El siguiente artículo cubre el caso donde el Socket de Cato se usa tanto para la conectividad WAN como para el Firewall-como-servicio. En tal caso, la seguridad es un objetivo principal del despliegue. Este artículo es menos relevante para situaciones donde Cato Networks se utiliza principalmente para conectividad WAN/global.
Hasta hace poco era bastante común tener una topología de un switch L3 interno gestionando todas las VLANs internas. El switch backbone tendría una interfaz L3 para cada VLAN actuando como gateway por defecto. El enrutamiento se realizaba internamente en el switch, es decir, el tráfico entre VLANs se quedaría dentro del switch. Solo el tráfico hacia Internet o WAN iría al Firewall. Ver ejemplo abajo:
En la topología arriba, el enrutamiento entre VLANs internas se realiza en el switch backbone L3. Solo el tráfico de Internet subiría al Firewall para una inspección L4. Es raro tener de ACL (Listas de Control de Acceso) entre las VLANs internas debido a las siguientes razones:
-
Difícil de manejar - las ACLs deben ser creadas usando CLI, muy engorroso.
-
Revisar el tráfico bloqueado - los registros de tráfico podrían revisarse principalmente usando comandos CLI y no con interfaces gráficas claras como las de los Firewalls de hoy en día.
-
Habilitar ACL L3 consumiría potencia de CPU del switch.
-
Muy complicado tener una VLAN aislada que no tenga acceso corporativo.
Eventualmente, la mayoría de las redess tenían enrutamiento y acceso ilimitados entre las VLANs internas. Un brote de virus en una de las VLANs sería muy difícil (casi imposible) de contener.
A medida que los ciberataques continúan creciendo y el malware se expande en la naturaleza, los diseños de red comenzaron a moverse a un enrutamiento L3 en un dispositivo de seguridad - Firewall. Similar a la topología anterior, pero con una diferencia principal: todos los switches actúan como un dispositivo L2, mientras que el dispositivo Firewall realizaría enrutamiento L3 entre las VLANs internas. Ver ejemplo abajo:
En la topología arriba, el Firewall actúa como Router-on-a-stick. El tráfico entre PCs de VLAN 10 y PCs de VLAN 20 pasaría a través del Firewall.
Naturalmente, este enfoque ofrece mucho más control y seguridad. Es muy fácil aislar una VLAN infectada de la red. También es sencillo tener una VLAN con solo acceso a Internet (por ejemplo, red para invitados).
Cato Socket soporta (principalmente) dos configuraciones:
-
VLAN - similar al enrutamiento L3 en el Firewall, el Socket tiene una interfaz L3 para cada VLAN y actúa como un gateway por defecto.
-
Rango enrutado - ruta estática. Se utiliza en la primera topología en la cual el Socket tiene rutas a través del switch L3 hacia las VLANs internas.
Aunque ambos diseños de red son soportados por Cato, la mejor práctica para un diseño nuevo sería VLANs. Mientras no haya limitaciones o requisitos especiales, la mejor manera de configurar un Socket sería similar a la topología L3 en el Firewall. Ver ejemplo abajo:
-
Gestión - el Socket puede actuar como gateway por defecto para cada VLAN + proporcionar un rango DHCP para cada VLAN. Todo se gestiona desde la Aplicación de Gestión de Cato.
-
Control - en caso de un brote de virus en una de las VLANs, esta VLAN puede ser aislada inmediatamente y fácilmente ya sea por una regla de Firewall WAN o incluso eliminando el gateway por defecto para esa VLAN.
-
Seguridad - cuando hay una necesidad de crear una VLAN completamente aislada como Wifi para invitados, el Socket puede fácilmente bloquear el acceso WAN/corporativo para esa red y permitir solo el acceso a Internet.
-
Preste atención que, por diseño, todo el tráfico WAN va al PoP. Eso incluye tanto tráfico de sitio a sitio como entre VLANs. Es decir, el tráfico entre VLANs en la misma oficina no se enrutará en el Socket por defecto. Este punto se cubre en la siguiente sección.
-
Crear y gestionar reglas de seguridad entre VLANs internas: en realidad no es lo más importante tener cientos de reglas únicas permitiendo tráfico entre VLANs. La habilidad más importante es tener la manera inmediata de aislar una VLAN infectada. Una defensa de seguridad efectiva será proporcionada por los servicios de seguridad avanzados de Cato como Anti-Malware y IPS. Anti-Malware y IPS proporcionarán una inspección genuina L7 tanto para tráfico interno como externo.
-
Rendimiento: cuando se trata de cambiar el enrutamiento entre VLANs a un dispositivo de seguridad, una preocupación inmediata que surge es la capacidad de ancho de banda. Los switches L3 heredados carecen de la seguridad, pero claramente tenían un alto rendimiento. Para abordar este punto, nos gustaría proporcionar algunos hechos:
-
Además de Centros de Datos, las oficinas comunes tienen pocas VLANs como Usuarios, Impresoras y Wifi para invitados. Cuando piensas en ello, no hay una razón real para permitir tráfico entre esas VLANs. Principalmente necesitan acceso a recursos corporativos en el Centro de Datos, o incluso solo acceso a servicios en la nube como Office 365, Skype y Salesforce.
-
El tráfico de poco volumen como de usuarios a impresoras puede funcionar perfectamente yendo al PoP y volviendo desde el Socket. Los usuarios no notarán ninguna diferencia cuando un trabajo de impresión tenga un retraso adicional de 20ms, pero los administradores de TI tendrán mucho mejor seguridad y control.
-
Si todavía es imprescindible un enrutamiento de alta velocidad de 1Gbps, el Socket de Cato soporta la capacidad de Enrutamiento Local. El Enrutamiento Local permite el enrutamiento en el Socket, es decir, el tráfico entre un par de VLANs permanecerá en el Socket. Este tipo de configuración pasa por alto los servicios de seguridad L7 de Cato (Anti-Malware y IPS). Sin embargo, si hay alguna estación de trabajo infectada, una vez que se comunique con un C&C externo o un proxy malicioso, será detectada y se enviará una alerta.
-
0 comentarios
Inicie sesión para dejar un comentario.