GRE-parte 2

89 0 0 0

3 Configurando los mecanismos de seguridad GRE

Supongo que todos tienen una preocupación común, que es que si un usuario malintencionado en Internet falsificó un paquete GRE para que pareciera que fue enviado de FW_A a FW_B, ¿no podría este pretendiente acceder a los recursos de FW_B? Al construir el túnel GRE en FW_A y FW_B, ¿cómo podemos lograr la confianza mutua? A continuación discutiremos los mecanismos de seguridad de GRE.

 

1. Validación de palabras clave

 

Después de que el túnel GRE se haya configurado en el firewall, el servidor de seguridad no manejará cada paquete GRE que reciba, sino que solo manejará los paquetes GRE enviados por el dispositivo terminal correspondiente con el que construyó conjuntamente el túnel GRE. El segmento "clave" en el encabezado GRE se utiliza para lograr esta función.

 

Cuando el firewall encapsula los paquetes con un encabezado GRE, el valor del bit de clave en el encabezado GRE se establece en 1, y el segmento de clave se inserta en el encabezado GRE. Cuando dos firewalls construyen un túnel, los firewalls utilizan el valor de este segmento clave para verificar la identidad de cada uno, y el túnel solo se puede construir si el valor para la clave establecido por los dos terminales correspondientes es exactamente idéntico.

 

La siguiente figura muestra la información del encabezado GRE. En este encabezado, el hecho de que el bit de clave se establezca en 1 muestra que la función de validación de palabras clave se ha activado, mientras que la "Clave: 0x00003039" cerca del final es el valor de la palabra clave (convertido al sistema decimal, esto es '12345') .

175926wb3nl87tfg2fe79b.png?image.png

Los pasos para configurar la validación de palabras clave son muy simples. Lo único a lo que se debe prestar atención es que las palabras clave establecidas para los firewall en ambos extremos del túnel deben ser idénticas.

 

Establezca la palabra clave en 12345 en FW_A.

175937jcag4oac2wd6awe2.png?image.png

2. Validación de la suma de comprobación.

 

Aunque los firewall en ambos extremos del túnel ahora han establecido una confianza mutua, si existe la posibilidad de que los usuarios malintencionados manipulen los paquetes cuando se transmiten a través de Internet, ¿cómo podemos garantizar la integridad de los paquetes durante la transmisión? El campo "suma de comprobación" en el encabezado GRE se puede utilizar aquí.

 

Cuando un firewall encapsula un encabezado GRE en un paquete, el valor del bit de suma de comprobación del encabezado GRE se establece en 1. Una suma de comprobación se calcula de acuerdo con la información del paquete, y esta suma de comprobación se agrega al campo de suma de comprobación. Cuando el otro terminal del túnel recibe este paquete, también puede calcular una suma de comprobación basada en la información del paquete y compararla con la suma de comprobación que lleva el paquete. Si los resultados de la verificación son idénticos, entonces el firewall aceptará el paquete; Si no son idénticos, descartará el paquete.

 

La función de validación de suma de comprobación es unidireccional; si el otro firewall ha habilitado o no la función no afectará la función de validación de suma de comprobación del firewall. En entornos reales, se recomienda que esto se habilite simultáneamente en los firewall en ambos extremos del túnel.

 

En la captura de pantalla a continuación, el bit de suma de comprobación del encabezado GRE es 1, lo que significa que la función de validación de suma de comprobación se ha habilitado. La "suma de comprobación: 0x8f8d" en la figura siguiente es el valor de la suma de comprobación.

175950tw7z7nvh7glouhf7.png?image.png

Los pasos para configurar la validación de suma de comprobación también son muy simples. Para activar la validación de suma de comprobación en FW_A:

180000exoiis3uofhhoxuj.png?image.png

3. Keepalive

 

Los mecanismos de seguridad de GRE pueden lograr la confianza mutua entre los firewall en ambos extremos de un túnel y pueden garantizar la integridad de la transmisión de paquetes. Sin embargo, todavía hay un problema: si uno de los terminales de un túnel tiene una falla / problema, ¿cómo puede el otro terminal del túnel detectar esto?

 

Los túneles GRE son una especie de túnel sin estado. Esta palabra "sin estado" significa que un terminal del túnel no determinará el estado del otro terminal. O, para poner las cosas de otra manera, si surge un problema con un terminal del túnel, el terminal en el otro extremo del túnel no podrá detectar esto. Para resolver este problema, la tunelización GRE proporciona el mecanismo Keepalive.

 

Como se muestra en la Figura 1-7, después de que se active la función Keepalive en FW_A, FW_A enviará regularmente paquetes de sonda a FW_B para detectar el estado de este otro extremo del túnel. Si se puede llegar a FW_B, entonces FW__A recibirá un paquete de respuesta de FW_B, y FW_A mantendrá el estado normal del túnel. Si FW_A no recibe un paquete de respuesta de FW_B, esto significa que FW_B es inalcanzable, y FW_A cerrará el túnel. Esto evita los "agujeros negros" de datos debido a que uno de los terminales de un túnel no está disponible.

 

Figura 1-7 Función GRE Keepalive

180011gmonpanzj2242atj.png?image.png

La función Keepalive es unidireccional; si un terminal habilita o no la función Keepalive no afecta la función Keepalive del otro terminal. En entornos reales, se recomienda que los dos firewall de un túnel activen esta función simultáneamente.

 

Los comandos para activar la función Keepalive se dan a continuación. Aquí está el comando para activar la función Keepalive en FW_A:

180022s26q8ri***z18rzp.png?image.png

Para activar la función Keepalive en FW_B:

180028ts40n86nsngrpt8q.png?image.png

En este punto de nuestra lección, supongo que todos piensan que los túneles GRE son una gran cosa, pero en realidad eso no es del todo correcto. El túnel GRE tiene su propio talón de Achille: no incluye una función de cifrado de seguridad. Los paquetes GRE sin paquetes de encriptación de seguridad son realmente solo "alter-egos" transparentes, y los paquetes son todos "visibles" cuando se transmiten en el túnel. Por lo tanto, en la vida real rara vez usamos el GRE por sí solo, sino que usamos con frecuencia el GRE y el IPSec juntos. Como la tecnología IPSec está equipada con funciones de encriptación muy sólidas, este enfoque resuelve los problemas de seguridad de GRE, y esta es la tecnología GRE sobre IPS que explicaremos a continuación.

 

4 Enfoque a la configuración de la política de seguridad

En el "Capítulo 2 Políticas de seguridad", declaramos que "tanto las secuencias de datos reenviadas por un firewall como las secuencias de datos entre un firewall y el exterior están controladas por políticas de seguridad". Teniendo esto en cuenta, ¿qué interfaces y zonas de seguridad debemos usar con GRE? ¿Cómo podemos configurar políticas de seguridad para su uso con GRE? Debido a la existencia de interfaces de túnel, la configuración de la política de seguridad GRE puede ser un poco complicada y confusa. Pero por suerte para ti, el Dr. WoW tiene un conjunto de métodos que usaré para ayudarte a entender esto.

 

En la Figura 1-8, las interfaces GE0 / 0/1 de FW_A y FW_B están conectadas a redes privadas y pertenecen a la zona Trust; las interfaces GE0 / 0/2 pertenecen a la zona Untrust; La interfaz del túnel pertenece a la zona DMZ.

 

Figura 1-8 Configuración de la política de seguridad GRE VPN de una red

180039fppkpjpkkkc3kgge.png?image.png

El proceso para configurar las políticas de seguridad es el siguiente:

 

1. Primero configuramos una política de seguridad interzonal lo más amplia posible, para ayudar al ajuste/prueba GRE.

 

La acción de filtrado de paquetes por defecto de la zona intermedia de FW_A está configurada para "permitir"

180123svt4bvi7uuc8u4w7.png?image.png

La acción de filtrado de paquetes por defecto de la zona intermedia de FW_B está configurada para "permitir"

180130mv5i082nnlm23h32.png?image.png

2. Después de configurar GRE, PC_A hace ping a PC_B. La tabla de sesión se comprueba. Usando FW_A como ejemplo:

180139kub0afm00ojvfmga.png?image.png

La información anterior muestra que PC_A puede hacer ping a PC_B con éxito, y que una sesión GRE se ha establecido con éxito y normalmente.

 

3. *** ysis de la tabla de sesión permite la política de seguridad más apropiada para las condiciones existentes que deben seleccionarse.

 

Podemos ver dos transmisiones en la tabla de sesión. Uno es los paquetes ICMP de Trust a DMZ, y el otro son los paquetes GRE de Local a Untrust. Esto nos permite obtener la dirección de los paquetes en FW_A, como se muestra en la Figura 1-9.

 

Figura 1-9 FW_A dirección del paquete

180148hbazcq2e0peup2w1.png?image.png

La figura anterior muestra que FW_A necesita configurar una política de seguridad Trust -> DMZ que permita que los paquetes de PC_A que buscan acceso a PC_B pasen; otro Local -> Política de seguridad Untrust que permite a FW_A y FW_B establecer un túnel GRE también debe configurarse.

 

De manera similar, también podemos obtener la dirección de los paquetes en FW_B, como se muestra en la Figura 1-10.

 

Figura 1-10 dirección del paquete FW_B

180158eo152dnqeqznoc3h.png?image.png

La figura anterior muestra que FW_B necesita configurar una política de seguridad DMZ -> Trust que permita que los paquetes de PC_A que buscan acceso a PC_B pasen; otro Untrust -> La política de seguridad local que permite a FW_A y FW_B establecer un túnel GRE también debe configurarse.

 

Cuando PC_B inicia llamadas en PC_A, la dirección del paquete es opuesta a la dirección cuando PC_A accede a PC_B, y no es necesario seguir revisando esto.

 

Para resumir, las políticas de seguridad que deben configurarse en FW_A y FW_B en varias condiciones se muestran en la Tabla 1-1, y debemos configurar las políticas de seguridad que mejor se ajusten a las condiciones existentes como se muestra en la tabla.

 

Tabla 1-1 Selección de políticas de seguridad para FW_A y FW_B en función de las condiciones

180210phylhpeff1qpqf8q.png?image.png

En los escenarios GRE, las interfaces de túnel de FW_A y FW_B deben agregarse a las zonas de seguridad, y las zonas de seguridad a las que pertenecen las interfaces de túnel deben determinar la dirección de los paquetes dentro de un firewall. Si la interfaz del túnel pertenece a la zona Trust, no es necesario configurar ninguna política de seguridad interzonal DMZ-Trust, pero este enfoque también conlleva riesgos de seguridad. Por lo tanto, sugiero que la interfaz del túnel se agregue a una zona de seguridad separada y luego se configure con la política de seguridad que mejor se adapte a las condiciones existentes.

 

4. Finalmente, la acción del filtro de paquetes predeterminado se cambia a "denegar".

 

Establezca la acción de filtrado de paquetes predeterminada de la zona intermedia de FW_A en "deny":

180219ycvqqaxtt9lzzr07.png?image.png

Establezca la acción de filtrado de paquetes por defecto de la zona intermedia de FW_B en "deny":

180227wyprbv0nrbvprrxy.png?image.png

Aunque el proceso de ajuste / prueba mencionado anteriormente es un poco difícil, las políticas de seguridad configuradas de esta manera son relativamente refinadas y pueden garantizar adecuadamente la seguridad de los firewalls y la red interna.


  • x
  • convención:

Responder

Responder
Debe iniciar sesión para responder la publicación Inicio de sesión | Registrarse

Aviso Aviso: Para garantizar sus legítimos derechos e intereses, la comunidad y los terceros no publicarán contenido que pueda generar riesgos legales a las partes, por ejemplo, pornografía, contenido político, contenido sobre juego, consumo y tráfico de drogas, así como contenido que viole los derechos de propiedad intelectual de terceros, por ejemplo, secretos comerciales, marcas, derechos de autor, patentes y privacidad personal. No comparta su cuenta ni su contraseña con terceros. Todas las operaciones realizadas usando su cuenta se considerarán como sus acciones y todas las consecuencias que estas acciones generen serán responsabilidad suya. Para obtener información detallada, consulte la “ Política de privacidad.”
Si el botón para adjuntar no está disponible, actualice Adobe Flash Player con la versión más reciente
¡Ingresa y disfruta de todos los beneficios para los miembros!

¡Ingresa y disfruta de todos los beneficios para los miembros!

Aterrizaje