Políticas de tráfico en SD-WAN Versa

Es el sistema utilizado para identificar tráfico que luego tendrá una acción aplicada, el tipo de acción disponible depende de que proceso está utilizando el motor de políticas para identificar el tráfico. Hay dos conceptos clave que se necesita entender al procesar trafico en un dispositivo Versa:

  • Identificar el tráfico a ser reprocesado.
  • Aplicar una acción sobre el tráfico identificado.

Rol de las políticas

Las políticas definen las propiedades del tráfico que se desea identificar con el fin de aplicar una acción sobre el tráfico, hay muchas propiedades que se pueden utilizar cómo:

  • Direcciones de origen y destino.
  • Zonas de origen y destino.
  • Información de identificaciones de aplicaciones.
    • Tipo.
    • Categoría.
  • Información de URL.
    • Categoría.
    • Reputación.
  • Información de direcciones IP.
    • Nivel de confianza.
    • Región geográfica.
  • Propiedades SSL.

La información extra para aplicaciones, URL y direcciones IP es llamada metadata (información que describe algo).

Las políticas que son utilizadas para identificar tráfico contienen listas de reglas cada regla examina las propiedades de cada sesión de tráfico nueva para determinar si es necesario aplicar una acción sobre la sesión o flujo de tráfico.

El orden de las reglas es muy importante en una política ya que la sesión se evalúa hasta cuando hace coincidencia con una regla, una vez que la sesión coincide con una regla, se aplica la acción configurada obre la sesión y las reglas restantes no procesan esa sesión, a esto se le llama una acción de terminación que significa que el procesamiento de las reglas es finalizado una vez que haya una coincidencia y se aplique una acción.

El motor de políticas es la base del proceso de identificación de tráfico, pero la razón por la que el tráfico es analizado es para determinar si una acción debe ser aplicada, diferentes procesos en el Sistema Operativo Versa (VOS) usan el motor de políticas para identificar tráfico, aunque puede haber pequeñas variaciones en los criterios de coincidencia que estén disponibles para cada proceso, las reglas para cada proceso se deben definir en la configuración de cada proceso:

  • Seguridad: estos son utilizados para crear reglas de acceso para permitir o denegar sesiones(Stateful Firewall y NGFW).
  • Descifrado: usan reglas para determinar que tráfico debe ser enviado al motor de descifrado SSL.
  • Clase de servicio: usa reglas para determinar que tráfico debe ser asignado a un perfil de transmisión de tráfico, asignándolos a procesos de colas de prioridades y envío.
  • Política SD-WAN: usa reglas para determinar que tráfico debe ser asignado a rutas de tráfico específicas y tratamiento, o enlaces de salida preferidos en base a las propiedades de las sesiones.

Objetos de políticas

Las políticas de Versa utilizan objetos que son guardados en la base de datos local para definir propiedades del tráfico de red, hay cuatro grupos principales de tipos de objetos que se pueden utilizar para gestión de tráfico:

  • Objetos Dirección.
  • Objetos Aplicación.
  • Objetos URL.
  • Objetos IP.
Objetos Dirección

Basados en direcciones o segmentos IP, reglas de firewall (stateless y Stateful) permiten o deniegan sesiones basados solo en la dirección IP de un paquete y propiedades de capa 3 y capa 4. Con objetos dirección, la dirección IP puede ser asociada con un nombre o grupo de direcciones, cuando múltiples reglas hacen referencia a un objeto dirección, si el objeto dirección es modificado por el administrador todas las reglas que hacen uso del objeto heredan ese cambio.

Objetos Aplicación

Permiten definir aplicaciones y que sean asociadas con un propósito o reputación, una vez que el proceso identifica la aplicación de la sesión de datos, el nombre la aplicación puede ser comparado contra información adicional para determinar si la sesión debe ser permitida o denegada basándose no sólo en el nombre de la aplicación.

Objetos URL

Permiten asociar una URL con propiedades o información extra como reputación de URL o categoría, para que la decisión sea tomada en base al tipo o categoría y no sólo en la cadena (o nombre) de la URL.

Objetos IP

Permiten asociar una IP, grupo o segmento con otras propiedades cómo geolocalización y reputación.

Políticas de seguridad

Stateful Firewall

Las reglas de Stateful firewall o reglas de acceso dependen del motor de políticas para escanear sesiones de entrada para determinar si las sesiones se deben permitir o no, las políticas estándar de Stateful firewall permiten analizar sesiones de entrad en base a las propiedades de origen y destino de capa 3 y capa 4 del encabezado del paquete de datos.

Los campos de coincidencia de origen y destino incluyen: zonas y direcciones IP, si una sesión no hace coincidencia con los criterios de origen y destino, la coincidencia con la regla es falsa y ninguna acción ni más análisis es tomado, si hay múltiples reglas configuradas en la política la sesión se pasa a la siguiente regla para ser procesada.  

Si una sesión coincide con los criterios de origen y destino definidas, la sesión es procesada de acuerdo con criterios de coincidencia con propiedades de IP versión, IP flags, DSCP, Servicios (ssh, ftp), etc. Si la sesión cumple coincidencias con todos los parámetros establecidos la acción configurada será forzada a la sesión y ninguna otra regla será analizada.

La acción para forzar sobre la sesión puede ser: permitir, denegar, rechazar. También se pueden definir opciones de registro para cuándo acurra una coincidencia y se aplique una acción.

Next Generation Firewall

Políticas de acceso de firewall de nueva generación permiten considerar más información que las políticas estándar de Stateful Firewall, las reglas NGFW pueden analizar propiedades de las sesiones desde la capa 3 hasta la capa 7, que incluye el uso del motor de identificación de aplicaciones, análisis de cadenas URL e información de autorización de usuarios.

Los procesos a los que las reglas NGFW pueden enviar el tráfico son capaces de realizar inspección profunda de paquetes y el análisis de sesiones basados en metadata de URL, IP y aplicaciones.

Las propiedades de origen y destino disponibles para estas reglas son: zonas, direcciones IP y nombre de sitio, además de los criterios del encabezado del paquete: versión IP, IP flags, DSCP, Servicios (ssh, ftp), etc. Además, tiene como criterios de coincidencia: aplicaciones, categorías URL, usuarios y grupos de usuarios.

El criterio de coincidencia por aplicaciones aprovecha el motor de identificación de aplicaciones de sistema operativo, el criterio de coincidencia por categorías de URL aprovecha la capacidad del sistema de analizar cadenas URL y compararlo con la lista de categorías URL.

 

El criterio de coincidencia por usuarios y grupos aprovecha el uso portales cautivos o la integración con directorios activos para determinar si el usuario que esta iniciando la sesión pertenece a un grupo o es un usuario válido.

 La acción para forzar sobre la sesión puede ser: permitir, denegar, rechazar directamente. También permite pasar la sesión a otro proceso de captura de paquetes o procesos para mayor análisis de la sesión, estos otros procesos son llamados perfiles de seguridad.

El motor de políticas no ejecuta el procesamiento adicional como escanear de virus o análisis de metadata, el motor de políticas y las reglas de acceso se encargan de identificar que tráfico deber ser enviado a ls otros procesos, esto le da al administrador mucha flexibilidad para determinar que trafico requiere de un análisis ligero o un análisis mas profundo.

Políticas SD-WAN

Políticas SD-WAN se refiere a crear reglas para como el tráfico de transmite entre los enlaces SD-WAN o entre enlaces de sitio a sitio, en el caso donde múltiples redes de transporte están conectadas a un sitio y el sitio remoto puede ser alcanzado a través de múltiples redes, las políticas de SD-WAN brinda control sobre como los enlaces WAN son utilizados.

  • Es común reservar los enlaces más costos y estables para tráfico crítico o sensibles a latencias, y enviar el tráfico menos sensitivo sobre los enlaces más económicos.
  • El tráfico puede estar destinado al mismo sitio destino, pero el camino tomado depende de las reglas definidas por el administrador en base a parámetros como tipo de aplicación, usuario, etc.
  • Balanceo de tráfico también puede ser implementado donde para cierto tipo de tráfico múltiples redes de transporte SD-WAN son igualados desde la perspectiva del administrador y sin importar del tipo de tráfico pueden ser tratados por igual.
  • Es posible también crear una política que prefiera un enlace mientras su desempeño cumpla con un grupo definido de parámetros u que cambie las prioridades si el desempeño del enlace cambia.

Las políticas SD-WAN NO procesa ni elige como tratar el tráfico, los perfiles de transmisión SD-WAN (SD-WAN Forwarding profile) son utilizados para definir cómo el tráfico debe ser tratado, las políticas SD-WAN identifican el tráfico basadas en las características y parámetros de las sesiones y envían las sesiones que coinciden a un perfil de transmisión.

Los perfiles de transmisión SD-WAN permiten definir la prioridad de los enlaces, conexiones que evitar, configuración de replicación, configuración de siguiente salto, perfiles de latencia y otros.

Las políticas SD-WAN usa el motor de políticas para analizar sesiones de entrada y encontrar coincidencias en base a un grupo de propiedades, la información de las sesiones que la reglas usan para las coincidencias incluye, propiedades de origen y destino, información de encabezado de capa 3 y 4, información provista por el motor de identificación de aplicaciones, categorías y cadenas URL, información de autorización de usuarios y grupos y la clase de transmisión asociada con la sesión.

Las sesiones que coinciden con todos los parámetros definidos en la regla, se aplica la acción de ser asignadas a un perfil de transmisión donde es procesada de acuerdo con las reglas definidas en dicho perfil de transmisión, la política no ejecuta ninguna acción de transmisión sobre las sesiones, solo es utilizada para identificar el tráfico.

Políticas de Clase de Servicio

Las políticas de clase de servicios son utilizadas para identificar tráfico al cual se le desea aplicar un tratamiento especial en la función de clase de servicio. Clase de servicio es una función donde comúnmente se usan políticas, el objetivo principal es identificar tráfico cuando entra al dispositivo para ser procesado de manera eficiente al salir, la manera en que es tratado al salir del dispositivo determina cuanto tiempo es puesto en la cola de salida y la probabilidad de que sea descartado en caso de congestión.

Por ejemplo se la LAN de un sitio es de 1000Mbps(1Gbps) y la WAN es sólo de 100Mbps, es probable que los equipos en la LAN intente enviar más tráfico que el que la WAN puede manejar, en este caso de congestión que el tráfico sea encolado y el CPE debe determinar qué tráfico es más importante o es más sensible a la latencia o a pérdidas y tratar de limitar los impactos negativos, adicionalmente, tráfico de voz o video es muy sensible a la latencia y necesita ser procesado antes que otro tráfico menos sensible incluso cuando el enlace se encuentre saturado.

Para tratar el tráfico adecuadamente cuando deja el dispositivo, se puede configurar una política que analice el tráfico cuando entre al dispositivo y que basado en el análisis del motor de políticas el tráfico sea asignado a un perfil de transmisión o a un método de tratamiento de tráfico como un perfil de QoS, por ejemplo.

Perfiles QoS

Un perfil QoS asigna una sesión o grupo de sesiones a un proceso específico de tratamiento de tráfico en el dispositivo para garantizar la calidad del servicio, en el sistema operativo de Versa el perfil QoS asigna límites de ancho de banda, clase de transmisión y prioridad de pérdida a todo el tráfico que es asignado al perfil, pueden existir muchos perfiles, cada uno con sus propias reglas de cómo tratar el tráfico.

El perfil QoS NO es parte del motor de políticas, el perfil QoS define cómo el tráfico será tratado cuando se le asigna una sesión identificada por el motor de políticas.

Políticas QoS

Hay dos categorías principales de políticas de QoS:

QoS Policy: Las políticas estándar QoS son las más básicas y se basan en propiedades de capa 2 a capa 4 de las sesiones y no utilizan el motor de identificación de aplicaciones para identificar tráfico. Una vez que el tráfico de entrada es identificado por los criterios de coincidencia, las sesiones coincidentes se pueden asignar a un perfil QoS que procesará el tráfico de acuerdo con las reglas definidas en el ese perfil.

App QoS policy: Una política QoS en base a aplicaciones o App QoS, es más avanzada que una política estándar QoS porque pueden valerse del motor de identificación de aplicaciones para determinar la aplicación de esa sesión, esto le permite al administrador definir criterios de coincidencia de información específica para ser más granular al identificar el tráfico por aplicación y URL.

Estos dos niveles de políticas (estándar y por aplicación) se pueden aplicar simultáneamente en el procesamiento de datos, la política estándar se analiza primero, si una sesión coincide con las reglas de la política estándar se le aplicará el perfil QoS definido, luego será analizada por las políticas por aplicaciones, si el tráfico también coincide con las reglas de la política por aplicaciones el perfil de QoS asignado por la política por aplicación tomará efecto sobrescribiendo cualquier asignación previa de perfiles.

Una vez que el tráfico de interés es identificado por la política QoS se le asigna el perfil de QoS para el procesamiento mientras atraviesa el dispositivo, es el perfil QoS el que ejecuta acciones sobre las sesiones y no la política QoS.

Políticas de descifrado

Descifrado SSL es una función de seguridad importante en el dispositivo ya que permite descifrar tráfico antes de pasar la sesión de datos a otros procesos como filtrado de aplicaciones y procesos de inspección profunda de paquetes.

El motor de políticas puede ser usado para enviar tráfico selectivamente al motor de descifrado para inspección SSL o descifrado, esto permite sobrepasar el proceso de descifrado para sesiones que no lo necesitan o que requieren permanecer cifradas por razones de seguridad.

El perfil de descifrado es la función que realmente ejecuta el proceso de descifrado del tráfico, la política de descifrado identificará el tráfico que necesita ser procesado y enviará la sesión al perfil de descifrado para ser procesada.

Las reglas de las políticas de descifrado analizas las sesiones en base a parámetros de origen y destino, encabezado de capa 3 y 4, categorías URL, usuarios y grupos. La acción impuesta puede ser enviar o no la sesión a un perfil de descifrado.

Referencias

  • Este contenido ha sido realizado sin fines de lucro, y con el objetivo de promover y facilitar el acceso al conocimiento sobre nuevas tecnologías.
  • Todo el contenido de este artículo está basado en material y contenido gratuito de la Academia de Versa.
  • No soy autor de las imágenes presentadas en este artículo, han sido tomadas del material y contenido gratuito de la Academia de Versa.
  • Click aquí para visitar la Academia de Versa.

Gracias por leer éste artículo, espero que te haya servido, recuerda que puedes dejar tus comentarios, evaluación y compartirlo.

0 0 votes
Ten 5 estrellas!!
Subscribe
Notify of
guest
0 Comentarios
Newest
Oldest Most Voted
Inline Feedbacks
View all comments