V9 QUICK START Aggiornato a 26/1/2012

Transcript

1 V9 QUICK START Aggiornato a 26/1/2012

2 Indice generale V9 Quick Start...2 Configurazione delle interfacce...3 Configurazione del Default Gateway...4 Configurazione dei DNS...5 Accesso amministrativo al firewall (Https, SSH)...6 Configurazione della lingua e della timezone...7 Configurazione del server DHCP...8 Riservare un indirizzo DHCP...8 Regole di Filtraggio/Nat...9 Map...10 Pubblicazione di un server (Redirect)...12 Bimap...13 Filtraggio...14 Policy Based Routing...16 Security Inspection...16 Scheduling delle regole...18 Creazione di uno slot temporale...18 Evento settimanale...18 Evento Annuale...19 Evento fissato...20 Applicazione degli slot di scheduling...20 Gestione Utenti...21 Creazione del database...21 Creazione di un utente...22 Creazione di un gruppo di utenti...23 Utilizzo degli utenti nelle regole di filtraggio...23 Virtual Private Network...24 IPSEC...24 Le fasi della vpn...25 Creazione di un tunnel VPN tra 2 firewall...26 QOS & Traffic Shaping...28 PRIQ - Priority Queue...29 CBQ Class Based Queue...30 MONQ - Monitoring Queue...30 DSCP Field...31 V9 Quick Start Il seguente manuale non vuole in nessun modo sostituire la documentazione ufficiale Netasq, ma semplicemente essere un prontuario per chi si appresta a configurare gli apparati Netasq per la prima volta. Nella stesura di questo documento, volutamente ci si è mantenuti ad un livello base, eliminando tutto ciò che non è necessario sapere per una prima installazione di prova. Date le potenzialità e la complessità dei sistemi Netasq si suggerisce comunque, di prendere informazioni circa il percorso di certificazione standard.

3 Configurazione delle interfacce In configurazione dei default tutte le interfacce del firewall sono in un bridge con indirizzo e netmask Il primo passo per la configurazione del firewall è quello di modificare gli indirizzi ip in modo da rispecchiare la configurazione della rete Nel nostro caso supponiamo che il nostro ISP ci assegni l'indirizzo pubblico /28. E che per le nostre esigenze dobbiamo creare una LAN con ip /25 e una DMZ con ip /24 alla quale connettere i nostri server. Incominceremo con il configurare la OUT. Per poterla estrarre dal bridge è possibile cliccare sull'interfaccia richiesta e trascinarla sullo spazio bianco sotto il bridge, Verrà proposta una finestra di configurazione in cui è possibile scegliere tra indirizzo IP statico oppure dinamico.

4 Premuto Apply operiamo la stessa scelta per la DMZ trascinandola fuori dal bridge ed infine operiamo l'ultimo passo della configurazione modificando la netmask. In questo modo, dopo avere salvato la configurazione ed esserci ricollegati alla macchina avremo la porta più a sinistra (ossservando frontalmente il firewall) che rappresenta la nostra OUT, la porta piu a destra che rappresenta la dmz e tutte le porte centrali in bridge tra di loro, a rappresentare la LAN. Configurazione del Default Gateway Il default gateway è fondamentale per il corretto funzionamento del firewall, attraverso di esso infatti non solo le reti interne possono navigare su internet, ma il firewall stesso è in grado di scaricare gli aggiornamenti (IPS,Antispam,Antivirus,ecc..) ed inoltre è possibile accedere alla documentazione on-line per la consultazione del significato degli allarmi del firewall. Per la creazione del default gateway dovremo creare il nostro primo oggetto. I firewall Netasq infatti obbligano ad essere rigorosi nella definizione dei nomi degli oggetti. In nessun modulo è infatti concesso di scrivere direttamente un un indirizzo ip o l'indirizzo di una rete. Ogni qual volta si presenta la necessità di creare un oggetto che non è ancora presente sulla macchina, il firewall presenta l'interfaccia del database degli oggetti sotto riportata. Per la creazione del default gateway occorre andare in Configuration > Network > routing N.B.: quando si cerca un modulo del firewall, per velocizzare è possibile scrivere le prime lettere di cosa si cerca nel campo testo posto sotto Configuration. In questo caso ad esempio al posto di cercare Routing è possibile digitare la parola nel seguente modo (parte sinistra dell'immagine)

5 Per la creazione del Default Gateway occorre premere il pulsante + posto alla destra del menu a tendina La finestra sopra riportata è il database degli oggetti, attraverso questa interfaccia è possibile andare a definire tutti gli oggetti del firewall. Dal momento che il database degli oggetti è stato invocato per la configurazione del default gateway, viene presentato come attivo solo il tab HOST, dal momento che un default gateway non può essere una network ne tantomeno un protocollo. Premendo ok il firewall avrà settato il default gateway. Se il firewall deve essere configurato con l'interfaccia out in DHCP, invece del default gateway è possibile scegliere dal menu a tendina l'oggetto Firewall_Out_Router che viene creato e popolato di default quando l'interfaccia OUT è in dhcp. Configurazione dei DNS in Configuration > Network Settings > Dns resolution è possibile andare a creare gli oggetti dns nello stesso modo con cui abbiamo creato il default gateway

6 Per potere definire un nuovo oggetto è necessario premere ADD, dopo di che si può selezionare un oggetto dal menu a tendina oppure crearne uno nuovo attraverso il database degli oggetti. Accesso amministrativo al firewall (Https, SSH) Quando si configura un firewall puo essere utile avere un accesso shell sullo stesso per verificare passo passo il procedere della configurazione o per mettere a debug eventuali problemi. I firewall Netasq forniscono una shell BSD completa, accessibile via SSH, tramite monitor e tastiera oppure tramite cavo seriale La configurazione degli accessi amministrativi al firewall è possibile tramite il menu Sistem > Configuration > Firewall Administration Nella prima parte della pagina Access to the firewall's administration interface è possibile andare a modificare la porta di ascolto. Di default la porta di amministrazione è la 443, ma può essere

7 necessario modificarla, specialmente se sullo stesso ip pubblico vogliono essere, in seguito, pubblicati dei servizi che potrebbero andare in conflitto con la porta. Se la porta che si desidera andare a scegliere per l'accesso amministrativo non è elencato nel menu a tendina, occorre chiudere la finestra e creare un nuovo servizio dal menu degli oggetti. Quando il firewall è reso accessibile dall'esterno (cosa non consigliabile se non per attività eccezionali) è opportuno lasciare attiva la protezione contro gli attacchi bruteforce, ovvero quegli attacchi che cercano di individuare la password del firewall per mezzo di tentativi. Nella configurazione dei default, dopo 3 tentativi sbagliati il firewall si blocca per 1 minuto. Indipendentemente dalle regole di filtraggio che andremo a creare il firewall accetterà connessioni in ingresso al server di configurazione solamente dalle reti specificate in Access to firewall administrator pages, puo essere opportuno ad esempio sostituire Network_internals con Any in modo da poter gestire le connessioni entranti da qualunque ip direttamente dalle regole di filtraggio. Il successivo menù serve per concedere accesso alla shell SSH. Di default tale accesso è disabilitato, quindi per potersi connettere è necessario spuntare Enable SSH access e selezionare Enable password access, altrimenti l'accesso SSH sarebbe consentito con la sola autenticazione mediante certificati. Come per l'accesso HTTPS anche per l'accesso SSH è possible scegliere la porta riservata Configurazione della lingua e della timezone Sebbene con la configurazione del DNS il firewall sia già attivo e funzionante e quindi in grado di aggiornarsi (se provvisto di licenza), può essere opportuno configurare la timezone a le lingua. La timezone è particolarmente importante in quanto un orario del firewal sbagliato, o non allineato con eventuali server di autenticazione potrebbe comportare degli errori in fase di autenticazione. Per la configurazione della lingua occorre andare in System > Configuration >General configuration. In General Configuration è possibile settare il nome del firewall, la lingua e sopratutto il layout di tastiera che avremo nel caso di connessione mediante monitor e tastiera.

8 In Date/Time settings possiamo sincronizzare tramite il pulsante Syncronize with your machine la data del firewall con quella del client che stiamo utilizzando per l'amministrazione oppure possiamo decidere la sincronizzazione con un server NTP. Nel caso si voglia procedere alla sincronizzazione con server NTP bisogna scegliere dal menu a tendina il server e specificare la password se richiesta. Configurazione del server DHCP In configurazione di default il firewall ha ip /8 e assegna indirizzi nel range da a Per modificare la configurazione del server dhcp occorre selezionare Network>DHCP. Nel primo TAB (General) è possibile abilitare o meno il server dhcp o il relay. Nel secondo TAB è possibile andare a modificare le impostazioni distribuite dal server. E' inoltre possible andare a distribuire dei file WPAD per la configurazione dinamica dei proxy (funziona solo con IE). Nel terzo tab (Address Range) è possibile andare a definire il range da assegnare e il gateway specifico per quel range di indirizzi. I range vengono assegnati automaticamente in base alle interfacce di provenienza, quindi non si ha la necessità di specificare in questa fase la porta fisica di provenienze. Riservare un indirizzo DHCP Per riservare un indirizzo ad un unico host bisogna andare ad editare il database degli oggetti in modo da creare un oggetto con un indirizzo ip riservato associato al suo mac address.

9 Una volta creato l'oggetto è possibile associargli un gateway nel TAB Host della configurazione del server DHCP. N.B. Per assegnare un indirizzo ip statico ad un host tramite DHCP, l'indirizzo scelto DEVE necessariamente essere esterno al range DHCP Regole di Filtraggio/Nat Attraverso il menu Configuration > Security policy > Filtering/Nat si accede alle regole di filtraggio e di Nat Le regole di filtraggio e nat sono raggruppate in 10 slot diversi e sono divisi in 2 tab: Filtering e Nat Questo significa che in ogni momento può essere attivo un solo gruppo di regole di filtraggio/nat Il firewall propone automaticamente una serie di slot precompilati, dal piu restrittivo Block All al più permissivo Pass All. Per selezionare e attivare uno slot occorre sceglierlo dal menu a tendina e premere Activate this policy. Un insieme di regole non viene caricato sul firewall e messo infunzione se prima non viene attivato. Tramite il Menu Edit posto alla destra di Activate this policy è possibile copiare, rinominare o reinizializzare uno slot di filtraggio. In alcuni casi, ad esempio quando si hanno molte regole, è opportuno creare una copia delle stesse prima di effettuare delle modifiche sostanziali. Presupponendo che in una prima fase di configurazione il firewall sia stato messo in modalità Pass -all, ovvero si sia scelto lo slot 10 dal menu a tendina e si sia attivato, vediamo ora come andare a creare le regole di Nat per poter gestire la nostra rete

10 Map Andando sul tab Nat è possibile editare le regole di nat. Nelle regole di Nat possiamo andare a modificare gli header dei pacchetti per decidere se mascherare la rete interna oppure per redirigere dei pacchetti verso dei server interni che non sarebbero altrimenti raggiungibili. Una regola di nat è formata da 2 parti: Il pacchetto originale e il pacchetto modificato Per ciascuna delle due parti è possibile andare a gestire l'ip sorgente, porta sorgente, ip destinazione e la porta di destinazione. N.B.: Cliccando sul menu a tendina che compare quando con il mouse si passa sull'intestazione delle colonne (ad esempio su source) è possibile modificare la visualizzazione delle stesse, aggiungendo o togliendo le colonne che non utilizziamo. Per motivi di semplicità in questo esempio abbiamo abilitato tutti campi. Le funzionalità che sono messe a disposizione da una struttura Nat come questa sono enormi, ad esempio, un pacchetto che dal porta cerca di andare sul porta 80 lo posso trasformare in un pacchetto che dal porta va su porta Non che la cosa abbia un senso logico, ma solo per illustrare le potenzialità del sistema. E' bene inoltre tenere a mente che le regole di NAT vengono valutate in ordine di apparizione, ovvero dall'alto verso il basso, per cui una regola che mappa un server interno sul se messa dopo la regola che mappa la rete interna sul non verrà mai presa in considerazione. Nel nostro coso abbiamo gia inserito una regola che dice Le reti interne quando vanno su internet uscendo dalla porta out devono essere mascherate dell'ip pubblico del firewall. Il nat non utilizza delle porte a caso nella traslazione ma un range di porte obbligato chiamato Ephemeral tale range raggruppa le porte dalla alla e può essere modificato a piacimento. La creazione della regola di nat, se fatta sullo slot 10, ovvero insieme ad una regola di pass-all dovrebbe essere condizione sufficente per permettere il traffico verso l'esterno, non resta quindi che salvare la regola, attivarla e testare la navigazione Nel creare la regola è bene sapere che l'interfaccia è totalmente drag&drop, quindi per esempio, per scegliere network_internals nel campo source avete due possibilità 1) tenere il menu a sinistra aperto sul database degli oggetti, cercare network_internals mediante il campo di ricerca e trascinare con il mouse

11 2) fare doppio click sul campo relativo a source e utilizzare il menu a tendina E' importante, anche per linearità di visualizzazione e per facilità di comprensione, specificare l'interfaccia uscente nella destinazione. Una regola di MAP si attiva generalmente sull'interfaccia uscente, quindi deve essere letta come : quando il mio traffico esce da questa interfaccia deve essere mascherato con questo ip Per potere specificare l'interfaccia uscente occorre aprire il menu della destinazione e selezionare Advanced Properties

12 Pubblicazione di un server (Redirect) Per pubblicare il server web con l'ip pubblico del firewall dobbiamo fare in modo che le connessioni http che arrivano sull'interfaccia esterna del firewall, vengano rigirate sull'ip privato del server web. Con la regola sopra riportata possiamo rigirare il traffico che ha destinazione firewall_out sul server Web interno. Qualora il server web non esista occorrerà creare l'oggetto come abbiamo fatto per il default gateway. Qualora sia necessario sfruttare anche gli ip aggiuntivi che ci sono stati messi a disposizione dal provider, occorre inanzi tutto creare un nuovo oggetto che rappresenta l'ip pubblico secondario che voglio utilizzare Da notare che alla destra del bottone utilizzato per creare nuovi oggetti troviamo un bottone per inserire oggetti multipli nelle regole.e' quindi possibile semplificare e ridurre il numero di regole di nat necessarie accorpando le regole logicamente simili. Definito il nuovo ip pubblico è necessario pubblicare l'arp della nuova macchina, tale operazione puo essere eseguita dal menu sotto riportato

13 La regola di Nat diventa quindi la seguente Bimap Nel caso si voglia eseguire un nat bidirezionale ovvero pubblicare un server con lo stesso ip pubblico che il server utilizza per navigare (generalmente utilizzato per pubblicare la totalità delle porte di un server) è possibile utilizzare un wizard New rule > Static Nat Rule (bimap) tale wizard mostra la seguente interfaccia, attraverso la quale possiamo specificare l'ip pubblico che deve essere pubblicato all'esterno

14 tale wizard genera le seguenti due regole La regola numero 1 presenta il server web con l'ip pubblico firewallout2 e la seconda regola redirige tutto cio che arriva sull'interfaccia pubblica sul server interno. Filtraggio Le regole di NAT servono solamente per decidere come mascherare le reti e come modificare gli header ip, ma non definiscono affatto le politiche di sicurezza che permettono o meno certi tipi di traffico rispetto ad altri. Al primo avvio di una macchina Netasq lo slot attivo è il Block all, questo significa che tutto il traffico viene bloccato ad eccezione del traffico amministrativo sulle interfacce protette. Netasq V9 è in grado di ricostruire il traffico applicativo all'interno del kernel della macchina, questo permette di creare delle policy di sicurezza indipendenti dalle porte di destinazione. Posso quindi decidere di permettere il traffico tcp sulla porta 80, come posso permettere il traffico http indipendetemente dalla porta, e addirittura posso discriminare il traffico http generale da quello generato dal una applicazione come teamviewer che sfrutta la porta 80 per offrire assistenza remota. Permettere alla LAN di navigare in http e https e di risolvere i nomi

15 La regola sopra riportata permette alle reti interne di raggiungere internet sui protocolli http,https, e dns_udp Partentendo da destra verso sinistra troviamo i seguenti campi STATUS: puo essere ON oppure OFF, indica se la regola, all'interno dello slot attivo deve essere presa in considerazione oppure no. E' particolarmente utile quando si vogliono modificare al volo delle regole, per eseguire dei test. ACTION: La schermata action comprende 3 tab: General, Quality of service e Advanced Properties Attraverso tale schermata è possibile andare a definire il comportamento da intraprendere a fronte ad una connessione che corrisponde alla regola scritta Nel primo tab: GENERAL possiamo andare a definire il comportamento generale del firewall sul pacchetto in transito le azioni tra le quali possiamo scelgliere sono le seguenti PASS - la connessione viene fatta passare BLOCK blocca la connessione DECRYPT decripta la connessione usando il proxy ssl (consigliamo di limitarsi ad usare l'apposito wizard) LOG logga la connesseione RESET TCP/UDP resetta la connessione Al momento ci focalizzeremo sulle due piu importanti che sono PASS e BLOCK. Il firewall in configurazione di default blocca implicitamente tutto il traffico non esplicitamente permesso, quindi la classica regola blockall messa al fondo delle regole di filtraggio è inutile, a meno che non si voglia loggare cio che il firewall blocca (molto utile per scopi di debug). Nel campo Log Level è possibile specificare il livello di log per la regola in questione: nessuno, log, genera un allarme minore, genera un allarme maggiore.

16 Dai tool di reportistica in tempo reale e anche dalla dashboard del firewall gli allarmi o le linee di log verranno visualizzate diversamente in base alla loro tipologia SCHEDULING: con lo scheduling posso definire gli intervalli temporali in cui la regola è attiva, al di fuori di questi intervalli la regola è come se non esistesse. Se voglio ad esempio creare delle regole che siano valide nella pausa pranzo oppure solo al martedi, posso creare uno slot di scheduling e assegnargli un nome. Per creare un nuovo slot occorre cliccare sul + posto alla destra del menu a tendina Policy Based Routing Per ogni regola di filtraggio è possibile specificare un gateway di uscita. In questo modo è possibile sfruttare più connettività internet, ad esempio è possibile avere 2 linee adsl, utilizzare la linea primaria per la navigazione internet e la secondaria per l'invio delle mail. N.B: in caso il campo PBR non sia selezionato l'apparato utilizza automaticamente il default gateway. Ricordarsi però che il policy based routing prende il sopravvento sul balancing e failover deciso in fase di configurazione dei default gateway (Network>Routing). Security Inspection Attraverso la colonna di Security Inspection è possibile definire la tipologia di analisi applicativa da associare ad ogni regola di filtraggio. I plugin del kernel sono in grado di individuare il traffico applicativo indipendentemente dalla porta, e redirigerlo verso l'opportuna analisi senza dovere specificare delle regole di proxy. Nella finestra sopra riportata è possibile andare a selezionare le tipologie di analisi applicative.

17 Indipendentemente dalle analisi che vogliamo applicare nel primo riquadro possiamo scegliere se abilitare le seguenti modalità: IPS:Intrusion Prevention System (il traffico anomalo viene bloccato e segnalato) IDS:Intrusion Detection System (il traffico anomalo viene segnalato ma non bloccato) Firewall: Normale firewall statefull, il traffico anomalo non viene ne bloccato ne segnalato. Nel caso si selezioni la modalità IPS o IDS è possibile andare a scegliere uno dei 10 slot di configurazione per definire l'analisi da applicare ad ogni regola (fare riferimento ai Profili di ispezione) N.B.:La modalità IPS è sempre selezionata di default. Antivirus: l'opzione è di tipo ON/OFF, la configurazione dell'analisi è in parte in Application Protection>Antivirus (Impostazioni generali) e in parte in Application protection>protocol and Application (nell'apposito tab Analyzing File presente nei protocolli per cui è disponibile questa tipologia di analisi). Antispam: L'opzione è di tipo ON/OFF, la configurazione dell'analisi in Application Protection>Antispam dove è possibile andare a definire le configurazioni dell'antispam Euristico e RBL e il comportamento a fronte della ricezione di una mail di spam. Nella stessa finestra è possibile andare a configurare anche eventuali domini da mettere in whitelist e blacklist dell'analisi URL Filtering: L'attivazione dell'analisi URL avviene selezionando uno dei 10 slot disponibili. Gli slot sono configurabili in Security Policy> Url Filtering e in Objects->Web Objects>URL per la definizione di gruppi customizzati al di fuori di quelli proposti da Netasq. SMTP Filtering: L'attivazione dell'analisi SMTP avviene selezionando uno dei 10 slot disponibili. Gli slot sono configurabili in Security Policy > SMTP Filtering. E' opportuno capire la differenza tra SMTP Filter e analisi antispam. Tramite gli slot di SMTP Filtering è possibile creare dei filtri per bloccare o accettare l'invio/ricezione da e verso alcuni destinatari/mittenti. Tale tipologia di analisi può essere affiancata all'analisi antispam ma non entra assolutamente nel merito del contenuto del messaggio. FTP Filtering: L'opzione è di tipo ON/OFF, la configurazione dell'analisi si trova in Application Protection>Protocol and Applications>FTP>Command. Attraverso tale impostazione è possibile filtrare i comandi permessi durante una connessione FTP. Inoltre è possibile andare a modificare il comportamento delle sessioni in ApplicationProtection>Protocol and Applications>FTP>Proxy SSL Filtering: L'attivazione dell'analisi SSL avviene selezionando uno dei 10 slot disponibili. Gli slot sono configurabili in Security Policy>SSL Filtering e in Objects->Web Objects>Common Name (CN) per la definizione di gruppi customizzati al di fuori di quelli proposti da Netasq. N.B.:L'attivazione di una analisi protocollare comporta il reindirizzamento automatico del traffico nel proxy specifico. Tutto ciò avviene in maniera totalmente trasparente per l'utente, ma significa che alcune impostazioni protocollari possono essere definite anche in Application Protection>Protocol and Applications nei tab PROXY relativi al protocollo in oggetto

18 Scheduling delle regole Come abbiamo visto nel paragrafo relativo alle regole di filtraggio è possibile andare a creare degli slot temporali all'interno dei quali è attiva una regola e assegnarli alla regola stessa. L'assegnazione dello slot temporale si fa mediante l'apposito menu a tendina che si trova in Filtering->action nel tab General Come si nota dall'immagine gli slot disponibili sono quelli che sono stati creati. Occorre quindi andare a definire gli slot che ci interessano. Creazione di uno slot temporale Per creare un nuovo slot temporale è possibile cliccare sul pulsante + a destra del menu a tendina della scelta delle regole oppure andare in Objects>Time Objects>add. Si possono creare 3 tipi di oggetti temporali: 1. Weekly event evento che si ripete nella settimana 2. Yearly event evento che si ripete nel corso dell'anno 3. Fixed event evento fisso che si protrae per più mesi,giorni, ore. Evento settimanale La creazione di un evento settimanale (ad esempio la settimana lavorativa) viene effetuato tramite un semplice form, in cui si ha la possibilità di scegliere (apponendo un apposito flag) i giorni della settimana interessati e gli slot di orario. E' possibile ad esempio andare a definire le pause pranzo dell'intera settimana.

19 Evento Annuale Con evento annuale si intende un evento che si protrae per più giorni ma che si ripete ogni anno. Nell'apposita maschera è possibile andare a selezionare un range di date e uno slot di tempo In questo caso è possibile definire ad esempio qualche azione che deve essere compiuta tutti i giorni in uno specifico mese.

20 Evento fissato Con evento fissato si puo definire un evento di natura eccezionale che si puo protrarre su piu giorni/mese/ore ma che comunque ha una durata limitata e definita nel tempo Ad esempio è possibile programmare che dal 7 a 12 maggio un determinato server deve essere raggiungibile dall'esterno per manutenzione Applicazione degli slot di scheduling Una volta creati gli slot di scheduli si possono applicare direttamente alle regole di filtro mediante l'apposito menu a tendina del campo action facendo particolare attenzione all'ordine delle regole che puo andare ad inibire gli slot definiti. Inoltre è bene tenere sempre a mente la tipologia di regola che si va a permettere/negare secondo la seguente tabella riassuntiva Azione Time event Comportamento ASQ Pass Attivato Nessuna Pass Scaduto La connessioni che passano in questa regola devono essere ricontrollate Block Attivato Le connessioni passanti nelle regole immediatamente successive devono essere ricontrollate Block Scaduto Nessuna Prendiamo in analisi il primo caso

21 Attivazione di uno slot di Pass: dal momento che lo slot è di PASS, ASQ non deve fare nulla, se dei pacchetti transiteranno in tale slot verranno fatti passare. Il problema rimane per le sessioni attive in quel momento, ASQ infatti per non buttarle giu continua a farle passare nello slot vecchio prendiamo ad esempio la seguente figura Alle 12 si attiva la prima regola ma le sessioni che sono gia iniziate vengono fatte passare nella seconda fino alla loro naturale scadenza Scadenza di uno slot di pass: osserviamo ora la stessa immagine di prima ma supponiamo che siano le ore 14, in questo caso lo slot scade quindi dobbiamo controllare tutte le regole perchè potrebbe esserci un block che mi impedisce quella tipologia di traffico. Qualora ci sia un block il traffico viene bloccato ma in presenza di un ulteriore pass la connessione viene lasciata terminare naturalmente usando il profilo ips 2 che era quello che stava usando al momento della scadenza Attivazione di un block: tutte le regole immediatamente successive devono essere ricontrollate perchè potrebbe esserci del traffico non autorizzato, in presenza quindi di una regola di pass che non è piu autorizzata il traffico viene bloccato. Scadenza di un block: in questo caso ASQ non deve fare nulla, i nuovi pacchetti non si troveranno piu la regola di blocco e potranno proseguire l'analisi delle regole Gestione Utenti Al fine di poter creare delle regole per utente e non solo per indirizzi o classi di IP è necessario andare a creare il database nel quale gli utenti saranno immagazzinati. Netasq V9 mette a disposizione molteplici possibilità per l'autenticazione degli utenti. Le 3 principali sono: 1. LDAP interno 2. LDAP esterno 3. Active Directory Il tentativo di creazione di un utente qualora uno dei 3 database sopra riportati non sia stato inzializzato comporta la redirezione alla pagina di creazione del database e un messaggio di errore. Creazione del database Per creare il database occorre andare in Users>Directory Configuration. Qualora il firewall sia stato accesso per la prima volta verrà proposta immediatamente la schermata di creazione del database, ma ne caso il firewall sia già stato inizializzato è comunque possibile andare a rilanciare il wizard iniziale cliccando sulla bacchetta magica posta in alto a destra sullo schermo. N.B.:Rilanciare il wizard di configurazione del database comporta la cancellazione del database esistente.

22 Il wizard consiste in 3 passi principali Passo 1 Selezionare il tipo di database al quale ci si desidera connettere. Passo 2 Configurare il database Passo 3 Nel passo numero 3 è possibile definire in Allow access to the LDAP database se volgiamo rendere pubblico il database creato in modo da poter utilizzare gli utenti che andremo a configurare anche con altri programmi in grado di supportare i database LDAP. Allow access to the capitve portal from protected networks (internal interface) abilita automaticamente il portale di autenticazione raggiungibile all'indirizzo Tramite il capive portal è possibile andare ad autenticare gli utenti per poter creare regole su base personale. N.B.:Se abilitate il capive portal l'interfaccia di amministrazione sarà ragigungibile all'indirizzo Enable user enrolment through the web portal: questa opzione abilita una funzione del portale di autenticazione che permette agli utenti sprovvisti di credenziali di compilare direttamente un form sul portale che verrà inviato direttamente all'amministratore di rete. Una volta terminati i 3 passi del wizard è possibile andare a definire gli utenti. Creazione di un utente Una volta definito il database utente è possibile andare a creare gli utenti in Users>Users>+Add User

23 il campo ID è l'identificativo dell'utente utilizzato per l'autenticazione, mentre l'indirizzo viene utilizzato come campo univoco nel caso si desideri utilizzare i certificati digitali oppure le vpn nomadiche. Una volta definiti i parametri dell'utente e selezionato il pulsante APPLY il nominativo viene inserito nel database e sotto il campo Description compare un link : Create or update password Attraverso tale link è possibile andare a creare una password utente. Creazione di un gruppo di utenti Nella stessa pagina dove abbiamo creato gli utenti è possibile andare a creare un gruppo di utenti da utilizzare per semplificare le regole Per creare un gruppo è possibile selezionare + Add group e inserire il nome identificativo del gruppo in Last name Per inserire un utente precedentemente creato nel gruppo occorre selezionare il +Add e selezionare l'utente dal menu a tendina che compare nello spazio bianco. Utilizzo degli utenti nelle regole di filtraggio Una volta creato gli utenti è possibile andarli ad utilizzare nelle regole di filtraggio o di nat. Per la creazione di una regola basata su utente è possibile cliccare sul campo source e selezionare l'utente o il gruppo dal seguente menu a tendina:

24 a questo punto la regola di filtraggio diventa simile a questa: N.B.:Occorre ricodare che se l'utente non è autenticato la regola è come se non esistesse, occorre quindi organizzare le regole opportunamente Virtual Private Network IPSEC Ipsec è lo standard per le comunicazioni VPN tra due reti o tra una client nomadico e una rete remota. Netasq V9 rende estremamente semplice l'utilizzo di questo tipo di vpn mediante l'ausilio di wizard di configurazione che permettono in pochi semplici passaggi di creare una connessione tra due macchine. Quando si va a creare una vpn tra due reti ci sono 2 elementi chiave che entrano in gioco: 1. Le reti che si vogliono mettere in comunicazione (Traffic endpoint) 2. I firewall che si occuperanno di instaurare la comunicazione criptata tra le due reti (Tunnel Endpoint)

25 Nella figura sopra riportata ad esempio possiamo notare che i due Traffic Endpoint sono la Network_bridge e la remote_net. Mentre i due Tunnel Endpoint sono il firewall remote_office e ovviamente il nostro firewall. Nel creare una VPN dobbiamo andare a dire al nostro firewall di raggiungere la rete remota attraverso un IP, ma dal momento che tale connessione deve essere criptata dobbiamo anche specificare in quale modo la rete remota è raggiungibile, ovvero che metodo utilizzerò e quali chiavi per criptare i miei dati. Sotto questo punto di vista non dobbiamo solo limitarci a specificare l'ip remoto ma anche altre informazioni aggiuntive per cui, al fine di creare confusione lo chiameremo Peer. Possiamo quindi definire una vpn come una connessione ad una rete remota tramite un Peer. Le fasi della vpn Una vpn IPSEC utilizza 2 fasi per criptare i dati: Phase 1: Durante questa prima fase viene negoziato il protocollo IKE, che si occuperà di instaurare un canale criptato per procedere alle seguenti fasi Phase 2: durante questa fase si utilizza il canale sicuro instaurato per negoziare i parametri del canale criptato che utilizzeremo per trasportare i nostri dati La forza di una vpn ipsec sta nella sua interoperabilità con altri sistemi. In ognuna delle due fasi si possono utilizzare molteplici algoritmi di criptazione (Netasq è ottimizzato per AES). Proprio questa sua interoperabilità richiede che i due sistemi parlino gli stessi algoritmi, altrimenti non saremo in grado di negoziare il tunnel. Uno dei problemi principali nella definizione di un tunnel VPN sta appunto nel ricordarsi i paramentri da settare per ogni tunnel. Per rendere questa parte di configurazione più agevole, Netasq V9 utilizza dei profili di criptazione preimpostati e definibili dall'utente (vedi figura). In questo modo, al posto di doversi ricordare gli algoritmi da utilizzare per ogni tunnel basta scegliere il profilo dal menu a tendina. I profili di default sono: Strong, Good, Fast e Iphone encryption. Nella finestra sotto riportate potete visualizzare i profili preimpostati dove IKE sta per Phase 1 e Ipsec sta per Phase2.

26 Creazione di un tunnel VPN tra 2 firewall La creazione di un tunnel tra due firewall Netasq avviene in 2 fasi, la prima in cui si crea il tunnel vero e proprio mediante l'apposito wizard e la seconda in cui si decide il traffico autorizzato a transitare nel Tunnel mediante le regole di filtraggio. Prima parte: creazione del tunnel Lanciando il wizard tramite VPN > Ipsec VPN > Encryption Policy Tunnel > +Add > Site to Site Tunnel otteniamo la seguente schermata Nel nostro caso le reti interne devono essere collegate alle reti remote tramite un Peer che non abbiamo ancora creato, quindi cliccheremo su Create a peer.

27 In cui specifichiamo l'ip pubblico del firewall remoto e diamo un nome al peer, nel nostro caso Ufficio_remoto. A questo punto non ci resta che andare avanti e specificare la metodologia di autenticazione sul peer In questo caso si è scelto di operare mediante pre-shared Key. Nel passo successivo possiamo scegliere se completare la configurazione o se aggiungere un Peer di backup che salga quando la connettività con il peer primario viene a mancare. Una volta terminato il wizard occorre eseguire la stessa procedura sul firewall remoto, ovviamente invertendo i tunnel e i traffic endpoint. A questo punto per far salire la vpn occorre attivare lo slot appena creato su entrambe le macchine. N.B.:Le VPN vengono valutate dall'alto verso il basso come si presentano nella schermata di amministrazione esattamente come le regole di filtraggio. Dal momento che i pacchetti in arrivo sul firewall vengono controllati su tutte le vpn si consiglia di spostare più in alto quelle utilizzate più di frequente. Seconda Parte: gestione del traffico Una volta attivata la VPN occorre andare a creare delle regole che ne permettano il traffico. Per creare una regola che gestisca il traffico VPN occorre andare nelle regole di filtraggio in

28 Security Policy>Filtering/NAT e fare doppio click su Source. Nella finestra che appare occorre posizionarsi sul tab ADVANCED PROPERTIES e selezionare IPSec VPN tunnel nel menu a tendina VIA: Una volta selezionato il campo VIA è possibile andare a discriminare il traffico attraverso una normale regola di filtraggio. E' possibile quindi discriminare l'utente, il protocollo o attivare l'analisi applicativa esattamente come nelle regole di filtraggio standard. QOS & Traffic Shaping Al fine di garantire un controllo ottimale della banda internet, sia in ingresso che in uscita,i firewall Netasq V9 sono in grado di operare limitazioni di banda e gestione delle priorità in ogni regola di filtraggio. In ogni regola di filtraggio che autorizza il traffico a transitare per il firewall è possibile andare ad associare mediante un menu a tendina delle differenti regole di shaping

29 Esistono 3 differenti tipologie di code di shaping configurabili in Security Policy>QOS PRIQ - Priority Queue Per creare una coda di priprità del tipo PRIQ occorre andare in Security Policy>QOS>Add a queue e selezionare Priority Queue (PRIQ)

30 Occorre definire un nome per la coda (in questo caso abbiamo creato le code PRI alta, media e bassa) ed associare ad ogni nome un livello di priorità che varia da 7 (minimo) a 1 (massimo). Inoltre nella parte destra è possibile definire un colore univoco per meglio interpretare i grafici generati dal NETASQ REAL TIME MONITOR. Una volta definite le code di Priorità si possono selezionare nelle regole di filtraggio Posizionandosi con il mouse sopra alla colonna Action compare il nome della coda utilizzata. Nel caso dell'immagine sopra riportata l'smtp prende la priorità sull'http. CBQ Class Based Queue Per creare una coda di priprità del tipo CBQ occorre andare in Security Policy>QOS>Add a queue e selezionare Class Based Queue (CBQ). A differenza della PRIQ, nella CBQ non andiamo a creare una priorità ma andiamo a limitare la banda utilizzata. Nel farlo dobbiamo settare la banda minima garantita e massima consentita sia in upload che in download, dove per upload e download vengono intese come direzione della regola di filtraggio. Se per esempio associamo la regola CBQ_2mega alla regola 1 di filtraggio che abbiamo visto nel paragrafo delle PRIQ otteniamo che per l'http viene riservata 1 Mb/s di banda sia in upload che in download, e viene imposto un tetto massimo di 2 Mb/s. Se si vuole aumentare la velocità della navigazione bisogna aumentare il valora di Min Rev. E Max rev. Che sono i valori di download dal momento che si ragione in direzione opposta alla regola di filtraggio. La definizione dei limiti di banda può essere fatta in Mb/s, Kb/s o in percentuale, ma in questo ultimo caso è necessario andare a settare la banda complessiva in Security Policy>Qos>Maximum Bandwith. MONQ - Monitoring Queue Per creare una coda di priprità del tipo MONQ occorre andare in Security Policy>MONQ>Add a queue e selezionare Monitoring Queue(MONQ).

31 La coda MONQ non effettua nessuna limitazione della banda piuttosto opera una sua analisi. Se create una coda MONQ ad esempio MONQ_1 e associate questa coda ad una regola di filtraggio, otterrete con il NETASQ REALTIME MONITOR un grafico di quanta banda sta occupando quella coda DSCP Field Un altro metodo per gestire il QOS è tramite il tag DSCP, che è utilizzabile qualora all'interno della rete ci siano altre apparecchiature che lo supportano. Tale flag è intercettabile nel campo traffic source>advanced Properties