Buenas noches.
A continuación, un tema esencial en el área de la seguridad y el ruteo:
PBR
Policy Based Route
· PBR es un mecanismo que permite transmitir datos basándose en políticas configuradas.
· Para responder paquetes, el firewall busca la IP de destino en la tabla de ruteo y responde a los paquetes sobre esta IP. Este mecanismo solo provee un servicio de respuesta basado en la dirección de destino, pero no diferencia los servicios.
· Al usar PBR, el firewall selecciona rutas basándose en políticas configuradas más allá de las rutas generadas en la tabla de ruteo. PBR permite que los paquetes sean respondidos tomando en cuenta más que solo la tabla de ruteo, es decir, toma más elementos, y estos incluyen: interfaces de salida, fuente y destino de las zonas de seguridad, IP origen y destino, por usuario, por servicio y por aplicación. De cualquier modo, PBR no es un sustituto de la tabla de ruteo, pero toma precedencia sobre la misma cuando se le es especificado para ciertos servicios especiales.
· PBR aplica para redes con multi-ingreso. Por ejemplo: una empresa que tiene salida a internet con dos proveedores diferentes (ISP A e ISP B):
§ ISP 1: rápido acceso a internet pero a alto costo
§ SIP 2: bajo costo, pero acceso lento a internet
· PBR provee las siguientes funciones de ruteo, de las cuales, puedes seleccionar de acuerdo a lo que se requiera:
§ User-based routing: usuarios específicos o grupos de usuarios en específico puedan acceder a internet solo a través de links específicos. Por ejemplo el grupo A tiene mayores permisos y puede acceder a internet a través del ISP 1, por otra parte, el grupo B tiene menores privilegios, y su acceso a internet es a través del ISP 2
§ Application-and protocol type-based routing: el tráfico las aplicaciones que incluyen tráfico de voz y vídeo es respondido a través del enlace con mayor ancho de banda, mientras que el tráfico de datos es respondido a través del enlace con menor ancho de banda.
COMPONENTES DE PBR
Figura 1: Componentes PBR
· CONDICIONES A COMPARAR: identifica el tráfico ser ruteado basado en una regla de PBR. Una regla de PBR puede contener múltiples condiciones de comparativa, las cuales están de manera lógica. Los paquetes pueden ser respondidos solo si la comparación cumple al 100%. El tráfico compara las condiciones tanto como la comparativa de los servicios se base en tipo, tipo de aplicación o tipo de usuario
REGLA DEL PROCESO COMPARATIVO DE PBR
Figura 2: Proceso comparativo PBR
· Después de configurar múltiples reglas de PBR, el firewall busca la primera regla basándose en la secuencia de condiciones impuesta, si la primera regla coincide, el firewall responde al paquete ejecutando la acción especificada. De no encontrar coincidencia, continúa con las otras reglas, si ninguna regla tiene coincidencia, responde al paquete basándose en la tabla de ruteo.
· Si una PBR tiene solo una interface de salida, y la interface del siguiente salto está inalcanzable, el firewall descarta el paquete de manera directa. Para mejorar la confiabilidad, se puede configurar el firewall para monitorear la disponibilidad del siguiente salto o dirección IP de destino. Si el siguiente salto o IP de destino está inalcanzable, el FIREWALL continúa buscando una ruta en la tabla de ruteo para evitar la pérdida de paquetes.
· Si el firewall tiene múltiples reglas PBR, hace coincidir un paquete con las reglas que están configuradas de manera secuencial. Si el paquete cumple todas las condiciones, el firewall deja de buscar más coincidencias. Por ende SIEMPRE SE DEBE DE CONFIGURAR REGLAS ESPECÍFICAS ANTES DE CONFIGURAR REGLAS GENERALES.
Esperando como seimpre que en algún momento esta información les sea útil.
