UNIVERSIDAD POLITECNICA SALESIANA FACULTAD DE INGENIERIAS ESCUELA DE INGENIERIA ELECTRONICA

INFORME DE ASACX RELIAZADO POR: PAUL GUAMAN

DOCENTE: Ing. BYRON CARRION

MATERIA: REDES DE COMUNICACIONES

CICLO LECTIVO: SEPTIEMBRE 2012 - ENERO 2013

CUENCA ECUADOR

A continuacin se va tratar de dar un informe detallado de la seccin dictada acerca de firewall por un ingeniero de cisco, la sesin fue dictada el da martes 18 de diciembre de ao 2012. Presentador: Cristian Venegas, Ingeniero consultor en CISCO TEMA: IMPLEMENTANDO FIREWALL BASADO EN CONTEXTO CON CISCO ASA-CX Temas a tratar: Overview de la tecnologa del producto, Arquitectura de Hardware Arquitectura de Software Arquitectura de Management Objetivos: Tener un breve conocimiento acerca del ASA CX, ya que es algo nuevo que se esta implementando en cuanto a seguridad.

OVERVIEW La complejidad de la seguridad ha ido aumentando. Antes las aplicaciones estaban asociadas en un puerto, mientras que en la actualidad las aplicaciones busca la forma de salir a la red saltando de puerto en puerto. La productividad vs la seguridad: al pasar del tiempo disponemos en el medio de varios dispositivos mobiles, para aumentar la seguridad un buen paso sera el no permitir el acceso a la red de muchos de estos dispositivos pero si sucediera esto bajaramos la productividad, en caso contrario de que permitiramos el acceso de todos estos dispositivos a la red estaramos comprometiendo la seguridad. Las tecnologas de reconocimiento de aplicaciones dejan pasar un poco el trfico para poder reconocer Servicios del ASA CX: Provee servicio de inteligencia de principio a fin Provee una serio de controles granulares

Habilita dispositivos de forma segura, con proteccin frente a amenazas Arquitectura expansible Se integra con productos de anterior arquitectura

ASA CX, es parte de la arquitectura de seguridad de CISCO, en un firewall consciente de contexto. A donde se quiere llegar con este producto es que este se integre con las funciones de control de admisin a la red, y que este control sea a lo largo de toda la red. El control sobre el contexto, de manera de poder tomar maneras de seguridad: quien, que, donde, cuando y como se esta conectando, y entregar herramientas de visibilidad de nueva generacin. Si alguien comparti un link que contiene amenazas, la idea es brindar la opcin de uno mismo poder bloquear el acceso a dicho link. PRINCIPALES FUNCIONALIDADES DEL ASA CX Es un context-aware firewall Provee servicion de autenticacin activos y pasivos Entrega servicios de aplication visibility control Filtra en base a reputacin url filtering ssp10 ssp20

Es una mezcla entre 2 blades, est conformado por un CX SSP y un ASA SSP, requiere versin ASA 8.4.4 El sistema en gestin es el CISCO PRIME SECURITY MANAGER (PRSM).- permite hacer configuracin, eventos y reporteria, adicionalmente permite gestionar multiples ASA CX, y podemos portar 25 chasis con Role Based Access Control, pudiendo ser operado como una maquina virtual

ARQUITECTURA DE HARDWARE

Tienes discos sobre los cuales se van almacenando eventos que van ocurriendo. Tiene sus puertos, y los puertos de trafico son controlados por el ASA y luego es entregado al ASA CX para su anlisis mas profunda. Los 2 modelos en cuanto a hardware hablamos son: SSP-10 y el SSP-20

Nota: El crypto chipset, hace encriptacin por harware.

ENVIO DE TRFICO: se elige cual es el trafico que se va a enviar al modulo CX, se asocia a un policy map, el mismo que entrega el trafico al modulo CX, y el policy map se asocia a un service policy.

Tipos de POLICY. Autenticacion: como los identificamos Desencriptacion: si desencriptamos todo el trafico, solo el malicioso o nada Acceso: deniega o permite el trafico Autenticacion: Realm o Grupo de servidores de Active directory Active Directory o Multiples maquinas que se pueden comunicar siempre y cuando exista una relacin entre ellas. o Un solo Realm o Soporta Kerberos, NTLM, o Basica para autenticacin activa LDAP o Multiples Realms o Solo soporta Autenticacin Bsica

Polticas de autenticacin: en caso de que se requiera la identidad, podemos decir que se use la identidad cuando este disponible (autenticidad pasiva), otro servicio es que requiera identidad. Autenticacin activa: 1. Requieres http para iniciar la autenticacin 2. Luego de la autenticacin, ASA CX, usa direccin IP para confirmar el usuario. 3. Soporta directorios: Microsoft Active Directory Autenticacin pasiva 1. No pide nada al usuario, el endpoint debe ser parte del dominio 2. Soporta todas las aplicaciones 3. 2 agentes disponibles: AD agente, CDA PROTOCOLOS Vemos trafico en el usuario, ASA cx va a consultor al agente CDA si es parte de la red. DESENCRIPTACION Desencripta el trafico TLS/SSL Presenta un certificado digital confiado

POLITICAS DE ACCESO Permite o deniega la transaccin Crea eventos, captura trafico Conexin condicional, condiciones que se cumplan antes de realizar el proceso Puedo permitir solo el trafico que tiene sitios de buena reputacin

Reputacin WEB Existe una escala para la reputacin de las paginas web estn entre -10 y 10, donde muy buena reputacin estn entre +5 y +10, sitios de comportamiento responsable 0 y +5, sitios de publicidad en lnea se puede poner en una menor reputacin, trafico con reputacin de -10 pueden ser malwares o sitios dainos. COMPATIBILIDAD CON ASA EXISTENTES Puede configurar el asas cx en modo transparente, en failover solo active/stanby, soporta ipv6, lo que no soporta es en modo mltiples-contextos GESTION ACTUAL DE LA ARQUITECTURA El manager va a operar a travs de CLI va a generar comandos sobre el Firewall y estos atraves de SNMP van a ir a un syslog server o SIEM, un administrador se puede conectar vis CLI con el firewall.

GESTION DE ARQUITECTURA. ASA CX / PRSM El ASA CX sabe que esta siendo gestionada por PRSM, en caso de un administrador quisiera gestionar de forma direcat al ASA CX, lo primero que se va a hacer es que el administrador a gestionar el ASA pero primero pasando por el PRSM, de manera que no exista desincronizacin, el protocolo que utiliza para realizar est gestin entre el ASA CX y el PRSM es el RESTful XML..

ASA CX V1, FUNCIONALIDADES: 1. 2. 3. 4. 5. Visibilidad de aplicaciones y control de ellas Aplica filtro URL El uso de reputacin web Autentificar de forma pasiva o activa Encriptacin de SSL.

ASA CX, PLANES FUTUROS: 1. Agregar soporte para desencriptar otros protocolos 2. Se quiero proveer capacidade ips ASA CX, COMPONENTES:

ASA CX Y PRSM o o Entregan y aumenta visibilidad de control y el trafico Aumenta productividad y seguridad

Conclusiones: El nuevo firewall lanzado por cisco tiene varias ventaja en comparacin del que hemos estado estudiando en el laboratorio, entre la principal funcin o caracterstica que crep que es la mas importante es que este nuevo dispositivo ASA CX brinda, es el de tener mayor productividad y mayor seguridad, ya que estos 2 factores son los dominantes para la seguridad.