[Pluto-security] Firewall HA

[Tom 'Dido' Di Donato]

<cut>

>Questo non sempre funziona: alcune sessioni vanno in timeout sul lato server
>prima di essere nuovamente accettate in ingresso. Le percentuali di successo
>variano con i protocolli utilizzati.

Grazie 1k!


>Mi spiace, ma non so darti risposte adeguate. Non ho mai fatto qualche prova
>ma temo proprio che in effetti non ci sia niente da fare per la VPN senza un
>supporto specifico per questa funzionalita': se la VPN e' stabilita tra host
>o firewall esterni e il firewall che cade, le sessioni dovrebbero essere poi
>rinegoziate con il secondo firewall (spare) e non possono continuare da dove
>si sono interrotte. Quest'ultimo, infatti, non ha una SA che gli consenta di
>gestire il traffico dell'altro endpoint. Pero' non vedo perche' non si possa
>rinegoziare una nuova sessione con lo spare: se le applicazioni sopravvivono
>potrebbe funzionare. Il problema e' proprio l'applicazione: se e' un browser
>web e' un conto, ma se e' qualcosa che gestisce una sessione anche a livello
>applicativo (ssh, smb, rdp, ecc) questa muore e dovra' essere riavviata, con
>buona pace di quello che stavi facendo nel mentre. I timeout per l'abbandono
>di una SA sono molto lunghi ed e' difficile che qualcosa possa sopravvivere.
>Ricordo di aver letto qualcosa a proposito di soluzioni proprietarie per dei
>protocolli keepalive per tunnel ipsec, che forse potrebbero aiutare, e delle
>relative proposte di standardizazione, ma non ho mai seguito la questione.

Forse mi ero espresso male: sicuramente un tunnel muore, ma mi chiedevo se 
l'HA poteva impedire in qualche modo la creazione di un secondo.... A mio 
avviso non dovrebbero esserci problemi (anche perchè oggi, finalmente, ho 
trovato qualche link e un fornitore mi ha risposto che loro lo fanno).


> > P.S. Da quanto ne so io, anche i prodotti Cisco, se non quelli di 
> fascia molto
> > alta, non riescono a mantenere lo stato delle connessioni in caso di 
> down del
> > primo nodo.... Almeno, così mi è stato detto...
>
>Anche a me hanno detto cosi', anche non conosco adeguatamente quei cosi col
>ponte di brooklin verde (soprattutto quando i costi cominciano ad avere una
>quantita' di cifre eccessiva). Ma quando m'e' capitato di verificare queste
>informazioni ho trovato che in realta' il failover VPN e' sempre stateless.
>Cioe': se uno dei firewall e' giu' vengo mandato su un altro, garantendo il
>servizio, ma se va giu' mentre sono in linea... cade tutto. Direi che tutto
>questo si puo' fare anche con la soluzione che stai prevedendo tu.


2 anni fa andai a un seminario Cisco, in cui presentavano il loro cluster 
di firewall. Hanno fatto molto i "fenomeni" all'inizio, ma dopo qualche 
domanda molto specifica sulla possibilità di mantenere gli state, hanno 
ammesso che si può fare, ma comprando una serie di apparati in più (switch 
di livello altissimo, e altre cose che non sono riusciti a specificarmi) e 
spendendo una enormità (termine usato proprio dagli uomini Cisco: non 
voglio pensare di quantificarlo....)

grazie mille!

dido