Inicio Empresa Acceso anticipado a UniFi Network 9.0.92: firewall basado en zonas en acción

Acceso anticipado a UniFi Network 9.0.92: firewall basado en zonas en acción

by Dylan Dougherty

Ubiquiti ha lanzado la actualización de acceso anticipado para UniFi Network 9.0.92, que incluye la Cortafuegos basado en zonas (ZBF), simplificando la gestión de la seguridad de la red del administrador.

Ubiquiti ha lanzado su actualización de acceso anticipado UniFi Network 9.0.92, que presenta la Cortafuegos basado en zonas (ZBF). Esta importante actualización brinda a los administradores un conjunto de herramientas simplificado pero potente para administrar la seguridad de la red. Esta actualización se aplica a las puertas de enlace y las puertas de enlace en la nube que hemos implementado en Cloud Gateway Ultra a través de Máquina de sueños Pro Max.

Esta innovación se centra en agrupar interfaces, como VLAN, WAN y VPN, en zonas lógicas, lo que permite una creación de políticas más intuitiva, una mejor segmentación y una mayor seguridad.

Características y ventajas

Gestión de políticas simplificada

Atrás quedaron los días en que las configuraciones por interfaz podían volverse difíciles de manejar en redes complejas. Matriz de zonas ofrece una representación visual clara del flujo de tráfico entre zonas, lo que permite a los administradores evaluar y modificar las políticas de seguridad rápidamente. Este enfoque intuitivo hace que la gestión de políticas sea más accesible, incluso para los administradores de red menos experimentados.

Segmentación de red mejorada

El ZBF de UniFi presenta zonas predefinidas, que incluyen internas, externas, DMZ, VPN y puntos de acceso, cada una adaptada a las necesidades de seguridad comunes. Estas zonas garantizan un control granular sobre los flujos de tráfico, lo que permite a los administradores aplicar reglas específicas a diferentes elementos de la red. Este diseño ayuda a aislar dispositivos IoT, proteger servidores de datos confidenciales o administrar el tráfico de invitados sin poner en riesgo la red interna.

Políticas personalizadas para mayor flexibilidad

Si bien las reglas predefinidas simplifican la configuración, la función de políticas personalizadas permite a los administradores adaptar la configuración de seguridad a los requisitos únicos de la organización. Ya sea que se trate de bloquear un protocolo específico, crear excepciones para dispositivos confiables o priorizar los tipos de tráfico, la flexibilidad de las políticas personalizadas garantiza que el ZBF pueda adaptarse incluso a los entornos de red más complejos.

Visibilidad y control

El ZBF incluye reglas integradas para proteger el flujo crítico, como el tráfico DHCP y DNS hacia la puerta de enlace, lo que garantiza que los servicios esenciales no se interrumpan accidentalmente. Las capacidades de registro mejoradas a través de syslog brindan información detallada sobre los patrones de tráfico y las amenazas potenciales. Además, los administradores pueden reordenar fácilmente las reglas para reflejar prioridades o requisitos cambiantes, lo que mejora la supervisión y la adaptabilidad.

Aplicaciones prácticas de (ZBF)

El marco ZBF está diseñado para reducir la complejidad y al mismo tiempo fortalecer la seguridad, lo que lo convierte en una valiosa adición para organizaciones de todos los tamaños.

Asegurar las redes de IoT

Los dispositivos IoT suelen tener una seguridad integrada limitada, lo que los hace vulnerables a los ataques. Con ZBF, los administradores pueden colocar todos los dispositivos IoT en una zona dedicada y crear políticas que:

  • Bloquee el acceso de los dispositivos IoT a redes internas sensibles.
  • Permitir que los dispositivos IoT se comuniquen solo con servicios o recursos externos específicos.

Aislamiento del tráfico de invitados

Los usuarios invitados pueden restringirse a una zona dedicada que solo permite el acceso a Internet, lo que les impide interactuar con dispositivos internos o datos confidenciales.

Equilibrar el tráfico interno y externo

Las políticas predefinidas “de interno a externo” ofrecen un enfoque equilibrado, que otorga acceso seguro a Internet a los usuarios internos y al mismo tiempo mantiene sólidas protecciones contra amenazas potenciales.

Personalizaciones avanzadas

Las organizaciones pueden crear zonas adicionales para necesidades especializadas, como segregar entornos de desarrolladores, laboratorios de pruebas o usuarios de VPN remotos, lo que garantiza un control detallado de la comunicación entre zonas.

Consideraciones para la implementación

Si bien ZBF simplifica la administración del firewall, es esencial realizar una planificación cuidadosa para evitar consecuencias no deseadas. Los administradores deben:

  • Comprender el comportamiento de las zonas:Mover redes entre zonas o bloquear el tráfico a la puerta de enlace (algo fundamental para servicios como DHCP y DNS) puede interrumpir las operaciones si no se gestiona con cuidado.
  • Auditoría de flujos de tráfico:Antes de implementar ZBF, revise los patrones de tráfico actuales para garantizar que se preserven las rutas de comunicación esenciales.
  • Reglas de prueba:La prueba gradual de nuevas reglas ayuda a prevenir interrupciones generalizadas, especialmente en entornos más grandes con niveles de confianza mixtos.
  • Registro de apalancamiento:Utilice funciones de registro para supervisar el impacto de los cambios e identificar áreas de mejora.

ZBF Configuration Ejemplo

El firewall basado en zonas (ZBF) de UniFi es un paso importante para simplificar y mejorar la seguridad de la red. Pasar de las configuraciones tradicionales por interfaz a un enfoque basado en zonas permite a los administradores centrarse en los resultados de seguridad intencionales en lugar de lidiar con configuraciones complejas. Su diseño intuitivo y sus sólidas opciones de personalización lo hacen ideal para implementaciones a pequeña escala y empresariales.

Para ilustrar su implementación práctica, a continuación se presenta un ejemplo de cómo configurar un nuevo Zona de invitados/IoT Utilizando el ZBF de UniFi en la última actualización. El objetivo era aislar los dispositivos invitados y de IoT, garantizando que tuvieran acceso controlado a los recursos externos sin poner en riesgo la seguridad interna.

Actualización de la versión EA

Siga los pasos a continuación para actualizar a EA Release Network 9.0.92.

    1. Vaya a Configuración > Plano de control > Actualizaciones en el controlador UniFi.
    2. Haga clic en Buscar actualizaciones o Actualizar e instalar la última versión de EA.
    3. permitir Acceso Pre-Lanzamiento en el mismo menú si no está ya habilitado.


A continuación, habilite el Firewall basado en zonas (ZBF) siguiendo los pasos a continuación.

  1. Vaya a Configuración > Firewall y seguridad.
  2. permitir Cortafuegos basado en zonas.
  3. Configurar zonas y establecer políticas de tráfico utilizando el Matriz de zonas.

Ejemplo de configuración de zona

Comience por crear una nueva zona. Primero, visualice las zonas predeterminadas y luego haga clic en el botón Crear Zona .

Al hacer clic en Crear zona, accederá a la pantalla de configuración para configurar la nueva zona. En este ejemplo, la hemos denominado Zona de invitados/IoTEs importante asegurarse de que se haya creado una VLAN o de que exista previamente antes de asociarla con esta nueva zona. En nuestro ejemplo, usamos VLAN 30Cualquier regla preexistente vinculada a esta VLAN o red podría pausarse o eliminarse al crear la nueva zona.

Después de configurar la zona, vuelve a la página principal haciendo clic en el botón Atrás en la esquina superior izquierda. Necesitarás tres reglas de firewall para crear una red de invitados/IoT aislada que solo permita el acceso a Internet y bloquee la comunicación del dispositivo local.

En primer lugar, haga clic en Administrar. También puede filtrar la fila Zona de invitados/IoT y seleccionar la primera opción en la columna Interna. Esto también mostrará las reglas relacionadas asociadas con esta zona en la interfaz.

Regla 1: Bloquear el acceso de IoT/invitados a la zona interna.

Regla 2: Permitir que IoT/invitados accedan a Internet a través de la zona externa:

Regla3:Permitir que IoT/Guest se comunique con la puerta de enlace para DHCP y DNS a través de la zona de puerta de enlace.

Reglas de prueba

Una vez creadas las reglas, podemos continuar con las pruebas. Para esta prueba, utilizaremos una máquina virtual Ubuntu Server 24.04.1 conectada a una red VNET etiquetada con VLAN 30. La máquina virtual captará DHCP de UDM-SE para confirmar que la configuración de red y las reglas de zona funcionan como se espera.

Comenzando con el comando, ip a muestra que la VM Ubuntu ha obtenido con éxito una concesión DHCP de (10.30.50.113) de la red (10.30.0.0/18) en VLAN 30. La primera prueba verifica la comunicación con la puerta de enlace y hacemos ping con éxito a la puerta de enlace UDM principal (192.168.1.1).

A continuación, nos aseguramos de que no podamos acceder a ningún dispositivo de la red interna. El intento de hacer ping a un controlador de dominio en (192.168.1.32) falla, y lo mismo sucede cuando intentamos hacer ping a un conmutador administrado en (192.168.1.202). Intentamos una conexión SSH al conmutador administrado, que también falló, como prueba adicional. Esto confirma que la regla de aislamiento funciona como se espera para la zona Guest/IoT.

Por último, prueba si la VM tiene accesibilidad externa haciendo ping a Google y verificando que la red Guest/IoT pueda acceder a Internet mientras permanece aislada de la red interna.

Prueba de Nmap

En esta próxima prueba, instalamos Nmap usando sudo apt instalar nmap seguido del comando sudo nmap -sP 192.168.1.0/24 para escanear el rango de red predeterminado. Nmap es una herramienta de escaneo de red que le permite descubrir dispositivos en una red y determinar qué puertos están abiertos en ellos. Esta prueba verifica que la red Guest/IoT esté correctamente aislada de la red interna al confirmar que ningún dispositivo en el rango 192.168.1.0/24 sea accesible desde la red aislada.
Solo ve nuestra puerta de enlace (192.168.1.1) y Honey Pot (192.168.1.2) sin visibilidad de los otros 28 dispositivos presentes en la red predeterminada.

Conclusión

El nuevo firewall basado en zonas de UniFi ofrece un enfoque intuitivo y eficiente para la segmentación y seguridad de la red. Es un recurso valioso para redes de todos los tamaños, incluidos laboratorios como StorageReview, donde los profesionales pueden aprovechar sus capacidades. Al simplificar la creación de zonas aisladas y permitir un control de tráfico sólido y políticas de VPN seguras sin las complejidades tradicionales, esta herramienta permite a los administradores diseñar entornos escalables y seguros que admitan pruebas avanzadas, desarrollo y operaciones diarias.

Ubiquiti (enlace de afiliado)

Interactuar con StorageReview

Boletín informativo | YouTube | Podcast iTunes/Spotify | Instagram | Twitter | TikTok | RSS Feed