«

»

mar 02 2012

Implementação de stateful firewalls em roteadores de serviços integrados

   Quando ouvem a respeito da possibilidade de implementar soluções de stateful firewall em roteadores, muitos administradores de Segurança demonstram imediata desconfiança.

   Por um lado acho compreensível, dado que os roeteadores são, por excelência, elementos “provedores de conectividade” e não impõem condições de segurança para encaminhamento de pacotes (pois basta que tenham a rota para o destino de interesse). Entendo ainda que em pontos específicos da Rede, tais como Data Center e borda Internet, não é uma prática recomendável apostar todas as fichas em um elemento só.

   Mas o que pensar sobre implementar a funcionalidade de Stateful Firewall em roteadores que atendem localidades remotas e que, tipicamente, não apresentam requisitos elevados de desempenho ? Seria possível ter um firewall de verdade em um tal roteador ?

   Começo a responder tais perguntas, afirmando que a funcionalidade integrada de stateful firewall não é novidade nos roteadores Cisco. O modelo Context Based Access Control (CBAC), também conhecido como Classic IOS Firewall está disponível há mais de dez anos e o seu sucessor, Zone-based Policy Firewall (ZFW) há pelo menos seis…

    A essa altura você pode estar se perguntando:

    – Se já existia o CBAC, por que criar o Zone-based Firewall ? O CBAC não era suficiente ?

    Bem, vamos às respostas:

a)     O CBAC provê um firewall stateful mas as regras de inspeção eram criadas entre pares de interfaces e não havia um conceito de Domínio de Segurança (Security Zone, utilizando a nomenclatura do ZFW). Tal característica dificultava a visualização lógica das relações de confiança entre os elementos da topologia e também trazia desafios em termos de expansibilidade. (Imagine, por exemplo, criar regras entre dez interfaces distintas…)

b)      A linha de raciocínio de construção de políticas adotada pelo ZFW é muito similar à que se usa para configurar Qualidade de Serviço (class-map para classificar pacotes e policy-map para definir as ações a serem tomadas para o tráfego classificado). Uma notável distinção é que no ZFW os policy-maps governam a interconexão entre Security Zones e não se relacionam diretamente com interfaces.

c)       O modelo proposto pelo Zone-based Policy Firewall permite que o roteador seja configurado de modo a negar por default, fato este que o aproxima dos appliances de segurança dedicados. Após tal passo inicial, você pode definir os critérios que os pacotes precisam atender para que sejam encaminhados entre duas dadas interfaces (que agora são membros de Security Zones).

   Alguns fatos adicionais merecem especial menção:

1)       O ZFW é a abordagem que vem recebendo todos os investimentos no que concerne a evolução funcional. Só convém usar o CBAC em roteadores muito antigos cujo IOS não suporte o novo modelo.

2)       O ZFW está disponível nas imagens Security do Cisco IOS, juntamente com as funcionalidades de VPN.

3)       Os roteadores ISR (Integrated Services Routers), os quais já provêem uma miríade de opções de conectividade e serviços (switching, WLAN, Multicast, Telefonia IP/VoIP, backup via GSM/CDMA, etc) podem agora ser configurados como gateways condicionais (tanto em modo roteado como modo transparente), o que os torna ainda mais completos e flexíveis.

Termino este breve post, propondo que você estude mais a respeito do Cisco Zone-based Policy Firewall para que possa contar com tal recurso em seus projetos que envolvem os roteadores Cisco ISR. Para facilitar o acesso a informações sobre o tema, produzi uma série de artigos.  Espero que o material seja útil… Boa Leitura !

From CBAC to the Cisco Zone-based Policy Firewall

Building Blocks for a Cisco Zone-based Firewall policy

Zone Policy Firewall: Understanding the default deny behavior

Building a simple policy with the Cisco Zone-based Firewall

Logging connections in the Cisco Zone-based Policy Firewall

Logging dropped packets with the Cisco Zone-based Policy Firewall

Integrating ACLs with the Cisco Zone-based Policy Firewall

Deploying the Cisco Zone-based Policy Firewall with ACLs and NAT

Basic Configuration of the Cisco Zone-based Policy Firewall in Transparent Mode

FTP Inspection with the Cisco Zone-based Policy Firewall

HTTP Inspection on non-standard ports with the Cisco Zone-based Policy Firewall

Cisco Zone-based Policy Firewall: Understanding the self zone

Cisco Zone-based Policy Firewall: Controlling Intrazone traffic

User-based Access Control with the Cisco IOS Zone-based Policy Firewall

Sample Configuration of the Cisco IOS Zone-based Policy Firewall with IPv6 

Cisco IOS Zone-based Policy Firewall: L7 inspection for FTP over IPv6



Comente usando o Facebook!
0
0

8 comentários

Pular para o formulário de comentário

  1. snnangola

    Amigos. A propo deste artigo tomo a liberdade de vos recomendar este artigo produzido no meu blog. Um exemplo prático de como implementar Zone Based Firewall numa DMZ, um exemplo basico envolvendo 3 zones:

    http://snnangola.wordpress.com/2012/02/16/implementando-firewalls-baseadas-em-zona-zfw-com-zona-desmilitarizada-dmz/

    Obrigado.

    0

    0
  2. vmosconi

    Zone- based ta dificil de entender…

    Creio que seja o capitulo mais dificil do CCNA Sec

    0

    0
  3. Macena1640

    Acho mais simples e fácil de entender o conceito do Zone Based Firewall do que o do CBAC. Se você já tiver trabalhado com QoS com certeza encontrará facilidade devido à similaridade dos comandos.

    Parabéns ao Alexandre pelo pelo post, blog e também pelo excelente livro.

    0

    0
  4. ArcanjoV8

    Excelente!

    0

    0
  5. Diogo Mendes

    Obrigado pela contribuição! É um assunto útil e interessante!

    Passarei a acompanhar seu blog! 🙂

    Abraços!

    Diogo.

    0

    0
  6. Fernando Avelino

    Zone Based Firewall passou a ser suportado a partir do IOS 12.4(15) se não me engano, não vejo muitas implementações do tipo, até pq um firewall básico você roda em qualquer linux da vida, vejo muitas implementações de Call Manager Express nos ISR’s

    0

    0
  7. alexandremoraes

    Gostaria de estimular um pouco a reflexão, tomando por base o comentário do Fernando Avelino:
    a) Os comandos básicos do Zone-based Firewall foram introduzidos na 12.4.6T
    http://www.cisco.com/en/US/docs/ios/security/command/reference/sec_t2.html
    b) É muito comum usar a abordagem do firewall integrado ao roteador em escritórios remotos,
    agências, pequenas lojas (varejo), etc. Até porque os roteadores de serviços integrados (ISRs)
    foram concebidos com o propósito de prover múltiplos serviços simultaneamente: roteamento,
    LAN switching, WLAN, VoIP/Telefonia IP, Firewall, VPN… ( E múltiplas opções de interfaces
    para viabilizar as mais variadas tecnologias de backup).
    c) O Zone-based Firewall é uma das soluções adotadas em branches para se obter PCI compliance
    no que diz respeito a firewall:
    http://www.cisco.com/en/US/prod/collateral/vpndevc/ps6525/ps6538/ps6540/white_paper_c11-542889.html
    d) É muito comum os bancos adotarem a abordagem “branch in a box”, justamente pela conveniência
    e rapidez de se montar uma agência nova.

    0

    0
  8. lorenalorena

    Pessoal,

    Quero parabenizar o Alexandre pelo post e além disso indicar o blog dele: http://alexandremspmoraes.wordpress.com.
    O blog contém material interessante para quem trabalha com tecnologias de Rede e Segurança e pode ser útil como material complementar para
    quem está se preparando para certificações Cisco.

    Bons estudos a todos!!!

    0

    0

Deixe uma resposta