Tema 4 – Cortafuegos
Juan Luis Cano Condés Página 1
Práctica 6 – Cortafuegos Hardware
Se van a configurar infomres sobre cortafuegos hardware y se configurará el cortafuegos ASA
de la clase.
a) Informe sobre PIX y cortafuegos CISCO
CISCO ha diseñado diferentes versiones de cortafuegos para realizar filtro en redes
empresariales. Su distribución PIX tiene un sistema operativo propio y se basa en la
implementación de su protocolo ASA (Adaptive Security Algorithm) para realizar la protección.
La filosofía de funcionamiento del Adaptive Security Algorithm se basa en estas reglas:
Ningún paquete puede atravesar el cortafuegos sin tener conexión y estado.
Cualquier conexión cuyo origen tiene un nivel de seguridad mayor que el destino
(outbound) es permitida si no se prohíbe explícitamente mediante listas de acceso.
Cualquier conexión que tiene como origen una interfaz o red de menor seguridad que
su destino (inbound) es denegada, si no se permite explícitamente mediante listas de
acceso.
Los paquetes ICMP son detenidos a no ser que se habilite su tráfico explícitamente.
Cualquier intento de violación de las reglas anteriores es detenido, y un mensaje de
alerta es enviado a syslog.
Cuando a una interfaz del cortafuegos llega un paquete proveniente de una red con
menor nivel de seguridad que su destino, el firewall le aplica el adaptive security
algorithm para verificar que se trata de una trama válida, y en caso de que lo sea
comprobar si del host origen se ha establecido una conexión con anterioridad; si no
había una conexión previa, el firewall PIX crea una nueva entrada en su tabla de
estados en la que se incluyen los datos necesarios para identificar a la conexión.
Entre sus muchos recursos, permite idear redes privadas virtuales (VPN) con diversas
expansiones para comunicar diferentes modelos de cortafuegos CISCO. También ofrece un
completo sistema de personalización para adecuar el diseño del cortafuegos a la necesidades
que se creen en la red sobre la cual se va a gestionar.
Tras PIX, CISCO creó el nuevo modelo ASA que es el que se distribuye actualmente. Ofrece una
nueva línea con protección antimalware que corresponden con la nueva línea 55XX. Estos
dispositivos incluyen servicios de prevención de intrusiones (IPS) y concentrado de VPNs. Es
por esto que Cisco Systems indica que un ASA realizar por sí solo las tareas que hasta ahora
requerían 3 dispositivos separados: un firewall PIX, un VPN Concentrator (como el VPN 3000) y
un IPS como el Cisco IPS 4000.
Cisco PIX es y ha sido un excelente firewall, pero en los últimos años los requerimientos de
prestaciones de seguridad de las redes ha variado sensiblemente.
Ya no resulta suficiente proteger a la red con un firewall en capacidad de realizar un filtrado de
paquetes stateful. Han aparecido nuevos riesgos que incluyen virus, gusanos, phishing,
Tema 4 – Cortafuegos
Juan Luis Cano Condés Página 2
ataques de capa de aplicación, la ejecución de aplicaciones no deseadas como mensajería
instantánea, programas P2P, juegos, etc. El dispositivo que protege de este tipo o variedad de
riesgos de seguridad es lo que denomina un Anti-X, o sea un dispositivo que brinda protección
contra múltiples riesgos. El nuevo ASA de CISCO ofrece todos los servicios en uno, aplicándole
la nueva gama de cortafuegos UTM.
b) Informe sobre Firewall UTM
UTM (en inglés: Unified Threat Management) o Gestión Unificada de Amenazas. El término fue
utilizado por primera vez por Charles Kolodgy, de International Data Corporation (IDC), en
2004.
Las organizaciones de todos los tamaños están encarando retos relacionados a la seguridad de
la información. Las regulaciones gubernamentales, el alto costo de la pérdida de imagen
pública cuando se da un ataque, y la creciente complejidad de los nuevos ciber-ataques, son
sólo algunos de estos retos.
Las organizaciones actuales confían en entornos informáticos seguros y de alta
disponibilidad para realizar para desarrollar sus negocios. Los firewalls y los UTM (Unified
Threat Management) son componentes claves de una red segura y deben ser gestionados
adecuadamente para asegurarse de que protegen sus activos de información crítica.
Se utiliza para describir los cortafuegos de red que engloban múltiples funcionalidades en una
misma máquina, algunos de los servicios que ofrece son:
UDP
VPN
Antispam
Antiphishing
Antispyware
Filtro de contenidos
Antivirus
Detección/Prevención de Intrusos (IDS/IPS)
Se trata de cortafuegos a nivel de capa de aplicación que pueden trabajar de dos modos:
Modo proxy: hacen uso de proxies para procesar y redirigir todo el tráfico interno.
Modo Transparente: no redirigen ningún paquete que pase por la línea, simplemente
lo procesan y son capaces de analizar en tiempo real los paquetes. Este modo, como es
de suponer, requiere de unas altas prestaciones hardware.
Tema 4 – Cortafuegos
Juan Luis Cano Condés Página 3
c) Configuración ASA utilizando CLI
Se va a utilizar este escenario para utilizar el cortafuegos ASA.
Se va a utilizar este escenario para utilizar el cortafuegos ASA.
Entramos en el ASA. (El modo enable no tiene contraseña)
Tema 4 – Cortafuegos
Juan Luis Cano Condés Página 4
Se ve la memoria flash.
Tema 4 – Cortafuegos
Juan Luis Cano Condés Página 5
Se ve el running-config.
Tema 4 – Cortafuegos
Juan Luis Cano Condés Página 6
Se borra el startup y se reinicia.
Se ven los parámetros por defecto.
Tema 4 – Cortafuegos
Juan Luis Cano Condés Página 7
Tema 4 – Cortafuegos
Juan Luis Cano Condés Página 8
Y tras ello se configura el ASA. La contraseña es “cisco” sin comillas y se guarda la
configuración.
Tema 4 – Cortafuegos
Juan Luis Cano Condés Página 9
Se cnfigura el ASA mediante CLI.
Se ve la interfaz e0/0
Tema 4 – Cortafuegos
Juan Luis Cano Condés Página 10
Se le añaden las VLAN.
Se ven las interfaces.
Se conecta con el cliente y se observan las VLAN.
Tema 4 – Cortafuegos
Juan Luis Cano Condés Página 11
Se prueba el telnet y el ping a las interfaces del ASA, no funcionan ya que no está habilitada la
conexión Telnet ni el acceso.
Ahora se realiza el Telnte desde el equipo A.
La conexión no se realiza.
Tema 4 – Cortafuegos
Juan Luis Cano Condés Página 12
Se realiza un ping desde el equipo C con el mismo resultado.
Se activa telnet en el dispositivo ASA.
Se prueba telnet en el PC_B con buen resultado.
Tema 4 – Cortafuegos
Juan Luis Cano Condés Página 13
Se configura ASDM.
Tras ello se comprueba en el cliente PC B en el navegador mediante el protocolo https.
Tema 4 – Cortafuegos
Juan Luis Cano Condés Página 14
Si se visita el sitio web se puede acceder a ASDM, pero se habilitará y configurará en la
siguiente práctica del ASA.
Se realiza ping desde el ASA a los dos equipos.
Tema 4 – Cortafuegos
Juan Luis Cano Condés Página 15
Se configura el enrutamiento y se realiza el ping de nuevo.
Como la versión es anterior a la versión 8.3, el comando no entra en el ASA.
Tema 4 – Cortafuegos
Juan Luis Cano Condés Página 16
Se configura el MPF. Primero se observa el running.
Se configura DHCP.
Se ve el running buscando dhcp.
Se genera una clave RSA.
Tema 4 – Cortafuegos
Juan Luis Cano Condés Página 17
Se habilita SSH.
Se realiza una conexión SSH desde PC C al ASA (se observa el crptograma RSA configurado
previamente).
Tema 4 – Cortafuegos
Juan Luis Cano Condés Página 18
Tema 4 – Cortafuegos
Juan Luis Cano Condés Página 19
Configuracion NAT DMZ
No entra el comando por la versión. (objet network no modifica adecuandamente el ASA).
Tema 4 – Cortafuegos
Juan Luis Cano Condés Página 20
d) Configuración ASA utilizando ASDM
Se configura el ASA de nuevo, esta vez en modo gráfico.