2011-2012 UD4 Actividad 6 Cortafuegos Hardware José Jiménez Arias IES Gregorio Prieto
1. Elabora un informe sobre los cortafuegos hardware Cisco PIX (Private Internet Exchange) y la tecnología ASA de Cisco. PIX (Private Internet EXchange). Siglas utilizada por el fabricante tecnológico Cisco, para referirse a sus modelos de equipos Cortafuegos. Se trata de un firewall completamente hardware: a diferencia de otros sistemas cortafuegos, PIX no se ejecuta en una máquina Unix, sino que incluye un sistema operativo empotrado denominado Finesse que desde espacio de usuario se asemeja más a un router que a un sistema Unix clásico. El cortafuegos PIX utiliza un algoritmo de protección denominado Adaptive Security Algorithm (ASA): a cualquier paquete inbound (generalmente, los provenientes de redes externas que tienen como origen una red protegida) se le aplica este algoritmo antes de dejarles atravesar el firewall, aparte de realizar comprobaciones contra la información de estado de la conexión (PIX es stateful) en memoria; para ello, a cada interfaz del firewall se le asigna un nivel de seguridad comprendido entre 0 (la interfaz menos segura, externa) y 100 (la más segura, interna). La filosofía de funcionamiento del Adaptive Security Algorithm se basa en estas reglas: Ningún paquete puede atravesar el cortafuegos sin tener conexión y estado. Cualquier conexión cuyo origen tiene un nivel de seguridad mayor que el destino (outbound) es permitida si no se prohíbe explícitamente mediante listas de acceso. Cualquier conexión que tiene como origen una interfaz o red de menor seguridad que su destino (inbound) es denegada, si no se permite explícitamente mediante listas de acceso. Los paquetes ICMP son detenidos a no ser que se habilite su tráfico explícitamente. Cualquier intento de violación de las reglas anteriores es detenido, y un mensaje de alerta es enviado a syslog. Cuando a una interfaz del cortafuegos llega un paquete proveniente de una red con menor nivel de seguridad que su destino, el firewall le aplica el adaptive security algorithm para verificar que se trata de una trama válida, y en caso de que lo sea comprobar si del host origen se ha establecido una conexión con anterioridad; si no había una conexión previa, el firewall PIX crea una nueva entrada en su tabla de estados en la que se incluyen los datos necesarios para identificar a la conexión. El cortafuegos PIX puede resultar muy complejo de gestionar, especialmente a los que provienen del mundo Unix, ya que como hemos dicho se asemeja más a un router que a un servidor con cualquier flavour de Unix; es por tanto recomendable consultar bibliografía adicional antes de trabajar con estos equipos. Una buena referencia puede ser [JF01], así como la documentación sobre el producto que está disponible a través de la web de Cisco Systems. 2
Los Dispositivos de Seguridad Adaptativos de Cisco ASA Serie 5500 ofrecen una seguridad de última generación con la flexibilidad necesaria para satisfacer las necesidades de su compañía a medida que ésta crece y cambia. Características destacadas Los Dispositivos de Seguridad Adaptativos de Cisco ASA Serie 5500 soportan: Personalización:Personalice la seguridad según sus necesidades de acceso específicas y sus políticas comerciales. Flexibilidad: Conforme su negocio crezca y necesite cambios, podrá agregar fácilmente capacidades o actualizar de un dispositivo a otro. Seguridad avanzada: Aproveche los últimos avances en seguridad de contenidos, cifrado, autenticación de identidad, autorización y prevención de intrusiones. Simplicidad: Utilice un dispositivo diseñado para ser fácil de instalar, gestionar y supervisar. Redes avanzadas: Configure redes privadas virtuales (VPN) que proporcionen a los trabajadores remotos y móviles un acceso seguro a los recursos de la compañía o establezca VPN entre partners, otras oficinas o empleados basadas en roles. Los Dispositivos de Seguridad Adaptativa de Cisco ASA Serie 5500 ofrecen una amplia gama de características y posibles ventajas, entre las que se incluyen: Características de seguridad galardonadas. Soporte para dos VPN para comunicación entre oficinas o partners, con expansión de hasta 25 (ASA 5505) o 750 (ASA 5520) empleados. Soporte para cualquier tipo de red de área local desde 5 (ASA 5505) hasta 250 (ASA 5550) usuarios de red. Opciones múltiples para conexiones de red de alta velocidad, en función de sus necesidades de rendimiento. Paquetes preconfigurados para facilitar los pedidos y la configuración Opciones para incrementar la fiabilidad. 3
2. Elabora un informe sobre productos comerciales que implemente Gestión Unificada de Amenazas Firewall UTM (Unified Threat Management). UTM es la evolución de los firewalls de hardware, un UTM analiza y procesa el trafico de red a tiempo real. El UTM combina un firewall, un antivirus, un anti spam, un filtro de contenido, un servidor VPN, un servidor de correo, un servidor web, un servidor DNS y un servidor proxy, todo ello en un único aparato y a tiempo real. La filosofía de un Unified Threat Management, es procesar y analizar todo el contenido antes de que entre a la red corporativa. Limpiando la red corporativa de virus, gusanos, troyanos, spyware, correo spam (correo no deseado), páginas web maliciosas mediante filtros avanzados, protegiendo la entrada no autorizada a la red corporativa a través de VPN y otros sistemas de intrusión. Z 150 Series UTM/Firewall/VPN Appliance La serie de SonicWALL TZ 150 es una plataforma de seguridad total que entrega protección a pequeña y oficinas de casa con mucha facilidad de uso y bajo costo. Integra tecnología stateful deep packet inspection firewall. Este equipo compacto incluye un Puerto WAN ethernet auto- MDIX y cuatro puertos auto-mdix LAN switch, permitiendo que múltiples dispositivos se conecten de forma segura a la red. Construido con la arquitectura SonicWALL's deep packet inspection, el TZ 150 series provee la más alta seguridad por integrar gateway anti-virus, anti-spyware, prevención de intrusos, filtrado de contenido y la capacidad de administración de anti-virus para desktop. 4
PRO 1260 UTM/Firewall/VPN Appliance UD4 Actividad 6 Cortafuegos Hardware El SonicWALL PRO 1260 (Secure Switch) es una plataforma de seguridad para el perimetro y para la red interna, integra tecnología deep packet inspection firewall/vpn con un switch inteligente wire-speed de 24-puertos, posee un switch que permite que la seguridad de la red sea como una roca solida, es flexible y confiable. Diseñado para aplicaciones de redes medianas. El PRO 1260 posee la característica unica de SonicWALL PortShield (PortShield) arquitectua con la cual permite a todos sus 24 puertos en el switch ser independientes y facilmente configurar de forma personalizada zonas seguras o grupos de PortShield, donde cada puerto es dueño de un firewall virtual. PRO 4100 UTM/Firewall/VPN Appliance El SonicWALL PRO 4100 es un ventajoso Firewall appliance que unifica la administración de ataques en tiempo real, utilizando interfaces de 10 gigabit para eficientemente proteger interna y externamente las redes corporativas, sitios centrales, ambientes distribuidos y data centers. El PRO 4100 combina alta velocidad de gateway anti-virus, anti-spyware, intrusion prevention y capacidades poderosas para la inspección profunda de los paquetes(deep packet inspection). También proporciona un extenso arreglo de características avanzadas de networking y de configuración en una plataforma económica que a su vez es muy flexible para la implementación y administración en diferentes y variados ambientes de redes. PRO 5060 UTM/Firewall/VPN Appliance El SonicWALL PRO 5060 es un appliance de alto rendimiento, es un multi-service security gateway orientado para redes de mediana y gran empresa, integra gigabitclass firewall, VPN, gateway anti-virus, intrusion prevention y anti-spam dentro de una misma plataforma, es fácil de instalar y de administrar. Posee un poderoso rendimiento de mas de 2.4 Gbps Stateful Packet Inspection Firewall. El PRO 5060 viene en dos configuraciones: 6 interfaces x 10/100/1000 Cobre Gigabit Ethernet o 2 interfaces x SX/SC fibra Multimode y 4 interfaces x 10/100/1000 Cobre Gigabit Ethernet. 5