Citesc de cateva zile si despre ultimul trend in a face firewall pe routere. Ce ma mira este ca exista solutii de firewall pe care nimeni sau niciodata nu am vazut pe cineva sa le implementeze . Toata lumea implementeaza firewall-uri pe routere in stilul vechi de cand lumea cu access-list-uri.
Access-listurile stiu doar sa blocheze traficul pe baza de ip-uri si porturi,nu stiu sa indentifice un protocol care se tuneleaza pe un al port decat cel standard , nu identifica traficul. In general pentru o solutie de firewall se cumpara un appliance dedicat care ghiciti ce face?
Face statefull firewall pe zone. Dar Cisco se lauda ca routerele lor fac asa ceva. Cum spuneam de doua zile citesc despre asa ceva, inca nu sunt convins datorita faptului ca nu am pus in productie asa ceva, si sceptic cum sunt am facut astazi un config pe un router 891 care il aveam pe birou.
Nu am facut nimic deosebit decat un firewall bazat pe “inspect”. Cand auziti cuvantul inspect,atat pe ASA cat si pe routere inseamna de cel mai multe ori un singur lucru : router-ul face firewall statefull urmarind traficul ce iese din retea si permitand traficului ce se intoarce sa intre , mentinand constant o tabela de conexiuni.
Traficul care nu este originat din LAN este considerat trafic “neinvitat” , aparut din senin la poarta WAN-ului si este taiat. De exemplul o conexiune fie ca este un scan sau chiar un ping initiat din exterior catre voi este taiat,datorita faptului ca nu este initiat din LAN.
La prima vedere firewall-ul face ce promite,dar nu l-am testat in conditii de trafic intens. Apropos,partea rea e ca trebuie sa va documentati serios inainte sa il puneti pe picioare,va sfatuiesc sa folositi SDM-ul sau CCP-ul pentru a il configura pentru ca sintaxa este foarte greoaie la prima vedere.
Pe partea buna e ca stie protocoale predefinite,de exemplu puteti permite sau taia yahoo messengerul sau torrentii cu un singur click , contine feature-uri basic de anti DDOS, poate face inspectie basic la L7 a mai multor protocoale precum HTTP,SNMP,etc. Un plus e ca arata foarte bine si clar ce reguli aveti in firewall,puteti edita cu un click o regula, monitorizarea traficului si a firewalului se face live.
Intrebarea mea persista ? Ce se intampla de acest tip de firewall este foarte rar implementat ? Nu stie lumea de el ? Greii din retelistica sunt prea “old school” pentru a implementa ceva atat de nou ? Firewall-ul acesta nu functioneaza cum trebuie ?
Numai o implementare in productie ne poate da raspunsul la aceste intrebari desi atentie mare.
E foarte greu sa convertiti un router in productie intr-unul cu firewall bazat pe zone,datorita faptului ca trecerea interfetelor in zone implica downtime,in sensul ca exista mai multe reguli ,precum ca traficul nu este implicit taiat intre zone diferite.
Am facut astazi un mic tutorial ca sa simtiti gustul acestui tool despre care foarte putina lume stie. Cu riscul de a ma repeta , poate fi un esec total ca si in cazul IPS-ului pe routere , dar daca nu e si cu putin efort , intelegand mecanismele ne scutim de cheltuielile cu niste firewaluri dedicate ?
Ramane de vazut , pana atunci va arat tutorialul . Routerul din tutorial este preconfigurat cu ip-uri conform diagramei , are NAT pe interfata de WAN , are DHCP pe LAN dar nimic altceva,nu face altceva decat sa dea internet inainte de a porni filmarea.
Chiar daca filmuletul are doar doua minte este rezultatul a ore de citit despre cum se configureaza.
Astept cu interes feedback de la voi daca il puneti in productie sau cine stie, poate il aveti deja.
