Firewall Perimetral de Capa 4 Gestionable

Què és un Firewall?

Un firewall (anomenat també "tallafoc"), és un sistema que permet protegir un servidor o una xarxa de servidors de les intrusions que provenen d'una altra xarxa. L'ús més comú és utilitzar-lo per protegir la teva xarxa d'internet.

Com funciona un Firewall?

Un firewall funciona com el personal de seguretat a la porta d'una discoteca. Tot tràfic que no estigui a la llista permesa, no pot entrar o sortir. Aquesta llista d'un firewall conté un conjunt de regles predefinides que permeten:

• Autoritzar una connexió (Allow)
• Bloquejar una connexió avisant a l'emisor (Deny)
• Bloquejar una connexió sense avisar a l'emisor (Drop)

Hi ha dos tipus de polítiques de seguretat:

• Acceptar explícitament i denegar tota la resta: "tot el que està a la llista pot passar, la resta està prohibit".
• Denegar explícitament i acceptar tota la resta: "tot el que està a la llista està prohibit, la resta pot passar".

El primer mètode és el més segur, però requereix d'una definició precisa de les necessitats de comunicació de tota la xarxa. D'aquesta manera ens assegurem de bloquejar davant del dubte i deixar passar només el que coneixem.

Què significa Firewall de capa 4?

La principal diferència entre els firewalls coneguts com a capa 3 o capa 4, resideix en la capacitat d'aquests de recordar-se dels paquets analitzats i analitzar sessions.

• L3 Firewalls o firewalls de capa 3 (és a dir, els firewalls de filtrat de paquets): filtre de tràfic basat únicament en la IP d'origen/destí, el port i el protocol (coneguts tamibén com stateless packet inspection).
• L4 Firewalls o firewalls de capa 4 (és a dir, els firewalls de filtrat de sessions): capacitat de fer això, a més d'afegir la capacitat de realitzar un seguiment actiu de les connexions de xarxa, i permetre/denegar el tràfic basat en l'estat d'aquestes sessions (és a dir, stateful packet inspection).

També has de conèixer que hi ha nous firewalls, i més moderns, que són capaços d'analitzar un altre tipus de tràfic o, millor dit, aprofundir més en el que un usuari està demanant al teu servidor i prendre millors decisions per bloquejar o no. Sempre basant-se en oferir la màxima seguretat. Aquests firewalls són anomenats firewalls de nova generació ("Next Generation Firewalls") o firewalls de capa 7.

• L7 Firewalls o firewalls de capa 7 (és a dir, els firewalls de filtrat d'aplicacions): capacitat de fer això, a més d'afegir la capacitat d'analitzar si el tràfic pertany a una aplicació o una altra i prendre decisions basant-se si pot ser nociu o no per aquesta aplicació.

Què significa Firewall Gestionable?

Que sigui Gestionable vol dir que tu mateix puguis definir, crear, modificar o eliminar tant les regles de filtrat, com les accions que realitza el Firewall en qualsevol moment i per qualsevol de les IPs del teu servidor o Cloud. Per a això, SW Panel et proporciona una sèrie d'opcions i eines que et permetran, de forma molt senzilla, personalitzar el teu Firewall i, en conseqüència, protegir el teu entorn i les teves dades.

Què és una regla de Firewall?

Una regla de Firewall és un conjunt de condicions que permeten al Firewall determinar si un tràfic s'ha de gestionar i quin tipus de gestió s'ha de fer sobre ell.

Parts i condicions d'una regla Una regla es forma a través de diferents parts i condicions que detallem a continuació:

• Tràfic

El tràfic és el flux de dades que passa per la xarxa cap o fins al teu Cloud o servidor

El tràfic el podem

• permetre (Allow)
• denegar (Deny)

El tràfic pot ser

• D'entrada o Incoming: Internet cap al teu cloud o servidor

• De sortida o Outgoing: del teu cloud o servidor cap a Internet

• IPs

Les IPs indiquen l'origen o la destinació del tràfic que desitgem filtrar

IP d'origen

Indica la IP des de la qual rebrem el tràfic. Seleccionant "qualsevol IP" vol dir que aquesta regla afecta totes les IPs d'Internet.

Destí

Indica a quina IP del nostre Cloud o servidor desitgem aplicar aquesta regla.

Si el nostre Cloud o Servidor té diverses IPs podrem crear regles independents per a cadascuna de les nostres IPss

• Protocols

Indicarem els protocols de comunicació utilitzats sobre els quals volem aplicar la regla. S'accepten protocols TCP o UDP.

TCP (Transmission Control Protocol)

TCP és utilitzat en gran part de les comunicacions de dades.

Funcions de TCP

A la pila de protocols TCP/IP, TCP és la capa intermèdia entre el protocol de xarxa (IP) i l'aplicació. Moltes vegades, les aplicacions necessiten que la comunicació a través de la xarxa sigui fiable. Per a això s'implementa el protocol TCP atès que assegura que les dades que emet el client siguin rebudes pel servidor sense errors i en el mateix ordre que van ser emeses, tot i treballar amb els serveis de la capa IP, la qual no és fiable . És un protocol orientat a la connexió, ja que el client i el servidor han d'anunciar-se i acceptar la connexió abans de començar a transmetre les dades a aquest usuari que les ha de rebre

Característiques del TCP

• Permet col·locar els segments de nou en ordre quan venen del protocol IP.
• Permet el monitoratge del flux de les dades i així evitar la saturació de la xarxa.
• Permet que les dades es formin en segments de longitud variada per "lliurar-les" al protocol IP.
• Permet multiplexar les dades, és a dir, que la informació que ve de diferents fonts (per exemple, aplicacions) en la mateixa línia pugui circular simultàniament.
• Finalment, permet començar i finalitzar la comunicació amablement, sense col·lisions.

Format dels segments TCP

En el nivell de transport, els paquets de bits que constitueixen les unitats de dades de protocol TCP es diuen "segments".

UDP (User Datagram Protocol)

És un protocol mínim de nivell de transport orientat a missatges documentat en el RFC 768 de la IETF.

A la família de protocols d'Internet UDP proporciona una senzilla interfície entre la capa de xarxa i la capa d'aplicació. UDP no atorga garanties per al lliurament dels seus missatges (pel que realment no s'hauria de trobar a la capa 4) i l'origen UDP no reté estats dels missatges UDP que han estat enviats a la xarxa. UDP només afegeix multiplexat d'aplicació i suma de verificació de la capçalera i la càrrega útil. Qualsevol tipus de garanties per a la transmissió de la informació han de ser implementades en capes superiors.

Ús en aplicacions

La majoria de les aplicacions claus d'Internet utilitzen el protocol UDP, incloent: el Sistema de Noms de Domini, on les consultes han de ser ràpides i només comptaran d'una sola sol·licitud, després d'un paquet únic de resposta, el Protocol d'Administració de Xarxa , el Protocol d'Informació de Encaminament (RIP) i el Protocol de Configuració dinàmica de sistema principal.

• Ports

TCP i UDP utilitzen ports per permetre la comunicació entre aplicacions. El camp de port té una longitud de 16 bits, de manera que el rang de valors vàlids va de 0 a 65535. El port 0 està reservat, però és un valor permès com a port origen si el procés emissor no espera rebre missatges com a resposta.

• Els ports 1 a 1023 s'anomenen ports "ben coneguts" i en sistemes operatius tipus Unix enllaçar amb un d'aquests ports requereix accés com a superusuari.
• Els ports 1024 a 49151 són ports registrats.
• Els ports 49.152 a 65.535 són ports dinàmics i són utilitzats com ports temporals, sobretot pels clients quan es comuniquen amb els servidors.

En el cas del nostre firewall perimetral, indica el port que gestionarà la regla. Hi ha la possibilitat de no especificar cap port i es gestionarà el tràfic de qualsevol port, així com la possibilitat d'especificar un conjunt o rang de ports.

Activació de la Gestió de Firewall de Capa 4

Activació utilitzant el Dashboard del Servei

• El primer pas serà triar el Cloud o servidor en el qual desitges activar la gestió de Firewall

Ves a l'arbre de serveis del teu SW Panel.

Selecciona, prement sobre ell, el servidor o Cloud en el qual desitges activar la gestió de Firewall.

• Un cop seleccionat, l'SW Panel et mostrarà el Dashboard d'aquest servei.

Al Dashboard trobaràs el quadre de Millores Disponibles, i en ell trobaràs l'opció de Gestió Firewall Capa 4 i un interruptor per activar o desactivar a la seva dreta.

Prem sobre l'interruptor per activar-lo.

Un cop l'hagis premut, accediràs a la pantalla de confirmació de l'activació. Simplement marca el "checkbox" del quadre blau i confirma l'activació fent clic sobre el botó inferior Activar Ara.

Així de simple, en uns segons ja estarà activat, i ara el Dashboard del servei et mostrarà l'interruptor en verd conforme ja ho tens activat.

Activació mitjançant menú de gestió del servei

• El primer pas serà accedir a l'arbre de serveis del teu SW Panel.

Busca el Cloud o servidor al que vols activar la Gestió de Firewall Capa 4 i clica per obrir el menú ** ···** que trobaràs a la part esquerra

Dins el menú trobaràs l'apartat Serveis de Seguretat, prem sobre l'opció Seguretat Perimetral

• SW Panel et portarà a la pestanya de Perfils de Seguretat del teu servei

En aquesta pestanya trobaràs un botó blau que et permetrà activar la gestió del teu Firewall.

Un cop hagis premut accediràs a la pantalla de confirmació de l'activació. Simplement marca el "checkbox" del quadro blau i confirma l'activació fent clic sobre el botó inferior "Activar Ara".

Així de simple, en uns segons ja estarà activat, i ara el Dashboard del servei et mostrarà l'interruptor en verd conforme ja ho tens activat.

Desactivació de la Gestió de Firewall Capa 4

• El primer pas serà triar el Cloud o servidor sobre el que vols desactivar la gestió de Firewall

Ves a l'arbre de serveis del teu SW Panel.

Selecciona, prement sobre ell, el servidor o Cloud en el qual desitges desactivar la gestió de Firewall.

• Un cop seleccionat, l'SW Panel et mostrarà el Dashboard d'aquest servei.

Al Dashboard trobaràs el quadre de Millores Disponibles on apareixerà l'opció de Gestió Firewall Capa 4 i un interruptor que estarà actiu (verd).

Prem sobre l'interruptor per desactivar-lo.

Un cop hagis premut, accediràs a la pantalla de confirmació de la desactivació. Simplement marca el "checkbox" del quadre blau i confirma que vols desactivar la Gestió de Firewall Capa 4 prement sobre el botó Desactivar ara.

Així de simple, en uns segons es desactivarà, i ara el Dashboard del servei et mostrarà l'interruptor en blanc (apagat).

Important:

Quan desactives la Gestió de Firewall Capa 4 totes les regles que hagis creat i totes les IPs que hagis banejat s'eliminaran, passant el Firewall a funcionar en mode transparent o estàndard de nou.

Gestionar el meu Firewall perimetral de Capa 4

Un cop hagis activat la gestió, apareixerà al menú lateral d'SW Panel al Dashboard del teu servei, dins de Seguretat, a l'apartat de FW Capa 4, hi ha l'opció de Gestió Firewall de Capa 4

Fes clic sobre aquesta opció i accediràs al teu Firewall de Capa 4 per al servei que tinguis seleccionat.

El teu Firewall de capa 4 et permetrà la gestió completa a través de 3 grans blocs de seguretat:

• Perfils de Seguretat
• Regles de Firewall
• Bloqueig d'IPs

Pestanya de Perfils de Seguretat

Un perfil de seguretat predefinit és un conjunt de regles, que ja ofereix de forma automàtica SW Panel, que s'aplicaran al teu Firewall de Capa 4 per permetre que els serveis associats a cada perfil funcionin correctament i de forma segura.

El primer que hauràs de seleccionar és la IP del teu Cloud o servidor sobre la que vols aplicar els perfils. Si disposes de diverses IPS hauràs seleccionar-les en el desplegable superior.

SW Panel t'ofereix ja, preestablerts, múltiples perfils de seguretat en funció dels serveis que estigui fent ús el teu cloud o servidor.

Per activar o desactivar qualsevol d'aquests perfils, simplement prem l'interruptor que apareix a la part dreta de cada un dels blocs de perfils.

Un cop hagis realitzat canvis, apareixerà a la part superior de la pantalla una avís en blau per aplicar els canvis que hagis fet.

Important:

Fins que no premis el botó d'aplicar canvi, aquests no s'aplicaran al teu Firewall de Capa 4 pel que els canvis no estaran actius.

Els perfils que tinguis actius apareixeran en verd, els que estan en blanc no estan actius.

Pestanya de Regles de Firewall

La informació d'aquesta pestanya és molt més tècnica, i t'informa de les regles que actualment té aplicades el teu Firewall de Capa 4 i les IPs sobre les que s'apliquen.

Les regles que apareixen en color verd són regles associades als perfils de seguretat, i no es poden modificar ni eliminar des d'aquesta pestanya. Aquestes regles han de ser gestionades directament des de la pestanya de perfils de seguretat.

Les regles en color groc són les que estan associades a una IP bloquejada. Aquestes regles han de ser gestionades des de la pestanya de Bloqueig d'IPs.

Camps del llistat

• Primer camp

• Indica si la regla està activada o desactivada en el Firewall.

• Id

• Indica l'identificador de la regla (numeració interna de control), simplement és un valor informatiu

• Ordre

• Indica l'ordre en el qual s'aplica aquesta regla en el filtrat que està realitzant el teu Firewall de Capa 4.

• L'ordre és molt important, ja que les regles s'executaran en l'ordre indicat. Has de tenir en compte que les regles que es contradiguin poden ser vàlides si s'executen en l'ordre correcte.

• L'ordre d'execució sempre és de menor a major.

• Nom

• Nom de la regla (merament informatiu)

• Origen

• Indicarà l'origen del tràfic que gestionarà aquesta regla..

• Si apareix el quadre "any" vol dir que s'aplica a qualsevol IP d'origen

• Destí

• Indicarà sobre quina IP de destinació s'aplicarà aquesta regla. Normalment aquestes IPs són les del nostre cloud o servei.

• Protocol

• Indicarà el tipus de protocol sobre el qual s'aplica la regla, TCP o UDP.

• Port

• Indicarà el port o el rang de ports sobre el qual s'aplicarà aquesta regla.

• Si apareix el quadre "any" vol dir que s'aplica a qualsevol port.

• Per definir un rang de ports ha d'utilitzar-se el guió com a separador. Per exemple: 4500-5000 (sense espais). Això obrirà els ports des del 4500 fins al 5000 (ambdós inclosos).

• Direcció

• Si s'ha d'aplicar la regla per aturar tràfic d'entrada o tràfic de sortida

• Permetre

• El quadre en verd "Allow" vol dir que es permet aquest tràfic.

• El quadre en taronja "Deny" indica que no es permet aquest tràfic.

• Gestionar

• Mostra el menú d'opcions disponibles per aquesta regla

Crear una regla de Firewall

En prémer aquest botó podràs crear una nova regla en el teu Firewall de Capa 4. Per crear la regla has d'emplenar tots els camps que se't demanen.

El significat de cada camp t'ho hem detallat en l'apartat anterior

Ajuda

Trobaràs un quadre informatiu blau amb un link per consultar els ports sobre els quals pots crear les teves regles i l'ús de cada port.

Pestanya de Bloqueig d'IPs

Aquesta pestanya us mostrarà totes les IPs que tenen bloquejat l'accés al teu Cloud o Servidor independentment del port o protocol amb el que vulguin accedir.

Camps del llistat

• Situació

• Indica si s'està aplicant o no. Si està activat el bloqueig apareixerà un quadre blau indicant "activada".

• Identificador

• Indica l'identificador del bloqueig (numeració interna de control), simplement és un valor informatiu

• Origen

• IP d'origen que desitgem bloquejar

• Destí

• A quina de les IPs del nostre cloud o servidor desitgem que tingui bloquejat l'accés la IP d'Origen

• Gestionar

• Mostra el menú d'opcions disponibles per a aquest bloqueig d'IP.

Bloquejar una IP

El procés de bloqueig d'una IP és molt senzill:

Feu clic al botó bloquejar una IP

S'obrirà la pantalla de bloqueig d'IPs

Indica la IP que vols bloquejar en el camp Origen

A Destí has de marcar les IPs del teu cloud o servidor a les que vols bloquejar l'accés de la IP que hagis indicat a "Origen"

Si vols activar ara mateix el bloqueig recorda que has de tenir marcat el "checkbox" del quadre groc.

Un cop estigui tot emplenat correctament, apareixerà el botó Bloqueja IP, només has de prémer per bloquejar-la.

Desbloquejar una IP

Si vols desbloquejar una IP que hagis bloquejat, la forma més senzilla és esborrar el bloqueig.

Per esborrar el bloqueig utilitza el menú gestionar de la línia de la IP bloquejada del llistat i selecciona l'opció Esborrar aquesta IP bloquejada.

Un cop hagis confirmat que vols esborrar-la, la IP deixarà d'estar bloquejada en breus instants i desapareixerà aquesta línia del llistat d'IPs bloquejades.