Configuración del Reenvío de Puertos Remotos para la Cuenta

El Reenvío de Puertos Remotos (RPF) te permite dirigir una conexión entrante desde Internet a través de Cato Cloud hacia un host LAN interno. La conexión se beneficia de los diferentes servicios de seguridad de Cato.

Nota

Nota: RPF no es compatible con PoPs ubicados en China. No puedes elegir un IP Asignada para estos PoPs en China.

Resumen del Reenvío de Puerto Remoto con Cato

Puedes controlar el acceso entrante a los recursos de RPF utilizando un enfoque de lista de permitidos o de lista de bloqueados:

  • Lista de Permitidos – bloquea todas las fuentes (direcciones IP y rangos) y solo PERMITE fuentes que están específicamente configuradas
  • Lista de Bloqueados - permite todas las fuentes (direcciones IP y rangos) y solo BLOQUEA fuentes que están específicamente configuradas

El enfoque de lista de bloqueados se recomienda para situaciones donde necesitas controlar el acceso a recursos de RPF que dan a Internet y las fuentes permitidas no son conocidas o definidas. Este enfoque proporciona una opción para configurar una lista de fuentes bloqueadas a través de la Aplicación de Gestión Cato o una API. La lista de bloqueados puede basarse en listas de bloqueados mantenidas por el cliente, feeds de seguridad privados, registros geográficos específicos e indicadores de sistemas de terceros.

Nota

Nota: El servicio IPS de Cato protege el tráfico RPF entrante, sin embargo, no se realiza inspección TLS en el tráfico entrante. Esto significa que IPS no puede inspeccionar el contenido del tráfico cifrado, pero IPS inspecciona el tráfico basado en verificaciones de reputación (como escáneres, barridos de puertos, C&Cs conocidos, etc.).

Protecciones Contra Suplantación en el Firewall de Cato

Una de las funcionalidades básicas de un NGFW es proteger contra ataques anti-spoofing. Los motores de seguridad en Cato Cloud descartan implícitamente cualquier conexión donde el IP de origen esté fuera del alcance de la entidad configurada (como sitio, rango de red, dispositivo o usuario). Esto bloquea los ataques anti-spoofing y previene violaciones de la topología lógica configurada.

Revisiones de Política y Edición Concurrente por Múltiples Administradores

La política de Reenvío de Puertos Remotos permite que diferentes administradores editen la política en paralelo. Cada administrador puede editar reglas y guardar los cambios en su propia revisión privada, para luego publicarlas en la política de la cuenta (la revisión publicada). Para más información sobre cómo gestionar las revisiones de políticas, ver Trabajando con Revisions de Políticas.

Comprendiendo las Perspectivas Autónomas

RPF_auto.png

La Información del Reenvío de Puerto Remoto es una lista de mejores prácticas que evalúan su política de Reenvío de Puerto Remoto y muestran cómo cumplen con las recomendaciones de Cato. Seguir estas recomendaciones optimiza sus configuraciones de cortafuegos y mejora la postura de seguridad.

Hay dos tipos de información:

  • Icono de estrella (impulsado por IA): Las reglas habilitadas en su política de Reenvío de Puerto Remoto son analizadas automáticamente por Inteligencia Artificial (IA) para detectar problemas, por ejemplo, reglas que pueden ser descartadas o modificadas como:

    • Regla Expirada o Regla con Fecha de Expiración Futura: Reglas creadas para abordar una necesidad específica y tienen un deseable plazo de corte que ya ha pasado o que aún no se ha alcanzado o no se puede demostrar/evaluar.
    • Regla Temporal: Introducida como solución a corto plazo para satisfacer una necesidad inmediata. Estas reglas se crean principalmente para funcionar temporalmente mientras se está implementando o desarrollando una solución adecuada o permanente.
    • Regla de Prueba: Reglas creadas expresamente para validar, depurar o experimentar con una característica o escenario específico.
  • Basado en la Configuración: Las configuraciones y ajustes en su política de Reenvío de Puerto Remoto aseguran que sigan las mejores prácticas.

Habilitando el Reenvío de Puerto Remoto

Para habilitar el Reenvío de Puerto Remoto:

  1. Desde el menú de navegación, haz clic en Seguridad > Reenvío de Puerto Remoto.
  2. Haz clic en el control deslizante Desactivado. El control deslizante está verde para indicar que RPF está activado.
  3. Haz clic en Guardar. El RPF ahora está activado para la cuenta.

Definiendo Reglas de Reenvío de Puerto Remoto

La IP Externa para una regla de RPF es una dirección IP asignada por Cato. Para más información, consulte Asignación de Direcciones IP para la Cuenta. Para aplicaciones internas, use la IP interna y el puerto en la regla.

Cuando defines una regla de RPF, hay diferentes opciones para la configuración de IPs Remotos Permitidos:

  • Ingresa una dirección IP específica o un rango de IP en alguno de estos formatos:

    • Rango de direcciones IP - 192.0.2.10-192.0.2.20
    • Subred (CIDR) - 192.0.2.0/24

    También puedes pegar una lista separada por comas con múltiples direcciones IP y rangos, por ejemplo: 10.1.1.1, 10.2.1.1-10.2.1.105

  • Habilitar seguimiento y notificaciones.

Si su red requiere asignación de múltiples puertos externos a un único puerto interno, es posible configurar esto creando múltiples reglas RPF.

La asignación de puertos externos a internos es una asignación específica de uno a uno basada en el orden del Puerto Externo y el Rango de Puerto Interno. Por ejemplo, el Rango de Puerto Externo 5000-5005 está mapeado al Rango de Puerto Interno 6103-6108. Esto significa que el puerto externo 5000 está mapeado al puerto interno 6103, el puerto externo 5001 al puerto interno 6104, y así sucesivamente.

RemotePortForwarding.png

Nota

Nota: Para cuentas con sitios de IPsec, si las IPs externas de una regla RPF se superponen con las direcciones IP de un sitio IPsec, asegúrate de que la regla excluya los puertos del túnel IPsec UDP/500 y UDP/4500.

Para definir una regla de Reenvío de Puerto Remoto:

  1. Desde el menú de navegación, haz clic en Seguridad > Reenvío de Puertos Remotos.

    La página de Reenvío de Puertos Remotos se abre a tu revisión no publicada existente, o a la revisión publicada más reciente.

  2. Haga clic en Nuevo. Se abre el panel Agregar Regla.
  3. Ingrese el Nombre para la regla.
  4. (Opcional) Seleccione Reenviar ICMP para habilitar el reenvío de mensajes ICMP para esta regla.
  5. En la sección Externa, defina la IP Externa asignada por Cato y el Rango de Puerto Externo para los puertos monitoreados por el PoP.
  6. En la sección Interna, ingrese la dirección IP Interna a la cual se redirige el tráfico y el Rango de Puerto Interno.
  7. En la sección IPs Remotas, seleccione si esta regla es una Lista de Permitidos o Lista de Bloqueados.
    1. Para definir el único tráfico que ESTÁ PERMITIDO para conectarse al host:
      1. Seleccione Lista de Permitidos.
      2. Seleccione las Fuentes de Tráfico basado en la IP o Subred. Estas son las direcciones IP y rangos que están permitidos para realizar RPF hacia el host.
      3. Haz clic en add.png (Agregar) para agregar más IPs remotas permitidas.
    2. Para permitir todo el tráfico hacia este host y definir las fuentes que están BLOQUEADAS y no pueden conectarse a él:
      1. Seleccione Lista de Bloqueados.
      2. Seleccione las Fuentes de Tráfico basado en la IP o Subred. Estas son las direcciones IP y rangos que están bloqueados y no pueden realizar RPF hacia el host.
      3. Haz clic en add.png (Agregar) para agregar más IPs remotas bloqueadas.
  8. (Opcional) Defina las notificaciones por correo electrónico para el tráfico que coincide con la regla. Para más información, consulte Alertas de Nivel de Cuenta y Notificaciones del Sistema.
  9. Haga clic en Aplicar. La regla está agregada.

  10. Haz clic en Guardar.

    Los cambios se guardan en tu revisión sin publicar y están disponibles para editar hasta que sean publicados o descartados.

¿Fue útil este artículo?

Usuarios a los que les pareció útil: 0 de 0

0 comentarios