Pular para o conteúdo principal

Quando as pessoas pensam em IPsec, pensam em criptografia de dados, mas ela também pode ser usada para soltar os pacotes ou permitir que eles sejam descartados sem qualquer criptografia. Ela pode fazer isso com base no endereço IP de origem e destino e nos números de porta. Que é exatamente o que um firewall faz; assim você pode usar o recurso IPsec do VOS como um firewall.

Por exemplo, digamos que você tenha um aplicativo interno de serviço de documentos que escuta na porta *.12345, ou seja, escuta na porta 12345 e aceitará uma conexão de qualquer interface no módulo. Uma nova interface acaba de ser adicionada ao módulo que se conecta à rede de um fornecedor. Ninguém dessa rede deve estar se conectando ao serviço de documentos. Idealmente existe um firewall na rede entre o módulo e a rede do fornecedor que bloqueia a porta 12345, mas o princípio de "defesa em profundidade" diz que um firewall baseado na rede E no host é melhor do que apenas um firewall de rede.

Há várias maneiras de configurar o IPsec para soltar conexões da rede do fornecedor. A maneira mais simples é soltar qualquer conexão à porta 12345 com um endereço IP de destino que corresponda à nova interface. Assumindo que a nova interface tenha um endereço IP de 172.16.1.1, a política IPsec pareceria
{daddr 172.16.1.1 ulp tcp dport 12345 dir in} drop {}

As políticas IPsec são adicionadas com o comando ipsec_policy_admin. O arquivo de configuração padrão é >system>stcp>ipsec.conf, mas qualquer arquivo pode ser especificado. Para que isto funcione, o módulo não deve estar encaminhando pacotes, caso contrário uma solicitação de conexão para outra das interfaces do módulo que é recebida na interface 172.16.1.1 será encaminhada. Como o destino não é 172.16.1.1.1 IPsec permitirá a conexão. É uma boa idéia desligar o reencaminhamento, a menos que você saiba que é realmente necessário utilizá-lo. Você desliga o redirecionamento com o comando IP_forwarding; sim, o IP é maiúsculo.

Se uma nova interface não foi adicionada e tanto seus usuários internos quanto seu fornecedor utilizarão a mesma interface, você deve basear a política no endereço de origem e não no endereço de destino. Se assumirmos que a rede do fornecedor é 192.168.1.0/24, a política parecerá
{saddr 192.168.1.0/24 ulp tcp dport 12345 dir in} drop {}

Isto, naturalmente, ainda permite que os hosts da rede do fornecedor se conectem a outros serviços no módulo. Você pode restringir os fornecedores a apenas um serviço, digamos aquele que escuta na porta 24680 com as seguintes políticas
{saddr 192.168.1.0/24 ulp tcp dport 24680 dir in} bypass {}
{saddr 192.168.1.0/24 ulp tcp dir in} drop {}

Se o serviço de documentos hospedar apenas um documento do departamento, você pode estabelecer uma política que permita conexões à porta 12345 somente da sub-rede desse departamento, digamos 10.1.1.0/28 com as políticas
{saddr 10.1.1.0/28 ulp tcp dport 12345 dir in} bypass {}
{saddr 0.0.0.0.0/0 ulp tcp dport 12345 dir in} drop {}
A ordem das políticas é importante, se você inverter a ordem ninguém será capaz de se conectar à porta 12345.

Se seu CIO exigir que ele também tenha acesso aos documentos, você pode adicionar uma política para o endereço da estação de trabalho do CIO
{saddr 10.1.1.0/28 ulp tcp dport 12345 dir in} bypass {}
{saddr 10.7.7.7 ulp tcp dport 12345 dir in} bypass {}
{saddr 0.0.0.0.0/0 ulp tcp dport 12345 dir in} drop {}

Ao experimentar o IPsec, tenha sempre a certeza de que você tem uma política que lhe permitirá uma conexão, as políticas IPsec são aplicadas assim que elas são adicionadas, você não precisa reiniciar ou reiniciar nada para que uma política digitada incorretamente possa desconectá-lo do módulo. Por exemplo, assumindo que o endereço IP de sua estação de trabalho é 10.1.100.50, eu sempre colocaria a seguinte política em primeiro lugar em meu arquivo de políticas
{saddr 10.1.100.50 ulp tcp dir in} bypass {}

© 2024 Stratus Technologies.