Firewalls transparentes

Como hemos visto infinidad de veces en libros o presentaciones de fabricantes, el firewall esta considerado como el elemento principal a la hora de llevar a cabo una correcta segmentación de redes y por lo tanto, habitualmente trabaja a nivel 3 proporcionando filtrado y enrutando entre ellas. Esta sería una arquitectura básica de red: el firewall segmentando una red corporativa en segmentos de DMZ, usuarios, servidores internos y WAN.

No obstante, y aunque nunca he tenido la necesidad de realizar una configuración así, muchos sistemas permiter trabajar a nivel 2 en modo transparente, manteniendo el direccionamiento de red dentro del segmento y siendo una configuración posible cuando se requiere un análisis o filtrado con el menor número de cambios posibles, por ejemplo, para no afectar a la red de servidores de producción. La arquitectura quedaría así:

Para configurar esta arquitectura, vamos a usar nuestro ya conocido Cisco ASA 5550 para trabajar en modo transparente dentro de nuestra red de usuarios. Lo primero es cambiar el modo de funcionamiento de router a transparent. Ésta selección es la que nos pregunta al iniciar el firewall sin ningún tipo de configuración.

ASA# show firewall                                                        
Firewall mode: Router  

ASA# conf t
ASA(config)# firewall transparent                   

A continuación, asignamos direccionamiento IP. Como nuestro firewall esta en modo transparente, no es necesario asignar una dirección IP por interfaz, sino únicamente una direccón IP de gestión (también podrían usarse VLANs dentro de grupos bridge).

ASA(config)# interface  gigabitEthernet 0/0                                
ASA(config-if)# nameif  inside                                             
ASA(config-if)# security-level 100                                         
ASA(config-if)# no shutdown
ASA(config-if)# interface  gigabitEthernet 0/1                             
ASA(config-if)# nameif outside                                             
ASA(config-if)# security-level 0                                           
ASA(config-if)# no shutdown
ASA(config)# ip address 172.18.0.200 255.255.255.0                         

Como podemos ver, la IP de gestión se asigna a ambas interfaces físicas:

ASA(config)# show  interface ip brief                                           
Interface                  IP-Address      OK? Method Status                Prol
GigabitEthernet0/0         172.18.0.200    YES unset  up                    up  
GigabitEthernet0/1         172.18.0.200    YES unset  up                    up  

Y como siempre, permitimos el acceso remoto:

ASA(config)# domain-name s2grupo.es
ASA(config)# http server enable                                            
ASA(config)# crypto key generate rsa                                       
ASA(config)# username admin password admin privilege 15                    

Aunque el firewall esta configurado en modo transparente, habría que tener en cuenta algunas consideraciones antes de continuar:

  • El modo transparente soporta dos interfaces (inside/outside).
  • La dirección IP de gestión lógicamente debe pertenecer al segmento donde esta configurado.
  • Los niveles de seguridad se mantienen, por lo que habría que habilitar el tráfico de outside a inside o cambiar dichos niveles.
  • Hay direcciones MACs predefinidad autorizadas a atravesar el firewall (broadcast/multicast), por lo que habría que revisarlo con detalle en caso de usar protocolos que lo requieran, como DHCP o HSRP.

Una vez llegados a este punto, podriamos crear reglas de acceso similares a las configuradas en el modo router, ACL extendidas para el tráfico IP y ACL Ethertype para el tráfico no IP en caso de ser necesario. También podriamos añadir reglas de inspección de trafico ARP (arp-inspection) para evitar ARP spoofing, aunque ésto podría hacerse directamente en los switches de acceso a red.

Finalmente, volvemos a dejar el sistema en modo router:

ASA(config)# show  firewall                                                     
Firewall mode: Transparent                                                      
ASA(config)# no firewall transparent                                            
ciscoasa(config)# show  firewall                                                
Firewall mode: Router  

Tras esto, tendremos un sistema en modo router (he eliminado parte de la configuración) para volver a segmentar nuestra red.

Comments

  1. Como bien dices si quieres hacer los menores cambios posibles en la red del cliente y solo necesitas filtrado, esta es una buena opción. Hay clientes que por trabas «administrativas» se hace casi imposible crear una simple vlan de transito y es mas difícil todavía añadir una ruta… Un firewall en transparente te puede ayudar pero tiene menos funcionalidades aunque con algunos fabricantes por ejemplo, he podido establecer túneles IPsec lan2lan contra la IP de gestión del firewall en modo transparente…

    Enahora buena por la calidad tecnica de vuestro blog.

Trackbacks

  1. […] Como hemos visto infinidad de veces en libros o presentaciones de fabricantes, el firewall esta considerado como el elemento principal a la hora de llevar a cabo una correcta segmentación de redes …  […]