SBFC przed instalacj¹ wymaga odpowiedniego

Transkrypt

PROFESJONALNE USŁUGI BEZPIECZEŃSTWA
Przewodnik instalacji i konfiguracji
StoneBeat FullCluster for FireWall-1
Opracował:
Mariusz Stawowski
Certified StoneBeat FullCluster Engineer
Zapewnienie stałej dostępności usług systemu informatycznego jest ważnym
kryterium bezpieczeństwa, mającym w wielu instytucjach duże znacznie, często bardziej
istotne od pozostałych kryteriów: poufności, autentyczności, integralności, czy
niezaprzeczalności działania. Utrzymywanie dostępności systemu w środowisku sieci
lokalnej LAN zwykle koncentruje się na serwerach usług i z reguły oprócz kwestii
finansowych nie stanowi dużego problemu. Zwykle sami producenci za odpowiednio wyższą
cenę oferują urządzenia z komponentami redundancyjnymi, bądź też konfiguracje klastrów
złożonych z wielu maszyn. Zagadnienia tworzenia systemów odpornych na awarie przyjmują
zupełnie inny wymiar w środowisku sieci rozległych, takich jak Internet. Dostępność usług
systemu informatycznego funkcjonującego w sieci Internet zależy od wielu różnych
czynników (np. urządzeń sieciowych, łącz transmisyjnych, systemów zabezpieczeń).
Z uwagi na specyfikę środowiska Internet, szczególnie istotnym elementem mającym
wpływ na dostępność systemu są środki bezpieczeństwa zastosowane do ochrony serwerów
usług przed niepożądanym działaniem złośliwych użytkowników Internetu, potocznie
nazywanych
hakerami.
Podstawowym
elementem
zabezpieczeń
sieciowych
odpowiedzialnym za odpieranie tego typu ataków jest system zaporowy Firewall. Ważne jest
więc, aby także Firewall posiadał środki zabezpieczające go przed awariami sprzętowymi i
programowymi. Konfiguracje systemów Firewall zawierających mechanizmy ochrony przed
awariami określane są terminem High Availability (HA).
W konfiguracji HA system zaporowy składa się z dwóch lub więcej maszyn Firewall,
które kontrolują się wzajemnie i w razie wystąpienia awarii przejmują zadania uszkodzonej
maszyny bez utraty otwartych połączeń sieciowych. Wchodzące w skład HA maszyny
Firewall są odpowiednio ze sobą zsynchronizowane oraz w większości konfiguracji posiadają
także mechanizmy wykrywania awarii i automatycznego przejmowania zadań uszkodzonej
maszyny. Synchronizacja polega na współdzieleniu przez maszyny Firewall tablic stanu
połączeń, tak aby każdy Firewall wiedział jakie połączenia sieciowe przechodzą przez
pozostałe maszyny i jaki jest ich stan. Operacja przejmowana roli innego Firewall
(uszkodzonego lub wyłączonego) określana jest terminem Switch Over.
Dostępne na rynku komercyjnym produkty Firewall zwykle oferują możliwości
tworzenia systemów zaporowych odpornych na awarie. Konfiguracje HA różnych
producentów często różnią pod względem funkcjonalności i skuteczności. Funkcjonalność
HA określana jest poprzez rodzaje połączeń, które mogą zostać zabezpieczone (np. zwykłe
połączenia TCP/IP, połączenia poddane translacji adresów NAT, sesje zaszyfrowane VPN)
oraz dodatkowe usługi, jak równoważenie obciążenia sieci. Skuteczność HA zależy w
zasadniczym zakresie od rodzaju i jakości testów wykonywanych przez maszyny Firewall
(testów identyfikujących awarie) oraz skuteczności wykonywania operacji Switch Over.
CLICO Sp. z o.o., Al. 3-go Maja 7, 30-063 Kraków; Tel: 12 6325166; 12 2927525; Fax: 12 6323698;
E-mail: [email protected], [email protected].; Ftp.clico.pl.; http://www.clico.pl
Instalacja i konfiguracja StoneBeat FullCluster for FireWall-1
Jednym z najbardziej renomowanych produktów HA na rynku jest StoneBeat
FullCluster (SBFC) firmy StoneSoft. Umożliwia on tworzenie systemów zabezpieczeń
Firewall w konfiguracji Load Balancing lub Hot Stand-by.
Do podstawowych własności SBFC można zaliczyć:
• zabezpieczenie systemu zaporowego Check Point VPN-1/FireWall-1 przed
awariami,
• dynamiczne równoważenie obciążenia maszyn Firewall w klastrze HA,
• skanowalność w zakresie tworzenie i zarządzania klastra HA (tzn. maszyny
Firewall mogą być dodawane lub usuwane z klastra bez konieczność
zatrzymywania pracy całości; maksymalnie można zestawić 32 maszyn).
SBFC należy do licznej rodziny produktów HA, m.in.:
• FullCluster - ochrona przed awariami dla systemów zabezpieczeń Check Point
VPN-1/FireWall-1, Microsoft ISA Server, NAI Gauntlet i Symantec (Axent) Raptor,
• SecurityCluster – ochrona przed awariami dla serwerów zabezpieczeń (m.in.
Trend Micro InterScan VirusWall, Aladdin eSafe, ISS RealSecure Network
Sensor),
• WebCluster - ochrona przed awariami dla serwerów Web i e-commerce,
• CacheCluster - ochrona przed awariami dla serwerów Web Proxy (Cache),
• DNSCluster - ochrona przed awariami dla serwerów DNS,
• ServerCluster - ochrona przed awariami dla serwerów aplikacji,
• StoneGate - system Firewall i VPN z wbudowanymi zabezpieczeniami przed
awariami HA oraz ochroną przed awariami łączy do Internetu i chronionych
serwerów.
 CLICO, 1991-2002.
2
1. Przygotowanie maszyn Firewall w klastrze SBFC
Przed instalacją VPN-1/FireWall-1 oraz SBFC wymagane jest odpowiednie
przygotowanie systemu operacyjnego maszyn Firewall. Przede wszystkim dotyczy to
usunięcia wszystkich protokołów i aplikacji sieciowych poza TCP/IP. Dla przykładu, w
systemie Windows NT nie powinno być NetBIOS, ani też narządzi diagnostycznych do kart
sieciowych typu 3Com dRMON SmartAgent. Zalecane jest, aby z aplikacji sieciowych
Windows NT pozostał jedynie agent SNMP. Procedura przygotowania systemów
operacyjnych Windows NT i SUN Solaris jako platformy Firewall została przedstawiona w
załączniku.
Internet
ruter
hub
IP(2): 192.168.10.17
virtual IP: 192.168.10.1
IP(3): 10.10.10.17
virtual IP: 10.10.10.1
nt6
IP(2): 192.168.10.18
virtual IP: 192.168.10.1
IP(3): 10.10.10.18
virtual IP: 10.10.10.1
IP(1): 192.168.20.17
hostname address
hub
IP: 192.168.20.100
nt3
IP(1): 192.168.20.18
hostname address
switch
Sieć chroniona
Management
 CLICO, 1991-2002.
3
Warunkiem poprawnej pracy klastra SBFC jest odpowiednie skonfigurowanie
parametrów sieciowych:
• Adres IP interfejsu zarządzania Firewall ustalamy jako podstawowy adres
maszyny Firewall Gateway (tzn. hostname address). Jest to jeden z interfejsów
CNIC.
• Do zestawienia połączeń sieciowych możemy wykorzystać przełączniki (switch),
bądź zwykłe koncentratory (hub).
Uwaga:
Zestawiając maszyny Firewall w sieci należy zadbać, aby pakiety przychodzące
na interfejsy ONIC z Internetu, DMZ i sieci chronionych docierały do wszystkich
maszyn w klastrze. W przypadku stosowania przełączników zwykle wymagane
jest skonfigurowanie na tych interfejsach multicast-owych adresów MAC.
Procedura przygotowania maszyny Firewall zależy od systemu operacyjnego:
• SUN Solaris
− Konfigurujemy DNS w pliku /etc/hosts, wpisując nazwy maszyn Firewall oraz
adresy IP ich interfejsów ID CNIC; w pliku /etc/nsswitch.conf modyfikujemy linię
‘hosts: files dns’.
− Konfigurujemy interfejsy Firewall w plikach /etc/hostname.X, wpisując
odpowiednie adresy IP lub nazwy DNS (gdzie X odpowiada nazwie ‘/dev/’ karty
sieciowej). Dedykowane adresy IP przypisujemy fizycznym interfejsom ONIC (np.
hostname.qfe0). Klastrowe adresy IP przypisujemy wirtualnym interfejsom ONIC
(np. hostname.qfe0:1).
Uwaga: Przed ustawieniem klastrowych adresów IP należy odłączyć interfejsy
ONIC z sieci (dotyczy także Windows NT).
− Tworzymy startowy skrypt konfiguracji rutingu (np. /etc/rc3.d/S99staticroutes),
gdzie usuwamy ustawienia rutingu do przyległych sieci poprzez klastrowe adresy
IP (np. route delete net 10.10.10.0 10.10.10.1). Ruting powinien odbywać się
poprzez dedykowane adresy IP.
− W definicji ARP maszyn Firewall (np. /etc/rc2.d/S99AddARP) wprowadzamy
odpowiednie statyczne wpisy ARP dla adresu rutera oraz klastrowych adresów
Firewall: (tzn. arp –s X.X.X.X <MAC>).
 CLICO, 1991-2002.
4
•
−
−
−
−
−
Windows NT
Instalujemy agenta SNMP.
W konfiguracji interfejsów ONIC (ustawienia Advanced) dedykowane adresy IP
wpisujemy jako pierwsze. Adresy IP klastrowe wpisujemy jako drugie.
Konfigurujemy DNS w pliku winnt\system32\drivers\etc\hosts, wpisując nazwy
maszyn Firewall oraz adresy IP ich interfejsów ID CNIC.
Weryfikujemy nazwę komputera w ustawieniach Control Panel -> Network ->
Protocols -> TCP/IP -> DNS.
Konfiguracja ARP jest podobna jak w Solaris. Odbywa się jednak dopiero po
zainstalowaniu VPN-1/FireWall-1 za pomocą pliku $FWDIR/state/local.arp, gdzie
w kolejnych liniach wpisywane są pary <IP> <MAC> (np. 10.10.10.1
01:02:03:04:05:06).
 CLICO, 1991-2002.
5
2. Instalacja i wstępna konfiguracja VPN-1/FireWall-1
Instalujemy i wstępnie konfigurujemy oprogramowanie VPN-1/FireWall-1 na
maszynach Firewall i stacji zarządzającej:
• Licencje dla VPN-1/FireWall-1 Module generujemy na adres IP zewnętrznego
interfejsu ONIC maszyn Firewall Gateway.
• Licencje dla SBFC generujemy na adres podstawowy Firewall Gateway (tzn.
adres IP interfejsu ID CNIC).
• Obiekty Firewall Gateway w polityce bezpieczeństwa definiujemy podając adres
IP interfejsu ID CNIC (tzn. hostname address). Powinien to być podstawowy
adres IP maszyny Firewall Gateway. Adres ten można łatwo ustalić wykonując
polecenie Ping z nazwą komputera Firewall.
• Zalecane jest, aby maszyny Firewall w klastrze SBFC zostały zainstalowane na
tej samej platformie systemu operacyjnego i posiadały tą samą wersję
oprogramowania VPN-1/FireWall-1 (version/SP).
• Stacja zarządzająca powinna posiadać tą samą wersję oprogramowania VPN1/FireWall-1 (version/SP) co maszyny Firewall w klastrze.
W definicji obiektów Firewall dla poszczególnych maszyn w klastrze SBFC dodajemy
interfejsy wirtualne w formie <nazwa interfejsu fizycznego>_1.
 CLICO, 1991-2002.
6
Tworzymy obiekt Gateway Cluster z adresem IP, odpowiadającym wirtualnemu
adresowi interfejsu zewnętrznego maszyn Firewall. Następnie maszyny Firewall dodajemy
do stworzonego obiektu Gateway Cluster.
 CLICO, 1991-2002.
7
3. Ustawienie synchronizacji modułów VPN-1/FireWall-1
Moduły VPN-1/FireWall-1 w klastrze SBFC powinny zostać ze sobą
zsynchronizowane w zakresie aktualizacji wewnętrznych tabel stanu. Wszystkie maszyny
Firewall w klastrze powinny cały czas wiedzieć do dzieje się na pozostałych maszynach, tak
aby w razie awarii jednej z maszyn mogły przejąć połączenia przez nią przechodzące (m.in.
sesje IPSec/IKE).
Dla przykładu konfiguracja synchronizacji dwóch modułów VPN-1/FireWall-1 odbywa
się w następujący sposób:
• Synchronizacja maszyn Firewall odbywa się z użyciem podstawowych
(unikalnych) adresów IP za pomocą protokołu FW1 (256/tcp).
• Na pierwszej maszynie Firewall tworzymy plik $FWDIR/conf/sync.conf
i zapisujemy w nim adres IP lub nazwę DNS drugiej maszyny Firewall.
• Na drugiej maszynie Firewall tworzymy plik $FWDIR/conf/sync.conf i zapisujemy
w nim adres IP lub nazwę DNS pierwszej maszyny Firewall.
• Na pierwszej maszynie Firewall za pomocą polecenia "fw putkey" uwierzytelniamy
kanał komunikacji z drugą maszyną Firewall.
• Na drugiej maszynie Firewall za pomocą polecenia "fw putkey" uwierzytelniamy
kanał komunikacji z pierwszą maszyną Firewall.
• Restartujemy moduły VPN-1/FireWall-1 na obu maszynach Firewall
(fwstop/fwstart).
Synchronizacja stanu modułów VPN-1/FireWall-1 odbywa się w odstępach
czasowych 100 milisekund. Zalecane jest, aby wszystkie maszyny klastra SBFC zostały
także zsynchronizowane czasowo (tzn. czas i data systemowa, strefa czasowa). Można do
tego celu użyć narzędzia dostępne w systemie operacyjnym, np.:
• timeserv z Windows NT Resorce Kit (ewentualnie polecenie net time z
odwołaniem do istniejącego serwera czasu w sieci),
• xntpd w SUN Solaris.
 CLICO, 1991-2002.
8
4. Instalacja sterowników, modułów i narzędzi SBFC
4.1 Instalacja w systemie SUN Solaris
SBFC zastępuje interfejsy maszyny Firewall swoimi wirtualnymi interfejsami,
widzianymi w systemie operacyjnym pod nazwą SBIF. Przed instalacją SBFC na maszynach
Firewall z systemem operacyjnym SUN Solaris wymagane jest dodanie tych interfejsów do
listy interfejsów akceptowanych przez VPN-1/FireWall-1:
• w pliku /etc/fw.boot/ifdev dopisujemy linię ‘sbif accept’
Instalując SBFC należy wybrać komponenty odpowiednie dla maszyn Firewall i stacji
zarządzającej. W systemie Solaris na maszynie Firewall instalujemy zwykle wszystkie
komponenty, tzn.:
• SBFCbase – zestaw narzędzi zarządzania,
• SBFCdrv – sterowniki HA,
• SBFCmod – moduł HA,
• SBFCsnmp – agent SNMP wraz z narzędziami,
• SBFCconf – moduł zarządzania poprzez Web,
• SBFCgui – moduł zarządzania poprzez GUI.
Zdalna stacja zarządzająca SBFC, która służy także do administracji Check Point
VPN-1/FireWall-1 najczęściej jest na platformie Windows NT.
Po zainstalowaniu SBFC należy ustawić zmienną środowiskową SBFCHOME oraz
ścieżkę PATH. Dla przykładu, dla powłok sh, ksh i bash w pliku .profile wpisujemy:
SBFCHOME=/opt/fullcluster
export SBFCHOME
PATH=${PATH}:${SBFCHOME}/bin
export PATH
 CLICO, 1991-2002.
9
4.2 Instalacja w systemie Windows NT
Instalację SBFC na maszynach Firewall z systemem operacyjnym Windows NT
rozpoczynamy od zainstalowania sterownika StoneBeat Driver:
• Control Panel -> Network -> Protocols -> Add -> Have disk ->
<CD>\FireWall-1\nt\Module
Po zainstalowaniu sterowników SBFC i przeładowaniu maszyny Firewall w systemie
operacyjnym pojawią się wirtualne interfejsy sieciowe, widziane pod nazwą SBIF.
Konfiguracja rzeczywistych interfejsów zostaje skopiowana na interfejsy wirtualne.
 CLICO, 1991-2002.
10
Pierwotna konfiguracja interfejsów
sieciowych maszyny Firewall
Konfiguracja interfejsów sieciowych po
instalacji sterownika SBFC
Ethernet adapter El90x1:
Description: 3Com EtherLink PCI
Physical Address: 00-01-02-DF-D1-29
IP Address: 192.168.20.17
Subnet Mask: 255.255.255.0
Ethernet adapter SBIfMP4:
Description: SBIfMP4 3Com EtherLink PCI
Physical Address: 00-10-4B-C7-A3-AE
IP Address: 192.168.10.1
Subnet Mask: 255.255.255.0
IP Address: 192.168.10.17
Subnet Mask: 255.255.255.0
Default Gateway: 192.168.10.254
Physical Address: 00-01-02-F7-87-E3
IP Address: 10.10.10.1
Subnet Mask: 255.255.255.0
IP Address: 10.10.10.17
Subnet Mask: 255.255.255.0
Physical Address: 00-10-4B-C7-A3-AE
IP Address: 192.168.10.1
Subnet Mask: 255.255.255.0
IP Address: 192.168.10.17
Subnet Mask: 255.255.255.0
Default Gateway: 192.168.10.254
Physical Address: 00-01-02-DF-D1-29
IP Address: 192.168.20.17
Subnet Mask: 255.255.255.0
Physical Address: 00-01-02-F7-87-E3
IP Address: 10.10.10.1
Subnet Mask: 255.255.255.0
IP Address: 10.10.10.17
Subnet Mask: 255.255.255.0
Po zainstalowaniu sterowników StoneBeat Driver i przeładowaniu maszyny Firewall
należy zainstalować pozostałe komponenty SBFC:
• Module – moduł HA oraz rozszerzenia agenta SNMP,
• Control Tools – narzędzia zarządzania z linii komend,
• Configuration Programs – konsola zarządzania GUI i Web.
Dalsza konfiguracja SBFC może odbywać się za pomocą konsoli GUI lub Web. Do
uruchomienia klastra wymagane jest ustawienie:
• kluczy i certyfikatów SSL,
• parametrów modułu SBFC,
• interfejsów maszyn w klastrze SBFC,
• klucza Passphrase PEM modułu SBFC (hasło dostępu do prywatnych kluczy
kryptograficznych modułu SBFC wykorzystywane w czasie startu systemu,
używane także przez konsolę z linii komend),
• Licencji produktu.
Podstawowa konfiguracja modułu SBFC zapisywana jest w pliku node.conf.
Uwaga: Po zainstalowaniu SBFC należy uaktualnić nazwy interfejsów sieciowych w
definicji obiektów VPN-1/FireWall-1.
 CLICO, 1991-2002.
11
5. Klucze i certyfikaty SSL
Komunikacja pomiędzy modułami SBFC oraz konsolą GUI i konsolą z linii komend
jest zabezpieczona kryptograficznie za pomocą protokołu SSL. Generowanie kluczy
(szyfrowania, uwierzytelniania) oraz certyfikatów cyfrowych dla wszystkich elementów klastra
SBFC (tzn. modułów SBFC, konsoli GUI, konsoli z linii komend) odbywa się zwykle na jednej
stacji, skąd po ich wygenerowaniu odpowiednie pliki są przekopiowywane. Można do tego
celu użyć narzędzia GUI lub Web.
Generowanie kluczy i certyfikatów rozpoczynamy od Urzędu Certyfikacji (CA).
Następnie generujemy klucze i certyfikaty dla konsoli GUI, konsoli z linii komend oraz
poszczególnych modułów SBFC.
 CLICO, 1991-2002.
12
Klucze i certyfikaty SSL generowane dla poszczególnych elementów klastra należy
na bieżąco kopiować do katalogów Back-up tak, aby nie zostały nadpisane przez klucze
i certyfikaty tworzone dla kolejnych elementów. Po wygenerowaniu całości określone pliki
należy przekopiować do odpowiednich elementów klastra SBFC:
1. Klucze i certyfikaty dla konsoli zarządzania GUI zapisujemy na stacji
zarządzającej jako:
• etc/<nazwa klastra>/guikey.pem
• etc/<nazwa klastra>/guicerts.pem
2. Klucze i certyfikaty dla konsoli z linii komend zapisujemy na stacji zarządzającej
jako:
• etc/sbfckey.pem
• etc/sbfccert.pem
3. Plik clients, zawierający listę nazw CN (common name) certyfikatów klientów
zarządzania, zapisujemy w katalogu etc na wszystkich maszynach Firewall w
klastrze.
4. Certyfikat Urzędu Certyfikacji cacert.pem zapisujemy do katalogu etc na każdej
maszynie Firewall oraz stacji zarządzającej.
5. Plik z parametrami algorytmu Diffiego-Hellmana dhparams.pem zapisujemy do
katalogu etc na każdej maszynie Firewall oraz stacji zarządzającej.
6. Klucze i certyfikaty modułu SBFC zapisujemy na maszynie Firewall jako:
• etc/modulekey.pem
• etc/modulecert.pem
SBFC obsługuje certyfikaty cyfrowe utworzone za pomocą algorytmów DSA i RSA.
Zawarty w SBFC program do tworzenia certyfikatów używa algorytmu DSA. Generowane
klucze i certyfikaty SSL są zapisywane w formacie Private Enhanced Mail (PEM). Klucze
prywatne są zabezpieczone za pomocą haseł PEM Passphrase.
 CLICO, 1991-2002.
13
6. Konfiguracja parametrów modułu SBFC
Konfiguracja maszyn Firewall w klastrze SBFC może odbywać się z konsoli GUI lub
Web. Za pomocą konsoli Web istnieje także możliwość skonfigurowania całości klastra z
jednej maszyny.
Konfiguracja modułu (węzła) SBFC obejmuje następujące parametry:
• Node ID – unikalny identyfikator maszyny Firewall w klastrze SBFC.
• Cluster ID – identyfikator klastra SBFC; powinien być taki sam na wszystkich
maszynach w klastrze.
• Failover-time – czas braku odpowiedzi z modułu SBFC po upływie, którego
maszyna jest uznawana za uszkodzoną i rozpoczyna się jej odłączanie z klastra;
w razie nie wpisania wartości parametru zostanie przyjęta wartość domyślna.
• Capacity – wydajność maszyny Firewall ustalana za pomocą specjalnego
programu (benchmark).
• Protocol Message Period – częstość, z jaką moduł SBFC wysyła komunikaty
Heartbeat; w razie nie wpisania wartości parametru zostanie przyjęta wartość
domyślna.
• Load Measurement Interval – częstość, z jaką moduł SBFC sprawdza obciążenie
maszyny Firewall; zwykle przyjmuje się wartość 15 sekund.
• Node Priority – parametr przewidziany do przyszłych zastosowań.
• Cluster Standby Mode – tryb pracy klastra: Load Balancing lub Hot Stand-by.
• Node Start-up Mode – stan, jaki moduł SBFC przyjmuje po restarcie systemu; w
klastrze z Load Balancing zwykle ustala się ‘stand-by’ tak, aby moduł po
wykonaniu testów kontrolnych automatycznie przeszedł do stanu ‘on-line’.
 CLICO, 1991-2002.
14
7. Konfiguracja interfejsów sieciowych SBFC
Interfejsy maszyn Firewall w klastrze SBFC konfigurowane są w zależności od
pełnionej roli (ONIC, CNIC, Heartbeat) oraz sposobu podłączenia do sieci (hub, switch).
•
Adres interfejsu ID CNIC ustalamy jako adres
zarządzania.
•
Konfiguracja interfejsu CNIC, poprzez który
odbywa się także komunikacja Heartbeat.
•
Konfiguracja interfejsu ONIC podłączonego do
koncentratora (hub).
•
Konfiguracja interfejsu ONIC podłączonego
do przełącznika.
 CLICO, 1991-2002.
15
8. Konfiguracja filtru równoważenia obciążenia
Konfiguracja filtru równoważenia obciążenia maszyn Firewall w klastrze SBFC
odbywa się w pliku filter.conf. Każdy z węzłów w klastrze SBFC powinien posiadać takie
same ustawienia filtru. W przeciwnym przypadku w klastrze komunikacja sieciowa może
odbywać się w sposób niepoprawny (np. ruting asymetryczny). Ustawienia filtra wymagane
są m.in. dla następujących usług i protokołów:
•
FTP,
•
NAT,
•
VPN.
Przykładowe ustawienia:
filter-mode = dynamic
Połączenia w klastrze są dynamicznie rozdzielane pomiędzy maszyny Firewall w
razie gdy jedna z maszyn jest przeciążona. Jest to ustawienie domyślne.
filter-mode = static
Połączenia w klastrze są dynamicznie rozdzielane pomiędzy maszyny Firewall tylko
w razie gdy jedna z maszyn przechodzi ze stanu online na offline.
node = all
designated-ip = 1 192.168.10.0 netmask 255.255.255.0
Węzeł 1 obsługuje pakiety z/do sieci 192.168.10.0, gdy jest w stanie online.
node = 1
pass-ip = 192.168.10.0 netmask 255.255.255.0
node = 2
filter-ip = 192.168.10.0 netmask 255.255.255.0
Węzeł 1 obsługuje pakiety z/do sieci 192.168.10.0, gdy jest w stanie online.
preferred-ip = 1 10.10.10.0 netmask 255.255.255.0
Węzeł 1 obsługuje pakiety z/do sieci 10.10.10.0, gdy jest w stanie online. Zalecane
ustawienie dla VPN i NAT Pool.
tunnel = 192.168.10.1 192.168.20.1 10.10.10.0 netmask 255.255.255.0
Tunel VPN przebiega z IP: 192.168.10.1 do 192.168.20.1. Odległa domena VPN to
sieć IP: 10.10.10.0 / 255.255.255.0.
ignore-port = 20 21
Ignorowanie portów TCP 20 i 21 w czasie równoważenia obciążenia tak, aby
połączenia kontrolne oraz danych w sesji FTP przechodziły przez ten sam węzeł.
 CLICO, 1991-2002.
16
static-nat-ip = 10.10.10.0 netmask 255.255.255.0
static-nat-ip = 192.168.1.0 netmask 255.255.255.0
Ustawienia wymagane przez statyczny NAT, gdzie IP: 192.168.1.0
publiczne, zaś IP: 10.10.10.0 to adresy prywatne.
hide-nat-ip = 10.10.10.0 netmask 255.255.255.0
hide-nat-ip = 192.168.1.1
Ustawienia wymagane przez dynamiczny NAT, gdzie IP: 192.168.1.1
publiczny, zaś IP: 10.10.10.0 to adresy prywatne.
to adresy
to adres
Zdefiniowane na FireWall-1 reguły translacji NAT można także odczytać za pomocą
opcji w GUI SBFC i zapisać do pliku filter-nat.conf.
9. Testy stanu maszyn Firewall w klastrze SBFC
Awarie sprzętowe maszyn Firewall wykrywane są przez protokół heartbeat. Protokół
heartbeat działa na dedykowanych interfejsach maszyn Firewall jako multicast Ethernet.
Zmiany adresów MAC na multicastowe dokonuje moduł SBFC (tzn. nie jest to konfigurowane
w systemie operacyjnym).
Wykrywanie innych nieprawidłowości odbywa się poprzez
zdefiniowane w pliku checklist, np.:
multiping 5 online offline 2 1000 multiping <adres IP>
firewall-module-on 3 online offline 1 1 fw-module-running
“virtual memory” 120 online offline 1 1 virtual-memory 50000
ext_onic_up 60 online alert 1 1 networkinterface-up sbif0
“system log” 1000 online alert 1 1 systemlog /var/adm 3000
filesystem 1200 online offline 1 1 filesystem /var 10000
 CLICO, 1991-2002.
testy
kontrolne
17
10. Aktywowanie zmian konfiguracji
Aktywowanie zmian konfiguracji SBFC odbywa się za pomocą poniższej sekwencji
poleceń:
#sbfc
sbfc>reconfigure all
sbfc>restart all
/* sbfc abortconfig – odwołanie komendy sbfc reconfigure */
11. Skrypty zmiany stanu i alarmowe
W SBFC występują dwa skrypty uruchamiane w czasie zmiany stanu węzłów:
• zmiana stanu na online: online.sh (Unix), online.bat (NT),
• zmiana stanu na offline: offline.sh (Unix), offline.bat (NT).
W/w skrypty należy utworzyć i zapisać w katalogu $SBFCHOME/etc. Dla przykładu
można za ich pomocą informować administratorów o zmianach stanu w klastrze SBFC
poprzez email.
#!/bin/sh
/usr/bin/mailx –s ”SBFC” root <<EOF
Maszyna FW o nazwie ‘/bin/hostname’
przyjela stan OFFLINE o ‘/bin/date’
EOF
Oprócz w/w skryptów można używać także skryptów alarmowych alert.sh (Unix) lub
alert.bat (NT) jako reakcji na niepomyślne wykonanie testów kontrolnych SBFC.
 CLICO, 1991-2002.
18
12. Zarządzanie i monitorowanie klastra SBFC
Zarządzanie i monitorowanie SBFC odbywa się za pomocą interfejsu StoneBeat GUI
(sbgui), Windows GUI (tylko na platformie Windows NT), interfejsu Web
(http://localhost:3003/configure/) oraz z linii komend (sbfcconfig). Wstępna konfiguracja
całego klastra SBFC sprawnie odbywa się z jednej maszyny za pomocą interfejsu Web
(http://localhost:3003/install/). Na wszystkich maszynach należy wcześniej ustalać adresy IP
do zarządzania.
Stan węzłów w klastrze SBFC po restarcie zależy od ustawień Start-up:
• stand-by – po pozytywnym zakończeniu testów przechodzi w stan online,
• offline – bez testów przechodzi w stan offline.
Administrator SBFC może z linii komend zmienić stan węzła:
• sbfc online <numer węzła>
• sbfc offline <numer węzła>
• sbfc forceoffline <numer węzła> - zmienia stan na offline nawet, gdy jest to
ostatni sprawny węzeł
Po awarii węzła administrator SBFC
naprawionego węzła z offline na online.
powinien
ręcznie
zmienić
stan
Administrator SBFC może z linii komend zablokować węzeł w określonym stanie:
• sbfc lockonline <numer węzła>
• sbfc lockoffline <numer węzła>
Zachowanie węzła po restarcie maszyny Firewall zależy od stanu, w jakim został
zablokowany tzn.:
• offline locked – pozostaje w tym stanie,
• online locked – odblokowuje się.
Stan węzłów w klastrze SBFC odczytuje się za pomocą komend:
• sbfc status
• sbfc getinfo
 CLICO, 1991-2002.
19

SBFC przed instalacj¹ wymaga odpowiedniego

Transkrypt

Podobne dokumenty

Dostawa urządzenia firewall Juniper SRX

Nowe pliki w różnych kategoriach

Załacznik Nr 2a do SIWZ

Chronimy przed złośliwością

75,00 PLN brutto

Sieci Komputerowe

Procedura konfiguracji Entrust/PKI i Check Point VPN-1

Bezpieczeństwo aplikacji webowych

Cyberprzemoc - ornontowice.edu.pl