De acuerdo

Preguntas frecuentes: ¿cómo administrar un firewall remoto a través del túnel IPSec?

Última respuesta jul. 23, 2021 14:08:20 230 1 7 0 0

Descripción del problema

Escenario: túnel IPSec entre dos sitios (sede y sucursal) donde el firewall de sucursal (NGFW_B en la topología anterior) debe administrarse desde la sede central a través del túnel IPSec.


g1


Para lograr el escenario anterior, debemos cumplir las siguientes condiciones en un firewall tradicional:

l  El tráfico de administración debe coincidir con la ACL de seguridad del firewall, lo que significa que el firewall debería administrarse en la dirección IP configurada en la interfaz LAN y no en la dirección IP pública configurada en la interfaz WAN. La topología, en el caso de que un usuario hubiera querido acceder a la interfaz web del firewall a través del túnel IPSec desde la sucursal, necesitaría acceder a la dirección IP 10.1.1.1.

l  Las políticas de seguridad entre la zona local y la zona de seguridad a la que pertenece la interfaz WAN deben permitir el reenvío de tráfico.

 

El NGFW también trae la nueva función de administración de servicios que permite a un administrador administrar un NGFW a través de una interfaz específica, incluso si no se aplica una política de seguridad para el tráfico entre la zona local y la zona de seguridad a la que pertenece la interfaz.

 

Esta función se puede habilitar ejecutando el comando service-manage enable en la interfaz.

 

Una vez habilitada la función de gestión, el firewall se puede configurar para permitir o bloquear el acceso HTTP, HTTPS, ping, SSH, SNMP o Telnet en el firewall en esa interfaz específica con el comando service-manage { http | https | ping | ssh | snmp | telnet } { permit | deny }


Lo interesante de esta función es que los paquetes de administración pueden acceder a una dirección IP local de destino solo cuando la función de administración de acceso está habilitada en la interfaz de entrada. Por ejemplo, si los usuarios de HQ desean acceder a la interfaz GigabitEthernet 1/0/1 del sitio de la sucursal a través del túnel IPSec, y sus paquetes ingresan al dispositivo a través de GigabitEthernet 1/0/2. La función de administración de acceso debe estar habilitada en GigabitEthernet 1/0/2. De lo contrario, se desactivará el acceso a GigabitEthernet 1/0/1.

 

Esto puede resultar confuso en diferentes escenarios como el de IPSec porque tendemos a habilitar la función de administración bajo la interfaz que queremos administrar. Por ejemplo, si queremos gestionar el firewall en la dirección IP configurada en la interfaz g1/0/1 del firewall de la sucursal, de modo que el tráfico de gestión que llega a través del túnel coincida con la ACL de seguridad del firewall, podemos asumir incorrectamente que la función debe habilitarse en la interfaz g1/0/1. Sin embargo, esta operación no ayudará en este caso.

 

Dada esta situación, la función de gestión debería aplicarse realmente en el g1/0/2, la interfaz en la que el dispositivo recibe los paquetes, que también es la interfaz WAN.

 

Esta configuración trae una gran desventaja porque una vez que la configuración de administración está habilitada bajo la interfaz WAN, la dirección IP local de la interfaz WAN será accesible desde cualquier fuente, sin importar las políticas de seguridad configuradas.

 

Solución

Para solucionar este problema y permitir la gestión del firewall a través del túnel VPN sin permitir que otros usuarios de Internet accedan a él, necesitamos la siguiente configuración:

 

  1. Deshabilite la función de gestión de servicios en la interfaz WAN:

Example :
Interface g1/0/2
undo service-manage enable

 

2. Configure políticas de seguridad para permitir la administración del firewall solo desde el sitio remoto.

Example :
#                                                                                                                                  
rule name ping_external_ip
  source-zone untrust                                                                                                                
  destination-zone local       
  source-address xx.xx.xx.xx     //ip address of the admin                                                                                               
  destination-address xx.xx.xx.xx // ip address of the wan interface
action permit                                                                                                                    
#

 

Aquí va la configuración

 

Saludos.


FIN.


También te puede interesar:

Conociendo el concepto de HWTACACS en el ámbito de la seguridad informática

Compilación de publicaciones sobre la solución de seguridad NIP6000 de Huawei

Escenario de aplicación típica del firewall como cliente DNS


Conoce más de esta línea de productos en:

Controlador de red eSight

Foro de switches de Huawei

Foro de seguridad de Huawei

                                                                    

O pregúntale al robot inteligente de Huawei, conócelo aquí: 

Infografía: Conoce a iKnow, el robot inteligente


  • x
  • Opciones:

Guaman
Publicado 2021-7-23 14:08:20
Gracias es un tema muy importante para mi dado que yo estoy haciendo mi tesis en la universidad tratando temas muy parecidos de conexion.
Ver más
  • x
  • Opciones:

Comentar

Debe iniciar sesión para responder la publicación Inicio de sesión | Registrarse
Responder

Aviso: Para garantizar sus legítimos derechos e intereses, la comunidad y los terceros no publicarán contenido que pueda generar riesgos legales a las partes, por ejemplo, pornografía, contenido político, contenido sobre juego, consumo y tráfico de drogas, así como contenido que viole los derechos de propiedad intelectual de terceros, por ejemplo, secretos comerciales, marcas, derechos de autor, patentes y privacidad personal. No comparta su cuenta ni su contraseña con terceros. Todas las operaciones realizadas usando su cuenta se considerarán como sus acciones y todas las consecuencias que estas acciones generen serán responsabilidad suya. Para obtener información detallada, consulte el “ Contrato de usuario.”

My Followers

¡Ingresa y disfruta de todos los beneficios para los miembros!

Inicia sesión

Bloquear
¿Estás seguro de bloquear a este usuario?
Los usuarios en lista negra no pueden comentar tus publicaciones,no pueden mencionarte,no pueden enviarte mensajes privados.
Recordatorio
Agrega tu número de teléfono para obtener un bono de invitación.
Guía de privacidad y seguridad de usuario
¡Gracias por ser parte de la Comunidad de Soporte Huawei Enteprise! A continuación te ayudaremos a consultar y entender cómo recopilamos, procesamos, protegemos y almacenamos tus datos personales, así cómo los derechos obtenidos de acuerdo con Política de privacidad y Contrato de usuario.