[Dr.WoW] [No.10] Políticas de seguridad en la zona local

75 0 0 0

Los firewalls reenvían algunos servicios en redes y procesan otros servicios. Por ejemplo, los administradores inician sesión en los firewalls para la administración; Los dispositivos y usuarios de Internet establecen VPN con los firewalls; los firewalls y los routers ejecutan protocolos de enrutamiento, como Open Shortest Path First (OSPF); y los firewalls se interconectan con servidores de autenticación.

Para el procesamiento normal del servicio, debemos configurar las políticas de seguridad correspondientes en los firewalls para permitir la recepción de paquetes de servicio. Para ser específicos, configure las políticas de seguridad entre la zona Local de los firewalls y las zonas de seguridad donde residen las interfaces utilizadas por los servicios.

En las partes anteriores, describimos las políticas de seguridad para los paquetes que pasan a través de firewalls. Ahora, veamos cómo configurar políticas de seguridad para que los paquetes sean procesados por los firewalls. Los paquetes OSPF se utilizan como ejemplo.

1 Configurando una Política de Seguridad en la Zona Local para OSPF

Un USG9500 con V300R001 está conectado a dos routers, como se muestra en la Figura 1-1.

NOTA

Esta sección verifica la configuración de la política de seguridad entre la zona de seguridad donde reside la interfaz del firewall y la zona local cuando el firewall participa en el cálculo de la ruta OSPF. Si el firewall no participa en el cálculo de la ruta OSPF, solo transmite de forma transparente los paquetes OSPF, y usa interfaces en diferentes zonas de seguridad para enviar y recibir paquetes OSPF, se debe configurar una política de seguridad en el firewall para permitir que los paquetes OSPF pasen.

Figura 1-1 Redes para el intercambio de paquetes OSPF

La configuración en el firewall es la siguiente:

[FW] interface GigabitEthernet1/0/1

[FW-GigabitEthernet1/0/1] ip address 192.168.0.1 24

[FW-GigabitEthernet1/0/1] quit

[FW] firewall zone untrust

[FW-zone-untrust] add interface GigabitEthernet1/0/1

[FW-zone-untrust] quit

[FW] ospf

[FW-ospf-1] area 1

[FW-ospf-1-area-0.0.0.1] network 192.168.0.0 0.0.0.255

La configuración en el Router 1 es la siguiente:

[Router1] interface GigabitEthernet0/0/1

[Router1-GigabitEthernet0/0/1] ip address 192.168.0.2 24

[Router1-GigabitEthernet0/0/1] quit

[Router1] interface GigabitEthernet0/0/2

[Router1-GigabitEthernet0/0/2] ip address 192.168.1.1 24

[Router1-GigabitEthernet0/0/2] quit

[Router1] ospf

[Router1-ospf-1] area 1

[Router1-ospf-1-area-0.0.0.1] network 192.168.0.0 0.0.0.255

[Router1-ospf-1-area-0.0.0.1] network 192.168.1.0 0.0.0.255

La configuración en el Router 2 es la siguiente:

[Router2] interface GigabitEthernet0/0/1

[Router2-GigabitEthernet0/0/1] ip address 192.168.1.2 24

[Router2-GigabitEthernet0/0/1] quit

[Router2] ospf

[Router2-ospf-1] area 1

[Router2-ospf-1-area-0.0.0.1] network 192.168.1.0 0.0.0.255

De forma predeterminada, no se establece una política de seguridad entre la zona Untrust donde reside GE1/0/1 y la zona Local, por lo que no se permite que los paquetes viajen entre las zonas.

Una vez completada la configuración, ejecute el comando display ospf peer para ver la relación del vecino OSPF.

[FW] display ospf peer

 

OSPF Process 1 with Router ID 192.168.0.1

Neighbors

 

Area 0.0.0.1 interface 192.168.0.1(GigabitEthernet1/0/1)'s neighbors

Router ID: 192.168.1.1    Address: 192.168.0.2

State: ExStart  Mode:Nbr is  Slave  Priority: 1

DR: None   BDR: None   MTU: 0

Dead timer due in 32  sec

Retrans timer interval: 0

Neighbor is up for 00:00:00

Authentication Sequence: [ 0 ]

Ejecute el comando de display ospf peer en el router 1 para ver la relación del vecino OSPF

[Router1] display ospf peer

 

OSPF Process 1 with Router ID 192.168.1.1

Neighbors

Area 0.0.0.1 interface 192.168.0.2(GigabitEthernet0/0/1)'s neighbors

Router ID: 192.168.0.1       Address: 192.168.0.1         GR State:Normal

State: ExStart  Mode:Nbr is  Slave  Priority: 1

DR: 192.168.0.1  BDR: 192.168.0.2  MTU:0

Dead timer due in 32  sec

Neighbor is up for 00:00:00

Authentication Sequence: [ 0 ]

 

Neighbors

 

Area 0.0.0.1 interface 192.168.1.1(GigabitEthernet0/0/2)'s neighbors

Router ID: 192.168.1.2       Address: 192.168.1.2         GR State:Normal

State: Full  Mode:Nbr is  Slave  Priority: 1

DR: 192.168.1.2  BDR: 192.168.1.1  MTU:0

Dead timer due in 32  sec

Neighbor is up for 00:09:28

Authentication Sequence: [ 0 ]

 

El estado vecino de OSPF es ExStart tanto en el firewall como en el Router 1. De acuerdo con el proceso para establecer una relación de vecinos OSPF que se muestra en la Figura 1-2, podemos encontrar que la relación de vecinos OSPF no se pudo establecer porque el firewall y el Router 1 sí lo hicieron No intercambiar paquetes de descripción de base de datos (DD).

Figura 1-2 Proceso para establecer una relación de vecinos OSPF

Si sospecha que el firewall descartó los paquetes DD. Ejecute el comando display firewall statistic system discarded en el firewall para ver información sobre los paquetes descartados.

FW] display firewall statistic system discarded

Packets discarded statistic on slot 3 CPU 3

Total packets discarded :  31

 

Total deny bytes discarded : 1,612

Default deny packets discarded : 31

 

El resultado del comando Output que los paquetes se descartaron debido al filtrado de paquetes predeterminado. Esto se debe a que no configuramos una política de seguridad para permitir que los paquetes DD pasen y, por lo tanto, los paquetes coincidieron con el filtrado de paquetes predeterminado y se descartaron. Además, encontramos que la cantidad de paquetes descartados está aumentando, lo que indica que el módulo OSPF continúa enviando paquetes DD para establecer la relación de vecinos OSPF, pero los paquetes aún se descartan.

Luego, configuramos una política de seguridad en la interzona Local-Untrust para permitir que los paquetes OSPF pasen. Tenga en cuenta que la política de seguridad debe configurarse en las direcciones de entrada y salida, ya que el servidor de seguridad debe enviar y recibir paquetes de DD.

Consejo

Para coincidir exactamente con OSPF, usamos el conjunto de servicios OSPF que proporcionan las políticas de seguridad. Si este conjunto de servicios no está disponible, créelo y establezca el número de protocolo en 89.

[FW] policy interzone local untrust inbound

[FW-policy-interzone-local-untrust-inbound] policy 1

[FW-policy-interzone-local-untrust-inbound-1] policy service service-set ospf

[FW-policy-interzone-local-untrust-inbound-1] action permit

[FW-policy-interzone-local-untrust-inbound-1] quit

[FW-policy-interzone-local-untrust-inbound] quit

[FW] policy interzone local untrust outbound

[FW-policy-interzone-local-untrust-outbound] policy 1

[FW-policy-interzone-local-untrust-outbound-1] policy service service-set ospf

[FW-policy-interzone-local-untrust-outbound-1] action permit

Ejecute el comando display ospf peer en el firewall y el Router 1 para ver la relación del vecino OSPF. El siguiente resultado puede aparecer después de varios minutos, o podemos ejecutar el comando reset ospf process para reiniciar el proceso OSPF para acelerar su presentación.

[FW] display ospf peer

OSPF Process 1 with Router ID 192.168.0.1

Neighbors

Area 0.0.0.1 interface 192.168.0.1(GigabitEthernet1/0/1)'s neighbors

Router ID: 192.168.0.2    Address: 192.168.0.2

State: Full  Mode:Nbr is  Slave  Priority: 1

DR: 192.168.0.2   BDR: 192.168.0.1   MTU:0

Dead timer due in 32  sec

Retrans timer interval: 4

Neighbor is up for 00:00:51

Authentication Sequence: [ 0 ]

 

[Router1] display ospf peer

OSPF Process 1 with Router ID 192.168.1.1

Neighbors

Area 0.0.0.1 interface 192.168.0.2(GigabitEthernet0/0/1)'s neighbors

Router ID: 192.168.0.1       Address: 192.168.0.1         GR State:Normal

State: Full  Mode:Nbr is  Slave  Priority: 1

DR: 192.168.0.1  BDR: 192.168.0.2  MTU:0

Dead timer due in 32  sec

Neighbor is up for 00:00:00

Authentication Sequence: [ 0 ]

 

Neighbors

Area 0.0.0.1 interface 192.168.1.1(GigabitEthernet0/0/2)'s neighbors

Router ID: 192.168.1.2       Address: 192.168.1.2         GR State:Normal

State: Full  Mode:Nbr is  Slave  Priority: 1

DR: 192.168.1.2  BDR: 192.168.1.1  MTU:0

Dead timer due in 32  sec

Neighbor is up for 01:35:43

Authentication Sequence: [ 0 ]

 

Como indica el resultado del comando, se ha establecido la relación de vecino OSPF y el firewall ha aprendido la ruta OSPF al segmento de red 192.168.1.0/24.

[FW] display ip routing-table protocol ospf

Route Flags: R - relay, D - download to fib

------------------------------------------------------------------------------

Public routing table : OSPF

Destinations : 2           Routes : 2

 

OSPF routing table status : <Active>

Destinations : 1           Routes : 1

 

Destination/Mask    Proto  Pre  Cost       Flags NextHop         Interface

 

192.168.1.0/24  OSPF   10   2         D     192.168.0.2     GigabitEthernet1/0/1

 

En conclusión, debemos configurar una política de seguridad entre la zona de seguridad donde reside la interfaz habilitada para OSPF y la zona local para permitir que los paquetes de OSPF pasen, de modo que el firewall pueda establecer una relación de vecino OSPF con el dispositivo conectado.

En realidad, también podemos considerar este problema desde la perspectiva de los paquetes de unidifusión y multidifusión. Para los firewalls, los paquetes de unidifusión están controlados por políticas de seguridad en la mayoría de los casos y, por lo tanto, las políticas de seguridad deben configurarse para permitir que los paquetes pasen. Sin embargo, los paquetes de multidifusión no están controlados por políticas de seguridad y no es necesario configurar ninguna política de seguridad adicional.

¿Qué paquetes OSPF son paquetes de unidifusión y cuáles son paquetes de multidifusión? Los tipos de paquetes OSPF varían según los tipos de red, como se indica en la Tabla 1-1.

CONSEJO

El comando ospf network-type se puede usar para cambiar el tipo de red OSPF.

Tabla 1-1 red y tipos de paquetes OSPF

Tipo de Red

Hola

Descripción de la base de datos

Solicitud  de Estado de Enlace

Actualización de estado de enlace

Estado de Enlace Ack

Broadcast

Multicast

Unicast

Unicast

Multicast

Multicast

P2P

Multicast

Multicast

Multicast

Multicast

Multicast

NBMA

Unicast

Unicast

Unicast

Unicast

Unicast

P2MP

Multicast

Unicast

Unicast

Unicast

Unicast

 

Como indica la Tabla 1-1, cuando el tipo de red es Difusión, los paquetes OSPF DD y LSR son unidifusión, y las políticas de seguridad deben configurarse para permitir que los paquetes de unidifusión pasen. Cuando el tipo de red es P2P, todos los paquetes OSPF son multidifusión y no es necesario configurar una política de seguridad adicional. Este principio de configuración de la política de seguridad también se aplica a los tipos de red NBMA y P2MP. En redes reales, si el estado OSPF es anormal en un firewall, verifique si las políticas de seguridad no están configuradas para paquetes OSPF de unidifusión.

Además de los paquetes OSPF, otros servicios que los firewalls deben procesar requieren la configuración de políticas de seguridad en la zona local para permitir que los paquetes pasen. En la siguiente parte, le diré cómo configurar las políticas de seguridad para dichos servicios.

2 ¿Qué protocolos requieren políticas de seguridad configuradas en la zona local en los firewalls?

Como se muestra en la Figura 1-3, la serie USG2000/5000 se utiliza como ejemplo. El servidor de seguridad debe procesar los siguientes servicios: un administrador inicia sesión en el servidor de seguridad; el servidor de seguridad se interconecta con un servidor de autenticación; un dispositivo o usuario de Internet establece una VPN con el firewall; y el firewall ejecuta OSPF para comunicarse con un router.

NOTA

GRE VPN, L2TP VPN, IPSec VPN y SSL VPN se describirán en los siguientes capítulos.

Figura 1-3 Tipos comunes de servicios procesados por firewalls

Al configurar las políticas de seguridad para dichos servicios, debemos garantizar el funcionamiento normal del servicio y proteger el firewall. Por lo tanto, debemos especificar condiciones de coincidencia refinadas para las políticas de seguridad. ¿Cómo especificar condiciones de coincidencia precisas? Necesitamos recopilar información como las direcciones de origen, las direcciones de destino y los tipos de protocolo de los servicios.

En la Tabla 1-2, proporciono condiciones coincidentes para los servicios que se muestran en la Figura 1-3 para su referencia.

Tabla 1-1 Configuración de condiciones coincidentes en políticas de seguridad basadas en protocolos o aplicaciones

Servicio

Emparejamiento de Condiciones en las Políticas de Seguridad

 

Zona de origen

Zona de destino

Dirección de origen

Dirección de destino

Aplicación o   Protocolo + Puerto de Destino

Telnet

Trust

Local

192.168.0.2

192.168.0.1

Telnet

Or TCP + port 23

SSH

Trust

Local

192.168.0.2

192.168.0.1

SSH

Or TCP + port 22

FTP

Trust

Local

192.168.0.2

192.168.0.1

FTP

Or TCP + port 21

HTTP

Trust

Local

192.168.0.2

192.168.0.1

HTTP

Or TCP + port 80

HTTPS

Trust

Local

192.168.0.2

192.168.0.1

HTTPS

Or TCP + port 443

RADIUS

Local

DMZ

172.16.0.1

172.16.0.2

RADIUS

Or UDP + port 1645/1646/1812/1813*

Envío de paquetes de   negociación OSPF (salientes)

Local

Untrust

1.1.1.1

1.1.1.2

OSPF

Recepción de   paquetes de negociación OSPF (entrantes)

Untrust

Local

1.1.1.2

1.1.1.1

OSPF

Envío de solicitudes   de establecimiento de túnel GRE VPN (saliente)

Local

Untrust

1.1.1.1

2.2.2.2

GRE

Recepción de   solicitudes de establecimiento del túnel GRE VPN (entrante)

Untrust

Local

2.2.2.2

1.1.1.1

GRE

Envío de solicitudes   de establecimiento de túnel VPN L2TP (salientes)

Local

Untrust

1.1.1.1

2.2.2.2

L2TP

Or UDP + port 1701

Recepción de   solicitudes de establecimiento de túnel L2TP VPN (entrante)

Untrust

Local

2.2.2.2

1.1.1.1

L2TP

Or UDP + port 1701

Envío de solicitudes   de establecimiento de túnel VPN IPSec (salientes)

Local

Untrust

1.1.1.1**

2.2.2.2

Modo Manual:

No se requiere   configuración.

Modo IKE ( entornos   transversales que no son NAT ):

UDP + puerto 500

Modo IKE (Entornos NAT   transversales):

UDP + puertos 500 y 4500

Recepción de   solicitudes de establecimiento de túnel VPN IPSec (entrantes)

Untrust

Local

2.2.2.2

1.1.1.1

Modo manual:

AH / ESP

Modo IKE (entornos   transversales que no son NAT):

AH/ESP y UDP +   puerto 500

Modo IKE (entornos transversales   NAT):

UDP + puertos 500 y 4500

SSL VPN

Untrust

Local

ANY

1.1.1.1

Modo confiable :

UDP + Puerto 443***

Modo Rápido:

UDP + puerto 443

*: Aquí se utiliza   el número de puerto predeterminado. Para el número de puerto especificado,   consulte la configuración del servidor RADIUS.

**: En entornos   transversales NAT, las direcciones de origen y destino pueden ser direcciones   públicas o privadas. Estar sujeto a la situación actual.

***: Si el firewall   es compatible con HTTPS y SSL VPN, esté sujeto a sus puertos reales.

 

  • x
  • convención:

Responder

Responder
Debe iniciar sesión para responder la publicación Inicio de sesión | Registrarse

Aviso: Para garantizar sus legítimos derechos e intereses, la comunidad y los terceros no publicarán contenido que pueda generar riesgos legales a las partes, por ejemplo, pornografía, contenido político, contenido sobre juego, consumo y tráfico de drogas, así como contenido que viole los derechos de propiedad intelectual de terceros, por ejemplo, secretos comerciales, marcas, derechos de autor, patentes y privacidad personal. No comparta su cuenta ni su contraseña con terceros. Todas las operaciones realizadas usando su cuenta se considerarán como sus acciones y todas las consecuencias que estas acciones generen serán responsabilidad suya. Para obtener información detallada, consulte la “ Política de privacidad.”
Si el botón para adjuntar no está disponible, actualice Adobe Flash Player con la versión más reciente

¡Ingresa y disfruta de todos los beneficios para los miembros!

Aterrizaje
Respuesta rápida Desplácese hasta arriba