[Dr.WoW] [No.4] Zonas de seguridad

Pubilicado 2019-1-17 18:42:22 65 0 0 0

Hasta ahora, hemos examinado los conceptos detrás de los firewalls, así como su historial de desarrollo, y también acabo de presentar los productos de firewalls de Huawei; Confío en que todos ahora tengan una comprensión elemental de los firewall. A partir de esta sección, detallaré las tecnologías de firewall y continuaré explorando el increíble mundo de los firewalls.

 

1 Relaciones entre interfaces, redes y zonas de seguridad

Como mencionamos en la sección 1 "¿Qué son los firewalls?", Los firewalls se implementan principalmente en los perímetros de la red para ayudar a separarlos / segmentarlos. Entonces surge la pregunta, ¿cómo pueden los firewall reconocer diferentes redes?

Para ayudar a responder esta pregunta, hemos incorporado un concepto muy importante para el uso con firewall: la zona de seguridad, o "zona" para abreviar. Una zona de seguridad es una combinación de una o varias interfaces. Los firewall utilizan zonas de seguridad para separar / segmentar redes, marcando así la "ruta" que los paquetes pueden viajar. En general, los paquetes solo se controlan cuando pasan entre dos zonas de seguridad diferentes.

 

NOTA

 

Con la configuración predeterminada, los paquetes se controlan cuando pasan entre diferentes zonas de seguridad, pero no se controlan cuando viajan dentro de una sola zona de seguridad. Sin embargo, los firewalls de Huawei también admiten el control de paquetes que viajan dentro de la misma zona de seguridad. El control mencionado aquí se implementa mediante "reglas", también llamadas "políticas de seguridad", e introduciremos las características específicas de éstas en "Políticas de seguridad".

 

Todos sabemos que los firewalls conectan redes a través de interfaces; Una vez que las interfaces se asignan a zonas de seguridad, estas interfaces pueden conectar zonas de seguridad a la red. En términos generales, referirse a cualquier zona de seguridad es lo mismo que referirse a la red conectada a través de la interfaz de la zona de seguridad. Las relaciones entre interfaces, redes y zonas de seguridad se muestran en la Figura 1-1.

PRECAUCIÓN

 

En los firewalls de Huawei, cualquier interfaz solo se puede agregar a una zona de seguridad.

 

Figura 1-1 Relaciones entre interfaces, redes y zonas de seguridad

083804lqdffr0rl7m3zx4x.png

Al asignar interfaces a diferentes zonas de seguridad, podemos crear diferentes redes en un firewall. Como se muestra en la Figura 1-2, hemos asignado la Interfaz 1 y la Interfaz 2 a la Zona de seguridad A, la Interfaz 3 a la Zona de seguridad B, y la Interfaz 4 a la Zona de seguridad C. De esta manera, hay tres zonas de seguridad en el firewall, y Tres redes correspondientes.

 

Figura 1-2 Asignación de interfaces a zonas de seguridad

083819kzirvqmrtr1hqaqi.png

La configuración predeterminada de Huawei para sus firewall es proporcionar tres zonas de seguridad. Estas son las zonas de seguridad Trust, DMZ y Untrust. Solo a partir de estos nombres, es evidente que estas tres zonas de seguridad son ricas en significado, y profundizaré en esto más adelante.

 

La zona Trust: la confiabilidad de la red de esta zona es muy alta, y esto generalmente se usa para definir la red en la que se encuentran los usuarios internos.

La Zona DMZ: la confiabilidad de la red de esta zona se encuentra en un nivel intermedio, y esto generalmente se usa para definir la red en la que se encuentran los servidores internos.

La Zona UnTrust: esta zona representa redes no confiables, y generalmente se define como Internet y otras redes inseguras.

NOTA

 

La zona desmilitarizada (DMZ, por sus siglas en inglés) es un término militar que se usa para describir el territorio administrado de una manera que es "más flexible" que la administración estricta de los distritos bajo control militar, pero más estricto que los espacios públicos administrados. Este término se ha incorporado a la terminología de firewall para describir una zona de seguridad con un grado de confiabilidad intermedio a los de las redes internas y externas.

 

En escenarios donde el tráfico de red es relativamente ligero y el entorno de red es simple, usar las zonas de seguridad predeterminadas es suficiente para satisfacer las necesidades de segmentación de la red. En la Figura 1-3, la Interfaz 1 y la Interfaz 2 se conectan a usuarios internos, por lo que podemos asignar estas dos interfaces a la Zona de Confianza; La interfaz 3 se conecta a servidores internos, por lo que puede asignarse a la zona DMZ; La interfaz 4 se está conectando a Internet y puede asignarse a la Zona Untrust. Por supuesto, para configuraciones de red con más tráfico de datos, podemos crear nuevas zonas de seguridad según sea necesario.

 

Por lo tanto, podemos describir la ruta tomada por los paquetes a través del firewall cuando los usuarios de diferentes redes se comunican entre sí. Por ejemplo, cuando los usuarios en redes internas acceden a Internet, la ‘ruta’ para paquetes a través del firewall es desde la Zona de Confianza a la Zona de No Confianza; cuando los usuarios de Internet acceden a los servidores internos, la ruta de los paquetes a través del firewall es desde la Zona Untrust a la Zona DMZ.

 

Además de los paquetes que pasan entre diferentes redes, también hay paquetes enviados desde las redes al propio servidor de seguridad (por ejemplo, cuando iniciamos sesión en el servidor de seguridad para configurarlo), así como los paquetes enviados por el servidor de seguridad. ¿Cómo pueden identificarse las rutas tomadas por estos paquetes en el firewall?

 

Como se muestra en la Figura 1-4, se proporciona una Zona Local en el firewall: esto representa al propio firewall. Cualquier paquete enviado activamente por el firewall puede considerarse enviado desde la Zona Local; cualquier paquete que necesite una respuesta y manejo (sin incluir el reenvío) desde / por el firewall puede considerarse recibido por la Zona Local.

 

Figura 1-4 Zona de seguridad local

 

 

 

 

 

También agregaré un recordatorio sobre la Zona Local: la Zona Local no puede agregar ninguna interfaz, pero todas las interfaces del firewall están ocultas en la Zona Local. Es decir, cuando los paquetes pasan a través de una interfaz hacia una red, su zona de seguridad de destino es la zona de seguridad en la que se encuentra la interfaz, pero cuando los paquetes pasan a través de una interfaz al firewall, su zona de seguridad de destino es simplemente la Local Zona. Esto permite que todos los equipos / dispositivos bajo una interfaz puedan acceder al propio firewall. Esto también hace que la relación de la Zona Local con las otras zonas de seguridad sea más explícita, matando así a dos pájaros de un tiro.

 

2 Dirección del flujo de paquetes entre zonas de seguridad

Como expliqué anteriormente, las diferentes redes tienen diferentes niveles de confiabilidad. Después de usar las zonas de seguridad para definir las redes en los firewalls, ¿cómo podemos deducir la confiabilidad de una zona de seguridad? En los firewalls de Huawei, cada zona de seguridad debe tener su propio nivel de seguridad único de 1-100; cuanto mayor sea el número, mayor será la confiabilidad de la red de la zona. Para las zonas de seguridad predeterminadas, la clasificación de seguridad es fija. El nivel de seguridad de la 

Zona Local es 100, el nivel de seguridad de la Zona Trust es 85, el nivel de seguridad de la DMZ es 50 y el nivel de seguridad de la Zona Untrust es 5.

 

La configuración de los niveles de seguridad separa las zonas de seguridad por rango. Cuando los paquetes pasan entre dos zonas de seguridad, nuestra regla es que cuando los paquetes pasan de zonas de seguridad de bajo nivel a zonas de seguridad de alto nivel, la dirección del paquete se considera Entrante; cuando los paquetes pasan de zonas de seguridad de alto nivel a zonas de seguridad de bajo nivel, se considera que la dirección del paquete es Saliente. La Figura 1-5 detalla las instrucciones para los paquetes que pasan entre la Zona local, la Zona de confianza, la Zona DMZ y / o la Zona de desconfianza.

 

Figura 1-5 Dirección de los paquetes que pasan entre las zonas de seguridad

083903rz3vlsa84tyi3oll.png

Al configurar los niveles de seguridad, cada zona de seguridad en el firewall tiene una relación explícita y en niveles entre sí. Las diferentes zonas de seguridad representan diferentes redes, y el firewall sirve como el nodo que conecta todas las redes entre sí. Con esta arquitectura como base, el firewall puede administrar y controlar los paquetes que pasan entre cada red.

 

¿Cómo determinan los firewalls a qué dos zonas de seguridad está pasando un paquete? Primero, la zona de seguridad de origen se puede determinar fácilmente, ya que la zona de seguridad para la interfaz desde la cual el firewall recibe un paquete es la zona de seguridad de origen del paquete.

Hay dos escenarios diferentes a considerar al determinar la zona de seguridad de destino. Bajo un modelo de Capa 3, el firewall confirma de qué interfaz se enviará un paquete al comparar con la tabla de enrutamiento: la zona de seguridad de esta interfaz es la zona de seguridad de destino para el paquete. Bajo un modelo de Capa 2, el firewall verifica la tabla de reenvío de direcciones MAC para confirmar a qué interfaz se enviará el paquete, la zona de seguridad de esta interfaz es la zona de seguridad de destino del paquete. Una vez confirmada la zona de seguridad de origen y la zona de seguridad de destino, se pueden determinar las dos zonas de seguridad entre las que se encuentra un paquete.

 

También hay otro escenario. Esto implica la configuración de VPN en la que el paquete que recibe un servidor de seguridad es un paquete encapsulado. El firewall descapsula el paquete para obtener el paquete original, y luego verifica una tabla de enrutamiento para determinar la zona de seguridad de destino: la zona de seguridad para la interfaz desde la cual se enviará el paquete es la zona de seguridad de destino para el paquete. Sin embargo, la zona de seguridad de origen no se puede determinar simplemente de acuerdo con la interfaz que recibe el paquete, por lo que el firewall utilizará la "comprobación de la tabla de ruta inversa" para determinar la zona de seguridad de origen del paquete original. Más específicamente, el firewall asumirá que la dirección de origen del paquete original es su dirección IP de destino, y luego usará la tabla de enrutamiento para determinar qué interfaz se enviará un paquete con esta dirección IP de destino: la zona de seguridad de esta interfaz es la zona de seguridad. paquete sería enviado a. Pero como la situación real es a la inversa de esto, en realidad hemos determinado la zona de seguridad desde la cual se envió el paquete, por lo que la zona de seguridad encontrada usando este método de "comprobación de tabla de ruta inversa" es de hecho la zona de seguridad de origen para el paquete.

 

Confirmar las zonas de seguridad de origen y destino de un paquete es nuestra premisa para configurar con precisión las políticas de seguridad, y es vital que todos comprendan los métodos para determinar las zonas de seguridad de origen y destino de un paquete. También lo discutiremos al configurar las políticas de seguridad más adelante en este manual.

 

Configuración de la zona de seguridad 3

La configuración de la zona de seguridad consiste principalmente en crear zonas de seguridad y agregar interfaces a las zonas de seguridad. A continuación se muestra una prueba para crear una nueva zona de seguridad y luego agregar la Interfaz GE0 / 0/1 a esta zona de seguridad (la Interfaz GE0 / 0/1 puede funcionar en un modelo de Capa 3 o en un modelo de Capa 2).

 

Los comandos de configuración son muy simples. Lo único a lo que se debe prestar atención es que las zonas de seguridad recién creadas no tienen niveles de seguridad, y debemos configurar un nivel de seguridad para ellas antes de agregar una interfaz a la zona de seguridad. Por supuesto, como los niveles de seguridad son únicos, el nivel de seguridad configurado no puede ser el mismo que la calificación de cualquier zona de seguridad existente.

083932wp8fu4s5iss1dpan.png

Todo el contenido que discutimos anteriormente se refería a agregar una interfaz física a una zona de seguridad. Además de las interfaces físicas, los firewalls también pueden admitir interfaces lógicas, como sub-interfaces y interfaces VLANIF. Cuando se utilizan estas interfaces lógicas, también deben agregarse a las zonas de seguridad. A continuación, he dado ejemplos de cómo agregar sub-interfaces y interfaces VLANIF a las zonas de seguridad.

Como se muestra en la Figura 1-6, la PC A y la PC B pertenecen a diferentes subredes, y el Switch de red, que está conectado a la interfaz GE0 / 0/1 del firewall, ha segmentado las subredes de la PC A y la PC B mediante dos VLAN . Este tipo de redes es un entorno clásico de "un solo brazo" para firewall.

 

Figura 1-6 Uso de una interfaz de firewall para conectar varias subredes

083947obopf98ulvh83n06.png

En este escenario, una de las interfaces del firewall está conectando dos subredes. Si quisiéramos establecer diferentes niveles de seguridad para estas dos subredes, es decir, si tuviéramos que asignar PC A y PC B a diferentes zonas de seguridad, ¿cómo podríamos configurar esto? Como cualquiera de las interfaces de un firewall solo se puede agregar a una zona de seguridad, no podemos simplemente agregar la Interfaz GE0 / 0/1 a cualquier zona de seguridad. Sin embargo, podemos usar sub-interfaces o interfaces VLANIF para lograr el resultado deseado.

 

Veamos primero cómo crear sub-interfaces. Primero, establecemos dos sub-interfaces, GE0 / 0 / 1.10 y GE0 / 0 / 1.20, bajo la interfaz GE0 / 0/1. Estos corresponden a VLAN 10 y VLAN 20 respectivamente. Después de esto, estas dos subinterfaces se asignan a diferentes zonas de seguridad (la Interfaz GE0 / 0/1 no necesita agregarse a una zona de seguridad), por lo que se logra el objetivo de asignar la PC A y la PC B a diferentes zonas de seguridad, como se muestra en la figura 1-7.

 

Figura 1-7 Asignación de subinterfaces a zonas de seguridad

084002dbr3m94e3qnm3b3m.png

084014d59sy1anjuuwu7hu.png

Siguiendo la configuración anterior, la PC A se ha asignado a la zona de seguridad de Trust 1, y la PC B se ha asignado a la zona de seguridad de Trust 2, y ahora podemos ejercer el control sobre los paquetes de la PC A que accede a la PC B.

 

A continuación, veremos cómo configurar interfaces VLANIF. Mientras seguimos usando la organización de red de la Figura 1-6, podemos crear dos VLAN en el firewall, configurar una dirección IP para cada una de sus interfaces VLANIF y luego configurar la Interfaz GE0 / 0/1 para trabajar en un modelo de Capa 2 (transparente modelo), permitiendo que los paquetes VLAN10 y VLAN20 pasen a través. Al asignar VLANIF10 y VLANIF20 a diferentes zonas de seguridad (sin necesidad de agregar GE0 / 0/1 a una zona de seguridad), se logra el objetivo de asignar PC A y PC B a diferentes zonas de seguridad, como se muestra en la Figura 1-8.

 

Figura 1-8 Asignación de interfaces VLANIF a zonas de seguridad

084134hprrgkag3faappgg.png

Después de completar la configuración, la PC A se ha asignado a la zona de seguridad Trust 1 y la PC B se ha asignado a la zona de seguridad Trust 2. Ahora se puede ejercer control sobre los paquetes de PC A que acceden a PC B.

 

Anteriormente, presentamos ejemplos de agregar sub-interfaces y interfaces VLANIF a las zonas de seguridad. Los firewall también pueden admitir otras interfaces lógicas además de estas dos, como las interfaces de túnel utilizadas en la encapsulación de enrutamiento genérico (GRE), las interfaces de plantilla virtual utilizadas en los protocolos de túnel de capa dos (L2TP). Estas interfaces lógicas aún deben agregarse a las zonas de seguridad, y presentaremos cómo hacerlo en los capítulos correspondientes de GRE y L2TP que siguen.

 

Nuestra introducción de los conceptos detrás de las zonas de seguridad y su configuración está completa. Espero que mi introducción haya permitido a todos entender el uso de las zonas de seguridad y comprender las relaciones entre ellas, ya que esto le proporcionará una buena base para profundizar su conocimiento de los firewall en los siguientes capítulos.


  • x
  • convención:

Responder

Responder
Debe iniciar sesión para responder la publicación Inicio de sesión | Registrarse

Aviso: Para garantizar sus legítimos derechos e intereses, la comunidad y los terceros no publicarán contenido que pueda generar riesgos legales a las partes, por ejemplo, pornografía, contenido político, contenido sobre juego, consumo y tráfico de drogas, así como contenido que viole los derechos de propiedad intelectual de terceros, por ejemplo, secretos comerciales, marcas, derechos de autor, patentes y privacidad personal. No comparta su cuenta ni su contraseña con terceros. Todas las operaciones realizadas usando su cuenta se considerarán como sus acciones y todas las consecuencias que estas acciones generen serán responsabilidad suya. Para obtener información detallada, consulte la “ Política de privacidad.”
Si el botón para adjuntar no está disponible, actualice Adobe Flash Player con la versión más reciente
Respuesta rápida Desplácese hasta arriba