A Ubiquiti lançou a atualização Early Access para UniFi Network 9.0.92, apresentando o Firewall baseado em zona (ZBF), simplificando o gerenciamento de segurança da rede do administrador.
A Ubiquiti lançou sua atualização de acesso antecipado UniFi Network 9.0.92, apresentando o Firewall baseado em zona (ZBF). Esta atualização significativa capacita os administradores com um conjunto de ferramentas simplificado, mas poderoso, para gerenciar a segurança da rede. Esta atualização diz respeito a gateways e gateways de nuvem, que implantamos no Cloud Gateway Ultra por meio do Máquina dos Sonhos Pro Max.
Essa inovação se concentra no agrupamento de interfaces, como VLANs, WANs e VPNs, em zonas lógicas, permitindo uma criação de políticas mais intuitiva, melhor segmentação e maior segurança.
Principais Características e Benefícios
Gestão de Políticas Simplificada
Já se foram os dias de configurações por interface que poderiam se tornar difíceis de manejar em redes complexas. O novo Matriz de Zona oferece uma representação visual clara do fluxo de tráfego entre zonas, permitindo que os administradores avaliem e modifiquem as políticas de segurança rapidamente. Essa abordagem intuitiva torna o gerenciamento de políticas mais acessível, mesmo para administradores de rede menos experientes.
Segmentação de rede aprimorada
O ZBF da UniFi introduz zonas predefinidas, incluindo Interna, Externa, DMZ, VPN e Hotspot, cada uma adaptada às necessidades comuns de segurança. Essas zonas garantem controle granular sobre os fluxos de tráfego, permitindo que os administradores apliquem regras específicas a diferentes elementos de rede. Esse design ajuda a isolar dispositivos de IoT, proteger servidores de dados confidenciais ou gerenciar o tráfego de convidados sem arriscar a rede interna.
Políticas personalizadas para flexibilidade
Enquanto regras predefinidas simplificam a configuração, o recurso de política personalizada permite que os administradores adaptem as configurações de segurança a requisitos organizacionais exclusivos. Seja bloqueando um protocolo específico, criando exceções para dispositivos confiáveis ou priorizando tipos de tráfego, a flexibilidade das políticas personalizadas garante que o ZBF possa se adaptar até mesmo aos ambientes de rede mais complexos.
Visibilidade e controle
O ZBF inclui regras integradas para proteger o fluxo crítico, como tráfego DHCP e DNS para o gateway, garantindo que serviços essenciais não sejam interrompidos acidentalmente. Recursos de registro aprimorados por meio do syslog fornecem insights detalhados sobre padrões de tráfego e ameaças potenciais. Além disso, os administradores podem facilmente reordenar regras para refletir prioridades ou requisitos em mudança, melhorando a supervisão e a adaptabilidade.
Aplicações práticas de (ZBF)
A estrutura ZBF foi projetada para reduzir a complexidade e, ao mesmo tempo, fortalecer a segurança, o que a torna uma adição valiosa para organizações de todos os tamanhos.
Protegendo redes IoT
Dispositivos de IoT geralmente têm segurança interna limitada, o que os torna vulneráveis a ataques. Com o ZBF, os administradores podem colocar todos os dispositivos de IoT em uma zona dedicada e criar políticas que:
- Bloqueie o acesso de dispositivos IoT a redes internas sensíveis.
- Permitir que dispositivos IoT se comuniquem apenas com serviços ou recursos externos específicos.
Isolando o tráfego de convidados
Usuários convidados podem ser restritos a uma zona dedicada que permite somente acesso à internet, impedindo que eles interajam com dispositivos internos ou dados confidenciais.
Balanceamento de tráfego interno e externo
Políticas predefinidas de “Interno para Externo” oferecem uma abordagem equilibrada, garantindo acesso seguro à Internet para usuários internos, ao mesmo tempo em que mantêm proteções robustas contra ameaças potenciais.
Personalizações avançadas
As organizações podem criar zonas adicionais para necessidades especializadas, como segregar ambientes de desenvolvedores, laboratórios de testes ou usuários remotos de VPN, garantindo controle preciso sobre a comunicação entre zonas.
Considerações para implantação
Embora o ZBF simplifique o gerenciamento de firewall, um planejamento cuidadoso é essencial para evitar consequências não intencionais. Os administradores devem:
- Entenda o comportamento da zona: Mover redes entre zonas ou bloquear tráfego para o gateway (crítico para serviços como DHCP e DNS) pode interromper as operações se não for gerenciado com cuidado.
- Auditoria de fluxos de tráfego: Antes de implementar o ZBF, revise os padrões de tráfego atuais para garantir que os caminhos de comunicação essenciais sejam preservados.
- Regras de teste: O teste gradual de novas regras ajuda a evitar interrupções generalizadas, especialmente em ambientes maiores com níveis de confiança mistos.
- Alavancar o registro: Use recursos de registro para monitorar o impacto das alterações e identificar áreas para refinamento.
ZBF Configuração Exemplo
O Zone-Based Firewall (ZBF) da UniFi é um passo significativo na simplificação e aprimoramento da segurança de rede. Mudar de configurações tradicionais por interface para uma abordagem baseada em zona permite que os administradores se concentrem em resultados de segurança intencionais em vez de lutar com configurações complexas. Seu design intuitivo e opções de personalização robustas o tornam ideal para implantações de pequena escala e corporativas.
Para ilustrar sua implementação prática, segue um exemplo de como configurar um novo Zona de Convidados/IoT usando o ZBF da UniFi na atualização mais recente. O objetivo era isolar dispositivos convidados e IoT, garantindo que eles tivessem acesso controlado a recursos externos sem comprometer a segurança interna.
Atualização do lançamento do EA
Siga os passos abaixo para atualizar para o EA Release Network 9.0.92.
-
- Acesse Configurações > Plano de controle > Atualizações no Controlador UniFi.
- Clique Verificar atualizações ou atualizar e instale a versão mais recente do EA.
- permitir Early Access no mesmo menu, se ainda não estiver habilitado.
Em seguida, habilite o Firewall Baseado em Zona (ZBF) seguindo as etapas abaixo.
- Acesse Configurações > Firewall e Segurança.
- permitir Firewall baseado em zona.
- Configure zonas e defina políticas de tráfego usando o Matriz de Zona.
Exemplo de configuração de zona
Comece criando uma nova zona. Primeiro, visualize as zonas padrão e clique em Criar zona opção.
Clicar em Criar Zona levará você à tela de configuração para configurar a nova zona. Para este exemplo, nós a nomeamos Zona de Convidados/IoT. É importante garantir que uma VLAN seja criada ou já exista antes de associá-la a esta nova zona. Em nosso exemplo, usamos VLAN 30. Quaisquer regras preexistentes vinculadas a esta VLAN ou rede podem ser pausadas ou removidas ao criar a nova zona.
Após configurar a zona, retorne à página principal clicando no botão Voltar no canto superior esquerdo. Você precisará de três regras de firewall para criar uma rede Guest/IoT isolada que permita apenas acesso à internet enquanto bloqueia a comunicação do dispositivo local.
Primeiro, clique em Gerenciar. Como alternativa, você pode filtrar para a linha Guest/IoT Zone e selecionar a primeira opção na coluna Internal. Isso também exibirá quaisquer regras relacionadas associadas a essa zona na interface.
Regra 1: Bloqueie o acesso de IoT/Convidados à zona interna.
Regra 2: Permitir que IoT/Convidados acessem a Internet por meio da zona externa:
Rule3: Permitir que o IoT/Convidado se comunique com o gateway para DHCP e DNS por meio da zona do Gateway.
Regras de teste
Depois que as regras forem criadas, podemos prosseguir com os testes. Para este teste, usaremos uma VM do servidor Ubuntu 24.04.1 conectada a uma rede VNET marcada com VLAN 30. A VM pegará o DHCP do UDM-SE para confirmar que a configuração de rede e as regras de zona estão funcionando conforme o esperado.
Começando com o comando, ip a mostra que a VM do Ubuntu obteve com sucesso um lease de DHCP de (10.30.50.113) da rede (10.30.0.0/18) na VLAN 30. O primeiro teste verifica a comunicação com o gateway, e efetuamos ping com sucesso no gateway UDM principal (192.168.1.1).
Em seguida, garantimos que estamos bloqueados de alcançar quaisquer dispositivos na rede interna. A tentativa de fazer ping em um controlador de domínio em (192.168.1.32) falha, e o mesmo vale quando tentamos fazer ping em um switch gerenciado em (192.168.1.202). Tentamos uma conexão SSH com o switch gerenciado, que também falhou, como um teste adicional. Isso confirma que a regra de isolamento funciona conforme o esperado para a zona Guest/IoT.
Por fim, teste se a VM tem acessibilidade externa executando ping no Google, verificando se a rede Guest/IoT consegue acessar a internet enquanto permanece isolada da rede interna.
Teste Nmap
Neste próximo teste, instalamos o Nmap usando sudo apt instalar nmap seguido pelo comando sudo nmap -sP 192.168.1.0/24 para escanear o intervalo de rede padrão. O Nmap é uma ferramenta de escaneamento de rede que permite que você descubra dispositivos em uma rede e determine quais portas estão abertas neles. Este teste verifica se a rede Guest/IoT está adequadamente isolada da rede interna, confirmando que nenhum dispositivo no intervalo 192.168.1.0/24 está acessível a partir da rede isolada.
Ele só vê nosso gateway (192.168.1.1) e Honey Pot (192.168.1.2), sem visibilidade dos outros 28 dispositivos presentes na rede padrão.
Conclusão
O novo Zone-Based Firewall da UniFi oferece uma abordagem intuitiva e eficiente para a segurança e segmentação de rede. É um recurso valioso para redes de todos os tamanhos, incluindo laboratórios como o StorageReview, onde os profissionais podem aproveitar seus recursos. Ao simplificar a criação de zonas isoladas e permitir um controle de tráfego robusto e políticas de VPN seguras sem as complexidades tradicionais, esta ferramenta capacita os administradores a projetar ambientes escaláveis e seguros que suportam testes avançados, desenvolvimento e operações diárias.
Ubiquiti (link de afiliado)
Envolva-se com a StorageReview
Newsletter | YouTube | Podcast iTunes/Spotify | Instagram: | Twitter | TikTok | RSS feed
