Bloqueo de Trafico para una red

16 ago. 2016 - GUÍA DE CONFIGURACIÓN. Título: Bloque de tráfico para una red. Producto: EdgeRouter X. Referencia: Seguridad Perimetral Routers.
737KB Größe 13 Downloads 72 vistas
Título: Bloque de tráfico para una red Producto: EdgeRouter X Referencia: Seguridad Perimetral Routers Fecha: 06/08/2016

GUÍA DE CONFIGURACIÓN

Bloqueo de Trafico para una red

www.syscom.mx – Departamento de Ingeniería

Elaborado por: Ing. Alejandro Mora Ruiz Fecha: 16 de agosto de 2016

El Siguiente Documento Explica pasó a paso la configuración usando el análisis de tráfico (DPI) o Traffic Analysis reduciendo las conexiones para el bloqueo de tráfico especifico como Youtube, Facebook, Whatsapp, p2p, etc. Cabe destacar antes de realizar esta configuración que esta característica no es un firewall de capa 7 por lo que no permite tener reglas de acceso complejas Requisitos Versión: 1.8.0 o superior. Configuración básica con salida a internet.

Habilitamos el DPI:

  

Desde la GUI, vamos a Traffic Analysis y en 'Operation Status' marcamos 'Enabled'. Desde CLI podemos habilitarlo con este comando: set system traffic-analysis dpi enable Podemos forzar la actualización de firmas para el análisis del tráfico con el siguiente comando: */usr/sbin/ubnt-update-dpi > /dev/null

Nota 1: El DPI no funciona correctamente si utilizamos una interfaz bridge (br0) para aunar los dos puertos LAN en una RED.

Nota 2: Para realizar las configuración a través del CLI es necesario conectarse por SSH o utilizarla 'consola' CLI desde la GUI. Una vez hecho esto, podemos ver el tráfico separado por host: www.syscom.mx – Departamento de Ingeniería

Elaborado por: Ing. Alejandro Mora Ruiz Fecha: 16 de agosto de 2016

Nota: Sólo podemos ver el tráfico de páginas web o protocolos de los que el router tenga firmas. Es probable que páginas web más modestas no aparezcan en el gráfico. Como vemos en la imagen el tráfico en nuestra red, si queremos evitarlo en gran medida, no siempre lo podremos controlar del todo. Tenemos que realizar una regla específica para este caso. Para ello necesitamos crear un ruleset (conglomerado de reglas).

Los ruleset tienen la característica de tener una acción por defecto y cubrir una interfaz y la dirección del tráfico. Llegados a este punto tenemos que elegir el tipo/diseño de política que queremos adoptar en nuestro router. Existen varios tipos de política, generalmente se utilizan estas dos:  

Denegar todo el tráfico por defecto y aceptar sólo lo que nos interesa. Aceptar todo el tráfico por defecto y denegar todo el que no nos interesa.

Para este ejemplo vamos a elegir la segunda ya que permite muchas menos reglas para que funcione. También es más insegura. Colocaremos en categorías el tráfico, para ejemplo utilizaremos Facebook y Youtube podemos realizar una categoría “SocialNetworks” En ella colocamos todo el tráfico de Facebook, Twitter, G+, etc.

www.syscom.mx – Departamento de Ingeniería

Elaborado por: Ing. Alejandro Mora Ruiz Fecha: 16 de agosto de 2016

De ésta manera es más fácil administrar las políticas de acceso y realizar cambios en ellas Vamos a Firewall/Firewall Policies y añadimos un ruleset. Le añadimos un nombre y la acción por defecto. Name: Nombre con el que identificaremos la regla. Description: Breve descripción del Resulset. Default Action: Utilizamos Accept ya que todo el tráfico será aceptado a excepción del que nosotros decidamos bloquear.

Seleccionamos la dirección del tráfico en éste caso bloquearemos todo el tráfico directo desde el puerto WAN claro que se puede realizar por cada interfaz para redes LAN o subinterfaces para redes VLAN, en este caso todo el tráfico de Facebook que entre por el puerto eth0 será blkoqueado.

www.syscom.mx – Departamento de Ingeniería

Elaborado por: Ing. Alejandro Mora Ruiz Fecha: 16 de agosto de 2016

Agregamos una nueva regla

Description: Una breve descripción para identificar la regla. Acction: En esta sección será DROP ya que está regla bloqueara el tráfico que nosotros especifiquemos.

www.syscom.mx – Departamento de Ingeniería

Elaborado por: Ing. Alejandro Mora Ruiz Fecha: 16 de agosto de 2016

State: Seleccionamos todos para que el trafico sea detenido en cualquier estado de conexión. Application: Seleccionamos el grupo que creamos.

www.syscom.mx – Departamento de Ingeniería

Elaborado por: Ing. Alejandro Mora Ruiz Fecha: 16 de agosto de 2016