Apuntes de Kirby
  • 👀whoami
  • 🦉Redes
    • Introducción Redes
      • Organizaciones
      • Historia
      • Puntos de conexión
      • Métodos de acceso a la red
    • Clasificación de las redes
    • Topología de las red
    • Direccionamiento IP
      • IPv4
        • Subredes IPv4
        • Superredes IPv4
        • VLSM
      • IPv6
      • MAC
      • NAT
    • Enrutamiento estático
    • Enrutamiento dinámico
      • RIPv1 & RIPv2
      • Tablas de enrutamiento
      • 🚧Redes conmutadas
    • CML
      • 🚧1er CML lab
    • CISCO
      • ¿Qué son las VLAN?
        • Ejemplo 1 de VLAN
        • Ejemplo 2 de VLAN
      • Acceso y password
      • NAT / PAT
    • Firewalls
      • Tipos de firewalls
      • ZPF
        • Funcionamiento
        • Configurando un ZPF
      • Sophos Firewall XG
        • Sophos home
        • Aprendiendo a usar Sophos
      • pfSense
        • Instalando pfSense
        • OpenVPN en pfSense
        • Port Forward
        • Alias
    • Proxy
      • Squid en pfSense
        • Squid Proxy Server
        • SquidGuard Proxy
      • Proxy reverse Nginx
    • 🚧Suricata
  • 🐝Servicios
    • Servidores Web
      • Nginx
        • NGINX, hosts virtuales
        • Hosts virtuales basados en dominio
        • PHP-FPM
        • Nginx: PHP y MySQL
          • MySQLi - PHP
        • En Alpine linux
        • 🚧Proxy
    • Servidores de correo
      • Seguridad en el correo
      • Postfix
      • hMailServer
      • Clientes de correo
        • Mailutils
        • Mutt
    • Servidores de FTP
      • FileZilla
      • VSFTPD
      • FTP vía IIS
    • Servidores DNS
      • DNS - Windows Server 2016
      • DNS - Ubuntu Server 22.04
      • Systemd
    • Servidores DHCP
      • DHCP-Windows Server 2016
      • DHCP-Ubuntu Server 22.04
    • Servidores MySQL
    • 🚧Mensajería instantánea
      • Ejabberd
    • 🚧Imágenes - Vídeos
      • FFMPEG + YT-DLP
      • Plex
      • Jellyfin
      • Plesk
      • RTMP
      • SRT
    • Webmin + Virtualmin
  • NextCloud
  • 🔑Seguridad
    • NAS
      • Instalación Synology NAS en VirtualBox
        • Creación de volúmenes y su uso
        • Actualización Synology NAS
        • Creación de usuarios y carpetas compartidas
        • Funciones del panel de control
          • Acceso por SSH
          • Configuración de los servicios de archivos
          • Configuración de red
          • Copias de seguridad (restauración)
          • Seguridad
          • Personalizar páginas de inicio
          • Servicio de notificaciones
        • Centro de paquetes Synology
          • Servidores multimedia
          • Paquetes de utilidades
          • Cloud Sync
          • Hyper Backup
          • Synology Office
      • Truenas
        • Rsync en Truenas
      • OpenmediaVault
    • Backups
      • Rsync
        • Ejemplo de rsync
    • ¿Qué son las ACL?
    • SOPS/AGE
    • RAID
      • mdadm
  • 🐳Virtualización
    • Proxmox
      • Instalar en VMWare
      • Instalar en VirtualBox
      • Entorno Proxmox
      • Almacenamiento local
      • Añadir discos
      • Clonar
      • Qemu agent
      • Linux container - LXC
      • Clúster
      • Red Interna
      • 🚧Proxmox Backup
      • 🚧Otras consideraciones
    • Alpine Linux
    • Contenedores
      • Docker
        • YAML
        • Instalando Docker
        • Portainer
          • Instalando Portainer
          • Dentro de Portainer
        • Docker volumen
        • Docker compose
          • Docker: PHP y MySQL
          • Importar sitio web en Docker
          • Instalando Wordpress
      • Pi-hole
        • Instalando Pi-hole en Docker
        • Instalando Pi-hole en Debian
        • RDP
          • RDP - Docker
  • 🐞Misceláneas
    • Datos - codificación
    • IPTables
    • Túnel con Cloudflare
    • Servidor de video
    • Comandos de Linux
    • Anaconda & Spyder
    • CGI - NGINX
    • Arduino
      • Capítulo 0 Blink
      • Capítulo 1 Led
      • Capítulo 2 Botton & LED
  • ⁉️Interesante
    • Curioso
    • Ideas
Powered by GitBook
On this page
  • Ventajas
  • Topología Básica de Zonas de Seguridad
  • Diseño de ZPF
  • Modelos de diseño de firewall

Was this helpful?

Edit on GitHub
  1. Redes
  2. Firewalls

ZPF

Firewall de políticas basados en zonas

PreviousTipos de firewallsNextFuncionamiento

Last updated 1 year ago

Was this helpful?

Ventajas

Hay dos modelos de configuración de firewall:

  • Classic Firewall: Es el modelo de configuración tradicional en el que la política de firewall se aplica en las interfaces.

  • Zone-based Policy Firewall - ZPF: El modelo de configuración en el que las interfaces se asignan a zonas de seguridad, y la política de firewall se aplica al tráfico que se mueve entre las zonas.

  • Si se añade una interfaz adicional a la zona privada, los hosts conectados a la nueva interfaz en la zona privada pueden pasar tráfico a todos los hosts de la interfaz existente en la misma zona.

Topología Básica de Zonas de Seguridad

El modelo de configuración del firewall usando zonas proporciona estructura y facilidad de uso lo que constituye una de las principales motivaciones para que los profesionales de seguridad de redes migren a este modelo ZPF, dado que:

  • El enfoque estructurado es útil para la documentación y la comunicación.

  • La facilidad de uso hace que las implementaciones de seguridad de la red sean más accesibles para una comunidad más grande de profesionales de seguridad.

Este modelo tiene ventajas como:

  • No depende de las ACL.

  • La postura de seguridad del router es bloquear, a menos que se permita explícitamente.

  • Las políticas son fáciles de leer y corregir con Cisco Common Classification Policy Language - C3PL.

    • Que es un método estructurado para crear políticas de tráfico basadas en eventos, condiciones y acciones.

    • Lo que proporciona escalabilidad porque una política afecta cualquier tráfico dado, en lugar de necesitar varias ACL y acciones de inspección para diferentes tipos de tráfico.

  • Las interfaces virtuales y físicas pueden agruparse en zonas.

  • Las políticas se aplican al tráfico unidireccional entre zonas.

Al decidir si se debe implementar el modelo Clásico de Firewall o un ZPF es importante considerar que ambos modelos de configuración pueden habilitarse simultáneamente en un router. Sin embargo, los modelos no se pueden combinar en una sola interfaz.

Ejemplo

Una interfaz no puede ser configurada simultáneamente como miembro de una zona de seguridad y para la inspección de IP.

Diseño de ZPF

El diseño de ZPF implica varios pasos:

  1. Determinar las zonas:

    1. El administrador se debe centrar en la separación de la red por zonas.

    2. Las zonas establecen las fronteras de seguridad de la red.

    3. Una zona define una frontera donde el tráfico se somete a las restricciones de las políticas al pasar a otra región de la red.

    4. Por ejemplo, la red pública sería una zona y la red interna sería otra zona.

  2. Establecer políticas entre zonas:

    1. Para cada par de zonas de origen-destino (por ejemplo, de la red interna a Internet externa), se definen las sesiones que los clientes en las zonas de origen pueden solicitar a los servidores en las zonas de destino.

    2. Estas sesiones suelen ser sesiones TCP y UDP, pero también pueden ser sesiones ICMP tales como el eco ICMP.

    3. Para el tráfico que no se basa en el concepto de sesiones, el administrador debe definir flujos de tráfico unidireccionales desde el origen hasta el destino y viceversa.

    4. Las políticas son unidireccionales

    5. Las políticas se definen en función de las zonas de origen y destino conocidas como pares de zonas.

  3. Diseñar la infraestructura física:

    1. Después de identificar las zonas y documentar los requisitos de tráfico entre ellas, el administrador debe diseñar la infraestructura física.

    2. El administrador debe tener en cuenta los requisitos de seguridad y disponibilidad al diseñar la infraestructura física.

    3. Esto incluye dictar la cantidad de dispositivos entre las zonas más seguras y las menos seguras y determinar los dispositivos redundantes.

  4. Identificar subconjuntos dentro de las zonas y combinar requisitos de tráfico:

    1. Para cada dispositivo de firewall en el diseño, el administrador debe identificar los subconjuntos de zonas que están conectados a sus interfaces y combinar los requisitos de tráfico para esas zonas.

    2. Por ejemplo, varias zonas pueden estar asociadas indirectamente a una sola interfaz de firewall, lo que daría lugar a una política entre zonas específica del dispositivo.

Modelos de diseño de firewall

Red Interna - Red Pública

Un modelo simple declarando una zona privada y otra pública

Red Interna + Servidor público - Red Pública

Un modelo donde se declara además de una zona privada y otra pública, un servidor público

Red Interna + Servidor público - Red Pública - con dos firewalls

Otro modelo donde se declaran servidores públicos además de una zona privada y otra pública, pero en esta ocasión utilizando dos firewalls.

Firewall complejo

🦉
Una red simple de tres zonas
De LAN a Internet: Modelo simple declarando una zona privada y una zona pública
Se declara un servidor público en la red
Utilizando dos firewalls
Un diseño más complejo de firewall