Firewall d'infrastructure centralisé. et load-balancing. Adrien Urban Responsable R&D

Documents pareils
Sécurité des réseaux Firewalls

TP4 : Firewall IPTABLES

Administration réseau Firewall

Alexis Lechervy Université de Caen. M1 Informatique. Réseaux. Filtrage. Bureau S3-203

pare - feu généralités et iptables

Linux Firewalling - IPTABLES

Sécurité GNU/Linux. Iptables : passerelle

Formation Iptables : Correction TP

Sécurité et Firewall

VoIP et "NAT" VoIP et "NAT" 1/ La Traduction d'adresse réseau. 1/ La traduction d'adresse réseau. 1/ La traduction d'adresse réseau

Réseaux. Moyens de sécurisation. Plan. Evolutions topologiques des réseaux locaux

Licence 3 Systèmes et Réseaux II. Chapitre V : Filtrage

Intérêt du NAT (Network Address Translation) Administration Réseau Niveau routage. Exemple d Intranet. Principe NAT

Internet - Outils. Nicolas Delestre. À partir des cours Outils réseaux de Paul Tavernier et Nicolas Prunier

Le filtrage de niveau IP

FILTRAGE de PAQUETS NetFilter

Proxy et reverse proxy. Serveurs mandataires et relais inverses

Programme formation pfsense Mars 2011 Cript Bretagne

Netfilter & Iptables. Théorie Firewall. Autoriser le trafic entrant d'une connexion déjà établie. Permettre le trafic entrant sur un port spécifique

Procédure d utilisation et de paramétrage (filtrage) avec IPFIRE

Exemples de commandes avec iptables.

DIFF AVANCÉE. Samy.

TP Linux : Firewall. Conditions de réalisation : travail en binôme. Fonctionnement du parefeu Netfilter. I Qu est ce qu'un firewall?

TAGREROUT Seyf Allah TMRIM

Algorithmique et langages du Web

avec Netfilter et GNU/Linux

2. MAQUETTAGE DES SOLUTIONS CONSTRUCTIVES. 2.2 Architecture fonctionnelle d un système communicant.

Packet Tracer : configuration des listes de contrôle d'accès étendues, scénario 1

Spécialiste Systèmes et Réseaux

DESCRIPTION DU CONCOURS QUÉBÉCOIS INFORMATIQUE (GESTION DE RÉSEAUX)

Iptables. Table of Contents

Infrastructure RDS 2012

Linux sécurité des réseaux

FACILITER LES COMMUNICATIONS. Le gestionnaire de réseau VPN global de Saima Sistemas

Les formations. Administrateur Systèmes et Réseaux. ENI Ecole Informatique

Le Tunneling DNS. P.Bienaimé X.Delot P.Mazon K.Tagourti A.Yahi A.Zerrouki. Université de Rouen - M2SSI. 24 février 2011

Administration Réseaux

COTISATIONS VSNET 2015

Firewall. Souvent les routeurs incluent une fonction firewall qui permet une première sécurité pour le réseau.

TR2 : Technologies de l'internet. Chapitre VI. NAT statique et dynamique Overloading (PAT) Overlapping, port Forwarding Serveur Proxy, DMZ

EPREUVE PRATIQUE DES TECHNIQUES INFORMATIQUES ACTIVITE N 1. Thème de l activité : Configuration d un firewall

Plan. École Supérieure d Économie Électronique. Plan. Chap 9: Composants et systèmes de sécurité. Rhouma Rhouma. 21 Juillet 2014

Armelin ASIMANE. Services RDS. de Windows Server 2012 R2. Remote Desktop Services : Installation et administration

Réseau : Interconnexion de réseaux, routage et application de règles de filtrage.

TP 3 Réseaux : Subnetting IP et Firewall

SQUID Configuration et administration d un proxy

But de cette présentation. Proxy filtrant avec Squid et SquidGuard. Serveur proxy. Serveur proxy. Hainaut P

DHCP et NAT. Cyril Rabat Master 2 ASR - Info Architecture des réseaux d entreprise

laposte.net) Ministère de l'éducation nationale Atelier sécurité Rabat RALL 2007

Migration vers l'open-source de l infrastructure de pare-feu du campus CNRS d Orléans

Retour d expérience sur Prelude

Sécurité d IPv6. Sécurité d IPv6. Stéphane Bortzmeyer AFNIC bortzmeyer@nic.fr. Stéphane Bortzmeyer AFNIC bortzmeyer@nic.fr

DSCG : UE5 - Management des Systèmes d'information CARTE HEURISTIQUE...1 ARCHITECTURE PHYSIQUE...2

SECURIDAY 2013 Cyber War

Master 1 ère année. UE Réseaux Avancés I. Corrections décembre Durée : 2h Documents autorisés

KASPERSKY DDOS PROTECTION. Découvrez comment Kaspersky Lab défend les entreprises contre les attaques DDoS

Migration NT4 vers Windows 2003 Server

Phase 1 : Introduction 1 jour : 31/10/13

Guide des solutions 2X

Université Pierre Mendès France U.F.R. Sciences de l Homme et de la Société Master IC²A. TP réseau firewall

Windows serveur 2008 installer hyperv

Cours de sécurité. Pare-feux ( Firewalls ) Gérard Florin -CNAM - - Laboratoire CEDRIC -

Serveur FTP. 20 décembre. Windows Server 2008R2

Olympiades canadiennes des métiers et des technologies

Windows sur Kimsufi avec ESXi

acpro SEN TR firewall IPTABLES

Architecture réseau et filtrage des flux

Installer le patch P-2746 et configurer le Firewall avancé

Formations. «Produits & Applications»

LANDPARK NETWORK IP LANDPARK NETWORK IP VOUS PERMET D'INVENTORIER FACILEMENT VOS POSTES EN RÉSEAU

Architectures sécurisées

Firewall IDS Architecture. Assurer le contrôle des connexions au. Sécurité 1

THEGREENBOW FIREWALL DISTRIBUE TGB::BOB! Pro. Spécifications techniques

ATELIER NETFILTER : LE FIREWALL LINUX EN ACTION

Capture, Filtrage et Analyse de trames ETHERNET avec le logiciel Wireshark. Etape 1 : Lancement des machines virtuelles VMWARE et de Wireshark

Découverte de réseaux IPv6

Le socle de sécurité nouvelle génération Consolider, virtualiser et simplifier les architectures sécurisées

Oléane VPN : Les nouvelles fonctions de gestion de réseaux. Orange Business Services

Produits et grille tarifaire. (septembre 2011)

GESLAB_Pre-Requis_v2.0.doc 01/03/2013. Pré-Requis

Rappels réseaux TCP/IP

Chapitre I. La couche réseau. 1. Couche réseau 1. Historique de l Internet

CONFIGURATION FIREWALL

Construction et sécurisation d'un système Linux embarqué. Frédéric AIME

Ingénieurs 2000 Informatique et Réseaux 3ème année. Les Firewalls. Masquelier Mottier Pronzato 1/23 Nouvelles Technologies Réseaux

Fonctionnement de Iptables. Exercices sécurité. Exercice 1

Déploiement IPv6 en entreprise. 13 pièges à éviter. IPv6 Experience Exchange Event. Fabien Broillet Consultant IT

TER Réseau : Routeur Linux 2 Responsable : Anthony Busson

Asterisk Use cases. Interconnexion avec un central propriétaire Multi-site. Linuxdays Genève, 24 mars

Comment aider les entreprises à acquérir de nouveaux clients et à fidéliser leur clientèle existante dans un monde numérique en pleine évolution

Glossaire. Acces Denied

CheckPoint R76 Security Engineering niveau 2 (Cours officiel)

Présentation du ResEl

Présentation du modèle OSI(Open Systems Interconnection)

TP SECU NAT ARS IRT ( CORRECTION )

Les firewalls libres : netfilter, IP Filter et Packet Filter

Fiche descriptive de module

Présentation du 30/10/2012. Giving security a new meaning

RESEAUX TCP/IP: NOTIONS AVANCEES. Preparé par Alberto EscuderoPascual

Transcription:

Firewall d'infrastructure centralisé et load-balancing Adrien Urban Responsable R&D

Plan Historique (le contexte) Benches Routing Firewall Évolutions 2

Historique 3

Historique chante-sloubi (2009) Hebergement web Écosystème Proxy (squid) partagé Sous-réseau privé 4

Historique chante-sloubi (2009) Hebergement web Écosystème Proxy (squid) partagé Sous-réseau privé Ajout en sparadrap 5

Historique on nettoie (2010-2011) On rationalise redondance qui peut monter en charge Technos keepalived/ipvs nginx 6

Historique Direct Routing 7

Historique Direct Routing 8

Historique Direct Routing 9

Historique Direct Routing 10

Historique Direct Routing 11

Historique Direct Routing 12

Historique Direct Routing Avantages Configuration rigoureusement identique sur l'ensemble des serveurs d'un pool Possibilité de faire du service détecté par IP, sans multiplier le nombre d'ip privées Ajout simple d'un nouveau serveur 13

Historique oui, mais ipvs sur la gateway, besoin de patch spécifique iptables et ipvs ne s'aiment pas conntrack trop élevé bande passante qui augmente 14

Historique grandir (2012) Besoin de plus de bande passante Besoin de pouvoir faire du firewalling Besoin d'être industrialisable On garde les technos On sépare les serveurs On passe en 10Gbps 15

Historique grandir (2012) 16

Bench 17

Bench Des serveurs 10Gbps... ok, mais que sont-ils capables de faire? Combien de pkt/s? Combien de connexions? Resultats disponibles en ligne: https://www.hagtheil.net/wiki/system/benches10gbps 18

Bench - baseline 1 client 1 serveur jusqu'à 280k hits/s Point importants a configurer : smp affinity (et sur les processus, et sur les interruptions) Trouver les goulots d'étranglement (ici, applicatif) 19

Bench - baseline 3 client 2 serveur 800k hits/s 5.6M pkt/s Cette configuration nous permet d'avoir une base avant de placer une machine sur le chemin 20

Bench - baseline Au travers d'une paserelle une seule carte réseau est utilisée pas d'impact de performances 21

Bench firewall - base iptables non chargé filter, raw et mangle (sans règle) 5.7M pkt/s 4.9M pkt/s nat (conntrack) (sans règle) nat + mangle NOTRACK 1.2M puis 950k pkt/s 4.4M pkt/s 22

Bench firewall - matches Règles de match sur l'adresse source 6000000 5000000 4000000 Augmenter le nombre de match diminue rapidement les performances 3000000 2000000 1000000 0 0 règle 16 règles 64 règles 256 règles 1024 règles 23

Bench autres règles 256 règles, avec différents types de match Rappel: le flux testé est du tcp port 80 256 règles... pkt/s -s a.b.c.d 3.3M -d a.b.c.d 3.2M -p udp --dport 53 2.4M -p tcp --dport 443 1.1M -p tcp --dport 80 990k -m u32 -u32 "0xc&0xffffffff=0xa0000xx" 480k 24

Bench ipset Beaucoup de règles tue les performances ipset permet de matcher de nombreuses IP (jusqu'à 64k) en une règle iptables Nombre de règles paquets / s 1 règle ipset (vide) 3.6M 2 règles ipset 2.05M 3 règles ipset 1.45M 25

Bench arbre de recherche Utiliser des ipset tue les performances Le nombre de match effectue a un impact Et si l'on parcourait un arbre de recherche? 26

Bench arbre de recherche Bit par match (match/chain) évaluation / paquet Match et jump / paquet paquet/s 2 (4) 39 11 3.9M 3 (8) 51 8 4.2M 4 (16) 73 6 4.0M 5 (32) 113 5 4.0M Match d'un /13 complet (512k IP distinctes) Moins couteux que 256 règles (3.3M pkt/s) Utilise 20GB de RAM Bien moins couteux qu'ipset 27

Bench ipvs Ne voit les paquets que dans un sens de nombreuses connexions très rapides, quasiment le pire cas Optimisations: smp_affinity pour les interruptions conn_tab_bits=20 (au chargement du module) Résultats Entre 1.4 et 1.5M pkt/s Plus de 350k conn/s Plus de 40M connexions dans ipvs 28

Bench - conclusion ipvs sera limitant Il faut limiter le conntrack Il faut également limiter le nombre de règles traversées, et utiliser des arbres de recherches Les tests auront permis de definir l'affinité smp pour les interruptions sur ce matériel 29

Routing 30

Routing le besoin 31

Routing ospf 32

Routing bgp 33

Routing services 34

Routing services 35

Routing services 36

Routing services 37

Routing bgp + exabgp 38

Routing bgp + exabgp 39

Routing bgp + exabgp 40

Firewall 41

Firewall ideal Avantage Chaque zone avec un firewall en entrée et en sortie Inconvénient Besoin de pleins de firewall Gestion décentralisée 42

Firewall tout en un Avantage Un seul firewall Configuration centralisée Inconvénient Difficile de filtrer correctement les entrées et sorties de chaque zones, sans risque de by-pass involontaire 43

Firewall besoin Besoin Pouvoir filtrer la sortie de chaque réseau Pouvoir filtrer l'entrée de chaque réseau Le tout en un 44

Firewall architecture 45

Firewall architecture FORWARD Vérification en sortie de la zone 46

Firewall architecture 47

Firewall architecture 48

Firewall architecture TOANY Vérification en entrée de zone 49

Firewall architecture 50

Firewall architecture 51

Firewall génération Besoins Gestion des chains Pouvoir générer un tas de règles dynamiquement (template, scripting) Pouvoir générer des arbres (via scripting externe) Modulaire (un fichier par client) 52

Firewall ferm FERM Gère correctement les chaines Possibilité de définir des fonctions Système d'include avec wildcard Possibilité d'appeler des scripts externe pour générer des morceaux de configuration 53

Firewall petit manque FERM Gère des variables type tableau, mais ne permet pas de boucler dessus 54

Firewall cycle de génération Construction de l'ensemble des règles sans arbres (donc, il manque des jumps...) Construction des règles en générant les arbres en fonctions des chaines qui ont été créés lors du premier passage Renommage directement dans le résultat pour les noms de chaines trop longs 55

Prevision d'évolution Actuellement en place a un endroit dans l'architecture Prévision de migration du reste de l'architecture vers ce système dans les prochains mois D'avantage d'automatisation et de configuration identique sur toute l'infrastructure Valider l'évolution horizontale de la solution 56

Questions? 57

2026 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back