Cisco Firepower firewall | Default Prefilter Policy

En los firewalls tradicionales normalmente todas las reglas de firewalls se gestionan desde una misma política de firewall.

Sin embargo los Cisco Firepower firewalls (o FTD's) tiene una opción muy particular llamada Prefilter Policy que sirve para inspeccionar (o no) tráfico encapsulado y sin encriptar (GRE) antes de que este mismo sea inspeccionado por la Access Control Policy  (o política de firewall tradicional).

 Para entender la idea del Prefilter policy tenemos este diagrama. El objetivo es conectar el servidor 10.10.10.10 con el servidor 10.20.20.10 via el tunnel GRE 

 

 

En nuestro FTD por defecto, tenemos la Default Prefilter Policy que lo hará es inspeccionar el tráfico GRE.

 

 Eso significa que en la Access Control Policy (ACP) tendremos que especificar el tráfico que queremos aceptar o denegar. En este caso creariamos la siguiente regla de firewall en los dos firewalls FTD.

Source Zone: ANY
Source Address: 10.10.10.10
Destination Zone: ANY
Destination address: 10.20.20.20
Service: PING, RDP
Action: Accept

Una vez creada la regla, si generamos trafico PING o RDP del Servidor 10.10.10.10 al servidor
10.20.20.20 seleccionamos el Connection Events y veriamos el trafico que viaja dentro del tunnel GRE.

El otro escenario seria crear una regla de Fastpath en el Prefilter Policy para que el FTD no inspeccione el trafico GRE. De esta manera nos tenemos que asegurar que en la Access Control Policy tenemos que tener una regla que permita el trafic GRE en las outter IPs (está misma regla de FW aplica en los firewalls también)

 Firewall A

Source Zone: ANY
Source Address: 10.10.20.10
Destination Zone: ANY
Destination address: 10.20.20.10
Service: GRE
Action: Accept

 Firewall B

Source Zone: ANY
Source Address: 10.20.20.10
Destination Zone: ANY
Destination address: 10.10.20.10
Service: GRE
Action: Accept

 De esta manera cuando revisemos los connection events en el firewalls, no veriamos el traffico interno (o inner traffic) del trafico GRE y por lo tanto solo veriamos trafico GRE generados entre las Outter IPs  (10.10.20.10 y 10.20.20.10)

 

 

Comentarios

Publicar un comentario

Entradas populares de este blog

EVE-NG: Instalación de EVE-NG

Imagen
EVE-NG es un emulador de redes muy útil para crear topologias de redes de forma virtualizada. Os voy a explicar el proceso de instalación del software en base a mi experiencia Requisitos para hacer uso de EVE-NG: - Instalar VMware Workstation Player (Versión de uso personal) - Tener un buen ordenador (El mío tiene 8 GB de Ram, Intel i7 dual-core, Disco duro SSD, etc)  con suficiente espacio de almacenamiento.Yo tengo un Windows 10 professional - Tener conocimientos de Linux básicos (Crear carpetas, mover archivos, cambiar IP del sistema ,etc) - Instalar Filezilla en el PC para hacer transferencias de archivos locales hacia EVE-NG Paso 1  Descargar el OVF de EVE-NG desde la pagina oficial. Tener en cuenta que hay dos versiones: la profesional y la personal. Yo he utilizado la versión personal para ello. Paso 2 Abrir VMware workstation e abrir el archio OVF para instalar EVE-NG. Importante!!  El adaptador de red (Network adapter) esta en modo bridge. Por lo que he podido leer por INTERN
Leer más

Fortigate: Capturar paquetes (Packet capture/sniffer)

Para capturar paquetes de red en dispositivos Fortigate estos algunos de los comandos que utilizo: diagnose sniffer packet any 'src host <sourceip> or dst host <destinationip>' 1 diagnose sniffer packet any 'src host <sourceip> or dst host <destinationip>' 1 diagnose sniffer packet any 'src host <sourceip> or dst host <destinationip> and icmp' 1 diagnose sniffer packet any 'src host <sourceip> or dst host <destinationip> and tcp' 1
Leer más

Cisco ISE | Certificados SSL públicos para Guest Portal

Imagen
El otro día recibí un mensaje por parte de un usuario guest que se quejaba que no podía conectarse a nuestra red de Guest en una de nuestras oficinas debido a que se encontraba con un mensaje similar a este en su navegador Chrome:      Concretamente me comentaba que al hacer click al boton azul "Connect" no lograba conseguir la redirección. Para poneros en situación, esta red de Guest utiliza la solución de "Guest Portal" de Cisco ISE que simplificandolo funciona de la siguiente manera: - El cliente se connecta a la SSID de Guest (Ejemplo: Guest-ISE) - El cliente recibe una dirección IP del cliente DHCP y luego abre una pagina cualquiera en su navegador preferido donde redirecciona al Guest portal para registrar sus datos (Nombre, Apellidos, Mail, etc) - Una vez registrado, el Guest Portal proporcionara un usuario y contraseña para acceder a la red wifi de Guest (suele tener una duración temporal) - El usuario introduce las credenciales y puede navegar a INTERNET S
Leer más