Virtuelle Firewalls für Institutsnetze
Informationen für potentielle und tatsächliche Betreiber von virtuellen Firewalls
Überblick
Das LRZ bietet für Institute und Organisationen im Münchner Wissenschaftsnetz (MWN) die Möglichkeit, eine virtuelle Firewall (VFW) auf LRZ-Hardware zu betreiben. Eine VFW besteht aus einem pfSense-Paar, das im Active-Passive-Modus betrieben wird. Aktive und passive pfSense sind sogenannte Virtuelle Maschinen (VM) und laufen jeweils auf eigenen ESXi-Hosts, die paarweise im MWN verteilt sind. Durch die Redundanz bei pfSense-Instanzen und ESXi-Hosts ist eine hohe Ausfallsicherheit gewährleistet. Die zu schützenden Subnetze werden über Virtuelle LANs (VLAN), einer logischen Netzschicht, zur jeweils zuständigen VFW geführt und dort gefiltert.
Ob eine VFW eingerichtet werden kann, hängt im Einzelfall von der jeweiligen Netztopologie ab und muß vorab geklärt werden.
Das LRZ stellt eine einfache Grundkonfiguration bereit, die der Verwalter des Instituts/der Organisation individuell anpassen muß.
Der Aufbau und Betrieb einer Firewall im Allgemeinen erfordert zumindest Grundkenntnisse in Datennetzen. Darüberhinaus ist eine regelmäßige Kontrolle der anfallenden Log-Daten wichtig, um die Funktion der Firewall sicherzustellen. Beides trifft natürlich auch auf eine VFW zu. Aus diesem Grund ist es von Vorteil, wenn eine virtuelle Firewall von einer größeren Organisationseinheit für ihre Mitglieder betrieben wird, z.B. von einer Fakultät für die einzelnen Lehrstühle. Knowhow und Personalresourcen für den Betrieb müssen dann nur an einer Stelle zentral vorhanden sein und belasten damit nicht jeden Lehrstuhl.
Einrichten einer virtuellen Firewall (Workflow)
Klärung der Netztopologie
Bevor eine virtuelle Firewall eingerichtet werden kann, muss die Netztopologie geklärt werden. Ansprechpartner ist zunächst der Netzverantwortliche vor Ort. Folgende Voraussetzungen müssen erfüllt sein:
- Strukturierte Verkabelung
Switches, kein Koaxkabel. - Prinzip "1 Subnetz pro VLAN"
Um diese Voraussetzung zu erfüllen, können weitere VLANs durch das LRZ eingerichtet werden. - Subnetz gehört vollständig dem(r) Institut/Organisation oder Teilhaber sind sich einig
Authentifizierung
- Bei der Authentifizierung von VFW-Verwaltern werden LRZ-SIM-Kennungen verwendet.
- Jeder VFW wird ein vorhandenes oder neues LRZ-Projekt zugeordnet (siehe "Was ist ein LRZ-Projekt?").
- Welches LRZ-Projekt verwendet werden soll, ist mit dem zuständigen Master-User zu klären (siehe "Wie finde ich meinen Master-User?").
- Der Master-User vergibt die Berechtigung zur Verwaltung einer VFW.
Beantragen der virtuellen Firewall
Das Einrichten der VFW veranlasst der zukünftige VFW-Verwalter über das Servicedesk-Portal (Neuen Incident mit Service 'Firewalls' anlegen).
Der Incident muß folgende Informationen enthalten:
- Name des(r) Institutes/Organisation
- Lokaler Ansprechpartner (Telefon, E-Mail)
- LRZ-Projekt
- Interne(s) Subnetz(e)/VLAN(s) (später hinter der virtuellen Firewall)
Online Dokumentation
LRZ-Anleitungen
- pfSense (v2.2.6) - Virtuelle Firewalls am Leibniz-Rechenzentrum
- pfSense (v2.3) - Virtuelle Firewalls am Leibniz-Rechenzentrum