Configuración del cortafuegos basado en zonas – Part 1

Posted on by Rudeus Greyrat

Requisito previo: cortafuegos basado en zonas El cortafuegos basado en zonas es un método avanzado de cortafuegos con estado. En el firewall con estado, se mantiene una entrada que contiene la dirección IP de origen, la dirección IP de destino, el número de puerto de origen y el número de puerto de destino para el tráfico generado por la red (privada) de confianza en la base de datos con estado. Esto solo incluirá el tráfico, incluidas las respuestas para la red privada (de confianza) que utiliza la base de datos con estado. Procedimiento de firewall basado en zonas:

  1. Cree zonas y asígnele una interfaz: en el firewall basado en zonas, se crean zonas lógicas. Una zona se asigna a una interfaz. Por defecto, no se permite el tráfico de una zona a otra.
  2. Crear mapa de clase: después de crear una zona, se crea una política de mapa de clase que identificará el tipo de tráfico, como ICMP, en el que se aplicarán las políticas.
  3. Cree un mapa de política y asigne un mapa de clase al mapa de política: después de identificar el tipo de tráfico en el mapa de clase, debemos definir qué acción se debe tomar en el tráfico. La acción puede ser:
    • Inspeccionar: es lo mismo que la inspección de CBAC, es decir, solo se permitirá el tráfico de la red externa que se inspeccionará (tráfico de retorno de la red interna (de confianza).
    • Soltar: esta es la acción predeterminada para todo el tráfico. El mapa de clases configurado en un mapa de políticas se puede configurar para eliminar el tráfico no deseado.
    • Pase: Esto permitirá el tránsito de una zona a otra. A diferencia de la acción de inspección, no creará un estado de sesión para un tráfico. Si queremos permitir el tráfico desde la dirección opuesta, se debe crear la política correspondiente.
  4. Configure un par de zonas y asigne la política: un par de zonas se configura solo para una dirección. Se definen políticas en las que se identifica el tráfico (qué tipo de tráfico) y luego qué acción se debe tomar (Inspeccionar denegado, permitir). Entonces tenemos que aplicar estas políticas a un par de zonas.

Configuración: como se muestra en la figura, 4 enrutadores están conectados entre sí, a saber, el enrutador 1 que tiene la dirección IP 10.1.1.1/24 en su interfaz fa0/0, el enrutador 2 que tiene la dirección IP 10.1.1.2/24 en su interfaz fa0/0 10.1.2.1/ 24 en su interfaz fa0/1 y 10.1.3.1/24 en su interfaz fa1/0, el Router3 tiene la dirección IP 10.1.2.2/24 en su interfaz fa0/1 y el Router4 tiene 10.1.3.2/24 en su interfaz fa0/1. Primero tenemos que realizar el enrutamiento para que los enrutadores sean accesibles entre sí. Configuración de RIP en el Router2:

Router2(config)#router rip
Router2(config-router)#network 10.1.1.0
Router2(config-router)#network 10.1.2.0
Router2(config-router)#network 10.1.3.0
Router2(config-router)#no auto-summary

Ahora, dando la ruta predeterminada en el Router1:

Router1(config)#ip route 0.0.0.0 0.0.0.0 10.1.1.2

Dando la ruta por defecto en el Router2

Router3(config)#ip route 0.0.0.0 0.0.0.0 10.1.2.1

Dando ruta por defecto en Router4

Router4(config)#ip route 0.0.0.0 0.0.0.0 10.1.3.1

Ahora, tenemos que redistribuir las rutas predeterminadas en RIP:

Router2(config)#router rip
Router2(config-router)#default-information originate

Estos enrutadores podrán hacer ping entre sí. Ahora, configure el firewall basado en zonas. En este escenario, solo permitiremos el tráfico ICMP y el tráfico telnet desde la zona interna a la zona externa. Para lograr esta tarea, se seguirán los siguientes pasos:

  • Crear zonas y asignar interfaces a la zona: primero, debemos configurar un nombre para la zona y luego aplicarlo a la interfaz (aquí, Router2). Configurar las zonas y nombrarlas como interior, exterior y dmz.
Router2(config)#zone security inside
Router2(config-sec-zone)#exit 
Router2(config)#zone security outside 
Router2(config-sec-zone)#exit
Router2(config)#zone security dmz 
Router2(config-sec-zone)#exit

Ahora, aplicando zonas a las interfaces.

Router2(config)#interface fa0/0
Router2(config-if)#zone-member security inside
Router2(config)#interface fa0/1
Router2(config-if)#zone-member security outside
Router2(config)#interface fa1/0
Router2(config-if)#zone-member security dmz

Después de aplicar zonas a la interfaz, los enrutadores no podrán hacer ping entre sí de forma predeterminada, el tráfico de una zona a otra se eliminará (según la política predeterminada).

  • Crear un class-map – Se creará un class-map para identificar el tipo de tráfico en el que queremos realizar la operación. Configuración de class-map indicando el tipo de tráfico sobre el que se realizará la inspección.
Router2(config)#class-map type inspect match-any in-out
Router2(config-cmap)#match protocol icmp
Router2(config-cmap)#match protocol telnet

match-any significa cualquiera de las coincidencias de declaraciones en el mapa de clase, es decir, para telnet o ICMP. Le hemos dado nombre in-out al class-map.

  • Cree un mapa de política y aplique un mapa de clase al mapa de política: el mapa de política se configurará para mencionar qué operación (inspeccionar, descartar o aprobar) se realizará. En nuestro escenario, usaremos inspeccionar, es decir, solo el tráfico ingresará desde el exterior a la zona interior si tiene una entrada en la base de datos con estado (respuestas de tráfico iniciado en la zona interior).
Router2(config)#policy-map type inspect in-out
Router2(config-pmap)#class in-out
Router2(config-pmap-c)#inspect

Aquí, hemos configurado un mapa de política llamado input y le asignamos un mapa de clase (llamado in-out) y la acción que se tomará es inspeccionar. Aquí, hemos tomado el mismo nombre de class-map y policy-map. Se pueden tomar diferentes nombres pero luego será complicado.

  • Crear un par de zonas y aplicar un mapa de políticas al par de zonas: cree un par de zonas especificando la zona de origen y de destino y aplique el mapa de políticas al par de zonas.
Router2(config)#zone-pair security in-outpair source inside destination outside
Router2(config-sec-zone-pair)#service-policy type inspect in-out

Aquí, en el primer comando, observe que in-outpair es el nombre del par de zonas en el que la zona interior será el origen y la zona exterior será el destino. Significa que se ha definido un par de zonas en la dirección de la zona interior a la zona exterior. En el segundo comando, in-out es el nombre de policy-map. Ahora, la zona interior será para hacer ping y telnet a los dispositivos de la zona exterior, pero viceversa, tenemos que definir un par de zonas separadas. Además, tenga en cuenta que los dispositivos de la zona interna podrán llegar a los dispositivos de la zona externa, pero no a la zona DMZ porque no se ha definido un par de zonas para ello.

Publicación traducida automáticamente

Artículo escrito por saurabhsharma56 y traducido por Barcelona Geeks. The original can be accessed here. Licence: CCBY-SA

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *