Analisi Fortinet firewall con dual link Internet HA

Per iniziare cominciamo ad analizzare la configurazione piu’ semplice di gestione di link multipli disponbili sui firewall Fortinet in cui configuriamo un doppio link Internet in High Availability impostando un link primario e uno di backup. Nella parte di configurazione di routing statico sotto “Static Route” impostiamo la linea Internet principale sull’interfaccia wan1 e linea di backup su sull’interfaccia wan2.Per fare questo inseriamo una default route 0.0.0.0/0.0.0.0 con gateway l’ip del router internet (nell’esempio 62.123.90.25) sulla wan1 impostando una distanza 10, poi impostiamo una seconda default route con l’ip del router della wan2 (nell’esempio 80.204.121.193) impostando una distanza superiore, nell’esempio 15.

Con queste impostazioni per raggiungere Internet finche’ la linea attestata sulla wan1 e’ funzionante si passa sempre dalla wan1, mentre nel caso ci fosse un problema su quest’interfaccia il traffico verrebbe reindirizzato sulla wan2. Infatti nel routing monitor si vede solo una default route attiva: quella della wan1 nel caso la linea principale sia funzionante (come nello figura sottostante), quella della wan2 nel caso la linea principale avesse un fail. Il secondo default gateway sulla wan2 non si vede.

Adesso in questa configurazione diventa interessante analizzare il comportamento delle route statiche sul firewall.Prenderemo come lan di riferimento per effettuare i test la sottorete 10.200.1.0/24 con default gateway 10.200.1.254 (ip del nostro firewall). La configurazione del firewall e’ sempre con doppio link in HA di cui solo uno attivo, in questo caso quello attestato sulla wan1.Nell’esempio e’ necessario raggiungere una sottorete remota 10.100.1.0/24 raggiungibile tramite un router della lan, il router con ip 10.200.1.1.Dalla figura si nota che per raggiungere la sottorete 10.100.1.0/24 e’ stata impostata una route statica.

Interessante vedere come lavorano i client che puntano come default gateway al 10.200.1.254, il nostro firewall ma posso raggiungere la 10.100.1.0/24 tramite il router 10.200.1.1.Questa la routing table dell’host windows 10.200.1.10 prima che cerchi di contattare un ip sulla sottorete 10.100.1.0/24 mostrata tramite il comando route print.

Dopo un ping o un qualsiasi pacchetto inoltrato verso la 10.100.1.0/24 questa la nuova routing table

Sono comparse delle route statiche sul client per ogni indirizzo della sottorete 10.100.1.0/24Queste sono state passate al client dal default gateway, dal firewall Fortigate, tramite un icmp redirect.Questo visibile da questo capture con Wireshark:

Da notare che non e’ presente alcuna regola sul firewall per per permettere che il traffico venga rediretto verso il gateway 10.200.1.1 (per intenderci non c’è una regola da internal->internal allow).

Quindi in questo caso il Fortigate usa il suo motore di routing, che lavora intervendo prima che il pacchetto arrivi ai filtri firewall, e riuscendo quindi a impostare le route statiche sui client tramite icmp senza che sia specificata alcuna regola sul firewall.

Come nota architetturale e’ da osservare che il motore di routing è necessario che venga interrogato prima del motore firewall dato che le regole vengono impostante “per interfaccia” . In questa architettura il match di un pacchetto che attraversa il firewall deve prima essere analizzato a livello routing per capire a quale interfaccia fare riferimento e quindi a quale regola fare riferimento.

Test eseguiti su Fortigate firmware 3.0 MR6 patch2

Autore: Fabrizio RosinaPer ulteriore documentazione e articoli: www.gzone.it