Domanda Su Firewall Hardware

[valerio1990]

Salve,

Parliamo di una rete così strutturata:

Antenna Wireless (servizio internet)------>Router con access point------->switch gigabit----->(nas, pc1, pc2, print server, ip cam etc....)

ll router è un router gigabit con access point wifi che mi dà la posibilità di avere una connessione wi-fi per gli ospiti.

Vorrei fare un po' di esperienza su un firewall basato su pf sense e montarlo su un pc con scheda madre con cpu onboard (se volete sapere che setup ho scelto dopo un po' di ricerche internet chiedetelo così mi dite che ne pensate).

Vorrei sapere quale configurazione è migliore e più semplice da realizzare tra queste due:

- Firewall hardware posto prima del router (ho letto che in questo caso il firewall farebbe da router vero e proprio e il router che ho adesso diventerebbe un semplice switch più access point)

- Firewall posto dopo del router (il firewall non farebbe da router e si occuperebbe soltanto di filtrare e analizzare i pacchetti e le connessioni entranti e uscenti)

Nell'ultimo caso non sarei protetto sulla parte wi-fi visto che si trova a monte del firewall, giusto? (se è vero questo non mi va bene)

E' possibile mettere il firewall a monte del router e non fargli fare da router, ma fargli analizzare soltanto il traffico tra le due schede di rete?

Grazie

[koolio]

Ciao

il fw prima del router è una buona soluzione poichè ti permette di "pensare" di lavorare per zone. Mi spiego con un esempio fw e router si parlano o in statico o con un protocollo qualsiasi dallo sw parrtono N vlan per differenziare il traffico. Trunk di vlan verso il router che a questo punto può fare vlan routing (lo può fare benissimo anche il fw!!) In questo scenario se decidi di far fare tutto al fw ogni vlan può essere una "zona" e quindi potrai decidere se ad esempio la ip cam potrà vedere il print server etc etc. Ricorda solo che un fw, per renderlo realmente utile dovrebbe essere in grado di lavorare fino al livello 7 Osi...altrimenti serve a poco imho! Io dopo una lunga riflessione (due birre) ho pensato che tutti vedono tutto a queste condizioni... Squid--->Dansguardian-->Clamav proxo tutto e Antivirus perimetrale. Regole simil Fw su router ossia: da fuori a dentro= niente! da dentro a fuori su poche porte sniffabili...

Riguardo la tua ultima domanda la risposta è si . Fai un bridge e sopra pf... buono per un Ids!

[valerio1990]

In quanto alla tua risposta:

Fai un bridge e sopra pf, cosa intendi?

Io, dimmi se sbaglio, ho inteso utilizza pf sense come firewall trasparente o in modalità bridge.

Se fosse così la rete rimarrebbe invariata e prima del router ci sarebbe il firewall, potrei quindi continuare ad usare il router anche come access point non modificando niente nella configurazione è giusto????

Grazie mille

P.S Ho scelto questa scheda madre con cpu onboard GA-C1037UN con due interfacce lan gigabit che ne pensi? Credo che tutto sommato è accettabile non dovendo fare da router non serve tanta potenza di calcolo. Se hai suggerimenti sono ben accetti.

Modificato: 22 dicembre 2013 da valerio1990

[koolio]

<Fai un bridge e sopra pf, cosa intendi?> installare una distribuzione BSD mettere le interfacce di rete in bridge e sopra farci girare pf !

<Io, dimmi se sbaglio, ho inteso utilizza pf sense come firewall trasparente o in modalità bridge.> Mi sembra che le due modalità siano sinonimi (però posso sbagliarmi!!)

<Se fosse così la rete rimarrebbe invariata e prima del router ci sarebbe il firewall, potrei quindi continuare ad usare il router anche come access point non modificando niente nella configurazione è giusto????> Premetto, non ho mai messo le mani seriamente su pf sense ma per quanto mi ricordo la cosa ha un senso. Ovvero AP-Internet---->Fw--->ap-router, se non sbaglio transparent firewalling è ciò di cui forse hai bisogno!! Ricorda solo che stai di fatto "sniffando" il traffico nel bridge", quindi hai possibilità quasi infinite di successive manipolazioni...della serie da un grande potere grande responsabilità...!

Un ultima cosa... il bridge è di fatto un astrazione logica... un tubo...quindi i pacchetti vanno copiati dal kernel space allo user space... inoltre le regole del fw sono in user space... quindi piuttosto le cose di cui accertarsi sono per le due schede di rete, che quindi dovranno supportare sia gro che ufo che tfo in modo tale da sgravare un pò la cpu!

PS Il routing specialmente se fatto con rotte statiche non incide quasi per nulla nel "carico" di una cpu!

[Matteo Brancaleoni]

Non è esatto, un bridge è in kernel space e i firewall sia in bsd che linux sono in kernel space.

Il tool che usi per configurare è in userspace, ma di fatto crea regole che vengono applicate dal kernel.

Questo per il "normale" firewall, ovvero fino al livello di protocollo (ip/tcp per capirci)

Diventa userspace quando fai application level filtering, ovvero i vari ids, transparent proxy http, antivirus etc

Per la risposta alla domanda di cui sopra, se il router è ethernet, credo sia inutile aver due dispositvi, basta uno solo che fa da router e firewall,

magari con più di due interfacce di modo da suddividere (qualora si voglia farlo) traffico wireless da traffico lan etc, come già suggerito.

Per la cpu che hai scelto, puoi fare packet filtering a 100Mbps con decine di regole senza risentirne affatto (e forse di più)

Nel tuo setup quello che impatterebbe di più sono eventuali sistemi a livello di applicazione, come IDS, proxy etc