Implementação de stateful firewalls em roteadores de serviços integrados

   Quando ouvem a respeito da possibilidade de implementar soluções de stateful firewall em roteadores, muitos administradores de Segurança demonstram imediata desconfiança.

   Por um lado acho compreensível, dado que os roeteadores são, por excelência, elementos “provedores de conectividade” e não impõem condições de segurança para encaminhamento de pacotes (pois basta que tenham a rota para o destino de interesse). Entendo ainda que em pontos específicos da Rede, tais como Data Center e borda Internet, não é uma prática recomendável apostar todas as fichas em um elemento só.

   Mas o que pensar sobre implementar a funcionalidade de Stateful Firewall em roteadores que atendem localidades remotas e que, tipicamente, não apresentam requisitos elevados de desempenho ? Seria possível ter um firewall de verdade em um tal roteador ?

   Começo a responder tais perguntas, afirmando que a funcionalidade integrada de stateful firewall não é novidade nos roteadores Cisco. O modelo Context Based Access Control (CBAC), também conhecido como Classic IOS Firewall está disponível há mais de dez anos e o seu sucessor, Zone-based Policy Firewall (ZFW) há pelo menos seis…

    A essa altura você pode estar se perguntando:

    – Se já existia o CBAC, por que criar o Zone-based Firewall ? O CBAC não era suficiente ?

    Bem, vamos às respostas:

a)     O CBAC provê um firewall stateful mas as regras de inspeção eram criadas entre pares de interfaces e não havia um conceito de Domínio de Segurança (Security Zone, utilizando a nomenclatura do ZFW). Tal característica dificultava a visualização lógica das relações de confiança entre os elementos da topologia e também trazia desafios em termos de expansibilidade. (Imagine, por exemplo, criar regras entre dez interfaces distintas…)

b)      A linha de raciocínio de construção de políticas adotada pelo ZFW é muito similar à que se usa para configurar Qualidade de Serviço (class-map para classificar pacotes e policy-map para definir as ações a serem tomadas para o tráfego classificado). Uma notável distinção é que no ZFW os policy-maps governam a interconexão entre Security Zones e não se relacionam diretamente com interfaces.

c)       O modelo proposto pelo Zone-based Policy Firewall permite que o roteador seja configurado de modo a negar por default, fato este que o aproxima dos appliances de segurança dedicados. Após tal passo inicial, você pode definir os critérios que os pacotes precisam atender para que sejam encaminhados entre duas dadas interfaces (que agora são membros de Security Zones).

   Alguns fatos adicionais merecem especial menção:

1)       O ZFW é a abordagem que vem recebendo todos os investimentos no que concerne a evolução funcional. Só convém usar o CBAC em roteadores muito antigos cujo IOS não suporte o novo modelo.

2)       O ZFW está disponível nas imagens Security do Cisco IOS, juntamente com as funcionalidades de VPN.

3)       Os roteadores ISR (Integrated Services Routers), os quais já provêem uma miríade de opções de conectividade e serviços (switching, WLAN, Multicast, Telefonia IP/VoIP, backup via GSM/CDMA, etc) podem agora ser configurados como gateways condicionais (tanto em modo roteado como modo transparente), o que os torna ainda mais completos e flexíveis.

Termino este breve post, propondo que você estude mais a respeito do Cisco Zone-based Policy Firewall para que possa contar com tal recurso em seus projetos que envolvem os roteadores Cisco ISR. Para facilitar o acesso a informações sobre o tema, produzi uma série de artigos.  Espero que o material seja útil… Boa Leitura !

From CBAC to the Cisco Zone-based Policy Firewall

Building Blocks for a Cisco Zone-based Firewall policy

Zone Policy Firewall: Understanding the default deny behavior

Building a simple policy with the Cisco Zone-based Firewall

Logging connections in the Cisco Zone-based Policy Firewall

Logging dropped packets with the Cisco Zone-based Policy Firewall

Integrating ACLs with the Cisco Zone-based Policy Firewall

Deploying the Cisco Zone-based Policy Firewall with ACLs and NAT

Basic Configuration of the Cisco Zone-based Policy Firewall in Transparent Mode

FTP Inspection with the Cisco Zone-based Policy Firewall

HTTP Inspection on non-standard ports with the Cisco Zone-based Policy Firewall

Cisco Zone-based Policy Firewall: Understanding the self zone

Cisco Zone-based Policy Firewall: Controlling Intrazone traffic

User-based Access Control with the Cisco IOS Zone-based Policy Firewall

Sample Configuration of the Cisco IOS Zone-based Policy Firewall with IPv6 

Cisco IOS Zone-based Policy Firewall: L7 inspection for FTP over IPv6



Comente usando o Facebook!

Deixe uma resposta