Citrix SD-WAN Orchestrator

Seguridad

Puede configurar las opciones de seguridad como, por ejemplo, cifrado de red, IPsec de ruta virtual, firewall y certificados aplicables a todos los dispositivos de la red.

Zonas de firewall

Puede configurar zonas en la red y definir directivas para controlar la forma en que el tráfico entra y sale de las zonas. Las siguientes zonas están disponibles de forma predeterminada:

  • default_LAN_Zone: Se aplica al tráfico hacia o desde un objeto con una zona configurable, donde no se ha establecido la zona.
  • Internet_Zone: Se aplica al tráfico hacia o desde un servicio Internet mediante una interfaz de confianza.
  • Untrusted_Internet_Zone: Se aplica al tráfico hacia o desde un servicio Internet mediante una interfaz que no es de confianza.

Zonas de firewall

También puede crear sus propias zonas y asignarlas a los siguientes tipos de objetos:

  • Interfaces de red virtual
  • Servicios de Intranet
  • Túneles GRE
  • Túneles IPSec de LAN

Haga clic en Verificar configuración para validar cualquier error de auditoría.

Valores predeterminados del firewall

Puede configurar la configuración global del firewall que se puede aplicar a todos los dispositivos de la red SD-WAN. La configuración también se puede definir en el nivel de sitio que reemplaza la configuración global.

Valores predeterminados del firewall

  • Acción de firewall predeterminada: Seleccione una acción (Permitir/Soltar) de la lista para los paquetes que no coinciden con una directiva.

  • Seguimiento de estado de conexión predeterminado: Habilita el seguimiento de estado de conexión direccional para flujos TCP, UDP e ICMP que no coinciden con una directiva de filtro o regla NAT.

    Nota

    Los flujos asimétricos se bloquean cuando el seguimiento de estado de conexión predeterminado está habilitado incluso cuando no hay directivas de firewall definidas. Si existe la posibilidad de flujos asimétricos en un sitio, la recomendación es habilitarlo a nivel de sitio o directiva y no globalmente.

  • Tiempo de espera denegado (s): Tiempo (en segundos) para esperar a nuevos paquetes antes de cerrar las conexiones denegadas.

  • Timeout (s) inicial (s) de TCP: Tiempo (en segundos) para esperar los nuevos paquetes antes de cerrar una sesión TCP incompleta.

  • Timeout (s) de inactividad de TCP: Tiempo (en segundos) para esperar los nuevos paquetes antes de cerrar una sesión TCP activa.

  • Tiempo de espera de cierre de TCP: Tiempo (en segundos) para esperar los nuevos paquetes antes de cerrar una sesión TCP después de una solicitud de finalización.

  • Tiempos de espera de tiempo de espera TCP: Tiempo (en segundos) para esperar nuevos paquetes antes de cerrar una sesión TCP terminada.

  • Tiempo de espera cerrado de TCP: Tiempo (en segundos) para esperar nuevos paquetes antes de cerrar una sesión TCP anulada.

  • Tiempo de espera inicial UDP: Tiempo (en segundos) para esperar nuevos paquetes antes de cerrar la sesión UDP que no ha visto tráfico en ambas direcciones.

  • Tiempo de espera de inactividad UDP: Tiempo (en segundos) para esperar nuevos paquetes antes de cerrar una sesión UDP activa.

  • Tiempo de espera inicial (s) de ICMP: Tiempo (en segundos) para esperar nuevos paquetes antes de cerrar una sesión ICMP que no ha visto tráfico en ambas direcciones

  • Timeout (s) de inactividad ICMP: Tiempo (en segundos) para esperar los nuevos paquetes antes de cerrar una sesión ICMP activa.

  • Timeout (s) inicial genérico (s): Tiempo (en segundos) que se espera a nuevos paquetes antes de cerrar una sesión genérica que no ha visto tráfico en ambas direcciones.

  • Timeout (s) de inactividad genérica (s): Tiempo (en segundos) para esperar a que los paquetes nuevos antes de cerrar una sesión genérica activa.

Haga clic en Verificar configuración para validar cualquier error de auditoría.

Perfiles de firewall

Los perfiles de firewall proporcionan seguridad al garantizar que el tráfico de red está restringido solo a una regla de firewall específica según los criterios de coincidencia y aplicando acciones específicas. Los perfiles de firewall contienen tres secciones.

  • Perfiles globales: El perfil global es una agregación de un par de reglas de firewall. El perfil que cree en lasección Perfilesglobales se aplica a todos los sitios de la red.
  • Perfiles específicos del sitio: Puede aplicar las reglas de firewall definidas en determinados sitios específicos.
  • Perfil de sustitución global: Puede anular tanto los perfiles globales como los específicos del sitio mediante Perfiles de modificación global.

Perfiles de firewall

Puede definir reglas de firewall y colocarlas en función de la prioridad. Puede elegir el orden de prioridad para comenzar desde la parte superior de la lista, en la parte inferior de la lista o desde una fila específica.

Se recomienda tener reglas más específicas para aplicaciones o subaplicaciones en la parte superior, seguidas de reglas menos específicas para las que representan un tráfico más amplio.

Valores predeterminados del firewall

Para crear una regla de firewall, haga clic en Crear nueva regla.

Detalles de la directiva del firewall

  • Proporcione un nombre de perfil y active la casilla Perfil activo si desea aplicar todas las reglas del firewall.
  • Los criterios de coincidencia definen el tráfico de la regla como, por ejemplo, una aplicación, una aplicación definida personalizada, un grupo de aplicaciones, una familia de aplicaciones o un protocolo IP basado en.

  • Criterios de filtrado:

    • Zona de origen: La zona del firewall de origen.

    • Zona de destino: La zona del firewall de destino.

    • Tipo de servicio de origen: El tipo de servicio SD-WAN de origen: Local, Ruta virtual, Intranet, Host IP o Internet son ejemplos de tipos de servicio.

    • Nombre del servicio de origen: nombre de un servicio vinculado al tipo de servicio. Por ejemplo, si la ruta virtual está seleccionada para el tipo de servicio de origen, sería el nombre de la ruta virtual específica. Esto no siempre es necesario y depende del tipo de servicio seleccionado.

    • Dirección IP de origen: La dirección IP y la máscara de subred que utiliza la regla para hacer coincidir.

    • Puerto de origen: Puerto de origen que utiliza la aplicación específica.

    • Tipo de servicio Dest: El tipo de servicio SD-WAN de destino: Local, Virtual Path, Intranet, Host IP o Internet son ejemplos de tipos de servicio.

    • Nombre del servicio de Dest: Nombre de un servicio vinculado al tipo de servicio. Esto no siempre es necesario y depende del tipo de servicio seleccionado.

    • Dest IP: La dirección IP y la subred enmascaran el filtro para que coincida.

    • Puerto Dest: Puerto de destino que utiliza la aplicación específica (es decir, el puerto de destino HTTP 80 para el protocolo TCP).

    • Protocolo IP: Si se selecciona este tipo de coincidencia, seleccione un protocolo IP con el que coincida la regla. Las opciones incluyen CUALQUIERA, TCP, UDP ICMP, etc.

    • DSCP: Permite que el usuario coincida en una configuración de etiqueta DSCP.

    • Permitir fragmentos: Permitir fragmentos IP que coincidan con esta regla.

    • Invertir también: Agregue automáticamente una copia de esta directiva de filtro con la configuración de origen y destino invertida.

    • Coincidencia establecida: Coincida con los paquetes entrantes para una conexión a la que se permitieron los paquetes salientes.

  • Se pueden realizar las siguientes acciones en un flujo coincidente:

    • Permitir: Permitir el flujo a través del Firewall.

    • Drop: Deniegue el flujo a través del firewall soltando los paquetes.

    • Rechazar: Deniegue el flujo a través del firewall y envíe una respuesta específica del protocolo. TCP envía un restablecimiento, ICMP envía un mensaje de error.

    • Recuento y Continuar: Cuente el número de paquetes y bytes para este flujo y, a continuación, continúe abajo en la lista de directivas.

Además de definir la acción que se va a realizar, también puede seleccionar los registros que se van a capturar.

Haga clic en Verificar configuración para validar cualquier error de auditoría.

cifrado de red

Seleccione el mecanismo de cifrado que se utilizará en toda la red. Puede configurar la configuración de seguridad global que proteja toda la red SD-WAN.

El modo de cifrado de red define el algoritmo utilizado para todas las rutas cifradas en la red SD-WAN. No es aplicable a rutas no cifradas. Puede establecer el cifrado como AES-128 o AES-256.

Modo de cifrado de red

Prevención de intrusiones

Intrusion Prevention System (IPS) detecta y evita que la actividad malintencionada entre en la red. IPS inspecciona el tráfico de red y realiza acciones automatizadas en todos los flujos de tráfico entrantes.

IPS utiliza la detección basada en firmas, que coincide con los paquetes entrantes con una base de datos de patrones de exploit y ataque identificables de forma única.

La base de datos de firmas se actualiza automáticamente diariamente. Dado que hay miles de firmas, las firmas se agrupan en tipos Categoría y Clase. Puede seleccionar atributos de firma de tipo Categoría o Clase específicos para crear reglas de prevención de intrusiones. Si hay una regla, coincida con los registros IPS, bloquea o permite los paquetes basados en la acción de la regla.

Puede crear reglas IPS globalmente para toda la red y elegir habilitar o inhabilitar la prevención de intrusiones mientras define los perfiles de seguridad.

Nota

  • Dado que Intrusion Prevention es un proceso sensible a los procesos, utilice solo el conjunto mínimo de categorías de firmas que son relevantes para las implementaciones de seguridad perimetral.
  • El firewall SD-WAN elimina el tráfico en todos los puertos WAN L4 que no están reenviados por puertos y que no están visibles en el motor IPS. Esto proporciona una capa de seguridad adicional contra ataques dos triviales y análisis.

Para crear reglas de prevención de intrusiones, en el nivel de red, vaya a Configuración > Seguridad > Prevención de intrusiones y haga clic en Nueva regla.

La prevención de intrusiones crea una regla

Proporcione un nombre de regla y una descripción. Seleccione los atributos de firma de categoría de coincidencia o tipo de clase, seleccione la acción de regla y habilite la misma. Puede elegir entre las siguientes acciones de regla:

Acción de regla Función
Recomendado Hay acciones recomendadas definidas para cada firma. Realice la acción recomendada para las firmas.
Habilitar registro Permitir y registrar el tráfico que coincida con cualquiera de las firmas de la regla.
Habilitar bloque si Recomendado está habilitado Si la acción de regla es Recomendada y la acción recomendada de la firma es Habilitar registro, suelte el tráfico que coincida con cualquiera de las firmas de la regla.
Activar bloque Suelte el tráfico que coincida con cualquiera de las firmas de la regla.
Disable Las firmas están inhabilitadas. Permita que el tráfico continúe hasta el destino sin necesidad de iniciar sesión.
Lista de permitir Las redes de origen y destino de la firma se modifican para excluir las redes definidas por la variable de lista permitida.

Página Regla

Puede definir perfiles de seguridad y habilitar o inhabilitar reglas de prevención de intrusiones. Los perfiles de seguridad se utilizan para crear reglas de firewall. Para obtener más información, consulte Perfil de seguridad — Prevención de intrusiones.

Configuración de IPsec de ruta virtual

Configuración IPsec de ruta virtual define la configuración del túnel IPSec para garantizar la transmisión segura de datos a través de las rutas virtuales estáticas y las rutas virtuales dinámicas. Seleccione laficha Rutas virtualesestáticas IPseco Rutas virtualesdinámicas IPsec para definir la configuración del túnel IPSec.

  • Tipo de encapsulación: Elija uno de los siguientes tipos de seguridad:
    • ESP: Los datos están encapsulados y cifrados.
    • ESP+Auth: Los datos se encapsulan, cifran y validan con un HMAC.
    • AH: Los datos se validan con un HMAC.
  • Modo de cifrado: Algoritmo de cifrado utilizado cuando ESP está habilitado.
  • Algoritmo Hash: El algoritmo hash utilizado para generar un HMAC.
  • Duración (s): Duración preferida, en segundos, para que exista una asociación de seguridad IPSec. Escriba 0 para ilimitado.

Para obtener información acerca de cómo configurar el servicio IPSec, consulte Servicio IPSec.

Configuración IPSec de ruta virtual

Haga clic en Verificar configuración para validar cualquier error de auditoría.

Certificados

Existen dos tipos de certificados: De identidad y de confianza. Los certificados de identidad se utilizan para firmar o cifrar datos para validar el contenido de un mensaje y la identidad del remitente. Los certificados de confianza se utilizan para verificar las firmas de mensajes. Los dispositivos Citrix SD-WAN aceptan certificados de identidad y certificados de confianza. Los administradores pueden administrar certificados en el Editor de configuración.

Certificado

Haga clic en Verificar configuración para validar cualquier error de auditoría.

Para agregar un certificado, haga clic en Agregar certificado.

  • Nombre del certificado: Proporcione el nombre del certificado.

  • Tipo de certificado: Seleccione el tipo de certificado en la lista desplegable.

    • Certificados de identidad: Los certificados de identidad requieren que la clave privada del certificado esté disponible para el firmante. Certificados de identidad o sus cadenas de certificados en las que un par confía para validar el contenido y la identidad del remitente. Los certificados de identidad configurados y sus respectivas huellas digitales se muestran en el Editor de configuración.

    • Certificados de confianza: Los certificados de confianza son certificados de entidad emisora de certificados (CA) autofirmados, intermedia o entidad emisora de certificados raíz que se utilizan para validar la identidad de un par. No se requiere clave privada para un certificado de confianza. Los certificados de confianza configurados y sus respectivas huellas digitales se enumeran aquí.

Certificado de seguridad.

Seguridad