Bem-vindo à Comunidade UBNT

Firewall Rules - Restringir Gerenciamento Rede local e Established

Senhores, boa tarde.

Estou abrindo este tópico uma vez que não encontrei nada relacionado tanto na documentação do produto, quanto aqui no fórum.

Tenho duas dúvidas com relação à funcionalidade das regras de firewall no USG 3P, gerenciado à partir da UniFi Network Controller 5.12.66.0.

#Dúvida 01

Meu cenário é  seguinte:
-01 UniFi USG 3P, conectado à 01 Switch UniFi;
-Há uma série de sub-redes segmentadas por VLAN, todas com função de gateway controladas pelo USG (Rede clientes, Servidores, Infraestrutura, Visitante, Câmeras, etc.)

Ao criar as regras de ACL em "Routing & Firewall > Firewall > Rules IPv4 > LAN IN" percebi que preciso criar a regra de retorno manualmente para que o tráfego flua, por exemplo:

-Subrede clientes: 172.16.100.0/24
-Subrede Servidores: 10.215.0.0 /25
-Subrede clientes precisa acessar Terminal Services (TCP 3389) em direção aos servidores TS da rede Servers Produção

Em LAN IN, crio uma regra de DROP entre as duas redes, nos dois sentidos, então configuro as regras abaixo e coloco-as acima das regras de DROP, de modo que tenham maior precedência:

Regra1 -> Accept origem 172.16.100.0/24 em direção à 10.215.0.0/25 utilizando a porta de serviço TCP 3389
Regra2 -> Accept origem 10.215.0.0/25 em direção à 172.16.100.0/24 utilizando o range de portas dinâmicas TCP 49152-65535

Observei que apenas ao criar a "Regra2" é que a restrição funciona, caso contrário, devido ao DENY das regras abaixo não funciona. O detalhe mais curioso nisso é que ao criar a "Regra" o checkbox ESTABLISHED foi habilitado, o que teóricamente deveria fazer com que o sistema compreendesse que este tráfego teria permissão de retornar. Portanto, criar a regra "de retorno" com portas dinâmicas no meu entendimento é uma falha de segurança em virtude do software UniFi Network Controller simplesmente ignorar este parâmetro.

Tentei fazer as regras de todas as maneiras e garanto seguramente que só funcionou desta forma. Por favor, alguém saberia me explicar se estou fazendo algo errado ou se falta alguma etapa? Pois pra mim não está fazendo muito sentido.

#Dúvida 02

Preciso restringir o acesso à gerência da UniFi Controller, por exemplo:

-O endereço IP da Controller é 10.220.0.50:8443
-Ao trabalhar as regras de firewall LAN IN, consigo restringir com sucesso a gerência do software para tentativas originadas em sub-redes diferentes de 10.220.0.50/26
-No entanto, qualquer IP do mesmo segmento da rede 10.220.0.0/26 consegue acessar normalmente a gerência da Controller, mesmo ao criar regras explícitas de DROP no sentido LAN IN para o endereço IP da Controller 10.220.0.50 e porta de serviço TCP 8443.

Preciso criar alguma outra regra ou configuração em outro lugar da controller para poder dizer que apenas o endereço IP "X" do mesmo segmento de rede tem permissão para acessá-la?

Desde já agradeço

Comentários

  • wlroquewlroque 0 Pontos
    UI-Samuel said:
    Samuel,

    Este documento é extremamente genérico, se observar minhas dúvidas elas são mais complexas que isto, pois sugerem algum bug ou funcionalidade que precise ser revisada pela engenharia do produto



  • UI-SamuelUI-Samuel 1016 Pontos
    Na realidade nenhuma das dúvidas é complexa, sua dificuldade aqui é conceitual...
    Não existe nenhum bug nesse comportamento que você descreve. 

    #Dúvida 1
    A regra 1 diz respeito às conexões que estão sendo iniciadas pelo cliente em direção ao servidor. Apenas marcar established no sentido errado/indesejado não resolve o seu problema porque aquele tráfego marcado como established tem outro sentido. Uma coisa é o firewall ser stateful com capacidade de permitir a escrita de regras com base em conexões existentes, outra coisa é achar que o firewall vai inferir a direção do fluxo sem ser explicitamente informado sobre isso. 

    #Dúvida 2
    Não podia ser diferente disso, já que tráfego local na mesma LAN sequer passa pelo gateway. As regras LAN-IN devem ser usadas para filtrar tráfego entre sub-redes diferentes que atravessa o USG, como seria feito em qualquer outro firewall. 
  • wlroquewlroque 0 Pontos
    UI-Samuel disse:
    Na realidade nenhuma das dúvidas é complexa, sua dificuldade aqui é conceitual...
    Não existe nenhum bug nesse comportamento que você descreve. 

    #Dúvida 1
    A regra 1 diz respeito às conexões que estão sendo iniciadas pelo cliente em direção ao servidor. Apenas marcar established no sentido errado/indesejado não resolve o seu problema porque aquele tráfego marcado como established tem outro sentido. Uma coisa é o firewall ser stateful com capacidade de permitir a escrita de regras com base em conexões existentes, outra coisa é achar que o firewall vai inferir a direção do fluxo sem ser explicitamente informado sobre isso. 

    #Dúvida 2
    Não podia ser diferente disso, já que tráfego local na mesma LAN sequer passa pelo gateway. As regras LAN-IN devem ser usadas para filtrar tráfego entre sub-redes diferentes que atravessa o USG, como seria feito em qualquer outro firewall. 

    Isso não responde qual vem a ser a maneira correta sobre a forma como devem ser provisionadas essas regras.. Você acredita que a dificuldade "conceitual" pela qual foi levantada aqui está no documento que vc compartilhou? Além disto, as regras foram criadas nos dois sentidos, com e sem Established, ou seja, tentei de todas as formas possíveis e funcionou apenas como descrito.. Forneça alguns exemplos FUNCIONAIS, se for capaz

    Quanto a duvida 2, entendo a questão do mesmo segmento de LAN, mas vc não me apresentou nenhuma solução para restringir de fato à gerencia.

  • UI-SamuelUI-Samuel 1016 Pontos
    1) O artigo compartilhado antes explica exatamente a dinâmica de operação das regras de firewall no USG, assim como o artigo abaixo:

    https://help.ui.com/hc/en-us/articles/115003173168-UniFi-USG-UDM-Introduction-to-Firewall-Rules

    2) Não existe como filtrar acesso local L2 (via switch) enquanto você estiver tentando fazer isso com um gateway/firewall L3, qualquer que seja a solução. Para isso você precisa de switches com suporte a ACL ou de um simples firewall local (terminal) na máquina que hospeda a controladora. Outra opção seria redesenhar a rede isolando a controladora em sua própria sub-rede de gerência para ter mais granularidade na escrita de regras de controle de acesso. Mais uma vez, repare que a questão é conceitual, não de operação...
  • wlroquewlroque 0 Pontos
    editado maio 12
    Agradeço pelas respostas, no entanto não se tratam de dúvidas conceituais.. Ignorar a questão de tentar restringir o acesso em regras de firewall por se tratar de tráfego L2 mas informar se a própria controller possui um mecanismo ou menu que me permita fazer exclusivamente esta restrição se trata de operação, e não conceito.

    O que você descreve em formato de dúvida é algo conceitual sim, pois envolve entender a diferença(e as responsabilidades) de um switch e de um roteador em um determinado segmento de rede. E neste caso, o conceito não é factível nesta plataforma, logo não pode ser operacionalizado, e desta forma, a controladora UniFi não o traz, nem nunca o trará.
    Você não pode(não é factível) bloquear tráfego dentro de uma rede interna usando um USG, que é um roteador L3(camada 3) ou "de borda". Pra fazer o que você descreve, seria necessário bloqueio em camada 2(à nível de switches), usando ACLs, que os switches UniFi não possuem, e desta forma, isso não é viável/possível/factível dentro da plataforma UniFi.
    De qualquer forma, tudo isso gira basicamente em torno de reinventar a roda, em termos de boas práticas, não é assim que se isola dispositivos, mas sim utilizando uma subrede/VLAN separada, que a plataforma UniFi trata como VLAN de gerenciamento para os dispositivos UniFi, disponível em qualquer equipamento de rede respeitável. Já para a controladora(qualquer que seja a forma/local de instalação dela), você apenas segmenta uma porta do switch em uma subrede/vlan distinta, e configura a controladora nesta nova subrede, e desta forma você vai poder aproveitar o firewall do USG(camada 3) pra fazer os bloqueios que bem entender, OK?
    Espero que esteja claro, foi isso que o Samuel tentou explicar à você ao longo dos posts acima. ;)

Entre ou Registre-se para fazer um comentário.