RE: [FRnOG] Firewall actif/actif

[sfoutrel]

Bonjour, 
Nous utilisons aussi bien pour nous que nos clients des appliance Fortinet
qui sont capables de fonctionner en A/A, de plus c'est assez facile d'emploi
et d'apprentissage pour une équipe (et pas trop cher).

My 2 cents.

Cordialement

-Message d'origine-
De : [EMAIL PROTECTED] [mailto:[EMAIL PROTECTED] De la part de
Pierre Gaxatte
Envoyé : jeudi 28 août 2008 11:51
À : frnog@frnog.org
Objet : [FRnOG] Firewall actif/actif

Bonjour,

Etant nouveau sur la liste, je vais (très brièvement) me présenter : 
Pierre, ingénieur réseaux et systèmes.

Je me tourne vers vous pour une petite (enfin grosse) question :)

Nous prévoyons en ce moment de changer nos vieux PIX en Failover pour 
une solutoin de firewalls en actif/actif. On était parti à la base sur 
des ASA et finalement j'ai réussi à convaincre mes collègues de tenter 
l'expérience Netfilter avant de se décider (rapport qualité prix 
incomparable, surtout niveau prix :)).

Voilà donc mon problème, je cherche depuis quelques temps une solution 
pour mettre deux firewalls avec Netfilter en actif/actif et j'avoue que 
je m'y perd un peu (VRRP avec conntrack, CARP avec ucarp, keepalived, 
heartbeat,...). A part pour heartbeat que je connais déjà pas mal, j'ai 
du mal à réunir de la documentation et à peser le pour et le contre de 
tout ce qui peut se faire.

A vrai dire les documentations n'ont pas l'air de faire légion dans le 
domaine (ou alors il va me falloir une formation Google...).

De plus n'étant pas du tout familier avec les *BSD, je ne compte pas me 
diriger sur cette voie : je préfère pour l'instant rester sur un système 
que je connais bien, surtout pour des firewalls !

Donc voilà, si quelqu'un avait une petite piste/un avis là dessus, je 
serais très content de l'entendre :)

-- 
Pierre "LiLo" Gaxatte
---
Liste de diffusion du FRnOG
http://www.frnog.org/

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Firewall actif/actif

[Pierre Gaxatte]

[EMAIL PROTECTED] a écrit :
Bonjour, 
Nous utilisons aussi bien pour nous que nos clients des appliance Fortinet

qui sont capables de fonctionner en A/A, de plus c'est assez facile d'emploi
et d'apprentissage pour une équipe (et pas trop cher).

My 2 cents.



Bonjour,

Pour replacer un peu dans notre contexte, nous ne sommes pour l'instant 
qu'en phase de recherche vers une solution évolutive qui pourra 
facilement couvrir les éventuels nouveaux besoins de nos clients. Nous 
proposons des services de hosting (dédié ou mutualisé, pas de virtuel en 
revanche) très personnalisés.


Nous étions parti sur les Cisco ASA 5510 car nous sommes tous pas mal 
familiers avec les produits Cisco et tout notre backbone ainsi que nos 
firewalls actuels (les PIX) sont des Cisco : à première vue ça semblait 
donc naturel de continuer sur cette lancée. Seulement même si on peut 
trouver ce matériel pour pas trop trop cher, le cout des diverses 
licences devient vite problématique pour nous. Notre infrastructure est 
encore très petite et évolue assez lentement.


D'où l'idée de creuser dans du libre sur des plateformes x86 standards. 
En plus ça rajoute la satisfaction personnelle et l'aventure de la mise 
en place et une totale personnalisation (j'ai envie de dire presque sans 
limite) :)


Mais on garde toujours dans un coin de la tête le fait que les 
appliances ont un délai de mise en prod beaucoup plus court et une plus 
grande facilité dans la tâche. En plus de ça on a toujours la possiblité 
d'avoir un support commercial (plus ou moins efficace).


Mais bon, c'est moins funky quoi :)

--
Pierre "LiLo" Gaxatte
---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Firewall actif/actif

[Joel Ramat]

Bonjour,

Pour ma pars nous n'utilisons que du firewall applicatif ( netfilter
pour être exact ). Cela couvre l'ensemble de nos besoins actuels avec
une souplesse que l'on ne peut pas trouver sur des appliance
propriétaire.

Il est clairement pas possible aujourd'hui de disposer d'un modèle
actif/actif avec les solutions netfiter ( on parle de synchronisation
des états dans le cadre d'une bascule vers le fw slave ).

La solution est de faire un mixte avec un routage applicatif et/ou par
port. je m'explique...

Il faut commencer par définir quel sont les flux qui vont transiter sur
la plate-forme, ensuite identifier parmi ces derniers quels sont ceux
qui nécessitent un filtrage par état.
Troisièmement il faut identifier les flux qui vont transiter par des
proxy et qui ne nécessiteront pas par conséquent d'un filtrage par état
( puisque le filtrage se fera naturellement sur le proxy ).
On peut aussi définir les flux pour lesquels le reset de session n'est
pas une gène ( les sessions http sont suffisamment courte pour que la
gène soit peut perceptible ).

Les flux identifier comme ne nécessitant pas de suivi seront routé vers
des firewall ( du coup la on peut en avoir plusieurs ) sans état.
Les autres flux seront routé vers une solution active/passive avec
l'inconvénient de devoir réinitialiser la session en cas de bascule sur
le fw de secours.

Il est à noté que les architecture avec et sans état peuvent être
fusionné. Typiquement on créer 2 chaînes, une pour les rêgles avec suivi
des états l'autre ou on fait abstraction du suivi de session. Ensuite on
envoie d'abord les flux dans la chaine sans suivi et en étape 2 dans la
chaine avec suivi. Typiquement pour le routage on route par défaut tous
les flux vers le firewal master, puis on intercepte les flux qui
n'auront pas de suivi pour les renvoyer ( ex 1 paquet sur 2 ) vers le
second firewall.

L'archi nécessite un peut d'étude et de test pour un bon
dimensionnement. 

Il peut être aussi intéressant de regarder du coté de chez NuFW
( extension netfilter ), bien actifs dans la communauté, ils travails
beaucoup avec le suivi de session et auront peut être un pronostique
plus favorable sur l'actif/actif ( on reste dans le libre avec
possibilité d'un support commercial et dev via INL ). 

D'un point de vue propriétaire je croix qu'il n'y a pas de système de
licence chez foundry.

Joël  

Le vendredi 29 août 2008 à 14:04 +0200, Pierre Gaxatte a écrit :

> [EMAIL PROTECTED] a écrit :
> > Bonjour, 
> > Nous utilisons aussi bien pour nous que nos clients des appliance Fortinet
> > qui sont capables de fonctionner en A/A, de plus c'est assez facile d'emploi
> > et d'apprentissage pour une équipe (et pas trop cher).
> > 
> > My 2 cents.
> > 
> 
> Bonjour,
> 
> Pour replacer un peu dans notre contexte, nous ne sommes pour l'instant 
> qu'en phase de recherche vers une solution évolutive qui pourra 
> facilement couvrir les éventuels nouveaux besoins de nos clients. Nous 
> proposons des services de hosting (dédié ou mutualisé, pas de virtuel en 
> revanche) très personnalisés.
> 
> Nous étions parti sur les Cisco ASA 5510 car nous sommes tous pas mal 
> familiers avec les produits Cisco et tout notre backbone ainsi que nos 
> firewalls actuels (les PIX) sont des Cisco : à première vue ça semblait 
> donc naturel de continuer sur cette lancée. Seulement même si on peut 
> trouver ce matériel pour pas trop trop cher, le cout des diverses 
> licences devient vite problématique pour nous. Notre infrastructure est 
> encore très petite et évolue assez lentement.
> 
> D'où l'idée de creuser dans du libre sur des plateformes x86 standards. 
> En plus ça rajoute la satisfaction personnelle et l'aventure de la mise 
> en place et une totale personnalisation (j'ai envie de dire presque sans 
> limite) :)
> 
> Mais on garde toujours dans un coin de la tête le fait que les 
> appliances ont un délai de mise en prod beaucoup plus court et une plus 
> grande facilité dans la tâche. En plus de ça on a toujours la possiblité 
> d'avoir un support commercial (plus ou moins efficace).
> 
> Mais bon, c'est moins funky quoi :)
> 


signature.asc
Description: Ceci est une partie de message	numériquement signée

Re: [FRnOG] Firewall actif/actif

[Jerome Benoit]

Le Fri, 29 Aug 2008 14:04:05 +0200,
Pierre Gaxatte <[EMAIL PROTECTED]> a osé(e) écrire :

[...snip...]

> 
> Mais bon, c'est moins funky quoi :)
> 

Let's the funky part of you choose ... 

See yah.

-- 
Jérôme Benoit aka fraggle
La Météo du Net - http://grenouille.com
OpenPGP Key ID : 9FE9161D
Key fingerprint : 9CA4 0249 AF57 A35B 34B3 AC15 FAA0 CB50 9FE9 161D


pgpyvzu4PP7X8.pgp
Description: PGP signature

Re: [FRnOG] Firewall actif/actif

[Clement Hermann]

Stéphane BUNEL a écrit :

Clément Hermann wrote:

(...)

Le problème avec netfilter, ça va être la synchronisation de l'état. Il

(...)




http://conntrack-tools.netfilter.org/
"The *conntrack-tools* are a set of free software 
 userspace tools for Linux 
 that allow system administrators interact with 
the Connection Tracking System 
, which is the 
module that provides stateful packet inspection for iptables 
. The 
*conntrack-tools* are the userspace daemon /conntrackd/ and the 
command line interface /conntrack/."


La présentation de Pablo au RMLL2008, "Fault tolerant stateful 
firewalling with GNU/Linux, par Pablo Neira Ayuso":
http://free-electrons.com/pub/video/2008/rmll/rmll2008-pablo-neira-ayuso-firewalling.ogg 






Je pensais bien que ça allait évoluer avec l'apparition de libnfconntrack :)

Merci pour l'info, j'avoue que j'ai assez peu suivi les évolutions récentes.

--
Clément Hermann
---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] RE: [FRnOG] 900 jours avant la pénurie d'adresse s IP V4 ?

[Michel Py]

> Benjamin BAYART
> C'est bien avec ce raisonnement qu'on va pousser un peu plus
> le Net vers le Minitel. Bah, madame Michu, elle n'a pas besoin
> d'un serveur. Et puis de toutes façons, pour aller sur eBay et
> Amazon, un Minitel 2.0, ça suffit bien. Etc.

Il y a quand même plusieurs différences de taille depuis les glorieux jours du 
3615: madame Michu peut avoir un blog quelque part, poster la vidéo de son 
caniche sur youtube, avoir une page web hébergée chez son FAI gratos ou dans 
une colo pour une misère, etc.
Aujourd'hui, nul besoin d'avoir un serveur pour publier ses recettes de cuisine.

Et glissons sur le fait que madame Michu qui essaie de faire marcher un 
serveur, ça fait chier tout le monde et surtout moi, le support technique 
gratuit pour la famille étendue. L'IP fixe et le reverse-lookup, c'est pour 
MOI. [Un compte sur mon serveur pour madame Michu? Ça va pas non? MA bande 
passante c'est pout pirater la zicmu au format .mp3 et le cul en HD .mkv. Non 
mais]


> Il y a deux scénarios que je redoute:
> - le double NAT généralisé

Généralisé, ça dépend du pays. Ici c'est pas demain la veille, avec 4 IPs par 
habitant nous avons des réserves pour un bout de temps.
En Chine, c'est déjà trop tard.
Cas intéressant: la France. Une IP par habitant.

> Raphaël Jacquot
> De là à ne délivrer des IP publiques qu'à ceux qui en font la demande...
[merci pour ta contrib, Raphaël]

Ouais l'idée n'est pas nouvelle et elle est bien tentante. Il y a même des gens 
près de leurs euros qui ont une idée encore plus diabolique: De là à faire 
payer plus cher les abonnés qui veulent une IP publique


> - qu'IPv6 serve aux clients et IPv4 aux serveurs

Aucun intérêt, c'est encore pire que double NAT.


> Dans les deux cas, on se met à différencier sur le réseau
> le client du serveur, on n'est alors plus sur du Net.

TON opinion du Net. Tu me le donnes, le fric pour installer IPv6 dans ma boite 
alors que ça ne sert à rien aujourd'hui et que ça servira toujours à rien dans 
900 jours? Non?
N'ayant pas l'argent du CONtribuable pour faire joujou, je m'abstiens pour le 
moment.

Faudrait arrêter de nous jouer le disque rayé du marketing IPv6 qu'on entend 
depuis plus de 10 ans. Tout comme la veste de Jacques Dutronc, il est tellement 
usé qu'il craque de tous cotés.

Il y a 2 choses qui font tourner ce bas monde: le cul et le pognon. IPv6: ni 
cul ni pognon (ouais je sais il y a http://www.ipv6porn.co.nz... c'est pas 
terrible)

Le minitel rose (essayons de ne pas glisser sur cette pente vaselineuse) faut 
pas oublier que c'était aussi la vache à lait de France Télécon (donc de 
l'Etat) et de quelques opportunistes ^H^H^H^H^H^H visionnaires. Le cul ET le 
pognon.

Tu veux que je déploies IPv6? Envoies le cul, le pognon, ou les deux.

Michel.


---
Liste de diffusion du FRnOG
http://www.frnog.org/