Firewall Bypass: kurze Internet Unterbrueche 11.5. und 18.5.2020

Daniel Baumann daniel.baumann at bfh.ch
Sat May 9 07:45:43 CEST 2020 

Hallo zusammen

Kurzfassung:

  * am 11.5. Vormittag/Mittag wird es am Dammweg einen oder mehrere
    kurze Internet-Unterbrueche geben

  * am 11.5. Nachmittags wird es am gesamten Standort der HAFL in
    Zollikofen einen oder mehrere kurze Internet-Unterbrueche geben

  * am 18.5. wird es an allen anderen Standorten einen oder mehrere
    kurze Internet-Unterbrueche geben

Der Grund fuer die Unterbrueche ist der Einbau eines Firewall Bypass
(siehe unten) und die damit verbundenen Umstellungen im IP Routing.

Ausser eines allfaelligen Abbruchs eines Telefongespraechs via MS-Teams
oder aehnlichem sind fuer unsere Nutzenden keine weiteren Auswirkungen
zu erwarten.


Hintergrund:

  * das Netzwerk der BFH (ausgenommen Science DMZ) ist via eine
    zentrale Firewall ans Internet angeschlossen.

  * die dafuer aktuell eingesetzte Firewall-Hardware ist schon etwas in
    die Jahre gekommen und wird im 2021 im Rahmen des ordentlichen Life
    Cycles abgeloest werden koennen.

  * im Verlauf des letzten Jahres hat sich gezeigt, dass die bestehende
    Firewall Performance-technisch nicht mit der gewachsenen Nutzenden-
    und Geraete-Anzahl an der BFH mithalten kann. Dies hat sich durch
    einige Ausfaelle der Internet-Anbindung im 2019 ausgedrueckt.

  * seit letztem Herbst/Winter ist eine Leihgabe einer staerkeren
    Firewall-Hardware in Betrieb, mit welcher weitere Ausfaelle
    verhindert werden konnten.

  * diese Leihgabe muss zwingend per Ende Mai 2020 zurueckgegeben
    werden, eine Miete oder Kauf ist aus diversen Gruenden nicht
    moeglich.

  * mit Uebernahme des Netzwerks durch Team Linux & Infrastructure
    per 1.5.2020 haben wir die Aufgabe, die Zeit von Rueckgabe
    der Leihgabe Ende Mai 2020 bis zur Beschaffung einer
    neuen Firewall im 2021 zu ueberbruecken.

  * fuer diese Ueberbrueckung setzen wir zwei Standard-Linux Server
    mit nftables, conntrackd und pacemaker/corosync ein. Diese werden
    als Zweit-Firewall parallel zur bestehenden Firewall eingesetzt.

  * der Hauptteil des Traffics der durch die Firewall geht,
    kommt von Clients, nicht aus den Server Ranges (BFH DMZ).
    Die Clients haben, im Gegensatz zu den Servern, grundsaetzlich
    keine aus dem Internet eingehende Ports offen, so dass das
    Regelset fuer die Clients sehr kurz ist.

  * die zwei Linux Server werden als Bypass zur Leih-Firewall eingesetzt
    so dass der gesamte Client Traffic daruber geroutet werden kann.

  * so kann die "Server-Firewall" von der Leih-Hardware wieder zurueck
    auf die alte, zu langsame, Firewall-Hardware zurueck migriert
    werden und bis zur Abloesung 2021 weiter laufen.

  * da nur noch der Server-Traffic ueber die alte/langsamere
    Firewall-Hardware geht, wird die alte Hardware nicht ueberlastet
    und ein stabiler Betrieb fuer sowohl Client- wie auch Server-Traffic
    ist weiterhin gewaehrleistet.

Gruesse,
Daniel

-- 
Berner Fachhochschule / Bern University of Applied Sciences
Services / IT-Services
Daniel Baumann
Teamleiter Linux & Infrastructure Services
___________________________________________________________
Dammweg 3, CH-3013 Bern
Telefon direkt +41 31 848 48 22
Telefon Servicedesk +41 31 848 48 48
daniel.baumann at bfh.ch
https://bfh.ch
https://bfh.science

More information about the bfh-linux-announce mailing list