Esquema firewall de alta disponibilidad
Páginas: 8 (1938 palabras)
Publicado: 2 de julio de 2011
Norberto Altalef - RedKlee - Julio 2006
Esquema de firewall en alta disponibilidad
Alcances
Se describirá en este documento las ventajas y la configuración de una estructura de firewall en alta disponibilidad, utilizando herramientas OpenSource.
Ventajas
Una estructura de firewall en alta disponibilidad presenta las siguientes ventajas: - Continuidad de servicio frente a fallas dehardware. - Permitir actualizaciones de software sin interrupción del servicio. Si además se puede contar con más de una conexión a internet, puede continuar el servicio aún frente a una caída de uno de los enlaces. Es posible definir un enlace como principal y tener el otro inactivo como también tener ambos activos simultáneamente con balanceo del tráfico
Propuesta
La propuesta realizada porRedKlee contempla los siguientes aspectos: 1- Instalar una estructura de firewall con equipos redundantes. 2- Contar con al menos dos accesos internet, provistos por distintos proveedores (ISP). 3- Frente a una falla el usuario no debe tener ninguna interrupción de su conexión. 4- Posibilidad de usar los dos enlaces internet uno como activo y el otro como backup o tenerlos ambos activos.
>info@redklee.com.ar
>
www.redklee.com.ar
>
Tel: 4863-3074 / 15-5055-9853
Norberto Altalef - RedKlee - Julio 2006
Implementación
Para la estructura de firewall redundantes nuestra propuesta es realizarlo con una instalación basada en el sistema operativo OpenBSD. La decisión de usar OpenBSD se basa en varios aspectos: - Sistema operativo muy estable y totalmente orientado desde suconcepción hacia la seguridad. - Software de filtrado de paquetes pf, muy sencillo de usar y con muchas funcionalidades integradas. - Configuración de alta disponibilidad usando el protocolo CARP, estabilizada desde hace varias versiones. - Pseudo-interface pfsync que permite configurar un firewall "stateful" en alta disponibilidad. - Instalación muy sencilla, que ocupa poco espacio en disco y conrequerimientos de hardware mínimos. Ampliando los puntos anteriores: - En http://www.openbsd.org puede leerse: Only one remote hole in the default install, in more than 10 years! The OpenBSD project produces a FREE, multi-platform 4.4BSD-based UNIX-like operating system. Our efforts emphasize portability, standardization, correctness, proactive security and integrated cryptography. - El software defiltrado de paquetes (packet filter) de OpenBSD se denomina pf además de filtrar tráfico TCP/IP puede hacer también traslación de direcciones (NAT - Network Address Traslation). pf es capaz de hacer también normalización del tráfico TCP/IP, así como control de ancho de banda. Está disponible en el kernel genérico desde el año 2001 (versión OpenBSD 3.0) por lo que a través de los años se le hanagregado muchas funcionalidades y es muy estable y probado. Las reglas son muy sencillas y en pocas líneas de un archivo de configuración puede lograrse un firewall con muchas funcionalidades.
>
info@redklee.com.ar
>
www.redklee.com.ar
>
Tel: 4863-3074 / 15-5055-9853
Norberto Altalef - RedKlee - Julio 2006
- El propósito de CARP (Common Address Redundancy Protocol) es el depermitir que varios hosts en el mismo segmento de red, compartan una dirección IP. CARP es una alternativa gratis a VRRP (Virtual Router Redundancy Protocol) y HSRP (Hot Standby Router Protocol) El grupo de hosts que comparte una dirección IP se denomina "grupo de redundancia". Dentro de un grupo un host se designa como master y los demás como backups. El host master es quien responde al tráficodirigido a la dirección IP compartida. En caso de falla del master, el host backup de mayor prioridad es quien pasa a tener identidad de master. - La interface virtual pfsync expone los cambios en la tabla de estados usada por pf. Si esta interface virtual se asocia a una interface física estos cambios de estado pueden ser transmitidos a otros hosts, de manera que todos los hosts de un grupo puedan...
Esquema de firewall en alta disponibilidad
Alcances
Se describirá en este documento las ventajas y la configuración de una estructura de firewall en alta disponibilidad, utilizando herramientas OpenSource.
Ventajas
Una estructura de firewall en alta disponibilidad presenta las siguientes ventajas: - Continuidad de servicio frente a fallas dehardware. - Permitir actualizaciones de software sin interrupción del servicio. Si además se puede contar con más de una conexión a internet, puede continuar el servicio aún frente a una caída de uno de los enlaces. Es posible definir un enlace como principal y tener el otro inactivo como también tener ambos activos simultáneamente con balanceo del tráfico
Propuesta
La propuesta realizada porRedKlee contempla los siguientes aspectos: 1- Instalar una estructura de firewall con equipos redundantes. 2- Contar con al menos dos accesos internet, provistos por distintos proveedores (ISP). 3- Frente a una falla el usuario no debe tener ninguna interrupción de su conexión. 4- Posibilidad de usar los dos enlaces internet uno como activo y el otro como backup o tenerlos ambos activos.
>info@redklee.com.ar
>
www.redklee.com.ar
>
Tel: 4863-3074 / 15-5055-9853
Norberto Altalef - RedKlee - Julio 2006
Implementación
Para la estructura de firewall redundantes nuestra propuesta es realizarlo con una instalación basada en el sistema operativo OpenBSD. La decisión de usar OpenBSD se basa en varios aspectos: - Sistema operativo muy estable y totalmente orientado desde suconcepción hacia la seguridad. - Software de filtrado de paquetes pf, muy sencillo de usar y con muchas funcionalidades integradas. - Configuración de alta disponibilidad usando el protocolo CARP, estabilizada desde hace varias versiones. - Pseudo-interface pfsync que permite configurar un firewall "stateful" en alta disponibilidad. - Instalación muy sencilla, que ocupa poco espacio en disco y conrequerimientos de hardware mínimos. Ampliando los puntos anteriores: - En http://www.openbsd.org puede leerse: Only one remote hole in the default install, in more than 10 years! The OpenBSD project produces a FREE, multi-platform 4.4BSD-based UNIX-like operating system. Our efforts emphasize portability, standardization, correctness, proactive security and integrated cryptography. - El software defiltrado de paquetes (packet filter) de OpenBSD se denomina pf además de filtrar tráfico TCP/IP puede hacer también traslación de direcciones (NAT - Network Address Traslation). pf es capaz de hacer también normalización del tráfico TCP/IP, así como control de ancho de banda. Está disponible en el kernel genérico desde el año 2001 (versión OpenBSD 3.0) por lo que a través de los años se le hanagregado muchas funcionalidades y es muy estable y probado. Las reglas son muy sencillas y en pocas líneas de un archivo de configuración puede lograrse un firewall con muchas funcionalidades.
>
info@redklee.com.ar
>
www.redklee.com.ar
>
Tel: 4863-3074 / 15-5055-9853
Norberto Altalef - RedKlee - Julio 2006
- El propósito de CARP (Common Address Redundancy Protocol) es el depermitir que varios hosts en el mismo segmento de red, compartan una dirección IP. CARP es una alternativa gratis a VRRP (Virtual Router Redundancy Protocol) y HSRP (Hot Standby Router Protocol) El grupo de hosts que comparte una dirección IP se denomina "grupo de redundancia". Dentro de un grupo un host se designa como master y los demás como backups. El host master es quien responde al tráficodirigido a la dirección IP compartida. En caso de falla del master, el host backup de mayor prioridad es quien pasa a tener identidad de master. - La interface virtual pfsync expone los cambios en la tabla de estados usada por pf. Si esta interface virtual se asocia a una interface física estos cambios de estado pueden ser transmitidos a otros hosts, de manera que todos los hosts de un grupo puedan...
Leer documento completo
Regístrate para leer el documento completo.