Aggiornamento attività di web filtering con soluzione Open Source pfsense

Transcript

1 Campagnola di Zevio, 13 Giugno 2013 Ns. Rif: PZ pag. 9 Dest. Fax: Spett.le ATER Azienda Territoriale per l Edilizia Residenziale della Provincia di Verona Piazza Pozza, 1 c/e VERONA (VR) Alla c.a.: Arch. Elena Ballini OGGETTO: Aggiornamento attività di web filtering con soluzione Open Source pfsense Con riferimento alla Vostra cortese richiesta abbiamo il piacere di sottoporvi la seguente proposta per quanto di Vostro interesse. Cogliamo l occasione per rinnovarvi la nostra disponibilità per qualsiasi informazione fosse di Vostro interesse relativamente alla fornitura di servizi e prodotti per l informatica. Rendendoci disponibili per eventuali chiarimenti, cogliamo l occasione per porgervi cordiali saluti. RTC S.p.A. Paolo Zuzzi Account Manager Sede Legale: Via Edison, Campagnola di Zevio (VR) - Tel. 045/ Fax 045/ info@rtc-spa.it - P. IVA e C.F REA Cap. Sociale: euro i.v.

2 SOMMARIO 1. LA SOLUZIONE PFSENSE INTRODUZIONE FUNZIONI PRINCIPALI CONCETTI BASE FIREWALL STATE TABLE (TABELLA DI STATO) NAT: NETWORK ADDRESS TRANSLATION RIDONDANZA LIMITAZIONI BILANCIAMENTO DI CARICO INBOUND LOAD BALANCING VPN PPPoE SERVER REPORT E MONITORAGGIO REAL TIME INFORMATION DNS DINAMICO CAPTIVE PORTAL DHCP SERVER AND RELAY SUPPORTO ANNUALE OPZIONALE OFFERTA ECONOMICA SOLUZIONE e SERVIZI DI INSTALLAZIONE/CONFIGURAZIONE SUPPORTO ANNUALE OPZIONALE CONDIZIONI DI FORNITURA... 9 Rif.: PZ Pag. 2

3 1. LA SOLUZIONE PFSENSE 1.1. INTRODUZIONE pfsense è un firewall/router software open source basato su FreeBSD. Ha lo scopo di fornire un firewall potente, sicuro e completamente configurabile utilizzando l'hardware di un comune Server. Al cuore del sistema c'è FreeBSD il firewall PF (Packet Filter) derivato da OpenBSD. Il nome pfsense deriva dall'idea di dare maggiore indipendenza e "senso" al firewall Packet Filter. pfsense offre gratuitamente molte funzionalità che normalmente sono appannaggio di più costosi firewall commerciali. L'intero sistema è gestibile ed aggiornabile attraverso un'interfaccia web rendendo il sistema accessibile anche a chi non ha alcuna conoscenza del sistema FreeBSD. pfsense può essere impiegato come firewall, router, accesspoint, terminatore vpn, dhcp server, dns server, sniffer di rete, IDS/IPS e perfino come centralino VoIP. Il progetto nasce nel 2004 ad opera di Chris Buechler e Scott Ullrich, come un fork (derivato) di m0n0wall, un altro progetto di router/firewall nato per installazioni embedded. La differenza sostanziale da m0n0wall è la possibilità di essere installato anche su hardware x86 ed AMD64 e derivati La versione 1.0 venne rilasciata il 4 ottobre 2006, mentre l'attuale versione è stata rilasciata il 15 Aprile Il progetto è sviluppato dalla BSD Perimeter di cui Chris Buechler e Scott Ullrich sono i fondatori. pfsense è un progetto abbondantemente testato che conta ormai più di (fine primo trimestre 2011) di download ed innumerevoli installazioni in tutto il mondo che variano dall'uso domestico fino alla grande azienda, ente pubblico, ministeri ed università. Il sito del produttore è 2. FUNZIONI PRINCIPALI 2.1. CONCETTI BASE pfsense include quasi tutte le funzionalità dei più costosi firewall commerciali ed in molti casi ne include anche di più. Quella che segue è una lista delle funzioni attualmente disponibili nella versione pfsense 2.0. Tutte le funzioni che seguono sono gestibili tramite interfaccia web, senza utilizzare la riga di comando Questa proposta riporta anche l indicazione delle limitazioni note. Dalla nostra esperienza e dall'esperienza di migliaia di utenti è in ogni caso chiaro cosa pfsense può e non può fare. Qualsiasi software ha delle limitazioni. Il prodotto è comunque adatto ad essere introdotto nel Vostro contesto in quanto garantisce tutte le funzionalità ivi necessarie. Rif.: PZ Pag. 3

4 2.2.FIREWALL Filtraggio da sorgente e destinazione IP, protocollo IP, porta sorgente e destinazione per TCP e UDP traffic Abilitazione dei limiti per connessioni simultanee su regole di base pfsense utilizza p0f, un'avanzata utility di rete per impronte digitali che abilita il filtraggio attraverso il sistema operativo all'inizio della connessione Option to log or not log traffic matching each rule Politiche di routing ad alta flessibilità per la selezione del gateway sulle regole di base per il bilanciamento di manda, failover, WAN multiple, backup su più ADSL, ecc Possibilità di creazione Alias di gruppi di IP e nomi di IP, networks e porte. Queste caratteristiche aiutano a tenere la configurazione pulita e facile da comprendere, specialmente in configurazioni dove ci sono svariati IP pubblici e numerosi Server Filtraggio trasparente Layer 2. Possibilità di bridgiare interfacce e filtrare il traffico tra queste Normalizzazione di pacchetto. Descritto dalla documentazione di pf scrub. (Vedi documentazione). Abilitato di default. È possibile disabilitarlo se necessario Possibilità di disabilitare il filtraggio (firewalling) per utilizzare pfsense come puro router 2.3.STATE TABLE (TABELLA DI STATO) La tabella di stato del firewall mantiene informazioni sulle connessioni aperte. pfsense è un stateful firewall, per default tutte le regole sono stateful. Molti firewall non hanno la capacità di controllare la tabella degli stati. pfsense ha numerose funzioni in grado di eseguire un controllo granulare della tabella dello stato, grazie alle caratteristiche di OpenBSD's pf. Regolazione della dimensione tabella dello stato esistono numerose installazioni di pfsense che usano diverse centinaia di migliaia di stati. Di default la tabella di stato varia in funzione della RAM installata nel sistema, ma può essere aumentata in tempo reale alla dimensione desiderata. Ciascuno stato occupa approssimativamente 1 KB di RAM, quindi questo parametro va tenuto a mente quando si va a dimensionare la memoria. Regole di base: o Limiti di connessioni simultanee dei client o Limiti dello stato per host o Limiti di nuove connessioni al secondo o Definire lo stato del timeout o Definire il tipo di stato Tipi di stato pfsense offre numerose opzioni per la gestione dello stato o Keep state Funziona con tutti i protocolli. Di default su tutte le regole o Modulate state Lavora solo con TCP. pfsense genererà dei ISNs (Initial Sequence Numbers) per conto dell'host o Synproxy state i Proxy iniziano le connessioni TCP per aiutare i server da spoofed TCP SYN floods o None Non viene tenuta nessuna voce sullo stato Rif.: PZ Pag. 4

5 Opzioni di ottimizzazione della tabella di stato pfsense offre quattro stati per l'ottimizzazione della tabella di stato o Normale default o Hight latency usata per links ad alta latenza, come collegamenti satellitari o Aggressive scadenza dello stato di idle più veloce. Più efficiente usando più risorse hardware, ma può eliminare connessioni corrette o Conservative Cerca di evitare la cancellazione di connessioni corrette a scapito di un maggior utilizzo della CPU e RAM 2.4.NAT: NETWORK ADDRESS TRANSLATION Il Port forwards include un ranges e uso di IP pubblici multipli NAT 1:1 per IP individuali o intere subnet Outband NAT Impostato di default, tutto il traffico in uscita verso l'ip della WAN. In configurazioni con WAN multiple, verrà usato il traffico in uscita all'ip dell'interfaccia WAN Advanced Outbound NAT NAT Reflection in qualche configurazione, NAT Reflection è utilizzato per servizi che possono accedere con IP pubblici da reti interne 2.5.RIDONDANZA Il protocollo CARP da OpenBSD gestisce l'hadware failover. Due o più gruppi di firewall hardware possono essere configurati come un gruppo di failover. Se un'interfaccia si guasta sul dispositivo primario o il dispositivo primario va offline, il secondo si attiva. pfsense include anche una capacità di sincronizzazione automatica tra il dispositivo primario ed il secondario. pfsync assicura che la tabella di stato del firewall è replicata su tutti firewall inseriti nel failover. Questo significa che le connessioni esistenti saranno mantenute nel caso di failure. 2.6.LIMITAZIONI Funziona solo con IP pubblici statici, non funziona con stateful fileover usando DHCP, PPPoE o PPTP sulla WAN. 2.7.BILANCIAMENTO DI CARICO Bilanciamento di carico in uscita: (Outbound) Il load balancing in uscita è usato su WAN multiple per fornire il bilanciamento ed il failover. Il traffico è diretto verso un gateway designato o un pool di bilanciamento di carico definito nelle regole di base del firewall. Rif.: PZ Pag. 5

6 2.8.INBOUND LOAD BALANCING Il bilanciamento di carico in ingresso è usato per distribuire il carico tra vari server. È comunemente usato per con server web, server di posta e altri. I server che non rispondono al ping o connessione TCP su porta definita saranno esclusi dal pool. 2.9.VPN pfsense offre tre tipologie per la connettività VPN, IPsec, OpenVPN e PPTP. IPsec consente connettività con tutti i dispositivi che supportano lo standard IPsec. Questo è di uso comune nelle configurazioni site to site con altri dispositivi pfsense. Altri firewall open source come m0n0wall e molti altri firewall commerciali come Cisco, Juniper, ecc... la implementano. È usata spesso anche nelle connessioni client mobile. OpenVPN è una flessibile, potente soluzione SSL VPN che supporta un ampia gamma di sistemi operativi client. Vedere il sito di OpenVPN per maggiori dettagli PPTP è un sistema VPN molto popolare perché installato su quasi tutti i S.O. client inclusi tutti i sistemi operativi Windows a partire da Windows 95 OSR2. Il server pfsense PPTP può usare un database locale o un RADIUS server per l'autenticazione. La compatibilità RADIUS è supportata PPPOE SERVER pfsense offre un server PPPoE. Gli utenti locali del database posso essere usati per l'autenticazione e l'autenticazione RADIUS con opzioni di accounting è anche supportata REPORT E MONITORAGGIO Grafici RRD. I grafici RRD in pfsense forniscono le seguenti informazioni: Utilizzo della CPU Traffico totale Stato del firewall Traffico individuale sulle interfacce Packets per second rates per tutte le interfacce Tempo di risposta al ping del gateway dell'interfaccia WAN Code di traffic shaper sul sistema se il traffic shaper è abilitato REAL TIME INFORMATION Le informazioni della storia del sistema sono importanti, ma qualche volta sono più importanti le informazioni real time. I grafici SVG mostrano il traffico in real time per tutte le interfacce. La pagina iniziale include grafici AJAX che mostrano il tempo reale il carico della CPU, memoria, swap e spazio disco usato e la tabella di stato Rif.: PZ Pag. 6

7 2.13. DNS DINAMICO Il client di DNS dinamico abilita alla registrazione mediante uno di questi servizi: DynDNS DHS DNSexit DyNS EasyDNS FreeDNS HE.net Loopia Namecheap No-IP ODS.org OpenDNS ZoneEdit CAPTIVE PORTAL Il captive portal permette di forzare l'autenticazione o ridirigere il traffico di rete ad una pagina di autenticazione di rete. Questo è comunemente usato nelle connessioni di rete hot spot, ma anche ampiamente usata per livelli di sicurezza aggiuntivi nell'accesso delle reti internet attraverso i sistemi wireless. Quello che segue è una lista di funzioni e caratteristiche del Captive Portal. Connessioni massime concorrenti - Limita il numero delle connessioni concorrenti per ciascun IP client. Questa funzionalità previene gli attacchi DOS Idle timeout Disconnette i client che non effettuano connessioni per più di un certo numero di minuti Hard timeout Forza la disconnessione dei client connessi per più di un numero definito di minuti Pop up di logon Opzione di pop up della finestra con pulsante di disconnessione URL Rediretcion dopo l'autenticazione gli utenti possono essere rediretti verso una pagina di default definita MAC Filtering di default pfsense usa il filtraggio indirizzi MAC Opzioni di autenticazione ci sono tre metodi di autenticazione o Nessuna autenticazione: abilita la navigazione senza l'inserimento di nessun dato o Utenti locali il database degli utenti locali può essere configurato e usato per l'autenticazione o Autenticazione RADIUS Questo è il metodo prediletto da aziende, enti ed ISP. Può essere usato con l'autenticazione di Microsoft Active Directory e numerosi altri server RADIUS Capacità di RADIUS o Forzare la re-autenticazione o Abilitazione all'aggiornamento degli account o Autenticazione MAC RADIUS abilita il Captive Portal all'autenticazione dei client usando il MAC address e username e password o Accetta configurazioni ridondanti di RADIUS Server http e HTTPS La pagina del portale può essere configurata sia in http che in https Rif.: PZ Pag. 7

8 Pass-through MAC and IP addresses Indirizzi MAC e IP possono essere inseriti in una white list bypassando il portale File manager Questo permette di caricare delle immagini che possono essere utilizzate nella pagina iniziale del captive portal DHCP SERVER AND RELAY pfsense include DHCP Server e funzionalità Relay 3. SUPPORTO ANNUALE OPZIONALE L abbonamento al supporto fornisce accesso diretto al team dei ns specialisti pfsense con tempo di risposta garantito NBD per il firewall e le esigenze legate alla sicurezza. Offriamo non solo il supporto ma l assistenza alla configurazione, allo sviluppo, etc. La sottoscrizione è valida per un anno ed include fino a 20 ore di servizi professionali. 4. OFFERTA ECONOMICA 4.1. SOLUZIONE E SERVIZI DI INSTALLAZIONE/CONFIGURAZIONE # Cod. Descrizione Q.tà Unitario Totale pfsense Appliance e servizi 1 pfsense Appliance con 2 HD in Mirror e piattaforma pfsense installata e configurata Garanzia su guasti HW 3 anni con intervento ON-SITE , ,00 Totale Netto Riservato I.V.A. esclusa 2.000, SUPPORTO ANNUALE OPZIONALE # Cod. Descrizione Q.tà Unitario Totale Servizi di installazione 1 Canone Supporto Annuale include fino a 20 ore di servizi professionali , ,00 Totale Netto Riservato I.V.A. esclusa 1.000,00 Rif.: PZ Pag. 8

9 5. CONDIZIONI DI FORNITURA PREZZI: CONDIZIONI PAGAMENTO: TEMPI DI CONSEGNA: comprensivi delle spese di imballaggio, trasporto e consegna c/o Vs. magazzino. Tutti i prezzi si intendono I.V.A. esclusa 60 Giorni D.F.F.M. entro 15 giorni lavorativi Per ogni informazione o chiarimento relativo alla presente offerta potete contattare Paolo Zuzzi Mobile Tel Fax paolo.zuzzi@rtc-spa.it Rendendoci disponibili per eventuali chiarimenti, cogliamo l occasione per porgervi cordiali saluti. RTC S.p.A. Paolo Zuzzi Account Manager Rif.: PZ Pag. 9