Il tuo indirizzo IP è 162.158.79.164     

Cisco Zone-Based Policy Firewall: esercizio pratico

Scritto da Alessio Carta il . Inserito in CCNA Security . Visite: 4996

In questo esercizio di laboratorio con Firewall Zone-Based Policy, andremo a configurare una rete con queste caratteristiche:

Rete LAN: 192.168.10.0/24
Rete DMZ: 192.168.20.0/24. server FTP 192.168.20.31, server MAIL 192.168.20.32

 

 

Regole:

LAN to WAN, servizi consentiti: http, https, rdp, icmp, ssh, dns.
LAN to DMZ, servizi consentiti: ftp, imap, smtp, icmp, ssh.
DMZ to WAN, servizi consentiti: smtp, imap, dns.
DMZ to LAN: nessun servizio accessibile
WAN to DMZ, servizi consentiti: smtp, ftp.
WAN to LAN, nessun servizio accessibile.

 

 

LAN to WAN

1) Prima si creano le zone:

zone security LAN-ZONE
zone security WAN-ZONE


2) Poi si creano le class-map:

class-map type inspect match-any LAN_TO_WAN_CLASS
description Traffico da Lan a Wan
match protocol icmp
match protocol dns
match protocol http
match protocol https
match protocol ssh
match protocol user-Rdp

3) Si definisce la policy:

policy-map type inspect LAN_TO_WAN_POLICY
class type inspect LAN_TO_WAN_CLASS
inspect

4) Si assegnano le interfacce alle zone:

int fa 0/1
zone-member security LAN-ZONE
int se 0/0
zone-member security WAN-ZONE


5) Si applica la policy (nella direzione di traffico desiderata)

zone-pair security LAN-WAN source LAN-ZONE destination WAN-ZONE
service-policy type inspect LAN_TO_WAN_POLICY



LAN to DMZ

1) Prima si creano le zone:

zone security DMZ-ZONE


2) Poi si creano le class-map:

class-map type inspect match-any LAN_TO_DMZ_CLASS
description Traffico Mail dalla Lan verso la Dmz
match protocol smtp
match protocol imap
match protocol icmp
match protocol ftp
match protocol ssh

3) Si definisce la policy:

policy-map type inspect LAN_TO_DMZ_POLICY
class type inspect LAN_TO_DMZ_CLASS
inspect

 

4) Si assegnano le interfacce alle zone:

int fa 0/0
zone-member security DMZ-ZONE


5) Si applica la policy (nella direzione di traffico desiderata)

zone-pair security LAN-DMZ source LAN-ZONE destination DMZ-ZONE
service-policy type inspect LAN_TO_DMZ_POLICY

 

 

DMZ to WAN


1) Prima si creano le zone:

--- Zone già definite


2) Poi si creano le class-map:

class-map type inspect match-any DMZ_TO_WAN_CLASS
description Definisco il traffico dal server Mail verso la Wan
match protocol smtp
match protocol dns


3) Si definisce la policy:

policy-map type inspect DMZ_TO_WAN_POLICY
class type inspect DMZ_TO_WAN_CLASS
inspect


4) Si assegnano le interfacce alle zone:

--- Interfacce già assegnate alle zone


5) Si applica la policy (nella direzione di traffico desiderata)

zone-pair security DMZ-WAN source DMZ-ZONE destination WAN-ZONE 
service-policy type inspect DMZ_TO_WAN_POLICY

 

 

WAN to DMZ

La policy che andremo a definire in questo caso merita particolare attenzione: si tratta di concedere l'accesso dall'esterno verso la nostra rete DMZ. Combineremo un'inspection di livello 7 come già fatto per le altre zone, con l'integrazione aggiuntiva di ACL che restringono l'accesso a specifici host e servizi. In pratica verrà creata una struttura gerarchica con una class-map principale contenente un'ACL. L'operazione è conosciuta come nesting, o annidamento.

Notare la differenza nelle parole chiave utilizzare dalle class-map: con match-any è sufficiente la corrispondenza anche di un solo servizio fra quelli elencati, mentre con match-all tutte le condizioni presenti nella class-map devono essere soddisfatte per consentire il traffico.

 

1) Prima si creano le zone:

--- Zone già definite


2) Poi si creano le class-map:

ACL da inserire nelle class-map

ip access-list extended FTP_IN_ACL
permit tcp any host 192.168.20.31 eq ftp
permit tcp any host 192.168.20.31 eq ftp-data
deny ip any any
ip access-list extended SMTP_IN_ACL
permit tcp any host 192.168.20.32 eq smtp
deny ip any any

Class-map con nesting

class-map type inspect match-all WAN_TO_DMZ_CLASS_MAIL
match access-group name SMTP_IN_ACL
match protocol smtp
class-map type inspect match-all WAN_TO_DMZ_CLASS_FTP
match access-group name FTP_IN_ACL
match protocol ftp

 

3) Si definisce la policy:

policy-map type inspect WAN_TO_DMZ_POLICY
class type inspect WAN_TO_DMZ_CLASS_FTP
inspect
class type inspect WAN_TO_DMZ_CLASS_MAIL
inspect

 

4) Si assegnano le interfacce alle zone:

--- Già assegnate


5) Si applica la policy (nella direzione di traffico desiderata)

zone-pair security WAN-DMZ source WAN-ZONE destination DMZ-ZONE
service-policy type inspect WAN_TO_DMZ_POLICY

Commenti  

# Mario 2014-08-23 09:53
Ciao Alessio Carta, a inizio pagina tu definisci le regole che lo zbf deve rispettare. Nell'ultima regola quando dici wan to lan nessun servizio accessibile il firewall lo fa implicitamente o bisogna aggiungere ancora qualcosa nella configurazione.
Ciao grazie.
Rispondi
# Alessio 2014-08-25 16:19
Ciao Mario, mi trovi impreparato, l'articolo è stato scritto 4 anni fa al tempo della certificazione Cisco CCNA Security, da allora non ho più avuto modo di metter mano alle Zone-Based di Cisco! A rigor di logica, alla tua domanda risponderei con "si, il firewall lo fa implicitamente" , basandomi sul fatto che tutti i sistemi di protezione operano secondo la regola per cui tutto ciò che non è permesso in modo esplicito, viene bloccato.
Rispondi
# Mario 2014-08-25 21:47
Ciao Alessio,
grazie per avermi risposto; ti parlo da profano del CCNA Security ancora per poco perchè lo inizio il 12 settembre ma siccome sono appassionato di networking e soprattutto di sicurezza informatica ho trovato molto esaustiva la tua guida e infatti grazie ad essa sono riuscito a configurare lo ZBF nel mio 877, e se mi permetti vorrei porti un altro quesito:
implementando lo zone based firewall secondo te c'è comunque bisogno di inserire le ACL per bloccare eventuali attacchi come hai spiegato nella guida "ACL blocco dei comuni attacchi informatici" o è superfluo ?
Ti saluto Mario.
Rispondi
# Alessio 2014-08-26 09:05
Considerando la mia ruggine sull'argomento, vale sempre la premessa di prima. Dovrebbe essere superfluo, perché il firewall Zone-Based sostituisce le policy Classic Firewall, ossia le static Access-Control List (ACL). Qui trovi un articolo sulle differenze tra i due sistemi: cisco.com/.../...
Ciao! :D
Rispondi
# Mario 2014-08-26 12:49
Ti ringrazio della risposta e del link che hai postato è stato molto esplicativo.
Ciao.
Rispondi

Aggiungi commento


Codice di sicurezza
Aggiorna

Utilizzando questo sito accetti l'uso di cookie per analisi, contenuti personalizzati e pubblicità mirata (tramite Google AdSense). Clicca qui per maggiori informazioni