Installazioni pfSense aziendali
-
Buongiornoa tutti,
mi piacerebbe iniziare a scambiare opinioni con qualcuno che abbia esperienza su installazioni aziendali di pfSense di discrete dimensioni. Nella mia società ho provveduto ormai da un paio di anni a migrare la nostra base di firewall MS Forefront (prima ISA 2000/2004/2006) su pfSense. Attualmente i vari perimetri di sicurezza sono costituiti da 14 firewall pfSense 2.2.6: 4 in configurazione CARP, 3 come endpoint per gli accessi OpenVPN, 2 endpoint IPSec e 1 per la sperimentazione. Sulla nostre sede a Milano abbiamo altre due macchine in CARP collegate via IPSec alla nostra sede di Roma.Gli endpoint OpenVPN sono autenticati su domain controller AD e utilizzano una serie di policy specifiche a seconda dell'utente che accede assegnando specifiche policy.
Gli endpoint IPSec gestiscono 12 vpn un totale di circa 50 network remote. Il CARP dei default gateway instrada il traffico nelle varie LAN con una serie di route, route che comunque a volte vengono inserite direttamente nei client per velocizzare le connessioni.
Utilizzo SQUID come proxy per la verifica del traffico di alcune reti e lo shaping su alcuni protocolli. Il filtraggio del traffico WEB è pero' affidato ad altri apparati e non a pfSense.
Le LAN interne -DMZ compresa- sono 8 (ruotate tra loro in alcune condizioni) di cui una solo per gli ospiti esterni.
Il tutto per circa 140 server (molti virtuali su HP Blade) e qualche centinaio di PC locali e remoti. I server pubblicati sono una trentina. Il traffico mensile è nell'ordine degli 8/10Tb totali.
In linea di massima sono molto soddisfatto dell'affidabilità del sistema in generale: always on elevato, ridondanza perfettamente funzionante, ottime prestazioni anche in presenza di picchi di traffico. Da non trascurare poi il risparmio dal punto di vista economico, che abbiamo calcolato nell'ordine di qualche centinaio di migliaia di euro se avessi usato soluzioni commerciali.
-
Buongiorno Marlenio,
molto interessante il tuo ambiente PFSense. Anche io uso PFSense da un bel po' di anni, lo tengo in produzione ma gestisco solo un centianio di utenti (wired e wireless con captive portal).Avrei una domanda da porti se mi è lecito: sostieni che hai affidato il filtraggio del traffico web ad altri apparati. Ma la struttura di filtraggio web, lavora in modo completamente indipendente oppure è agganciata in qualche modo allo Squid di PFSense?
Grazie
-
Ciao Francesco,
tutta la parte di filtraggio web (HTTP/HTTPS) è gestita da un apparato Watchguard. Il motivo è presto detto: se da una parte potevo fare tutto anche con pfSense, è anche vero che la parte relativa al controllo del traffico HTTPS non è efficace come lo è sul Watchguard. Considerato che la nostra struttura è piuttosto ampia, diventa prioritario avere un ambiente dove poter intervenire in maniera veloce e sicura (abbiamo parecchie regole per specifici utenti e subnet). Da questo punto di vista, abbiamo visto che Watchguard fornisce una soluzione ottima: in realtà si potrebbe usare per molte altri servizi (antispam, filtro pop, terminatore VPN), ma l'uso come content filter HTTP/HTTPS per le nostre esigenze va benissimo.Esatto, il filtraggio web è affidato esclusivamente a questo apparato e solo per alcune subnet interne. Tanto per fare un esempio, la subnet relativa a tutti gli apparati per gli ingressi ed uscite dalle sedi è ovviamente esclusa. Per quanto riguarda SQUID (due installazioni), offre servizi di proxy per quattro subnet, e l'unico controllo che esegue è che le chiamate arrivino dalle subnet autorizzate al suo utilizzo.
Ciao,