No funcionan las reglas de firewall — Servicios TIC — UPC.  Universidad Politécnica de Cataluña


Descripción

Este documento detalla un caso particular en el que las reglas de firewall pueden dejar de funcionar correctamente y cómo corregirlo.

Escenario

Tenemos una máquina virtual en CloudUPC en la que le hemos configurado reglas de firewall aplicadas a sus adaptadores de red. Así, al listar las reglas del cortafuegos veremos en origen o destino identificadores del estilo XXX-YY / XXX-YY.vmx @ {…}, com por ejemplo:

nsx-t-regla-por-adaptador

Síntomas

A pesar de confirmar que las reglas se encuentran correctamente configuradas, detectamos que en nuestra máquina sólo podemos aceptar por ping y que en salida, ésta sólo puede aceptar a los dnos corporativos de la upc y por ping a cualquier destino.

Causa

El firewall del cloud, como cualquiera cortafuegos, funciona con orígenes y destinos de tipo dirección IP.

En cloudUPC tenemos la posibilidad de generar reglas de firewall que aplicamos por adaptador de red de máquina virtual.

Esta configuración realmente lo que hace es descifrar las direcciones IP para configurar las reglas finales.

Este descubrimiento se realiza mediante dos métodos:

  • VMware Tools: Son las encargadas de informar de las direcciones IP configuradas en cada adaptador de red en el sistema operativo.

  • ARP snooping: Se trata de una técnica en la que se escucha y monitorizan unos paquetes de red especiales (arp) que generan las máquinas cuando quieren iniciar una comunicación con un destino local desconocido.

La técnica de ARP snooping requiere un timeout para borrar y actualizar la información relativa a direcciones ips antiguas, como por ejemplo debido a un cambio de ip.

En el caso de CloudUPC este timeout está configurado a 10 minutos.

Por este motivo, si las VMware Tools no se encuentran funcionando y nuestra máquina no genera y responde a paquetes ARP en un intervalo superior a 10 minutos, el cortafuegos desaprèn la dirección IP asociada al adaptador de red y, por tanto, desconfigura todas las reglas de firewall.

Dado que en el cloudUPC se aplica la política de ZeroTrust, la máquina sólo tiene conectividad por los mínimos servicios que se autorizan por defecto: icmp y comunicación DNS hacia los servidores corporativos de la UPC.

Resolución

La técnica del ARP snooping es útil frente a un error puntual en las VMware Tools pero puede ser insuficiente por sí misma.

Por eso es necesario instalar y mantener actualizadas las VMware Tools en nuestras máquinas virtuales.

Puede encontrar más información en:

Uso y recomendaciones de las VMware Tools

Cómo instalar o actualizar las VMware Tools

Consultar el estado de las VMware Tools



Publicación original

No funcionan las reglas de firewall — Servicios TIC — UPC. Universidad Politécnica de Cataluña
A %d blogueros les gusta esto: