Firewall-Automatisierung mit Ansible

Räderwerk

Im IT-Management werden Firewalls häufig gesondert behandelt und ein eigener Prozess muss neue Dienste im Netzwerk erst freischalten. In dynamischen Umgebungen ist dieser Ansatz aber zu schwerfällig. Mit Ansible beschleunigen Sie das Einrichten neuer Firewall-Regeln.
Sich wiederholende Aufgaben sind mühselig und fehleranfällig, wenn sie von Hand ausgeführt werden. Im August befasst sich IT-Administrator deshalb mit dem ... (mehr)

Im Serverbereich ist die Verwendung von Automatisierungswerkzeugen in größeren Infrastrukturen weit verbreitet. Durch das Anwachsen der Umgebungen (vor allem durch Virtualisierung) wäre die Wartung sonst kaum mehr möglich. Die vier gebräuchlichsten Tools in diesem Bereich sind Puppet, Chef, SaltStack und Ansible. Die ersten drei Genannten verwenden Agenten und machen es damit schwierig, Systeme zu verwalten, die die Installation von Agenten nicht erlauben. Es gibt zwar Konstrukte, dies zu umgehen (Device Nodes bei Puppet, Proxy-Minions bei Salt), aber wenig Unterstützung für existierende Netzwerkausrüstung. Ansible [1] bietet eine sehr lange Liste unterstützter Geräte (aller großer Hersteller) und auch andere Komponenten, die eine API nutzen können, wie zum Beispiel VMware, lassen sich mit Ansible konfigurieren.

Die Konfiguration von Firewalls verschiedener Hersteller erfordert vom Admin die Anmeldung an den unterschiedlichen Systemen. Im Open-Source-Umfeld gibt es den Firewall Builder [2], jedoch unterstützt dieser nur Cisco und Open-Source-Systeme. Verwalten Sie kommerzielle Firewalls, gibt es momentan nur wenige Produkte, die es erlauben, eine Regel einmal zu konfigurieren, um sie dann auf die Firewalls zu verteilen.

Moderne Firewalls verfügen in der Regel über eine API zur Konfiguration. Fortinet und Palo Alto etwa bieten eine REST-API, und Juniper-Geräte haben schon seit Jahren die NETCONF-API an Bord – nicht nur für Firewalls, sondern für alle Geräte, auf denen Junos läuft.

Unter [3] stellt der Autor einen Prototyp vor, mit dem Sie mit Ansible und einem entsprechenden Playbook VPNs zwischen Linux mit Libreswan, Fortinet und Juniper Firewalls einrichten. Als Quelle dient eine YAML-Datei, in der die wesentlichen Eckpunkte der VPN-Verbindung zu finden sind und die alle beteiligten Gateways entsprechend ihrer Eigenheiten konfiguriert.

Listing 1: Inhalt

...

Der komplette Artikel ist nur für Abonnenten des ADMIN Archiv-Abos verfügbar.

comments powered by Disqus
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Konfigurationsmanagement

Ich konfiguriere meine Server

  • von Hand
  • mit eigenen Skripts
  • mit Puppet
  • mit Ansible
  • mit Saltstack
  • mit Chef
  • mit CFengine
  • mit dem Nix-System
  • mit Containern
  • mit anderer Konfigurationsmanagement-Software

Ausgabe /2023