Større firewall løsning

Hvad er økonomien for løsninger er der nok af. Taler vi highend eller økonomiklasse. Større kan jo både betyde mange og dyr

Jeg vil umiddelbart sige op til ca. DKK 30.000 - afhængigt af features. Udfordringen ligger i validering og vedligeholdelse op mod whitelisten. Principielt kan de øvrige ønsker håndteres af andre dedikerede apparater.

Det var godt jeg spurgde 30.000,- er ikke meget i den sammenhæng, hvor f.eks. en firewall-1 med failover og lidt andet godt, let kommer over 500.000,-

Hvad du vælger kommer lidt an på den viden du har eller er parat til at skaffe dig, for tingende skal jo sættes op og vedligeholdes. Jeg er to modeller

Løsnings model I:Open source modellen. Her bruges gode open source produkter og økonomien bruges til viden og infrastruktur. Fordelen ved denne løsning er at den er let og billig at udvide/ændre når først viden er i hus. Ulempen er at den kræver en den viden, der dog er til at skaffe:

En linux firewall netfilter, men Squid og Jenna oven på. Høj sikkerhed hvis det sættes ordentligt op. Bør kombineres med firewall funktionalitet i routeren og evt proxy funktionalitet længere inde i sitet, Her kunne Microsoft ISA være et relativt billigt alternativ. En af pointerne er teknologiskifter mellem de forskellige enheder f.eks. således:

cisco router ------Linux firewall -------- microsoft ISA prozy

Det kræver stor viden og uheldige omstændigheder at give en hacker adgang


Løsnings model II:Cisco PIX modellen. Cisco PIX er en meget polulær firewall serie, mest på grund af sikkerhed til prisen. Denne gode firewall er prissæt så alle kan være med. Der findes forskellige interfaces, der muliggør konfiguration uden at have den store viden på området, selvom dette selvfølgelig er en stor fordel

Begge løsninger kan leve op til dine need krav, hvis du køber det rigtige og sætter det ordentligt op.

Begge løsninger kan også leve op til dine nice krav, igen hvis du køber det rigtige.

Jeg må dog advare, 30.000 kommer du ikke langt for og du skal være vågen når du handler, indkøbsprisen er nemlig det mindste punkt på budgettet. Opsætning, vedligeholdelse og udvidelser kommer hurtigt til at koste meget mere.

Du kan kikke på Cisco VPN gatewat, FreeSwan VPN til linux, cluster løsninger til både windows og linux, mm

Hej,

Jeg er ikke så bekymret for at skulle bygge en Linux løsning. Jeg er mere bekymret for håndteringen af de mange whitelist ipadresser. 10000 "pass by source IP'er" * 2-3 regler er dog en smule. Måske er antallet af regler uden betydning, men håndteringen af de mange regler peger bestemt på en løsning med en database backend.

Jeg ved der findes et utal af RADIUS løsninger, men mig bekendt er RADIUS mere egnet til brugervalidering end til "opbevaring af firewall regler".

Cisco PIX er en glimrende firewall. Der er endvidere en vis sandsynlighed for at jeg kan finde ny tilsvarende HW hvis en PIX brænder af indenfor 2-3 år. Derfor var Pix'en også min første umiddelbare indskydelse. Men igen - manageability. Det bli'r ikke nemt at håndtere de mange regler.

det kan gøres relative let ved at lave en liste, text eller database, med disse whitelistede adresser og så i scriptet referere til listen så du ikke skal rette i selve scriptet hver gang en ny adresse skal tilføjes

Need to have:
* 10000 whitelist IP adresser - gerne validering mod SQL db eller LDAP
* 20Mbps throughput

Disse kravene slik som de umiddelbart står spesifisert tviler jeg på at en standard Linux firewall kan håndtere. Hvis det er snakk om å sjekke hver eneste pakke mot 10000 individuelt godkjente ip adresser så fikk den jo litt å gjøre. Da skulle det vel ikke bli mye til troughput.

Hvis det allikevell skulle kunne la seg gjøre så vil jeg tro at følgende metoder skulle kunne brukes:

1. 10.000 enkeltadresser lar seg kanskje slå sammen til noen færre nettverksadresser ?

2. Mon det kunne være mulig å bygge inn på en eller annen måte en "hukommelse" eller en form for "dynamisk genrering av firewall rules". På denne måte så sjekkes i prinsipp kun den første pakke i en session mot de 10.000 ip'er. Når denne så er godkjent så ligger det da i en "cache" eller "dynamisk generert rule" en godkjenning for en viss periode for denne avsender ip. På denne måten så vil det bare være den første ip som det vil ta ekstra tid å sjekke opp, mens den resterende del av trafikken til en sesion skulle kunne kjøre med "normal hastighet".

Har aldri laget noe slikt, men skulle tro at prinsippet skulle kunne fungere, i hvert fall hvis det er relativt få forsskjellige samtidige klienter (avsender ip) det er snakk slik at det ikke genereres for mange oppslag mot "den store databasen".

Hvordan skulle en MS ISA server kunne håndtere disse kravene ?

Mig bekendt kigger en firewall stort set kun på den første pakke i en TCP stream, hvis ikke der benyttes content screening. Hvis pakken godkendes opsættes en entry i NAT translation table og herefter er der tale om næste ren routing. Dvs. at der ikke er de helt store performance krav.

I mit tilfælde betyder connection setup time ikke det helt store, hvorfor jeg egentlig har tid til et databaseopslag pr. connection attempt. Alternativt kunne man scripte sig ud af problematikken under firewallopstart... Dvs. hent whitelist fra db->generer regler-> apply regler. Men jeg er ked af at skulle reboote firewall'en hvergang der laves ændringer i whitelisten.

En ideel firewall vil i mit tilfælde give mulighed for at definere "hook scripts". Scripts der kaldes ved oprettelse af en ny connection og tilsvarende når en connection afsluttes. Scriptene skulle da hente regler direkte fra en ekstern database.

"Mig bekendt kigger en firewall stort set kun på den første pakke i en TCP stream"

Et lite forsøk på "høyttenking" ..

Forholder det seg slik at Linux firewall bare kikker på den første pakken i en TCP stream ? For en Linux firewall som er satt opp til å kjøre "static" så forholder det seg vel slik at den ser på alle pakkene helt likt.

Når man aktiviserer nat eller "connection tracking" så etablerer den et slags "minne" eller en cache" som holder styr på de ingangværende forbindelsene. Hver enkelt pakke blir fortsatt undersøkt individuelt, men ut i fra den info som ligger i "connection tracking cache". Dette gjelder definitivt for de forbindelsene som initieres fra firewallens lan eller "innside".

Hvordan blir så dette når forbindelsen initieres først fra utsiden, vil da en Linux firewall faktisk hådtere den sekvensen av pakker som kommer inn fra utsiden på en annen måte hvis connection tracking er etablert kontra hvis connection tracking ikke er etablert ?  Det skulle man faktisk tro.

Hvis dette er rett og man ser på dette utsagnet: "en firewall kigger stort set kun på den første pakke i en TCP stream" så blir dette eventuelt rett, forutsatt at connection tracking kjører og at "stort sett" betyr at den første pakken sjekkes opp mot det ordinære rule set, mens de påfølgende pakker sjekkes opp individuelt i forhold til den informasjon som ligger lagret i connection tracking cache.

Når jeg ellers tenker meg om så har jo Linux firewall en egen sjekk på om det dreier seg om nye pakker eller pakker som er en del av en "established, related" datastøm, slik at det sannsynligvis fungerer slik som beskrevet over.

Sansynligvis så er den "hukommelse" som jeg etterlyste et par hakk opp i denne tråden allerede på plass i form av Linux sin connection tracking mekanisme.

Så det neste interesante spørsmål:
"En ideel firewall vil i mit tilfælde give mulighed for at definere "hook scripts"."

Kan man det ? Jeg har så langt ikke sett noe praktisk eksempel på noen firewall som gjør dette.

Noen andre her på eksperten som kjenner til noen eksempler på dette ?

På den annen side så bør det vel egentlig være hevet over tvil at dette er mulig og at det kan gjøres. Spørsmålet blir sånn sett hvordan og på hvilken måte og med hvilken performace (formodentlig først og fremst med hensyn til connection setup time) som dette kan kjøre med.

Dersom man bygger inn en slik "intelligent adferd" i en firewall så gir jo dette en ganske mange interessante muligheter.

Mon dette er noe som kan brukes i en slik sammenheng ?
http://www.linuxia.de/netfilter.en.html#userspace

Har sett litt in på problemstillingen, men har så langt ikke vært i stand til å løse den på noen måte. Fant ellers noe interessant literetur her som kan skje kan grense litt opp til den aktuelle problemstillingen:
http://gnist.org/~lars/studies/master/StrandLars-master.pdf

Godt mulig jeg tat feil, men jeg kan da vanskelig se for meg at en tradisjonell firewall av type for eksmpel Linux eller Microsoft ISA server skulle kunne klare en kombinasjon av "10000 whitelist IP adresser" og en troughput på 20Mbps.

Det skulle være interessant å vite om det er noen av de kjente kommersielle leverandørene som har blitt spurt om dette og om hva de eventuelt sier om saken. Skulle for eksempel MS ISA server ha noen "mekanisme" for å ta seg av en slik problemstilling ?

Ville ikke disse spesifikasjonekravene måtte medføre et eller annet element "intelligent" eller "adaptiv" atferd fra firewall sin side ?

Eksempel:

1. Linux firewall mottar en pakke.
2. Denne sendes til applikasjon a som kontrollerer pakken mot en database.
3. Applikasjon a genererer så en firewall rule "on the fly" som godkjenner trafikken fra avsender ip. Eventuelt så kan settes andre systemparametre / rules som gjelder spesielt for denne avsender ip.
4. Trafikken fra den aktuelle ip løper så "på tradisjonell måte" på basis av det tilbassede ruleset.

Helt enkelt ser det ikke ut til at dette er.

Er spesielt nyskjerrig på om det er noen av de kommersielle leverandørene som sier at en slik spec kan møtes og event hva slags teknologi som ligger i bunnen for dette.

Også noe mulig interessant/brukbart: http://www.ists.dartmouth.edu/library/156.pdf

Mulig at vi har noe her: http://www.linuxgazette.com/issue82/veerapen.html