HCIP Seguridad Comunicación Entre los Sistemas Virtuales y los Sistemas Públicos Destacado

Última respuesta Sep 02, 2019 11:36:40 28 1 2 0

Buena tarde a todos.


Antes de pasar al post, los invito a que visiten los siguientes links y consulten la informacion relacionada al tema:

https://forum.huawei.com/enterprise/es/solucion-next-generation-firewall-ngfw-y-vngfw/thread/558643-100233

https://forum.huawei.com/enterprise/es/firewall-sistema-virtual/thread/557611-100233

https://forum.huawei.com/enterprise/es/hcip-seguridad-sistemas-virtuales-en-firewall-fundamentos-y-referencias/thread/562071-100233

https://forum.huawei.com/enterprise/es/firewall-sistemas-virtuales-troubleshooting/thread/557903-100233


Ahora bien, pesentamos el tema:


COMUNICACIÓN ENTRE SISTEMAS VIRTUALES Y SISTEMAS PÚBLICOS.


·  Las interfaces virtuales son interfaces lógicas usadas para comunicación entre sistemas virtuales. Después de que se crea un sistema virtual, automáticamente se crea una interface virtual para el sistema creado.

173249tlkxll7koko00gbg.png?image.png

En la imagen se representa la interconexión entre sistemas virtuales; las líneas hacer referencia a los enlaces virtuales, y los círculos hacen referencias a las interfaces virtuales.


·        Los sistemas virtuales pueden comunicarse entre ellos usando las interfaces virtuales.


·        Los protocolos de capa de enlace en un sistema virtual siempre está en UP. Una interface virtual, que puede o no contener una dirección IP configurada, debe ser asignada a una zona de seguridad, de lo contrario, esta no podrá operar correctamente.


·        La interface virtuales son nombradas con el siguiente formato virtual-if + número, iniciando con el sistema virtual con la interface 0. Otras interfaces virtuales se enumeran automáticamente desde el 1.


·        La interface virtual dentro de cada sistema virtual está conectada al sistema virtual del sistema público a través de un “enlace virtual”. Los sistemas virtuales pueden ser considerados como dispositivos independientes, y las interface virtuales pueden entenderse como las interfaces de comunicación entre los dispositivos. Se pueden agregar las interfaces virtuales a zonas de seguridad y configurarles rutas y políticas de seguridad para habilitar y controlar la comunicación entre los sistemas públicos y los sistemas virtuales.



ACCESO DESDE UN SISTEMA VIRTUAL A UN SISTEMA PÚBLICO.

Vamos a utilizar la imagen que se muestra a continuación para ejemplificar como ocurre este proceso:

160950a1z6ffi7i1nk1kf6.png?image.png


1.     El usuario envía una petición de acceso.

2.     Se procesa el paquete basado en  el proceso d reenvío del firewall, este proceso se basa en la información contenida en la tabla de ruteo, con esta acción, se crea una sesión en el firewall.

3.     Ocurre o mismo que se ha plateado en el paso dos, solo que ahora sucede en el sistema público.

4.     Culmina la petición de acceso.

 

Con explicación a detalle tenemos:

 

·        Los usuarios en el segmento de red 10.3.0.0/24  del sistema virtual vsysa acceden al servidor de internet 3.3.3.3 a través de la interface WAN Gi1/0/1.

Ø El cliente inicia una conexión hacia el servidor.


Ø El primer paquete llega la firewall y es enviado hacia el sistema virtual a (vsysa) con base al método de basado en interface. El sistema virtual entonces procesa el paquete basándose en el proceso de reenvío del firewall, esto incluye que se consulte la blacklist, que busque en la tabla de ruteo, que se desempeñen los procesos de NAT correspondientes y las consultas necesarias en las políticas de seguridad. Si en algún punto de los pasos antes mencionados el paquete es denegado, el sistema virtual  lo descarta y con ello, finaliza el proceso. Si el paquete pasa de manera satisfactoria en todos los pasos, el sistema virtual reenvía el paquete hacia el sistema público. Al mismo tiempo, el sistema virtual crea una sesión para la conexión en curso.


Ø El paquete es reenviado a través del ruteador y llega al servidor.


Ø Después de que llega el paquete en el sistema público, este paquete verifica en la tabla de sesión y después es reenviado hacia el sistema virtual, el cuál debe tener una ruta hacia intranet configurada. En el sistema público, no se necesita configurar rutas de regreso para los paquetes que se responden desde el servidor. Después de que se encuentra una coincidencia en la tabla se sesión, los paquetes que son respondidos por el servidor son directamente reenviados hacia el sistema virtual.


ACCESO DESDE EL SISTEMA PÚBLICO HACIA EL SISTEMA VIRTUAL

·        Nuevamente, utilizaremos la imagen subsecuente para ejemplificar el proceso:

173514y1h9zwd910385zo3.png?image.png

1.     El usuario reenvía la petición de acceso.

2.  El paquete se procesa en el sistema público basado en el proceso de reenvío de paquetes del firewall consultado la tabla de ruteo. Se crea entonces una sesión.

3.     Mismo mecanismo que en el paso 2, solo que ahora se lleva a cabo en el sistema virtual.

4.     El usuario finalmente accede al servidor.

 

El proceso detallado se omite aquí, ya que sigue los mismos principios que los que se han expresado con anterioridad.



COMUNICACIÓN ENTRE SISTEMAS VIRTUALES

Con apoyo en la siguiente imagen, se describe el proceso:

173608w8rsucrx5ccmublx.png?image.png


1.     El usuario envía una solicitud de acceso.

2.     El sistema virtual procesa el paquete basado en el proceso de reenvío definido en el firewall, esto incluye consultar la tabla de ruteo. Se crea entonces una sesión.

3.     Cuando el paquete llega al sistema destino, es procesado por por el sistema virtual, tomando en cuenta las premisas ya descritas.

4.     Finalmente, el paquete accede al servidor.

 

Los sistemas virtuales permaneces aislados por defecto. Los hosts en diferentes sistemas virtuales no pueden comunicarse entre sí. Si existe la necesidad de  que los hosts se comuniquen entre dos sistemas virtuales, se debe configurar rutas y políticas para que esto se lleve a cabo.

 

A continuación, el proceso detallado de lo que se ve en la imagen:


Ø Después de que se ha configurado la intercomunicación entre sistemas virtuales, los usuarios en el segmento 10.3.0.0/24 del sistema virtual a pueden acceder al servidor en el segmento 10.3.1.3 en el sistema virtual b.


Ø El sistema virtual a inicia una petición de acceso hacia el sistema virtual b. los paquetes con esta petición entran el en sistema virtual a. el sistema virtual a los procesa basándose en las el proceso de reenvío que tiene predeterminado. Entonces, el paquete con la petición entra al sistema virtual b. ahora, el sistema virtual b procesa el paquete basándose en sus políticas de reenvío.


·        Como el paquete debe ser procesado basándose en las políticas de envío de cada sistema virtual, estos deben contar con políticas y rutas configuradas.



Hasta aquí la información del post, no olvides comentar, compartir y dejar tu ♥ si la nformación te pareció útil.

  • x
  • convención:

Gustavo.HdezF
Moderador Publicado 2019-9-2 11:36:40 Útil(0) Útil(0)
Interesante tema y de gran ayuda ahora que los sistemas virtuales se están utilizando ampliamente. Gracias por compartir esta información en el foro. Saludos.
  • x
  • convención:

Ingeniero%20en%20Comunicaciones%20y%20Electr%C3%B3nica%20con%2020%20a%C3%B1os%20de%20experiencia%20en%20el%20%C3%A1rea%20de%20las%20telecomunicaciones%20para%20voz%20y%20datos%2C%20comparto%20mi%20experiencia%20dando%20clases%20en%20la%20Universidad%20Polit%C3%A9cnica%20de%20Quer%C3%A9taro.

Responder

Responder
Debe iniciar sesión para responder la publicación Inicio de sesión | Registrarse

Aviso Aviso: Para garantizar sus legítimos derechos e intereses, la comunidad y los terceros no publicarán contenido que pueda generar riesgos legales a las partes, por ejemplo, pornografía, contenido político, contenido sobre juego, consumo y tráfico de drogas, así como contenido que viole los derechos de propiedad intelectual de terceros, por ejemplo, secretos comerciales, marcas, derechos de autor, patentes y privacidad personal. No comparta su cuenta ni su contraseña con terceros. Todas las operaciones realizadas usando su cuenta se considerarán como sus acciones y todas las consecuencias que estas acciones generen serán responsabilidad suya. Para obtener información detallada, consulte la “ Política de privacidad.”
Si el botón para adjuntar no está disponible, actualice Adobe Flash Player con la versión más reciente
¡Ingresa y disfruta de todos los beneficios para los miembros!

¡Ingresa y disfruta de todos los beneficios para los miembros!

Aterrizaje