Vorzeitiger Abloesung Checkpoint-Firewall

Daniel Baumann daniel.baumann at bfh.ch
Fri Jul 17 03:36:11 CEST 2020 

Hallo zusammen

Unsere Linux-Firewall hat sich auch nach dem Umhaengen des gesamten
Client-Traffics am 19.5. weiterhin bewaehrt. Seither geht nur noch der
Traffic der Server aus der DMZ, ARZ (BFH BEWAN resp. BE.net-Zone), VPN
und Eduroam ueber die alte Checkpoint-Firewall.

Da die alte Checkpoint-Firewall einerseits nach wie vor Probleme[*]
hat, andererseits der Betrieb der Appliance nicht durch uns sondern
durch einen externen Partner wahrgenommen werden muss (mit entsprechend
allen Vor- und Nachteilen daraus), haben wir zusammen mit dem
Architecture-Board Mitte Juni beschlossen diese jetzt schon vorzeitig
abzuloesen um einen reibungslosen und eigenstaendigen Betrieb
sicherstellen zu koennen.

Dazu haben wir in den letzten Wochen Intrusion Detection und Intrusion
Prevention (IDP/IPS) mit Suricata implementiert und werden ab Anfang
August auch den letzten noch verblieben Traffic auf die Linux-Firewall
umleiten, so dass gegen Ende August die Checkpoint-Firewall abgeschaltet
werden kann. Die Migration wird in mehreren Teilschritten in Randzeiten
erfolgen, die genauen Daten und Service-Einschraenkungen waehrend des
ensprechenden Wartungsfensters werden wir vorgaengig ankuendigen.

Trotz des um rund 12 Monate vorgezogenen Wechsels werden wir im Rahmen
der ordentlichen Firewall-Lifecycle im 2021 (die aktuelle
Checkpoint-Firewall waere erst Mitte/Ende 2021 EOL) die Anfang naechsten
Jahres geplante Evaluation durchfuehren um das beste Firewall-System
fuer den naechsten 5 Jahres-Zyklus zu bestimmen.

Gruesse,
Daniel

[*] die Checkpoint-Firewall hat im wesentlichen folgende Probleme,
    welche seit 2019 oder frueher bestehen und vom vorherigen
    Netzwerk-Team, zusammen mit einem externen Partner und mit dem
    Hersteller nie geloest werden konnten:

  - Memory Leaks die einen prophylaktischen, manuellen Reboot alle paar
    Wochen benoetigt.

  - ein Management-Port bei einer der zwei Appliances schaltet
    sich in unvorhersehbaren, aber immer wieder auftretenden,
    Abstaenden ab. Danach laeuft die Firewall zwar weiter, es sind
    aber bis nach einem manuellen Reboot der Appliance keine Regel-
    oder Konfigurationsaenderungen an der Firewall mehr moeglich.

  - zeitweise "failovert" die eine Appliance fuer mehrere Minuten im
    Sekundentakt auf die andere Appliance und wieder zurueck, ohne
    ersichtlichen Grund, was nicht vertrauenserweckend ist.

  - die verwendeten IDP/IPS Pattern insbesondere fuer HTTPS und SSH
    fuehren bei aktueller Server/Client Software oder Tunneling immer
    wieder zu mehrere Minuten andauernden Deadlocks mit ensprechendem
    Aerger/Unterbruch bei zonenuebergreifenden Arbeiten.

-- 
Berner Fachhochschule / Bern University of Applied Sciences
Services / IT-Services
Daniel Baumann
Teamleiter Linux & Infrastructure Services
___________________________________________________________
Dammweg 3, CH-3013 Bern
Telefon direkt +41 31 848 48 22
Telefon Servicedesk +41 31 848 48 48
daniel.baumann at bfh.ch
https://bfh.ch
https://bfh.science

More information about the bfh-linux-announce mailing list