Tema 4 Cortafuegos - juanlusad2.files.wordpress.com · Se van a configurar infomres sobre...

20
Tema 4 – Cortafuegos Juan Luis Cano Condés Página 1 Práctica 6 – Cortafuegos Hardware Se van a configurar infomres sobre cortafuegos hardware y se configurará el cortafuegos ASA de la clase. a) Informe sobre PIX y cortafuegos CISCO CISCO ha diseñado diferentes versiones de cortafuegos para realizar filtro en redes empresariales. Su distribución PIX tiene un sistema operativo propio y se basa en la implementación de su protocolo ASA (Adaptive Security Algorithm) para realizar la protección. La filosofía de funcionamiento del Adaptive Security Algorithm se basa en estas reglas: Ningún paquete puede atravesar el cortafuegos sin tener conexión y estado. Cualquier conexión cuyo origen tiene un nivel de seguridad mayor que el destino (outbound) es permitida si no se prohíbe explícitamente mediante listas de acceso. Cualquier conexión que tiene como origen una interfaz o red de menor seguridad que su destino (inbound) es denegada, si no se permite explícitamente mediante listas de acceso. Los paquetes ICMP son detenidos a no ser que se habilite su tráfico explícitamente. Cualquier intento de violación de las reglas anteriores es detenido, y un mensaje de alerta es enviado a syslog. Cuando a una interfaz del cortafuegos llega un paquete proveniente de una red con menor nivel de seguridad que su destino, el firewall le aplica el adaptive security algorithm para verificar que se trata de una trama válida, y en caso de que lo sea comprobar si del host origen se ha establecido una conexión con anterioridad; si no había una conexión previa, el firewall PIX crea una nueva entrada en su tabla de estados en la que se incluyen los datos necesarios para identificar a la conexión. Entre sus muchos recursos, permite idear redes privadas virtuales (VPN) con diversas expansiones para comunicar diferentes modelos de cortafuegos CISCO. También ofrece un completo sistema de personalización para adecuar el diseño del cortafuegos a la necesidades que se creen en la red sobre la cual se va a gestionar. Tras PIX, CISCO creó el nuevo modelo ASA que es el que se distribuye actualmente. Ofrece una nueva línea con protección antimalware que corresponden con la nueva línea 55XX. Estos dispositivos incluyen servicios de prevención de intrusiones (IPS) y concentrado de VPNs. Es por esto que Cisco Systems indica que un ASA realizar por sí solo las tareas que hasta ahora requerían 3 dispositivos separados: un firewall PIX, un VPN Concentrator (como el VPN 3000) y un IPS como el Cisco IPS 4000. Cisco PIX es y ha sido un excelente firewall, pero en los últimos años los requerimientos de prestaciones de seguridad de las redes ha variado sensiblemente. Ya no resulta suficiente proteger a la red con un firewall en capacidad de realizar un filtrado de paquetes stateful. Han aparecido nuevos riesgos que incluyen virus, gusanos, phishing,

Transcript of Tema 4 Cortafuegos - juanlusad2.files.wordpress.com · Se van a configurar infomres sobre...

Page 1: Tema 4 Cortafuegos - juanlusad2.files.wordpress.com · Se van a configurar infomres sobre cortafuegos hardware y se configurará el cortafuegos ASA ... el firewall le aplica ... a

Tema 4 – Cortafuegos

Juan Luis Cano Condés Página 1

Práctica 6 – Cortafuegos Hardware

Se van a configurar infomres sobre cortafuegos hardware y se configurará el cortafuegos ASA

de la clase.

a) Informe sobre PIX y cortafuegos CISCO

CISCO ha diseñado diferentes versiones de cortafuegos para realizar filtro en redes

empresariales. Su distribución PIX tiene un sistema operativo propio y se basa en la

implementación de su protocolo ASA (Adaptive Security Algorithm) para realizar la protección.

La filosofía de funcionamiento del Adaptive Security Algorithm se basa en estas reglas:

Ningún paquete puede atravesar el cortafuegos sin tener conexión y estado.

Cualquier conexión cuyo origen tiene un nivel de seguridad mayor que el destino

(outbound) es permitida si no se prohíbe explícitamente mediante listas de acceso.

Cualquier conexión que tiene como origen una interfaz o red de menor seguridad que

su destino (inbound) es denegada, si no se permite explícitamente mediante listas de

acceso.

Los paquetes ICMP son detenidos a no ser que se habilite su tráfico explícitamente.

Cualquier intento de violación de las reglas anteriores es detenido, y un mensaje de

alerta es enviado a syslog.

Cuando a una interfaz del cortafuegos llega un paquete proveniente de una red con

menor nivel de seguridad que su destino, el firewall le aplica el adaptive security

algorithm para verificar que se trata de una trama válida, y en caso de que lo sea

comprobar si del host origen se ha establecido una conexión con anterioridad; si no

había una conexión previa, el firewall PIX crea una nueva entrada en su tabla de

estados en la que se incluyen los datos necesarios para identificar a la conexión.

Entre sus muchos recursos, permite idear redes privadas virtuales (VPN) con diversas

expansiones para comunicar diferentes modelos de cortafuegos CISCO. También ofrece un

completo sistema de personalización para adecuar el diseño del cortafuegos a la necesidades

que se creen en la red sobre la cual se va a gestionar.

Tras PIX, CISCO creó el nuevo modelo ASA que es el que se distribuye actualmente. Ofrece una

nueva línea con protección antimalware que corresponden con la nueva línea 55XX. Estos

dispositivos incluyen servicios de prevención de intrusiones (IPS) y concentrado de VPNs. Es

por esto que Cisco Systems indica que un ASA realizar por sí solo las tareas que hasta ahora

requerían 3 dispositivos separados: un firewall PIX, un VPN Concentrator (como el VPN 3000) y

un IPS como el Cisco IPS 4000.

Cisco PIX es y ha sido un excelente firewall, pero en los últimos años los requerimientos de

prestaciones de seguridad de las redes ha variado sensiblemente.

Ya no resulta suficiente proteger a la red con un firewall en capacidad de realizar un filtrado de

paquetes stateful. Han aparecido nuevos riesgos que incluyen virus, gusanos, phishing,

Page 2: Tema 4 Cortafuegos - juanlusad2.files.wordpress.com · Se van a configurar infomres sobre cortafuegos hardware y se configurará el cortafuegos ASA ... el firewall le aplica ... a

Tema 4 – Cortafuegos

Juan Luis Cano Condés Página 2

ataques de capa de aplicación, la ejecución de aplicaciones no deseadas como mensajería

instantánea, programas P2P, juegos, etc. El dispositivo que protege de este tipo o variedad de

riesgos de seguridad es lo que denomina un Anti-X, o sea un dispositivo que brinda protección

contra múltiples riesgos. El nuevo ASA de CISCO ofrece todos los servicios en uno, aplicándole

la nueva gama de cortafuegos UTM.

b) Informe sobre Firewall UTM

UTM (en inglés: Unified Threat Management) o Gestión Unificada de Amenazas. El término fue

utilizado por primera vez por Charles Kolodgy, de International Data Corporation (IDC), en

2004.

Las organizaciones de todos los tamaños están encarando retos relacionados a la seguridad de

la información. Las regulaciones gubernamentales, el alto costo de la pérdida de imagen

pública cuando se da un ataque, y la creciente complejidad de los nuevos ciber-ataques, son

sólo algunos de estos retos.

Las organizaciones actuales confían en entornos informáticos seguros y de alta

disponibilidad para realizar para desarrollar sus negocios. Los firewalls y los UTM (Unified

Threat Management) son componentes claves de una red segura y deben ser gestionados

adecuadamente para asegurarse de que protegen sus activos de información crítica.

Se utiliza para describir los cortafuegos de red que engloban múltiples funcionalidades en una

misma máquina, algunos de los servicios que ofrece son:

UDP

VPN

Antispam

Antiphishing

Antispyware

Filtro de contenidos

Antivirus

Detección/Prevención de Intrusos (IDS/IPS)

Se trata de cortafuegos a nivel de capa de aplicación que pueden trabajar de dos modos:

Modo proxy: hacen uso de proxies para procesar y redirigir todo el tráfico interno.

Modo Transparente: no redirigen ningún paquete que pase por la línea, simplemente

lo procesan y son capaces de analizar en tiempo real los paquetes. Este modo, como es

de suponer, requiere de unas altas prestaciones hardware.

Page 3: Tema 4 Cortafuegos - juanlusad2.files.wordpress.com · Se van a configurar infomres sobre cortafuegos hardware y se configurará el cortafuegos ASA ... el firewall le aplica ... a

Tema 4 – Cortafuegos

Juan Luis Cano Condés Página 3

c) Configuración ASA utilizando CLI

Se va a utilizar este escenario para utilizar el cortafuegos ASA.

Se va a utilizar este escenario para utilizar el cortafuegos ASA.

Entramos en el ASA. (El modo enable no tiene contraseña)

Page 4: Tema 4 Cortafuegos - juanlusad2.files.wordpress.com · Se van a configurar infomres sobre cortafuegos hardware y se configurará el cortafuegos ASA ... el firewall le aplica ... a

Tema 4 – Cortafuegos

Juan Luis Cano Condés Página 4

Se ve la memoria flash.

Page 5: Tema 4 Cortafuegos - juanlusad2.files.wordpress.com · Se van a configurar infomres sobre cortafuegos hardware y se configurará el cortafuegos ASA ... el firewall le aplica ... a

Tema 4 – Cortafuegos

Juan Luis Cano Condés Página 5

Se ve el running-config.

Page 6: Tema 4 Cortafuegos - juanlusad2.files.wordpress.com · Se van a configurar infomres sobre cortafuegos hardware y se configurará el cortafuegos ASA ... el firewall le aplica ... a

Tema 4 – Cortafuegos

Juan Luis Cano Condés Página 6

Se borra el startup y se reinicia.

Se ven los parámetros por defecto.

Page 7: Tema 4 Cortafuegos - juanlusad2.files.wordpress.com · Se van a configurar infomres sobre cortafuegos hardware y se configurará el cortafuegos ASA ... el firewall le aplica ... a

Tema 4 – Cortafuegos

Juan Luis Cano Condés Página 7

Page 8: Tema 4 Cortafuegos - juanlusad2.files.wordpress.com · Se van a configurar infomres sobre cortafuegos hardware y se configurará el cortafuegos ASA ... el firewall le aplica ... a

Tema 4 – Cortafuegos

Juan Luis Cano Condés Página 8

Y tras ello se configura el ASA. La contraseña es “cisco” sin comillas y se guarda la

configuración.

Page 9: Tema 4 Cortafuegos - juanlusad2.files.wordpress.com · Se van a configurar infomres sobre cortafuegos hardware y se configurará el cortafuegos ASA ... el firewall le aplica ... a

Tema 4 – Cortafuegos

Juan Luis Cano Condés Página 9

Se cnfigura el ASA mediante CLI.

Se ve la interfaz e0/0

Page 10: Tema 4 Cortafuegos - juanlusad2.files.wordpress.com · Se van a configurar infomres sobre cortafuegos hardware y se configurará el cortafuegos ASA ... el firewall le aplica ... a

Tema 4 – Cortafuegos

Juan Luis Cano Condés Página 10

Se le añaden las VLAN.

Se ven las interfaces.

Se conecta con el cliente y se observan las VLAN.

Page 11: Tema 4 Cortafuegos - juanlusad2.files.wordpress.com · Se van a configurar infomres sobre cortafuegos hardware y se configurará el cortafuegos ASA ... el firewall le aplica ... a

Tema 4 – Cortafuegos

Juan Luis Cano Condés Página 11

Se prueba el telnet y el ping a las interfaces del ASA, no funcionan ya que no está habilitada la

conexión Telnet ni el acceso.

Ahora se realiza el Telnte desde el equipo A.

La conexión no se realiza.

Page 12: Tema 4 Cortafuegos - juanlusad2.files.wordpress.com · Se van a configurar infomres sobre cortafuegos hardware y se configurará el cortafuegos ASA ... el firewall le aplica ... a

Tema 4 – Cortafuegos

Juan Luis Cano Condés Página 12

Se realiza un ping desde el equipo C con el mismo resultado.

Se activa telnet en el dispositivo ASA.

Se prueba telnet en el PC_B con buen resultado.

Page 13: Tema 4 Cortafuegos - juanlusad2.files.wordpress.com · Se van a configurar infomres sobre cortafuegos hardware y se configurará el cortafuegos ASA ... el firewall le aplica ... a

Tema 4 – Cortafuegos

Juan Luis Cano Condés Página 13

Se configura ASDM.

Tras ello se comprueba en el cliente PC B en el navegador mediante el protocolo https.

Page 14: Tema 4 Cortafuegos - juanlusad2.files.wordpress.com · Se van a configurar infomres sobre cortafuegos hardware y se configurará el cortafuegos ASA ... el firewall le aplica ... a

Tema 4 – Cortafuegos

Juan Luis Cano Condés Página 14

Si se visita el sitio web se puede acceder a ASDM, pero se habilitará y configurará en la

siguiente práctica del ASA.

Se realiza ping desde el ASA a los dos equipos.

Page 15: Tema 4 Cortafuegos - juanlusad2.files.wordpress.com · Se van a configurar infomres sobre cortafuegos hardware y se configurará el cortafuegos ASA ... el firewall le aplica ... a

Tema 4 – Cortafuegos

Juan Luis Cano Condés Página 15

Se configura el enrutamiento y se realiza el ping de nuevo.

Como la versión es anterior a la versión 8.3, el comando no entra en el ASA.

Page 16: Tema 4 Cortafuegos - juanlusad2.files.wordpress.com · Se van a configurar infomres sobre cortafuegos hardware y se configurará el cortafuegos ASA ... el firewall le aplica ... a

Tema 4 – Cortafuegos

Juan Luis Cano Condés Página 16

Se configura el MPF. Primero se observa el running.

Se configura DHCP.

Se ve el running buscando dhcp.

Se genera una clave RSA.

Page 17: Tema 4 Cortafuegos - juanlusad2.files.wordpress.com · Se van a configurar infomres sobre cortafuegos hardware y se configurará el cortafuegos ASA ... el firewall le aplica ... a

Tema 4 – Cortafuegos

Juan Luis Cano Condés Página 17

Se habilita SSH.

Se realiza una conexión SSH desde PC C al ASA (se observa el crptograma RSA configurado

previamente).

Page 18: Tema 4 Cortafuegos - juanlusad2.files.wordpress.com · Se van a configurar infomres sobre cortafuegos hardware y se configurará el cortafuegos ASA ... el firewall le aplica ... a

Tema 4 – Cortafuegos

Juan Luis Cano Condés Página 18

Page 19: Tema 4 Cortafuegos - juanlusad2.files.wordpress.com · Se van a configurar infomres sobre cortafuegos hardware y se configurará el cortafuegos ASA ... el firewall le aplica ... a

Tema 4 – Cortafuegos

Juan Luis Cano Condés Página 19

Configuracion NAT DMZ

No entra el comando por la versión. (objet network no modifica adecuandamente el ASA).

Page 20: Tema 4 Cortafuegos - juanlusad2.files.wordpress.com · Se van a configurar infomres sobre cortafuegos hardware y se configurará el cortafuegos ASA ... el firewall le aplica ... a

Tema 4 – Cortafuegos

Juan Luis Cano Condés Página 20

d) Configuración ASA utilizando ASDM

Se configura el ASA de nuevo, esta vez en modo gráfico.