Ubiquiti a publié la mise à jour Early Access pour UniFi Network 9.0.92, avec le Pare-feu basé sur les zones (ZBF), simplifiant la gestion de la sécurité du réseau des administrateurs.
Ubiquiti a lancé sa mise à jour d'accès anticipé UniFi Network 9.0.92, introduisant le Pare-feu basé sur une zone (ZBF). Cette mise à niveau importante offre aux administrateurs un ensemble d'outils simplifiés mais puissants pour gérer la sécurité du réseau. Cette mise à jour concerne les passerelles et les passerelles cloud que nous avons déployées sur Cloud Gateway Ultra via Machine de rêve Pro Max.
Cette innovation se concentre sur le regroupement d’interfaces, telles que les VLAN, les WAN et les VPN, en zones logiques, permettant une création de politiques plus intuitive, une meilleure segmentation et une sécurité renforcée.
L'époque des configurations par interface qui pouvaient devenir difficiles à gérer dans des réseaux complexes est révolue. Matrice de zones offre une représentation visuelle claire du flux de trafic entre les zones, permettant aux administrateurs d'évaluer et de modifier rapidement les politiques de sécurité. Cette approche intuitive rend la gestion des politiques plus accessible, même pour les administrateurs réseau moins expérimentés.
Le ZBF d'UniFi introduit des zones prédéfinies, notamment internes, externes, DMZ, VPN et Hotspot, chacune adaptée aux besoins de sécurité courants. Ces zones assurent un contrôle granulaire des flux de trafic, permettant aux administrateurs d'appliquer des règles spécifiques à différents éléments du réseau. Cette conception permet d'isoler les appareils IoT, de sécuriser les serveurs de données sensibles ou de gérer le trafic invité sans mettre en danger le réseau interne.
Tandis que les règles prédéfinies simplifient la configuration, la fonctionnalité de politique personnalisée permet aux administrateurs d'adapter les paramètres de sécurité aux exigences organisationnelles uniques. Qu'il s'agisse de bloquer un protocole spécifique, de créer des exceptions pour les appareils de confiance ou de hiérarchiser les types de trafic, la flexibilité des politiques personnalisées garantit que le ZBF peut s'adapter même aux environnements réseau les plus complexes.
Le ZBF comprend des règles intégrées pour protéger les flux critiques, tels que le trafic DHCP et DNS vers la passerelle, garantissant que les services essentiels ne sont pas accidentellement interrompus. Les capacités de journalisation améliorées via Syslog fournissent des informations détaillées sur les modèles de trafic et les menaces potentielles. De plus, les administrateurs peuvent facilement réorganiser les règles pour refléter les changements de priorités ou d'exigences, améliorant ainsi la surveillance et l'adaptabilité.
Le framework ZBF est conçu pour réduire la complexité tout en renforçant la sécurité, ce qui en fait un ajout précieux pour les organisations de toutes tailles.
Les appareils IoT ont souvent une sécurité intégrée limitée, ce qui les rend vulnérables aux attaques. Avec ZBF, les administrateurs peuvent placer tous les appareils IoT dans une zone dédiée et créer des politiques qui :
Les utilisateurs invités peuvent être limités à une zone dédiée qui autorise uniquement l'accès à Internet, les empêchant d'interagir avec les appareils internes ou les données sensibles.
Les politiques prédéfinies « Interne vers externe » offrent une approche équilibrée, accordant un accès Internet sécurisé aux utilisateurs internes tout en maintenant de solides mesures de protection contre les menaces potentielles.
Les organisations peuvent créer des zones supplémentaires pour des besoins spécialisés, tels que la séparation des environnements de développement, des laboratoires de test ou des utilisateurs VPN distants, garantissant ainsi un contrôle précis de la communication entre les zones.
Bien que ZBF simplifie la gestion du pare-feu, une planification minutieuse est essentielle pour éviter les conséquences imprévues. Les administrateurs doivent :
Le pare-feu par zone (ZBF) d'UniFi constitue une avancée significative dans la simplification et l'amélioration de la sécurité du réseau. Le passage des configurations traditionnelles par interface à une approche par zone permet aux administrateurs de se concentrer sur les résultats de sécurité intentionnels plutôt que de se débattre avec des configurations complexes. Sa conception intuitive et ses options de personnalisation robustes en font un outil idéal pour les déploiements à petite échelle et en entreprise.
Pour illustrer sa mise en œuvre pratique, voici un exemple de mise en place d'un nouveau Zone Invité/IoT en utilisant le ZBF d'UniFi dans la dernière mise à jour. L'objectif était d'isoler les appareils invités et IoT, en s'assurant qu'ils avaient un accès contrôlé aux ressources externes sans compromettre la sécurité interne.
Suivez les étapes ci-dessous pour mettre à jour vers EA Release Network 9.0.92.
Ensuite, activez le pare-feu basé sur une zone (ZBF) en suivant les étapes ci-dessous.
Commencez par créer une nouvelle zone. Tout d'abord, consultez les zones par défaut, puis cliquez sur le bouton Créer une zone option.
Cliquez sur Créer une zone pour accéder à l'écran de configuration permettant de configurer la nouvelle zone. Pour cet exemple, nous l'avons nommée Zone Invité/IoTIl est important de s'assurer qu'un VLAN est créé ou pré-existant avant de l'associer à cette nouvelle zone. Dans notre exemple, nous avons utilisé VLAN 30. Toutes les règles préexistantes liées à ce VLAN ou à ce réseau peuvent être suspendues ou supprimées lors de la création de la nouvelle zone.
Après avoir configuré la zone, revenez à la page principale en cliquant sur le bouton Retour dans le coin supérieur gauche. Vous aurez besoin de trois règles de pare-feu pour créer un réseau invité/IoT isolé qui autorise uniquement l'accès à Internet tout en bloquant la communication des appareils locaux.
Tout d'abord, cliquez sur Gérer. Vous pouvez également filtrer la ligne Zone invité/IoT et sélectionner la première option dans la colonne Interne. Cela affichera également toutes les règles associées à cette zone sur l'interface.
Règle 1: Empêcher l'accès de l'IoT/des invités à la zone interne.
Règle 2: Autoriser l'IoT/les invités à accéder à Internet via la zone externe :
Rule3:Autoriser IoT/Guest à communiquer avec la passerelle pour DHCP et DNS via la zone Gateway.
Une fois les règles créées, nous pouvons procéder aux tests. Pour ce test, nous utiliserons une machine virtuelle Ubuntu Server 24.04.1 connectée à un réseau VNET étiqueté VLAN 30. La machine virtuelle récupérera le DHCP de l'UDM-SE pour confirmer que la configuration réseau et les règles de zone fonctionnent comme prévu.
En commençant par la commande, ip a montre que la machine virtuelle Ubuntu a récupéré avec succès un bail DHCP de (10.30.50.113) à partir du réseau (10.30.0.0/18) sur le VLAN 30. Le premier test vérifie la communication avec la passerelle et nous envoyons avec succès un ping à la passerelle UDM principale (192.168.1.1).
Ensuite, nous nous assurons que nous ne pouvons pas atteindre les appareils du réseau interne. La tentative de ping d'un contrôleur de domaine à (192.168.1.32) échoue, et il en va de même lorsque nous essayons de pinger un commutateur géré à (192.168.1.202). Nous avons tenté une connexion SSH au commutateur géré, qui a également échoué, à titre de test supplémentaire. Cela confirme que la règle d'isolation fonctionne comme prévu pour la zone Invité/IoT.
Enfin, testez si la VM est accessible en externe en envoyant un ping à Google, en vérifiant que le réseau invité/IoT peut accéder à Internet tout en restant isolé du réseau interne.
Dans ce prochain test, nous avons installé Nmap en utilisant sudo apt installer nmap suivi de la commande sudo nmap -sP 192.168.1.0/24 pour analyser la plage réseau par défaut. Nmap est un outil d'analyse réseau qui vous permet de découvrir les périphériques sur un réseau et de déterminer les ports ouverts sur ceux-ci. Ce test vérifie que le réseau invité/IoT est correctement isolé du réseau interne en confirmant qu'aucun périphérique de la plage 192.168.1.0/24 n'est accessible depuis le réseau isolé.
Le nouveau pare-feu basé sur les zones d'UniFi offre une approche intuitive et efficace de la sécurité et de la segmentation du réseau. Il s'agit d'un atout précieux pour les réseaux de toutes tailles, y compris les laboratoires comme StorageReview, où les professionnels peuvent exploiter ses capacités. En simplifiant la création de zones isolées et en permettant un contrôle du trafic robuste et des politiques VPN sécurisées sans les complexités traditionnelles, cet outil permet aux administrateurs de concevoir des environnements évolutifs et sécurisés qui prennent en charge les tests avancés, le développement et les opérations quotidiennes.
Ubiquiti (lien affilié)
S'engager avec StorageReview
Newsletter | YouTube | Podcast iTunes/Spotify | Instagram | Twitter | TikTok | Flux RSS
Nous avons été très impressionnés par le Dell Pro Rugged 14. Le système est exceptionnellement bien construit et durable, bien au-dessus…
L'EcoFlow DELTA 3 Plus offre une solution robuste et efficace pour divers besoins énergétiques, des aventures hors réseau aux urgences…
Le Lenovo ThinkSystem SR630 V4 est un serveur rack 2U à 1 sockets flexible et puissant, conçu pour les applications informatiques grand public. (suite…)
Le point de contrôle est essentiel à la formation du modèle d'IA, garantissant la résilience, l'efficacité et la capacité de reprendre ou d'affiner la formation à partir des éléments enregistrés.
La passerelle Ubiquiti UX Express offre une connectivité Wi-Fi 6 flexible et compatible VPN partout, reliant sans effort les réseaux domestiques et professionnels. (suite…)
Le point d'accès double radio extérieur 655 GHz EnGenius EOC5 offre une connexion sans fil rapide et fiable, étendant la couverture dans des conditions difficiles. (suite…)