Boas Praticas de Segurança em Huawei

Material desenvolvido por Lucas Campelo

— Como boas práticas iremos usar da ferramenta ACL e outras ferramentas de configuração do devices da Huawei para proteger nossa rede.

— Primeiro iremos criar uma ACL do tipo que da (Match) em alguma Pool de endereços especificadas nessa ACL.

acl ip-pool MY_PREFIX_PUBLIC
ip address x.x.0.0 x.x.0.0
quit

acl ip-pool PREFIX_REDE_INSIDE
ip address 10.0.0.0 0.63.255.255
ip address 192.168.0.0 0.0.255.255
ip address 172.16.0.0 0.15.255.255
quit
commit

No comando a cima criamos duas Pool de endereços dando Match em alguns prefixos públicos e outros privados da  nossa rede que iremos usar essa mesma acl em outra regra na frente. 

-Agora iremos criar outra ACL dando match em algumas portas de serviços.

acl port-pool PORT_DNS
eq 53
quit
commit

acl port-pool DROP_PORTS
eq 19
eq 25
eq 1900
eq 11211
quit
commit

— Como podemos observar criamos duas acl uma dando match na porta destinada e reservada ao  protocolo dns, outra regra dando match em algumas portas de serviços que não devem ser usada como forward através da  nossa rede.

- Agora iremos criar uma ACL dando match nessas outras ACL que criamos com finalidade de realizar alguma ação senda ela de permit ou deny.

— Primeiros iremos uma acl como uma segunda camada de proteção para nosso dns interno, como sabemos não devemos aceitar requisição de consulta ao nosso dns pela rede externa apenas para dentro da nossa rede.

acl name DROP_DNS_IN advance
rule 5 deny udp destination X.X.0.0 0.0.0.0 destination-port-pool PORT_DNS
quit
commit

acl name DROP_DNS_IN advance
rule 5 deny udp destination X.X.0.0 0.0.0.0 destination-port-pool PORT_DNS
quit
commit

— Agora precisamos configurar um classificador que chamamos de classifier dando match nessas últimas ACLs criadas e um COMPORTAMENTO de deny que chamamos de behavior.

traffic policy classifier CL_DROP_DNS operator or
if-match acl name DROP_DNS_IN
quit
commit

traffic policy classifier CL_DROP-PORTS_INVALIDS operator or
if-match acl name DROP_PORTS_INVALIDS 
quit
commit

traffic policy behavior BH_DROP
deny
quit
commit

— Aqui criamos dois classificares "classifier" dando match nas ACL desejadas, foram criadas dois classificadores "classifier", pois iremos usar em dois traffic-policy diferentes, mas iremos usar o mesmo comportamento "BEHAVIOR" nas duas traffic policy.

— Agora vamos criar nossa traffic policy.

traffic policy TP_DROP_DNS
share-mode
statistics enable
classifier CL_DROP_DNS behavior BH_DROP precedence 1
quit
commit

traffic policy TP_DROP_PORTS_INVALIDS
share-mode
statistics enable
classifier DROP_PORTS_INVALIDS behavior BH_DROP precedence 1
quit
commit

Estamos quase lá, nossas ACLs e POLICY criadas, agora precisamos apenas aplicar as traffic policy  nas interfaces desejas, no nosso cenário iremos aplicar elas nas interfaces que recebem o link.

Entrar na interface desejada

inteface "identificação da interface"
traffic-policy TP_DROP_DNS inbound
traffic-policy DROP_PORTS_INVALIDS outbound
quit
commit

Pronto, como podem ver, aplicamos a traffic-policy TP_DROP_DNS inbound no sentindo inbound, isso quer dizer que o tráffego que estiver entrando com destino a porta 53 no protocolo UDP e com destination address o ip do nosso dns

ele irá dropar. E a outro traffic-policy DROP_PORTS_INVALIDS outbound nos informa que o tráfego que estiver saindo com destino a portas especificadas será dropado.

É isso pessoal!

Espero que tenha ajudado em algo.

Aceito um cafe em!