Arquitectura física: Dos firewall

Temas relacionados con supuesto práctico y defensa
Salmerona
Usuario registrado
Mensajes: 8
Registrado: 25 Jun 2018, 09:06
Agradecido: 0
Agradecimiento recibido: 0

Arquitectura física: Dos firewall

Mensaje por Salmerona »

Hola, en los diagramas de arquitectura física veo que siempre se ponen dos firewall por enlace, entiendo que es por disponibilidad por si falla uno. En mi empresa solo tenemos uno y la duda que tengo si en la realidad, en los ministerios, hay esos dos firewall funcionando en paralelo, o uno está en funcionamiento y el otro está en una caja con la misma configuración esperando para emergencias.

Avatar de Usuario
Toggo
PreparaTIC27
Mensajes: 140
Registrado: 09 Sep 2016, 13:30
Agradecido: 0
Agradecimiento recibido: 2 veces

Re: Arquitectura física: Dos firewall

Mensaje por Toggo »

Yo no sé exactamente qué hay en los CPD de los Ministerios, pero el ENS dice lo siguiente:
5.4.1 Perímetro seguro [mp.com.1].

Categoría ALTA

a) El sistema de cortafuegos constará de dos o más equipos de diferente fabricante dispuestos en cascada.

b) Se dispondrán sistemas redundantes.
En la guía CCN-STIC 811 sobre interconexión en el ENS encontrarás más información a cerca de las "Arquitecturas de Protección Perimetral". A partir de la tipo 5 todas tienen firewalls en cascada.

Saludos.

Avatar de Usuario
Montijeño
PreparaTIC26
Mensajes: 203
Registrado: 05 Nov 2016, 08:25
Agradecido: 0
Agradecimiento recibido: 0

Re: Arquitectura física: Dos firewall

Mensaje por Montijeño »

Además de por redundancia, fíjate en el detalle que dice que han de ser "de diferente fabricante". Se hace así para evitar que una vulnerabilidad que afecte a un determinado equipo de un determinado fabricante no suponga un agujero de seguridad que permita a un atacante atravesar la barrera de seguridad, pues será improbable que esa vulnerabilidad se dé a la vez en el equipo del otro fabricante.

Avatar de Usuario
karlitross
Usuario registrado
Mensajes: 42
Registrado: 02 Abr 2006, 18:27
Agradecido: 0
Agradecimiento recibido: 0
Contactar:

Re: Arquitectura física: Dos firewall

Mensaje por karlitross »

Buenas,
Si dice en cascada es que el tráfico debe pasar por ambos para pasar de Internet a la red interna. El tema de los elementos redundantes no parece aclarar si afecta a los cortafuegos en particular y/o a otros elementos relacionados con la electrónica de red, enrutamiento, etc. Sobre todo si la dimensión disponibilidad es alta, en otros casos supongo que no es necesario.
Un saludo

Avatar de Usuario
georgesperec
PreparaTIC XXIII
Mensajes: 65
Registrado: 06 Oct 2011, 17:01
Agradecido: 0
Agradecimiento recibido: 0

Re: Arquitectura física: Dos firewall

Mensaje por georgesperec »

Hola:

Efectivamente, una cosa son las dos capas de firewall y otra que, en cada una de estas capas, haya un cluster con dos equipos.

En el primer caso, como apuntaba Montijeño, deben ser de diferente fabricante para que las posibles vulnerabilidades de uno sean cubiertas por el otro. Esto es especialmente importante si hay activados servicios de IPS y similares. Además, también es un tema de arquitectura. La capa perimetral es la frontera entre internet y la organización, por lo que detrás de ella solo deben estas las DMZs con los frontales que se exponen a internet. La capa interna, por otro lado, es la que abre camino a toda la parte interna, desde los servicios internos (algunos de ellos consultados desde los frontales de la DMZ) hasta los usuarios, las distintas sedes del organismo, el AI de Red Sara, etc.

En el segundo caso, en cada una de estas capas hay un cluster formado por dos equipos iguales configurados en HA (alta disponibilidad), ya sea en modo activo-activo o activo-pasivo (esto último es lo más frecuente, pero depende de las recomendaciones del fabricante y, en menor medida, de la propia arquitectura de red del sitio). Yo diría que esto es aplicable a cualquier nivel de disponibilidad del ENS, no es necesario que se clasifique el nivel de disponibilidad como alto, sobre todo para equipos clave como suelen ser los firewall. El tiempo para cambiar un firewall que se rompe puede ser muy alto, no solo por la propia disponibilidad de los equipos (los fabricantes muchas veces no los tienen ni en España) sino porque es necesario cargar toda la configuración de red, las políticas, etc. No es algo que se haga fácilmente de un día para otro. De hecho, en el caso de que se rompa uno de los equipos, toca correr para sustituirlo a toda prisa, porque vivir con la angustia de saber que dependes de un solo firewall es difícilmente manejable XDDD

Avatar de Usuario
Montijeño
PreparaTIC26
Mensajes: 203
Registrado: 05 Nov 2016, 08:25
Agradecido: 0
Agradecimiento recibido: 0

Re: Arquitectura física: Dos firewall

Mensaje por Montijeño »

Uhmmm... muchas cosas, muy parecidas y no siempre fáciles de comprender. Voy a tratar de hacer un resumen a ver si me entero o si ando más perdido que un pulpo en un garaje:

- El ENS (esta vez sí he mirado el texto consolidado :D) SÍ que explicita que para sistemas de categoría ALTA los firewall que protegen el perímetro han de estar redundados:
5.4.1 Perímetro seguro [mp.com.1].
Categoría ALTA

a) El sistema de cortafuegos constará de dos o más equipos de diferente fabricante dispuestos en cascada.
b) Se dispondrán sistemas redundantes.


- Entiendo que la arquitectura de protección de perímetro que estamos planteando es la que en la guía CCN-STIC 811 aparece como de Tipo 5 (APP-5), en la que tenemos dos conjuntos de FW:
1) Los que comunican con el exterior (internet o whatever)
2) Los que comunican con el interior (la red de nuestro organismo)

- Entiendo, asimismo, de las palabras de georgesperec, que los que han de ser de diferente fabricante son los FW DE CADA ZONA, es decir, los que filtran el tráfico desde el exterior hacia DMZ serán del fabricante X, y los que filtran desde DMZ hacia red interna serán del fabricante Y.

- Y entiendo, por último, que cada uno de estos conjuntos estarán redundados, es decir, habrá 2 equipos IGUALES, los dos del fabricante X en el primer caso (exterior->DMZ), y los dos del fabricante Y en la segunda zona (DMZ->red interna).

De ser así, estaba bastante confundido, ya que pensaba que en la redundancia de equipos es donde se obligaba, ADEMÁS, a que fueran de distinto fabricante, cosa que ahora creo que no es así.

¿Cómo ando de perdido? :P

¡Gracias a todos!

Avatar de Usuario
georgesperec
PreparaTIC XXIII
Mensajes: 65
Registrado: 06 Oct 2011, 17:01
Agradecido: 0
Agradecimiento recibido: 0

Re: Arquitectura física: Dos firewall

Mensaje por georgesperec »

Jajaja, yo creo que ya lo tienes dominado :wink:

Sí, esa es la arquitectura que tenemos en mi organismo (y en los demás que conozco o de los que he podido saber) y lo que dices es correcto. Los equipos redundantes tienen que ser iguales para poder configurarles el HA, es decir, que si uno falla entre automáticamente en servicio el otro (para el modelo de activo-pasivo, porque en activo-activo los dos llevan tráfico todo el tiempo y, como es lógico, tienen que estar en cluster para sincronizar las sesiones, con lo cual serán del mismo fabricante).

Avatar de Usuario
Montijeño
PreparaTIC26
Mensajes: 203
Registrado: 05 Nov 2016, 08:25
Agradecido: 0
Agradecimiento recibido: 0

Re: Arquitectura física: Dos firewall

Mensaje por Montijeño »

Vuelvo a la carga con una duda adicional:

En el esquema de red "tipo" proporcionado en el Pack 3 de Preparatic25 (03.- Arquitectura Física/02.- Diseño de red/RED.pdf), la conexión a SARA desde la red interna de nuestro organismo se dibuja desde la pareja de FW INTERNOS.
Sin embargo, en la NTI de Requisitos de conexión a SARA, cuando se habla de los requisitos técnicos del Área de Conexión (AC) a SARA de un organismo se dice que dicha AC ha de contar con una DMZ con un subsistema de seguridad EXTERNA QUE CONECTA AL RESTO DE SARA.

Me resulta algo contradictorio, y se me ocurren dos posibles soluciones que resolverían la contradicción:
1) Tanto la conexión a SARA como la conexión a Internet se realizan desde el subsistema de seguridad externo (la pareja de FW exterior, para entendernos), por lo que ambos (Internet y SARA) compartirían la DMZ del organismo.

2) En el esquema que refiero, faltaría por dibujar un subsistema de seguridad externo, del organismo hacia SARA, según el gráfico de la NTI, página 22.

¿O me estoy pasando ya con tanto subsistema de seguridad? Se me escapa algo y no sé el qué... :?

Avatar de Usuario
anai
PreparaTIC25
Mensajes: 210
Registrado: 06 May 2013, 18:59
Agradecido: 0
Agradecimiento recibido: 0

Re: Arquitectura física: Dos firewall

Mensaje por anai »

Usa lo de la NTI. Yo la primera vez no lo había puesto y me preguntaron por eso. Este año lo incluí todo.

Avatar de Usuario
Montijeño
PreparaTIC26
Mensajes: 203
Registrado: 05 Nov 2016, 08:25
Agradecido: 0
Agradecimiento recibido: 0

Re: Arquitectura física: Dos firewall

Mensaje por Montijeño »

anai escribió:
07 Jul 2018, 11:54
Usa lo de la NTI. Yo la primera vez no lo había puesto y me preguntaron por eso. Este año lo incluí todo.
Gracias anai. Por "todo" te refieres a dibujar entonces DOS AC, con sus dos correspondientes subsistemas de seguridad (interno y externo), y dos DMZs, una para servicios internos a SARA y otra para servicios externos a Internet. ¿Sería así?

Avatar de Usuario
anai
PreparaTIC25
Mensajes: 210
Registrado: 06 May 2013, 18:59
Agradecido: 0
Agradecimiento recibido: 0

Re: Arquitectura física: Dos firewall

Mensaje por anai »

Estaba revisando el esquema de lo de la sesión. Ahí como está ese dibujo yo le pondría los cortafuegos del lado de Sara que faltan hacia el área de conexión y con eso es suficiente para que vean que te conoces la NTI. Así lo puse yo.

Avatar de Usuario
palindromo
Usuario registrado
Mensajes: 555
Registrado: 21 Abr 2018, 15:05
Ubicación: Madrid
Agradecido: 7 veces
Agradecimiento recibido: 9 veces

Re: Arquitectura física: Dos firewall

Mensaje por palindromo »

Hola:

Al hilo de esto último, no sé si me lío o me aclaro. Del documento \03.- Arquitectura Física\02.- Diseño de red\DISEÑO_DE_RED Mayo 2017.pdf:

"Las interconexiones con la red SARA en los ministerios se suele hacer mediante el uso de un router dedicado con salida desde la DMZ del organismo."

Dice desde la DMZ, pero lo que viene en el dibujo parece no ser ya la DMZ (y, sin embargo, me parece un lugar más adecuado).
Me arde el cerebro con las llamitas de los FW :D .
Desde la barrera.

Avatar de Usuario
Montijeño
PreparaTIC26
Mensajes: 203
Registrado: 05 Nov 2016, 08:25
Agradecido: 0
Agradecimiento recibido: 0

Re: Arquitectura física: Dos firewall

Mensaje por Montijeño »

jajaja al final con tanto FW no va a haber un bit que pase, ni los buenos ni los malos :lol:

Tal y como lo entiendo yo, la interconexión con SARA parte del subsistema de seguridad INTERNO del organismo, es decir, la pareja de FW que dan acceso a la red interna de nuestro organismo. Después estaría la DMZ y después otra pareja de FW que conformarían el subsistema de seguridad EXTERNO que ya conectaría con el router que da acceso a SARA.

Donde creo que podría haber un error, o llevar a confusión, es en el dibujo de la arquitectura física propuesta para el caso que se resolvió en la sesión 7 de Preparatic, página 25. En mi opinión, la salida hacia SARA desde el organismo se debería realizar desde el FW que está encima del que se dibuja. De hecho, tanto este último como el que protege la VLAN de datos no termino de verlos. ¿No deberían ser ambos un IDS, ubicados cada uno en su correspondiente VLAN, en lugar de un FW?

Avatar de Usuario
palindromo
Usuario registrado
Mensajes: 555
Registrado: 21 Abr 2018, 15:05
Ubicación: Madrid
Agradecido: 7 veces
Agradecimiento recibido: 9 veces

Re: Arquitectura física: Dos firewall

Mensaje por palindromo »

Montijeño escribió:
07 Jul 2018, 18:59
jajaja al final con tanto FW no va a haber un bit que pase, ni los buenos ni los malos :lol:
Jeje, no es que me gusten especialmente los chistes de informáticos, pero... cada FW (nuestras objeciones), de un fabricante distinto. Hacemos un equipo de seguridad óptimo. En fin, en serio...
Montijeño escribió:
07 Jul 2018, 18:59
Tal y como lo entiendo yo, la interconexión con SARA parte del subsistema de seguridad INTERNO del organismo, es decir, la pareja de FW que dan acceso a la red interna de nuestro organismo. Después estaría la DMZ y después otra pareja de FW que conformarían el subsistema de seguridad EXTERNO que ya conectaría con el router que da acceso a SARA.

Donde creo que podría haber un error, o llevar a confusión, es en el dibujo de la arquitectura física propuesta para el caso que se resolvió en la sesión 7 de Preparatic, página 25. En mi opinión, la salida hacia SARA desde el organismo se debería realizar desde el FW que está encima del que se dibuja.
Coincido contigo, yo también lo veo así. Creo que, de hecho, hemos llegado entre todos a esa conclusión.
Montijeño escribió:
07 Jul 2018, 18:59
De hecho, tanto este último como el que protege la VLAN de datos no termino de verlos. ¿No deberían ser ambos un IDS, ubicados cada uno en su correspondiente VLAN, en lugar de un FW?
Hoy se ha hablado de esto en la sesión. Parece una práctica habitual, aunque creo que no obligatoria, separar la red de usuarios de la red de datos, y considerar, de facto, a los usuarios, como a los usuarios externos en esa situación. No me parece una mala práctica, la verdad. Cualquiera sabe qué puede entrar desde la red de usuarios, así que mejor que no contamine los datos de negocio.
Desde la barrera.

Avatar de Usuario
anai
PreparaTIC25
Mensajes: 210
Registrado: 06 May 2013, 18:59
Agradecido: 0
Agradecimiento recibido: 0

Re: Arquitectura física: Dos firewall

Mensaje por anai »

palindromo escribió:
07 Jul 2018, 20:11
Montijeño escribió:
07 Jul 2018, 18:59
jajaja al final con tanto FW no va a haber un bit que pase, ni los buenos ni los malos :lol:
Jeje, no es que me gusten especialmente los chistes de informáticos, pero... cada FW (nuestras objeciones), de un fabricante distinto. Hacemos un equipo de seguridad óptimo. En fin, en serio...
Montijeño escribió:
07 Jul 2018, 18:59
Tal y como lo entiendo yo, la interconexión con SARA parte del subsistema de seguridad INTERNO del organismo, es decir, la pareja de FW que dan acceso a la red interna de nuestro organismo. Después estaría la DMZ y después otra pareja de FW que conformarían el subsistema de seguridad EXTERNO que ya conectaría con el router que da acceso a SARA.

Donde creo que podría haber un error, o llevar a confusión, es en el dibujo de la arquitectura física propuesta para el caso que se resolvió en la sesión 7 de Preparatic, página 25. En mi opinión, la salida hacia SARA desde el organismo se debería realizar desde el FW que está encima del que se dibuja.
Coincido contigo, yo también lo veo así. Creo que, de hecho, hemos llegado entre todos a esa conclusión.
Montijeño escribió:
07 Jul 2018, 18:59
De hecho, tanto este último como el que protege la VLAN de datos no termino de verlos. ¿No deberían ser ambos un IDS, ubicados cada uno en su correspondiente VLAN, en lugar de un FW?
Hoy se ha hablado de esto en la sesión. Parece una práctica habitual, aunque creo que no obligatoria, separar la red de usuarios de la red de datos, y considerar, de facto, a los usuarios, como a los usuarios externos en esa situación. No me parece una mala práctica, la verdad. Cualquiera sabe qué puede entrar desde la red de usuarios, así que mejor que no contamine los datos de negocio.
Hola

Primero. Los firewalls hacia el área de conexión en el esquema van al mismo nivel que la red de usuarios internos porque el primer nivel está solo para la red externa, es decir, yo no cambiaría eso puesto que Sara en realidad es como una red interna. De hecho entiendo que podéis ver esa misma solución en los volcados de Preparatic. Si veis otra cosa me decís.

Segundo. No quiteis los firewall. En la NTI los mantienen. Lo único que falta en el esquema de la sesión que comentáis (a mi criterio) son los firewall que hay que poner hacia Sara en el PAS que no vienen y justo por esos me preguntaron en la defensa. (también es cierto que no había mencionado el área de conexión tampoco y sólo había puesto la nube de Sara directamente)

¡Un saludo y ánimo!
Última edición por anai el 08 Jul 2018, 19:11, editado 1 vez en total.

Responder

Volver a “TERCER EXAMEN 2017”