Guide

Guida al dimensionamento dei firewall hardware

Prima di cominciare

La seguente guida al dimensionamento dell’hardware è stata scritta inizialmente e principalmente per il sistemi operativi pfSense® CE e OPNsense®.
Chi fosse interessato ad approfondire le differenze, troverà una comparativa tecnica pfSense® CE VS OPNsense® a questo link.
Tuttavia è possibile estendere questi concetti anche per Zeroshell, ipFire.

Strumenti utili: dimensionamento veloce degli apparati

Di seguito ci dilungheremo su alcuni concetti tecnici per spiegare e motivare le nostre conclusioni riportate nella tabella Dimensionamento istantaneo.
Qualora il navigatore non avesse voglia di leggere tutta la parte tecnica può saltare immediatamente a: Dimensionamento istantaneo.

Qui potete trovare il link al NUOVO CONFIGURATORE HARDWARE dei nostri apparati: con pochi click vi permetterà di capire quale apparato acquistare.
Configuratore hardware apparati
N.B. Alla voce “Select product category“: selezionare “Firewall“.

Premessa

Per dimensionare un firewall hardware basato su pfSense® CE / OPNsense® dalla 2.4.X / 18.X in poi è necessario tenere presente 3 fattori principali:

  1. Throughput richiesto
  2. Features o pacchetti aggiuntivi di pfSense®/OPNsense® utilizzati
  3. Numero e tipologia di NIC (Network Interface Card) richieste

Questi 3 fattori influenzano principalmente su RAM, CPU, Memoria di massa e ovviamente quantità di NIC. Nella parte sottostante metteremo a disposizione la nostra esperienza nel dimensionamento dell’hardware.

Da tenere presente anche che pfSense® dalla versione 2.4 NON SUPPORTA più i sistemi su CF (in particolare non supporta più le immagini i386), cosa che OPNsense® continua a fare.

1. Considerazioni sul Throughput richiesto

Per definizione si intende per throughput di un canale di comunicazione la sua capacità di trasmissione effettivamente utilizzata.
Il throughput non è da confondersi con la capacità del link. Sia la capacità che il throughput si esprimono in bit/s, ma mentre la prima esprime la frequenza trasmissiva massima alla quale i dati possono viaggiare, il throughput è un indice dell’effettivo utilizzo della capacità del link. Il throughput è la quantità di dati trasmessi in una unità di tempo e dipende esclusivamente da quanta informazione è immessa sul canale della trasmissione.
Prima di fare delle considerazioni sul troughput occorre considerare il fatto che sia pfSense® che OPNsense® possono operare sia come firewall che come router oppure entrambi. Sarà necessario quindi considerare per la scelta dell’apparato, il throughput complessivo del sistema che vogliamo realizzare.
Per esempio, se dobbiamo realizzare un firewall, possiamo considerare come throughput la somma dei throughput delle WAN.
Se dobbiamo invece realizzare un Router che unisce tra loro delle reti dobbiamo sommare il throughput di tutte le interfacce, sia WAN che LAN.

Tipo di CPU

È importante determinare il throughput di una rete prima dell’installazione di un firewall/router pfSense®/OPNsense® in quanto esso determina il tipo di CPU da utilizzare ed in certi casi il tipo di NIC.
Se sono richiesti meno di 10 Mbps allora è possibile utilizzare i requisiti minimi hardware. Per throughput superiori consigliamo caldamente di seguire il dimensionamento suggerito dalla tabella che segue, basata su test effettivamente eseguiti sul campo. La tabella qui sotto è pensata per evitare di raggiungere il massimo livello di carico dell’hardware, così da non incorrere in problemi.
Se per esempio devo realizzare un Router o un Firewall con delle porte a 10 Gbit, non potrò utilizzare una CPU meno potente di uno XEON Quad Core. Infatti, quando le NIC raggiungono i 10 Gbit di traffico i Core dell’appliance vanno al 100% e la macchina va in crisi.

Per questi usi si consigliano A2-Server o A3-Server.

Occorre tenere presente che il team di sviluppo di pfSense, ha annunciato che dalla versione 2.5 NON SARA’ PIU’ POSSIBILE installare e tantomeno aggiornare le versioni di pfSense su hardware sprovvisto di  CPU dotate di istruzioni AES-IN. La ragione (sempre dichiarata da pfSense) è che per supportare l’aumento dei carichi della CPU derivanti dalla crittografia si è reso necessario l’uso del set di istruzioni AES-NI che vengono utilizzate per ottimizzare gli algoritmi di crittografia e decrittografia su determinati processori Intel e AMD.

La cosa non riguarda invece gli sviluppatori di OPNsense che dichiarano che l’esecuzione delle istruzioni AES-IN può essere fatta sia via hardware (con CPU aventi istruzioni AES-IN) che via software, come per altro avviene sulle versioni attuali di entrambe le distribuzioni senza particolari problemi.

Requisiti minimi di sistema per pfSense® fino alla versione 2.4.X:

CPU Non meno di 1GHz
RAM 1 GB
Installazione su Hard Disk 16 GB
Embedded CF non più supportato

Requisiti minimi di sistema per pfSense® CE versione 2.5.X:

CPU Non meno di 1 GHz, CPU dotata di AES-IN
RAM 1 GB
Installazione su Hard Disk 16 GB
Embedded CF non più supportata

Dimensionamento pfSense® CE/OPNsense® basato sul Throughput

Throughput:
Mbps
Requisiti hardware consigliati Prodotto consigliato Rumorosità
1-20 Mbps Non meno di 1000 MHz CPU Single Core FIREWALL ENTRY LEVEL
APU1 Entry Level
APU2 Entry Level
Nulla
10-100 Mbps Non meno di 2.4 GHz CPU Quad Core FIREWALL CORPORATE
Compact Small UTM 3
Appliance Small UTM 3
Nulla
50-650 Mbps Non meno di 2.4 GHz CPU Octa Core FIREWALL CORPORATE / FIREWALL DATACENTER
A1-ServerAPUTM
Quasi nulla (*)
450 – 1000 Mbps Non meno di 3,5 GHz Quad Core FIREWALL DATACENTER
APUTMA2-Server
Media (*)
Fino a 10 Gbps Non meno di 3,5 GHz Xeon Quad/Octa Core FIREWALL DATACENTER
A2-ServerA3-Server
Media (*)

Dimensionamento pfSense® CE/OPNsense® basato sul Throughput versione Cluster

Throughput:
Mbps
Requisiti hardware consigliati Prodotto consigliato Rumorosità
1-20 Mbps Non meno di 1000 MHz CPU Single Core FIREWALL ENTRY LEVEL
Nano Cluster APU2
Nulla
10-100 Mbps Non meno di 2.4 GHz CPU Quad Core FIREWALL CORPORATE
Compact Small UTM 3
Appliance Small UTM 3
Nulla
50-650 Mbps Non meno di 2.4 GHz CPU Octa Core FIREWALL CORPORATE / FIREWALL DATACENTER
Power Cluster
Bassa (*)
450 – 1000 Mbps Non meno di 3,5 GHz Quad/Octa Core A2-Server Cluster
A3-Server Cluster
Media (*)
Fino a 10 Gbps Non meno di 3,5 GHz Xeon Quad/Octa Core A2-Server Cluster
A3-Server Cluster
Media (*)

(*) I modelli Power Cluster e APUTM con CPU Intel I7 presentano un livello di rumorosità Medio solo se sottoposti a forti e continuativi carichi di lavoro.

2. Features o pacchetti aggiuntivi di pfSense®/OPNsense® utilizzati

Molte features di pfSense®/OPNsense® influenzano notevolmente il dimensionamento dell’hardware.

VPN: l’utilizzo pesante del servizio VPN fa crescere molto i requisiti della CPU. La cifratura e decifratura dei pacchetti accresce il carico sulla CPU. Il numero di connessioni è un fattore meno preoccupante del throughput.

  • CPU di 266 MHz supporta circa 4 Mbps di traffico IPsec
  • CPU di 500 MHz supporta circa 10-15 Mbps di traffico IPsec
  • CPU I7 o I3 di nuova generazione supportano quasi fino a 200 Mbps di traffico IPsec
  • CPU XEON di nuova generazione per carichi superiori a 400 Mbps

Squid – Squidguard – controllo del traffico in uscita mediante proxy: entrambi i pacchetti utilizzano molto sia la CPU che le scritture su disco. È pertanto fortemente sconsigliato l’utilizzo con la fascia Entry level, Entry level APU1 ed Entry Level APU2.
Per questo tipo di lavoro è fortemente consigliato l’utilizzo di Compact Small UTM 3, Appliance Small UTM 3, A2SUTM, A1-Server, A2-Server, A3-Server o APUTM con SSD o dischi Classici.
Tuttavia è altresì possibile l’utilizzo ottimizzato con il solo pacchetto squid sulla fascia Entry level APU1 e Entry Level APU2 a patto che si utilizzi la scrittura sul supporto disco con parsimonia ed in ogni caso a forte discapito delle prestazioni.

pfBlockerNg: pfBlockerNG è un pacchetto per pfSense® che permette di estendere le funzionalità del firewall oltre il tradizionale firewall L2 / L3 / L4.
pfBlockerNG permette di configurare il firewall per consentire/negare traffico basandosi su elementi come la geo localizzazione di un indirizzo IP, il nome di dominio (per esempio per bloccare Facebook e simili) o le valutazioni di Alexa di determinati siti web.

Questo pacchetto richiede un aumento di CPU e RAM dal 15% al 25%.
Per approfondire il funzionamento di questo pacchetto, potete consultare la guida che abbiamo realizzato e pubblicato nella nostra area guide.

Captive Portal: Ambienti con centinaia di connessioni richiedono molta CPU. Con riferimento alla tabella del throughput sarà necessario aumentare gli utenti di un 15-20% per ottenere la piattaforma raccomandata.

Grandi tabelle di Stato: Ogni voce della tabella di stato richiede 1 KB. La tabella di stato, quando è piena ha 10.000 voci, quindi circa 10 MB di RAM. Per tabelle di stato più grandi, con centinaia di migliaia di connessioni sarà necessario dimensionare adeguatamente la RAM.

Packages: molti pacchetti aumentano significativamente la quantità di RAM utilizzata. Per esempio snort e ntop non dovrebbero essere installati su piattaforme hardware con meno di 512 MB di ram ed almeno 32 GB di disco.

Versione di pfSense®/OPNsense® da installare

È da sottolineare la differenza tra i due tipi di installazioni che è possibile effettuare con pfSense®/OPNsense® sui diversi dispositivi.

Ricordiamo che per quanto riguarda pfSense®, l’ultima versione installabile su CF (cioè la versione embedded) è la 2.3.5, mentre per OPNsense® non è prevista la cessazione del supporto.

  • La soluzione Embedded (firewall Entry Level) NON permette la scrittura dei file di log sulla memoria (C.F. o DOM) ed in ogni caso è fortemente sconsigliato farlo. Su questa versione non è possibile installare alcuni dei pacchetti aggiuntivi di pfSense®/OPNsense®.
  • La soluzione che si installa su hard disk (normalmente sulle soluzioni Appliance UTM o superiori) ha la possibilità di salvare i log al suo interno. Su questa versione è possibile installare tutti i pacchetti aggiuntivi forniti per pfSense®/OPNsense®.
  • Ricordiamo che pfSense 2.5.X sarà installabile solo su hardware avente CPU con il supporto AES-IN

3. Approfondimento sui chipset delle schede di rete

La scelta di una scheda di rete è fondamentale per chi sta progettando un sistema per medie/grandi dimensioni.
Come potete notare dalle descrizioni dei prodotti, specifichiamo sempre molto bene se gli apparati integrano al proprio interno dei chipset Intel oppure Realtek.

Da circa metà 2016 in avanti praticamente tutti i nostri devices sono dotati di chipset Intel.
Il chipset Realtek è meno performante del chipset Intel ed è adatto principalmente per carichi di lavoro meno intensi. Tuttavia, per un’azienda che non richiede throughput elevati (come l’85% delle aziende Italiane) rimane sempre la scelta ideale.

Il chipset Intel invece offre maggiori performances in caso di traffico intenso: offre infatti parecchie features avanzate come la gestione delle code e dalla versione di pfSense® 2.2 in poi anche un supporto migliorato al multi-core. Questo si traduce in un throughput più elevato e minore carico sulle CPU.
Per essere precisi, il pieno supporto al multicore è stato introdotto su FreeBSD, cioè dal S.O. padre di pfSense® e OPNsense®, quindi lo stesso discorso fatto per pfSense® vale e varrà in futuro anche per OPNsense®.
Se state ancora utilizzando pfSense® 2.1.x, a questo proposito abbiamo pubblicato un approfondimento sull’ottimizzazione delle NIC Intel attraverso il tuning del driver e delle impostazioni. Specifichiamo comunque che fino ad oggi le nostre appliances non hanno bisogno di tale ottimizzazione. Noi la inseriamo comunque per completezza.

Sulle attuali versioni di pfSense®/OPNsense® non sembra essere necessario apportare modifiche.
Qualora pensiate che il vostro appliances abbia problemi di performances derivanti dalle NIC potete utilizzare questa guida per la diagnosi del problema.

4. Dimensionamento secondo la rumorosità degli apparati

Per fornire il prodotto adeguato è necessario pensare a dove verrà collocato il firewall.
Se l’apparato verrà collocato nelle vicinanze di persone che lavorano, sarà necessario scegliere una macchina con un basso livello di rumore o sarà necessario l’acquisto di apposito kit silent!

Ultimamente, per effetto della nuova tecnologia a 25 nanometri di Intel, le potenze assorbite si sono ridotte moltissimo e di conseguenza anche il calore dissipato è diminuito.

Dal punto di vista progettuale, abbiamo preferito mantenere nei modelli di fascia alta (tipicamente impiegati in datacenter o CED) la ventola. Questo perché, qualora la board o la CPU rilevassero alte temperature, l’ausilio della ventola riporterebbe in pochi secondi la temperatura a livelli accettabili.

Di seguito è riportata una tabella nella quale vengono forniti dati indicativi sulla rumorosità degli apparati:

Fascia Apparato Livello di rumore
Entry Level / APU1 Entry Level / APU2 Entry Level / Compact Small UTM 3 / Appliance Small UTM 3 / NanoCluster / A2SUTM / Small Cluster Livello 0 (completamente fan less)
A1-Server Livello 1 (rumore quasi impercettibile)
A2-Server / A3-Server
Power Cluster / APUTM
Livello 4 (rumore udibile da 4 / 5 metri)

Note sul rumore:
un dispositivo che dissipa bene il calore, sicuramente durerà più a lungo e sarà più stabile e affidabile!
Ecco perché i nostri dispositivi di fascia alta sono progettati in modo tale che il flusso d’aria “investa” i componenti interni raffreddandoli.

5. Funzione RAID

Una delle funzioni maggiormente apprezzate da pfSense®/OPNsense® in termini di affidabilità hardware è la funzionalità Raid direttamente implementata dal sistema operativo FreeBSD.
Questa funzione garantisce un livello di affidabilità superiore dell’applicane in quanto in caso di rottura di un disco l’applicazione continuerà a funzionare come se nulla fosse.
Questa funzione è supportata da: Compact Small UTM 3, Appliance Small UTM 3, A2SUTM, A1-Server, APUTM, A2-Server, A3-Server ed in tutte le versioni Cluster dei nostri apparati tranne che il NanoCluster.
Per chi volesse approfondire l’argomento, abbiamo pubblicato una guida che spiega come funziona e come intervenire sugli apparati in caso di guasto. La trovate sotto il menù guide.

6. Quando dovrei usare un sistema Cluster?

Un sistema Cluster è una soluzione composta da un sistema avente due apparati hardware completamente indipendenti. Esistono 3 versioni di soluzioni Cluster, una per piccoli uffici e l’altra per traffico intenso e/o per strutture medio/grandi.

  • NANOCluster: soluzione 1U compatta, studiata per piccoli uffici
  • Small Cluster: soluzione 2U per le PMI e/o piccoli Datacenter che non vogliono rinunciare all’alta affidabilità
  • Power Cluster: soluzione 2U per aziende e organizzazioni che necessitano dell’alta affidabilità
  • A2-Server Cluster e A3-Server Cluster: soluzione 2U di livello Datacenter che fornisce l’alta affidabilità

Lo Small Cluster e il Power Cluster sono dispositivi 2U, composti da 2 cassetti indipendenti, mentre il NanoCluster è composto da due apparati Entry Level.
Mediante pfSense® oppure OPNsense® si può ottenere un vero e proprio Cluster attivo passivo configurato per ottenere l’alta affidabilità tra i 2 apparati che diventano a tutti gli effetti dei nodi del cluster.
Gli altri S.O. non hanno (speriamo solo per ora) una funzione come il CARP di pfSense®/OPNsense® ma possono essere comunque configurati in modo tale che l’utente possa spegnere manualmente uno dei due sistemi ed accendere l’altro. Possiamo dire quindi che si tratta di un sistema Cluster che nel caso di pfSense® e OPNsense® è automatico ed in caso di altri S.O. è manuale. Tale sistema dovrebbe essere utilizzato in ambienti dove l’alta affidabilità è obbligatoria.

7. Dimensionamento istantaneo

In base alle nostre esperienze abbiamo stilato una classificazione delle installazioni che abbiamo seguito negli anni. Tale classificazione non è solo frutto dell’esperienza fatta durante l’installazione del firewall, ma anche dell’evoluzione tecnologica che l’utilizzatore richiede al dispositivo durante gli anni di utilizzo.

I risultati sono legati per esempio all’evoluzione tecnologica che ogni azienda/ente subisce o richiede negli anni per esigenze diverse. Per esempio le piccole aziende richiedono inizialmente l’installazione di un semplice firewall. Normalmente non passa molto tempo dalla presentazione di richieste come la VPN, filtraggio dei contenuti o regole di navigazione.

Per questo in base al numero di “dispositivi attivi” (cioè di dispositivi connessi ad internet) abbiamo elaborato la seguente tabella che tiene anche conto dei concetti sopra riportati:

Modello firewall N.di dispositivi attivi
Entry Level o NanoCluster da 1 a 5 utenti
Entry level APU1 o Entry Level APU2 o NanoCluster da 1 a 10 utenti
Compact Small UTM 3 o Appliance Small UTM 3 o A2SUTM o Small Cluster da 8 a 35 utenti
Compact Small UTM 3 o Appliance Small UTM 3 o A1-Server o Small Cluster da 20 a 60 utenti
A1-Server o Power Cluster da 50 a 350 utenti
A2-Server o APUTM o Power Cluster da 100 a 2000 utenti
A3-Server o APUTM o Power Cluster da 100 a 3500/5000 utenti
A3-Server da 500 a 10.000 utenti

8. Analisi performance apparati

NO VPN
BRIDGE NAT
TCP UDP TCP UDP
Banda Banda Jitter Banda Banda Jitter
ALIX 86,60 Mbps 87,10 Mbps 0,123 ms 86,57 Mbps 88,40 Mbps 0,122 ms
APU 474,00 Mbps 735,00 Mbps 0,028 ms 474,00 Mbps 535,00 Mbps 0,037 ms
CASUTM 595,00 Mbps 653,00 Mbps 0,033 ms 595,00 Mbps 535,00 Mbps 0,037 ms
AUTM5 754,50 Mbps 735,00 Mbps 0,024 ms 551,20 Mbps 560,00 Mbps 0,035 ms
Power Microcluster 939,00 Mbps 784,00 Mbps 0,029 ms 942,00 Mbps 784,00 Mbps 0,025 ms
APUTM 939,00 Mbps 784,00 Mbps 0,029 ms 942,00 Mbps 784,00 Mbps 0,025 ms
OPENVPN
AES128 AES256 Blowfish
TCP UDP TCP UDP TCP UDP
Banda Banda Jitter Banda Banda Jitter Banda Banda Jitter
ALIX 13,43 Mbps 18,00 Mbps 0,052 ms 12,30 Mbps 16,00 Mbps 0,048 ms 14,67 Mbps 20,00 Mbps 0,095 ms
APU 68,20 Mbps 60,00 Mbps 0,055 ms 58,63 Mbps 55,00 Mbps 0,073 ms 79,33 Mbps 68,40 Mbps 0,057 ms
CASUTM 62,77 Mbps 75,50 Mbps 0,038 ms 56,10 Mbps 65,30 Mbps 0,064 ms 71,93 Mbps 87,10 Mbps 0,040 ms
AUTM5 80,20 Mbps 94,10 Mbps 0,026 ms 69,40 Mbps 80,25 Mbps 0,042 ms 97,10 Mbps 114,80 Mbps 0,040 ms
Power
Microcluster
135,24 Mbps 121,74 Mbps 0,024 ms 116,16 Mbps 106,88 Mbps 0,031 ms 153,79 Mbps 138,41 Mbps 0,029 ms
APUTM 135,24 Mbps 121,74 Mbps 0,024 ms 116,16 Mbps 106,88 Mbps 0,031 ms 153,79 Mbps 138,41 Mbps 0,029 ms
IPSec
AES128 AES256 Blowfish128 3DES
TCP UDP TCP UDP TCP UDP TCP UDP
Banda Banda Jitter Banda Banda Jitter Banda Banda Jitter Banda Banda Jitter
ALIX 15,27 Mbps 16,00 Mbps 0,105 ms 13,73 Mbps 14,00 Mbps 0,116 ms 14,10 Mbps 15,00 Mbps 0,106 ms 8,62 Mbps 9,00 Mbps 0,089 ms
APU 49,00 Mbps 70,00 Mbps 0,061 Mbps 45,60 Mbps 54,20 Mbps 0,028 ms 44,60 Mbps 58,20 Mbps 0,083 ms 26,53 Mbps 32,00 Mbps 0,051 ms
CASUTM 60,13 Mbps 67,20 Mbps 0,042 ms 56,03 Mbps 63,20 Mbps 0,049 ms 56,87 Mbps 66,10 Mbps 0,057 ms 34,43 Mbps 37,10 Mbps 0,042 ms
AUTM5 74,22 Mbps 80,40 Mbps 0,079 ms 68,60 Mbps 73,50 Mbps 0,064 ms 69,70 Mbps 71,30 Mbps 0,074 ms 37,80 Mbps 40,00 Mbps 0,023 ms
Power
Microcluster
109,54 Mbps 106,77 Mbps 0,039 ms 103,72 Mbps 96,06 Mbps 0,035 ms 105,99 Mbps 95,01 Mbps 0,039 ms 62,82 Mbps 54,86 Mbps 0,024 ms
APUTM 109,54 Mbps 106,77 Mbps 0,039 ms 103,72 Mbps 96,06 Mbps 0,035 ms 105,99 Mbps 95,01 Mbps 0,039 ms 62,82 Mbps 54,86 Mbps 0,024 ms
IPSec
AES128 AES256 3DES
TCP UDP TCP UDP TCP UDP
Banda Banda Jitter Banda Banda Jitter Banda Banda Jitter
ALIX 15,27 Mbps 16,00 Mbps 0,105 ms 13,73 Mbps 14,00 Mbps 0,116 ms 8,62 Mbps 9,00 Mbps 0,089 ms
ALIX + Card (*)
48,33 Mbps 39,10 Mbps 0,061 ms 48,07 Mbps 39,10 Mbps 0,078 ms 48,57 Mbps 39,10 Mbps 0,049 ms
Gain [%]
216,50% 144,38% 41,90% 250,11% 179,29% 32,76% 463,46% 334,44% 44,94%

(*) Queste misure sono state effettuate utilizzando il modulo hardware di compressione.

0
  ti posso interessare anche

Kutter e pfSense/OPNsense: Come creare gruppi di navigazione differenziati all’interno della LAN.

Scopo di questa guida

Questo articolo spiega come ottenere dei gruppi di navigazione con caratteristiche differenti sulla rete utilizzando KUTTER al fine di avere per ogni gruppo controlli di accesso al web differenti.

Per esempio:
Gruppo Tutti: blocco della navigazione di social network, siti per adulti, ecc…
gruppo Ufficio_Marketing: potrà accedere anche ai social network
Gruppo Direzione: blocco solo dei malware e navigazion consentita per tutto il resto.

Prerequisiti

  • Avere un account Kutter attivo. Se non hai un l’account, attivalo subito cliccando qui o richiedi una demo gratuita 30 giorni. La registrazione è immediata e sarai operativo in pochi secondi.
  • Avere una connessione ad internet.
  • Un firewall (in questa guida illustreremo pfSense® ma è compatibile con altri sistemi – vedo sotto lista di compatibilità).

Premessa: i gruppi di KUTTER posso variare da 1 ad un massimo di 5 a seconda di quante licenze (coin) si ha a disposizione:

  • 5 Coin = numero massimo 1 gruppo
  • 10 Coin = numero massimo 2 gruppi
  • 15 Coin = numero massimo 3 gruppi
  • 20 Coin = numero massimo 4 gruppi
  • 25 Coin e oltre  = numero massimo 5 gruppi

Configurazione

Management Kutter

Quindi si clicca su “Gestione Filtro

Cliccate sul menu a tendina Profilo

Management Kutter

Quindi selezionate “Crea Profilo

Bisogna compilare i campi in questo modo

Nome: nome desiderato a scelta

Fuso orario: il Vs fuso orario

Modo: normale

DNS: dal menù a tendina selezionate una coppia dns non utilizzata dagli altri gruppi

Reti sorgenti: selezionate gli indirizzi IP pubblici da cui prevedete che i PC si collegheranno (questi IP saranno stati aggiunti nella sezione “aggiungi nuova rete” e corrispondono normalmente agli IP pubblici delle linee Internet in possesso). Selezionarne almeno una:

Management Kutter

Compilati i campi il vostro profilo è pronto per essere configurato coi filtri. Quindi cliccare su “LISTE

Impostate i filtri come si desidera (qui sotto un semplice esempio)

Management Kutter

A questo punto per verificare il risultato cliccate su Reti

Management Kutter

Il risultato di questo esempio è il seguente.

Se un PC esce con IP pubblico “218” ed utilizza il DNS 185.236.104.124-125 verrà protetto col filtro “Marketing”

Se un PC esce con IP pubblico “127” ed utilizza il DNS 185.236.104.124-125 verrà protetto col filtro “Marketing”

Se un PC esce con IP pubblico “218” ed utilizza il DNS 185.236.104.104-105 verrà protetto col filtro  “Base”

Se un PC esce con IP pubblico “127” ed utilizza il DNS 185.236.114.114-115 verrà protetto col filtro “Mamager”

A questo punto bisogna configurare il firewall in modo da obbligare i PC, che dovranno far parte del profilo Marketing, ad uscire con l’IP pubblico ed utilizzare i DNS corretti (come descritto qui sopra).

Qui sotto un semplice esempio implementato con PFSense:

Management Kutter

Dove PC_Marketing corrisponde all’elenco dei PC che devo appartenere al profilo “Marketing

e DNS_KUTTER_MARKETING corrispondera’, in questo esempio, a 185.236.104.124 e 185.236.104.125

0
  ti posso interessare anche

Configurare il Dynamic DNS di kutter su pfSense/OPNsense

Obiettivo di questo guida

Configurare il DDNS di kutter su pfSense/OPNsense

Ambiente software utilizzato

Testato su kutter e pfSense 2.4.4

Prima di iniziare

  • Avere un account Kutter attivo. Se non hai un account, attivalo subito cliccando qui o richiedi una demo gratuita. La registrazione è immediata e sarai operativo in pochi secondi.
  • Avere una connessione ad Internet.
  • Un firewall (in questa guida illustreremo pfSense® ma è compatibile con altri sistemi – vedo sotto lista di compatibilità).

Configurazione di Kutter:

Per prima cosa dobbiamo accedere al nostro pannello di configurazione andando alla pagina web di Kutter

Kutter Login

Una volta fatto l’accesso clicchiamo su gestione filtro in alto a sinistra ed accediamo al pannello di configurazione:

Pannello Kutter

Clicchiamo poi su reti,

aggiungi nuova rete

No, voglio creare un nuovo profilo

No, crea un nuovo profilo con impostazioni predefinite

Nome Profilo: “assegna un nome al profilo che stai creando”.

Selezione “pfSense

Inizia la configurazione

Configurazione Kutter

Adesso andiamo sul nostro firewall pfSense e impostiamo i DNS e configuriamo il Servizio DDNS:

system, general setup: impostiamo i parametri come segue:

DNS Kutter

Andiamo ora su:

Services, Dynamic DNS, Dynamic DNS Clients

Completare I parametri come mostrato in figura:

Parametri Kutter

Salvare la configurazione.

Torniamo su kutter e eseguiamo il test della configurazione.

Configuarazione Pannello Kutter

Torniamo su pfSense ed andiamo a forzare l’aggiornamento del DDNS ogni 5 minuti per sicurezza.

Cliccare su [Diagnostic] e successivamente su [Edit File].
Cliccare quindi su [Browse] e, nella lista in basso, aprire la cartella etc. Infine aprire il file chiamato crontab e modificarlo nel seguente modo:

– Cercare la linea che termina con /etc/rc.dyndns.update, quindi modificare la prima colonna inserendo la stringa */5  (Il numero che segue i caratteri */  sta ad indicare ogni quanto verrà forzata la sincronizzazione dell’IP pubblico).

Modificare anche la seconda colonna inserendo il carattere *.
In questo esempio la sincronizzazione verrà fatta ogni 5 minuti.

Fatto questo cliccare sul bottone [Save] per applicare le modifiche.

Aggiorniamo pfSense

NOTA BENE: Per utilizzare correttamente il servizio DDNS non è sufficiente l’operazione fatta dal momento che una volta riavviato il dispositivo verrà persa la modifica fatta al file crontab. Per questo motivo è necessario procedere nel seguente modo:

– Cliccare nuovamente su [Browse] e aprire il file chiamato rc.bootup.
– Cercare il comando configure_cron(); e commentarlo aggiungendo il simbolo # all’inizio della riga, come si può vedere nell’immagine sottostante.
Cliccare quindi su [Save] per apportare le modifiche.

Servizio DDNS Kutter

Come ultima operazione è necessario modificare il file rc.dyndns.update, sempre all’interno della directory etc. Per fare ciò procedere nel seguente modo:

– Cercare all’interno del file la riga contenente la stringa /* Interface IP address has changed */ e aggiungere sotto quest’ultima il seguente comando:
unlink(“/conf/dyndns_wancustom’checkip’0.cache”);
Salvare quindi cliccando su [Save].

Servizio DDNS Kutter
0
  ti posso interessare anche

Kutter Content Filter e Malware Protection: personalizza la tua pagina di blocco

Obiettivo di questo guida

In questa guida parleremo di come configurare Kutter il Content Filter e Malware Protection su cloud e di come personalizzare la pagina di blocco inserendo i nostri loghi aziendali.

Ambiante software utilizzato

Il software utilizzato è Kutter.

Per chi volesse approfondire le features di Kutter, le specifiche sono raggiungibili al link seguente www.kutter.it

Allo stesso link si può chiedere anche una demo gratuita.

La procedura è immediata.

Introduzione

Prima di iniziare farò un breve riassunto su quelle che sono le caratteristiche di Kutter, e di come sfruttarle per aggiungere maggiore sicurezza alla navigazione.

Kutter è un potente filtro sui contenuti e malware per la rete. Protegge oltre 1,2 miliardi di click al giorno in 90 paesi diversi sfruttando la tecnologia DNS-based per il filtraggio in Cloud.
Questa tecnologia, per chi non lo sapesse, permette di demandare al cloud il controllo sui contenuti delle pagine web richieste dagli utenti e device della rete che stiamo “filtrando”, senza appesantirla con proxy web (talvolta non efficienti).
Il punto di forza è la semplice ed immediata attivazione, a differenza dei vecchi proxy, difficili da configurare e spesso causa di problemi.
Questo tipo di filtro si adatta perfettamente a imprese, scuole, ISP/WISP e alla pubblica amministrazione.

Qualsiasi dispositivo, sia esso un firewall come pfSense®, OPNSense®, Zeroshell®, IpFire®, oppure un router del nostro provider, aumenterà la sicurezza di navigazione se configurato con Kutter.

Inoltre, Kutter è compliant con le norme GDPR

Prima di iniziare

Prerequisiti

  • Avere un account Kutter attivo. Se non hai un account, attivalo subito cliccando qui o richiedi una demo gratuita 30 giorni. La registrazione è immediata e sarai operativo in pochi secondi.
  • Avere una connessione ad internet.
  • Un firewall (in questa guida illustreremo pfSense® ma è compatibile con altri sistemi – vedo sotto lista di compatibilità).

Vediamo ora passo passo come procedere.

Personalizzazione della pagina di blocco

Per prima cosa dobbiamo accedere al nostro pannello di configurazione andando alla pagina web di Kutter

Kutter Login

Appena fatto il login, accederemo nella nostra area di configurazione come mostrato in figura. Qualora non avessi ancora configurato Kutter per il primo utilizzo, ti rimando alla nostra guida ufficiale.

Kutter

Dalla pagina Home – Dashboard clicca sulla chiave inglese in alto a destra e selezione dal menù la voce:

Si aprirà un popup che consentirà di cambiare le informazioni testuali, le immagini personalizzate come il tuo logo, e l’immagine di divieto che desideri.

Il risultato finale sarà una pagina molto simile a quella di default, mostrata di seguito.

Conclusioni

La semplicità di utilizzo e configurazione, rendono Kutter un potente alleato per aumentare la sicurezza aziendale. Le modalità di implementazione sono sufficientemente “elastiche”, e permettono il suo impiego praticamente in ogni contesto e con ogni dispositivo.

Kutter é compatibile con qualsiasi dispositivo che permette l’inoltro delle richieste dns, e con i dispositivi che permettono l’utilizzo del servizio ddns.

A tale proposito, se non lo avete ancora fatto, vi invito a contattarci sul nostro portale per avere maggiori informazioni e/o richiedere una demo gratuita di 30 giorni in cui potrete testare con mano la soluzione descritta.

0
  ti posso interessare anche

Kutter: il filtro per pfSense®/OPNsense® ideato per il Content Filter e Malware Protection.

Obiettivo di questa guida

In questa guida parleremo di come configurare Kutter il Content Filter e Malware Protection su cloud e di come integrarlo con il nostro firewall pfSense® e OPNsense.

Ambiente hardware e software utilizzato

Hardware testati: Abbiamo testato tutti i nosti apparati con kutter ed i sistemi pfSense ed OPNsense.
Essendo il carico computazionale spostato sul cloud, non abbiamo avuto nessun tipo di rallentamento sugli hardware testati.

Firewall Entry level testati:
Tutta la linea APU 2 NIC:
Tutta la linea APU 3 NIC:
Tutta la linea APU 4 NIC:

Firewall Corporate testati:
Tutta la linea Compact Small UTM:
Tutta la linea Small UTM:

Firewall Datacenter testati:
Firewall A1 Server:
Firewall A2 Server:
Firewall A3 Server:

Il software utilizzato sull’appliance è pfSense® versione 2.4.4-RELEASE-p3
Le stesse impostazioni si possono eseguire su OPNsense utilizzando le stesse regole.
Per chi volesse approfondire le features di Kutter, le specifiche sono raggiungibili al link seguente www.kutter.it

Allo stesso link si può chiedere anche una demo gratuita. La procedura è immediata.

Introduzione

Prima di iniziare farò un breve riassunto su quelle che sono le caratteristiche di Kutter, e di come sfruttarle per aggiungere maggiore sicurezza alla navigazione.

Kutter è un potente filtro sui contenuti e malware per la rete. Protegge oltre 1,2 miliardi di click al giorno in 90 paesi diversi sfruttando la tecnologia DNS-based per il filtraggio in Cloud.
Questa tecnologia, per chi non lo sapesse, permette di demandare al cloud il controllo sui contenuti delle pagine web richieste dagli utenti e device della rete che stiamo “filtrando”, senza appesantirla con proxy web (talvolta non efficienti).
Il punto di forza è la semplice ed immediata attivazione, a differenza dei vecchi proxy, difficili da configurare e spesso causa di problemi.
Questo tipo di filtro si adatta perfettamente a imprese, scuole, ISP/WISP e alla pubblica amministrazione.

Qualsiasi dispositivo, sia esso un firewall come pfSense®, OPNSense®, Zeroshell®, IpFire®, oppure un router del nostro provider, aumenterà la sicurezza di navigazione se configurato con Kutter.

Inoltre, Kutter è compliant con le norme GDPR

Prima di iniziare

Prerequisiti

  • Avere un account Kutter attivo. Se non hai un l’account, attivalo subito cliccando qui o richiedi una demo gratuita. La registrazione è innediata e sarai operativo in pochi secondi.
  • Avere una connessione ad internet.
  • Un firewall (in questa guida illustreremo pfSense® ma è compatibile con altri sistemi – vedo sotto lista di compatibilità).

Vediamo ora passo passo come procedere.

Personalizzazione delle liste

Per prima cosa dobbiamo accedere al nostro pannello di configurazione andando alla pagina web di Kutter

Kutter Login

Appena fatto il login, accederemo nella nostra area di configurazione come mostrato in figura.

Kutter

Cliccare sul tab reti

Kutter

Cliccando sul tasto aggiungi nuova rete, avrete la possibilità di configurare la vostra linea sia essa dinamica (quindi senza un IP statico), sia essa statica (quindi con un IP assegnato permanentemente dall’operatore).

Si aprirà un piccolo menu con una serie di loghi che, cliccati, mostrano come configurare quel dispositivo nella modalità dinamica. Nel nostro esempio, procederemo con la configurazione “statica” quindi clicchiamo in basso sul bottone Configurazione manuale.

Semplicemente seguendo le istruzioni a video, abbiamo configurato la nostra rete.

Kutter
Kutter
Kutter
Kutter
Kutter
Kutter

Ora, spostatevi sul tab Liste. Avete la possibilità di scegliere subito 3 profili già precaricati e configurati per bloccare diverse tipologie di siti.

Si parte con il profilo Base, fino al profilo Alto più protettivo e aggressivo che impone molte più restrizioni. E’ possibile leggere sotto una breve descrizione dei contenuti bloccati.

Se invece volete personalizzare voi i blocchi, cliccate su Configurazione personalizzata.

Notate subito sotto, le classiche liste White e Black per aggiungere o togliere siti (o interi domini) personalizzando maggiormente il profilo.

In ultimo, Kutter è in grado di filtrare le ricerche rispettando i blocchi del vostro profilo, escludendo i risultati anche dai risultati delle ricerche dei motori di ricerca Google e Bing.

Per esempio, se ho escluso i contenuti pornografici dal mio profilo, non visualizzerò questi risultati dalle ricerche del motori Google e Bing.

In questo esempio, procederemo ad eseguire una configurazione personalizzata.

Kutter

La home page di configurazione della lista si presenta come nella figura seguente. Una elenco di categorie e 3 colonne che indicano: Consenti, Blocca, Programma il blocco.

Kutter

Cliccando sulla freccia alla sinistra della categoria, si aprirà l’elenco con il contenuto.

Kutter

In questo esempio mostreremo la categoria Social Network e mostreremo come autorizzare l’accesso solo nella pausa pranzo. Cliccando sull’icona a forma di orologio che c’è nella terza colonna (Schedula Blocco), si aprirà un menù nel quale inserire le fasce orarie di blocco.

Kutter
Kutter
Kutter

Proseguiamo in questo modo fino alla completa personalizzazione della nostra lista (nell’esempio Base).

Si può creare una lista diversa ogni 5 coin; vale a dire che un ufficio con 25 utenti nominali, potrà creare fino a 5 liste diverse (impiegati, amministrazione, direzione, etc…) per bilanciare le diverse esigenze dell’azienda. Selezionando il profilo base, e cliccando in seguito sull’icona della matita, potremo scegliere una delle 5 coppie dns utili, appunto, in caso volessimo diversificare le liste.

Configurazione di pfSense®

Ora che la nostra rete e le nostre liste sono state configurate, passiamo velocemente sul nostro firewall. Qui dovremmo semplicemente inserire i dns di Kutter come mostrato in figura

andano sul medù di pfSense sotto System, General Setup.

Kutter

Per far avviare il controllo della navigazione a Kutter, la nostra rete dovrà utilizzare il firewall come server dns.

Ci sono tre soluzioni possibili per ottenere questo comportamento:

  1. obbligare i device della rete ad utilizzare il DNS forwarder di pfSense.
  2. obbligare i device della rete ad utilizzare i DNS di Kutter.
  3. Ridirigere il traffico sulla porta 53 verso i DNS di kutter.

In questa guida illustreremo la prima soluzione:

abilitiamo ora il servizio DNS da: Services -> DNS resolver

Abilitarlo e configurarlo in modo che permetta il forwarding delle richieste:

spuntare i check box  “Enable DNS resolver” e  “Enable Forwarding Mode” selezionando le interfacce su cui il servizio DNS risponderà (nel nostro caso solo la “LAN”)

Kutter General DNS

Successivamente andremo a creare due regole.

Andremo quindi su Firewall -> Rules.

Andiamo a creare una regola che permette l’accesso al servizio dns del firewall, la seconda regola che impedisce l’accesso al servizio DNS per il resto del traffico.

Kutter Regola DNS

A questo punto il firewall permetterà l’utilizzo del solo DNS Server di pfSense, il quale risolverà i nomi tramite il DNS di kutter.

Tutti i sistemi dovranno utilizzare come DNS il firewall, configurando a mano il DNS oppure configurando correttamente il DHCP Server.

Se si usa il DHCP di pfsense andare sotto Services -> DHCP Server e configurare la sezione DNS con l’IP della LAN del firewall (configurare come qui sotto se si suppone che il firewall abbia ip 192.168.1.1 sulla LAN)

Kutter Servers

Conclusioni

La semplicità di utilizzo e configurazione, rendono Kutter un potente alleato per aumentare la sicurezza aziendale. Le modalità di implementazione sono sufficientemente “elastiche”, e permettono il suo impiego praticamente in ogni contesto e con ogni dispositivo.

Kutter é compatibile con qualsiasi dispositivo che permette l’inoltro delle richieste dns, e con i dispositivi che permettono l’utilizzo del servizio ddns.

A tale proposito, se non lo avete ancora fatto, vi invito a contattarci sul nostro portale per avere maggiori informazioni e/o richiedere una demo gratuita di 30 giorni in cui potrete testare con mano la soluzione descritta.

0
  ti posso interessare anche

pfSense® 2.4.x: configurazione del Captive portal

Obiettivo di questa guida

Lo scopo di questa guida consiste nel permettere l’accesso ad Internet tramite il servizio di Captive Portal di PFSense.
Questo sistema permettere di accedere alla navigazione tramite inserimento di utenti autorizzati oppure con l’inserimento di un vaucher temporaneo, configurabile (tempo di utilizzo, velocità consentita,…).

Ambiente hardware e software utilizzato

Hardware testati: Abbiamo effettuato la configurazione su un unico sistema Hardware in quanto, di fatto, la configurazione può essere replicata su qualunque apparato compatibile con il sistema pfSense. Comunque, si consiglia di non utilizzare un sistema di potenza inferiore al sistema utilizzato nei nostri test.

Firewall Corporate testati:
Tutta la linea Compact Small UTM:
Tutta la linea Small UTM:

Il software utilizzato sull’appliance è pfSense® versione 2.4.4-RELEASE-p3

Configurazione

Per prima cosa dobbiamo identificare una o più schede di rete su cui ci sarà il controllo del Captive Portal, queste potranno essere normali LAN o VLan. Facciamo un esempio su VLAN.

Creare una VLAN dal menu “Interface->assignement->Vlan” quindi add

Captive Portal

Configurarla sull’interfaccia desiderata, in questo esempio creiamo la VLan 25 sull’interfaccia LAN (igb1)

Captive Portal

Quindi aggiungiamo una interfaccia con la VLAN appena creata, dal tab “Interface assignement” selezioniamo nel menu a tendina di “avaible network port” la VLan appena creata quindi clicchiamo su “Add” come da fig qui sotto.

Captive Portal

Verrà creta una Interfaccia con nome iniziale “OPT“. Cliccarci sopra per abilitarla e configurarla

Qui sotto un esempio

Captive Portal

Configurare il DHCP da Services->DHCP Server

Captive Portal

Quindi, nel nostro esempio, selezionate il tab della scheda appena aggiunta e configurate il DHCP come desiderate

Captive Portal

Creiamo ed abilitiamo il captive portal da menu Service->Captive portal, clicchiamo su “Add

Captive Portal

Poi abilitiamo il servizio dandogli un nome, quindi clicchiamo su Save&continue

Captive Portal

Apparirà la pagina come qui sotto, abilitiamo il servizio

Captive Portal

A questo punto selezioniamo la o le reti su cui abilitare il captive portal. Nel nostro esempio selezioneremo la VLAN25

Captive Portal

Più in basso nella pagina selezioniamo il tipo di autenticazione, nel nostro esempio utilizzeremo gli utenti locali al firewall.

Captive Portal

Dal tab Vouchers creiamo tutti i voucher che desideriamo col tasto “Add

Captive Portal

Quindi selezioniamo con Roll# la complessità del voucher

I minuti di connessioni permessi con l’utilizzo di questi vouchers

E con count quanti vouchers generare

Captive Portal

Una volta salvato, possiamo esportare i voucher cliccando sull’icona “X

Un esempio di file esportato

Captive Portal

Se dalla VLan25 tentiamo di collegarci usando come gateway il pfsense, questo ci rimanderà sulla pagina del Captive Portal; chiedendoci l’autenticazione di un utente locale o l’inserimento di un Voucher

Captive Portal

Se andiamo sul tab active user vedremo i vouchers attivi

Captive Portal

Con possibilità di vedere informazioni dettagliate come in figura qui sotto

Captive Portal
0
  ti posso interessare anche
Pagina 1 del 8 12345...»
WordPress Appliance - Powered by TurnKey Linux