Home Enterprise UniFi Network 9.0.92 Early Access: Zone-Based Firewall in actie
EnterpriseNetwerken

UniFi Network 9.0.92 Early Access: Zone-Based Firewall in actie

by Dylan Dougherty
geschreven door Dylan Dougherty

Ubiquiti heeft de Early Access-update voor UniFi Network 9.0.92 uitgebracht, met de volgende kenmerken: Zonegebaseerde firewall (ZBF), waardoor het beheer van de netwerkbeveiliging voor beheerders wordt vereenvoudigd.

Ubiquiti heeft hun UniFi Network 9.0.92 Early Access-update gelanceerd, waarmee de Zonegebaseerde firewall (ZBF). Deze belangrijke upgrade geeft beheerders een vereenvoudigde maar krachtige toolset voor het beheren van netwerkbeveiliging. Deze update betreft gateways en cloudgateways, die we hebben geïmplementeerd op de Cloud Gateway Ultra via de Droommachine Pro Max.

Deze innovatie richt zich op het groeperen van interfaces, zoals VLAN's, WAN's en VPN's, in logische zones. Hierdoor is een intuïtievere beleidsvorming, betere segmentatie en verhoogde beveiliging mogelijk.

Belangrijkste kenmerken en voordelen

Vereenvoudigd beleidsbeheer

De dagen van configuraties per interface, die onhandelbaar konden worden in complexe netwerken, zijn voorbij. De nieuwe Zonematrix biedt een duidelijke visuele weergave van de verkeersstroom tussen zones, waardoor beheerders snel beveiligingsbeleid kunnen beoordelen en wijzigen. Deze intuïtieve aanpak maakt beleidsbeheer toegankelijker, zelfs voor minder ervaren netwerkbeheerders.

Verbeterde netwerksegmentatie

UniFi's ZBF introduceert vooraf gedefinieerde zones, waaronder Intern, Extern, DMZ, VPN en Hotspot, elk afgestemd op algemene beveiligingsbehoeften. Deze zones zorgen voor gedetailleerde controle over verkeersstromen, waardoor beheerders specifieke regels kunnen toepassen op verschillende netwerkelementen. Dit ontwerp helpt IoT-apparaten te isoleren, gevoelige dataservers te beveiligen of gastverkeer te beheren zonder het interne netwerk in gevaar te brengen.

Aangepaste beleidsregels voor flexibiliteit

Terwijl vooraf gedefinieerde regels de installatie stroomlijnen, stelt de aangepaste beleidsfunctie beheerders in staat om beveiligingsinstellingen aan te passen aan unieke organisatorische vereisten. Of u nu een specifiek protocol blokkeert, uitzonderingen maakt voor vertrouwde apparaten of verkeerstypen prioriteert, de flexibiliteit van aangepaste beleidsregels zorgt ervoor dat de ZBF zich kan aanpassen aan zelfs de meest complexe netwerkomgevingen.

Zichtbaarheid en controle

De ZBF bevat ingebouwde regels om kritieke stromen te beschermen, zoals DHCP- en DNS-verkeer naar de gateway, zodat essentiële services niet per ongeluk worden verstoord. Verbeterde loggingmogelijkheden via syslog bieden gedetailleerde inzichten in verkeerspatronen en potentiële bedreigingen. Bovendien kunnen beheerders eenvoudig regels opnieuw ordenen om veranderende prioriteiten of vereisten te weerspiegelen, waardoor het toezicht en de aanpasbaarheid worden verbeterd.

Praktische toepassingen van (ZBF)

Het ZBF-framework is ontworpen om de complexiteit te verminderen en tegelijkertijd de beveiliging te verbeteren. Hierdoor is het een waardevolle aanvulling voor organisaties van elke omvang.

Beveiliging van IoT-netwerken

IoT-apparaten hebben vaak beperkte ingebouwde beveiliging, waardoor ze kwetsbaar zijn voor aanvallen. Met ZBF kunnen beheerders alle IoT-apparaten in een speciale zone plaatsen en beleidsregels maken die:

  • Blokkeer de toegang van IoT-apparaten tot gevoelige interne netwerken.
  • Zorg ervoor dat IoT-apparaten alleen met specifieke externe services of bronnen kunnen communiceren.

Gastverkeer isoleren

Gastgebruikers kunnen worden beperkt tot een speciale zone die alleen internettoegang toestaat, zodat ze geen toegang hebben tot interne apparaten of gevoelige gegevens.

Balanceren van intern en extern verkeer

Vooraf gedefinieerde beleidsregels van ‘intern naar extern’ bieden een evenwichtige aanpak, waarbij veilige internettoegang wordt verleend aan interne gebruikers en tegelijkertijd robuuste bescherming tegen potentiële bedreigingen wordt gehandhaafd.

Geavanceerde aanpassingen

Organisaties kunnen extra zones creëren voor specifieke behoeften, zoals het scheiden van ontwikkelomgevingen, testlabs of externe VPN-gebruikers. Zo is er nauwkeurige controle over de communicatie tussen zones.

Overwegingen voor implementatie

Hoewel ZBF firewallbeheer vereenvoudigt, is zorgvuldige planning essentieel om onbedoelde gevolgen te voorkomen. Beheerders moeten:

  • Begrijp zonegedrag:Het verplaatsen van netwerken tussen zones of het blokkeren van verkeer naar de gateway (cruciaal voor services zoals DHCP en DNS) kan de bedrijfsvoering verstoren als dit niet zorgvuldig wordt beheerd.
  • Verkeersstromen controleren: Voordat u ZBF implementeert, moet u de huidige verkeerspatronen beoordelen om er zeker van te zijn dat essentiële communicatiepaden behouden blijven.
  • Testregels:Door nieuwe regels geleidelijk te testen, kunnen wijdverbreide verstoringen worden voorkomen, vooral in grotere omgevingen met wisselende vertrouwensniveaus.
  • Maak gebruik van logging: Gebruik loggingfuncties om de impact van wijzigingen te bewaken en gebieden te identificeren die verfijning behoeven.

ZBF Configuratie Voorbeeld

De Zone-Based Firewall (ZBF) van UniFi is een belangrijke stap in het vereenvoudigen en verbeteren van netwerkbeveiliging. Door over te stappen van traditionele configuraties per interface naar een zonegebaseerde aanpak kunnen beheerders zich richten op opzettelijke beveiligingsresultaten in plaats van te worstelen met complexe opstellingen. Het intuïtieve ontwerp en de robuuste aanpassingsopties maken het ideaal voor kleinschalige en zakelijke implementaties.

Om de praktische implementatie ervan te illustreren, volgt hier een voorbeeld van hoe u een nieuwe Gast-/IoT-zone met behulp van UniFi's ZBF in de laatste update. Het doel was om gast- en IoT-apparaten te isoleren, zodat ze gecontroleerde toegang hadden tot externe bronnen zonder de interne beveiliging in gevaar te brengen.

Update naar de EA-release

Volg de onderstaande stappen om bij te werken naar EA Release Network 9.0.92.

    1. Ga naar Instellingen > Bedieningspaneel > Updates in UniFi-controller.
    2. Klik Controleren op updates of bijwerken en installeer de nieuwste versie van EA.
    3. Enable Vroege toegang in hetzelfde menu, indien nog niet ingeschakeld.


Schakel vervolgens Zone-Based Firewall (ZBF) in door de onderstaande stappen te volgen.

  1. Ga naar Instellingen > Firewall en beveiliging.
  2. Enable Zone-gebaseerde firewall.
  3. Configureer zones en stel verkeersbeleid in met behulp van de Zonematrix.

Zoneconfiguratie voorbeeld

Begin met het maken van een nieuwe zone. Bekijk eerst de standaardzones en klik vervolgens op Zone creëren optie.

Als u op Create Zone klikt, gaat u naar het configuratiescherm om de nieuwe zone in te stellen. Voor dit voorbeeld noemden we het Gast-/IoT-zone. Het is belangrijk om ervoor te zorgen dat er een VLAN is gemaakt of al bestaat voordat u het aan deze nieuwe zone koppelt. In ons voorbeeld gebruikten we VLAN 30Alle reeds bestaande regels die aan dit VLAN of netwerk zijn gekoppeld, kunnen worden gepauzeerd of verwijderd bij het maken van de nieuwe zone.

Nadat u de zone hebt ingesteld, keert u terug naar de hoofdpagina door op de knop Terug in de linkerbovenhoek te klikken. U hebt drie firewallregels nodig om een ​​geïsoleerd Guest/IoT-netwerk te maken dat alleen internettoegang toestaat en lokale apparaatcommunicatie blokkeert.

Klik eerst op Beheren. U kunt ook filteren op de rij Gast/IoT-zone en de eerste optie selecteren in de kolom Intern. Dit zal ook alle gerelateerde regels weergeven die aan deze zone zijn gekoppeld op de interface.

Regel 1: Blokkeer IoT/gasten de toegang tot de interne zone.

Regel 2: Geef IoT/gasten toegang tot internet via de externe zone:

Rule3: Laat IoT/Guest communiceren met de gateway voor DHCP en DNS via de Gateway-zone.

Testregels

Zodra de regels zijn gemaakt, kunnen we doorgaan met testen. Voor deze test gebruiken we een Ubuntu-server 24.04.1 VM die is verbonden met een VNET-netwerk met VLAN 30. De VM pikt DHCP op van de UDM-SE om te bevestigen dat de netwerkconfiguratie en zoneregels functioneren zoals verwacht.

Beginnend met het commando, ip a toont aan dat de Ubuntu VM met succes een DHCP-lease van (10.30.50.113) heeft opgepikt van het netwerk (10.30.0.0/18) op VLAN 30. De eerste test verifieert de communicatie met de gateway en we pingen met succes de belangrijkste UDM-gateway (192.168.1.1).

Vervolgens zorgen we ervoor dat we worden geblokkeerd om apparaten op het interne netwerk te bereiken. De poging om een ​​domeincontroller te pingen op (192.168.1.32) mislukt, en hetzelfde geldt wanneer we proberen een beheerde switch te pingen op (192.168.1.202). We hebben geprobeerd een SSH-verbinding te maken met de beheerde switch, wat ook mislukte, als verdere test. Dit bevestigt dat de isolatieregel werkt zoals verwacht voor de Guest/IoT-zone.

Test ten slotte of de virtuele machine extern bereikbaar is door een ping naar Google te sturen. Zo verifieert u of het gast-/IoT-netwerk toegang heeft tot internet en tegelijkertijd geïsoleerd blijft van het interne netwerk.

Nmap-test

In deze volgende test hebben we Nmap geïnstalleerd met behulp van sudo apt installeer nmap gevolgd door het commando sudo nmap -sP 192.168.1.0/24 om het standaardnetwerkbereik te scannen. Nmap is een netwerkscantool waarmee u apparaten op een netwerk kunt detecteren en kunt bepalen welke poorten erop open zijn. Deze test controleert of het Guest/IoT-netwerk goed is geïsoleerd van het interne netwerk door te bevestigen dat er geen apparaten in het bereik 192.168.1.0/24 toegankelijk zijn vanaf het geïsoleerde netwerk.
Het ziet alleen onze gateway (192.168.1.1) en Honey Pot (192.168.1.2) en heeft geen zicht op de andere 28 apparaten in het standaardnetwerk.

Conclusie

De nieuwe Zone-Based Firewall van UniFi biedt een intuïtieve en efficiënte benadering van netwerkbeveiliging en segmentatie. Het is een waardevolle aanwinst voor netwerken van alle groottes, inclusief labs zoals StorageReview, waar professionals de mogelijkheden ervan kunnen benutten. Door het vereenvoudigen van het maken van geïsoleerde zones en het mogelijk maken van robuuste verkeerscontrole en veilige VPN-beleidsregels zonder de traditionele complexiteit, stelt deze tool beheerders in staat om schaalbare, veilige omgevingen te ontwerpen die geavanceerde tests, ontwikkeling en dagelijkse activiteiten ondersteunen.

Ubiquiti (aangesloten link)

Neem contact op met StorageReview

Nieuwsbrief | YouTube | Podcast iTunes/Spotify | Instagram | Twitter | TikTok | RSS Feed

K-12 Network Administrator met expertise in Cisco-netwerken, IP-beveiliging en NAC-oplossingen. UniFi-enthousiasteling en thuislabber, test en beoordeelt netwerk- en beveiligingsproducten.

Copyright © 1998-2024 Flying Pig Ventures, LLC Cincinnati, Ohio. Alle rechten voorbehouden.