[Dr.WoW] [No.45] Configuración de las políticas de seguridad SSL VPN

Pubilicado 2019-1-26 21:08:53 25 0 0 0


El enfoque para configurar las políticas de seguridad SSL VPN es similar al de IPSec, ya que primero configuramos una política de seguridad relativamente permisiva en el firewall, para garantizar que los servicios VPN SSL se ejecuten normalmente, y luego obtenemos condiciones de coincidencia de políticas de seguridad refinadas a través de analizar la mesa de sesiones. Para el proceso específico, consulte la introducción en "IPSec VPNs".

A continuación, detallaré los procesos de configuración de la política de seguridad por separado para dos tipos de escenarios: proxy web / uso compartido de archivos / reenvío de puertos y escenarios de extensión de red.

1 Configuración de políticas de seguridad para el proxy web/uso compartido de archivos /reenvío de puertos

El propósito de configurar políticas de seguridad en el proxy web, compartir archivos y reenviar puertos es lograr el inter funcionamiento de la capa de red. Para obtener más información sobre cómo realizar el control de permisos sobre el acceso a recursos de usuarios remotos, consulte el contenido que presentamos anteriormente con respecto a la "autorización de recursos"

En nuestro ejemplo aquí, se establece un túnel VPN SSL entre un usuario remoto y el firewall FW (aquí usaremos el servicio de acceso para compartir archivos como ejemplo), con el usuario remoto accediendo al servidor de archivos, como se muestra en la Figura 1-1 . Asumiremos que en FW la interfaz GE0 / 0/1 está conectada a la red privada y pertenece a la Zona DMZ, y que la interfaz GE0/0/2 está conectada a Internet y pertenece a la Zona Untrust.

Figura 1-1 Uso compartido de archivos SSL VPN

Después de que el usuario remoto inicie con éxito el acceso al servidor, la siguiente tabla de sesión se puede ver en FW.

<FW> display firewall session table verbose

 Current Total Sessions : 4                                                    

  https  VPN:public --> public  ID: a48f3629814102f62540ade7f                  

  Zone: untrust--> local  TTL: 00:10:00  Left: 00:09:52                          

  Output-interface: InLoopBack0  NextHop: 127.0.0.1  MAC: 00-00-00-00-00-00    

  <--packets:436 bytes:600276   -->packets:259 bytes:32089                     

  4.1.64.179:41066-->4.1.64.12:443   // paquete que establece el túnel VPN SSL

                                                                               

  https  VPN:public --> public  ID: a48f3629815b06fd6540ade7f                  

  Zone: untrust--> local  TTL: 00:10:00  Left: 00:09:52                          

  Output-interface: InLoopBack0  NextHop: 127.0.0.1  MAC: 00-00-00-00-00-00    

  <--packets:291 bytes:395991   -->packets:176 bytes:26066                     

  4.1.64.179:41067-->4.1.64.12:443   //// paquete que establece el túnel VPN SSL

                                                                               

  tcp  VPN:public --> public  ID: a48f3629818f0c229540ade8d                     

  Zone: local--> dmz  TTL: 00:00:10  Left: 00:00:02                          

  Output-interface: GigabitEthernet0/0/1  NextHop: 4.0.2.11  MAC: 78-ac-c0-ac-93-7f  <--packets:5 bytes:383   -->packets:8 bytes:614                              

  4.0.2.1:10013-->4.0.2.11:445       // Paquete desde el firewall (que actúa como cliente) que accede al servidor.                                                                               

  netbios-session  VPN:public --> public  ID: a58f3629817501ad8a540ade8d        

  Zone: local--> dmz  TTL: 00:00:10  Left: 00:00:02                          

  Output-interface: GigabitEthernet0/0/1  NextHop: 115.1.1.2  MAC: 78-ac-c0-ac-93-7f 

  <--packets:1 bytes:40   -->packets:1 bytes:44                                

  4.0.2.1:10012-->4.0.2.11:139       // Paquete del servidor de seguridad (que actúa como cliente) que accede al servidor

El paquete que establece el túnel SSL VPN activa el establecimiento de dos sesiones idénticas. Se establece una sesión durante el inicio de sesión, y se establece una sesión al acceder a los recursos del servicio.

*** Los datos de la tabla de la sesión anterior indican la dirección del paquete en FW, como se muestra en la Figura 1-2.

Figura 1-2 Dirección del paquete en FW

De la figura anterior, aprendemos que es necesario configurar una política de seguridad de Zona no confiable -> Zona local en el FW, lo que permite el establecimiento de un túnel SSL VPN entre el usuario remoto y el FW; una Zona Local -> la política de seguridad de la Zona DMZ también debe configurarse, permitiendo que FW sirva como un proxy para que el usuario remoto acceda al servidor.

Los enfoques de configuración de la política de seguridad para las funciones de redirección de proxy / puerto web son completamente idénticos a los del intercambio de archivos. Para resumir, las condiciones de coincidencia de la política de seguridad que deben configurarse en el firewall para las tres funciones anteriores se muestran en la Tabla 1-1.

Tabla 1-1 Condiciones de coincidencia de la zona de seguridad

Direccion de servicio

Zona de seguridad de origen

Zona de seguridad del destino

Dirección de la fuente

Dirección de destino

Aplicación (protocolo + puerto    de destino)

Acceso de usuarios remotos al servidor.

Untrust

Local

ANY

4.1.64.12/32

TCP+443*

Local

DMZ

ANY**

4.0.2.11/24

TCP+139

TCP+445***

*: El puerto utilizado por el dispositivo debe determinarse en función   de las circunstancias reales.

**: Para la familia de firewalls USG6000, aunque la dirección de   origen que se muestra en la tabla de la sesión es la dirección IP privada de   la interfaz, sin embargo, durante la configuración real, la dirección de   origen debe ser designada como "ANY". Para las familias de   firewalls USG2000/5000, la dirección de origen se puede designar como la   dirección IP privada de la interfaz durante la configuración real.

***: El servicio de intercambio de archivos se utiliza como ejemplo   aquí; Si este es el proxy web o el servicio de reenvío de puertos, determine   esto de acuerdo con las circunstancias reales.

 

2 Configuración de una política de seguridad en un escenario de extensión de red

El propósito de configurar una política de seguridad en escenarios de extensión de red es lograr el inter funcionamiento de capa de red. Las políticas de seguridad también permiten el control de permisos sobre el acceso de recursos de usuarios remotos.

En el siguiente ejemplo, se establece un túnel VPN SSL entre el usuario remoto y el firewall, y el servicio de extensión de red se usa para acceder al servidor de la red interna de la empresa. Asumiremos que en el cortafuegos, la Interfaz GE0 / 0/1 está conectada a la red privada y pertenece a la Zona DMZ, y que la Interfaz GE0 / 0/2 está conectada a Internet y pertenece a la Zona Untrust.

En la extensión de red, el hecho de que el servidor y el grupo de direcciones de la puerta de enlace virtual estén o no en el mismo segmento de red afecta a las zonas de seguridad que atraviesan los paquetes de servicio y, por lo tanto, la configuración de las políticas de seguridad entre zonas debe dividirse en las siguientes dos circunstancias para discusión.

  • El servidor y el grupo de direcciones de la puerta de enlace virtual están en el mismo segmento de red:

La Figura 1-3 muestra la organización de la red cuando el servidor y el grupo de direcciones de la puerta de enlace virtual están en el mismo segmento de red.

Figura 1-3 Escenario de extensión de red con el servidor y el grupo de direcciones de la puerta de enlace virtual en el mismo segmento de red

El servidor y el grupo de direcciones del Gateway virtual están en el mismo segmento de red, lo que significa que un usuario remoto que ha obtenido la dirección IP privada está en el mismo segmento de red que el servidor. Por supuesto, también se encuentran en la misma zona de seguridad: la DMZ.

Una vez que el acceso del usuario remoto al servidor a través de la extensión de red sea exitoso, podemos verificar esta conclusión en la tabla de sesiones de FW:

<FW> display firewall session table verbose                                

 Current Total Sessions : 3                                                    

  https  VPN:public --> public  ID: a48f3fc25ef7084f654bfcacd                  

  Zone: untrust--> local  TTL: 00:00:10  Left: 00:00:02                        

  Output-interface: InLoopBack0  NextHop: 127.0.0.1  MAC: 00-00-00-00-00-00    

  <--packets:10 bytes:2577   -->packets:9 bytes:804                             

  6.6.6.6:50369-->1.1.1.1:443     // paquete que establece el túnel VPN SSL                                                                                  

  icmp  VPN:public --> public  ID: a58f3fc25f2b05940054bfcb3f                  

  Zone: dmz--> dmz  TTL: 00:00:20  Left: 00:00:13    User: huibo               

  Output-interface: GigabitEthernet0/0/1  NextHop: 10.1.1.2  MAC: 00-22-a1-0a-eb-7d

  <--packets:3 bytes:180   -->packets:4 bytes:240                              

  10.1.1.10:1-->10.1.1.2:2048 // paquete sin procesar del usuario remoto que accede al servidor                                                                               

  https  VPN:public --> public  ID: a58f3fc25f1107f81954bfcace                 

  Zone: untrust--> local  TTL: 00:10:00  Left: 00:09:55                        

  Output-interface: InLoopBack0  NextHop: 127.0.0.1  MAC: 00-00-00-00-00-00    

  <--packets:34 bytes:4611   -->packets:44 bytes:14187                         

  6.6.6.6:58853-->1.1.1.1:443          // paquete que establece el túnel VPN SSL

El paquete que establece el túnel SSL VPN activa el establecimiento de dos sesiones idénticas: una se establece durante el inicio de sesión y otra se establece al iniciar la extensión de red.

La dirección del paquete en el servidor de seguridad se puede obtener a través de la tabla de sesiones anterior, como se muestra en la Figura 1-4

Figura 1-4 Dirección del paquete en el firewall cuando el servidor y el grupo de direcciones de la puerta de enlace virtual están en el mismo segmento de red

De la figura anterior podemos aprender que es necesario configurar una política de seguridad local Untrust -> para permitir el establecimiento de un túnel SSL VPN entre el usuario remoto y el firewall; también se debe configurar una política de seguridad DMZ -> DMZ para garantizar que los paquetes de servicio puedan pasar (la configuración predeterminada de los firewalls de la serie USG6000 no permite el movimiento de paquetes dentro de las zonas de seguridad, por lo que esta política de seguridad debe configurarse. Firewalls de la serie USG2000/5000 no tienen esta restricción.)

En resumen, las condiciones de coincidencia de la política de seguridad que deben configurarse en el firewall se muestran en la Tabla 1-2.

Tabla 1-2 Condiciones de coincidencia de la política de seguridad

 

Direccion de servicio

Zona de seguridad de origen

Zona de seguridad de destino

Dirección de la fuente

Dirección de destino

Aplicación (protocolo + puerto    de destino)

Acceso de usuarios remotos al servidor.

Untrust

Local

ANY

1.1.1.1/32

Modo de transporte confiable TCP + 443Fast Modo de Transporte TCP+UDP+443*

DMZ

DMZ

10.1.1.0/24

(Este es el segmento de red correspondiente del grupo de direcciones   de la tarjeta de red virtual.)**

10.1.1.2/32

***

*: El puerto utilizado por los dispositivos debe determinarse en   función de las circunstancias reales. Lo anterior es un ejemplo de un usuario   remoto que utiliza el modo de transporte confiable para establecer un túnel   SSL VPN. Cuando se establece un túnel utilizando el modo de transporte   rápido, se seguirá generando una sesión UDP entre Untrust -> Local zone, y   esta aplicación debe configurarse en la política de seguridad en este   momento.

**: Además de la dirección de origen, la serie de firewalls USG6000   también admite políticas de seguridad basadas en el usuario, y puede usar un   nombre de usuario remoto como condición de coincidencia para configurar la   política de seguridad. En comparación con la dirección de origen, el uso del   nombre de usuario como condición de coincidencia aumenta la visibilidad y la   precisión.

***: La aplicación aquí está relacionada con el tipo de servicio   específico y puede configurarse de acuerdo con las circunstancias reales. Por ejemplo, TCP,   UDP, ICMP, etc.

  • El servidor y el grupo de direcciones de la puerta de enlace virtual no están en el mismo segmento de red:

La Figura 1-5 muestra una red en la que el servidor y el grupo de direcciones de la puerta de enlace virtual no están en el mismo segmento de red.

Figura 1-5 Escenario de extensión de red en el que el servidor y el grupo de direcciones de la puerta de enlace virtual no están en el mismo segmento de red

El servidor y el grupo de direcciones de la puerta de enlace virtual no están en el mismo segmento de red significa que un usuario remoto que ha obtenido la dirección IP de la red privada se encuentra en un segmento de red diferente del servidor, y, por supuesto, los dos también están ubicados en diferentes zonas de seguridad . Siendo este el caso, ¿a qué zona de seguridad pertenece el usuario exactamente?

Si no hay una ruta al segmento de red 192.168.1.0/24 en la puerta de enlace virtual, es imposible que la puerta de enlace virtual confirme la zona de seguridad de origen a la que pertenece el usuario remoto, y descartará los paquetes que envía el usuario remoto. Para resolver este problema, necesitamos configurar manualmente una ruta que tenga el grupo de direcciones de la puerta de enlace virtual (segmento de red 192.168.1.0/24) como su dirección de destino; la interfaz de salida puede ser elegida unilateralmente por el administrador. Esto quiere decir que la zona de seguridad de origen de este paquete en este momento depende de la interfaz de salida que se utiliza para esta ruta que estamos configurando. Introducimos contenido relacionado con esto en "8.5.4 Configuración de la extensión de red".

Normalmente creemos que, dado que este paquete proviene de Internet, proviene de la Zona Untrust. Por lo tanto, cuando configuramos las rutas, configuramos la interfaz de salida de la ruta como la interfaz pública GE0 / 0/2 que está vinculada a Internet. Al usar esta ruta, se puede confirmar que el flujo de datos de un usuario remoto que accede al servidor constituye datos que viajan desde Untrust a la DMZ.

Después de que el usuario remoto acceda con éxito al servidor a través de la extensión de red, podemos verificar esta conclusión utilizando la tabla de sesión de FW.

<FW> display firewall session table verbose                                

 Current Total Sessions : 3                                                    

                    

  https  VPN:public --> public  ID: a58f3fe3a31502f49354bfcccf                 

  Zone: untrust--> local  TTL: 00:10:00  Left: 00:10:00                        

  Output-interface: InLoopBack0  NextHop: 127.0.0.1  MAC: 00-00-00-00-00-00    

  <--packets:36 bytes:4989   -->packets:54 bytes:20751                         

  6.6.6.6:51668-->1.1.1.1:443    // paquete que establece el túnel VPN SSL                                                                               

  icmp  VPN:public --> public  ID: a58f3fe3a36302f8d854bfcd3d                  

  Zone: untrust--> dmz  TTL: 00:00:20  Left: 00:00:20    User: huibo           

  Output-interface: GigabitEthernet0/0/1  NextHop: 10.1.1.2  MAC: 00-22-a1-0a-eb-7d

  <--packets:3 bytes:180   -->packets:3 bytes:180                              

  192.168.1.1:1-->10.1.1.2:2048    // paquete remoto desde el servidor de acceso de usuario remoto                                                                               

  https  VPN:public --> public  ID: a58f3fe3a2fb03e68154bfccce                 

  Zone: untrust--> local  TTL: 00:10:00  Left: 00:08:08                        

  Output-interface: InLoopBack0  NextHop: 127.0.0.1  MAC: 00-00-00-00-00-00    

  <--packets:6 bytes:2417   -->packets:7 bytes:724                             

  6.6.6.6:51255-->1.1.1.1:443             // Paquete que establece un túnel VPN SSL.

*** La tabla de la sesión anterior indica la dirección del paquete en el firewall, como se muestra en la Figura 1-6.

Figura 1-6 Dirección del paquete en el firewall cuando el servidor y el grupo de direcciones de la puerta de enlace virtual no están en el mismo segmento de red

Como se muestra en el diagrama anterior, se debe configurar una política de seguridad Untrust -> Local para permitir el establecimiento de un túnel SSL VPN entre el usuario remoto y el firewall; se debe configurar una política de seguridad Untrust -> DMZ para garantizar que los paquetes de servicio puedan pasar.

Para resumir, las condiciones de coincidencia de la política de seguridad que deben configurarse en el firewall son las que se muestran en la Tabla 1-3.

Tabla 1-3 Condiciones de configuración de la política de seguridad

 

Dirección de servicio

Zona de seguridad de origen

Zona de seguridad de destino

Dirección de la fuente

Dirección de destino

Aplicación (protocolo + puerto    de destino)

Acceso de usuarios remotos al servidor.

Untrust

Local

ANY

1.1.1.1/32

Modo de transporte confiable TCP + 443

Modo de Transporte Rápido TCP+UDP+443*

Untrust

DMZ

192.168.1.0/24 (este es el segmento de red correspondiente del grupo   de direcciones de la tarjeta de pasarela virtual)**

10.1.1.2/32

***

*: El puerto utilizado por los dispositivos debe determinarse en   función de las circunstancias reales. Lo anterior es un ejemplo de un usuario   remoto que utiliza el modo de transporte confiable para establecer un túnel   SSL VPN. Cuando se establece un túnel utilizando el modo de transporte   rápido, se seguirá generando una sesión UDP entre Untrust -> Local zone, y   esta aplicación debe configurarse en la política de seguridad en este   momento.

**: Además de la dirección de origen, la serie de firewalls USG6000   también admite políticas de seguridad basadas en el usuario, y puede usar un   nombre de usuario remoto como condición de coincidencia para configurar la   política de seguridad. En comparación con la dirección de origen, el uso del   nombre de usuario como condición de coincidencia aumenta la visibilidad y la   precisión.

***: La aplicación aquí está relacionada con el tipo de servicio   específico y puede configurarse de acuerdo con las circunstancias reales. Por ejemplo, TCP,   UDP, ICMP, etc.

 


  • x
  • convención:

Responder

Responder
Debe iniciar sesión para responder la publicación Inicio de sesión | Registrarse

Aviso: Para garantizar sus legítimos derechos e intereses, la comunidad y los terceros no publicarán contenido que pueda generar riesgos legales a las partes, por ejemplo, pornografía, contenido político, contenido sobre juego, consumo y tráfico de drogas, así como contenido que viole los derechos de propiedad intelectual de terceros, por ejemplo, secretos comerciales, marcas, derechos de autor, patentes y privacidad personal. No comparta su cuenta ni su contraseña con terceros. Todas las operaciones realizadas usando su cuenta se considerarán como sus acciones y todas las consecuencias que estas acciones generen serán responsabilidad suya. Para obtener información detallada, consulte la “ Política de privacidad.”
Si el botón para adjuntar no está disponible, actualice Adobe Flash Player con la versión más reciente
Respuesta rápida Desplácese hasta arriba