ZONE-BASED FIREWALL

Zone-Based Firewall es un componente que nos permite convertir a un router en un Firewall para filtrar el trfico que pasa por nuestros dispositivos de una manera ms ptima.. Surge la interrogante de saber cul es la diferencia entre un Firewall y utilizar las Listas de Acceso (ACL) Valdr la pena realmente el uso de un ZBFW o Nos permitir ir ms alla de la capa 3 y capa 4 (ACL) donde slo filtraremos trfico basados en informacin en estas capas. Podremos estudiar el payload o el contenido de capa paquete que utilizan los diferentes protocolos de aplicacin (FTP, SSH, HTTP, etc.) o Permitir tambin mantener tablas de estado en la cual se guardara informacin respectiva a las conexiones existentes para que sea requerido permitir el trfico en una sola direccin.

A continuacin se presenta el siguiente escenario: Al referirnos de ZBFW se va a realizar lo siguiente: 1. Lgicamente dividir al router en diferentes zonas de control 2. Determinar que trafico va a ser permitido de una zona de control a otra 3. Configurar el router para que esto se lleve acabo Se trabajara en el siguiente ejemplo: Uno de nuestros ms grades clientes de las empresas Cahecaz, nos contacta porque quiere implementar un Firewall o corta fuegos en su router cisco 2811. Nuestro cliente nos menciona que tiene la siguiente topologa y lo que desea configurar. De inmediato analizamos la informacin y sugerimos que es un trabajo para un ZBFW, el cual es sugerido de inmediato.

Zone-Based Firewall

Pgina 1

 Se requiere inspeccionar trfico de la red interna a la red externa, (solamente HTTP y DNS) Se requiere permitir ICMP de la red externa a la interna nicamente. Con la informacin ya proporcionada se comienza a trabajar: Paso 1) Crear las zonas de seguridad Para ello se debe pensar en el router como el dispositivo situado al permetro de la red, por ende sus interfaces dependiendo a que conectan sern llamadas como tal: Zone Security Inside Description Red Interna Zone Security Outside Description Red Externa Paso 2) Identificar el trfico con un class-map Un class-map es un parmetro utilizado para identificar el trfico al cual le queremos realizar una accin. En este escenario la compaa que nos ha contratado nos solicita inspeccionar el trfico de la red interna a la red externa relacionado al protocolo HTTP, HTTPS y DNS. Es fundamental mencionar que a la hora de identificar un trfico podemos seleccionar varios parmetros para esto pero los ms comunes son: 1. Una lista de acceso 2. El protocolo en si. Pasamos a la configuracin: Trfico de red interna a la externa Class-map type inspect match-any In_Out Match protocol HTTP Match protocol HTTPS Match protocol DNS Paso 3) Realizar la accin al trfico identificado en paso 2 Un policy-map es el componente que utilizamos para determinar que accin le vamos a realizar al trfico previamente identificado. Las opciones son: Inspect: Crear una entrada en la tabla de estado del Firewall para que el trfico de vuelta sea permitido de manera dinmica, aparte de ello inspeccionara el protocolo para verificar que se respeten los estndares.

Zone-Based Firewall

Pgina 2

Pass:

Es el equivalente a un Permit en una ACL, por ende es unidireccional, simplemente deja pasar el trfico. Es el equivalente a un Deny en una ACL, simplemente deniega el trfico. A pesar de que no es muy utilizado en la configuracin de ZBFW, es posible llamarlo y lo que este busca es bsicamente determinar cunto de banda ancha (BW), se le otorga a una clase o trfico en especfico.

Drop: Police:

A continuacin se declaran las polticas: Accin a trfico de una red interna a externa Policy-map type inspect Inside_Outside Class In_Out Inspect Accion a trfico de red externa a interna Policy-map type inspect Outside_Inside Class Out_In Inspect Paso 4) Aplicar las polticas a un par de zonas o zone pair En este paso es donde vamos definir que poltica utilizar X trfico cuando vaya de una zona a otra (de ah se obtiene el nombre de zone pair o configuracin de par de zonas) De red interna a externa Zone-pair security Interna_Externa source Inside destination Outside Servie-policy type inspect Inside _Outside De red externa a interna Zone-pair security Externa_Interna source Outside destination Inside Service-policy type inspect Ouside_Inside Paso 5) Aplicar las zonas a la interfaces El ltimo paso ser configurar las interfaces de tal forma que estas formen parte de una zona, sin esto bsicamente ZBFW, esta deshabilitado. Interface gig(fa)0/0 Ip nat outside Ip addres 1S0.10.10.1 255.2555.255.0 Zone-security Inside
Zone-Based Firewall Pgina 3

Tan pronto configuramos el paso 5 el trfico empezara a ser protegido. Tener presente: Trfico entre interfaces en diferentes zonas es denegado por defecto a menos que se configure una poltica entre las zonas que permita el trfico Trfico entre interfaces en la misma zona es permitido por defecto Trfico hacia el router y desde le router es permitido por defecto (a menos que se utilice el self-zone)

Zone-Based Firewall

Pgina 4