0

Azure – Grupos de Seguridad de Red aplicados en Subredes

Hola a tod@s,

En este post vamos a ver los grupos de seguridad de red (NSG) aplicados en las subredes de una red virtual, vamos a mostrar como ejemplo, una subred LAN y otra subred como DMZ cada una con su propio NSG.

Como ya hemos comentado en otros posts una red virtual la podemos segmentar en una o más subredes, estas subredes nos proporcionan divisiones lógicas dentro de la red virtual, y nos ayudan a mejorar la seguridad, aumentar el rendimiento y facilitarnos la administración de networking.

Cada subred contiene un intervalo de direcciones IP que están dentro del espacio de direcciones de la red virtual, este intervalo debe de ser único dentro del espacio de direcciones de la red virtual, por lo que no se puede superponer.

Fuente: Azure AZ-104 Microsoft Learn

Dentro de una red virtual al crear las subredes, éstas se van a poder comunicar entre sí, lo que vamos a mostrar en este post es precisamente esto, aplicar grupos de seguridad de red a subredes para filtrar el tráfico y que las subredes se comuniquen con los servicios de redes o subredes que nos interesen.

  • Para crear una red virtual podemos seguir este post que ya realizamos hace algún tiempo, que como podemos ver, nos creamos dos subredes, una subred para LAN y otra subred como Subred de puerta de enlace, posteriormente en otras configuraciones, nos creamos varias subredes más, como podemos ver aquí, la subred Subnet-129.0-255 la vamos a utilizar para la DMZ. Como también podemos ver en el Diagrama tenemos montada una VPN Site to Site entre la Red virtual de Azure y nuestra infraestructura On-Premise, en este post que ya realizamos anteriormente podemos ver cómo crear una VPN Site to Site:

  • Los NSG los vamos a implementar entre subredes para limitar el tráfico de red, configurando las reglas de seguridad que van a permitir o van a denegar el tráfico de red entrante o saliente, un NSG lo podemos asociar tanto a subredes como a una interfaz de red de una máquina virtual, en nuestro caso nos vamos a crear dos NSG una para la red LAN y otro para la DMZ, vamos a empezar creándonos el NSG para la red LAN, para ello, accedemos a Grupos de seguridad de red > Crear:

  • Le indicamos la suscripción, el grupo de recursos, un nombre y la región, damos a Revisar y crear:

  • Nos muestra un resumen y creamos:

  • Ahora para crear el NSG para la subred de DMZ realizamos las mismas operaciones y cómo podemos ver ya tenemos los dos NSG creados:

  • Ahora si accedemos a cualquiera de estos NSG podemos ver las reglas que crea por defecto, como podemos ver, tenemos Reglas de seguridad de entrada y Reglas de seguridad de salida, las reglas de seguridad de los NSG permiten filtrar el tipo de tráfico de red que puede fluir dentro y fuera de las interfaces de red y las subredes de las redes virtuales, estas reglas predeterminadas que se crean en cada NSG no se pueden quitar, pero podemos reemplazarlas con reglas de prioridad más altas:

  • Tenemos tres reglas de seguridad de entrada predeterminadas, estas reglas deniegan todo el tráfico de entrada, excepto desde la red virtual y los equilibradores de carga de Azure:

  • Tenemos tres reglas de seguridad de salida predeterminadas, estas reglas solo permiten el tráfico de salida a Internet y a la red virtual:

  • Una vez visto todo esto, es cuando vamos a empezar a agregar las reglas que nos interesen a nuestros NSG, como ya hemos comentado anteriormente, las reglas se procesan por orden de prioridad, es decir, cuanto menor sea el número, mayor será la prioridad, se recomienda dejar espacios entre las reglas para facilitar la adición de nuevas reglas, el valor va de 100 a 4096 y es único para todas las reglas de seguridad del NSG.
  • Como ya mostramos en el post de redes virtuales, nos creamos una Virtual Network que se encuentra en el segmento 192.168.128.0/18, y a partir de esta red hemos ido creando subredes a medida que las hemos ido necesitando y con los tamaños que requiera nuestra infraestructura:

  • Vamos a comenzar con las Reglas de seguridad de entrada para el NSG que aplicaremos más adelante a la subred LAN, la primera regla que vamos a crear será, denegar el tráfico de todos los rangos de direcciones IP privadas, con una prioridad mínima de 4096, con esto evitamos que las subredes dentro de la red virtual se comuniquen entre sí, y si tenemos nuestro entorno On-premise enlazado a Azure por VPN como es nuestro caso, tampoco se va a comunicar con las subredes de Azure:

  • A partir de aquí, iremos creando reglas con prioridades más altas para permitir el tráfico de entrada que nos vaya interesando, por ejemplo, vamos a permitir todo el tráfico de nuestra red On-Premise, ya que lo que queremos hacer aquí, es que esta subred LAN de Azure sea una extensión de nuestra red On-Premise:

  • También debemos habilitar una regla que permita todo el tráfico dentro de su mismo rango de subred, sino, las máquinas virtuales dentro de su misma subred no se van a comunicar:

  • Como podemos ver aquí, tenemos las tres reglas creadas:

 

  • Seguiremos con las Reglas de seguridad de salida para el NSG que aplicaremos más adelante a la subred LAN, la primera regla que vamos a crear será, denegar el tráfico de todos los rangos de direcciones IP privadas, con una prioridad mínima de 4096, con esto evitamos que las subredes dentro de la red virtual se comuniquen entre sí, y si tenemos nuestro entorno On-premise enlazado a Azure por VPN como es nuestro caso, tampoco se va a comunicar con las subredes de Azure:

  • A partir de aquí, iremos creando reglas con prioridades más altas para permitir el tráfico de salida que nos vaya interesando, por ejemplo, vamos a permitir todo el tráfico de nuestra red On-Premise, ya que lo que queremos hacer aquí, es que esta subred LAN de Azure sea una extensión de nuestra red On-Premise:

  • También debemos habilitar una regla que permita todo el tráfico dentro de su mismo rango de subred, sino, las máquinas virtuales dentro de su misma subred no se van a comunicar:

  • Aquí vemos las tres reglas creadas:

  • Ahora vamos a agregar este NSG (LAN-nsg) a nuestra subred LAN:

  • Para el otro NSG que nos creamos anteriormente, DMZ-nsg, vamos a definir estas reglas de seguridad entrada y salida.
  • Empezaremos con las Reglas de seguridad de entrada para el NSG que aplicaremos más adelante a la subred DMZ, la primera regla que vamos a crear será, denegar el tráfico de todos los rangos de direcciones IP privadas, con una prioridad mínima de 4096, con esto evitamos que las subredes dentro de la red virtual se comuniquen entre sí, y si tenemos nuestro entorno On-premise enlazado a Azure por VPN como es nuestro caso, tampoco se va a comunicar con las subredes de Azure:

  • A partir de aquí, iremos creando reglas con prioridades más altas para permitir el tráfico de entrada que nos vaya interesando, por ejemplo, vamos a permitir el tráfico RDP y SSH desde un equipo de nuestra red On-Premise:

  • También debemos habilitar una regla que permita todo el tráfico dentro de su mismo rango de subred, sino, las máquinas virtuales dentro de su misma subred no se van a comunicar:

  • Aquí vemos las cuatro reglas creadas:

  • Seguiremos con las Reglas de seguridad de salida para el NSG que aplicaremos más adelante a la subred DMZ, la primera regla que vamos a crear será, denegar el tráfico de todos los rangos de direcciones IP privadas, con una prioridad mínima de 4096, con esto evitamos que las subredes dentro de la red virtual se comuniquen entre sí, y si tenemos nuestro entorno On-premise enlazado a Azure por VPN como es nuestro caso, tampoco se va a comunicar con las subredes de Azure, a partir de esta regla, nos iremos creando reglas con prioridades más altas para permitir el tráfico de salida que nos vaya interesando:

  • También debemos habilitar una regla que permita todo el tráfico dentro de su mismo rango de subred, sino, las máquinas virtuales dentro de su misma subred no se van a comunicar:

  • Aquí vemos las dos reglas creadas:

  • Ahora vamos a agregar este NSG (DMZ-nsg) a nuestra subred DMZ:

  • Como podemos ver, aquí tenemos los NSG agregados a las subredes:

  • A partir de aquí, nos iremos creando las distintas reglas de seguridad que nos vayan interesando a medida que vayamos agregando servicios a nuestra infraestructura.

Saludos y espero que os resulte de ayuda 😉

jramos

Técnico Superior STI

Deja una respuesta

Tu dirección de correo electrónico no será publicada.

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.