Casa Impresa UniFi Network 9.0.92 Accesso anticipato: Firewall basato su zone in azione
ImpresaNetworking

UniFi Network 9.0.92 Accesso anticipato: Firewall basato su zone in azione

by Il dottor Dylan Dougherty
scritto da Il dottor Dylan Dougherty

Ubiquiti ha rilasciato l'aggiornamento Early Access per UniFi Network 9.0.92, che include Firewall a zona (ZBF), semplificando la gestione della sicurezza della rete da parte dell'amministratore.

Ubiquiti ha lanciato il suo aggiornamento UniFi Network 9.0.92 Early Access, introducendo il Firewall basato su zone (ZBF). Questo importante aggiornamento fornisce agli amministratori un set di strumenti semplificato ma potente per la gestione della sicurezza di rete. Questo aggiornamento riguarda gateway e gateway cloud, che abbiamo distribuito su Cloud Gateway Ultra tramite Dream Machine ProMax.

Questa innovazione si concentra sul raggruppamento delle interfacce, come VLAN, WAN e VPN, in zone logiche, consentendo una creazione di policy più intuitiva, una migliore segmentazione e una maggiore sicurezza.

Principali caratteristiche e vantaggi

Gestione semplificata delle policy

Sono finiti i giorni delle configurazioni per interfaccia che potevano diventare poco maneggevoli in reti complesse. Il nuovo Matrice di zona offre una chiara rappresentazione visiva del flusso di traffico tra le zone, consentendo agli amministratori di valutare e modificare rapidamente le policy di sicurezza. Questo approccio intuitivo rende la gestione delle policy più accessibile, anche per gli amministratori di rete meno esperti.

Segmentazione di rete migliorata

ZBF di UniFi introduce zone predefinite, tra cui Internal, External, DMZ, VPN e Hotspot, ciascuna su misura per esigenze di sicurezza comuni. Queste zone assicurano un controllo granulare sui flussi di traffico, consentendo agli amministratori di applicare regole specifiche a diversi elementi di rete. Questa progettazione aiuta a isolare i dispositivi IoT, proteggere i server di dati sensibili o gestire il traffico degli ospiti senza mettere a rischio la rete interna.

Politiche personalizzate per la flessibilità

Mentre le regole predefinite semplificano la configurazione, la funzionalità di policy personalizzata consente agli amministratori di adattare le impostazioni di sicurezza ai requisiti organizzativi unici. Che si tratti di bloccare un protocollo specifico, creare eccezioni per dispositivi attendibili o dare priorità ai tipi di traffico, la flessibilità delle policy personalizzate garantisce che ZBF possa adattarsi anche agli ambienti di rete più complessi.

Visibilità e controllo

ZBF include regole integrate per salvaguardare il flusso critico, come il traffico DHCP e DNS verso il gateway, assicurando che i servizi essenziali non vengano accidentalmente interrotti. Le funzionalità di registrazione avanzate tramite syslog forniscono informazioni dettagliate sui modelli di traffico e sulle potenziali minacce. Inoltre, gli amministratori possono facilmente riordinare le regole per riflettere priorità o requisiti mutevoli, migliorando la supervisione e l'adattabilità.

Applicazioni pratiche di (ZBF)

Il framework ZBF è progettato per ridurre la complessità rafforzando al contempo la sicurezza, il che lo rende un'aggiunta preziosa per le organizzazioni di tutte le dimensioni.

Protezione delle reti IoT

I dispositivi IoT hanno spesso una sicurezza integrata limitata, che li rende vulnerabili agli attacchi. Con ZBF, gli amministratori possono posizionare tutti i dispositivi IoT in una zona dedicata e creare policy che:

  • Impedisci ai dispositivi IoT di accedere alle reti interne sensibili.
  • Consentire ai dispositivi IoT di comunicare solo con specifici servizi o risorse esterne.

Isolamento del traffico degli ospiti

Gli utenti ospiti possono essere limitati a una zona dedicata che consente solo l'accesso a Internet, impedendo loro di interagire con dispositivi interni o dati sensibili.

Bilanciamento del traffico interno ed esterno

Le policy predefinite "dall'interno all'esterno" offrono un approccio equilibrato, garantendo un accesso sicuro a Internet agli utenti interni, mantenendo al contempo solide misure di sicurezza contro potenziali minacce.

Personalizzazioni avanzate

Le organizzazioni possono creare zone aggiuntive per esigenze specifiche, come la separazione degli ambienti di sviluppo, dei laboratori di prova o degli utenti VPN remoti, garantendo un controllo dettagliato sulla comunicazione tra zone.

Considerazioni per la distribuzione

Sebbene ZBF semplifichi la gestione del firewall, è essenziale un'attenta pianificazione per evitare conseguenze indesiderate. Gli amministratori dovrebbero:

  • Comprendere il comportamento della zona: Lo spostamento delle reti tra zone o il blocco del traffico verso il gateway (fondamentale per servizi come DHCP e DNS) può compromettere le operazioni se non gestito con attenzione.
  • Controllare i flussi di traffico: Prima di implementare ZBF, rivedere gli attuali modelli di traffico per garantire che vengano preservati i percorsi di comunicazione essenziali.
  • Regole di prova: La sperimentazione graduale delle nuove regole aiuta a prevenire interruzioni diffuse, soprattutto in ambienti più grandi con livelli di fiducia misti.
  • Registrazione della leva: Utilizzare le funzionalità di registrazione per monitorare l'impatto delle modifiche e identificare le aree da perfezionare.

ZBF Configurazione Esempio

Il firewall basato su zone (ZBF) di UniFi è un passo significativo nella semplificazione e nel miglioramento della sicurezza di rete. Passare dalle tradizionali configurazioni per interfaccia a un approccio basato su zone consente agli amministratori di concentrarsi sui risultati di sicurezza intenzionali anziché lottare con configurazioni complesse. Il suo design intuitivo e le solide opzioni di personalizzazione lo rendono ideale per distribuzioni su piccola scala e aziendali.

Per illustrarne l'implementazione pratica, ecco un esempio di come impostare un nuovo Zona ospiti/IoT utilizzando ZBF di UniFi nell'ultimo aggiornamento. L'obiettivo era isolare i dispositivi guest e IoT, assicurando che avessero accesso controllato alle risorse esterne senza compromettere la sicurezza interna.

Aggiornamento alla versione EA

Per aggiornare EA Release Network alla versione 9.0.92, segui i passaggi indicati di seguito.

    1. Vai su Impostazioni > Piano di controllo > Aggiornamenti nel controller UniFi.
    2. Clicchi Controlla aggiornamenti o Aggiorna e installare l'ultima versione di EA.
    3. Consentire a tutti Early Access nello stesso menu se non è già abilitato.


Successivamente, abilitare Zone-Based Firewall (ZBF) seguendo i passaggi indicati di seguito.

  1. Vai su Impostazioni > Firewall e sicurezza.
  2. Consentire a tutti Firewall basato su zona.
  3. Configurare le zone e impostare le policy del traffico utilizzando Matrice di zona.

Esempio di configurazione della zona

Inizia creando una nuova zona. Per prima cosa, visualizza le zone predefinite, quindi fai clic su Crea zona opzione.

Cliccando su Create Zone verrai indirizzato alla schermata di configurazione per impostare la nuova zona. Per questo esempio, l'abbiamo chiamata Zona ospiti/IoT. È importante assicurarsi che una VLAN sia stata creata o sia preesistente prima di associarla a questa nuova zona. Nel nostro esempio, abbiamo utilizzato VLAN 30Eventuali regole preesistenti collegate a questa VLAN o rete potrebbero essere sospese o rimosse durante la creazione della nuova zona.

Dopo aver impostato la zona, torna alla pagina principale cliccando sul pulsante Indietro nell'angolo in alto a sinistra. Avrai bisogno di tre regole firewall per creare una rete Guest/IoT isolata che consenta solo l'accesso a Internet bloccando la comunicazione con i dispositivi locali.

Per prima cosa, fai clic su Gestisci. In alternativa, puoi filtrare la riga Zona Ospite/IoT e selezionare la prima opzione nella colonna Interna. Ciò visualizzerà anche tutte le regole correlate associate a questa zona sull'interfaccia.

Regola 1: Impedisce a IoT/ospiti di accedere alla zona interna.

Regola 2: Consenti a IoT/ospiti di accedere a Internet tramite la zona esterna:

Rule3: consente a IoT/Guest di comunicare con il gateway per DHCP e DNS tramite la zona Gateway.

Regole di test

Una volta create le regole, possiamo procedere con i test. Per questo test, utilizzeremo una VM Ubuntu server 24.04.1 connessa a una rete VNET contrassegnata con VLAN 30. La VM rileverà DHCP dall'UDM-SE per confermare che la configurazione di rete e le regole di zona funzionino come previsto.

Iniziando con il comando, ip a mostra che la VM Ubuntu ha acquisito correttamente un lease DHCP di (10.30.50.113) dalla rete (10.30.0.0/18) sulla VLAN 30. Il primo test verifica la comunicazione con il gateway e noi eseguiamo correttamente il ping sul gateway UDM principale (192.168.1.1).

Successivamente, ci assicuriamo di essere bloccati dal raggiungere qualsiasi dispositivo sulla rete interna. Il tentativo di effettuare il ping di un domain controller su (192.168.1.32) fallisce e lo stesso vale quando proviamo a effettuare il ping di uno switch gestito su (192.168.1.202). Abbiamo tentato una connessione SSH allo switch gestito, che è fallita anch'essa, come ulteriore test. Ciò conferma che la regola di isolamento funziona come previsto per la zona Guest/IoT.

Infine, verifica se la VM ha una raggiungibilità esterna effettuando il ping a Google, verificando che la rete Guest/IoT possa accedere a Internet rimanendo isolata dalla rete interna.

Prova Nmap

Nel prossimo test, abbiamo installato Nmap utilizzando sudo apt installa nmap seguito dal comando sudo nmap -sP 192.168.1.0/24 per scansionare l'intervallo di rete predefinito. Nmap è uno strumento di scansione di rete che consente di scoprire i dispositivi su una rete e determinare quali porte sono aperte su di essi. Questo test verifica che la rete Guest/IoT sia correttamente isolata dalla rete interna confermando che nessun dispositivo nell'intervallo 192.168.1.0/24 sia accessibile dalla rete isolata.
Vede solo il nostro gateway (192.168.1.1) e Honey Pot (192.168.1.2) senza visibilità sugli altri 28 dispositivi presenti nella rete predefinita.

Conclusione

Il nuovo Zone-Based Firewall di UniFi offre un approccio intuitivo ed efficiente alla sicurezza e alla segmentazione della rete. È una risorsa preziosa per reti di tutte le dimensioni, inclusi laboratori come StorageReview, dove i professionisti possono sfruttare le sue capacità. Semplificando la creazione di zone isolate e abilitando un controllo del traffico robusto e policy VPN sicure senza le complessità tradizionali, questo strumento consente agli amministratori di progettare ambienti scalabili e sicuri che supportano test avanzati, sviluppo e operazioni quotidiane.

Ubiquiti (link di affiliazione)

Interagisci con StorageReview

Newsletter | YouTube | Podcast iTunes/Spotify | Instagram | Twitter | TikTok | RSS feed

Amministratore di rete K-12 con esperienza in reti Cisco, sicurezza IP e soluzioni NAC. Appassionato di UniFi e home labber, collaudo e revisione di prodotti di rete e sicurezza.

Copyright © 1998-2024 Flying Pig Ventures, LLC Cincinnati, Ohio. Tutti i diritti riservati.