Abbiamo gettato nel bidone del rudo in cortile una installazione di Microsoft TMG 2010 insieme al suo fido compagno M0n0wall. Abbiamo sostituito il tutto con una apparecchiatura progettata al solo scopo di fare da firewall hardware.
Dopo una settimana di duro lavoro sia pratico che teorico su Nat e mica Nat, possiamo dire che la nostra infrastruttura di rete ora e’ al sicuro. Forse.
Tutte le macchine sia reali che virtualizzate ora sono dietro al firewall. Il modello da noi scelto e’ l’XTM Pro 505. I server interni adesso vengono pubblicati con una configurazione NAT mista: Static Nat e 1:1 Nat. Static Nat permette di direzionare il traffico di una determinata porta verso un indirizzo IP interno. 1:1 Nat permette di associare un IP pubblico ad un determinato IP interno. Occorre inoltre configurare correttamente il Dynamic Nat in uscita per le regole 1:1 Nat.
Il Nat 1:1 e’ necessario quando piu’ server pubblicano gli stessi servizi dunque occorre legarli ad indirizzi IP pubblici distinti. Nel nostro caso ci sono 4 server Web, 2 server MySql, 2 server MS Sql e 1 Trados Server con Tomcat.
Con static Nat abbiamo pubblicato il server di posta interno, filtrato dall’SMTP-Proxy. Questo server e’ un Exchange 2010 Edge fuori dal dominio di Active Directory che riceve posta e la inoltra previa scrematura di secondo livello all’Hub Exchange 2010.
Sempre con static Nat e’ stato pubblicato il roulo CAS di Exchange 2010. Per questo servizio abbiamo messo in piedi altri 2 server in NLB (network load balancing) per la connesisone dei client sia interni (Outlook 2010 e Outlook 2011) che esterni (iPhone) il tutto criptato con certificato pubblico attendibile mediante il servizio di Autodiscovery.
Dopo tutta sta manfrina, occorre creare le Policy di Firewall configurando anche le analisi da effettuare sulle specifiche tipologie di traffico, ad esempio per il traffico Http, Sip, FTP, eccetera.
La chicca e’ attivare i servizi di controllo anti instrusione, reputazione, anti spam, anti virus, controllo delle navigazioni web, colesterolo e glicemia.
In soldoni la rete va che vola, ai server arriva solo quello che serve, la zozzeria e’ inchiodata a monte, vi e’ minor traffico inutile, tutto senza appesantire le macchine con software per fare questi controlli.
P.s.
Dimenticavamo di aver configurato anche le VPN per poter accedere alla rete interna tramite i nostri fidi MacBook Pro, iPhone e iPad. Naturalmente il tutto nativamente senza bisogno di installare nulla sugli iDevices e sui portatili.