reglas de firewall en aruba instant on

Reglas de firewall en Aruba Instant On

por

Hoy veremos cómo crear reglas de firewall en Aruba Instant On utilizando los dispositivos Secure Gateway (SG).
Aruba ha incorporado inteligencia artificial para la generación de políticas de seguridad (reglas de firewall, redirección de puertos, etc.). Personalmente, esta función no me convence del todo, aunque confío en que en futuras versiones mejore, ya que actualmente no es posible crear reglas de forma manual.

Politicas de firewall en Aruba Instant On

Para administrar las reglas del firewall, debemos acceder al apartado Políticas del sitio donde esté instalado el Secure Gateway. Ten en cuenta que esta sección solo estará disponible si contamos con un SG.

Aqui se puede observar las distintas políticas que esta configuradas en el sitio LABSMAC-HOME

Tipos de reglas

En esta podemos ver las distinas políticas que existen en Aruba Instant On pero solo hay dos tipos:

  • Firewall de red (Permitir/Bloquear tráfico entre redes, aplicaciones o hacia Internet)
  • Acceso remoto (Reenvío de puerto)

Cómo crear política en Secure Gateway

Como comentaba al inicio, para crear una política (reenvio puertos o regla de cortafuegos), hay que usar el asistante de IA, NO HAY FORMA DE HACERLO MANUAL, así que vamos al sitio > Politicas > Crear Políticas

Reenvio de puertos o port forwaring

Aqui el sistema nos muestra unas posibles reglas que podemos usar de plantilla y luego editarlas. Por ejemplo, si clicamos en: Reenviar SSH a la IP 192.168.1.100 y le damos a Enviar

En esta regla de reenvio de puertos, estamos abriendo el puerto 22 desde todo Internet hacia la IP local 192.168.1.100. ¿Qué pasa si no nos encaja? clicamos en el lapiz para editarlo

Aqui tenemos dos apartados. Aqui como en cualquier FW, podremos indicarle que:

  • El reenvio de puertos funcione de algunas subredes, una sola IP o desde todo Internet
  • El tipo de protocolo y número de puerto externo
  • La dirección IP privada y su puerto local

El nombre de la regla solo podemos editar/cambiarla una vez creada.

Clicamos en ajustar política para finalizar y en la siguiente pantalla en Crear Políticas.

Ya podremos ver la regla creada en el listado de políticas.

Como cualquier Firewall, las reglas se procesan de arriba hacia abajo por lo tanto dependiendo de las necesidades tendremos que ordenar las reglas.

Otro aspecto que no me convence es la falta de soporte para alias en el reenvío de puertos. Por ejemplo, si tengo un NAS con dos puertos abiertos, me veo obligado a crear dos reglas separadas, una para cada puerto, lo cual resulta poco práctico.

Regla de firewall, permitir o bloquear tráfico entre dos redes

Voy a mostrar dos formas de crear las reglas ya que una permite especificar subredes personalizadas o direcciones IP y la segunda indicamos las redes (VLANs) que tenemos en el sitio, te recomiendo que veas las dos, así entiendes la diferencia.

Específicar subredes fuera del sitio

Ahora pasemos a otro tipo de política: la creación de reglas para permitir o bloquear el tráfico entre dos redes. Por ejemplo, autorizar el tráfico desde la red de ordenadores hacia la red de servidores.

Clicamos en crear nueva política y escribimos lo siguiente en función de si queremos permitir el tráfico:

Allow Traffic Between Subnets

En cambio si queremos bloquear, escribimos esto:

Block Traffic Between Subnets

Aqui nos mostrará la regla en la que debemos indicar las

Si editamos la regla, podemos ver 4 bloques:

  • Acción: Permitir/Bloquear, esto no es posible editarlo aqui, una vez creada si, al igual que el nombre de la regla.
  • Fuentes seleccionadas: Las redes o direcciones IP de origen
  • Destinos seleccionados: Internet, dominios (redes entre VPN Sitio a Sitio), direcciones IP o redes de destino.
  • Opciones de política: Aqui podemos especificarle el protocolo (TCP/UDP) y el puerto/s. Por ejemplo si los PCs solo necesitan acceder a la red de servidores SMB, especificamos el puerto TCP-445 y lo demás seguirá bloqueado.

Específicar RED/VLAN del sito

A la hora de crear este tipo de regla (firewall), podemos indicarle el nombre de las redes disponibles en el apartado de redes. Así ya esta establecidos las subredes IP y es más fácil identificarlo en el listado de las políticas.

Por ejemplo, vamos a indicar el tráfico de la VLAN 30 (Empleados) a VLAN 20 (Servidores) escribiendo lo siguiente

Allow Traffic Between VLAN 30 to VLAN 20

Veremos como la plantilla de la IA cambia algo porque ya nos permite especificar otras redes.

Difere algo de lo anterior pero a nivel visual nos permite identificar mejor las reglas en el listado de las políticas.

Aqui se muestra la diferencia.

Bloquear tráfico por tipo de contenido (adulto, redes sociales, etc)

Vamos a aprender cómo bloquear tráfico por tipo de contenido, por ejemplo: contenido de adulto, redes sociales, juegos, etc.

Creamos nueva regla y clicamos en «Bloquear el acceso de las redes a contenido inapropiado»

Aqui editamos la regla para ajustar según nuestras necesidades.

Aquí podemos indicarle que se bloqueen las siguientes categorías a todas las redes o a las seleccionadas.

Si estamos seguros la configuración, creamos la política ya filtraeremos dicho tráfico

Las reglas de firewall en Aruba Instant On son una opción práctica y sencilla para entornos pequeños y medianos.

  • El asistente de políticas facilita la creación de reglas, aunque limita la personalización avanzada. Actualmente no es posible crear reglas manuales desde cero, lo que resta flexibilidad al administrador.
  • La gestión por redes, subredes y categorías de contenido aporta un buen nivel de control básico. Sin embargo, la ausencia de funciones como GeoIP reduce las posibilidades de filtrado más específico.
  • Está orientado a pymes que buscan simplicidad antes que configuraciones demasiado complejas.

Es una herramienta útil que ganará valor cuando Aruba habilite reglas manuales y nuevas funciones.

Eso es todo, espero que les haya gustado, nos vemos en el próximo post.