Está en la página 1de 17

!"#==================== FIREWALLS.

Examinan todos los paquetes entrantes/salientes de una red a fin de filtrar trfico no deseado, basado en algunas caractersticas de los paquetes como IP DESTINO, FUENTE, PUERTOS TCP/UDP. Se localiza en camino de los paquetes entre dos redes, una interfaz conectada a la LAN de la empresa y la otra al INTERNET (o la red menos segura. ). A fin de permitir que algunos hosts deben ser accesibles desde internet, el firewall tambin tiene una interface conectada a la DMZ LAN,

El firewall necesita saber que interfaces estan conectadas a la parte exterior, interior y DMZ. Luego se configura una serie de reglas que le digan al firewall los patrones permitidos o no permitidos.

TCNICAS DE FIREWALL. Bsicamente el firewall se esfuerza por aislar una interfaz de otra y controlar cuidadosamente como los paquetes se reenvan de una interfaz a otra. La seguridad implementada en un firewall puede realizarse de acuerdo a las 7 capas del modelo OSI. El firewall puede configurarse de acurdo a dos aproximaciones. - Control de acceso permisivo. Pasa todo el trfico a menos que se especifique su bloqueo. - Control de acceso restrictivo. Ningn trfico se permite a menos que su flujo est explicitamente permitido. Stateful Packet Filtering. sigue la pista de las conexiones y su estado, realiza normalizacin TCP, revisin de normalizacin as como negociacin de sesin dinmica. Remplaza a Static Packet Filtering (solo las cabeceras se revisan) - AIC. analiza protocolos de la capa aplicacin para rastrear su estado y asegurarse q cumplan con protocolos estandard. - User-based access control. El ASA puede realizar autenticacin de usuario INLINE seguida de CUT-THROUGH PROXY (acceso tipo AAA ).

Al logearse mediante http/telnet el AUTHENTICATION AGENT realiza un desafio (clave simple o conjunto de claves) -Session auditing

CISCO ASA MODULOS.

- SECURITY SERVICESS MODULES. modulos fsicos que se encargan de procesar funciones como IPS, e.g. SSM AIP 10-k9, SSM AIP 20-K9, SSM-CSC10K9 (CSC Content Security Control, AIP Advanced Intruction and Prevention, SSC Security Service Card ) --AIP SSSM.Advanced Inspection and Prevention. agrega capacidades IPS INLINE.

Ejecuta software IPS y realiza prevencin de intrusin. Funciona en modo INLINE (inspecciona el trfico antes de que ste siga su camino) PROMICUOS (el ASA copia trfico haca el mdulo a medida que sigue su curso.) --4 GE SSM. agrega 4 interfaces firewall adicionales 10/100/1000 o SFP (small form-factor Pluggable) --CSC SSM. agrega control total de contenido y servicios de antivirus.

ASA 5505

8 fastethernet conectados a un switch interno. 2 puertos ofrecen PoE. 1 mdulo SSC

Todos los puertos pertenecen a la misma VLAN (default), pero pueden usarse en mltiples VLANs que se conectan entre s mediante interfaces lgicas, cualquier trfico entre VLANs debe pasar a travs de ASA.

ASA 5510, 5520, 5540. Chasis comn. 4 puertos 10/100/1000 1 slot SSM.

1 consola 1 auxiliar

Las 4 interfaces no estn conectadas entre s. Por defecto los 4 puertos funcionan a 10/100 mbps, la licencia Security Plus permite que 2 puertos trabajen a 10/100/1000 Mbps y dos a 10/100

!"#=======

Cada ASA tiene uno o mas interfaces que pueden usarse para conectarse a alguna parte de la red para inspeccionar y controlar el trfico. Las interfaces pueden ser fsicas o lgicas (interfaz que existe internamente y van a la red mediante un enlace fsico TRUNK )

A ms de inspeccionar y mover el trfico cada interfaz debe tener lo siguiente: -Nombre de interfaz -IP y mscara de subred. -Nivel de seguridad.

CONFIGURACION DE INTERFACES FISICAS. Un ASA soporta multiples interfaces fsicas que se pueden conectar a la red o a dispositivos individuales.

Como mnimo se necesita una interfaz con INSIDE y una OUTSIDE.

El asa 5505 asigna estas interfaces a dos VLAN 1 y 2. ASA 5510 y superiores muestran management por defecto.

e.g.

ciscoasa# show nameif Interface Name Security Vlan1 inside 100 Vlan2 outside 0 ciscoasa#

ASA-5510-CORE-UIO# show nameif

Interface Ethernet0/1 Management0/0 Redundant1

Name Outside management Inside

Security 0 100 100

Las vlan 1 y 2 del 5505 corresponden a ETH0/0 vlan2(outside), y el resto de eth0-7 a vlan1 (inside). En el 5505 es posible mostrar esa configuracin usando SHOW SWITCH VLAN

CONFIGURACION DE PARAMETROS. Puede configurarse la velocidad, duplex, y estado. Por defecto estan en AUTO y SHUTDOWN.

ciscoasa(config)# interface hardware-id ciscoasa(config-if)# speed {auto | 10 | 100 | 1000} ciscoasa(config-if)# duplex {auto | full | half} ciscoasa(config-if)# [no] shutdown

MAPEANDO UN 5505 A LAS INTERFACES VLANS Las interfaces de un 5505 estan conectadas a un switch interno de 8 puertos.

Se puede mapear una interfaz fsica a una VLAN diferente.

ciscoasa(config)# interface ethernet0/3 ciscoasa(config-if)# switchport access vlan 10 ciscoasa(config-if)# interface ethernet0/4 ciscoasa(config-if)# switchport access vlan 20

CONFIGURACION NAME-TO-ADDRESS MAPPINGS

Se utiliza en casos en los que no se dispone de un DNS o no puede confiarse en un DNS, y es preferible crear un mapeo de nombre-a-direccin (NAME-TOADDRESS MAPPING)

#names #name 200.7.208.122 hightelecom description ip de hightelecom #name 186.42.167.2 ovt description ovt

CONFIGURANDO INTERFACES REDUNDANTES.

Por defecto cada interfaz fisica del asa funciona independientemente de cualquier otra interfaz. Las interfaces pueden estar up o down, si esta down no puede enviar o recibir ningn dato a travs de la misma. e.g. el puerto del switch donde una interfaz del asa se conecta fallara, causando que la interfaz del ASA tambin caiga.

Para mantener una interfaz del ASA arriba y activa se pueden configurar interfaces fsicas como pares redundantes.

En un par redundante, 2 interfaces se reservan para cada funcin del ASA(inside, outside, etc.). Solo una de las interfaces esta activa en un momento dado, la otra permanece en espera. Tan pronto como la interfaz activa cambia de estado la otra entra en funcionamiento.

Ambas interfaces fsicas en un par redundante se configuran como miembro de una nica INTERFAZ LOGICA REDUNDANTE.

La interfaz redundante, se configura con un nico nombre de interfaz, nivel de seguridad y direccin IP.

PASOS.

- Crear la interfaz redundante - Anadir una interfaz fsica como miembro de la interfaz redundante. - Los miembros de la interfaz redundante no pueden tener un nivel de seguridad o un IP configurada. - La primera interfaz que se anade ser la interfaz activa.

- Una vez hecho lo anterior se configura como una interfaz normal.

ciscoasa(config)# interface redundant 1 ciscoasa(config-if)# member-interface ethernet0/0 INFO: security-level and IP address are cleared on Ethernet0/0. ciscoasa(config-if)# member-interface ethernet0/1 INFO: security-level and IP address are cleared on Ethernet0/1. ciscoasa(config-if)# no shutdown

ASA-5510-CORE-UIO(config)# show interface redundant 1 Interface Redundant1 "Inside", is up, line protocol is up Hardware is i82546GB rev03, BW 100 Mbps, DLY 100 usec Auto-Duplex(Full-duplex), Auto-Speed(100 Mbps) Input flow control is unsupported, output flow control is unsupported Description: Interfaz local MAC address c84c.7576.b6b4, MTU 1500 IP address 10.232.232.1, subnet mask 255.255.255.252 1237578 packets input, 465427409 bytes, 0 no buffer

. . . .

Redundancy Information: Member Ethernet0/3(Active), Ethernet0/2 Last switchover at 14:42:27 ECT Aug 30 2012 ASA-5510-CORE-UIO(config)#

!"##### ASA FAILOVER. Dos ASAs pueden ser configurados para operar como un par de alta disponibilidad o a prueba de fallos. La idea es aprovechar dos dispositivos separados para que uno de ellos siempre este disponible en caso de que el otro falle. Existe la posibilidad de que ambos fallen, pero eso puede prevenirse colocando los dispositivos en edificios separados.

Existen 2 tipos de configuracion a prueba de fallas.

- ACTIVE-STANDBY. Uno de los asas toma el rol activo, manejando todas las funciones de seguridad. el otro asa permanece en espera, listo a tomar el rol activo en caso de falla. Este modo provee redundancia de dispositivo.

- ACTIVE-ACTIVE. Cuando los dos asas funcionan simultaneamente. Un asa est activo para un grupo de contextos, el otro funciona para otro grupo. En efecto ambos asas funcionan pero no en el mismo contexto. Este modo provee redundancia de dispositivo y BALANCEO DE CARGA entre contextos.

FAILOVER ROLES.

A fin de funcionar como un par failover, los dos ASAS deben ser del mismo modelo.

Ambos asas deben compartir un mismo conjunto de interfaces, e.g. cada unidad tiene una interfaz inside y una outside, y las interfaces similares deben estar conectadas juntas: -La unidad en espera debe estar lista para manejar el trfico en cualquier momento.

- Los dos ASAs se monitorizan entre s. Si una falla se detecta en la unidad activa, los asas intercambian roles

Si una falla se detecta los asas intercambian roles hasta la siguiente falla. No es posible que el asa que cay recobre de manera autmatica el rol activo, a menos que el otro falle.

Cada asa mantiene una nica MAC y IP en cada una de interfaces. A mas de intercambiar roles tambin INTERCAMBIAN MAC E IP!!. El intercambio de direcciones se realiza en cada interfaz del ASA excepto en el LAN FAILOVER, que siempre permanece sin cambios.

Las direcciones IP y MAC pueden configurarse o tomarse de las direcciones propias de los dispositivos, por lo que uno de los dispositivos debe ser configurado como dispositivo PRIMARIO, el otro asa se convierte en la unidad

SECUNDARIA. Estas designaciones determinan solo las direcciones activa y en espera no los roles activo y en espera.

Cuando dos asas se configuran para funcionar en modo ACTIVO-ACTIVO, an alternan sus roles de tal manera que una unidad este activa y la otra este en espera, sin embargo la combinacin ACTIVA-ESPERA se lleva a cabo en base a un grupo PER-FAILOVER, con cada ASA ejecutando grupos a prueba de fallos. De esta manera se alternan los roles activos y ninguno de los dispositivos permanece completamente inactivo.

Cada asa ejecuta tres contextos de seguridad separados. c/u puede tomar el rol activo del otro en cualquier momento. Es necesario notar que los roles aprueba de fallas de cada contexto pueden ser COLLECTED

LAN-FAILOVER INTERFACE. En cualquier modo (activo-activo, activo-espera) el par a prueba de fallas (asas) deben tener un enlace especial configurado para tener comunicacin entre ellos. Se utiliza para revisar el estado del par ASA y para pasar actualizaciones de configuracin y comandos entre pares.

La interfaz LAN FAILOVER debe estar conectado a un switch que est separado de las otras interfaces del ASA, de tal manera que el ASA pueda detectar una falla en el switch que afecte a las interfaces normales del asa y no a las interfaces failover. SE PUEDE CONFIGURAR LA INTERFAZ FAILOVER USANDO UN PAR DE INTERFACES REDUNDANTES C/U CONECTADA A UN SWITCH DIFERENTE.

!"#==

[http://www.cisco.com/en/US/docs/security/asdm/6_1/user/guide/ifcs.html#wp1 063637]

INTERFACES REDUNDANTES. Una interfaz redundante lgica empareja una interfaz activa y una interfaz standby. cuando la interfaz activa falla, la standby se vuelve activa y se encarga del flujo de datos.

Diferente de device-level failover. Pueden hasta 8 pares de interfaces redundantes.

INDICACIONES. - Si se quiere usar una interfaz redundante para el enlace failover o state, entonces debe configurar la interfaz redundante como parte de la configuracin bsica en la unidad secundaria adems de la primera unidad.

- Si se usa una interfaz redundante para la enlace failover o state, se debe poner un switch o hub entre las dos unidades, no se las puede conectar directamente. Sin el switch se podra tener el puerto activo en la primera unidad conectada directamente al puerto standby de la segunda unidad.

- Se puede monitorar las interfaces redundates para failover, se debe estar seguro de referenciar el nombre logico de la interfaz redundante.

- Cuando la interfaz activa tiene un error y cambia a la interfaz standby, este cambio no causa que la interfaz redundante aparezca con errores al ser monitoreada. Solo cuando ambas interfaces fsicas fallan la interfaz redundante aparece como cada.

!"#== [http://securityccie.wordpress.com/2010/04/29/asa-failover-and-redundancy/] ASA FAILOVER AND REDUNDANCY

REQUISITOS. 1. modelo identico 2. cantidad de ram 3. numero y tipo de interfaces 4. Mdulos externos. 5. Llave de activacin con las mismas caractersticas.

- Modo de failover - Nivel de encriptacin. - Nmero de pares VPN.

Interfaz activa: Responsable de crear las tablas de estado y translation, transferir los paquetes de datos y monitorizar las otras unidades.

Interfaz standby. responsable de monitorizar el estado de la unidad activa.

Los puertos activo y standby se conectan mediante un enlace dedicado de red y envan mensajes de failover uno al otro (FAILOVER CONTROL LINK)

FAILOVER CONTROL LINK informa acerca de: estado de la unidad. estado del enlace

CONDICIONES PARA EL FAILOVER. -conmutacin manual del administrador.

!"#================ MAKING INTERNAL SERVERS AVAILABLE: STATIC ADDRESS MAPING books.google.com.ec/books?id=m3B_FhdXGsC&pg=PA74&lpg=PA74&dq=public+ip&source=bl&ots=zjooGIK9t E&sig=9C2kAvfxmRAW6X2N_7ZSW_2C_cU&hl=en&sa=X&ei=_WAuUPn1Gejk0 QGsyoHgAw&redir_esc=y#v=onepage&q&f=true

La direccin IP real de un servidor accesible desde internet en un red protegida por un firewall no es conocida en el mundo exterior. Los usuarios conocen solo la IP pblica del firewall. El configurar mapeos de direcciones estaticas [STATIC ADDRESS MAPPINGS] en el firewall permite que los intentos de acceder a la direccin pblica del firewall de redireccione al servidor interno.

SAM tambin pueden usarse para el trfico de salida de la red. Se requiere que NAT (remplazo de la ip privada de la red interna a la direccin pblica al conectarse a internet) use siempre la misma ip pblica para conexiones de una determinada PC en la red interna hacia el internet.

Se asume que el NAT del firewall usa automticamente la propia direccin externa del firewall y selecciona dinmicamente que puerto usar, e.g. Si un PC con IP 10.1.65.2 quiere conectarse a un pc con ip 39.4.18.13 (internet), el firewall asigna un puerto a la pc interna, usa un puerto de la ip asignada por el ISP (23.1.4.10) y se comunica as con el exterior

10.1.2.10:43006 --> 23.1.1.10:6004 >>> 39.4.18:80.

El puerto de la pc lo escoge la PC, el puerto del firewall el firewall y una vez terminada la conexin, el mapeo es removido.

ASIGNACION ESTATICA DE IP. Si el ISP suministra multiples IP para usar en el firewall, puede asignarse algunas IP publicas a ciertas IP privadas (tanto para trfico outbound e inbound).

Rango de IPs 23.1.4.8 - 23.1.4.15. Se puede asignar todas las 8 direcciones IP a la nic externa del firewall, si no se realiza SAA, NAT solo puede usar la primera IP para todas las conexiones de internet, el firewall podra manejar todas las conexiones con una sola IP pblica.

En ocasiones es necesario configurar el firewall para que un PC interna siempre use la misma IP pblica al conectarse a internet. Se configura el firewall para usar una IP PUBLICA ESPECIFICA (186.5.86.2) para todas las solicitudes de salida que haga un PC interna.

10.1.65.7:* --> 186.5.86.12:* >>>> *:*

CONVERSION INBOUND ESTATICA.(PORT FORWARDING / SERVER PUBLISHING)

Se usa para hacer que un servidor de la red interna este disponible para usuarios en el internet. El firewall debe redirigir ciertos puertos inbound de la IP publica del firewall al servidor de la red interna. DASHBOARD TAB. Permite ver de manera rpida informacin acerca del estado de las interfaces, la versin que se ejecuta, informacin de licencia y desempeo.

Device information Pane. Tiene dos pestaas. General. Tiene dos pestaas.