Aggiornamento del cluster firewall verso CEDACRI

Transcript

1 Sparkasse Aggiornamento del cluster firewall verso CEDACRI Migrazione dalla piattaforma Nokia/Checkpoint alla piattaforma Netscreen Bolzano Hacking Team S.r.l. Via della Moscova, MILANO (MI) - Italy Tel Fax Hacking Team Proprietà Riservata Numero Allegati: 0 Pagina 1 di 19

2 STORIA DEL DOCUMENTO Versione Data Modifiche Effettuate Febbraio 2005 Emissione // // // // // // INFORMAZIONI Data di Emissione 25 Febbraio 2005 Versione 1.0 Tipologia Documento Documento di Progetto Numero di Protocollo // Numero Pagine 19 Numero Allegati 0 Descrizione Allegati Redatto da Approvato da 1 // 2 // Aldo Scaccabarozzi Gianluca Vadruccio Valeriano Bedeschi 2005 Hacking Team Proprietà Riservata Numero Allegati: 0 Pagina 2 di 19

3 INDICE 1 Obiettivi Requisiti e vincoli Descrizione del progetto Architettura del cluster La configurazione Le rotte per l instradamento Le regole La gestione Procedure di backup e restore Il monitoring Pianificazione, milestones e deliverables Criticità Sviluppi futuri Hacking Team Proprietà Riservata Numero Allegati: 0 Pagina 3 di 19

4 1 Obiettivi L infrastruttura perimetrale del cliente a difesa del collegamento verso Cedacri era costituita da un cluster firewall Checkpoint installato su macchine Nokia IP440. Dopo un attento studio di fattibilità, si è deciso di migrare la piattaforma esistente verso macchine Netscreen: la macchina Nokia IP440 non è più assistita dal fornitore ed il costo dell aggiornamento completo del cluster è stato considerato eccessivo. Il cliente ha quindi commissionato la migrazione alla piattaforma Netscreen 204: due macchine firewall in cluster con le medesime funzioni del vecchio cluster. Si è colta l occasione per procedere ad una pulizia delle regole esistenti e ad una ottimizzazione globale delle politiche di sicurezza e delle regole di instradamento. 2 Requisiti e vincoli L architettura richiesta dal progetto è essenzialmente identica alla esistente: cambia solamente la piattaforma di base. Si passerà da un cluster Checkpoint 4.1 su Nokia IP440 ad un cluster Netscreen 204: Figura 1 - Architettura esitente prima del progetto di migrazione 2005 Hacking Team Proprietà Riservata Numero Allegati: 0 Pagina 4 di 19

5 Figura 2 - Architettura attuale post-migrazione I requisiti ed i vincoli particolarmente sentiti e stringenti sono i seguenti: Tipologia vincolo Temporale Funzionale Descrizione vincolo La migrazione effettiva deve essere completata in notturna Nessuna attività di migrazione deve essere effettuata durante l orario di lavoro Lo switch fisico deve comportare il minor disservizio possibile Si devono conservare e migrare correttamente e completamente le funzionalità del cluster precedente Occorre ottimizzare le regole e le politiche e pulire il sistema da quelle non più utilizzate Deve essere conservata la funzionalità di cluster del nodo firewall 3 Descrizione del progetto 3.1 Architettura del cluster Il sistema cluster Netscreen 204 (NS204) installato è stato inserito nella rete e configurato (a livello di rete) nel modo illustrato in figura Hacking Team Proprietà Riservata Numero Allegati: 0 Pagina 5 di 19

6 Figura 3 - Architettura del cluster Netscreen La configurazione La configurazione dei due apparati Master e Slave per quanto riguarda i parametri di funzionamento generali, sono elencati nella seguente tabelle: Domain Hostname User user-group Webauth Parametro webauth banner success Valore crbz.it Master: CRBZFW03 Slave: CRBZFW04 FTPOCE hash-password: 02pzsFyly5J6hiFIKHdOhmmiGDwFOaxUhtNQ4= ProvaExt server "RAdiusCRBZ" "Cassa di Risparmio di Bolzano: Authorization Successfull" Dns dns dns dns host schedule 06:28 syslog ssh version v Hacking Team Proprietà Riservata Numero Allegati: 0 Pagina 6 di 19

7 ssl encrypt ntp server ntp server backup 3des sha-1 crbzdc03.crbz.it crbzdc04.crbz.it snmp port listen 161 snmp port trap 162 Il cluster è impostato nel seguente modo: cluster name FWCedacri arp 5 encrypt password pippo auth password pippo secondary-path ethernet3 monitor interface ethernet1 monitor interface ethernet2 ha-link probe threshold 5 I servizi configurati sugli apparati sono i seguenti: SERVICES Servizio Protocollo Porta sorgente Porte destinazione DLSW tcp FTP Data tcp HTTP 8080 tcp HTTP 8085 tcp HTTP PensFond tcp Lotus tcp PinPadPort tcp RSM tcp SNMP Trap udp Worm TCP 135 tcp Worm TCP 4444 tcp NB Services tcp NB Services udp Worm MSSQL tcp Worm MSSQL udp Hacking Team Proprietà Riservata Numero Allegati: 0 Pagina 7 di 19

8 Worm MSCIFS tcp Worm MSCIFS udp L autenticazione per i servizi che lo richiedono è affidata ad un server Radium locale al cluster la cui configurazione risulta essere: auth-server "RAdiusCRBZ" auth-server "RAdiusCRBZ" server-name " " auth-server "RAdiusCRBZ" account-type auth auth-server "RAdiusCRBZ" radius secret "sparkasse" Il profile di amministrazione è il seguente: admin name "netscreen" admin password "ngnwkmr4krnic4ndas5ka+ntlgcfvn" admin scs password disable username netscreen gli alert via mail sono abilitati verso gli indirizzi franco.parisi@sparkasse.it e claudio.arcaini@sparkasse.it, caselle di posta definite sul server " " La configurazione di rete degli apparati è dettagliata nelle due tabelle successive. Appliance Master Interfaccia Indirizzo Zona Manage IP Manage Enabled ethernet /25 Untrust // ethernet /25 Trust // ethernet /24 FW_Mng Ping, ssh, telnet, ssl, web Appliance Slave Interfaccia Indirizzo Zona Manage IP Manage Enabled ethernet /25 Untrust // ethernet /25 Trust // ethernet /24 FW_Mng Ping, ssh, telnet, ssl, web 2005 Hacking Team Proprietà Riservata Numero Allegati: 0 Pagina 8 di 19

9 Si elencano di seguito gli indirizzi di rete configurati ed abilitati per ciascuna delle zone definite: Zona TRUST Nome Indirizzo Descrizione CRBZFW03-mng_if int mng di CrbzFW03 CRBZFW04-mng_if Int. mng di CrbzFW04 Crbzmn stazione di management FW CRBZSA server CRBZSL Server di Posta LOTUS CRBZSL Server Lotus Rete-DMZ-Elitel DMZ Elitel Rete-DMZ-Interna // Rete-DMZ-Run // Rete-Eth-249RB Rete RangeBasso tutte le reti ethernet CRBZ Rete-Ext-CRBZ tutte le reti esterne CRBZ Rete-FW-Mng Rete di management firewall tutte le reti TR CRBZ Rete_Loopback Interfaccie loopback Router RUN-Gest Staz di mng SNMP RUN RUN-Gest Staz. di mng RUN RUN-Gest Rete di mng RUN Zona UNTRUST Nome Indirizzo Descrizione Arg-Loopback indirizzo int loopback c/o Arg. Arg-Server-Appl Sito WEB in Argentea (TN) Arg-TC Server Tools Collaborativo Arg-WEB Arg-WEB Arg-WEB Sito in Argentea (TN) BCom-Peer-DLSW conc. pos argentea in BCom BCom-Router router 3550 c/o sala ex 3745 BCom-Router router 3550 c/o sala ex Hacking Team Proprietà Riservata Numero Allegati: 0 Pagina 9 di 19

10 BCom-Router HSRP 3550 c/o sala ex 3745 CDN_ Staz.management WT CDN_ Stazione di contr. WT e BMT F249RO02-D0/ F249RO02 int dialer 1 F249RO02-FE0/ F249RO02 int eth0/0 F249RO02-S1/ F249RO02 int seriale 1/0 F249RO03-D0/ F249RO03 int dialer 1 F249RO03-FE0/ F249RO03 int eth 0/0 F249RO03-S1/ F249RO03 int seriale 1/0 Rete-Argentea rete IP CRBZ Ext Rete-CDN rete di Cedacri Rete-CDN rete di Cedacri Rete-CDN rete di Cedacri Rete-Eth-249RA Rete RangeAlto Rete-Uff-Stampa rete Ufficio Stampa Root-Peer1-DLSw peer principale DLSw in CDN Root-Peer2-DLSw peer principale DLSw in CDN Server-OCE Gestione stp laser uff. stampe TECNRO03-E0/ TECNRO03 int eth 0/0 TECNRO04-D0/ TECNRO04 int dialer 0/1 TECNRO04-FE0/ TECNRO04 int eth 0/0 TECNRO04-FE0/ TECNRO04 int fast eth 0/1 TECNRO04-S1/ TECNRO04 int seriale 1/0 TecnRO04_LO loopback TecnRO04 TECNRO05-D TECNRO05 int dialer 1 TECNRO05-FE0/ TECNRO05 int eth 0/0 TECNRO05-S1/ TECNRO05 int Serial 1/0 TecnRO05_LO loopback TecnRO05 Zona GLOBAL Nome Indirizzo Descrizione Rete-loopback tutte le reti Loopback di CRBZ Rete-X-CRBZ tutte le reti X CRBZ 2005 Hacking Team Proprietà Riservata Numero Allegati: 0 Pagina 10 di 19

11 Zona FW_MNG Nome Indirizzo Descrizione Crbzmn stazione di management FW Per agevolare la scrittura e la lettura delle politiche, si sono identificati alcuni gruppi che costituiscono insiemi di reti/indirizzi: il loro nome, la loro composizione e descrizione, sono dettagliati nelle tabelle seguenti. GRUPPI DI INDIRIZZI Nome Gruppo Costituzione del gruppo Zona Descrizione RUN Gestionale RUN-Gest-00 RUN-Gest-01 Trust Gruppo gestionale RUN RUN-Gest-02 Arg-Server-Interni Arg-Server-Appl Arg-TC Arg-WEB1 Untrust Server reinstradati BCom Arg-WEB2 Arg-WEB3 BCom-Router BCom-Router1 BCom-Router2 Untrust router BCom in CRBZ BCom-Router3 Reti-Cedacri Rete-CDN-199 Rete-CDN-77 Untrust pool reti in Cedacri Rete-CDN-99 Root-peer-DLSw Root-Peer1-DLSw Root-Peer2-DLSw Untrust peer DLSw principali in CDN Router-GRP-CDN F249RO02-D0/1 F249RO02-FE0/0 F249RO02-S1/0 F249RO03-D0/1 F249RO03-FE0/0 F249RO03-S1/0 Root-Peer1-DLSw Root-Peer2-DLSw TECNRO03-E0/0 TECNRO04-D0/1 TECNRO04-FE0/0 TECNRO04-FE0/1 TECNRO04-S1/0 TecnRO04_LO0 TECNRO05-D1 TECNRO05-FE0/0 TECNRO05-S1/0 TecnRO05_LO0 Untrust Gruppo CDN Router All IF 2005 Hacking Team Proprietà Riservata Numero Allegati: 0 Pagina 11 di 19

12 La stessa cosa è stata effettuata per i servizi: GRUPPI DI SERVIZI Nome Gruppo Costituzione del gruppo Descrizione FTP Protocols FTP FTP Data Porte FTP HTTP Protocols HTTP HTTP 8080 HTTP 8085 HTTP PensFond HTTPS // 3.3 Le rotte per l instradamento ethernet 1 Rotta Gateway / / / / / / / / / / / / /29 vrouter "trust-vr" /32 vrouter "trust-vr" /32 vrouter "trust-vr" /16 vrouter "trust-vr" /24 vrouter "trust-vr" /17 vrouter "trust-vr" /17 vrouter "trust-vr" 2005 Hacking Team Proprietà Riservata Numero Allegati: 0 Pagina 12 di 19

13 /24 vrouter "trust-vr" /16 vrouter "trust-vr" /23 vrouter "trust-vr" /24 vrouter "trust-vr" /24 vrouter "trust-vr" /24 vrouter "trust-vr" /23 vrouter "trust-vr" /24 vrouter "trust-vr" /24 vrouter "trust-vr" /24 vrouter "trust-vr" /16 vrouter "trust-vr" /32 vrouter "trust-vr" /25 vrouter "trust-vr" ethernet 2 Rotta Gateway / / / / / / / / / / / / / / / / Hacking Team Proprietà Riservata Numero Allegati: 0 Pagina 13 di 19

14 / / / / / / / / /16 vrouter "untrust-vr" /16 vrouter "untrust-vr" /16 vrouter "untrust-vr" /24 vrouter "untrust-vr" /24 vrouter "untrust-vr" /24 vrouter "untrust-vr" /32 vrouter "untrust-vr" /32 vrouter "untrust-vr" /32 vrouter "untrust-vr" /32 vrouter "untrust-vr" /30 vrouter "untrust-vr" /30 vrouter "untrust-vr" /25 vrouter "untrust-vr" 3.4 Le regole Le regole impostate sul sistema cluster Netscreen sono elencate di seguito e vengono controllate nell ordine specificato dalla stessa tabella. Le regole vengono quindi controllate sequenzialmente una per una a partire dalla prima: appena trovata quella corrispondente al pacchetto in transito, il comportamento preso dal cluster è specificato nella relativa action. from GLOBAL zone to GLOBAL zone 1 NBT drop Any Any NB Services deny 2005 Hacking Team Proprietà Riservata Numero Allegati: 0 Pagina 14 di 19

15 from UNTRUST zone to TRUST zone Rete-DMZ-Elitel 2 BCOM/Arg drop Rete-DMZ-Run BCom-Peer-DLSW BCom-Router Rete-Ext-CRBZ ANY deny log from TRUST zone to UNTRUST zone 3 FTP user auth su FTPOCE Server-OCE FTP Protocols permit auth server "Local" log from UNTRUST zone to TRUST zone 4 MGMT Bancomat CDN_ CDN_ PING permit from TRUST zone to UNTRUST zone 5 Traffico Louts CRBZSL01 Rete-CDN-199 Rete-CDN-77 Lotus permit Rete-CDN-99 6 Traffico DLSW Rete_Loopback Root-peer-DLSw ANY permit 7 CRBZ CDN traffico IP Reti-Cedacri ANY permit 8 Traffico verso Argentea Rete-Argentea PinPadPort permit 9 Traffico HTTP verso Rete-Argentea Argentea Arg-Server-Interni HTTP Protocols permit 10 Traffico verso Argentea Rete-Argentea Arg-Server-Interni ANY permit 11 MGMT apparati CRBZ Rete-Eth-249RA untrust Router-GRP-CDN ANY permit log from UNTRUST zone to TRUST zone MGMT da apparati Rete-Eth-249RA 12 ANY permit Untrust Router-GRP-CDN Traffico DLSW dai 13 Root-peer-DLSw Rete_Loopback DLSW permit peer CDN Traffico NTP verso ReteCRBZ Cedacri HTTP HTTPS Lotus Rete-Eth-249RA TecnRO04_LO0 TecnRO05_LO0 Root-peer-DLSw Reti-Cedacri Rete_Loopback NTP SNMP Trap HTTP HTTPS permit permit 2005 Hacking Team Proprietà Riservata Numero Allegati: 0 Pagina 15 di 19

16 16 17 FTP protocol da Cedacri Traffico SNMP da apparati CDN Reti-Cedacri 18 Blocco Worm Reti-Cedacri 19 No name Reti-Cedacri 20 Cedacri Traffico PING Reti-Cedacri Lotus FTP Protocols permit log Reti-Cedacri SNMP permit log Rete-Ext-CRBZ Worm MSCIFS Worm MSSQL Worm TCP 135 Worm TCP 4444 RSM PING deny log permit webauth log permit log from TRUST zone to UNTRUST zone 21 Traffico Lotus CRBZ vs ARG CRBZSL00 Rete-Argentea Lotus permit from UNTRUST zone to TRUST zone 22 Traffico Lotus ARG vs CRBZ Rete-Argentea CRBZSL00 Lotus permit from TRUST zone to UNTRUST zone 23 Traffico MNG RUN RUN Gestionale Router-GRP-CDN ANY permit log 24 Traffico MNG RUN RUN Gestionale Reti-Cedacri PING permit from UNTRUST zone to TRUST zone 25 Traffico MNG RUN Router-GRP-CDN RUN Gestionale ANY permit log 26 Traffico UFF Stampa vs CRBZ Rete-Uff-Stampa ANY permit log from TRUST zone to UNTRUST zone 27 Clean UP Rule Any Any ANY deny log count from UNTRUST zone to TRUST zone 28 Clean UP Rule Any Any ANY deny log count 2005 Hacking Team Proprietà Riservata Numero Allegati: 0 Pagina 16 di 19

17 3.5 La gestione L interfaccia di amministrazione è web-based su protocollo HTTPS che gestisce tutto il cluster in modalità cifrata. Qualora la connessione richiesta fosse http, il sistema redirigerebbe la stessa su HTTPS automaticamente. Per quanto riguarda invece la gestione via interfaccia testuale, rimane abilitato il telnet in attesa di configurare opportunamente il servizio SSH. Una volta completata questa attività, l unica modalità di amministrazione del cluster (oltre all HTTPS) rimarrà l SSH. 3.6 Procedure di backup e restore Il salvataggio della configurazione è implementato da una specifica funzione dell interfaccia di amministrazione, che permette di salvare su file di testo l intera configurazione degli apparati. In caso di ripristino di un appliance o in caso di fault basterà eseguire il restore dello stesso file, sempre mediante le funzionalità disponibili da interfaccia di gestione. Per ora non si ha la possibilità di eseguire il backup del sistema automaticamente: tale funzionalità sarà resa disponibile dalla stazione di management Netscreen, la cui implementazione è ancora da decidere. 3.7 Il monitoring Entrambe le macchine del cluster sono configurate per poter spedire i propri log in formato syslog ad una macchina syslog server. Il prodotto utilizzato è il Kiwi Syslog Server su piattaforma Windows. Attualmente tutto il logging del cluster in termini sistemistici e di traffico è spedito al server syslog, il quale li visualizza in due schermate differenti (corrispondenti su file system a due file distinti): 1. finestra degli allarmi 2. finestra del traffico (corrispondente ai log generati dalle regole del cluster firewall) Attualmente solo l appliance master del cluster in un dato istante spedisce i log al syslog server, quindi gli eventi generati dalla componente slave andranno controllati localmente. Entrambi gli apparati potranno spedire i log a prescindere dal loro stato e dalla loro funzione solo quando verrà implementata la stazione di management Netscreen Hacking Team Proprietà Riservata Numero Allegati: 0 Pagina 17 di 19

18 4 Pianificazione, milestones e deliverables Le attività effettuate per la corretta migrazione del sistema sono state le seguenti: Studio architetturale del nodo cluster Studio delle regole, degli oggetti e dell instradamento del cluster precedente Pulizia di configurazione e ottimizzazione delle regole e delle politiche Configurazione del nuovo cluster Netscreen Test di funzionamento Migrazione e testing notturni della piattaforma Tuning del sistema La descrizione del sistema e della nuova configurazione è affidata al presente documento, unico deliverable del progetto. 5 Criticità Durante il progetto non si sono rilevate criticità tali da doverne lasciare traccia. L intero sistema funziona correttamente e la migrazione è stata completata con successo. Rimangono alcune attività marginali elencate negli sviluppi futuri. 6 Sviluppi futuri Gli sviluppi futuri legati alla migrazione di piattaforma del collegamento Cedacri sono i seguenti: Completare la configurazione del servizio SSH: certificato digitale rilasciato internamente dalla CA della banca Definire più precisamente l autenticazione radius per alcune regole e per alcune utenze Controllare la configurazione delle interfacce in termini di half/full duplex e in termini di 10/100 Mbit (sia sul cluster che sullo switch su cui gli appliances sono attestati) Definire le liste degli indirizzi IP abilitati a contattare i Netscreen per amministrazione Controllare i termini della licenza generata dal fornitore 2005 Hacking Team Proprietà Riservata Numero Allegati: 0 Pagina 18 di 19

19 Gli sviluppi futuri legati all aggiornamento dell intero sistema di protezione del cliente sono i seguenti: Migrazione alla piattaforma Netscreen dei due firewall perimetrali Checkpoint su SUN Solaris Installazione e configurazione della stazione di management Netscreen Aggiornamento del sistema di intrusion detection e spostamento del relativo database SQL Configurazione del sistema ISS Fusion per l abbattimento dei falsi positivi riscontrati dalle sonde IDS 2005 Hacking Team Proprietà Riservata Numero Allegati: 0 Pagina 19 di 19