UNIVERZA V MARIBORU FAKULTETA ZA ELEKTROTEHNIKO,
RAČUNALNIŠTVO IN INFORMATIKO
Jernej Gabrič
UPORABA PROGRAMSKE POŽARNE PREGRADE V PODATKOVNEM CENTRU
Diplomsko delo
Maribor, avgust 2016
UNIVERZA V MARIBORU FAKULTETA ZA ELEKTROTEHNIKO,
RAČUNALNIŠTVO IN INFORMATIKO
Jernej Gabrič
UPORABA PROGRAMSKE POŽARNE PREGRADE V PODATKOVNEM CENTRU
Diplomsko delo
Maribor, avgust 2016
UPORABA PROGRAMSKE POŽARNE PREGRADE V PODATKOVNEM CENTRU Diplomsko delo
Študent: Jernej Gabrič Študijski program: univerzitetni študijski program Telekomunikacije Mentorica: red. prof. dr. Tatjana Kapus Lektorica: Bojana Lekše, prof. slovenščine
i ii
ZAHVALA
Zahvaljujem se mentorici red. prof. dr. Tatjani Kapus za pomoč in vodenje pri izdelavi diplomske naloge. Posebej se zahvaljujem svojim staršem, ki so mi omogočili študij in mi vsa leta stali ob strani. Hvala.
iii iv
Uporaba programske požarne pregrade v podatkovnem centru
Ključne besede: filtriranje prometa, prevajanje omrežnih naslovov, navidezna zasebna omrežja, propustnost
UDK: 004.72.056.52(043.2).
Povzetek
V diplomski nalogi smo pregledali izbor brezplačnih izdaj programskih požarnih pregrad, primernih za namestitev v virtualizirano okolje podatkovnega centra. Izvedli smo preizkus zmogljivosti delovanja najprimernejše izdaje programske požarne pregrade in jo primerjali z zmogljivostjo strojne požarne pregrade. Pri preizkušanju smo uporabili omrežne naprave proizvajalca Cisco, strežnike IBM, programski produkt VMware vSphere in klasične namizne računalnike. Prišli smo do ugotovitve, da je uporaba programske požarne pregrade v takšnem okolju stroškovno upravičena in da je ob izbiri primerne strežniške opreme za virtualizacijo v podatkovnem centru programska požarna pregrada zmogljivejša od strojne.
v
Using a software firewall in a data centre
Key words: traffic filtering, virtualization, network address translation, virtual private network, throughput
UDK: 004.72.056.52(043.2).
Abstract
In this diploma thesis we reviewed the selection of free software-based firewall appliances which are capable of running in a virtualized environment of a data centre. We conducted various performance tests on the most suitable appliance and compared the results to those of a hardware firewall. The testing was done by using Cisco network devices, IBM servers, VMware vSphere software and desktop computers. The conclusion of our study was that using a software based firewall appliance in such an environment is economically feasible and provides better performance compared to a hardware firewall if the server equipment for virtualization in the data centre is correctly chosen.
vi
KAZALO VSEBINE
1 UVOD ...... 1
2 ZNAČILNOSTI POŽARNIH PREGRAD ...... 3
2.1 Filtriranje prometa ...... 4
2.2 Prevajanje omrežnih naslovov ...... 8
2.3 Navidezna lokalna omrežja...... 10
2.4 Navidezna zasebna omrežja ...... 11
3 VIRTUALIZACIJA V PODATKOVNEM CENTRU ...... 17
3.1 Načini virtualizacije ...... 18
3.2 Glavni predstavniki hipervizorjev tipa 1 ...... 19
3.3 Glavni predstavniki hipervizorjev tipa 2 ...... 20
4 PREGLED PROGRAMSKIH POŽARNIH PREGRAD ...... 22
4.1 ClearOS ...... 22
4.2 Endian ...... 23
4.3 IPCop ...... 23
4.4 IPFire ...... 23
4.5 pfSense ...... 24
4.6 Smoothwall ...... 24
4.7 Sophos ...... 25
4.8 Untangle ...... 25
4.9 VyOS ...... 26
4.10 Zeroshell ...... 26
4.11 Izbira najprimernejše izdaje programske požarne pregrade ...... 27
5 POSTAVITEV RAZVOJNEGA OKOLJA ...... 28
5.1 Opis in specifikacija strojne opreme ...... 28
vii
5.2 Nastavitev lokalnega stikala...... 29
5.3 Namestitev in nastavitev okolja ESXi ...... 30
6 NAMESTITEV IZBRANE POŽARNE PREGRADE ...... 36
6.1 Tvorjenje navideznega računalnika ...... 36
6.2 Nastavitev dostopa do spletnega vmesnika in interneta ...... 39
6.3 Tvorjenje vmesnikov VLAN ...... 42
6.4 Nastavitev filtriranja prometa ...... 44
6.5 Primer prevajanja omrežnih naslovov ...... 47
6.6 Konfiguriranje strežnika VPN za daljinski dostop ...... 52
7 PREIZKUŠANJE ZMOGLJIVOSTI ...... 58
7.1 Propustnost WAN–LAN ...... 60
7.2 Propustnost med omrežji VLAN ...... 62
7.3 Propustnost VPN-jev ...... 65
8 SKLEP ...... 69
LITERATURA IN VIRI ...... 70
viii
KAZALO SLIK
Slika 1.1: Klasična postavitev strojne požarne pregrade v podatkovnem centru. ... 1 Slika 1.2: Postavitev programske požarne pregrade v podatkovnem centru...... 2 Slika 2.1: Klasična razdelitev razpršitvene domene...... 10 Slika 2.2: Zgradba okvirja IEEE 802.1Q...... 10 Slika 2.3 Tipa omrežnih vmesnikov VLAN...... 11 Slika 2.4: Poenostavljen prikaz povezave pri šifriranju AES...... 15 Slika 2.5: Poenostavljen prikaz povezave SSL/TLS...... 15 Slika 3.1: Predstavitev virtualizacije...... 17 Slika 3.2: Hipervizor tipa 1 in tipa 2...... 19 Slika 5.1: Shema začetne postavitve omrežja...... 28 Slika 5.2: Tvorjenje VLAN-ov na stikalu...... 30 Slika 5.3: Glavni meni ESXi...... 31 Slika 5.4: Konfiguriranje nadzornega omrežja ESXi...... 31 Slika 5.5: Nastavitev naslova IP ESXi...... 32 Slika 5.6: Glavno okno odjemalca vSphere ESXi...... 33 Slika 5.7: Začetno stanje omrežnih nastavitev ESXi...... 33 Slika 5.8: Končna postavitev omrežja strežnika ESXi...... 34 Slika 6.1: Datotečni sistem strežnika ESXi...... 36 Slika 6.2: Tvorjenje novega navideznega računalnika...... 37 Slika 6.3: Nastavitev omrežja navideznega računalnika...... 37 Slika 6.4: Nastavitve strojne opreme navideznega računalnika...... 38 Slika 6.5: Zagonski meni pfSense...... 39 Slika 6.6: Glavni konzolni meni pfSense...... 40 Slika 6.7: Glavni spletni meni pfSense...... 41 Slika 6.8: Tvorjenje VLAN-a na pfSense...... 42 Slika 6.9: Nastavitev omrežnih vmesnikov pfSense...... 42 Slika 6.10: Nastavitev posameznega omrežnega vmesnika pfSense...... 43 Slika 6.11: Končna postavitev vmesnikov pfSense...... 43 Slika 6.12: Glavni meni pravil filtriranja prometa...... 44 Slika 6.13: Rubrika za urejanje pravila filtriranja prometa...... 46
ix
Slika 6.14: Pravila filtriranja na vmesnikih LAN...... 47 Slika 6.15: Glavni meni NAT pfSense...... 48 Slika 6.16: Meni nastavitve statične preslikave PAT...... 49 Slika 6.17: Meni nastavitve preslikave NAT 1:1...... 50 Slika 6.18: Primer preslikav NAT in PAT...... 51 Slika 6.19: Glavni meni nastavitev OpenVPN...... 53 Slika 6.20: Nastavitev varnostnih parametrov OpenVPN...... 53 Slika 6.21 Nastavitev tunela OpenVPN...... 54 Slika 6.22: Avtomatično tvorjenje pravil filtriranja za promet OpenVPN...... 55 Slika 6.23: Dodajanje uporabnika pfSense...... 56 Slika 6.24: Orodje za izvoz nastavitev odjemalcev OpenVPN...... 56 Slika 6.25: Vzpostavitev povezave OpenVPN...... 57 Slika 7.1: Primer grafa obremenjenosti procesorja v odjemalcu vSphere...... 59 Slika 7.2: Primer grafa obremenjenosti procesorja požarne pregrade ASA 5525-X...... 60 Slika 7.3: Shema ugotavljanja propustnosti WAN–LAN...... 60 Slika 7.4: Shema ugotavljanja propustnosti med VLAN-i...... 63 Slika 7.5: Graf propustnosti VPN-jev...... 68
x
KAZALO TABEL
Tabela 2.1: Dobro znana vrata TCP/UDP...... 5 Tabela 2.2: Primer tabele stanj...... 7 Tabela 2.3: Zasebni naslovi IP...... 8 Tabela 2.4: Primerjava med referenčnima modeloma OSI in TCP/IP...... 13 Tabela 2.5: Tehnologije VPN s številkami protokola in vrat TCP, UDP...... 16 Tabela 3.1: Maksimalne konfiguracije hipervizorjev tipa 1...... 20 Tabela 7.1: Propustnost WAN–LAN pri eni sočasni povezavi...... 61 Tabela 7.2: Propustnost WAN–LAN pri štirih sočasnih povezavah...... 62 Tabela 7.3: Propustnost med VLAN-i pri eni sočasni povezavi...... 64 Tabela 7.4: Propustnost med VLAN-i pri štirih sočasnih povezavah...... 64 Tabela 7.5: Propustnost VPN-jev UDP AES-256-SHA1...... 67 Tabela 7.6: Propustnost VPN-jev TCP AES-256-SHA1...... 67
xi
SEZNAM UPORABLJENIH KRATIC
AES Advanced Encryption Standard napredni standard za šifriranje AH Authentication Header avtentikacijska glava ASA Adaptive Security Appliance prilagodljiva varnostna naprava prilagodljiv varnostni vmesnik za ASDM Adaptive Security Device Manager upravljanje CA Certificate Authority certifikatni organ brezrazredno usmerjanje med CIDR Classless Inter-Domain Routing domenami CPU Central Processing Unit centralna procesna enota DNS Domain Name System sistem domenskih imen DPI Deep Packet Inspection globoko pregledovanje paketov varnost datagramskega transportnega DTLS Datagram Transport Layer Security sloja ESP Encapsulating Security Payload varovanje koristne vsebine z ovijanjem GRE General Routing Encapsulation splošnousmerjevalno ovijanje HTTP HyperText Transfer Protocol protokol za prenos hiperteksta organ za dodeljevanje številk v IANA Internet Assigned Numbers Authority internetu protokol za nadzorna sporočila v ICMP Internet Control Message Protocol internetu IDS Intrusion Detection System sistem za zaznavanje vdorov delovna skupina za internetno IETF Internet Engineering Task Force inženirstvo IKE Internet Key Exchange medmrežna izmenjava ključev IP Internet Protocol medmrežni protokol IPComp IP Payload Compression Protocol protokol stiskanja koristne vsebine IP IPS Intrusion Prevention System sistemi za preprečevanje vdorov IPsec Internet Protocol Security varnost medmrežnega protokola IPX Internetwork Packet Exchange medmrežna izmenjava paketov L2F Layer 2 Forwarding posredovanje v sloju 2 L2Sec Layer 2 Security Protocol varnostni protokol sloja 2 L2TP Layer 2 Tunneling Protocol protokol za tuneliranje v sloju 2
xii
LDAP Lightweight Directory Access Protocol lahki protokol za dostop do imenika MAC Media Access Control krmiljenje dostopa do medija NAT Network Adress Translation prevajanje omrežnih naslovov NTP Network Time Protocol protokol omrežnega časa OS Operating System operacijski sistem medsebojno povezovanje odprtih OSI Open Systems Interconnection sistemov PAT Port Address Translation prevajanje naslovov vrat PPP Point-to-Point Protocol protokol od točke do točke protokol za tuneliranje od točke do PPTP Point-to-Point Tunneling Protocol točke Remote Authentication Dial-In User komutirana uporabniška storitev z RADIUS Service oddaljeno overitvijo RAS Remote Access Server strežnik za daljinski dostop RDP Remote Desktop Protocol protokol oddaljenega namizja SHA Secure Hash Algorithm varni zgoščevalni algoritem preprosti protokol za prenos SMTP Simple Mail Transfer Protocol elektronske pošte SPI Stateful Packet Inspection stanjsko pregledovanje paketov SSH Secure Shell varna lupina SSL Secure Sockets Layer sloj varnih vtičnic TCP Transmission Control Protocol protokol za krmiljenje prenosa TLS Transport Layer Security varnost transportnega sloja UDP User Datagram Protocol protokol z uporabniškimi datagrami USB Universal Serial Bus univerzalno serijsko vodilo VLAN Virtual Local Area Network navidezno lokalno omrežje VPN Virtual Private Network navidezno zasebno omrežje WAN Wide Area Network prostrano omrežje
xiii
xiv
Uporaba programske požarne pregrade v podatkovnem centru
1 UVOD
Zaradi slabših ekonomskih razmer dandanes vse več podjetij omejuje sredstva za vzdrževanje svoje infrastrukture. Čeprav smo v času informacijske dobe, je na največjem udaru zmanjševanja sredstev v podjetjih prav informacijska infrastruktura. Eden od načinov zmanjševanja stroškov v podatkovnem centru podjetja je zagotovo virtualizacija, saj omogoča boljšo izkoriščenost obstoječe strojne opreme. V prvi vrsti se je pojavila virtualizacija strežnikov in delovnih postaj, sledila so omrežja in pomnilniške naprave. Med glavne komponente omrežja v vsakem podatkovnem centru vsekakor sodi požarna pregrada, ki skrbi za varno medmrežno povezljivost. Načeloma jo najdemo v dragi strojni izvedbi (slika 1.1) svetovno znanih proizvajalcev, kot sta Cisco in Juniper.
Slika 1.1: Klasična postavitev strojne požarne pregrade v podatkovnem centru.
Namen diplomske naloge je izbira najprimernejše odprtokodne ter brezplačne programske požarne pregrade za namestitev v virtualno okolje (slika 1.2) podatkovnega centra podjetja, ki že uporablja virtualizacijo za strežnike, ter preizkus in primerjava njene zmogljivosti z zmogljivostjo obstoječe strojne požarne pregrade.
1
Uporaba programske požarne pregrade v podatkovnem centru
Slika 1.2: Postavitev programske požarne pregrade v podatkovnem centru.
V diplomski nalogi bomo pregledali izbor brezplačnih izdaj programskih požarnih pregrad, primernih za namestitev v virtualno okolje podatkovnega centra. Podrobneje bomo opisali in testirali namestitev najprimernejše izdaje v virtualno okolje. Z realnimi testi bomo primerjali učinkovitost delovanja glede na strojno požarno pregrado. Pri preizkušanju bomo uporabili omrežne naprave proizvajalca Cisco in strežnike IBM. Delo bo potekalo v operacijskih sistemih Windows, Linux in FreeBSD. Za virtualizacijo bo skrbel programski produkt VMware vSphere 5.5. Omejitev na to opremo izvira iz dejstva, da je že na razpolago v podjetju in niso potrebna dodatna sredstva za nakup nove opreme. Cilj diplomske naloge je ocena smiselnosti takšne postavitve požarne pregrade glede na klasično strojno postavitev.
Po uvodnem pregledu pomembnih funkcij požarne pregrade v drugem poglavju sledi pregled tehnologij za virtualizacijo v tretjem poglavju. V četrtem poglavju se bomo seznanili s kopico programskih požarnih pregrad, ki so trenutno na voljo, in izbrali najprimernejšo za preizkušanje. Peto poglavje je namenjeno opisu nastavitev razvojnega okolja v podatkovnem centru. Namestitvi programske požarne pregrade v virtualno okolje in nastavitvam njenih glavnih funkcij je namenjeno šesto poglavje. V predzadnjem, sedmem poglavju sledijo preizkusi hitrosti delovanja pri različnih parametrih požarne pregrade in primerjava s strojno požarno pregrado. V zadnjem, osmem poglavju so strnjene naše ugotovitve o smotrnosti postavitve programske požarne pregrade.
2
Uporaba programske požarne pregrade v podatkovnem centru
2 ZNAČILNOSTI POŽARNIH PREGRAD
Požarne pregrade so programi, ki nadzirajo pretok omrežnega prometa med različnimi omrežji ali napravami. Ti programi so lahko nameščeni na samostojnih napravah ali kot del operacijskega sistema obstoječe naprave [32]. Čeprav so največkrat omenjene v kontekstu varnega povezovanja z internetom, so lahko uporabljene tudi v drugih omrežnih segmentih. Kot primer lahko omenimo omejevanje povezav med internimi omrežnimi segmenti in omejevanje odhodnega omrežnega prometa v smeri proti internetu.
Poznamo več vrst tehnologij požarnih pregrad. Eden od načinov primerjave njihovih funkcij je s pomočjo referenčnega modela TCP/IP (Transmission Control Protocol/Internet Protocol, protokol za krmiljenje prenosa/medmrežni protokol). Ta referenčni model je sestavljen iz štirih slojev, ki sodelujejo pri prenosu podatkov med napravami. Ko uporabnik želi poslati podatke preko omrežja, se ti najprej prenesejo iz najvišjega proti najnižjemu sloju. Vsak sloj doda več informacij. Najnižji sloj pošlje zbrane podatke preko fizičnega omrežja, kjer se na cilju zopet prenesejo od najnižjega do najvišjega sloja. Ločimo naslednje sloje TCP/IP:
aplikacijski sloj pošilja in sprejema podatke različnih aplikacijskih protokolov, kot so DNS (Domain Name System, sistem domenskih imen), HTTP (HyperText Transfer Protocol, protokol za prenos hiperteksta) ter SMTP (Simple Mail Transfer Protocol, preprosti protokol za prenos elektronske pošte). transportni sloj zagotavlja prenos podatkov med izvorom in ciljem. Najbolj poznana protokola v tem sloju sta TCP in UDP (User Datagram Protocol, protokol z uporabniškimi datagrami). Glavna razlika med njima je zanesljivost prenosa podatkov. TCP preveri uspešnost vsakega prenesenega paketa, UPD pa ne. Posledično je UDP hitrejši, za zanesljivost prenosa pa lahko poskrbi višji sloj. medmrežni sloj usmerja pakete med omrežji. Temeljni protokol tega sloja je protokol IP. sloj omrežnih vmesnikov skrbi za podrobnosti fizičnega prenosa podatkov. Najbolj poznan protokol, ki ga lahko uvrstimo v ta sloj, je ethernet.
V sloju omrežnih vmesnikov se uporabljajo naslovi MAC (Media Access Control, krmiljenje dostopa do medija), ki so dodeljeni omrežnim vmesnikom. Požarne pregrade redko
3
Uporaba programske požarne pregrade v podatkovnem centru
delujejo v tem sloju. V medmrežnem sloju se uporabljajo naslovi IP. Transportni sloj zagotavlja prenos podatkov v obliki sej s pomočjo vrat protokolov TCP in UDP. Naprava ima lahko večje število sej z drugo napravo v omrežju. Številka ciljnih vrat identificira tip storitve na ciljni napravi, številka izvornih vrat pa vrata, na katera naj se ciljna naprava javi izvorni napravi. Vrata uporabljata le protokola TCP in UDP. Seja v transportnem sloju TCP/IP je tako definirana z izvornim naslovom IP in vrati ter ciljnim naslovom IP in vrati. V aplikacijskem sloju najdemo aplikacijske protokole. Požarne pregrade lahko analizirajo njihov promet in se glede na vnaprej podana pravila odločijo, ali bodo promet dovolile ali zavrgle. Osnovne požarne pregrade načeloma delujejo le v enem ali dveh slojih protokolnega sklada TCP/IP. Tipično sta to medmrežni in transportni sloj. Naprednejše pa lahko analizirajo promet v vseh slojih, kar omogoča natančnejšo obravnavo in boljšo zaščito.
2.1 Filtriranje prometa
Poznamo tri osnovne vrste filtriranja prometa [32]: filtriranje paketov, stanjsko pregledovanje paketov (SPI, Stateful Packet Inspection), globoko pregledovanje paketov (DPI, Deep Packet Inspection).
Osnovna funkcija požarne pregrade je filtriranje paketov. Začetni modeli pregrad, ki so vsebovali le to funkcijo, so bili v bistvu usmerjevalniki z možnostjo uporabe seznamov za nadzor dostopa. Požarne pregrade s filtriranjem paketov imenujemo tudi požarne pregrade z brezstanjskim pregledovanjem paketov (stateless packet inspection). Ne hranijo podatkov o sejah, ki prečkajo požarno pregrado. To pomeni, da ne morejo povezati večkratnih zahtev v eni seji med seboj. V nasprotju z naprednejšimi požarnimi pregradami se ne ukvarjajo z vsebino paketov. Filtriranje paketov je jedro vsake požarne pregrade, vendar dandanes težko najdemo požarno pregrado, ki ne bi vsebovala še drugih naprednejših funkcij. Filtriranje paketov je vgrajeno v večino operacijskih sistemov in naprav z možnostjo usmerjanja prometa.
4
Uporaba programske požarne pregrade v podatkovnem centru
Požarne pregrade z možnostjo paketnega filtriranja filtrirajo pakete IP na osnovi naslednjih informacij: izvornega naslova IP paketa, ciljnega naslova IP paketa, protokola medmrežnega ali transportnega sloja sklada TCP/IP, kot so TCP, UDP in ICMP (Internet Control Message Protocol, protokol za nadzorna sporočila v internetu), v paketu, številke izvornih in ciljnih vrat protokola TCP ali UDP, omrežnega vmesnika, preko katerega potuje paket, in na podlagi smeri njegovega potovanja.
Smer prometa je zelo pomembna. Najpogosteje se filtrira promet, ki prihaja po vmesniku požarne pregrade, ki je na strani WAN (Wide Area Network, prostrano omrežje), in sicer promet, ki prihaja iz interneta. Dobra praksa v podjetjih je blokiranje vsega prometa navzven, razen tistega, ki je izrecno dovoljen. Številke vrat so lahko med 0 in 65535. Številke med 0 in 1024 so rezervirane za standardne oziroma najbolj znane aplikacijske protokole ali storitve in jih imenujemo dobro znana vrata. V tabeli 2.1 je naštetih nekaj najpogostejših [11].
Tabela 2.1: Dobro znana vrata TCP/UDP. Naziv protokola Številka vrat Transportni protokol FTP – podatkovni promet 20 TCP FTP – nadzorni promet 21 TCP SSH 22 TCP Telnet 23 TCP SMTP 25 TCP DNS 53 UDP, TCP HTTP 80 TCP NTP 123 UDP HTTPS 443 TCP
5
Uporaba programske požarne pregrade v podatkovnem centru
Primerno je, da navzven dovolimo promet le tistim paketom, ki uporabljajo izvorne naslove IP, ki pripadajo organizaciji. S tem onemogočimo promet s poneverjenimi naslovi, ki ga največkrat povzročajo naprave, okužene s škodljivimi programi.
Nekatere požarne pregrade s paketnim filtriranjem imajo posebno zmožnost filtriranja razdrobljenih paketov. Drobljenje paketov je dovoljeno v specifikacijah TCP/IP. Pogosto se uporablja zaradi povezav VPN (Virtual Private Network, navidezno zasebno omrežje). Določeni napadi pa uporabljajo drobljenje paketov, da zakrijejo zlonamerno komunikacijo. Močnejše požarne pregrade lahko pakete sestavijo v celoto, preden jih pošljejo naprej, vendar to zahteva zmogljivejšo strojno opremo. Z izbiro blokiranja razdrobljenih paketov povečamo varnost omrežja in hkrati onemogočimo določene vrste povezav VPN.
Stanjsko pregledovanje paketov izboljša natančnost filtriranja z beleženjem stanja povezav in blokiranjem paketov, ki odstopajo od pričakovanega stanja. Kot pri osnovnem paketnem filtriranju pregrade SPI prestrežejo pakete v medmrežnem sloju in jih primerjajo z obstoječimi pravili za filtriranje, hkrati pa zabeležijo stanje povezave v tabeli stanj. Podatki v tabeli stanj se razlikujejo med proizvajalci požarnih pregrad. Najpogosteje vključujejo izvorni in ciljni naslov IP, številke vrat in stanje povezave.
Pri povezavah TCP poznamo tri glavna stanja; to so vzpostavljanje, uporaba ali vzpostavljeno in sproščeno. Sproščenje je lahko sproženo na zahtevo ciljne naprave ali po preteku časovnika neaktivnosti povezave. Požarne pregrade SPI pregledujejo določene vrednosti v glavah paketov TCP, da nadzirajo stanje vsake povezave. Vsak nov paket primerjajo s stanjem v tabeli stanj, da preverijo, ali je v pričakovanem stanju glede na prejšnji paket. Napadalec bi lahko na primer tvoril paket, ki bi v glavi TCP nosil informacijo, da je del vzpostavljene povezave, in s tem poskušal preiti požarno pregrado. Ta pa na podlagi tabele stanj ugotovi, da ni tako in paket zavrže. Najpreprosteje si lahko razlagamo, da bo požarna pregrada SPI dovolila prehod paketom, ki so del vzpostavljene povezave ali takšne, ki še ni popolnoma vzpostavljena.
Če požarna pregrada vsebuje tudi funkcionalnost NAT (Network Adress Translation, prevajanje omrežnih naslovov), so pogosto v tabeli stanj vključene tudi informacije NAT. Tabela 2.2 je primer tabele stanj. Če želi naprava v notranjem omrežju (naslov IP 10.10.10.1) vzpostaviti povezavo z napravo v zunanjem omrežju (naslov IP 193.2.1.66),
6
Uporaba programske požarne pregrade v podatkovnem centru
se najprej preveri, ali je dovoljena glede na pravila požarne pregrade. Če je povezava dovoljena, se doda v tabelo stanj vnos s stanjem vzpostavljanje. Ko obe napravi končata rokovanje TCP, se stanje povezave spremeni v vzpostavljena. Nato je ves nadaljnji promet dovoljen skozi požarno pregrado [32].
Tabela 2.2: Primer tabele stanj. Izvorni naslov Izvorna vrata Ciljni naslov Ciljna vrata Stanje povezave 10.10.10.1 5000 193.2.1.66 80 vzpostavljanje 10.10.11.100 1050 197.50.1.60 80 vzpostavljena 10.10.10.100 2000 178.22.11.13 25 vzpostavljena 10.10.10.22 2050 222.213.26.30 22 vzpostavljena
Nekateri protokoli, kot je UDP, so brezpovezavni. Za te protokole večina požarnih pregrad SPI lahko beleži le izvorni in ciljni naslov IP ter vrata. Paketi UDP morajo še vedno ustrezati zapisom v tabeli, da so dovoljeni skozi požarno pregrado. Ker požarna pregrada ne more ugotoviti, kdaj se je seja končala, zapis iz tabele izbriše po vnaprej določenem času. Filtriranje z globokim pregledovanjem paketov pa lahko prepozna določene tipe prometa UDP, kot je recimo DNS preko UDP-ja. Takšne požarne pregrade končajo sejo takoj po prejemu odziva DNS. Podobno storijo pri odzivu NTP (Network Time Protocol, protokol omrežnega časa).
Globoko pregledovanje paketov je nadgradnja stanjskega pregledovanja z dodatkom osnovnih mehanizmov zaznavanja vdorov, kot jih poznamo pri IDS-jih (Intrusion Detection System, sistem za zaznavanje vdorov). Pregrade DPI vsebujejo mehanizme, ki analizirajo protokole v aplikacijskem sloju modela TCP/IP. Primerjajo aktivnosti prometa glede na preddefinirane proizvajalčeve profile. To omogoča požarnim pregradam DPI, da dovolijo ali blokirajo promet glede na obnašanje aplikacije v omrežju. Lahko na primer ugotovijo, ali e-sporočilo vsebuje priponko, ki je v organizaciji prepovedana. Drug primer je zaznava neprimerne aplikacije, ki uporablja dobro znana vrata TCP 80, ki so namenjena za promet HTTP. Požarna pregrada lahko analizira promet FTP in dovoli samo prenos datotek v eno smer ter ga blokira v drugo. Požarne pregrade DPI lahko zavrnejo določene spletne strani, ki imajo določeno aktivno vsebino, kot je javanska koda ali koda ActiveX, ali imajo potrdilo SSL (Secure Sockets Layer, sloj varnih vtičnic) s podpisom certifikatnega organa, ki mu ne zaupamo.
7
Uporaba programske požarne pregrade v podatkovnem centru
2.2 Prevajanje omrežnih naslovov
Dostop do globalnega omrežja zagotavljajo različni ponudniki internetnih storitev. Za dostop do tega omrežja ponujajo uporabnikom enega ali več enoličnih javnih naslovov IP. Tak naslov IP lahko v javnem omrežju uporablja samo ena naprava, v zasebnem omrežju pa lahko uporabljamo zasebne naslove IP. Možni zasebni naslovi IP [30] so navedeni v tabeli 2.3. Uvedli so jih zaradi pomanjkanja javnih naslovov IP. IETF (Internet Engineering Task Force, delovna skupina za internetno inženirstvo) je naročil instituciji IANA (Internet Assigned Numbers Authority, organ za dodeljevanje številk v internetu), da rezervira določeno število naslovov IPv4, kot je objavljeno v RFC 1918, za zasebno uporabo. Organizacije izmed teh poljubno izberejo svoje zasebne naslove IP. Najpogosteje jih uporabijo skupaj s 24-bitno masko, na primer 192.168.1.0/24.
Tabela 2.3: Zasebni naslovi IP. Razpon naslovov Maksimalen Ime v RFC 1918 Število naslovov IP IP blok (omrežna maska) 10.0.0.0– 24-bitni blok 16.777.216 10.0.0.0/8 (255.0.0.0) 10.255.255.255 172.16.0.0– 172.16.0.0/12 20-bitni blok 1.048.576 172.31.255.255 (255.240.0.0) 192.168.0.0– 192.168.0.0/16 16-bitni blok 65.536 192.168.255.255 (255.255.0.0)
Prevajanje javnih naslovov v zasebne in obratno imenujemo NAT. To je proces spreminjanja naslovov v paketih IP, ko gredo skozi usmerjevalnik ali požarno pregrado, ki je priključena na internetno omrežje. Organizacija lahko uporablja večje število zasebnih in manjše javnih naslovov IP. Večina požarnih pregrad omogoča prevajanje omrežnih naslovov ter prevajanje naslovov vrat PAT (Port Address Translation). Pri prevajanju naslovov vrat lahko en javni naslov IP glede na različna vrata TCP ali UDP prevedemo v različne zasebne naslove IP. Vsi ti prevodi ali preslikave NAT in PAT se hranijo v tabeli preslikav NAT, ki je najpomembnejši del prevajanja omrežnih naslovov in je shranjena v pomnilniku naprave. V njej se beležijo vse povezave iz zasebnega omrežja v javno in obratno. Na podlagi zapisov v tabeli se naprava lahko odloči, kam naj pošlje pakete, ki prispejo na njene omrežne vmesnike.
8
Uporaba programske požarne pregrade v podatkovnem centru
NAT in PAT se delita na dve vrsti glede na način uporabe [34]:
Statični NAT: To je najenostavnejši tip preslikave NAT. Omogoča preslikavo javnega naslova IP v zasebnega ena na ena. Preslikave obstajajo v tabeli preslikav NAT od našega vnosa vanjo do izbrisa. Dinamični NAT: Podobno kot pri statičnem NAT-u se tukaj preslika javni naslov IP v zasebnega. Razlika je v tem, da v javnem in zasebnem delu vnaprej določimo omrežje oziroma razpon naslovov IP, ki so na voljo za preslikavo. Končna preslikava je še vedno ena na ena, vendar se tvori dinamično. Preslikave v tabeli preslikav NAT se tvorijo šele, ko usmerjevalnik prejme promet, ki zahteva preslikavo. Dinamična preslikava za določen promet ostane v tabeli, dokler se občasno pojavlja ta promet. Po določenem časovnem obdobju odsotnosti se izbriše. Statični PAT: Omogoča preslikavo specifičnih vrat TCP ali UDP na javnem naslovu IP v specifična vrata na zasebnem naslovu IP. Statični PAT nam omogoča uporabo istega javnega naslova IP za več različnih zasebnih naslovov IP, le številke vrat morajo biti različne. Preslikave ostajajo v tabeli preslikav NAT tako kot pri NAT-u od našega vnosa do izbrisa. PAT ali skriti NAT: Omogoča skrivanje celotnega segmenta naslovov IP zasebnega omrežja za enim samim javnim naslovom IP ali manjšo skupino javnih naslovov IP. Preslikave v tabeli preslikav NAT se tvorijo samo ob prometu, ki izvira iz zasebnega naslovnega prostora. Po določenem obdobju neaktivnosti se izbrišejo.
Pri večjem številu naprav v zasebnem omrežju, ki hkrati ustvarjajo veliko povezav v javno omrežje, se znatno poveča velikost tabele preslikav. Ker se le ta nahaja v pomnilniku usmerjevalnika ali požarne pregrade, lahko pomnilnika zmanjka. Prevelike tabele preslikav NAT ob omejeni količini pomnilnika so zato najpogostejši razlog za izpad usmerjevalnika ali požarne pregrade.
9
Uporaba programske požarne pregrade v podatkovnem centru
2.3 Navidezna lokalna omrežja
Glavne povezovalne naprave v lokalnem omrežju so stikala. Vse naprave, ki so med seboj povezane s stikali, so v isti razpršitveni domeni. Če smo v preteklosti želeli takšno domeno razdeliti na dve ali več ločenih domen, smo morali omrežje razdeliti s pomočjo usmerjevalnikov. Takšno razdelitev prikazuje slika 2.1.
Slika 2.1: Klasična razdelitev razpršitvene domene.
Navidezna lokalna omrežja ali VLAN-i (Virtual Local Area Network) [31] omogočajo, da na enem stikalu definiramo več lokalnih omrežij, ki so ločena med seboj. To najlažje dosežemo s stikali, ki podpirajo standard IEEE 802.1Q. Ta standard prinaša tehniko snopljenja, kjer lahko preko ene fizične povezave na omrežni opremi prenašamo promet naprav iz do 4096 različnih navideznih lokalnih omrežij. To je doseženo z dodanim 4 zloge velikim poljem v okvirju ethernet, ki vsebuje 12-bitni idenfifikator VLAN-a (VLAN-ID). Ta določa, kateremu VLAN-u pripada okvir [31]. Zgradba okvirja IEEE 802.1.Q je prikazana na sliki 2.2.
Slika 2.2: Zgradba okvirja IEEE 802.1Q.
10
Uporaba programske požarne pregrade v podatkovnem centru
Pri vpeljavi VLAN-ov se na omrežnih napravah srečamo z dvema vrstama fizičnih vmesnikov. Dostopovni vmesnik je podobno kot vmesnik na navadnih stikalih namenjen priklopu končnih naprav in vedno pripada samo enemu VLAN-u. Snopljeni vmesnik pa pripada več navideznim lokalnim omrežjem in je namenjen povezovanju omrežnih naprav, ki med sabo povezujejo končne naprave iz različnih VLAN-ov. Prednost uporabe navideznih lokalnih omrežij je tudi v segmentaciji omrežja [13]. Naprave v različnih VLAN- ih med seboj ne morejo komunicirati, saj komunikacijo med njimi lahko dosežemo šele z usmerjanjem med VLAN-i. Nalogo usmerjanja prevzame omrežna naprava, kjer se VLAN- i zaključijo. To je lahko usmerjevalnik, požarna pregrada ali celo stikalo, ki podpira usmerjanje. Takšnim stikalom pravimo tudi stikala sloja 3 ali stikala L3. Poleg usmerjanja med VLAN-i lahko s pomočjo požarne pregrade filtriramo tudi promet med njimi. Primer omrežja z VLAN-i prikazuje slika 2.3.
Slika 2.3 Tipa omrežnih vmesnikov VLAN.
2.4 Navidezna zasebna omrežja
V preteklosti so bili dragi zakupljeni vodi edina možnost zasebne povezave med različnimi lokacijami podjetja. Koncept je temeljil na fizičnem omrežju med vsemi lokacijami podjetja. Prednost zakupljenih vodov med lokacijami je bila hitrost povezave, ki je močno presegala hitrost internetnih povezav tistega časa. Za zasebno povezavo pri delu od doma in delavce na terenu so se uporabljali strežniki RAS (Remote Access Server, strežnik za daljinski dostop). Delavci so s pomočjo klicne modemske povezave vzpostavljali povezavo do podjetja, ki je zanje delovalo kot ponudnik internetnih storitev. Podjetje je
11
Uporaba programske požarne pregrade v podatkovnem centru
moralo zagotoviti za vsakega takšnega delavca samostojno telefonsko linijo. V sredini devetdesetih let prejšnjega stoletja so se internetne povezave močno pocenile, pohitrile in razširile. Začeli smo govoriti o širokopasovnem dostopu do interneta. Podjetja niso več hotela uporabljati dragih zakupljenih vodov. Iskala se je rešitev varne, zaupne in zanesljive povezave med medsebojno oddaljenimi lokacijami podjetja preko javne internetne infrastrukture. To je bila osnova za nastanek VPN-jev (Virtual Private Network, navidezno zasebno omrežje) [16].
VPN je: navidezen, ker ne obstaja neposredna omrežna povezava med dvema ali več komunikacijskimi partnerji. Povezava je ustvarjena navidezno s pomočjo programske opreme za VPN. zaseben, ker samo člani podjetja, povezanega z VPN-jem, lahko preberejo in pošiljajo podatke. Podatki se pred prenosom šifrirajo s sodobnimi kriptografskimi metodami.
V grobem ločimo dva načina povezav VPN: povezava med dvema lokacijama, ki jo največkrat vzpostavljamo med dvema požarnima pregradama na različnih lokacijah. Lahko se vzpostavi tudi med dvema strežnikoma ali usmerjevalnikoma. Z dostopovnimi seznami pa določimo, kateri promet se šifrira. daljinski dostop, kjer gre za povezavo VPN, ki jo uporabnik s pomočjo programske opreme na svoji napravi po potrebi vzpostavi s končno napravo v podjetju, ki je tudi največkrat požarna pregrada. Pri tem lahko ves promet potuje preko te naprave, ki prevzame vlogo privzetega prehoda, ali pa samo tisti del, ki ga je treba zaščititi.
Glavni trije cilji povezav VPN so: zaupnost: preneseni podatki morajo biti na voljo le avtoriziranim uporabnikom. celovitost: podatki se med prenosom ne smejo spremeniti. dostopnost: ko podatke potrebujemo, morajo biti dostopni.
Povezave VPN tipično delimo glede na sloj referenčnega modela OSI (Open Systems Interconnection, medsebojno povezovanje odprtih sistemov), v katerem delujejo [16]. Ta model vsebuje 7 slojev. Tabela 2.4 prikazuje povezavo med modeloma OSI in TCP/IP.
12
Uporaba programske požarne pregrade v podatkovnem centru
Tabela 2.4: Primerjava med referenčnima modeloma OSI in TCP/IP. Referenčni model OSI Referenčni model TCP/IP 7. aplikacijski sloj 6. predstavitveni sloj aplikacijski sloj 5. sejni sloj 4. transportni sloj transportni sloj 3. omrežni sloj medmrežni sloj 2. sloj podatkovne povezave sloj omrežnih vmesnikov 1. fizični sloj
Tehnologije VPN sloja 2 modela OSI virtualizirajo sloj podatkovne povezave tako, da so geografsko ločene lokacije navidezno v istem lokalnem omrežju LAN, kot bi bile povezane s fizično povezavo. VPN-ji sloja 3 pa virtualizirajo omrežni sloj. Vsaka stran povezave je na drugačnem omrežnem segmentu in paketi IP se usmerjajo skozi povezavo VPN. Tehnologije VPN sloja 2 imajo veliko prednost pred tehnologijami sloja 3 v tem, da lahko preko VPN-ja pošiljamo poleg paketov IP tudi druge, na primer pakete IPX (Internetwork Packet Exchange, medomrežna izmenjava paketov). Dobro poznane tehnologije VPN sloja 2 modela OSI, ki definirajo šifriranje in metodo overjanja uporabnikov, so [19]:
PPTP (Point-to-Point Tunneling Protocol, protokol za tuneliranje od točke do točke) je bil razvit v sodelovanju s podjetjem Microsoft. Je kombinacija protokolov PPP (Point-to-point Protocol, protokol od točke do točke) in GRE (General Routing Encapsulation, splošno usmerjevalno ovijanje). PPTP šifrira pakete PPP in jih ovije v pakete GRE. Glavno omejitev predstavlja dejstvo, da lahko hkrati obstaja samo en tunel med dvema točkama. Poleg tunela GRE se vzpostavi še nadzorna seja do vrat TCP 1723. Uporaba tega VPN-ja dandanes ni več varna, ker so bile odkrite resne varnostne luknje v metodah šifriranja [33]. L2TP (Layer 2 Tunneling Protocol, protokol za tuneliranje v sloju 2) podobno kot PPTP omogoča varno komunikacijo med dvema koncema tunela. L2TP uporablja svoj protokol za ovijanje paketov, ki se izvaja preko vrat UDP 1701 in ga je lažje spustiti skozi paketni filter požarne pregrade. Podpira več sej v istem tunelu. Načeloma se uporablja v navezi s protokolom IPsec, ki skrbi za šifriranje in upravljanje ključev.
13
Uporaba programske požarne pregrade v podatkovnem centru
L2F (Layer 2 Forwarding, posredovanje v sloju 2) izhaja iz istih časov kot PPTP. Njegov namen je povezava med dvema omrežnima napravama. Uporabnik vzpostavi nezaščiteno povezavo do ponudnika internetnih storitev. Ta prepozna, da mora promet zaščititi in uporabnika preveriti na prehodu VPN organizacije. L2F brez podpore ponudnika internetnih storitev ne deluje. Protokol sam po sebi ne podpira šifriranja prometa. L2Sec (Layer 2 Security Protocol, varnostni protokol sloja 2) deluje na podobnem principu kot L2TP, le da za varnostne mehanizme skrbi SSL (Secure Sockets Layer, sloj varnih vtičnic)/TLS (Transport Layer Security, varnost transportnega sloja).
IPsec (Internet Protocol Security, varnost medmrežnega protokola) je najbolj razširjena tehnologija VPN sloja 3 modela OSI. V bistvu je skupina protokolov, standardov in mehanizmov. To je tudi glavna težava pri zasnovi in implementaciji povezav VPN IPsec. Glavni elementi protokola IPsec so AH (Authentication Header, avtentikacijska glava), ESP (Encapsulating Security Payload, varovanje koristne vsebine z ovijanjem), IKE (Internet Key Exchange, medmrežna izmenjava ključev) in IPComp (IP Payload Compression Protocol, protokol stiskanja koristne vsebine IP). IPsec lahko ovija promet od vključno sloja 3 modela OSI, ne more pa prometa nižjih slojev. Prav tako je NAT možen le z omejitvami. Obstajata dva načina delovanja IPseca:
tunelski: Vsi paketi IP se za prenos ugnezdijo v nov paket (»tunel«) in se po tunelu pošljejo na njegov zaključek, kjer se odvijejo iz paketa in posredujejo na cilj. V tem načinu se lahko zaščiti cel paket IP. transportni: V tem načinu se šifrira samo koristna vsebina paketa IP. Ta način ni tako varen, vendar je balast, potreben za prenos, dosti manjši kot pri tuneliranju.
V višjih slojih OSI delujejo tako imenovane aplikacijske rešitve VPN. To so protokoli, ki podatke med prenosom sicer šifrirajo, a ne posegajo v delovanje samega omrežja. Mednje sodijo SSL, TLS in SSH (Secure Shell, varna lupina). TLS največkrat za šifriranje podatkov uporablja standard AES (Advanced Encryption Standard, napredni standard za šifriranje) za šifriranje s tajnim ključem [2]. AES uporablja isti ključ za šifriranje in dešifriranje (slika 2.5), kar predstavlja največjo ranljivost pri posredovanju med odjemalcem in strežnikom.
14
Uporaba programske požarne pregrade v podatkovnem centru
Slika 2.4: Poenostavljen prikaz povezave pri šifriranju AES.
TLS uporablja javni in zasebni ključ za izmenjavo varnostnih parametrov šifriranja. Varnostni parametri se šifrirajo z javnim ključem in se lahko dešifrirajo le z zasebnim. Javni ključ si obe strani izmenjata s potrdilom med postopkom povezovanja. Da je to potrdilo pristno, poskrbi tretji osebek v vlogi certifikatnega organa CA (Certificate Authority). CA podpiše potrdilo, ki nosi javni ključ in mu obe strani zaupata. Preko zaupanja vredne povezave se nato izmenja ključ za šifriranje AES in z njim se šifrira podatkovni promet med odjemalcem in strežnikom (slika 2.6).
Slika 2.5: Poenostavljen prikaz povezave SSL/TLS.
OpenVPN je nova tehnologija za povezave VPN, ki kombinira mnogo prednosti prej omenjenih rešitev VPN. Povezave lahko vzpostavi za sloj 2 in 3 ter za vzpostavitev povezave uporablja SSL/TLS. Povezuje se samo preko enih poljubnih vrat UDP ali TCP,
15
Uporaba programske požarne pregrade v podatkovnem centru
kar nam olajša nastavitve na požarnih pregradah. Podpira večje število algoritmov šifriranja in metod preverjanja celovitosti. Za šifriranje uporablja odprtokodno knjižnico openSSL, ki pri najvarnejših algoritmih šifriranja, kot sta AES-128 in AES-256, podpira strojno pospeševanje. Žal obstaja zelo malo naprav, ki bi OpenVPN podpirale v strojni opremi, zato je v večini primerov potrebna programska izvedba.
V tabeli 2.5 [19] je prikazan seznam omenjenih tehnologij VPN ter protokolov, ki jih uporabljajo za povezavo. Podane so tudi številke teh protokolov ter vrata pri TCP-ju in UDP-ju.
Tabela 2.5: Tehnologije VPN s številkami protokola in vrat TCP, UDP. Tehnologija VPN Naziv protokola za Št. protokola Vrata povezavo GRE 47 PPTP TCP 6 1723 L2TP UDP 17 1701 L2F UDP 17 1701 AH 50 ESP 51 IPsec UDP 17 500 (za IKE) UDP 17 4500 (za IKE NAT-T) SSL/TLS TCP 6 443 OpenVPN UDP ali TCP 17 ali 6 poljubna
16
Uporaba programske požarne pregrade v podatkovnem centru
3 VIRTUALIZACIJA V PODATKOVNEM CENTRU
Virtualizacija je pojem, ki v širšem pomenu opisuje ločevanje virov in zahtev za storitve od dostave virov s pomočjo fizične strojne opreme. Virtualizacija lahko obsega več slojev informacijske infrastrukture: računalnike in strežnike, omrežje, pomnilniške naprave, operacijske sisteme in celo aplikacije. Pred virtualizacijo smo za operacijski sistem, ki je poganjal določeno neodvisno aplikacijo, potrebovali samostojen računalnik ali strežnik. Pri virtualizaciji pa fizični strežnik za virtualizacijo, ki mu pravimo tudi gostiteljski strežnik, poganja navidezne računalnike ali goste. To dosežemo s posebno programsko opremo za virtualizacijo, ki ji pravimo hipervizor. Ta strojno opremo virtualizira in skrbi za njeno dodeljevanje gostom na gostiteljskem strežniku. Vizualno predstavitev virtualizacije prikazuje slika 3.1 [41].
Slika 3.1: Predstavitev virtualizacije.
Glavne prednosti virtualizacije informacijskega okolja so [38]:
neodvisnost operacijskih sistemov in aplikacij od strojne opreme: Navidezni računalnik vedno misli, da je na enaki strojni opremi.
17
Uporaba programske požarne pregrade v podatkovnem centru
konsolidacija strežnikov: Na enem večjem fizičnem strežniku lahko teče več manjših navideznih strežnikov, ki si delijo strojna sredstva. Posledično se izboljša izkoriščenost strojne opreme. manjši stroški in lažje nadgrajevanje: Navidezne strežnike ali računalnike za navidezna namizja lahko dodajamo po potrebi in obstoječim dinamično povečujemo strojna sredstva. hitrejši razvoj: Navidezne računalnike lahko poleg hitre postavitve tudi enostavno kopiramo, delamo varnostne kopije, obnavljamo in brišemo. večji nadzor: Programska oprema za virtualizacijo ali hipervizor nam omogoča centralni nadzor nad vsemi navideznimi sredstvi. visoka razpoložljivost: S skupnim deljenim diskovnim sistemom, primerno konfigurirano programsko opremo in z večjim številom fizičnih gostiteljskih strežnikov za virtualizacijo lahko navidezni računalnik nemoteno deluje naprej ob izpadu enega fizičnega strežnika.
3.1 Načini virtualizacije
Programski opremi, ki skrbi za virtualizacijo, pravimo hipervizor [40]. Deluje kot vmesna plast med fizično strojno opremo in navideznimi računalniki. Glavna naloga hipervizorja je dodeljevanje strojnih virov navideznim računalnikom tako, da ti ne prepoznajo, da si opremo delijo z drugimi navideznimi računalniki. Preprečevati mora tudi spore pri uporabi teh virov.
Glede na delovanje ločimo dva glavna tipa hipervizorjev [40], ki ju prikazuje slika 3.2:
Tip 1: osnovni oziroma strojni hipervizor (ang. bare metal) ‒ nameščen kot prvi sloj programske opreme na fizično strojno opremo. Programska in strojna oprema morata biti med seboj kompatibilni. Hipervizor ima v tem načinu neposreden dostop do strojnih virov. Tip 2: gostujoči hipervizor (ang. hosted) ‒ na fizični strojni opremi je najprej nameščen gostiteljski operacijski sistem, nad njim pa hipervizor, ki deluje kot vmesni sloj med operacijskim sistemom in navideznimi računalniki. Strojni viri so v tem načinu emulirani in hipervizor nima neposrednega dostopa do njih.
18
Uporaba programske požarne pregrade v podatkovnem centru
Slika 3.2: Hipervizor tipa 1 in tipa 2.
Oba tipa hipervizorjev imata svoje prednosti in slabosti. Hipervizor tipa 1 je zaradi neposrednega dostopa do strojne opreme veliko hitrejši in učinkovitejši, a je podprt na manjšem naboru certificirane strojne opreme. Pri tipu 2 je ravno obratno.
3.2 Glavni predstavniki hipervizorjev tipa 1
Med glavne predstavnike hipervizorjev tipa 1 štejemo: VMware vSphere ESXi, Citrix XenServer, Microsoft Hyper-V.
Podjetje VMware je bilo ustanovljeno leta 1998 in je na tržišče najprej poslalo hipervizor tipa 2 VMware Workstation [4]. Ta produkt je aktiven še v današnjem času in je namenjen poganjanju navideznih računalnikov nad obstoječim operacijskim sistemom. Leta 2001 je podjetje predstavilo produkt VMware Server, ki je predstavljal strežniško različico hipervizorja Workstation, a se ni obdržal. Uspeh je podjetju istega leta prinesel hipervizor tipa 1 VMware vSphere ESX (Elastic Sky X). V naslednjih letih je produkt dopolnilo z značilnimi funkcijami poslovnega hipervizorja. To sta centralno upravljanje (vCenter Server) in možnost premika navideznih računalnikov na drug gostiteljski strežnik med delovanjem (vMotion). Druge funkcije so sledile z leti. Od verzije vSphere 5.0 dalje je podjetje preimenovalo hipervizor v vSphere ESXi (Elastic Sky X Integrated) [14]. ESXi v
19
Uporaba programske požarne pregrade v podatkovnem centru
nasprotju z ESX nima več servisne konzole in se upravlja s pomočjo lahkega odjemalca. Za namestitev potrebuje tudi manj strojnih sredstev kot ESX.
Xen so pričeli razvijati na univerzi v Cambridgeu leta 2003. Kasneje ga je prevzelo podjetje Citrix in ga leta 2007 ponudilo kot poslovno rešitev v obliki produkta XenServer. Brezplačna izdaja brez plačljive podpore in nekaterih naprednih funkcije še obstaja ter je dobro podprta s strani podjetja Citrix.
Podjetje Microsoft je šele leta 2008 [4] vstopilo na trg virtualizacije s produktom Hyper-V. Ta je bil sprva tipa 2 v obliki dodatka ali dodatne vloge v operacijskem sistemu Windows Server 2008. S prihodom sistema Windows Server 2012 je bil izdan produkt Hyper-V Server, ki ni potreboval sistema Windows in je deloval kot pravi hipervizor tipa 1. Počasi dohiteva ostala tekmeca v funkcionalnostih in stabilnosti, a je zaradi poznega vstopa na trg še vedno za njima. Tabela 3.1 [4] prikazuje nekatere maksimalne vrednosti konfiguracij predstavljenih hipervizorjev.
Tabela 3.1: Maksimalne konfiguracije hipervizorjev tipa 1. Maksimalna konfiguracija ESXi 6.0 XenServer 6.5 Hyper-V v3 št. gostiteljskih strežnikov v gruči 64 16 64 št. navideznih računalnikov v gruči 8000 4096 800 št. procesorjev na gostitelja 480 160 320 količina pomnilnika na gostitelja 12 TB 1 TB 4 TB št. gostov na gostitelja 1024 500 1024 št. navideznih procesorjev na gosta 128 16 64 količina pomnilnika na navidezni računalnik 4 TB 192 GB 1 TB velikost diska navideznega računalnika 64 TB 2 TB 64 TB
3.3 Glavni predstavniki hipervizorjev tipa 2
Pri hipervizorjih tipa 2 [20] je najbolj poznan produkt VirtualBox podjetja Oracle. Gre za brezplačen produkt, ki ga je možno namestiti na operacijske sisteme Linux, Windows, Apple OS X, FreeBSD in Solaris. Hkrati lahko vse naštete operacijske sisteme poganja tudi v navideznih računalnikih. Brezplačen je tudi VMware Player istoimenskega podjetja, ki je okrnjena različica plačljivega produkta VMware Workstation. Oba omogočata
20
Uporaba programske požarne pregrade v podatkovnem centru
namestitev le na izbrane verzije operacijskih sistemov Windows in Linux. V navideznih računalnikih podpirata enako paleto operacijskih sistemov kot VirtualBox. Za operacijski sistem OS X podjetja Apple sta poleg brezplačne rešitve VirtualBox na voljo še VMware Fusion in Parallels Desktop. Plačljive izdaje vseh omenjenih hipervizorjev tipa 2 omogočajo dodatne funkcije, kot je izboljšana podpora za 3D grafični prikaz in hitrejše delovanje omrežja ter diskovnega pomnilnika na navideznih računalnikih. Običajno je vključena tudi podpora uporabnikom preko spleta ali telefona.
21
Uporaba programske požarne pregrade v podatkovnem centru
4 PREGLED PROGRAMSKIH POŽARNIH PREGRAD
Večina izdaj programskih požarnih pregrad, namenjenih za delovanje v virtualiziranem okolju podatkovnega centra, temelji na okolju Linux [12] iz preprostega razloga, ker je brezplačno. Te izdaje programskih požarnih pregrad so posebej prednastavljeni operacijski sistemi s poudarkom na filtriranju prometa in dodatnih funkcijah omrežnega prehoda. Skoraj vedno vključujejo spletni vmesnik za upravljanje sistema, ki ga razvijalci sčasoma dodelajo do te mere, da ga lahko ponudijo kot plačljiv produkt. Osnovni sistem ostane brezplačen in ga lahko uporablja vsak. Prihodki se ustvarjajo s plačljivo podporo in dodatki, kot so na primer protivirusni moduli. Veliko izdaj pa namestijo na namenske naprave in jih tržijo kot strojne požarne pregrade z vključeno storitvijo podpore.
4.1 ClearOS
ClearOS [10] je na Linuxu temelječa programska požarna pregrada, ki je na voljo v dveh različicah, in sicer brezplačni ClearOS Community in plačljivi ClearOS Professional. Obe verziji sta si zelo podobni v bistvenih funkcionalnostih. Profesionalna verzija ponuja plačljivo podporo in dodatne opcije, kot so zaščita Kaspersky pred zlonamerno programsko kodo, Google Apps Sync, varnostno kopiranje strežnikov in njihova revizija, sistem za odkrivanje ter preprečevanje vdorov (IDS/IPS). Tehničnih omejitev za uporabo brezplačne verzije v produkcijskem okolju ni. Plačljivo verzijo lahko kupimo tudi kot vnaprej sestavljene naprave glede na naše potrebe. Vsa administracija se izvaja preko spletnega vmesnika. Glavni poudarek je na požarni pregradi in večnamenskem prehodu z naprednimi funkcijami, kot so NAT, PAT, filtriranje dohodnega in odhodnega prometa, strežnika DHCP in DNS, dostop do več WAN-ov, nadzor in omejevanje prometa, vizualizacija omrežja, strežnika RADIUS (Remote Authentication Dial-In User Service, komutirana uporabniška storitev z oddaljeno overitvijo) in VPN, spletni strežnik, strežnik NTP.
22
Uporaba programske požarne pregrade v podatkovnem centru
4.2 Endian
Podobno kot ClearOS je Endian [15] na voljo kot brezplačna različica Endian Community Edition, ki jo lahko namestimo na podprto strojno opremo ali v virtualno okolje, saj je zasnovan na operacijskem sistemu Linux. Poleg tipičnih funkcij stanjske požarne pregrade s sistemom za odkrivanje ter preprečevanje vdorov (IDS/IPS) je na voljo še protivirusni program, filtriranje spletne pošte in spletnih strani, portal za dodeljevanje brezžičnega dostopa, strežnik VPN, obveščanje po elektronski pošti in velik nabor orodij za nadzor in beleženje prometa. Nadzor se izvaja preko spletnega vmesnika, ki je zelo dobro zasnovan.
4.3 IPCop
IPCop [24] je izdaja požarne pregrade na osnovi Linuxa, ki je povsem brezplačna in ena izmed prvih verzij takšnih požarnih pregrad, po kateri se zgledujejo mnoge druge izpeljanke. Zasnovana je na principu štirih vmesnikov: rdečega – WAN, zelenega – LAN, oranžnega – DMZ, modrega – WiFi. Namenjena je za šibkejšo strojno opremo. Nadzor se prav tako izvaja preko spletnega vmesnika. Podprte so napredne funkcije požarne pregrade ter strežniki VPN, DHCP in NTP. Žal je zadnja izdaja stara že nekaj let in ni več aktivno vzdrževana.
4.4 IPFire
IPFire [1] spada tudi v skupino programskih požarnih pregrad na osnovi Linuxa in je ena izmed izpeljank požarne pregrade IPCop z dodatnimi funkcijami. Uvrstimo jo lahko med popolnoma brezplačne produkte, kot je IPCop, in hibridne brezplačne produkte s plačljivo podporo, kot sta Endian in ClearOS. Lahko ga kupimo prednastavljenega na običajni strojni opremi s plačljivo podporo ali brezplačno namestimo na širok nabor opreme, saj poleg x86 arhitekture podpira tudi strojno opremo podjetja ARM. Uradno je podprta tudi namestitev v virtualna okolja. Nadzor in nastavitve se opravljajo preko spletnega vmesnika. Poleg nastavitev pravil požarne pregrade so nam na voljo še zagotavljanje kakovosti storitev (QoS, Quality of Service), portal nastavitev brezžičnega dostopa, sistem
23
Uporaba programske požarne pregrade v podatkovnem centru
za odkrivanje ter preprečevanje vdorov (IDS/IPS), filtriranje spletnega prometa, strežnik VPN s podporo strojnega kodiranja, strežnika DHCP in DNS ter širok nabor dodatkov preko sistema za nameščanje paketov Pakfire. Distribucijo aktivno vzdržujejo in posodabljajo.
4.5 pfSense pfSense [29] je naslednik priljubljene požarne pregrade m0n0wall in prav tako temelji na operacijskem sistemu FreeBSD. Kratica »pf« izhaja iz paketnega filtra (ang. packet filter), ki skrbi za filtriranje prometa v sistemu FreeBSD, podobno kot iptabele (ang. iptables) v sistemih Linux. Omogočene so funkcije stanjske požarne pregrade, NAT, omejevanje hitrosti prometa, strežnik VPN, portal za nastavitev dostopa do brezžičnega omrežja in mnogo dodatnih funkcij s pomočjo namestitvenih paketov. To je ena redkih požarnih pregrad, ki omogoča postavitev večjega števila strežnikov VPN sočasno. Nadzor se po začetni namestitvi izvaja preko spletnega vmesnika. Spletni vmesnik je zelo dobro zasnovan, saj pri vsaki nastavitvi najdemo navodila in celo priporočene nastavitve. Posebnost te požarne pregrade je, da lahko filtrira povezave tudi glede na operacijski sistem odjemalca, ki je povezan nanjo. Programska požarna pregrada je popolnoma brezplačna. Plačljiva je le podpora, s katero dobimo dostop do temeljite dokumentacije, tehnične pomoči in možnosti varnostnega kopiranja pregrade v oblak. Tržijo tudi različno zmogljive predkonfigurirane strojne pregrade s sistemom pfSense. Posodobitve so zelo ažurne in enostavno dosegljive. Privzeto je podprta namestitev v virtualno okolje, saj ob nameščanju programska oprema to zazna in avtomatično prilagodi in optimizira nastavitve.
4.6 Smoothwall
Začetki produkta Smoothwall segajo v leto 2000, ko je bil pričet odprtokodni projekt z namenom razvoja in vzdrževanja brezplačne požarne pregrade Smoothwall Express, temelječe na operacijskemu sistemu Linux, z enostavnim spletnim vmesnikom za upravljanje [35]. Kasneje je bila podobno kot za IPCop in IPFire uvedena plačljiva podpora in predkonfigurirane strojne naprave. Brezplačna verzija omogoča filtriranje dohodnega
24
Uporaba programske požarne pregrade v podatkovnem centru
prometa, preslikave NAT in PAT, filtriranje odhodnega prometa, zagotavljanje kakovosti storitev, sistem za odkrivanje vdorov s pomočjo dodatka Snort, posredniški strežnik in tvorjenje povezav VPN. Podobno kot IPCop je zasnovana na principu štirih vmesnikov: rdečega – WAN, zelenega – LAN, oranžnega – DMZ, modrega – WiFi. Največ funkcij je bilo dodano v zadnji, tretji verziji produkta.
4.7 Sophos
Požarno pregrado Sophos [36] so najprej razvijali pod imenom Astaro Security Gateway, dokler podjetja Astaro ni prevzelo podjetje Sophos. Distribucija programske požarne pregrade temelji na operacijskem sistemu Linux. Vsebuje paketno filtriranje, filtriranje z zaznavo stanja, protivirusno zaščito, zaščito za nezaželena e-poštna sporočila, sistem za odkrivanje in preprečevanje vdorov, povezave VPN, beleženje in nadzor prometa ter mnogo dodatnih funkcij. Na spletni strani podjetja www.sophos.com je Sophos v prvi vrsti oglaševan kot strojna požarna pregrada z možnostjo dodatnih modulov. Pod zavihkom brezplačnih orodij (ang. Free Tools) pa najdemo dve izdaji operacijskega sistema za prenos in samostojno namestitev na naši opremi. Prva je tako imenovana domača izdaja, ki vsebuje vse funkcionalnosti polne verzije, vendar je omejena na 50 naslovov IP v lokalnem omrežju. Druga izdaja se imenuje osnovna požarna pregrada (ang. essential firewall) in nima omejitev naslovov IP. Manjkajo ji pa določene napredne opcije popolne verzije požarne pregrade, ki se lahko po potrebi dokupijo. Ponujajo osem različnih modelov strojnih naprav s požarno pregrado, ki se razlikujejo v zmogljivosti glede na propustnost in število sočasnih povezav. Tako kot druge programske požarne pregrade, predstavljene v tem poglavju, je tudi Sophos možno namestiti kot navidezni računalnik v podatkovnem centru ali najetem oblaku.
4.8 Untangle
Untangle [39] je programska oprema, temelječa na operacijskemu sistemu Debian Linux. Obstaja v dveh različicah, in sicer kot napredna požarna pregrada ali nadzornik internetnega dostopa. Ob tem je zanimivo, da slednja dejansko ne vsebuje programske pregrade, ampak se osredotoča na omejevanje spletnega prometa in pasovne širine.
25
Uporaba programske požarne pregrade v podatkovnem centru
Napredna požarna pregrada pa vsebuje funkcijo filtriranja z zaznavo stanja, usmerjanje, zaščito pred zlonamernimi programi, protivirusno zaščito, povezave VPN in kopico drugih komponent, ki se vklapljajo po potrebi. Vsaka komponenta se mora najprej naložiti, preden je na voljo. Tako je osnovni sistem dovolj majhen in ne vsebuje nepotrebnega balasta. Obstajajo tri izdaje s prednaloženimi komponentami. Lahka (ang. lite) je brezplačna in se lahko po potrebi nadgradi s plačljivimi storitvami. Standardna in Premium verzija pa sta že v osnovi plačljivi in vsebujeta komercialno podporo, ki je v brezplačni verziji ni. Na voljo so tudi strojne pregrade s sistemom Untangle različnih zmogljivosti glede na potrebe podjetja. Posebnost izdaje Untangle je tudi ta, da poleg dobro zasnovanega spletnega vmesnika vsebuje tudi polno funkcionalno namizje. Ob zagonu nas tako ne pričaka le tekstovni vmesnik za nastavitve, zato je namestitev lažja.
4.9 VyOS
VyOS [43] je primer odprtokodne izdaje požarne pregrade, temelječe na operacijskem sistemu Linux. Prvotno se je imenovala Vyatta. Kasneje je to izdajo prevzelo podjetje Brocade in jo začelo tržiti pod imenom virtualni usmerjevalnik Brocade. Brezplačno izdajo pa so opustili in jo je prevzela odprtokodna skupnost pod imenom VyOS. Vsebuje funkcijo filtriranja prometa z zaznavo stanja, blokiranje spletnih strani s pomočjo vnaprej definiranih pravil za lažjo nastavitev. Prav tako najdemo strežnik in odjemalca za VPN, možnost povezave dveh pregrad v način visoke razpoložljivosti, modul za optimizacijo kakovosti prometa ter možnost delovanja v posredniškem načinu. Žal pa je možnost upravljanja preko spletnega vmesnika na voljo le pri plačljivi izdaji. Odprtokodno VyOS lahko nastavljamo le preko ukazne vrstice, ki pa se z ukazi poskuša približati sistemom znanih proizvajalcev, kot sta Cisco in Juniper. Dobro je podprta tudi namestitev v virtualna okolja, saj je možen prenos predkonfiguriranega navideznega računalnika za vse glavne hipervizorje z vključenimi in optimiziranimi gonilniki.
4.10 Zeroshell
Zeroshell [18] je izdaja požarne pregrade, ki je tudi osnovana na operacijskem sistemu Linux. Njena posebnost je v kompaktnosti namestitve, saj deluje celo na opremi z manj
26
Uporaba programske požarne pregrade v podatkovnem centru
kot 100 MB sistemskega pomnilnika. Prav tako jo je možno pognati neposredno z zagonskega medija brez potrebe po namestitvi. Vseeno omogoča ključne funkcije požarne pregrade s filtriranjem prometa na osnovi zaznave stanj, VLAN-e, storitve VPN, možnost delovanja v visoko razpoložljivem načinu, sistem zagotavljanja kakovosti storitev in portal za dodeljevanje brezžičnega dostopa. Lahko se konfigurira preko spletnega vmesnika ali ukazne vrstice. Že samo ime pa nam pove, da dostop do ukazne vrstice v praksi ni potreben, saj so vse nastavitve omogočene preko spletnega vmesnika. Obstaja samo brezplačna različica brez možnosti plačljive podpore. Kljub temu se redno posodablja, pa tudi skupnost na forumih spletnega portala je zelo aktivna in uporabniki si radi priskočijo na pomoč pri nastavitvah.
4.11 Izbira najprimernejše izdaje programske požarne pregrade
Izmed predstavljenih izdaj smo najprej izločili VyOS, ker brezplačna različica ne vsebuje spletnega vmesnika. Naslednja je bila Sophos, ki ji manjka več funkcij v brezplačni različici. IPCop ni več aktivno vzdrževana izdaja. Endian, IPfire in Smoothwall delujejo na enakem principu kot IPCop in imajo slabšo podporo za omrežja VLAN. ClearOS v brezplačni izdaji avtomatično namešča vse popravke in so uporabniki te izdaje v vlogi poskusnih zajčkov. Ostale so nam edicije pfSense, Untangle in Zeroshell. Vse tri smo namestili in ugotovili, da pri izdaji Untangle ne moremo spremeniti privzetih vrat UDP za povezavo OpenVPN. Zeroshell pa za nadzorno omrežje potrebuje ločen omrežni vmesnik, zato za nadzorno omrežje ne moremo uporabiti VLAN-a.
Podrobneje smo zato v nadaljevanju opisali in preizkusili izdajo programske požarne pregrade pfSense. Dodatne prednosti, ki so botrovale izbiri, so bile:
zelo dobra navodila na spletni strani in aktiven uporabniški forum, nastavitev vmesnikov VLAN še pred povezavo na spletni vmesnik, možnost hkratne namestitve večjega števila strežnikov OpenVPN na različnih vratih UDP ali TCP, dodatek za izvoz paketov za namestitev odjemalcev OpenVPN, ukazna vrstica ni potrebna, vse nastavitve so dostopne preko spletnega vmesnika, dobra podpora za hipervizor VMware vSphere ESXi.
27
Uporaba programske požarne pregrade v podatkovnem centru
5 POSTAVITEV RAZVOJNEGA OKOLJA
V naslednjih podpoglavjih bomo opisali nastavitev lokalnega omrežnega stikala in okolja VMware vSphere ESXi za virtualizacijo. Shemo postavitve s pripadajočimi naslovi IP in navideznimi omrežji prikazuje slika 5.1.
Slika 5.1: Shema začetne postavitve omrežja.
5.1 Opis in specifikacija strojne opreme
Oprema, uporabljena za preizkušanje postavitve programske požarne pregrade, je sestavljena iz stikala ponudnika internetnih storitev, gostiteljskega strežnika za poganjanje navideznih računalnikov s pomočjo programske opreme VMware vSphere ESXi, lokalnih upravljalnih stikal in delovnih postaj za testiranje propustnosti omrežja s programom iperf. Lokalni stikali sta enake serije in zmogljivosti. Za preizkušanje propustnosti omrežnega prometa in povezav VPN smo po uspešni nastavitvi programske požarne pregrade uporabili lokalno stikalo na strani WAN in LAN. Za gostiteljski strežnik pa smo uporabili starejšo in počasnejšo ter novejšo in hitrejšo opremo.
Seznam opreme: Stikalo ponudnika internetnih storitev: – Cisco Catalyst 3560G-24TS-E, – zmogljivost preklapljanja okvirjev: 32 Gbps, 6,5 milijona okvirjev na sekundo pri 64 zlogov velikih okvirjih [8].
28
Uporaba programske požarne pregrade v podatkovnem centru
Strežnik za ESXi – novejši: – model: IBM System x3650 M4 (7915G3G), – procesor: 2x Intel(R) Xeon(R) CPU E5-2650 v2 @ 2.60GHz, vsak 8 jeder, – pomnilnik: 256 GB DDR3 ECC, – disk: 2 TB RAID 5 polje iz 8 300 GB SAS diskov, – omrežni vmesnik1: Intel 82580 Gigabit 4x RJ45, – omrežni vmesnik2: Intel I350 Gigabit 4x RJ45.
Strežnik za ESXi – starejši: – model: IBM System x3650 (7979B1G), – procesor: 2x Intel(R) Xeon(R) CPU E5405 @ 2.00GHz, vsak 4 jedra, – pomnilnik: 18 GB DDR2 ECC, – disk: 750 GB RAID 5 polje iz 4 250 GB SATA2 diskov, – omrežni vmesnik: Broadcom NetXtreme II BCM5708C 2x RJ45.
Lokalno stikalo: – model: Cisco Small Business SG300-52, – 48 gigabitnih vmesnikov, – zmogljivost preklapljanja okvirjev: 104 Gbps, 77,38 milijona okvirjev na sekundo pri 64 zlogov velikih okvirjih [6].
V nadaljevanju je zaradi okrajšav hitrejši gostiteljski strežnik naveden kot ESXi M4, starejši in počasnejši pa kot ESXi M1.
5.2 Nastavitev lokalnega stikala
Lokalno stikalo Cisco SG300 [9] smo najprej ponastavili na privzete nastavitve s pomočjo stikala za ponastavitev, tako da smo ga ob delovanju pritiskali več kot 10 sekund. Računalnik smo z omrežnim kablom povezali na zadnji omrežni vmesnik stikala. Na računalniku smo nastavili naslov IP 192.168.1.1 ter se s pomočjo spletnega brskalnika povezali na naslov http://192.168.1.254. Po vpisu privzetega uporabniškega imena in gesla smo morali geslo spremeniti. Sledila je nastavitev VLAN-ov v meniju VLAN Management in Create VLAN. Tvorili smo VLAN-e 10, 11, 12, kot prikazuje slika 5.2.
29
Uporaba programske požarne pregrade v podatkovnem centru
Slika 5.2: Tvorjenje VLAN-ov na stikalu.
Prvi vmesnik na stikalu smo nastavili kot dostopovnega z VLAN-om 10 in nam je služil za priklop računalnika v nadzorno omrežje. Vmesnike 2–10, ki so bili namenjeni za priklop gostiteljskih strežnikov ESXi, smo nastavili v način snopljenja z VLAN-i 10, 11 in 12. Ker smo se želeli izogniti uporabi privzetega VLAN-a 1 za nadzor naprave, smo v meniju Administration, Management Interface, IPv4 Interface nadzorni VLAN spremenili na 10 in vpisali nov naslov IP 10.10.10.254, omrežno masko 255.255.255.0 in privzeti prehod 10.10.10.1. Sledil je ponovni zagon stikala ter sprememba naslova IP na računalniku na 10.10.10.100 ter priklop računalnika na prvi vmesnik stikala in strežnikov ESXi na vmesnike 2‒6.
5.3 Namestitev in nastavitev okolja ESXi
Programsko opremo vSphere ESXi smo pridobili na spletni strani podjetja VMware. Potrebna je bila predhodna registracija z elektronskim naslovom. Prenesli smo zagonsko sliko ESXi 5.5 Update 2d ISO image in odjemalca za upravljanje okolja vSphere VMware vSphere Client 5.5. Sliko smo posneli na zgoščenko in jo izbrali kot prvi medij pri zagonu strežnika. Sistem ESXi lahko namestimo na trdi disk strežnika ali medij USB. Odločili smo se za medij USB, ker smo s tem pridobili vse diskovne kapacitete strežnika ([5], [42]). Po uspešni namestitvi smo prišli do glavnega menija, kot ga prikazuje slika 5.3.
30
Uporaba programske požarne pregrade v podatkovnem centru
Slika 5.3: Glavni meni ESXi.
Nastavili smo novo geslo in se lotili konfiguriranja nadzornega omrežja v podmeniju Configure Management Network. Možnosti v tem podmeniju so prikazane na sliki 5.4. Najprej je sledila izbira omrežne kartice, na kateri bo potekal nadzorni promet. Izbrali smo tisto, ki je povezana na naše lokalno omrežje. Ker na tej povezavi uporabljamo tehniko snopljenja, je bilo treba vpisati tudi številko VLAN-a našega nadzornega omrežja, ki je v našem primeru 10.
Slika 5.4: Konfiguriranje nadzornega omrežja ESXi.
Nazadnje je bil potreben še vpis naslovov IP pod IP Configuration. Privzeto je nastavljeno dinamično pridobivanje naslova IP. Izbrali smo statični način in vpisali naslov 10.10.10.2, masko 255.255.255.0 ter privzeti prehod 10.10.10.1, kot je prikazano na sliki 5.5.
31
Uporaba programske požarne pregrade v podatkovnem centru
Slika 5.5: Nastavitev naslova IP ESXi.
Privzeti prehod bi lahko vpisali tudi kasneje, ker trenutno še ni bil aktiven. Aktiven je postal, ko smo namestili in konfigurirali navidezni strežnik s programsko požarno pregrado. Strežnikov DNS nismo vpisovali, saj med preizkušanjem nismo uporabljali domenskih imen, ampak samo naslove IP. S tem smo končali vse nastavitve, ki jih je potrebno nastaviti preko terminala strežnika. Z računalnika v nadzornem omrežju smo preizkusili povezljivost z ukazom ping, ki je bil uspešen. Za nadzor strežnika ESXi ter tvorjenje navideznih računalnikov smo namestili odjemalec VMware vSphere. V začetnem pojavnem oknu je bil potreben vpis enakih parametrov kot pri nastavitvi preko terminala. To so naslov IP, uporabniško ime in geslo. Ob uspešnem vnosu parametrov nas je pričakalo glavno okno odjemalca vSphere ESXi (slika 5.6).
Pod zavihkom Configuration je bilo treba nastaviti še naslednje parametre: licenčne nastavitve (Licensed Features): Vnesli smo serijsko številko, ki smo jo prejeli skupaj s sliko sistema ESXi. Lahko bi delovali tudi 60 dni v preizkusnem režimu z vsemi funkcionalnostmi. časovne nastavitve (Time Configuration): Omogočili smo sinhronizacijo časa NTP s časovnim strežnikom. Izbrali smo strežnik akademske raziskovalne mreže Slovenije ARNES na naslovu IP 193.2.1.66.
32
Uporaba programske požarne pregrade v podatkovnem centru
Slika 5.6: Glavno okno odjemalca vSphere ESXi.
Do najpomembnejših nastavitev smo prišli pod zavihkom Networking. Tu smo morali nastaviti navidezna omrežna stikala, da so se ujemala z nastavitvami naših fizičnih omrežnih stikal. Začetno stanje zavihka omrežja pri ESXi M4 prikazuje slika 5.7. Najdemo le nastavitve nadzornega omrežja, ki smo ga nastavili preko terminala in se poleg nadzora uporablja še za druge funkcije, kot sta dostop do deljenega diskovnega sistema in selitev strežnikov.
Slika 5.7: Začetno stanje omrežnih nastavitev ESXi.
Najprej smo dodali še omrežni vmesnik na strani WAN. To smo storili po postopku: Add Networking – dodaj omrežje:
33
Uporaba programske požarne pregrade v podatkovnem centru
Connection Type – Virtual Machine za tip povezave, Network Access – kljukica pri omrežnem vmesniku, ki je povezan na stikalo ponudnika internetnih storitev, Connection Settings – ime WAN, VLAN ID pustimo prazen, saj na strani WAN nismo uporabili VLAN-ov.
Dobili smo dodatno navidezno omrežno stikalo vSwitch1. Dostop do navideznih lokalnih omrežij smo nato nastavili na navideznem omrežnem stikalu vSwitch0 s pomočjo skupin vmesnikov navideznih računalnikov (Virtual Machine Port Group): Properties – nastavitve na stikalu vSwitch0: Ports -> Add – dodajanje omrežja, Connection Type – Virtual Machine za tip povezave, Connection Settings – ime Nadzorni, VLAN ID 10.
Postopek smo ponovili še za VLAN 11 in 12. Dodali smo še omrežje z VLAN ID 4095, ki predstavlja vsa navidezna omrežja, in ga poimenovali LAN. Končno postavitev omrežja prikazuje slika 5.8.
Slika 5.8: Končna postavitev omrežja strežnika ESXi.
34
Uporaba programske požarne pregrade v podatkovnem centru
Vsako skupino vmesnikov navideznih računalnikov si lahko predstavljamo kot vmesnik na omrežnem stikalu. Omrežne kartice navideznih računalnikov, ki so priklopljene na skupino Nadzorni, so v VLAN-u 10, Interni v VLAN-u 11, WiFi v VLAN-u 12. Skupina LAN pa deluje na podobnem principu kot vmesnik s snopljenjem. Preko njega se prenašajo vsa navidezna lokalna omrežja.
35
Uporaba programske požarne pregrade v podatkovnem centru
6 NAMESTITEV IZBRANE POŽARNE PREGRADE
V tem poglavju sledi opis namestitve programske požarne pregrade. Najprej moramo na strežnik ESXi prenesti zagonsko sliko programske požarne pregrade, ki jo uporabimo v navideznem računalniku. Z odjemalcem vSphere dostopamo do diskovnih kapacitet strežnika ESXi preko zavihka Configuration in Storage. Z desnim klikom na izbrano diskovno polje pridemo do menija za raziskovanje in prenos datotek ter map na strežniku. Prikaz map na strežniku ESXi je na sliki 6.1.
Slika 6.1: Datotečni sistem strežnika ESXi.
6.1 Tvorjenje navideznega računalnika
Tvorjenje vsakega novega navideznega računalnika se začne z desnim klikom na naslov IP ali ime gostiteljskega strežnika ESXi v glavnem meniju odjemalca vSphere (slika 5.6) in izbiro New Virtual Machine ([5], [42]). Pridemo do menija, prikazanega na sliki 6.2.
Izbrali smo kar tipično konfiguracijo v prvem meniju. Sledilo je poimenovanje navideznega računalnika in določitev lokacije na diskovnem sistemu. Za operacijski sistem smo izbrali FreeBSD v 64-bitni izvedbi.
36
Uporaba programske požarne pregrade v podatkovnem centru
Slika 6.2: Tvorjenje novega navideznega računalnika.
Pri nastavitvah omrežja smo izbrali dve omrežni kartici tipa VMXNET3 (slika 6.3). Omogočata namreč hitrejše povezave v operacijskih sistemih navideznih računalnikov, ki za ta tip kartic vsebujejo gonilnike. Privzeta možnost je E1000, ki emulira omrežno kartico Intel 82545EM. Vsaki kartici smo določili še omrežje, ki smo ga definirali pri nastavitvi omrežja na strežniku ESXi. WAN predstavlja internetno stran in je dostopovnega tipa, LAN pa lokalno omrežje s snopljenjem.
Slika 6.3: Nastavitev omrežja navideznega računalnika.
Velikost diska v naslednjem podmeniju smo pustili na privzetih 8 GB in nastavili tip na dinamično dodeljevanje (Thin provisioning). Pri tem načinu se velikost slike sistema na fizičnem disku dinamično povečuje glede na dejansko porabo v navideznem računalniku. Po zaključenem tvorjenju se je v meniju pojavil nov navidezni strežnik z izbranim imenom. Z desnim klikom in izbiro urejanja nastavitev (Edit Settings) pridemo do menija za urejanje strojne opreme navideznega računalnika. Tu lahko spremenimo količino delovnega
37
Uporaba programske požarne pregrade v podatkovnem centru
pomnilnika, število navideznih procesorjev in jeder na procesor, dodajamo ali odvzemamo trde diske in omrežne kartice. Za namestitev operacijskega sistema je pomembna možnost nalaganja zagonske slike s CD-ja ali DVD-ja (slika 6.4).
Imamo tri možnosti izbire (Device Type): Client Device – sistem zaženemo iz medija v našem računalniku, s katerim se povezujemo do strežnika ESXi preko odjemalca, Host Device – sistem zaženemo iz medija v gostiteljskem strežniku ESXi, Datastore ISO File – sistem zaženemo iz datoteke ISO na datotečnem sistemu strežnika ESXi.
Izbrali smo tretjo možnost in naložili namestitveno sliko ISO sistema pfSense. Odkljukati smo morali tudi možnost povezave ob zagonu (Connect at power on), drugače bi se navidezni računalnik zagnal s trdega diska in ne iz priložene slike ISO. Velikost delovnega pomnilnika smo nastavili na 4 GB.
Slika 6.4: Nastavitve strojne opreme navideznega računalnika.
38
Uporaba programske požarne pregrade v podatkovnem centru
S potrditvijo nastavitev smo zaprli okno in zopet z desnim klikom na navidezni računalnik izbrali konzolni pogled (Open Console). To je dejansko pogled, ki ga navidezni računalnik preko grafične kartice prikazuje na monitorju. Meni omogoča vklop in izklop navideznega računalnika ter celo zamrznitev.
6.2 Nastavitev dostopa do spletnega vmesnika in interneta
Ob vklopu navideznega računalnika se nam je najprej prikazal zagonski meni sistema pfSense [21]. Po nekaj sekundah se je pojavil meni z izbiro ponovnega zagona, namestitve ali zagona neposredno z zagonskega medija (slika 6.5). Izbrali smo namestitev.
Slika 6.5: Zagonski meni pfSense.
Nasledil ga je meni, kjer smo lahko izbirali nastavitve grafike in tipkovnice. Nastavitev nismo spreminjali, zato smo potrdili privzete. V naslednjem meniju smo izbrali hitro nastavitev in po nekaj dodatnih potrditvah in ponovnem zagonu smo prišli do menija za nastavitev omrežnih vmesnikov. Meni nam je omrežni kartici predstavil kot vmx0 in vmx1 s pripadajočima naslovoma MAC. V meniju ESXi nastavitev navideznega računalnika smo preverili, kateri kartici pripada določeni naslov MAC. V našem primeru je vmesnik vmx0 na strani WAN in vmx1 na strani LAN. Za nastavitev VLAN-ov smo odgovorili pritrdilno. Kot
39
Uporaba programske požarne pregrade v podatkovnem centru
očetovski vmesnik za VLAN-e smo izbrali vmx1 na strani LAN ter vpisali številko 10 za naš nadzorni VLAN. Dobili smo nov vmesnik vmx1_vlan10. Drugih VLAN-ov nismo nastavljali, saj jih je lažje preko spletnega vmesnika. Sledila je izbira vmesnikov WAN in LAN. Za WAN smo vnesli vmx0, za LAN pa vmx1_vlan10. S tem se je tudi avtomatsko nastavil skriti NAT ter filter požarne pregrade. Po potrditvi nastavitev smo prišli do glavnega menija konzolnega pogleda, prikazanega na sliki 6.6. V meniju smo izbrali drugo možnost za nastavitev naslovov IP. Za LAN smo vnesli naslov 10.10.10.1 in 24-bitno omrežno masko. Sledili sta vprašanji o omogočitvi strežnika DHCP na segmentu LAN in spremembi dostopa s https na http. Prvo smo potrdili, drugo zavrnili. S tem smo omogočili dostop do spletnega vmesnika na naslovu https://10.10.10.1/.
Slika 6.6: Glavni konzolni meni pfSense.
V spletni brskalnik smo vpisali https://10.10.10.1/ in po potrditvi potrdila pfSense prispeli do okna za vpis uporabniškega imena ter gesla. Pojavil se je kratek nastavitveni čarovnik, kjer smo spremenili privzeto geslo, vpisali ime sistema, domeno, strežnike DNS ter nastavili strežnik NTP in časovni pas. Prispeli smo do glavnega spletnega menija požarne pregrade pfSense, ki ga prikazuje slika 6.7. Privzeta vrata TCP za dostop https do spletnega vmesnika so 443. Ker smo želeli vrata 443 kasneje uporabiti za povezavo VPN,
40
Uporaba programske požarne pregrade v podatkovnem centru
smo jih morali spremeniti. To smo storili preko zavihkov System, Advanced, Admin Access ter vpisali 9090 za številko vrat. Po potrditvi z gumbom Save na dnu strani nas je sistem avtomatsko preusmeril na nova vrata. Sedaj do spletnega vmesnika dostopamo preko naslova https://10.10.10.1:9090/. V istem meniju smo omogočili tudi dostop preko protokola SSH.
Slika 6.7: Glavni spletni meni pfSense.
Dostop do interneta je bil dejansko že omogočen, saj nam ponudnik internetnih storitev na vmesniku WAN dodeljuje naslove IP preko protokola DHCP. Vseeno smo želeli spremeniti avtomatično dodeljeni naslov in vpisati statičnega. To smo storili preko menija Interfaces, WAN. Tip konfiguracije IPv4 smo spremenili na statičnega in vpisali nov naslov IP, mrežno masko v bitni obliki ter privzeti prehod. Drugih nastavitev nismo spreminjali.
41
Uporaba programske požarne pregrade v podatkovnem centru
6.3 Tvorjenje vmesnikov VLAN
Nadzorni VLAN 10 smo tvorili že ob začetni nastavitvi sistema preko konzole. Dodatne VLAN-e smo nastavili [5] preko zavihkov Interfaces, Assign, VLANs. Pri dodajanju VLAN- ov smo morali biti pozorni, da smo izbrali pravi navidezni omrežni vmesnik, kamor se VLAN-i vežejo (slika 6.8). V našem primeru je bil to vmesnik vmx1 na strani LAN.
Slika 6.8: Tvorjenje VLAN-a na pfSense.
Po tvorjenju VLAN-ov jih je bilo treba vezati še na dejanske vmesnike. To smo storili preko vmesnikov Interfaces, Assign, Interface assignments (slika 6.9).
Slika 6.9: Nastavitev omrežnih vmesnikov pfSense.
V spustnem seznamu pod Available network ports izberemo enega izmed razpoložljivih vmesnikov, med katere sodijo tudi prej tvorjeni VLAN-i. Izbrali smo določen VLAN iz seznama in s klikom na znak plus tvorili nov vmesnik, ki je dobil oznako OPTX, kjer je X avtomatično določen glede na zaporedje tvorjenja. S klikom na vmesnik OPTX se je odprl
42
Uporaba programske požarne pregrade v podatkovnem centru
nov meni, kjer smo morali vmesnik najprej omogočiti, da smo prišli do menija za nastavitve (slika 6.10). Tu smo vnesli opis ter naslov IP. Druga polja smo pustili na privzetih vrednostih.
Slika 6.10: Nastavitev posameznega omrežnega vmesnika pfSense.
Nastavitve je bilo po shranitvi treba še omogočiti preko novega gumba, ki se je pokazal zgoraj. Končno postavitev vmesnikov prikazuje slika 6.11.
Slika 6.11: Končna postavitev vmesnikov pfSense.
43
Uporaba programske požarne pregrade v podatkovnem centru
6.4 Nastavitev filtriranja prometa
Privzeto je ves omrežni promet iz smeri interneta proti požarni pregradi pfSense zaprt, s prvega vmesnika v lokalnem omrežju, v našem primeru Nadzorni, pa odprt [17]. Do nastavitve filtriranja prometa pridemo preko zavihka Firewall, Rules (slika 6.12). Zaradi lažjega dostopa smo najprej odprli vrata TCP 9090 na vmesniku WAN, da smo se lahko izven podjetja povezali na spletni vmesnik požarne pregrade, kar pa v produkcijskem okolju seveda ni priporočljivo. Pravila vnašamo za vsak vmesnik posebej. Če ni vnesenih nobenih pravil, kar je privzeto za novo definirane vmesnike, je ves promet do tega vmesnika blokiran. Pravila se pregledujejo od zgoraj navzdol, zato je vrstni red pomemben in moramo biti nanj pozorni. Če se promet ne ujema z nobenim pravilom, je zavrnjen.
Slika 6.12: Glavni meni pravil filtriranja prometa.
Pri dodajanju ali spreminjanju pravila so nam na voljo naslednje možnosti (slika 6.13), ki smo jih navedli v slovenščini: dejanje – paket, ki se ujema s pravilom, lahko dovolimo, zavrnemo ali zavržemo. Pri zavrnitvi pošiljatelj dobi sporočilo o nedosegljivosti, če ga zavržemo, pa ne.
44
Uporaba programske požarne pregrade v podatkovnem centru
aktivnost – pravilo lahko omogočimo ali onemogočimo. To pride prav pri testiranju, da namesto brisanja pravilo samo onemogočimo. vmesnik – spustni seznam, iz katerega izberemo vmesnik, na katerega se pravilo nanaša. verzija IP – izberemo protokol IP, na katerega se pravilo nanaša, lahko IPv4 ali IPv6 oziroma oba. protokol – spustni seznam protokolov, kot so TCP, UDP, GRE, ESP, AH …, nad katerimi želimo izvajati filtriranje prometa. Lahko izberemo tudi vse protokole. izvor – omrežje ali vmesnik, s katerega naj izvira promet za to pravilo. Lahko definiramo samo en naslov IP, omrežje v obliki CIDR (Classless Inter-Domain Routing, brezrazredno usmerjanje med domenami), vmesnik ali vsa omrežja. Dodatno lahko definiramo tudi izvorna vrata glede na izbran protokol. Privzeto so izbrana vsa. cilj – ciljno omrežje ali vmesnik. Tudi tu lahko definiramo en naslov IP, omrežje, vmesnik ali vsa omrežja. razpon ciljnih vrat – vpišemo lahko samo ena vrata ali razpon vrat protokola, izbranega zgoraj. dnevnik – omogočimo beleženje paketov, ki se ujemajo s tem pravilom. To je priročno za testiranje. Za beleženje večjega števila paketov je bolje nastaviti strežnik za beleženje (syslog server). opis – po našem mnenju pomemben člen pravila, ki je večkrat pozabljen, saj ni obvezen in je privzeto prazen.
Možno je nastaviti tudi napredne parametre, med katerimi pri požarni pregradi pfSense izstopa zaznavanje operacijskega sistema pošiljatelja. Zaznavanje deluje le pri protokolu TCP.
45
Uporaba programske požarne pregrade v podatkovnem centru
Slika 6.13: Rubrika za urejanje pravila filtriranja prometa.
Na vmesnikih LAN smo kot primer nastavili naslednja pravila (slika 6.14): Nadzorni (VLAN 10) – dovoljen ves promet, ki izvira z naslovov tega vmesnika. Pri tem pravilu je vedno privzeta nastavitev omogočenega dostopa do spletnega vmesnika požarne pregrade, da si s spreminjanjem pravil ne zaklenemo dostopa. Interni (VLAN 11) – dovoljen ves promet, ki izvira z naslovov tega vmesnika, navzven proti internetu. Dostop do drugih VLAN-ov onemogočen. WiFi (VLAN 12) – navzven proti internetu je dovoljen le promet protokola TCP preko vrat http (80) in https (443). Dostop do drugih VLAN-ov je onemogočen. Takšna pravila predstavljajo tipično omrežje za goste, ki jim je dovoljeno le spletno brskanje.
46
Uporaba programske požarne pregrade v podatkovnem centru
Slika 6.14: Pravila filtriranja na vmesnikih LAN.
6.5 Primer prevajanja omrežnih naslovov
Različne tipe preslikave omrežnih naslovov definiramo v zavihku Firewall, NAT (slika 6.15). Skriti NAT ali PAT je privzeto vklopljen za vse vmesnike na strani LAN. Statične preslikave PAT definiramo v zavihku Port Forward, NAT pa v zavihku 1:1 [26].
47
Uporaba programske požarne pregrade v podatkovnem centru
Slika 6.15: Glavni meni NAT pfSense.
Pri preslikavi vrat imamo zapovrstjo na voljo naslednje parametre (slika 6.16), ki so navedeni v slovenščini : onemogočeno – s tem lahko preslikavo namesto izbrisa le onemogočimo. To je priročno za testiranje. vmesnik – spustni seznam za izbiro vmesnika, na katerega se pravilo nanaša. Praviloma izberemo WAN. protokol – spustni seznam protokolov, kot so TCP, UDP, GRE, ESP, AH …, pri katerih prevajamo naslove IP. izvor – omrežje ali vmesnik, s katerega izvira promet. Lahko definiramo samo en naslov IP, omrežje v obliki CIDR, vmesnik ali vsa omrežja. Dodatno lahko definiramo tudi izvorna vrata glede na izbrani protokol. Privzeto so izbrani vsi naslovi in vrata. cilj – ciljni naslov IP, omrežje ali vmesnik. Praviloma je to vmesnik WAN. razpon ciljnih vrat – vpišemo lahko samo ena vrata ali razpon vrat protokola, izbranega zgoraj, na ciljnem vmesniku. naslov IP preusmeritve – tipično naslov IP naprave v lokalnem omrežju, na katero želimo prevesti promet. preusmerjena ciljna vrata – vrata protokola, izbranega za preslikavo, na prevedenem naslovu IP. Lahko so drugačna kot ciljna vrata. opis – opis preslikave za lažji pregled. zrcalni NAT – omogočeno pomeni, da do storitve na zasebnem naslovu IP lahko odjemalec z zasebnim naslovom IP dostopa tudi preko javnega naslova IP, preko katerega je izveden NAT. povezava s pravilom filtriranja – privzeto se avtomatsko nastavi pravilo na filtru požarne pregrade, ki omogoči prehod za preusmerjen paket. To lahko spremenimo na neposredni prehod, kjer se promet dovoli brez vpisa pravila na
48
Uporaba programske požarne pregrade v podatkovnem centru
filtru požarne pregrade, ali pa avtomatsko tvorjenje onemogočimo. V tem primeru moramo dodatno tvoriti pravilo na filtru požarne pregrade, da omogočimo promet.
Slika 6.16: Meni nastavitve statične preslikave PAT.
Izbira parametrov pri preslikavah NAT 1:1 je naslednja (slika 6.17): onemogočeno – preslikavo lahko namesto izbrisa le onemogočimo, kar je priročno za testiranje. vmesnik – spustni seznam za izbiro vmesnika, na katerega se pravilo nanaša. Praviloma izberemo vmesnik, ki skrbi za dostop do interneta ali omrežja WAN.
49
Uporaba programske požarne pregrade v podatkovnem centru
zunanje podomrežje IP – začetni naslov IP na strani WAN preslikave. Če v naslednjem polju 'interni naslov IP' vnesemo podomrežje, se temu naslovu IP doda enaka maska podomrežja. interni naslov IP – samostojen naslov IP, podomrežje ali vmesnik strani LAN za preslikavo. cilj – za promet iz katerega javnega omrežja se preslikava omogoči. Tipično je nastavljeno na vsa omrežja. opis – opis preslikave. zrcalni NAT – omogočeno pomeni, da do storitve na zasebnem naslovu IP lahko odjemalec z zasebnim naslovom IP dostopa tudi preko javnega naslova IP, preko katerega je izveden NAT.
Slika 6.17: Meni nastavitve preslikave NAT 1:1.
Za nastavitev pravil na filtru požarne pregrade, ki bodo dovolila promet, moramo poskrbeti sami. Avtomatsko se pri preslikavah NAT 1:1 ne tvorijo.
Kot primer smo nastavili naslednje preslikave omrežnih naslovov in vrat (slika 6.18): NAT 1:1 zunanjega naslova XXX.XXX.53.237 na lokalni naslov IP 10.10.11.50. Vpisati smo morali tudi pravila v filter požarne pregrade, kjer smo dovolili ves promet.
50
Uporaba programske požarne pregrade v podatkovnem centru
preslikave PAT vrat TCP 5201–5204 na lokalne naslove IP 10.10.10.51– 10.10.10.54, ki smo jih kasneje uporabili pri preizkušanju propustnosti WAN–LAN. preslikavo PAT vrat TCP 3389 za uporabo povezave RDP (Remote Desktop Protocol, protokol oddaljenega namizja) na lokalni naslov 10.10.10.50. Tudi to preslikavo smo uporabili pri testiranju za neposredno povezavo do namizja lokalnega računalnika.
Slika 6.18: Primer preslikav NAT in PAT.
51
Uporaba programske požarne pregrade v podatkovnem centru
6.6 Konfiguriranje strežnika VPN za daljinski dostop
Požarna pregrada pfSense podpira IPsec, L2TP in OpenVPN za vzpostavitev navideznih zasebnih omrežij. PPTP je bil v najnovejši verziji zaradi ranljivosti ukinjen. Možna je vzpostavitev topologije povezave med dvema lokacijama ali kot daljinski dostop za mobilne uporabnike. Ogledali si bomo le povezavo VPN OpenVPN za daljinski dostop in kasneje testirali njeno zmogljivost. Odjemalec OpenVPN je podprt na večini modernih mobilnih naprav in potrebuje za povezavo le ena vrata TCP ali UDP. Tako ni težav pri preslikavi omrežnih naslovov in nastavitvi filtrov požarne pregrade. pfSense podpira tudi več strežnikov OpenVPN na različnih vratih TCP ali UDP hkrati. Preizkusili smo nastavitev za oba protokola [28].
Pri konfiguriranju strežnika OpenVPN smo si pomagali s čarovnikom v zavihku VPN, OpenVPN, Wizards. Prvi korak je bila izbira načina overjanja uporabnikov, kjer smo lahko izbirali med možnostmi 'lokalni uporabniki', 'LDAP' (Lightweight Directory Access Protocol, lahki protokol za dostop do imenika) in 'RADIUS'. Izbrali smo možnost 'lokalni uporabniki'. To so uporabniki, ki jih tvorimo na požarni pregradi preko spletnega vmesnika. Sledilo je tvorjenje glavnega potrdila certifikatnega organa, ki smo ga poimenovali pfSenseCA. Služil je za overjanje drugih potrdil, ustvarjenih na sistemu pfSense. Naslednji korak je bilo tvorjenje strežniškega potrdila, ki smo mu dali ime pfSenseServer. Prispeli smo do glavnega menija za nastavitve (slika 6.19). Potrebni so bili naslednji vnosi:
vmesnik – WAN, ker bomo vzpostavljali povezavo VPN iz interneta. Lahko bi tvorili tudi povezavo med lokalnimi omrežji. protokol – UDP pri prvem strežniku OpenVPN in TCP pri drugem. lokalna vrata – privzeta vrata za OpenVPN so 1194. Uporabili smo vrata 443 pri protokolu TCP in UDP. opis – pomemben, ker se tako poimenuje omrežni vmesnik in izvoženi uporabniški profili.
52
Uporaba programske požarne pregrade v podatkovnem centru
Slika 6.19: Glavni meni nastavitev OpenVPN.
V naslednjem meniju smo nastavili varnostne parametre (slika 6.20): overjanje TLS – omogočeno ali onemogočeno, naš izbor je bil omogočeno. tvorjenje ključa TLS – avtomatsko tvorjenje skupnega overitvenega ključa TLS ali onemogočeno, izbrali smo avtomatsko. ključ TLS – vnos tega ključa, če ni tvorjen avtomatsko. dolžina parametrov DH – dolžina parametrov za Diffie-Hellmanovo izmenjavo ključa. Vrednost 2048 je dovolj varna. šifrirni algoritem – najpomembnejša nastavitev, ki vpliva na varnost in hitrost povezave. Izbrali smo AES-256-CBC, ki je zelo varen algoritem in strojno pospešen na določeni strojni opremi. algoritem overjanja – SHA1 je bil izbran privzeto, zato smo nastavitev tudi obdržali.
Slika 6.20: Nastavitev varnostnih parametrov OpenVPN.
53
Uporaba programske požarne pregrade v podatkovnem centru
Parametre tunela za povezavo VPN smo nastavili v naslednjem meniju (slika 6.21): omrežje tunela – CIDR-oblika vpisa naslovov IP. Omrežje se mora razlikovati od obstoječih lokalnih omrežij na strežniški strani in pri odjemalcu. Za tunel TCP smo izbrali blok naslovov 10.10.100.0/24, za UDP pa 10.10.101.0/24. Dva različna strežnika OpenVPN ne smeta imeti enakega omrežja tunela. preusmeritev prehoda – ta izbira omogoči, da se ves promet odjemalcev preusmeri čez požarno pregrado pfSense. Z varnostnega vidika je ta nastavitev dobrodošla, ker dodatno filtriramo promet odjemalcev. Ob tem se poveča poraba pasovne širine v podjetju, zato smo nastavitev onemogočili. lokalno omrežje – lokalno omrežje v obliki CIDR, do katerega dobijo dostop odjemalci. Nastavili smo naše interno omrežje 10.10.11.0/24. sočasne povezave – največje število odjemalcev, ki se lahko sočasno povežejo. S praznim poljem smo dovolili neomejeno število povezav. stiskanje podatkov – privzeto OpenVPN uporablja adaptivno stiskanje podatkov s pomočjo knjižnice LZO. Stiskanje smo izključili, ker bi nam popačilo rezultate testiranja propustnosti. Drugih nastavitev v tem meniju nismo spreminjali.
Slika 6.21 Nastavitev tunela OpenVPN.
Ostal je še meni za spremembo nastavitev pri odjemalcih, ki jih strežnik lahko posreduje ob vzpostavitvi povezave. Teh nastavitev nismo spreminjali, ker za testiranje niso bile potrebne. Obsegajo določitev domene strežnikov DNS in NTP.
54
Uporaba programske požarne pregrade v podatkovnem centru
V naslednjem koraku nam čarovnik ponudi avtomatično tvorjenje pravil požarne pregrade, ki smo ga potrdili. S tem se je omogočil promet na izbrana vrata TCP ali UDP od povsod iz interneta na vmesniku WAN ter promet od odjemalcev do lokalnih omrežij za požarno pregrado pfSense na novotvorjenem vmesniku OpenVPN (slika 6.22).
Slika 6.22: Avtomatično tvorjenje pravil filtriranja za promet OpenVPN.
Konfiguriranje strežnika OpenVPN je tako končano. V sistem pfSense smo morali vnesti nekaj lokalnih uporabnikov, ki smo jih kasneje uporabili za vzpostavitev povezave. Na zavihku System, User Manager smo dodali uporabnike vpn1, vpn2, vpn3 in vpn4. Pri dodajanju uporabnika so bila pomembna polja (slika 6.23): uporabniško ime – to ime se uporabi pri izvozu in vpisu v odjemalec. geslo – geslo za dostop pri overjanju povezave VPN. potrdilo – tvorimo uporabniško potrdilo s pomočjo potrdila certifikatnega organa.
Druga polja smo pustili prazna. Sistem pfSense s pomočjo dodatnega vtičnika omogoča enostaven izvoz konfiguracij za odjemalce. Vtičnik se imenuje OpenVPN Client Export Utility. Namestili smo ga s pomočjo upravljavca paketov pod zavihkom System, packages. Po namestitvi se je v meniju OpenVPN pojavil nov zavihek Client Export (slika 6.24).
55
Uporaba programske požarne pregrade v podatkovnem centru
Slika 6.23: Dodajanje uporabnika pfSense.
Slika 6.24: Orodje za izvoz nastavitev odjemalcev OpenVPN.
Izvozimo lahko stisnjen arhiv, ki vsebuje zasebni ključ uporabnika, nastavitveno datoteko in uporabniško potrdilo. Možno je izvoziti tudi samo nastavitveno datoteko. Najpriročnejši pa je izvoz namestitvene datoteke celotnega odjemalca s pripadajočimi nastavitvami. Tak
56
Uporaba programske požarne pregrade v podatkovnem centru
izvoz je podprt za operacijske sisteme Windows in Mac OSX. Prenesli smo namestitveno datoteko za operacijski sistem Windows in jo namestili. Ob namestitvi odjemalca se je namestil tudi dodaten navidezni omrežni vmesnik, ki ga odjemalec OpenVPN uporablja za tvorjenje povezave. Odjemalec smo morali pognati s skrbniškimi pravicami, da je lahko dodal usmerjevalno tabelo v naš računalnik. Po zagonu se je odjemalec minimiziral v statusno vrstico. Z desnim klikom na ikono in izbiro povezave je sledil vpis uporabniškega imena ter gesla. Cel postopek vzpostavljanja povezave pa je prikazan v statusnem oknu (slika 6.25).
Slika 6.25: Vzpostavitev povezave OpenVPN.
57
Uporaba programske požarne pregrade v podatkovnem centru
7 PREIZKUŠANJE ZMOGLJIVOSTI
Zmogljivost smo preizkušali s pomočjo programa iperf, verzije 3 [25]. Program deluje na principu strežnika in odjemalca. Na računalniku, ki deluje v vlogi strežnika, tvori promet in ga z maksimalno možno hitrostjo pošilja do računalnika, kjer iperf deluje v načinu odjemalca. Poženemo ga neposredno iz ukazne vrstice, kjer lahko dodamo še različna stikala za spremembo parametrov. Merimo lahko propustnost aplikacijskega prometa, ki se prenaša s protokolom TCP oziroma UDP. Pri prometu UDP se namesto maksimalne propustnosti meri delež izgubljenih paketov. Odjemalska stran tvori promet s hitrostjo, ki jo določimo vnaprej, strežniška pa ga sprejema in poroča o deležu prejetega prometa. Zaradi večjega števila meritev smo testirali le promet preko protokola TCP, ker nas je zanimala maksimalna propustnost.
Poleg opreme, predstavljene v petem poglavju, smo v vlogi strežnikov in odjemalcev iperf uporabili namizne računalnike z naslednjimi specifikacijami:
procesor: Intel Core i5-2320 @ 3 GHz, 4 jedra, pomnilnik: 8 GB DDR3, omrežna kartica: RealTek RTL8168/8111 PCI-E Gigabit, disk: Intel SSD 120 GB.
Namesto stikala ponudnika internetnih storitev smo za stikalo na strani WAN uporabili dodatno stikalo Cisco Small Business SG300-52. Prave internetne povezljivosti za izvedbo testov propustnosti nismo več potrebovali. Zamenjava stikala ni vplivala na rezultate preizkusov, saj sta obe vrsti stikal dovolj zmogljivi. Hkrati s preizkušanjem nismo dodatno povečevali produkcijskega prometa v podjetju, ko smo preizkuse izvajali na programski požarni pregradi. Za primerjavo smo poleg programske požarne pregrade v virtualnem okolju testirali tudi strojno požarno pregrado Cisco ASA 5525-X Adaptive Security Appliance z naslednjimi oglaševanimi specifikacijami ([3], [7]):
maksimalna propustnost prometa UDP: 2 Gbps, maksimalna propustnost prometa TCP: 1 Gbps, 3DES/AES VPN-propustnost: 300 Mbps,
58
Uporaba programske požarne pregrade v podatkovnem centru
procesor: Intel Xeon X3430 @ 2.4 GHz, 4 jedra, pomnilnik: 8 GB RAM, kriptografska kartica: podpora šifriranja AES/3DES, število omrežnih vmesnikov: 8 x 1Gbps.
Za programski del požarne pregrade ASA, ki skrbi za filtriranje prometa in povezave VPN, je rezervirano le eno jedro procesorja in polovica pomnilnika. Preostali strojni viri so rezervirani za sistem preprečevanja vdorov, ki na naši požarni pregradi ASA ni bil aktiven. Strojni viri so med obema moduloma strogo ločeni in se jih ne da prestavljati. Promet na strojni požarni pregradi smo testirali izven delovnega časa, saj je bila ves čas v produkcijskem okolju. S tem smo zmanjšali njeno obremenjenost in povečali natančnost meritev.
Ob vsaki implementaciji smo izmerili hitrost pri eni in štirih sočasnih povezavah, kjer smo sešteli pasovno širino vseh štirih povezav. Pri programskih požarnih pregradah v virtualnem okolju smo izvedli še dodatne teste pri uporabi različnega števila navideznih procesorskih jeder. Skupno obremenjenost vseh jeder navideznega procesorja smo pri programskih pregradah spremljali preko odjemalca vSphere (slika 7.1), obremenjenost procesorja pri strojni pa preko modula Cisco ASDM (slika 7.2).
Slika 7.1: Primer grafa obremenjenosti procesorja v odjemalcu vSphere.
59
Uporaba programske požarne pregrade v podatkovnem centru
Slika 7.2: Primer grafa obremenjenosti procesorja požarne pregrade ASA 5525-X.
7.1 Propustnost WAN–LAN
Štiri računalnike smo priključili na stikalo Cisco SG300, ki je bilo priključeno na omrežni vmesnik WAN strežnika ESXi ali požarne pregrade ASA 5525-X, druge štiri računalnike pa na stikalo Cisco SG300 na omrežnem vmesniku LAN strežnika ESXi ali požarne pregrade ASA 5525-X (slika 7.3).
Slika 7.3: Shema ugotavljanja propustnosti WAN–LAN.
60
Uporaba programske požarne pregrade v podatkovnem centru
Na vmesniku WAN programskih požarnih pregrad smo že v šestem poglavju nastavili štiri različne preslikave PAT na štiri različne naslove IP v lokalnem omrežju. Računalniki v lokalnem omrežju so delovali v načinu strežnika iperf, dobljenem z ukazom iperf3 –s –p 520x kjer je x med 1 in 4.
Stikalo –s nastavi delovanje iperf kot strežnika, –p in številka pa vrata TCP, na katerih pričakuje zahtevo odjemalca.
Na računalnikih segmenta WAN pa smo iperf pognali z ukazom iperf3 –c »naslov IP požarne pregrade« –p 520x –t 300 kjer je x med 1 in 4.
Stikalo –c nastavi delovanje iperf kot odjemalca. Sledi naslov IP strežnika, ki je v našem primeru vedno požarna pregrada, –p s številko vrat, na katera kliče strežnik, ter –t s trajanjem izvajanja testa v sekundah. Vse teste smo izvajali 300 sekund ali 5 minut, kar je bilo pomembno predvsem pri štirih sočasnih povezavah, saj je med posamičnimi vzpostavitvami minilo tudi do 3 sekunde. Pri daljšem testu je zaradi te zakasnitve nastala le zanemarljiva merska napaka. Rezultati meritev pri eni sočasni povezavi so podani v tabeli 7.1, pri štirih sočasnih povezavah pa v tabeli 7.2.
Tabela 7.1: Propustnost WAN–LAN pri eni sočasni povezavi. Konfiguracija požarne Propustnost v Obremenjenost pregrade Mbps procesorja v % pfSense ESXi M1, 1 proc. jedro 617 100 pfSense ESXi M1, 2 proc. jedri 806 92 pfSense ESXi M1, 4 proc. jedra 867 48 pfSense ESXi M4, 1 proc. jedro 893 80 pfSense ESXi M4, 2 proc. jedri 925 38 pfSense ESXi M4, 4 proc. jedra 935 20 Cisco ASA 5525-X 939 35
61
Uporaba programske požarne pregrade v podatkovnem centru
Tabela 7.2: Propustnost WAN–LAN pri štirih sočasnih povezavah. Konfiguracija požarne Propustnost v Obremenjenost pregrade Mbps procesorja v % pfSense ESXi M1, 1 proc. jedro 700 100 pfSense ESXi M1, 2 proc. jedri 762 100 pfSense ESXi M1, 4 proc. jedra 930 59 pfSense ESXi M4, 1 proc. jedro 940 92 pfSense ESXi M4, 2 proc. jedri 940 45 pfSense ESXi M4, 4 proc. jedra 940 25 Cisco ASA 5525-X 940 45
Najboljše rezultate je dala strojna požarna pregrada, ki že pri eni sočasni povezavi z 940 Mbps zapolni kapaciteto 1-Gbps ethernetne povezave, saj je 940 Mbps ravno največja možna efektivna hitrost prenosa aplikacijskih podatkov po takšni povezavi [27]. Obremenjenost procesorja je tudi precej nižja kot pri virtualiziranih požarnih pregradah. To lahko pripišemo dejstvu, da mora hipervizor poleg delovanja navideznega računalnika, na katerem teče požarna pregrada, skrbeti tudi za virtualizacijo ustvarjenega omrežnega prometa na virtualiziranih stikalih. Požarna pregrada pfSense na počasnejšem strežniku ESXi se šele pri uporabi štirih procesorskih jeder približa maksimalni propustnosti in hkrati porabi polovico procesorske moči na gostiteljskem strežniku.
7.2 Propustnost med omrežji VLAN
Pri tem preizkušanju smo uporabili le eno lokalno stikalo Cisco SG300, povezano na snopljeni vmesnik LAN požarne pregrade. Štirje računalniki so bili povezani na dostopovne vmesnike z omrežjem VLAN 10, drugi štirje pa na dostopovne vmesnike z omrežjem VLAN 11 (slika 7.4). Na požarni pregradi smo začasno dovolili ves promet med tema navideznima lokalnima omrežjema.
62
Uporaba programske požarne pregrade v podatkovnem centru
Slika 7.4: Shema ugotavljanja propustnosti med VLAN-i.
Računalniki 1‒4 v omrežju VLAN 10 so delovali v načinu strežnika iperf, dobljenem z ukazom iperf3 –s –p 520x kjer je x med 1 in 4.
Na računalnikih segmenta VLAN 11 pa smo iperf pognali z ukazom iperf3 –c »naslov IP posameznega računalnika v VLAN 10« –p 520x –t 300 kjer je x med 1 in 4.
Tabela 7.3 prikazuje propustnost med VLAN-i pri eni sočasni povezavi, tabela 7.4 pa pri štirih.
63
Uporaba programske požarne pregrade v podatkovnem centru
Tabela 7.3: Propustnost med VLAN-i pri eni sočasni povezavi. Obremenjenost Konfiguracija požarne pregrade Propustnost v Mbps procesorja v % pfSense ESXi M1, 1 proc. jedro 818 100 pfSense ESXi M1, 2 proc. jedri 836 83 pfSense ESXi M1, 4 proc. jedra 882 43 pfSense ESXi M4, 1 proc. jedro 880 58 pfSense ESXi M4, 2 proc. jedri 882 29 pfSense ESXi M4, 4 proc jedra 879 14 Cisco ASA 5525-X 939 32
Tabela 7.4: Propustnost med VLAN-i pri štirih sočasnih povezavah. Obremenjenost Konfiguracija požarne pregrade Propustnost v Mbps procesorja v % pfSense ESXi M1, 1 proc. jedro 812 100 pfSense ESXi M1, 2 proc. jedri 886 95 pfSense ESXi M1, 4 proc. jedra 884 52 pfSense ESXi M4, 1 proc. jedro 876 63 pfSense ESXi M4, 2 proc. jedri 882 34 pfSense ESXi M4, 4 proc. jedra 881 18 Cisco ASA 5525-X 940 37
Ponovno smo najboljšo propustnost dosegli s strojno požarno pregrado. Ker se je tokrat promet prenašal le po enem navideznem stikalu, so tudi na programskih požarnih pregradah začetne hitrosti večje in obremenjenost procesorjev nekoliko manjša. Se je pa zmanjšala maksimalna propustnost, ki se pri obeh primerih virtualizacije giblje okoli 880 Mbps. Pri večjem številu sočasnih povezav se je povečala tudi obremenjenost procesorja.
64
Uporaba programske požarne pregrade v podatkovnem centru
7.3 Propustnost VPN-jev
Propustnost VPN-jev smo ugotavljali v načinu daljinskega dostopa z VPN-jem OpenVPN. Topologija omrežja je bila podobna kot pri ugotavljanju propustnosti WAN–LAN (slika 7.3). Računalniki na strani WAN so s pomočjo odjemalcev VPN vzpostavili povezavo VPN do požarne pregrade. Pri vzpostavljanju povezav OpenVPN smo uporabili odjemalec OpenVPN, ki smo ga prenesli skupaj s konfiguracijo preko požarne pregrade pfSense. Za povezavo VPN do strojne požarne pregrade ASA pa je skrbel odjemalec Cisco AnyConnect Secure Mobility s protokolom TLS VPN. Testirali smo naslednje načine: OpenVPN AES-256-CBC/SHA1 preko protokola UDP – vrata UDP 443, OpenVPN AES-256-CBC/SHA1 preko protokola TCP – vrata TCP 443, AnyConnect AES256/SHA1 v načinu DTLS (Datagram Transport Layer Security, varnost datagramskega transportnega sloja) – kot OpenVPN preko protokola UDP, vrata 443, AnyConnect AES256/SHA1 v načinu TLS – protokol TCP, vrata 443.
256-bitno šifriranje AES smo izbrali, ker je najmočnejše še strojno pospešeno v požarni pregradi ASA s pomočjo kriptografskega modula in v procesorju novejšega strežnika ESXi M4, ki vsebuje nabor ukazov AES-NI (Advanced Encryption Standard New Instructions) ([22], [23]). Cisco ASA podpira samo SHA1, pfSense pa tudi novejše zgoščevalne algoritme. Zaradi boljše primerljivosti rezultatov smo izbrali enakega pri obeh vrstah požarnih pregrad. Pri počasnejšem strežniku ESXi, katerega procesor ne podpira nabora ukazov AES-NI, smo teste izvajali le pri štirih procesorskih jedrih, saj je pri prejšnjih testih propustnosti WAN–LAN in med VLAN-i obremenjenost pri manjšem številu procesorskih jeder že dosegla 100 %.
Teste smo izvedli pri eni in štirih sočasnih povezavah. Na strani LAN je iperf deloval v strežniškem načinu, dobljenem z ukazom iperf3 –s –p 520x kjer je x med 1 in 4.
65
Uporaba programske požarne pregrade v podatkovnem centru
Na računalnikih, ki so vzpostavili povezavo VPN do požarne pregrade, smo se s programom iperf povezali neposredno na lokalne naslove IP kot pri ugotavljanju propustnosti med VLAN-i: iperf3 –c »naslov IP posameznega računalnika v LAN-u« –p 520x –t 300 kjer je x med 1 in 4.
Najprej smo za okvirno predstavo na postavitvi ESXi izvedli test brez šifriranja in naleteli na zelo slabe rezultate pri protokolu TCP. Propustnost ni presegla 120 Mbps pri eni sočasni povezavi. Tudi pri protokolu UDP se je ustavila že pri 300 Mbps. Po iskanju podobnih primerov na internetu smo našli rešitev na blogu uporabnika [37], ki je težavo odpravil s povečanjem medpomnilnika za oddajo in sprejem. Privzeto je nastavljen na 64 KB in je za doseganje višjih hitrosti prenizek. Na pfSensu smo večji medpomnilnik nastavili v meniju VPN, OpenVPN. Na obeh strežnikih, UDP in TCP, smo v naprednih nastavitvah vnesli dodatne ukaze: sndbuf 0;rcvbuf 0;push "sndbuf 524288";push "rcvbuf 524288"
S tem smo nastavili 512 KB velik medpomnilnik in hitrosti so se drastično povečale. Ena sočasna povezava VPN TCP brez šifriranja je dosegla 700 Mbps, kar je le 25 % manj od maksimalne propustnosti. Pri štirih sočasnih povezavah pa smo praktično dosegli polno propustnost. Rezultati za propustnost VPN-jev pri uporabi protokola UDP so prikazani v tabeli 7.5, protokola TCP pa v tabeli 7.6.
Iz rezultatov je razvidno, da lahko s programsko požarno pregrado, ki je nameščena na hipervizorju, katerega procesor podpira nabor ukazov AES-NI, dobimo precej boljše rezultate kot s strojno požarno pregrado. Dodamo lahko še, da na testnih računalnikih poraba procesorja nikoli ni dosegla več kot 60 %. Centralni procesor na strojni požarni pregradi je deloval vedno v območju 50-odstotne obremenitve, ker je čakal na rezultate kriptografskega modula. Pri programskih požarnih pregradah smo dobili veliko boljše rezultate pri protokolu TCP, posebej pri večjem številu sočasnih povezav. Za lažji pregled podajamo na sliki 7.5 še graf propustnosti VPN-jev. Strojna požarna pregrada ASA 5525- X je pri izbranih parametrih šifriranja dosegla skoraj za tretjino nižjo propustnost od
66
Uporaba programske požarne pregrade v podatkovnem centru
oglaševane. Oglaševana je bila podana za 128-bitno šifriranje AES, vendar smo pri kratkem testu s temi parametri dosegli rezultat 248 Mbps, kar je nižje od oglaševanega.
Tabela 7.5: Propustnost VPN-jev UDP AES-256-SHA1. Konfiguracija požarne pregrade in Propustnost v Obremenjenost št. sočasnih povezav Mbps procesorja v % pfSense ESXi M1, 4 proc. jedra, 1 povezava 160 54 pfSense ESXi M1, 4 proc. jedra, 4 povezave 133 59 pfSense ESXi M4, 1 proc. jedro, 1 povezava 247 100 pfSense ESXi M4, 1 proc. jedro, 4 povezave 250 100 pfSense ESXi M4, 2 proc. jedri, 1 povezava 383 92 pfSense ESXi M4, 2 proc. jedri, 4 povezave 353 93 pfSense ESXi M4, 4 proc. jedra, 1 povezava 450 60 pfSense ESXi M4, 4 proc. jedra, 4 povezave 423 62 Cisco ASA 5525-X, 1 povezava 218 41 Cisco ASA 5525-X, 4 povezave 215 45
Tabela 7.6: Propustnost VPN-jev TCP AES-256-SHA1. Konfiguracija požarne pregrade in Propustnost v Obremenjenost št. sočasnih povezav Mbps procesorja v % pfSense ESXi M1, 4 proc. jedra, 1 povezava 182 71 pfSense ESXi M1, 4 proc. jedra, 4 povezave 175 72 pfSense ESXi M4, 1 proc. jedro, 1 povezava 298 100 pfSense ESXi M4, 1 proc. jedro, 4 povezave 302 100 pfSense ESXi M4, 2 proc. jedri, 1 povezava 414 100 pfSense ESXi M4, 2 proc. jedri, 4 povezave 456 100 pfSense ESXi M4, 4 proc. jedra, 1 povezava 485 63 pfSense ESXi M4, 4 proc. jedra, 4 povezave 748 78 Cisco ASA 5525-X, 1 povezava 211 48 Cisco ASA 5525-X, 4 povezave 220 54
67
Uporaba programske požarne pregrade v podatkovnem centru
Slika 7.5: Graf propustnosti VPN-jev.
68
Uporaba programske požarne pregrade v podatkovnem centru
8 SKLEP
V diplomski nalogi smo se osredotočili predvsem na primerjavo zmogljivosti strojne in programske izvedbe požarne pregrade. Testi so pokazali, da je postavitev programske požarne pregrade v navideznem okolju smiselna ob izbiri pravilne strežniške opreme za virtualizacijo. Najpomembnejšo vlogo ima vrsta procesorjev in katere funkcije podpira. Če pogledamo s stroškovnega vidika, ima postavitev požarne pregrade v virtualno okolje veliko prednost pred strojno požarno pregrado. V času pisanja naloge je cena primerjane požarne pregrade ASA 5525-X enaka ceni celotnega strežnika IBM x3650 M4, na katerem je tekel hipervizor ESXi. Pri testiranju smo od dveh procesorjev izkoristili samo polovico jeder prvega in nam je ostalo še tri četrtine procesorskih jeder od celotnega sistema. Kljub temu smo pri propustnosti VPN-jev dosegli precej boljše rezultate od strojne požarne pregrade ASA 5525-X. Vsekakor je predvsem pri testih gole propustnosti zaznana manjša prednost strojne izvedbe zaradi balasta virtualizacije, vendar je po našem mnenju vsaj pri novejšem strežniku ta prednost v realnih pogojih obratovanja zanemarljiva.
Največja prednost izvedbe programske požarne pregrade v virtualnem okolju je po našem mnenju prilagodljivost njene zmogljivosti. Začnemo lahko z manjšimi strojnimi viri in jih po potrebi večamo. Lahko tudi brez dodatnih stroškov namestimo dodatne požarne pregrade za visoko razpoložljivost delovanja ali za ločevanje razvojnega in produkcijskega okolja. Navidezni računalnik, na katerem poganjamo programsko požarno pregrado, lahko kopiramo in na kopiji izvedemo posodobitve ali nove nastavitve, preden jih vpeljemo v produkcijsko okolje.
69
Uporaba programske požarne pregrade v podatkovnem centru
LITERATURA IN VIRI
[1] About IPFire. Dostopno na: http://www.ipfire.org/features [21. 12. 2015]
[2] AES vs SSL/TLS: Encryption for the internet of things. Dostopno na: http://www.electronicproducts.com/Computer_Peripherals/Communication_Peripherals/A ES_vs_SSL_TLS_Encryption_for_the_internet_of_things.aspx [10. 1. 2016]
[3] ASA and Firepower hardware fact sheet. Dostopno na: https://communities.cisco.com/community/technology/security/ngfw- firewalls/blog/2016/02/02/asa-hardware-facts-sheet [16. 5. 2016]
[4] Baines, T. By the numbers: The virtualisation options for private cloud hopefuls. UK: The Register, 2015. Dostopno na: http://www.theregister.co.uk/2015/10/05/hypervisor_bake_off_virtualisation_private_cloud/ [15. 2. 2016]
[5] Bui C. VLAN on VMware, pfSense and a Switch, 2014. Dostopno na: https://calvin.me/vlan-pfsense/ [13. 1. 2016]
[6] Cisco 350 Series Managed Switches Data Sheet. Dostopno na: http://www.cisco.com/c/en/us/products/collateral/switches/small-business- smart-switches/data_sheet_c78-610061.html [30. 12. 2015]
[7] Cisco ASA 5500-X Series Next Generation Firewalls Data Sheet. Dostopno na: http://www.cisco.com/c/en/us/products/collateral/security/asa-5500-x-series- next-generation-firewalls/data-sheet-c78-729807.html [16. 5. 2016]
[8] Cisco Catalyst 3560 Series Switches Data Sheet. Dostopno na: http://www.cisco.com/c/en/us/products/collateral/switches/catalyst-3560- series-switches/product_data_sheet09186a00801f3d7d.html [30. 12. 2015]
70
Uporaba programske požarne pregrade v podatkovnem centru
[9] Cisco Small Business 300 Series Managed Switches Administration Guide. Dostopno na: http://www.cisco.com/c/dam/en/us/td/docs/switches/lan/csbms/sf30x_sg30x/administration _guide/78-19308-01.pdf [9. 1. 2016]
[10] ClearOS 7 Comparison. Dostopno na: https://www.clearos.com/products/clearos-editions/clearos-7-comparison [21. 12. 2015]
[11] Common Well-Known Port Numbers and Applications. Dostopno na: http://www.tcpipguide.com/free/t_CommonTCPIPApplicationsandAssignedWellKnownand Regi-2.htm [29. 12. 2015]
[12] Comparison of firewalls. Dostopno na: https://en.wikipedia.org/wiki/Comparison_of_firewalls [10. 2. 2016]
[13] Difference between ISL & 802.1q. Dostopno na: https://ciscohite.wordpress.com/2013/05/14/difference-between-isl-802-1q/ [20. 1. 2016]
[14] Difference between VMware ESX and ESXi. Dostopno na: http://www.vmwarearena.com/difference-between-vmware-esx-and-esxi/ [25. 3. 2016]
[15] Endian Firewall Community. Dostopno na: http://www.endian.com/community/features/ [21. 12. 2015]
[16] Feilner, M., Graf, N. Beginning Open VPN 2. 0. 9: Build and Integrate Virtual Private Networks using OpenVPN. UK: Packt Publishing Ltd., 2009. Dostopno na: https://books.google.si/books?hl=sl&lr=&id=ba3bjByacbMC&oi=fnd&pg=PP12&dq=related :Rc_atjhjfK_atM:scholar.google.com/&ots=vd0JVA_Dg8&sig=50fGwD2Q9XvCl7dYVxvBj7 RXBf8&redir_esc=y#v=onepage&q&f=false [28. 1. 2016]
71
Uporaba programske požarne pregrade v podatkovnem centru
[17] Firewall Rules, pfSense Docs. Dostopno na: https://doc.pfsense.org/index.php/Category:Firewall_Rules [15. 1. 2016]
[18] Firewall/Router Linux. Dostopno na: http://www.zeroshell.org/ [22. 12. 2015]
[19] Frankel, S., Hoffman, P., Orebaugh, A., Park, R. Guide to SSL VPNs. USA: National Institute of Standards and Technology, 2008. Dostopno na: http://csrc.nist.gov/publications/nistpubs/800-113/SP800-113.pdf [28. 1. 2016]
[20] How to decide which OS to use for Type II hypervisors. Dostopno na: http://www.techrepublic.com/blog/the-enterprise-cloud/how-to-decide-which- os-to-use-for-type-ii-hypervisors/ [20. 3. 2016]
[21] Installing pfSense. Dostopno na: https://doc.pfsense.org/index.php/Installing_pfSense [11. 1. 2016]
[22] Intel Processor Feature Filter. Dostopno na: http://ark.intel.com/search/advanced?AESTech=true [20. 5. 2016]
[23] Intel® Advanced Encryption Standard Instructions (AES-NI). Dostopno na: https://software.intel.com/en-us/articles/intel-advanced-encryption-standard- instructions-aes-ni [20. 5. 2016]
[24] IPCop Documentation. Dostopno na: http://www.ipcop.org/docs.php [21. 12. 2015]
[25] iPerf 3 user documentation. Dostopno na: https://iperf.fr/iperf-doc.php#3doc [6. 2. 2016]
[26] NAT, pfSense Docs. Dostopno na: https://doc.pfsense.org/index.php/Category:NAT [15. 1. 2016]
72
Uporaba programske požarne pregrade v podatkovnem centru
[27] Nobel, R. Actual throughput on Gigabit Ethernet. 2011. Dostopno na: http://rickardnobel.se/actual-throughput-on-gigabit-ethernet/ [15. 5. 2016]
[28] OpenVPN Remote Access Server, pfSense Docs. Dostopno na: https://doc.pfsense.org/index.php/OpenVPN_Remote_Access_Server [4. 2. 2016]
[29] pfSense Features. Dostopno na: https://www.pfsense.org/about-pfsense/features.html [22. 12. 2015]
[30] RFC 1918. Address Allocation for Private Internets. Dostopno na: https://tools.ietf.org/html/rfc1918#page-4 [5. 1. 2016]
[31] Routing Between VLANs Overview. Dostopno na: http://www.cisco.com/c/en/us/td/docs/ios/12_2/switch/configuration/guide/fswtch_c/xcfvl.ht ml [20. 1. 2016]
[32] Scarfone, K., Hoffman, P. Guidelines on Firewalls and Firewall Policy. USA: National Institute of Standards and Technology, 2009. Dostopno na: http://csrc.nist.gov/publications/nistpubs/800-41-Rev1/sp800-41-rev1.pdf [20. 12. 2015]
[33] Schneier, B., Wagner, D., Mudge. Cryptanalysis of Microsoft's PPTP Authentication Extensions (MS-CHAPv2), 1990. Dostopno na: http://www.schneier.com/paper-pptpv2.pdf [28. 1. 2016]
[34] Semperboni, F. NAT and PAT: a complete explanation. Dostopno na: http://www.ciscozine.com/nat-and-pat-a-complete-explanation/ [5. 1. 2016] [35] Smoothwall Express Feature List. Dostopno na: http://www.smoothwall.org/about/express-feature-list/ [22. 12. 2015]
[36] Sophos Support. Dostopno na: https://www.sophos.com/en-us/support.aspx [22. 12. 2015]
73
Uporaba programske požarne pregrade v podatkovnem centru
[37] Speed up OpenVPN and get faster speed over its channel. Dostopno na: http://winaero.com/blog/speed-up-openvpn-and-get-faster-speed-over-its- channel/ [10. 1. 2016]
[38] The Advantages of Using Virtualization Technology in the Enterprise Dostopno na: https://software.intel.com/en-us/articles/the-advantages-of-using- virtualization-technology-in-the-enterprise [10. 3. 2016]
[39] Untangle NG Firewall Packages. Dostopno na: https://www.untangle.com/untangle-ng-firewall/software-packages/ [22. 12. 2015]
[40] Virtualization 101: What is a Hypervisor? Dostopno na: https://www.pluralsight.com/blog/it-ops/what-is-hypervisor [20. 3. 2016]
[41] Virtualization Overview – Vmware. USA: VMWARE WHITE PAPER, 2006. Dostopno na: https://www.vmware.com/pdf/virtualization.pdf [2. 2. 2016]
[42] VMware vSphere 5.5 Documentation Center. Dostopno na: http://pubs.vmware.com/vsphere- 55/index.jsp#com.vmware.vsphere.doc/GUID-1B959D6B-41CA-4E23-A7DB- E9165D5A0E80.html [10. 1. 2016]
[43] Welcome to the VyOS project, a Linux-based network operating system. Dostopno na: http://vyos.net/wiki/Main_Page [22. 12. 2015]
74