AJDERNIZ

Cybersecurity Essentials

Módulo 16: Firewalls de políticas basados en zonas

¿Cuáles son los dos modelos de configuración para Cisco IOS Firewall?

¿Qué define una zona de seguridad en el modelo ZPF?

"Una frontera donde el tráfico se somete a las restricciones de las políticas al pasar a otra región de la red."

¿Cómo afecta la adición de una interfaz a una zona privada en el tráfico?

Todos los hosts conectados a la interfaz pueden pasar tráfico a todos los hosts de interfaces existentes en la misma zona.

¿Cuál es la postura de seguridad predeterminada del enrutador en ZPF?

Si se refiere a las reglas de tráfico para la zona propia (self-zone) del router, la postura es de INSPECCIONAR todo el tráfico para el cual exista un par de zonas (zone-pair) y una política; el resto se deja PASAR.

En términos más generales, se asume que se DESCARTA todo el tráfico que origine de una interfaz sin zona, y entre zonas distintas.

¿Qué es C3PL y cómo se relaciona con las políticas de tráfico?

Cisco Common Classification Policy Language. Es "un método estructurado para crear políticas de tráfico basadas en evento, condiciones y acciones"; en otras palabras, es el lenguage estándar utilizado para crear las reglas de clasificación en las cuales se basan las políticas de tráfico.

¿Qué se necesita definir entre cada par de zonas de 'origen-destino'?

Las zonas de ORIGEN y DESTINO, además de las diferentes políticas (previamente definidas) que se deseen aplicar en el par.

¿Cuáles son los pasos básicos para diseñar una infraestructura física en ZPF?

En el módulo no se listan pasos en sí, pero sí se indica que se deben de considerar los requisitos de seguridad y disponibilidad (de la infraestructura), lo cual incluye la cantidad de dispositivos vinculados entre zonas seguras y menos seguras, y la cantidad de dispositivos redundantes.

¿Qué aspectos se deben considerar al crear zonas en ZPF?

¿Cómo se define un mapa de clase y para qué se utiliza?

Para ZPF, se utiliza el comando: 

	class-map type inspect [match-any | match-all] nombre-del-mapa
"match-any" indica que el tráfico a inspeccionar debe de coincidir con, al menos, una de las reglas de coincidencia especificadas dentro de sí. "match-all" indica que el tráfico debe de coincidir con todas las reglas.

Una vez ingresado a la configuración del mapa de claso, las reglas en sí se definen por medio de cualquiera de los siguientes comandos: 

	match access-group { numero-acl | nombre-acl }
	match protocol nombre-protocolo
	match class-map nombre-mapa-clase

Los mapas de clase sirven para identificar paquetes bajo una misma "etiqueta". Son útiles para agrupar un tipo de flujo que posee una serie de características en común.

¿Cuáles son las tres acciones posibles que ZPF puede tomar al procesar tráfico?

¿Qué comando se utiliza para crear un par de zonas en ZPF?

	zone-pair security zone nombre-par-zonas ...
		source { nombre-zona-origen | self } ...
		destination { nombre-zona-destino | self }
Es necesario haber definido las zonas de origen y destino antes de crear el par zonal.

¿Qué sucede con el tráfico si no se configura una política de servicio para una zona?

Por defecto se DESCARTA todo tráfico inter-zonal para el cual no exista una política de servicio.

¿Qué ocurre si se intenta asignar la misma interfaz a más de una zona en ZPF?

Se presenta una acción inválida: "Una interfaz no puede pertenecer a varias zonas."

¿Qué se debe hacer antes de aplicar el comando de seguridad miembro de una zona a una interfaz?

Primero, se tienen que seguir los pasos para crear la zona en sí; luego, se tiene que entrar en el modo de configuración de la interfaz por medio del comando: 

	interface tipo-interfaz numero-interfaz
Una vez se está adentro, para asignar la interfaz a una zona se usa el comando: 
	zone-member security nombre-zona

¿Cuál es la acción predeterminada para todo el tráfico no especificado en un mapa de políticas?

La acción predeterminada es DROP.

¿Qué es necesario hacer para verificar la configuración de ZPF?

Primero, se debe comprobar que la configuración es la deseada. Para esto, se pueden ejecutar comandos que muestren la configuración, como: 

	show run | begin class-map
..., el cual imprime las configuraciones cargadas en el sistema, empezando por las reglas de class-map.

Luego, es importante verificar que la configuración esté haciendo lo que en verdad se desea della. Un comando útil para esta función es: 

	show policy-map type inspect zone-pair sessions
..., el cual muestra la cantidad de paquetes interceptados según una política de servicio, tanto coincidentes con los mapas de clase definidos, como los que no lo son.

¿Cómo se realiza la inspección de paquetes en una política de firewall basada en zonas?

El router hace seguimiento de la conexión o sesión del tráfico, y permite tráfico de retorno relacionado con dicha conexión o sesión.

¿Cuáles son las implicaciones de no configurar adecuadamente las zonas en un ZPF?

Se puede habilitar el tráfico indeseado entre interfaces para las cuales no hay intención de que estén comunicadas.

¿De qué manera el ZPF ofrece un método estructurado y simplificado en comparación con el firewall clásico?

A grandes rasgos, se puede reconocer que se reduce la cantidad de definición de reglas necesarias para controlar el tráfico deseado e indeseado. Por otra parte, la agrupación de hosts para los cuales se impone un régimen de tráfico de red en común, facilita visualizar el modelo desde un punto de vista más abstraído.

¿Qué aspecto se debe tener en cuenta para la documentación y comunicación al usar ZPF?