terça-feira, 28 de novembro de 2017

Meraki Security / SD-WAN


Fala galera beleza, na última semana falei um pouco sobre Cisco Meraki e agora vou falar um pouco sobre as funicionalidades de Security/SD-WAN, metodos de deploy, topologia, features etc.

Pra começar vamos falar sobre a topologia, temos 2 modos de deploy:

- VPN concentrator (1-Armed) mode:

O Meraki (Datacenter) será instalado como um concentrador (Hub) VPN para todas as filiais (branch), esse modelo é indicado quando você já possui  firewall configurado no datacenter e o Meraki trabalha como concentrador site-to-site VPN;




Esse é o modelo utilizado em 90% das empresas.

Obs. seguem os IPs/portas que deverão ser liberados no firewall do datacenter:


- NAT mode - O MX instalado trabalha diretamente como firewall do datacenter (features de L7 também):

 
Agora falando um pouco sobre alta disponibilidade das caixas, por padrão é utilizado o protocolo VRRP entre elas e ele pode utilizar um cabo conectado físicamente (VRRP Path similar a um heartbit):


Ou utilizando a infraestrutura do switch:

Para entender um pouco mais sobre o funcionamento das VPNs do meraki temos que falar como é feita a comunicação com a nuvem Meraki, os equipamentos seguem as seguintes etapas:

1º O MX testa a conectividade com a internet realizando um ping para os IPs do google (8.8.8.8 e 8.8.4.4);

2º O MX envia alguns pacotes UDP para tentar fechar uma conexão criptografada com a nuvem Meraki 
(UDP port 7351), porém se estiver por trás de um NAT o Meraki realiza um processo chamado "UDP hole punching" que é o envio de diversos pacotes UDPs vazios para estabelecer um UDP port state, uma vez estabelecido a comunicação é realizada bastando apenas a troca de keep-alives (exemplo da tentativa de comunicação abaixo):



3º O MX baixa as configurações/atualizaçãos atreladas à sua organização (inclusive templates pré configurados);

4º O MX envia a interface de saída + IP público + "ID único dele" para nuvem que armazena essas informações para repassar para os Merakis Spokes fecharem a VPN;

5º O MX spoke realiza o mesmo processo, porém fecha uma VPN IPsec com as informações do MX HUB (IP público etc);

- Agora pensando o Meraki Spoke, cada equipamento possúi pelo menos 1 interface internet, 4 interfaces lans (1 delas pode virar internet também dependendo do modelo) e uma entrada USB para modem 3G;

- As interfaces Wan (internet) podem ser configuradas com IP estático, dinâmico, com PPoE (com ou sem autenticação) e com ou sem vlan atrelada;

- As interface podem trabalhar em modo trunk (diversas vlans) podendo ter regras de acesso e bloqueio para cada vlan especifica, além de serviços como DHCP para cada uma;

- É recomendado a criação de templates para realizar o deploy de diversos MX, alterando somente a velocidade dos links de cada localidade (dificilmente há uma padronização nos links contratados);

- Exemplos de configuração de Firewall e Traffic Shapping em templates:



- O MX permite também o cadastro das suas aplicações para uma melhor customização nos relatorios de consumo (ex. Intranet = 10.10.10.10):

Agora falando sobre a minha perspectiva dos equipamentos:

Pontos positivos encontrados no dia-a-dia:
- Failover dos equipamentos no datacenter (concentradores) funcionam muito bem e a comunicação com a nuvem é em tempo real;
- Deploy via templates facilita muito o trabalho da equipe de infra (redes,suporte e segurança);
- Atualizações constantes inclusive adicionando features que os clientes propõem (botão make a wish) na dashboard;
- Maior visibilidade do tráfego de rede e auxílio no tshoot;
- Integração com a linha de switches e APs da Meraki;
- Dashboard disponível via aplicativo IOS e Android;

Pontos negativos encontrados no dia-a-dia:
- O AMP (Advanced Malware Protection) acaba bloqueando diversas aplicações internas, no deploy crie uma Group police disabilitando o AMP em casos extremos;
- O Meraki não decripta tráfego (deep inspection), por exemplo  HTTPS (muitos malwares utilizam ele para realizar um bypass em filtragens básicas);
- Quantidade de categorias do filtro de conteúdo pode ser limitado dependendo do modelo do MX;
- O failover dos MXs spokes podem demorar até 5 minutos para retornar, dependendo do segmento 5 minutos é uma eternidade:
- Poucos logs e dependendo da situação é necessário do suporte da Cisco para conseguir coisas básicas (captura de pacotes, logs mais avançados, etc);
- Pouca informação/documentação de alguns problemas específicos (por exemplo, apenas agora temos configuração via MPLS no suporte Meraki);
- Nuvem Meraki está na AWS então encontramos novos IPs que são bloqueados no firewall;

Pessoal, como falei no outro post, o Meraki não é a melhor solução de SD-WAN e nem de UTM, porém você provavelmente irá se deparar com o Meraki uma hora ou outra, melhor estar preparado pois o investimento da Cisco na LATAM em cima do Meraki vai ser pesado.

Link:

Abraços

Nenhum comentário:

Postar um comentário