Arquitectura física: Dos firewall

Temas relacionados con supuesto práctico y defensa
Avatar de Usuario
Montijeño
PreparaTIC26
Mensajes: 203
Registrado: 05 Nov 2016, 08:25
Agradecido: 0
Agradecimiento recibido: 0

Re: Arquitectura física: Dos firewall

Mensaje por Montijeño »

Buenos días!

Toda la razón, anai. Menos mal que el examen será por la mañana, se ve que estoy más lúcido que por la tarde.

Ayer, supongo que ya nublado de tanta VLAN y tanto calor, no me fijé bien en el diagrama y vi un FW de más, de ahí que propusiera la conexión hacia SARA desde el subsistema de seguridad externo, pensando que se trataba del interno. Mis disculpas, grave error.

Como fallemos en la arquitectura física este año es pa colgarnos de los pulgares jejeje.

Saludos a todos y mil gracias por todas las aportaciones!

Avatar de Usuario
anai
PreparaTIC25
Mensajes: 210
Registrado: 06 May 2013, 18:59
Agradecido: 0
Agradecimiento recibido: 0

Re: Arquitectura física: Dos firewall

Mensaje por anai »

:mrgreen:

raquelom
PreparaTIC26
Mensajes: 48
Registrado: 02 Mar 2009, 10:11
Agradecido: 0
Agradecimiento recibido: 0

Re: Arquitectura física: Dos firewall

Mensaje por raquelom »

Más sobre esto y teniendo ya claro que a SARA se llega mediante doble barrera de FW (gracias @anai):
palindromo escribió:
07 Jul 2018, 20:11
....
Montijeño escribió:
07 Jul 2018, 18:59
De hecho, tanto este último como el que protege la VLAN de datos no termino de verlos. ¿No deberían ser ambos un IDS, ubicados cada uno en su correspondiente VLAN, en lugar de un FW?
Hoy se ha hablado de esto en la sesión. Parece una práctica habitual, aunque creo que no obligatoria, separar la red de usuarios de la red de datos, y considerar, de facto, a los usuarios, como a los usuarios externos en esa situación. No me parece una mala práctica, la verdad. Cualquiera sabe qué puede entrar desde la red de usuarios, así que mejor que no contamine los datos de negocio.
Repasando las medidas del ENS (¡dolor!) me he encontrado con esto:
5.4.4 Segregación de redes [mp.com.4].

La segregación de redes acota el acceso a la información y, consiguientemente, la propagación de los incidentes de seguridad, que quedan restringidos al entorno donde ocurren.

Categoría ALTA

La red se segmentará en segmentos de forma que haya:

a) Control de entrada de los usuarios que llegan a cada segmento.

b) Control de salida de la información disponible en cada segmento.
Hasta aquí entiendo que están hablando de una VLAN por segmento, sin problema. Pero sigue:
c) Las redes se pueden segmentar por dispositivos físicos o lógicos. El punto de interconexión estará particularmente asegurado, mantenido y monitorizado (como en [mp.com.1]).
Y resulta que en [mp.com.1] hablan directamente de un cortafuegos para categoría baja y dos redundados para media y alta... ¿Quiere esto decir que hay que poner un FW por VLAN? ¿No es excesivo? ¿Soy yo o nos estamos volviendo todos locos?

No sé qué pensar... ¿alguna idea?

Avatar de Usuario
anai
PreparaTIC25
Mensajes: 210
Registrado: 06 May 2013, 18:59
Agradecido: 0
Agradecimiento recibido: 0

Re: Arquitectura física: Dos firewall

Mensaje por anai »

Hola:

Sin ser una experta en redes creo que se puede poner en un mismo firewall junto con su redundado, soporte para las distintas Vlan de ese nivel o bien el punto de interconexión podría referirse a un switch con el mismo propósito.

No es típico que se dibujen todos los elementos de red en el diagrama porque en realidad no hay mucho tiempo.

Igual alguien que haya trabajado más el tema redes puede concretar al respecto.

Saludos

Avatar de Usuario
palindromo
Usuario registrado
Mensajes: 555
Registrado: 21 Abr 2018, 15:05
Ubicación: Madrid
Agradecido: 7 veces
Agradecimiento recibido: 9 veces

Re: Arquitectura física: Dos firewall

Mensaje por palindromo »

Efectivamente, en la medida en que un equipo físico tenga bocas de red diferenciadas y capacidad de proceso, con un solo equipo (o par de ellos, por lo de la redundancia) se puede dar servicio a varias VLAN. Pero se presentan separados en los dibujos para delimitar mejor la topología de la red. Lo mismo se puede decir con respecto a los switches.
Desde la barrera.

Avatar de Usuario
georgesperec
PreparaTIC XXIII
Mensajes: 65
Registrado: 06 Oct 2011, 17:01
Agradecido: 0
Agradecimiento recibido: 0

Re: Arquitectura física: Dos firewall

Mensaje por georgesperec »

Como dicen Anai y Palíndromo, con un firewall (o un cluster de dos, por redundancia) puedes filtrar muchas vlanes, dependiendo de la combinación throughput/número de puertos. Por ejemplo, en una sede grande es normal que puedas tener muchos usuarios y varias vlanes de usuarios; aquí, una configuración típica sería que esas vlanes terminaran en un switch de core, el cual subiría luego hasta el firewall. La clave aquí estaría en dónde tienen el nivel 3 esas vlanes. Si lo tienen en el switch de core, no tienes posible barrera para cortar en caso de incidente de seguridad, y todos los usuarios podrían verse afectados. Si, por el contrario, subes el nivel 3 de esas vlan al firewall (lo cual puede ser especialmente útil si se activa el ips en el firewall), puedes lograr que el incidente se seguridad se quede en la vlan donde esté el equipo con problemas, y que este no pase a los usuarios del resto de vlan. Esta es la principal ventaja, y aquí puede estar la mayor duda. Que entre usuarios y vlanes de servidores tiene que haber firewall parece claro (porque el peligro muchas veces viene de los usuarios propios), sería un mínimo, y la duda está en si filtrar o no a los usuarios. Esto al final dependerá de la arquitectura, requisitos de seguridad o potencia del firewall, como comentaba antes, y lo que sí se suele hacer es llevar ahí las vlanes a nivel lógico. No parece muy viable llevar físicamente cada vlan a un puerto del firewall, porque los puertos de firewall son caros y escasos, así que se llevan a un switch, que para eso están, y desde ahí se suben las vlan en trunk hasta el cluster interno de firewalls, utilizando, esto siempre, al menos un par de enlaces (para tener redundancia y disponer de más ancho de banda, más adaptado al total) que pueden estar agregados en LACP (mediante, por ejemplo, los típicos port-channel o virtual port-channels de Cisco). Pero bueno, me estoy metiendo en cosas demasiado técnicas para este examen. Con la idea general y tener claros los conceptos básicos yo diría que es más que suficiente. Ánimo, que os queda el último empujón!! :D

raquelom
PreparaTIC26
Mensajes: 48
Registrado: 02 Mar 2009, 10:11
Agradecido: 0
Agradecimiento recibido: 0

Re: Arquitectura física: Dos firewall

Mensaje por raquelom »

Todo claro. No vamos a rizar el rizo en el ratito que nos dan... Mil gracias a todos !

stereopop
PreparaTIC27
Mensajes: 130
Registrado: 30 Ago 2017, 11:48
Agradecido: 0
Agradecimiento recibido: 0

Re: Arquitectura física: Dos firewall

Mensaje por stereopop »

georgesperec escribió:
14 Jul 2018, 00:52
Como dicen Anai y Palíndromo, con un firewall (o un cluster de dos, por redundancia) puedes filtrar muchas vlanes, dependiendo de la combinación throughput/número de puertos. Por ejemplo, en una sede grande es normal que puedas tener muchos usuarios y varias vlanes de usuarios; aquí, una configuración típica sería que esas vlanes terminaran en un switch de core, el cual subiría luego hasta el firewall. La clave aquí estaría en dónde tienen el nivel 3 esas vlanes. Si lo tienen en el switch de core, no tienes posible barrera para cortar en caso de incidente de seguridad, y todos los usuarios podrían verse afectados. Si, por el contrario, subes el nivel 3 de esas vlan al firewall (lo cual puede ser especialmente útil si se activa el ips en el firewall), puedes lograr que el incidente se seguridad se quede en la vlan donde esté el equipo con problemas, y que este no pase a los usuarios del resto de vlan. Esta es la principal ventaja, y aquí puede estar la mayor duda. Que entre usuarios y vlanes de servidores tiene que haber firewall parece claro (porque el peligro muchas veces viene de los usuarios propios), sería un mínimo, y la duda está en si filtrar o no a los usuarios. Esto al final dependerá de la arquitectura, requisitos de seguridad o potencia del firewall, como comentaba antes, y lo que sí se suele hacer es llevar ahí las vlanes a nivel lógico. No parece muy viable llevar físicamente cada vlan a un puerto del firewall, porque los puertos de firewall son caros y escasos, así que se llevan a un switch, que para eso están, y desde ahí se suben las vlan en trunk hasta el cluster interno de firewalls, utilizando, esto siempre, al menos un par de enlaces (para tener redundancia y disponer de más ancho de banda, más adaptado al total) que pueden estar agregados en LACP (mediante, por ejemplo, los típicos port-channel o virtual port-channels de Cisco). Pero bueno, me estoy metiendo en cosas demasiado técnicas para este examen. Con la idea general y tener claros los conceptos básicos yo diría que es más que suficiente. Ánimo, que os queda el último empujón!! :D
Sólo una aclaración, el FW como bien dices hace de nivel 3, por tanto NO filtra vlan (como indicas al comienzo), filtra IPs. Nunca he visto un FW haciendo de nivel 2 y además no tiene sentido. La estructura típica es FW (nivel 3) + switch (Nivel 2) + Router (Nivel 3).

Avatar de Usuario
georgesperec
PreparaTIC XXIII
Mensajes: 65
Registrado: 06 Oct 2011, 17:01
Agradecido: 0
Agradecimiento recibido: 0

Re: Arquitectura física: Dos firewall

Mensaje por georgesperec »

Sí, totalmente, me he expresado mal. Lo que quería decir era poner el nivel 3 de las vlan en el firewall en vez de en un switch de capa 3, como está en algún que otro sitio :P . Con lo de filtrar tenía en mente a los usuarios, porque de esta forma se pueden filtrar, cosa que no ocurre si pones la capa 3 de sus vlan en un switch, por ejemplo. Gracias por la aclaración!

Responder

Volver a “TERCER EXAMEN 2017”