Entreprise

Accès anticipé à UniFi Network 9.0.92 : pare-feu basé sur des zones en action

Ubiquiti a publié la mise à jour Early Access pour UniFi Network 9.0.92, avec le Pare-feu basé sur les zones (ZBF), simplifiant la gestion de la sécurité du réseau des administrateurs.

Ubiquiti a lancé sa mise à jour d'accès anticipé UniFi Network 9.0.92, introduisant le Pare-feu basé sur une zone (ZBF). Cette mise à niveau importante offre aux administrateurs un ensemble d'outils simplifiés mais puissants pour gérer la sécurité du réseau. Cette mise à jour concerne les passerelles et les passerelles cloud que nous avons déployées sur Cloud Gateway Ultra via Machine de rêve Pro Max.

Cette innovation se concentre sur le regroupement d’interfaces, telles que les VLAN, les WAN et les VPN, en zones logiques, permettant une création de politiques plus intuitive, une meilleure segmentation et une sécurité renforcée.

Caractéristiques principales et avantages

Gestion simplifiée des politiques

L'époque des configurations par interface qui pouvaient devenir difficiles à gérer dans des réseaux complexes est révolue. Matrice de zones offre une représentation visuelle claire du flux de trafic entre les zones, permettant aux administrateurs d'évaluer et de modifier rapidement les politiques de sécurité. Cette approche intuitive rend la gestion des politiques plus accessible, même pour les administrateurs réseau moins expérimentés.

Segmentation améliorée du réseau

Le ZBF d'UniFi introduit des zones prédéfinies, notamment internes, externes, DMZ, VPN et Hotspot, chacune adaptée aux besoins de sécurité courants. Ces zones assurent un contrôle granulaire des flux de trafic, permettant aux administrateurs d'appliquer des règles spécifiques à différents éléments du réseau. Cette conception permet d'isoler les appareils IoT, de sécuriser les serveurs de données sensibles ou de gérer le trafic invité sans mettre en danger le réseau interne.

Politiques personnalisées pour plus de flexibilité

Tandis que les règles prédéfinies simplifient la configuration, la fonctionnalité de politique personnalisée permet aux administrateurs d'adapter les paramètres de sécurité aux exigences organisationnelles uniques. Qu'il s'agisse de bloquer un protocole spécifique, de créer des exceptions pour les appareils de confiance ou de hiérarchiser les types de trafic, la flexibilité des politiques personnalisées garantit que le ZBF peut s'adapter même aux environnements réseau les plus complexes.

Visibilité et contrôle

Le ZBF comprend des règles intégrées pour protéger les flux critiques, tels que le trafic DHCP et DNS vers la passerelle, garantissant que les services essentiels ne sont pas accidentellement interrompus. Les capacités de journalisation améliorées via Syslog fournissent des informations détaillées sur les modèles de trafic et les menaces potentielles. De plus, les administrateurs peuvent facilement réorganiser les règles pour refléter les changements de priorités ou d'exigences, améliorant ainsi la surveillance et l'adaptabilité.

Applications pratiques du (ZBF)

Le framework ZBF est conçu pour réduire la complexité tout en renforçant la sécurité, ce qui en fait un ajout précieux pour les organisations de toutes tailles.

Sécuriser les réseaux IoT

Les appareils IoT ont souvent une sécurité intégrée limitée, ce qui les rend vulnérables aux attaques. Avec ZBF, les administrateurs peuvent placer tous les appareils IoT dans une zone dédiée et créer des politiques qui :

  • Empêchez les appareils IoT d’accéder aux réseaux internes sensibles.
  • Autoriser les appareils IoT à communiquer uniquement avec des services ou des ressources externes spécifiques.

Isoler le trafic des invités

Les utilisateurs invités peuvent être limités à une zone dédiée qui autorise uniquement l'accès à Internet, les empêchant d'interagir avec les appareils internes ou les données sensibles.

Équilibrer le trafic interne et externe

Les politiques prédéfinies « Interne vers externe » offrent une approche équilibrée, accordant un accès Internet sécurisé aux utilisateurs internes tout en maintenant de solides mesures de protection contre les menaces potentielles.

Personnalisations avancées

Les organisations peuvent créer des zones supplémentaires pour des besoins spécialisés, tels que la séparation des environnements de développement, des laboratoires de test ou des utilisateurs VPN distants, garantissant ainsi un contrôle précis de la communication entre les zones.

Considérations relatives au déploiement

Bien que ZBF simplifie la gestion du pare-feu, une planification minutieuse est essentielle pour éviter les conséquences imprévues. Les administrateurs doivent :

  • Comprendre le comportement des zones:Le déplacement des réseaux entre les zones ou le blocage du trafic vers la passerelle (essentiel pour des services tels que DHCP et DNS) peut perturber les opérations s'il n'est pas géré avec soin.
  • Auditer les flux de trafic:Avant d’implémenter ZBF, examinez les modèles de trafic actuels pour vous assurer que les chemins de communication essentiels sont préservés.
  • Règles de test:Les tests progressifs de nouvelles règles permettent d’éviter des perturbations généralisées, en particulier dans les environnements de grande envergure avec des niveaux de confiance mitigés.
  • Exploiter la journalisation:Utilisez les fonctionnalités de journalisation pour surveiller l’impact des modifications et identifier les domaines à améliorer.

ZBF Configuration Exemple

Le pare-feu par zone (ZBF) d'UniFi constitue une avancée significative dans la simplification et l'amélioration de la sécurité du réseau. Le passage des configurations traditionnelles par interface à une approche par zone permet aux administrateurs de se concentrer sur les résultats de sécurité intentionnels plutôt que de se débattre avec des configurations complexes. Sa conception intuitive et ses options de personnalisation robustes en font un outil idéal pour les déploiements à petite échelle et en entreprise.

Pour illustrer sa mise en œuvre pratique, voici un exemple de mise en place d'un nouveau Zone Invité/IoT en utilisant le ZBF d'UniFi dans la dernière mise à jour. L'objectif était d'isoler les appareils invités et IoT, en s'assurant qu'ils avaient un accès contrôlé aux ressources externes sans compromettre la sécurité interne.

Mise à jour de la version EA

Suivez les étapes ci-dessous pour mettre à jour vers EA Release Network 9.0.92.

    1. Cliquez sur Paramètres > Plan de contrôle > Mises à jour dans le contrôleur UniFi.
    2. Cliquer sur Rechercher des mises à jour ou mettre à jour et installez la dernière version d'EA.
    3. Activer Early Access dans le même menu si ce n'est pas déjà activé.


Ensuite, activez le pare-feu basé sur une zone (ZBF) en suivant les étapes ci-dessous.

  1. Cliquez sur Paramètres > Pare-feu et sécurité.
  2. Activer Pare-feu basé sur des zones.
  3. Configurez les zones et définissez les politiques de trafic à l'aide de l' Matrice de zones.

Exemple de configuration de zone

Commencez par créer une nouvelle zone. Tout d'abord, consultez les zones par défaut, puis cliquez sur le bouton Créer une zone option.

Cliquez sur Créer une zone pour accéder à l'écran de configuration permettant de configurer la nouvelle zone. Pour cet exemple, nous l'avons nommée Zone Invité/IoTIl est important de s'assurer qu'un VLAN est créé ou pré-existant avant de l'associer à cette nouvelle zone. Dans notre exemple, nous avons utilisé VLAN 30. Toutes les règles préexistantes liées à ce VLAN ou à ce réseau peuvent être suspendues ou supprimées lors de la création de la nouvelle zone.

Après avoir configuré la zone, revenez à la page principale en cliquant sur le bouton Retour dans le coin supérieur gauche. Vous aurez besoin de trois règles de pare-feu pour créer un réseau invité/IoT isolé qui autorise uniquement l'accès à Internet tout en bloquant la communication des appareils locaux.

Tout d'abord, cliquez sur Gérer. Vous pouvez également filtrer la ligne Zone invité/IoT et sélectionner la première option dans la colonne Interne. Cela affichera également toutes les règles associées à cette zone sur l'interface.

Règle 1: Empêcher l'accès de l'IoT/des invités à la zone interne.

Règle 2: Autoriser l'IoT/les invités à accéder à Internet via la zone externe :

Rule3:Autoriser IoT/Guest à communiquer avec la passerelle pour DHCP et DNS via la zone Gateway.

Règles de test

Une fois les règles créées, nous pouvons procéder aux tests. Pour ce test, nous utiliserons une machine virtuelle Ubuntu Server 24.04.1 connectée à un réseau VNET étiqueté VLAN 30. La machine virtuelle récupérera le DHCP de l'UDM-SE pour confirmer que la configuration réseau et les règles de zone fonctionnent comme prévu.

En commençant par la commande, ip a montre que la machine virtuelle Ubuntu a récupéré avec succès un bail DHCP de (10.30.50.113) à partir du réseau (10.30.0.0/18) sur le VLAN 30. Le premier test vérifie la communication avec la passerelle et nous envoyons avec succès un ping à la passerelle UDM principale (192.168.1.1).

Ensuite, nous nous assurons que nous ne pouvons pas atteindre les appareils du réseau interne. La tentative de ping d'un contrôleur de domaine à (192.168.1.32) échoue, et il en va de même lorsque nous essayons de pinger un commutateur géré à (192.168.1.202). Nous avons tenté une connexion SSH au commutateur géré, qui a également échoué, à titre de test supplémentaire. Cela confirme que la règle d'isolation fonctionne comme prévu pour la zone Invité/IoT.

Enfin, testez si la VM est accessible en externe en envoyant un ping à Google, en vérifiant que le réseau invité/IoT peut accéder à Internet tout en restant isolé du réseau interne.

Test Nmap

Dans ce prochain test, nous avons installé Nmap en utilisant sudo apt installer nmap suivi de la commande sudo nmap -sP 192.168.1.0/24 pour analyser la plage réseau par défaut. Nmap est un outil d'analyse réseau qui vous permet de découvrir les périphériques sur un réseau et de déterminer les ports ouverts sur ceux-ci. Ce test vérifie que le réseau invité/IoT est correctement isolé du réseau interne en confirmant qu'aucun périphérique de la plage 192.168.1.0/24 n'est accessible depuis le réseau isolé.
Il ne voit que notre passerelle (192.168.1.1) et Honey Pot (192.168.1.2) sans aucune visibilité sur les 28 autres appareils présents dans le réseau par défaut.

Pour aller plus loin

Le nouveau pare-feu basé sur les zones d'UniFi offre une approche intuitive et efficace de la sécurité et de la segmentation du réseau. Il s'agit d'un atout précieux pour les réseaux de toutes tailles, y compris les laboratoires comme StorageReview, où les professionnels peuvent exploiter ses capacités. En simplifiant la création de zones isolées et en permettant un contrôle du trafic robuste et des politiques VPN sécurisées sans les complexités traditionnelles, cet outil permet aux administrateurs de concevoir des environnements évolutifs et sécurisés qui prennent en charge les tests avancés, le développement et les opérations quotidiennes.

Ubiquiti (lien affilié)

S'engager avec StorageReview

Newsletter |  YouTube | Podcast iTunes/Spotify | Instagram | Twitter | TikTok | Flux RSS

Dylan Dougherty

Administrateur réseau le jour, passionné de réseau la nuit.

Derniers Articles

Test du Dell Pro Rugged 14

Nous avons été très impressionnés par le Dell Pro Rugged 14. Le système est exceptionnellement bien construit et durable, bien au-dessus…

il y a 2 semaines

Test de l'EcoFlow DELTA 3 Plus

L'EcoFlow DELTA 3 Plus offre une solution robuste et efficace pour divers besoins énergétiques, des aventures hors réseau aux urgences…

il y a 2 semaines

Test du Lenovo Think System SR630 V4

Le Lenovo ThinkSystem SR630 V4 est un serveur rack 2U à 1 sockets flexible et puissant, conçu pour les applications informatiques grand public. (suite…)

il y a 3 semaines

Mise à l'échelle des points de contrôle de l'IA : l'impact des disques SSD haute capacité sur la formation des modèles

Le point de contrôle est essentiel à la formation du modèle d'IA, garantissant la résilience, l'efficacité et la capacité de reprendre ou d'affiner la formation à partir des éléments enregistrés.

il y a 4 semaines

Ubiquiti UX Express Gateway : le routeur de voyage ultime ?

La passerelle Ubiquiti UX Express offre une connectivité Wi-Fi 6 flexible et compatible VPN partout, reliant sans effort les réseaux domestiques et professionnels. (suite…)

Il y a 1 mois

Point d'accès extérieur 655 GHz EnGenius EOC5 : connexion sans fil fiable partout

Le point d'accès double radio extérieur 655 GHz EnGenius EOC5 offre une connexion sans fil rapide et fiable, étendant la couverture dans des conditions difficiles. (suite…)

Il y a 1 mois