4.

3 FIREWALLS
DE POLÍTICA
BASADOS EN
ZONAS (ZPF)
 ¿QUE SON?
Son un paso evolutivo más allá de los
firewalls clásicos. Mientras que los
firewalls clásicos se basan en la
configuración de seguridad de las
interfaces del router, un ZPF permite
asignar interfaces a zonas.
MODELOS DE CONFIGURACIÓN
PARA CISCO IOS FIREWALL
Classic Firewall
El modelo de configuración
tradicional en el que la política
de firewall se aplica en las
interfaces.
Zone-based Policy
Firewall (ZPF)
El modelo de configuración en el
que las interfaces se asignan a
zonas de seguridad, y la política
de firewall se aplica al tráfico
que se mueve entre las zonas.
 VENTAJAS DE LA ZPF
No depende de las ACL.
La postura de seguridad del router es bloquear, a menos que se permita
explícitamente.
Las políticas son fáciles de leer y corregir con Cisco Common Classification
Policy Language (C3PL). C3PL es un método estructurado para crear políticas
de tráfico basadas en eventos, condiciones y acciones. Esto proporciona
escalabilidad porque una política afecta cualquier tráfico dado, en lugar de
necesitar varias ACL y acciones de inspección para diferentes tipos de tráfico.
Las interfaces virtuales y físicas pueden agruparse en zonas.
Las políticas se aplican al tráfico unidireccional entre zonas.
PASOS PARA
DISEÑAR UNA
ZPF
1.- Determinar las zonas
El administrador se centra en la separación de la red
en zonas. Las zonas establecen las fronteras de
seguridad de la red. Una zona define una frontera
donde el tráfico se somete a las restricciones de las
políticas al pasar a otra región de la red. Por ejemplo,
la red pública sería una zona y la red interna sería otra
zona.
2.- Establecer políticas
entre zonas
Para cada par de zonas de 'origen-destino', defina las
sesiones que los clientes en las zonas de origen
pueden solicitar a los servidores en las zonas de
destino. Estas sesiones suelen ser sesiones TCP y
UDP, pero también pueden ser sesiones ICMP tales
como el eco ICMP.
 3.- Diseñar la
infraestructura física
Después de identificar las zonas y documentar los
requisitos de tráfico entre ellas, el administrador debe
diseñar la infraestructura física. El administrador debe
tener en cuenta los requisitos de seguridad y
disponibilidad al diseñar la infraestructura física. Esto
incluye dictar la cantidad de dispositivos entre las
zonas más seguras y las menos seguras y determinar
los dispositivos redundantes.
4.- Identificar subconjuntos
dentro de zonas y combinar
requisitos de tráfico
Para cada dispositivo de firewall en el diseño, el
administrador debe identificar los
subconjuntos de zonas que están conectados
a sus interfaces y combinar los requisitos de
tráfico para esas zonas. Por ejemplo, varias
zonas pueden estar asociadas indirectamente
a una sola interfaz de firewall.
 Ejemplos

Firewall con servidores públicos Firewalls redundantes

Ejemplos
Firewall complejo
ACCIONES DE ZPF
Inspecciona Descart Pasa
Esto es análogo a una Esto es análogo a una
declaración Denegar en declaración permitir en
Realiza la inspección de
una ACL. Hay disponible una ACL. La acción Pasa
paquetes de Cisco IOS
una opción log para no realiza un
stateful.
registrar los paquetes seguimiento del estado
rechazados. de las conexiones o
sesiones dentro del
tráfico.
REGLAS PARA
EL TRÁFICO
DE TRÁNSITO
Las reglas dependen de si las interfaces de entrada y salida son miembros de la misma zona:

Si ninguna de las interfaces es miembro de la zona, la acción resultante es pasar el tráfico.

Si ambas interfaces son miembros de la misma zona, la acción resultante es pasar el tráfico.
Si una interfaz es miembro de una zona, pero la otra no, la acción resultante es eliminar el
tráfico, independientemente de si existe un par de zonas.
Si ambas interfaces pertenecen al mismo par de zonas y existe una política, la acción
resultante es inspeccionar, permitir o descartar según lo definido por la política.
RESUMEN DE LAS REGLAS:
REGLAS PARA
EL TRÁFICO A
LA SELF ZONE
La self zone es el propio router e incluye todas las direcciones IP asignadas a las interfaces del
mismo. Este es el tráfico que se origina en el router o se dirige a una interfaz de router.
Específicamente, el tráfico es para la administración de dispositivos, por ejemplo SSH, o para el
control de reenvío de tráfico, como el tráfico del protocolo de routing. Las reglas para un ZPF son
diferentes para la self zone.

Las reglas dependen de si el router es el origen o el destino del tráfico, como se muestra en la
tabla. Si el router es el origen o el destino, entonces se permite todo el tráfico. La única excepción
es si el origen y el destino son un par de zonas con una política de servicio específica. En ese caso,
la política se aplica a todo el tráfico.
RESUMEN DE LAS REGLAS:
 COMO
CONFIGURAR
UN ZPF
 PASOS
Paso 1: Cree las zonas.
Paso 2: Identifique el tráfico con un mapa de clase.
Paso 3: Defina una acción con un mapa de políticas.
Paso 4: Identifique un par de zonas y relaciónelo con un
mapa de políticas.
Paso 5: Asigne zonas a las interfaces correspondientes.
 PASO 1. CREAR LAS ZONAS
El primer paso es crear las zonas.
 PASO 2. IDENTIFICAR TRÁFICO
El segundo paso es utilizar un mapa de clase para identificar el tráfico al que se
aplicará una política. Una clase es una forma de identificar un conjunto de
paquetes según su contenido mediante condiciones de “coincidencia”. Por lo
general, define una clase para poder aplicar una acción al tráfico identificado que
refleja una política.
Para una configuración de ZPF utilice la palabra clave inspect para definir un
mapa de clase. Los paquetes deben cumplir uno de los criterios de coincidencia
(match-any) o todos los criterios de coincidencia (match-all) para ser
considerados miembros de la clase.
EJEMPLO
HACERLO COINCIDIR CON EL
TRÁFICO ACL
 PASO 3. DEFINIR UNA ACCIÓN
El tercer paso es utilizar un mapa de políticas para definir qué medidas se deben
tomar para el tráfico que es miembro de una clase.
 EJEMPLO DE CONFIGURACIÓN
DE ASIGNACIÓN DE POLÍTICAS.

inspect - Esta acción ofrece un control del tráfico basado en el estado.

descarta - Esta es la acción por defecto para todo el tráfico. Al igual que el Denegar
any implícito al final de cada ACL, hay un descarta explícito aplicado por el IOS al final
de cada policy-map.

pass - Esta acción permite al router reenviar el tráfico de una zona a otra. La acción
pass no realiza un seguimiento del estado de las conexiones.
PASO 4. IDENTIFICAR UN PAR
DE ZONAS Y HACERLO
COINCIDIR CON UNA POLÍTICA
 PASO 5. ASIGNAR ZONAS A LAS
INTERFACES
La asociación de una zona a una interfaz aplicará inmediatamente la política de servicio
asociada a la zona. Si aún no se configura una política de servicio para la zona, se
descartará todo el tráfico de tránsito. Utilice el comando zone-member security para
asignar una zona a una interfaz.
 VERIFICAR LA
CONFIGURACIÓN DE UN ZPF
Verifique la configuración de ZPF viendo la configuración en ejecución.
Observe que el mapa de clase aparece primero. Luego, el mapa de políticas
hace uso del mapa de clases. Además, fíjese en la clase resaltada class-
default que dejará caer todo el resto del tráfico que no sea miembro de la
clase HTTP-TRAFFIC.
Las configuraciones de zona siguen las configuraciones del mapa de políticas
con el nombramiento de zonas, el emparejamiento de zonas y la asociación
de una política de servicio al par de zonas. Por último, las interfaces son
zonas asignadas.
EJEMPLO
Consideraciones sobre la
configuración de un ZPF
El router nunca filtra el tráfico entre las interfaces en la
misma zona.
Una interfaz no puede pertenecer a varias zonas. Para crear
una unión de zonas de seguridad, especifique una nueva
zona y un mapa de políticas y pares de zonas adecuados.
ZPF puede coexistir con un firewall clásico, aunque no se
pueden utilizar en la misma interfaz. Elimine el comando de
configuración de la interfaz ip inspect antes de aplicar el
comando de seguridad zone-member.
Consideraciones sobre la
configuración de un ZPF
El tráfico nunca puede fluir entre una interfaz asignada a una zona y una
interfaz que no ha sido asignada a una zona. La aplicación del comando
de configuración zone-member siempre da como resultado una
interrupción temporal del servicio hasta que el otro miembro de zona
esté configurado.
La política predeterminada entre zonas es descartar todo el tráfico, a
menos que la política de servicio configurada específicamente para el
par de zonas lo permita.
El comando zone-member no protege el router en sí (el tráfico hacia y
desde el router no se ve afectado) a menos que los pares de zona se
configuren con la zona automática predefinida.
 GRACIAS
A todos y cada uno de vosotros
por formar parte de este
proyecto.