Como hemos visto infinidad de veces en libros o presentaciones de fabricantes, el firewall esta considerado como el elemento principal a la hora de llevar a cabo una correcta segmentación de redes y por lo tanto, habitualmente trabaja a nivel 3 proporcionando filtrado y enrutando entre ellas. Esta sería una arquitectura básica de red: el firewall segmentando una red corporativa en segmentos de DMZ, usuarios, servidores internos y WAN.
No obstante, y aunque nunca he tenido la necesidad de realizar una configuración así, muchos sistemas permiter trabajar a nivel 2 en modo transparente, manteniendo el direccionamiento de red dentro del segmento y siendo una configuración posible cuando se requiere un análisis o filtrado con el menor número de cambios posibles, por ejemplo, para no afectar a la red de servidores de producción. La arquitectura quedaría así:
Para configurar esta arquitectura, vamos a usar nuestro ya conocido Cisco ASA 5550 para trabajar en modo transparente dentro de nuestra red de usuarios. Lo primero es cambiar el modo de funcionamiento de router a transparent. Ésta selección es la que nos pregunta al iniciar el firewall sin ningún tipo de configuración.
ASA# show firewall Firewall mode: Router ASA# conf t ASA(config)# firewall transparent
A continuación, asignamos direccionamiento IP. Como nuestro firewall esta en modo transparente, no es necesario asignar una dirección IP por interfaz, sino únicamente una direccón IP de gestión (también podrían usarse VLANs dentro de grupos bridge).
ASA(config)# interface gigabitEthernet 0/0 ASA(config-if)# nameif inside ASA(config-if)# security-level 100 ASA(config-if)# no shutdown ASA(config-if)# interface gigabitEthernet 0/1 ASA(config-if)# nameif outside ASA(config-if)# security-level 0 ASA(config-if)# no shutdown ASA(config)# ip address 172.18.0.200 255.255.255.0
Como podemos ver, la IP de gestión se asigna a ambas interfaces físicas:
ASA(config)# show interface ip brief Interface IP-Address OK? Method Status Prol GigabitEthernet0/0 172.18.0.200 YES unset up up GigabitEthernet0/1 172.18.0.200 YES unset up up
Y como siempre, permitimos el acceso remoto:
ASA(config)# domain-name s2grupo.es ASA(config)# http server enable ASA(config)# crypto key generate rsa ASA(config)# username admin password admin privilege 15
Aunque el firewall esta configurado en modo transparente, habría que tener en cuenta algunas consideraciones antes de continuar:
- El modo transparente soporta dos interfaces (inside/outside).
- La dirección IP de gestión lógicamente debe pertenecer al segmento donde esta configurado.
- Los niveles de seguridad se mantienen, por lo que habría que habilitar el tráfico de outside a inside o cambiar dichos niveles.
- Hay direcciones MACs predefinidad autorizadas a atravesar el firewall (broadcast/multicast), por lo que habría que revisarlo con detalle en caso de usar protocolos que lo requieran, como DHCP o HSRP.
Una vez llegados a este punto, podriamos crear reglas de acceso similares a las configuradas en el modo router, ACL extendidas para el tráfico IP y ACL Ethertype para el tráfico no IP en caso de ser necesario. También podriamos añadir reglas de inspección de trafico ARP (arp-inspection) para evitar ARP spoofing, aunque ésto podría hacerse directamente en los switches de acceso a red.
Finalmente, volvemos a dejar el sistema en modo router:
ASA(config)# show firewall Firewall mode: Transparent ASA(config)# no firewall transparent ciscoasa(config)# show firewall Firewall mode: Router
Tras esto, tendremos un sistema en modo router (he eliminado parte de la configuración) para volver a segmentar nuestra red.
Como bien dices si quieres hacer los menores cambios posibles en la red del cliente y solo necesitas filtrado, esta es una buena opción. Hay clientes que por trabas “administrativas” se hace casi imposible crear una simple vlan de transito y es mas difícil todavía añadir una ruta… Un firewall en transparente te puede ayudar pero tiene menos funcionalidades aunque con algunos fabricantes por ejemplo, he podido establecer túneles IPsec lan2lan contra la IP de gestión del firewall en modo transparente…
Enahora buena por la calidad tecnica de vuestro blog.