Embed Size (px)
Citation preview
Introducción Cisco-PixFirewall
Ing. Civil en SistemasRicardo E. Gómez M.
ESQUEMA DE PROTECCION A.S.A.
-Adaptative Security Algoritm- “ Stateful” y Orientado a la Conexión.- Flujo de sesiones se basa en :* Dirección Fuente – Destino* Secuencia TCP* Número de Puertos
-Puede controlar tanto tráfico saliente como entrante.
CUT-THROUGH PROXY
-Metodo de verificación de usuarios, sirve para denegar o permitir accesopara cualquier tipo de aplicación TCP o UDP
ESTRUCTURA FUNCIONAMIENTO
CISCO-PIX
Segmento IP PúblicaPAT: 200.54.156.42/29
LAN-1: 192.168.1.X
Server smtp
ServerFTP
LAN-2: 172.30.1.X
INTERNET
VPN Cliente
-Acceso Internet- Accseso Controlado- VPN Client – StoS- Fix Up- Ruteo Interno
APLICACIONES RED FIREWALL
INTERNET
CISCO-PIX506-E
Segmento IP PúblicaPAT: 200.54.156.42/29
LAN-1: 192.168.1.X
DIAGRAMA RED FIREWALL
CISCO-PIX506-E
LAN-1: 192.168.1.X
e0
Ouside200.54.156.42
e1
Inside192.168.1.1
interface ethernet0 autointerface ethernet1 autonameif ethernet0 outside security0nameif ethernet1 inside security100...................................................ip address outside 200.54.156.42 255.255.255.248ip address inside 192.168.1.1 255.255.255.0 ...................................................global (outside) 1 200.54.156.43-200.54.156.45 netmask 255.255.255.248global (outside) 1 200.54.156.46...................................................nat (inside) 1 0.0.0.0 0.0.0.0 0 0 route outside 0.0.0.0 0.0.0.0 200.54.156.41 1...................................................conduit permit icmp any any...................................................telnet 192.168.1.0 255.255.255.0 inside
ACCESO INTERNET
N.A.T. ó P.A.T.
NAT
- Permite ocultar los host`s del interior de la red.- La asociación de las IP`s del NAT con los User es “uno a uno”- Permite Protocolo de Señalización H.323
global (outside) 1 200.54.156.43-200.54.156.45 netmask 255.255.255.248
PAT
- Port Address Traslation- Permite la asociación de varias IP inside a una sola outside- Permite realizar Over Flow.- No permite protocolo de Señalización H.323
global (outside) 1 200.54.156.46
CISCO-PIX506-E
LAN-1: 192.168.1.X
e0ouside
e1inside
nat (inside) 1 192.168.1.0 255.255.255.0..........................................................................................................................nat (inside) 1 192.168.1.10 255.255.255.255nat (inside) 1 192.168.1.11 255.255.255.255nat (inside) 1 192.168.1.12 255.255.255.255nat (inside) 1 192.168.1.13 255.255.255.255.........................................................................................................................access-list USER permit tcp host 192.168.1.10 anyaccess-list USER permit udp host 150.81.30.10 anyaccess-list USER permit icmp host 150.81.30.10 any.............................................................. access-list USER permit ip host 150.81.30.65 any............................................................................................................................access-list USER permit tcp host 192.168.1.10 any eq 22 access-list USER permit tcp host 192.168.1.10 any eq ftp-data access-list USER permit tcp host 192.168.1.10 any eq ftpaccess-list USER permit udp host 192.168.1.10 any eq snmp................................................................access-group USER in interface inside
El PIX NO filtra:- Usuarios sobre un ambiente Dinámico.- Usuarios por Horarios y Fechas.- Sitios Internet por palabra en URL.- No entrega privilegios por User y Pass.- El acceso de una Zona insegura a otra segura sólo se hace a través de N.A.T.
CONTROL USUARIOS
CISCO-PIX506-E
LAN-1: 192.168.1.X
e0ouside
e1inside
ServerSMTP-Web192.168.1.5
static (inside,outside) 200.54.156.43192.168.1.5 netmask 255.255.255.255................................................................access-list 101 permit tcp any host 200.54.182.143 eq smtpaccess-list 101 permit tcp any host 200.54.182.143 eq www
200.54.156.43
SERVIDORES - INSIDE
SERVIDOR DMZ
CISCO-PIX 515E
LAN-1: 192.168.1.X
Server FTP-WEB192.168.0.2
ServerFTP
nameif ethernet2 DMZ security20...........................................................ip address DMZ 192.168.0.1 255.255.255.0................................................static (inside,DMZ) 192.168.1.0 192.168.1.0 netmask 255.255.255.0 0 0...................................................static (DMZ,outside) 200.54.156.43 192.168.0.2 netmask 255.255.255.255 0 0......................................................conduit permit tcp host 200.54.156.43 eq ftp anyconduit permit tcp host 200.54.156.43 eq www any.........................................................alias (inside) 200.54.156.42 192.168.0.2 255.255.255.255
e0
Ouside200.54.156.42
e1
Inside192.168.1.1
DMZ192.168.0.1
200.54.156.43
FIXUP - PROTOCOL
fixup protocol ftp 21
fixup protocol h323 h225 1720
fixup protocol h323 ras 1718-1719
fixup protocol http 80
fixup protocol ils 389
fixup protocol rsh 514
fixup protocol rtsp 554
fixup protocol sip 5060
fixup protocol sip udp 5060
fixup protocol skinny 2000
fixup protocol smtp 25
fixup protocol sqlnet 1521
CISCO-PIX506-E
LAN-1: 192.168.1.X
e0
Ouside200.54.156.42
e1
Inside192.168.1.1
IP SRC IP DST PORT
A.B.C.D. X.X.X.X PPP
---- ----- ---
--- ----- ---
VPN CLIENTE
CISCO-PIX
LAN-1: 192.168.1.X
ServerFTP
LAN-2: 172.30.1.X
INTERNET
VPN Cliente
VPN CLIENTE
CISCO-PIX
LAN-1: 192.168.1.X
ServerFTP
LAN-2: 172.30.1.X
INTERNET
VPN Cliente
POOL VPN172.30.100.X
* VPN CLIENT tiene sus puertos y protocolos abiertos.
* VPN CLIENT, NO permite acceder a Internet por la misma interface Outside.
* VPN CLIENT, NO permite el paso de Broadcast.
CISCO VPN CLIENTCISCO-PIX
INTERNET
VPN Cliente
POOL VPNSOPORTE192.168.100.X
access-list 101 permit ip 192.168.0.0 255.255.255.0 192.168.100.0 255.255.255.0............................................nat (inside) 0 access-list 101ip local pool “remoto” 192.168.100.1-192.168.100.10.................................sysopt connection permit-ipseccrypto ipsec transform-set myset esp-des esp-md5-hmaccrypto dynamic-map dynmap 10 set transform-set mysetcrypto map mymap 10 ipsec-isakmp dynamic dynmapcrypto map mymap client configuration address initiatecrypto map mymap client configuration address respondcrypto map mymap interface outsideisakmp enable outsideisakmp policy 20 authentication pre-shareisakmp policy 20 encryption desisakmp policy 20 hash md5isakmp policy 20 group 2isakmp policy 20 lifetime 86400vpngroup userA address-pool “remoto”vpngroup userA idle-time 1800vpngroup userA password ******
192.168.0.X
ACCESO CONMUTADO
PARAMETROS VPNCONJUNTO TRANSFORMADA
crypto ipsec transform-set myset esp-des esp-md5-hmac
ESP: Encapsulation Security Payload, define la confidencialidad, autenticación e integridad de los datos(payload)/ Cifrado de Payload de los paquetes con un algoritmo de encryptación
DES: Algoritmo de Encriptación de 56 bit´s
MD5: Autentificación
IPSEC
ESP
DES / 3DES HMAC-MD5 / HMAC SHA
AH
HMAC-MD5 / HMAC SHA
PARAMETROS VPNISAKMP: Internet Security Association and Key Management Protocol
isakmp enable outsideisakmp policy 20 authentication pre-shareisakmp policy 20 encryption desisakmp policy 20 hash md5isakmp policy 20 group 2isakmp policy 20 lifetime 86400
CRYPTO MAP
crypto dynamic-map dynmap 10 set transform-set mysetcrypto map mymap 10 ipsec-isakmp dynamic dynmapcrypto map mymap client configuration address initiatecrypto map mymap client configuration address respondcrypto map mymap interface outside
ACCESO PIX - VPN
CISCO-PIX
POOL VPNSOPORTE192.168.100.X
192.168.0.X
VPN Cliente-1
INTERNET
VPN Cliente-2
NAT
OUTSIDE
200.54.156.42
INSIDE
192.169.0.1
access-list 80 permit ip host 200.54.156.42 192.168.100.0 255.255.255.0....................................................telnet 192.168.100.0 255.255.255.0 outside
isakmp nat-traversal ( usuarios VPN que utilizan NAT para acceder a Intenet )
MULTI-USUARIOS VPN
CISCO-PIXINTERNET
VPN Cliente-1NAT
OUTSIDE
200.54.156.42VPN Cliente-2
VPN Cliente-3
- PIX indica a usuario que él será su nuevo gateway,todos los paquetes sólo conocen al PIX como gateway.
- Usuario Pierde su entorno de red.- Usuario Pierde Acceso a Internet.
SPLIT TUNNELaccess-list split permit ip 192.168.0.0 255.255.255.0 192.168.100.0 255.255.255.0.........................................vpngroup aeropuerto1 split-tunnel split
MONITOREO INTERNET
....................logging onlogging buffered debugginglogging trap debugginglogging host inside 10.10.10.2...................
RnR entrega información:• Uso Básico de acceso a Internet.• 20 IP`s de URL más visitados.• Bytes Inbound/Outbound por IP.• Protocolos y Puertos utilizados.• Errores y Advertensias.• Puede filtrar una IP especifica.
MONITOREO INTERNET
