VLAN, il y en aura un peu bien-sûr (pas tellement important en regard du traffic total), mais ça sera pas forcément le FW qui s'en chargera. Il y aura ptet un routeur juste "en-dessous" de lui.

Effectivement, un Switch N3 ... c'est franchement le top et c'est son role de router ; surtout que le hardware est optimisé pour ! (je pense surtout à du matos Cisco) avec les processeurs ASIC ... le top du top !

à chaud je dirai comme ça que pfsense ne gère pas les Vlans
mais si c'est déporté sur un routeur Hard ça le fait

maintenant la version de Pfsense que j'utilise n'a pas la possiblité d'accepter les règles dynamiques il me semble ( adaptation des règles en fonction des tentatives d'attaques c'est bien ça ? )

je ne pense pas qu'il convienne, mais toujours plus qu'un Arkoon !

Merci pour les retours.

Sisi pfSense supporte les VLAN et les trunks d'après mes recherches (par ici par exemple). A vrai dire c'est le contraire qui m'aurait plus étonné, vu que les OS *Nix et *BSD gèrent ça sans probs.

Pour le filtrage dynamique, t'as bien compris la demande. Après recherches là-aussi, il semble qu'on puisse le faire facilement avec un FW iptable grâce à Snort-inline. Pour pfSense c'est plus confus, l'install comprend le package Snort et donc on peut l'installer, mais il ne sait pas apprendre à PF en live les IP à bloquer, il ne fait que remplir une table : voir ce topic et cet autre. Je pensais qu'il suffisait d'intégrer cette table dans nos règles de fw pour faire le lien entre les deux, mais ça ne semble pas aussi simple puisque apparement les gens qui voulaient faire pareil n'y sont pas arrivés (cf les deux mêmes topics).... :'(

à chaud je dirai comme ça que pfsense ne gère pas les Vlans

Wrong : le support du 802.1q existe depuis belle lurette dans freebsd ... donc dans monowall ... donc dans pfsense ...


Concernant le 802.3ad, il semblerai que ce soit gérer nativement dans freebsd 7 et pas la 6.x ... affaire à suivre mais normalement le "probleme" est sur le feu chez les developeurs freebsd.

ok me suis trompé
en fait si le tagage de Vlan et l'agrégat de liens sont supportés par l'os, il reste que l'interface réseau doit le supporter
pour l'agrégat les 3Com et Dlink le font ( pas tous les modèles )
pour le tag vlan c'est deja moins courant

en ce qui concerne l'apprentissage dynamique des regles de filtrage, c'est trop pointu pour moi à l'heure actuelle mais une chose est sure : celui qui saura mettre ça en oeuvre sur pfsense aura toute mon admiration, car ça me serai bien utile ( marre d'eplucher les logs et de bannir des ip à la main )

Pour les cartes supportant les tags VLAN, on en trouve aussi chez Intel, notamment en quad ports. Et supportées sous *BSD. Bon par contre c'est pas donné. Et ouais y'a aussi les 3Com (aussi bien supportées sous BSD) et les D-Link (y'a du driver de dispo, mais pas pour ttes les révisions je crois, vu que le chipset utilisé a changé en cours de route >

y'a un Dashboard en AJAX qui permet de se faire un écran de contrôle personnalisé : on sélectionne les blocs d'infos que l'on veut, et on les agences comme on aime

j'ai bien fait de prendre 800Mhz / 256Mo pour mon futur pfsense

merci pour le feedback, je passerai à cette alpha sous quinzaine, j'espere que le captive portal et ipsec ont pris un coup de jeune eux aussi

Euh passé dessus pour tous les jours je te le déconseille dans l'immédiat. C'est les snapshots quotidiens, y'a encore plein de bugs d'interface (par exemple j'ai un alias qui est un groupe d'hôtes qui a été transformé en un alias de type OpenVPN Users... )

Ah voui autre feature qui vient avec la gestion des users : on peut taper dans un LDAP/AD.

j'ai bien fait de prendre 800Mhz / 256Mo pour mon futur pfsense

merci pour le feedback, je passerai à cette alpha sous quinzaine, j'espere que le captive portal et ipsec ont pris un coup de jeune eux aussi

L'AJAX est interprété côté client pourtant, ça n'apporte pas vraiment de surcharge pour le serveur. Dans certains cas c'est même un gain puisque seule une partie de la page est modifiée.

A moins que tu navigues depuis la passerelle

ouep, grosse connerie de ma part, faut que je pense à dormir ça m'evitera de dire des conneries comme ça

@c0bw3b : ldap/ad génial !

Je remet ici le lien vers le billet d'annonce de la 1.3 alpha et le lien direct vers la zone de DL.

trop fort les developpeurs de pfsense ... !

Finalement j'ai laissé tomber pfSense pour le firewall que je vais déployer. Le piège classique des IHM, on est gêné sur certains points, comme par exemple pas pouvoir définir l'interface de sortie pour créer une règle, et surtout par le NAT 1:1 qui se définit sur une interface, et qu'on ne peut pas appliquer sur toutes les interfaces à la fois...

Du coup on part sur un Shorewall. Ca fait une semaine que je bosse sur la maquette avec lui, bah c'est vraiment pas mal ce truc ! Très modulaire, donc s'adapte très bien à ma situation complexe avec pleins de VLANs. Okay y'a pas d'IHM mais c'est pas gênant en fait. Suffit de bien concevoir dès le départ, après ajouter une machine ou carrément un nouveau VLAN pour un client dédié ça sera très simple. Tellement que ça sera sûrement scripté d'ailleurs.

Ah voui au passage, j'ai entre les mains deux cartes Intel Pro/1000MT quad ports Gigabit sur PCI-X 133 !! C'est pour les futurs deux firewalls (en failover). Du coup avec les deux Broadcom giga intégrés aux CM bah ça fait 6 ports physiques par bécane et qui supportent tous les liens VLAN trunk, ça laisse un sacré paquet de possibilités après !

EDIT : des photos :

ces cartes marchent pas mal en effet

Euh, j'ai regardé la doc de pfsense (celle recommandée), et apparemment pour l'utiliser avec une neufbox il faut paramétrer cette dernière en "bridge", en modem quoi si j'ai bien compris.
Or, vu que j'ai le téléphone IP qui passe par la neufbox, je suis obligé de la configurer en routeur.
Du coup, je me demande si jeu peux connecter la neufbox sur un pc pfsense dans cette configuration ?

@+

Ouais tu peux quand même.
Tu peux mettre ton pfSense en pont filtrant (bridge firewall transparent).

Sinon y'a pas moyen de garder le tel IP en le reliant à ton fw/routeur, pour pouvoir mettre la box en modem ?

tu peux mettre plusieurs routeur-nat l'un au bout de l'autre sans soucis ... fais juste en sorte d'avoir des réseaux "lan" ip différents pour chaques routeurs ... et voila !

Je fonctionne comme ca avec ma freebox qui plante en mode bridge mais pas en routeur.

Euh, j'ai regardé la doc de pfsense (celle recommandée), et apparemment pour l'utiliser avec une neufbox il faut paramétrer cette dernière en "bridge", en modem quoi si j'ai bien compris.
Or, vu que j'ai le téléphone IP qui passe par la neufbox, je suis obligé de la configurer en routeur.
Du coup, je me demande si jeu peux connecter la neufbox sur un pc pfsense dans cette configuration ?

@+

j'ai la téléphonie + tv et elel est en modem, aucun soucis.
Au cul j'ai un firewall netgear FVS336G .

Le problème par contre c'est le truc pour lire les fichiers contenu dans ton pc à partir de la neuf tv ca, ca marche pu ...