HCIP Seguridad Sistemas Virtuales en Firewall Fundamentos y Referencias Destacado

Última respuesta Sep 04, 2019 13:50:53 162 1 1 0

Buena tarde a todos.


El siguiente post habla del tema SISTEMAS VIRTUALES, especificamente enfocado a los principios que lo rigen.

Los tres enlaces de a continuación te llevarán a otras publicaciones dentro del foro que te ayudarán a entender con mayor facilidad la infomación que encontrar en este post


https://forum.huawei.com/enterprise/es/solucion-next-generation-firewall-ngfw-y-vngfw/thread/558643-100233

https://forum.huawei.com/enterprise/es/firewall-sistemas-virtuales-troubleshooting/thread/557903-100233

https://forum.huawei.com/enterprise/es/firewall-sistema-virtual/thread/557611-100233


SISTEMAS VIRTUALES: PRINCIPIOS


PRINCIPIOS DEL SISTEMAS VIRTUAL

·        Un NGFW tiene dos tipos de sistemas virtuales: el público (public system) y propiamente el sistema virtual (vsys).

§  El sistema público es un sistema virtual especial que existe en el NGFW de manera predeterminada.

§  Los sistemas virtuales (vsys) son independientes, son sistemas lógicas creados en el NGFW.

195201ghni0htt0h2jka8h.png?image.png

Explicado en una imagen, el recuadro azul representa físicamente un sistema público, es decir el NGFW, mientras que  recuadros azules con líneas secuenciales representan a los sistemas virtuales, es decir, los sistemas virtuales existen dentro del sistema público.




Si los puntos que vimos en la introducción los ahondamos un poco más, encontramos que:

 

1.     SISTEMA PÚBLICO.

El sistema público es un sistema virtual especial en el firewall y está disponible incluso si la función de sistema virtual está deshabilitada. Este sistema se configura de igual manera que configuramos el firewall en sí. Después que se habilita la función sistema virtual, el sistema público hereda todas las configuraciones del firewall.

El sistema público administra otros sistemas virtuales y reenvía el tráfico entre ellos.

 

2.     SISTEMA VIRTUAL.

Son sistemas independientes creados en el firewall.

Para responder, aislar y administrar de manera independiente e tráfico de diferentes sistemas virtuales, el firewall implementa la virtualización con base a los siguientes aspectos:


§  Virtualización de recursos: cada sistema virtual tiene recursos dedicados, incluyendo interfaces, VLAN´s, políticas y sesiones. Los recursos son asignados por administrador del sistema público y administrados por un administrador que el mismo administrador del sistema público designe, aunque bien, puede ser él mismo.


§  Configuración de virtualización: cada sistema tiene su interface de configuración, y no puede ser accedida por los administradores de otros sistemas.


§  Función de seguridad dentro del sistema virtual: cada sistema virtual tiene políticas de seguridad independientes y otras funciones de seguridad las cuales se aplican solo a los paquetes del sistema virtual.


§  Virtualización de ruta: cada sistema virtual mantiene tablas de ruteo separadas, independientes y aisladas una de la otra. Actualmente, solo se soportan rutas estáticas.

 

SISTEMA VIRTUAL E INSTANCIAS DE VPN

 

·        Instancias de VPN creadas de manera automática cuando se crea  el sistema virtual.

§  Cuando se crea un sistema virtual dentro del firewall, el firewall automáticamente genera una instancia de VPN con el mismo nombre que el sistema virtual. El reenvío de tráfico de las capas inferiores depende de las instancias de VPN, mientras que el servicio de configuración en las capas superiores no lo es.


·        Instancias VPN creadas manualmente.

§  El administrador puede ejecutar el comando ip vpn-intatance para crear de manera manual instancias VPN para el aislamiento de las rutas.


·        El concepto de instancias VPN fue introducido por primera en BGP y MPLS para aislar el tráfico de las rutas VPN de las rutas públicas y al mismo tiempo aislar el tráfico de las diferentes VPN. Las instancias VPN pueden ser usadas  para dividir las rutas en múltiples e independientes ruteadores para el aislamiento de las rutas en las redes basadas en IP. Las instancias VPN pues bien, también existen en los firewalls.

 

·        Ya dijimos que, el NGFW provee dos tipos de rutas: las automáticas y las creadas de manera manual:

§  Las generadas de manera automática cuando el sistema virtual es creado. Esta VPN es utilizada para aislar el tráfico. Para ser específicos, el servicio de reenvío en las capas inferiores del sistema virtual aun depende de las instancia de VPN, y como ya se dijo, no es así en los servicios de las capas superiores. Administrar un sistema virtual es similar a administrar un dispositivo en standalone, solo se necesita configurar servicios den el dsipositivo específico, las configuraciones no necesitan ser  asociadas con alguna instancia VPN, lo cuál simplifica en gran medida la administración.


§  Las generadas de manera manual utilizando un comando. Estas rutas se usan por lo general para aislar el tráfico de las rutas en MPLS. Por aquellas funciones que no pueden ser virtualizadas, tales como el ruteo dinámico , multicast IPSec VPN y L2TP VON, se utiliza el servicio VPN de múltiples instancias. Regularmente, las instancias de VPN usadas para el aislamiento de las turas hacen referencia a aquellas que son creadas de manera manual.

 

ADMINISTRACIÓN DEL SISTEMA VIRTUAL.

 

Los administradores son clasificados en dos tipos: los administradores del sistema público y los administradores de los sistemas virtuales. Los roles y las funciones de cada uno son diferentes. En la imagen se ejemplifica y posteriormente será explicado.

195411cak1paxije6ekizi.png?image.png


·        Administrador del sistema público:

§  Después de que se habilita la función de virtualización, los administradores del firewall se convierten en administradores del sistema público. Estos administradores puedes administrar el firewall y el sistema público, usando las mismas credenciales que hasta el momento venían usando.


§  Un administrador de este rango puede configurar sistemas virtuales, así como crearlos o eliminarlos y asignar recursos a los mismos, solo cuando se le han concedido al administrador los permisos para hacerlo. Inicialmente, los administradores del sistema público tienen todos los permisos para realizar cualquier acción den un sistema virtual, a menos que se indique lo contrario.


·        Administradores de los sistemas virtuales:

§  El rol de estos administradores en diferentes a los administradores del sistema público. Un administrador con este rol puede solo administrar el sistema virtual que le fue asignado.


§  Para relacionar a un administrador con un sistema virtual, su cuenta es nombrada en el siguiente formato: nombre@nombre_del_sistema_virtual.

 

ASIGNACIÓN DE RECURSOS.

 

Propiamente, la asignación de recursos limita el monto de recurso que cada sistema virtual tendrá.

El sistema del NGFW soporta dos tipos de asignación de recursos, por cuota y manual:

·        Cuota (Quota): son asignados de manera automática basados en las especificaciones del sistema, estos recursos son: SSL VPN Gateway y security zone.


·        Manual Allocation (asignación manual):  son asignados por los usuarios del sistema, a través de la línea de comandos o la interface web, estos incluyen interfaces, VLAN, direcciones IP públicas, sesiones IPv4 e IPv6, números de usuario, usuarios en línea sesiones SSL VPN, grupos de usuarios, políticas y ancho de banda.


§  La asignación manual tiene dos valores:

ü Valor reservado (reserved value): especifica la cantidad de recursos comprometidos a un sistema virtual y no pueden ser anticipados por otros sistemas virtuales.


ü Valor máximo (máximum value): especifica la cantidad máxima permitida de un recurso que un sistema virtual puede tener si el sistema virtual puede lograr el valor máximo depende de los recursos disponibles y la competencia que exista entre los sistemas virtuales por estos mismo recursos.

 

RECURSOS ANTICIPADOS COMPARTIDOS.

·        Estos recursos son las direcciones y el grupo de direcciones, la región y los grupos de región, servicios definidos por el usuario y los grupos de servicio,  pool de direcciona NAT, ahendasm periles de tráfico, rutas estáticas, tablas ARP, MAC y server-map.

 

LIMITE DE ANCHO DE BANDA E INTERFACES PÚBLICAS.

·        Los recursos de ancho de banda están clasificados en ancho de banda de entrada, ancho de banda de salida y total de ancho de banda. El ancho de banda se limita en la tranmision de datos que está relacionada a las interfaces de entrada e interfaces de salida.


·        La interface publica no se refiere a la interface del firewall conectada a internet, de hecho, es la interface especificada por el comando set public-interface. La interface privada se refiere a la interface que no le ha sido especificado, es decir, que no se le ha colocado el anterior comando mencionado.

195517voneoyznzzmozzhb.png?image.png

La imagen hace referencia a la descripción entre las interfaces pública y privada y el límite del ancho de banda.


·        La interfaces públicas son principalmente usada para estadísticas de tráfico de un sistema virtual.

·        Como lo muestra en la imagen, el sistema virtual A tiene dos interfaces públicas y dos privadas.

Las interfaces de entrada y salida, y el total de tráfico dentro del sistema A se describen a continuación:

§  Tráfico de entrada (inbound traffic): el tráfico que viene de una interface pública hacia una interface privada. Está sujeta al límite de ancho de banda que se asigne a la entrada.

§  Tráfico de salida (outbound traffic): el tráfico de la interface privada hacia la interface pública. Está sujeta al límite de ancho de banda que se le asigne a la salida.

§  Tráfico total (entire traffic): incluye el tráfico de entrada, el tráfico de salida de una interface privada a otra interface privada, y el tráfico de una interface pública a otra interface pública. Está sujeto el límite total de ancho de banda.

 

CLASIFICACÓN DEL TRÁFICO EN UN SISTEMA VIRTUAL

 

·        Después de la recepción de un paquete, el firewall debe determinar primero el destino. este proceso es llamado clasificación dl tráfico.

·        Después de la clasificación del tráfico, los paquetes que entran al firewall pueden ser enviados al sistema virtual correcto para ser procesados.


·        El firewall soporta la clasificación del tráfico basada en interface y basada en VLAN.

§  Interface-based: las interfaces trabajan en capa 3

§  Vlan-based: las interfaces trabajan en capa 2


·        Si no se configura un sistema virtual en el firewall, el firewall reenvía los paquetes basándose en las polpiticas y las tablas (mac, sesión y de ruteo) del sistema público.


·        Después de que configura un sistema virtual en el firewall, cada sistema virtual funciona como un dispositivo dedicado con sus propias políticas y tablas para el procesamiento de paquetes. En este caso, después de recibir un paquete, el firewall primero debe determinar el sistema virtual destino al que se dirige.

 

CLASIFICACIÓN DEL TRÁFICO BASADO EN INTERFACE.

·        Después de que la interface es asociada a un sistema virtual, todos los paquetes recibidos en esa interface pertenecen al sistema virtual asociado y el firewall procesa el paquete basado en la configuración del sistema virtual.

195608kzek2kwiocwee2ik.png?image.png

Véase la imagen, donde se hace referencia a la clasificación del tráfico sobre la interface.


CLASIFICACIÓN DEL TRÁFICO BASADO EN VLAN.

·        Después de que se agrega una VLAN a un sistema virtual, el firewall reenvía los paquetes hacia esa VLAN ligada al sistema virtual.

195647pfmjf8msfkplj3cs.png?image.png

Al igual que en la imagen anterior, en esta ocasión se presenta la clasificación del tráfico, pero ahora con base a VLAN.


·        La interface Ge1/0/1 es una interface troncal que trabaja en capa 2 y está configurada para permitir los paquetes de los sistemas virtuales A, B y C. después de recibir un paquete en la interface descrita, el firewall checa la etiqueta en la VLAN que tiene en su encabezado para determinar a cual VLAN está ligada.


·        Después de que el paquete entra en el sistema virtual, el firewall checa la dirección la tabla de direcciones MAC para obtener la interface de salida y después decidir si se reenvía o se descartar el paquete, basado en la política de ruteo inter-zona.



Hasta aquí llega la información, recuerda visitar los post antecedentes, compartir, comentar y dejar tu ♥, las segerencias s nuevas publicaciones son bienvenidas.






  • x
  • convención:

Angello_Oropeza
Publicado 2019-9-4 13:50:53 Útil(0) Útil(0)
Wow!
  • x
  • convención:

Responder

Responder
Debe iniciar sesión para responder la publicación Inicio de sesión | Registrarse

Aviso Aviso: Para garantizar sus legítimos derechos e intereses, la comunidad y los terceros no publicarán contenido que pueda generar riesgos legales a las partes, por ejemplo, pornografía, contenido político, contenido sobre juego, consumo y tráfico de drogas, así como contenido que viole los derechos de propiedad intelectual de terceros, por ejemplo, secretos comerciales, marcas, derechos de autor, patentes y privacidad personal. No comparta su cuenta ni su contraseña con terceros. Todas las operaciones realizadas usando su cuenta se considerarán como sus acciones y todas las consecuencias que estas acciones generen serán responsabilidad suya. Para obtener información detallada, consulte la “ Política de privacidad.”
Si el botón para adjuntar no está disponible, actualice Adobe Flash Player con la versión más reciente
¡Ingresa y disfruta de todos los beneficios para los miembros!

¡Ingresa y disfruta de todos los beneficios para los miembros!

Aterrizaje