 |
|
|
Redundante Firewalls mit OpenBSD und CARP
Ihre Internetkommunikation muss geschützt sein.
Dazu benötigen Sie Firewalls.
Firewalls sind ein Konzept, welches sich wie ein roter Faden
quer durch Ihre
Unternehmensstruktur ziehen
muss (siehe auch GSH):
von Passwortverwaltung über Paketfilter bis hin zum physikalischen
Zugriff auf Serverräume.
Wir möchten hier den Aspekt der Paketfilters betrachten.
Als zentraler Angriffspunkt in den verschiedenen Netzsegmenten
fällt ihm besondere Aufmerksamkeit zu.
Es gibt am Markt mittlerweile eine kaum zu überblickende Vielfalt
an Firewalls.
Unser Favorit ist sogar noch Open Source!
WIr sind begeistert von der Flexibilität und Sicherheit von
OpenBSD´s PF (bzw. für einfachere Installationen auch PFSense
unter FreeBSD).
Wir gehen in unserem Beispiel von einer redundanten
Internetanbindung (siehe Multihoming mit BGP) aus und möchten
diese Redundanz auch auf den Paketfilter erweitern.
Die Lösung:
Ein Cluster im Hot-/Standby- Betrieb.
Die beiden Rechner werden über eine separate Verbindung
vernetzt.
Über diese Verbindung, werden Informationen ausgetauscht,
welcher der beiden Rechner als "Master" und welcher
als "Slave" fungiert. Das Protokoll welches uns dieses ermöglicht
nennst sich CARP.
CARP weist dem Master eine virtuelle IP Adresse zu, welche
von benachbarten System als Gateway benutzt wird.
Fällt der Master aus übernimmt der Slave diese IP Adresse.
Damit das ganze auch für einen Paketfilter reibungslos
funktioniert müssen die Zustandstabellen der FIlter
synchronisiert sein.
Dies ermöglicht uns PFSync, ein sogenanntes Pseudo Device,
über welches jeder Host Änderungen seiner State
Table weitergibt.
So ist bei Ausfall des Masters der Slave sofort einsatzbereit,
im Regelfall ohne einen einzigen Verbindungsabbruch bei
den Nutzern!
Ein ähnliche Konzept steht übrigens auch für IPSEC Tunnel
zur Verfügung!
Nähere Informationen fordern Sie bitte unter
team@netzwerkplanet.com an.
|
|
|
|
|
|
|
