OpenBSD

1
OpenBSD

• Cortafuegos redundante con OpenBSD y Packet
  Filter en modo bridge y RSTP

2
El problema

• Encontrar una solución adecuada como cortafuegos
  con los siguientes requisitos
• escalabilidad
• no alterar la presente topología de red
• basada en Free Software
• redundancia
• sencillez
• potencia

3
Candidatos a la solución

• escalabilidad buena implementación TCP/IP
• no alterar la presente topología de red
  bridge
• basada en Free Software BSD, GNU/Linux
• redundancia (R)STP
• sencillez PF, IPFW
• potencia PF, IPFW

4
Candidatos finales
5
La elección OpenBSDPF

• Seguridad implícita del SO
• Auditoría constante del código
• Soporte para RSTP desde versión 4.1
• Tests de rendimiento mediante iperf y netperf

6
Redundancia en modo bridge? RSTP

• Redundancia con IP CARP
• Redundancia en modo bridge STP/RSTP
• Sistema activo/pasivo pfsync

7
Eligiendo hardware

• CPU mono-procesador
• Memoria la clave
• HD logs? La posibilidad de la card-flash
• NICs em(4), bge(4), sk(4)
• IRQs y bus de datos

8
Implementación configuración de red

• identificar y levantar las 2 NICs que conforman
  el bridge
• echo "up" gt /etc/hostname.em0
• echo "up" gt /etc/hostname.em1
• configuración del bridge
• vi /etc/bridgename.bridge0
• add em1
• add em0
• -learn em1
• -learn em0
• stp em1
• stp em0
• up

9
Implementación configuración de la
sincronización (master)

• configuración en master
• ifconfig em1 10.10.10.1 netmask 255.255.255.0
• ifconfig pfsync0 syncdev em1
• ifconfig pfsync0 up
• añadiendo los valores de manera permanente
• vi /etc/hostname.em3
• inet 10.10.10.1 255.255.255.0 NONE
• levantando la NIC
• vi /etc/hostname.pfsync0
• up syncdev em3

10
Implementación configuración de la
sincronización (esclavo)

• configuración en slave
• ifconfig em1 10.10.10.2 netmask 255.255.255.0
• ifconfig pfsync0 syncdev em1
• ifconfig pfsync0 up
• añadiendo los valores de manera permanente
• vi /etc/hostname.em3
• inet 10.10.10.2 255.255.255.0 NONE
• levantando la NIC
• vi /etc/hostname.pfsync0
• up syncdev em3