firewalling pfsense-part2
DESCRIPTION
Slide del seminario DiTeDi 2012 su firewall OpenSource pfSense - parte 2TRANSCRIPT
Michele Della Marina - Dario Tion pfSense - soluzione firewall opensource
pfSensesoluzione firewall opensource
Michele Della MarinaMichele Della MarinaDario TionDario Tion
Settembre, 2012Settembre, 2012
Michele Della Marina - Dario Tion pfSense - soluzione firewall opensource
pfSensesoluzione firewall opensource
pfSense is a free, open source customized distribution of pfSense is a free, open source customized distribution of FreeBSD tailored for use as a firewall and routerFreeBSD tailored for use as a firewall and router
www.pfsense.orgwww.pfsense.org
FreeBSD
Michele Della Marina - Dario Tion pfSense - soluzione firewall opensource
pfSensesoluzione firewall opensource
http://doc.pfsense.org/
DOCUMENTAZIONEDOCUMENTAZIONE
pfSense: The Definitive Guide
Michele Della Marina - Dario Tion pfSense - soluzione firewall opensource
pfSensesoluzione firewall opensource
INSTALLARE PFSENSEINSTALLARE PFSENSE
Live CDLive CDFull InstallFull InstallEmbeddedEmbeddedVirtual ApplianceVirtual Appliance
Michele Della Marina - Dario Tion pfSense - soluzione firewall opensource
pfSensesoluzione firewall opensource
REQUISITI HARDWARE
Funzionalità richiesteThroughput necessario
Michele Della Marina - Dario Tion pfSense - soluzione firewall opensource
pfSensesoluzione firewall opensource
CPU - 100 MHz Pentium
RAM - 128 MB
1 GB hard drive
512 MB Compact Flash
Serial port for console
REQUISITI MINIMI DI SISTEMAREQUISITI MINIMI DI SISTEMA
Michele Della Marina - Dario Tion pfSense - soluzione firewall opensource
pfSensesoluzione firewall opensource
STATI RAM (MB)
100.000 97
500.000 488
1.000.000 976
3.000.000 2.900
1 STATO ~ 1KB RAM
REQUISITI HARDWAREREQUISITI HARDWAREStateful InspectionStateful Inspection
Michele Della Marina - Dario Tion pfSense - soluzione firewall opensource
pfSensesoluzione firewall opensource
REQUISITI HARDWAREREQUISITI HARDWAREThroughput vs CPU/NICThroughput vs CPU/NIC
MMX 200 MHz II 350 MHz III 700 MHz IV 1.7 GHz0
50
100
150
200
250
300
350
400
Realtek
Intel Pro/1000
CPU
Thr
oug
hput
(M
bps)
A snippet of a comment in the source code for this driver tells the story "The RealTek 8139 PCI NIC redefines the meaning of 'low end.' This is probably the worst PCI Ethernet controller ever made, with the possible exception of the FEAST chip made by SMC."
Michele Della Marina - Dario Tion pfSense - soluzione firewall opensource
pfSensesoluzione firewall opensource
REQUISITI HARDWAREREQUISITI HARDWAREVPN (IPSEC) Throughput vs CPUVPN (IPSEC) Throughput vs CPU
CPU 266 MHz CPU 500 MHz CPU XEON 800 FSB MHz0
10
20
30
40
50
60
70
80
90
100
Throughput
Thr
oug
hput
(M
bps)
Michele Della Marina - Dario Tion pfSense - soluzione firewall opensource
pfSensesoluzione firewall opensource
REQUISITI HARDWAREREQUISITI HARDWAREVPN (IPSEC) Throughput vs CPUVPN (IPSEC) Throughput vs CPU
Michele Della Marina - Dario Tion pfSense - soluzione firewall opensource
pfSensesoluzione firewall opensource
PROCESSI INSTALLAZIONE
Michele Della Marina - Dario Tion pfSense - soluzione firewall opensource
pfSensesoluzione firewall opensource
ASSEGNAZIONE INTERFACCEASSEGNAZIONE INTERFACCE
OPT
LAN
WAN
Michele Della Marina - Dario Tion pfSense - soluzione firewall opensource
pfSensesoluzione firewall opensource
ASSEGNAZIONE INTERFACCEASSEGNAZIONE INTERFACCE
Michele Della Marina - Dario Tion pfSense - soluzione firewall opensource
pfSensesoluzione firewall opensource
PFSENSE CONSOLEPFSENSE CONSOLE
Michele Della Marina - Dario Tion pfSense - soluzione firewall opensource
pfSensesoluzione firewall opensource
WEB MANAGEMENTWEB MANAGEMENT
Michele Della Marina - Dario Tion pfSense - soluzione firewall opensource
pfSensesoluzione firewall opensource
WEB MANAGEMENT: INTERFACCEWEB MANAGEMENT: INTERFACCE
Michele Della Marina - Dario Tion pfSense - soluzione firewall opensource
pfSensesoluzione firewall opensource
ALIAS: variabile per agevolare scrittura delle regole
Michele Della Marina - Dario Tion pfSense - soluzione firewall opensource
RULES: DEFINIZIONERULES: DEFINIZIONE
Everything that isn't explicitly passed is blocked by defaultEverything that isn't explicitly passed is blocked by default
Michele Della Marina - Dario Tion pfSense - soluzione firewall opensource
pfSensesoluzione firewall opensource
NATNAT
Michele Della Marina - Dario Tion pfSense - soluzione firewall opensource
pfSensesoluzione firewall opensource
ROUTING
Dove devo andare per andaredove voglio andare?
Michele Della Marina - Dario Tion pfSense - soluzione firewall opensource
DEFAULT RULES / NATDEFAULT RULES / NAT
LANWAN
NAT
Michele Della Marina - Dario Tion pfSense - soluzione firewall opensource
pfSensesoluzione firewall opensource
Michele Della Marina - Dario Tion pfSense - soluzione firewall opensource
pfSensesoluzione firewall opensource
SITE-2-SITESITE-2-SITE
IPsecOpenVPN
IPsecPPTPOpenVPN
ROAD WARRIOR CLIENT 2 SITEROAD WARRIOR CLIENT 2 SITE
VPN: Virtual Private NetworkVPN: Virtual Private Network
Michele Della Marina - Dario Tion pfSense - soluzione firewall opensource
pfSensesoluzione firewall opensource
VPN: Virtual Private NetworkVPN: Virtual Private Network
Quale VPN?
Michele Della Marina - Dario Tion pfSense - soluzione firewall opensource
pfSensesoluzione firewall opensource
CA - Certification AuthorityCA - Certification Authority
Michele Della Marina - Dario Tion pfSense - soluzione firewall opensource
pfSensesoluzione firewall opensource
Traffic Shaping
QOS / BANDWIDTH MANAGEMENTQOS / BANDWIDTH MANAGEMENT
Michele Della Marina - Dario Tion pfSense - soluzione firewall opensource
pfSensesoluzione firewall opensource
Traffic Shaping
WIZARD: almeno 80 REGOLE QOS WIZARD: almeno 80 REGOLE QOS
Michele Della Marina - Dario Tion pfSense - soluzione firewall opensource
pfSensesoluzione firewall opensource
Traffic Shaping
LAYER 7 PATTERNLAYER 7 PATTERN
smtp^220[\x09-\x0d -~]* (e?smtp|simple mail)userspace pattern=^220[\x09-\x0d -~]* (E?SMTP|[Ss]imple [Mm]ail)userspace flags=REG_NOSUB REG_EXTENDED
http://l7-filter.sourceforge.net/Pattern-HOWTO
Michele Della Marina - Dario Tion pfSense - soluzione firewall opensource
pfSensesoluzione firewall opensource
PACKAGES / SERVIZIPACKAGES / SERVIZI
DHCPDHCPDNSDNSCAPTIVE PORTALCAPTIVE PORTALFREERADIUSFREERADIUSIDS/IPS (Snort)IDS/IPS (Snort)BGP ROUTINGBGP ROUTINGINTERNAL CAINTERNAL CA
Michele Della Marina - Dario Tion pfSense - soluzione firewall opensource
pfSensesoluzione firewall opensource
SYSTEM LOGSYSTEM LOG
Michele Della Marina - Dario Tion pfSense - soluzione firewall opensource
pfSensesoluzione firewall opensource
HIGH AVAILABILITYHIGH AVAILABILITY
Michele Della Marina - Dario Tion pfSense - soluzione firewall opensource
pfSensesoluzione firewall opensource
ESEMPIO DI CONFIGURAZIONEESEMPIO DI CONFIGURAZIONE
Michele Della Marina - Dario Tion pfSense - soluzione firewall opensource
pfSensesoluzione firewall opensource
BIBLIOGRAFIA ed IMMAGINI
Famiglia Simpson :-)http://en.wikipedia.org/wiki/Morris_wormhttp://en.wikipedia.org/wiki/Firewall_(computing)#cite_note-report_unm-2
www.symantec.comwww.malaboadvisoring.itwww.google.comwww.vmware.comwww.laontalk.comwww.guidaacquisti.net/www.wikimedia.orgwww.39italia.comit.123rf.com/www.silhouettesclipart.comwww.thenetworkthinkers.com/www.neomedia.itwww.diablotin.comwww.wired.comwww.cisco.comwww.simonecossu.it
RIFERIMENTIRIFERIMENTI