Académique Documents
Professionnel Documents
Culture Documents
Itzcatl Espinoza
Ingeniero de Soporte para Latinoamrica CCIE en Seguridad #33540
2013-2014 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 3
Cisco Confidential
Si desea bajar una copia de la presentacin de hoy, escane el QR o vaya a sta direccin:
https://supportforums.cisco.com/docs/DOChttps://supportforums.cisco.com/docs/DOC-39598
Cisco Confidential
Cisco Confidential
a) b) c) d) e)
Cisco Confidential
Julio Carvajal
Ingeniero en Seguridad 22 de Enero del 2014
Agenda
Introduccin a un IOS Firewall. Componentes claves de un Firewall. Funcionalidades avanzadas de un IOS Firewall. Como resolver problemas en un IOS Firewall. Laboratorio.
Cisco Confidential
10
Firewall
Que es un Firewall?
Sistema de Seguridad que se encarga de inspeccionar trfico de tal manera que se respeten las politcas de seguridad acerca del uso de el internet y la red local en la empresa.
Que es ZBFW?
ZBFW es la herramienta que nos permite transformar nuestro router en un dispositivo de seguridad de alta calidad capaz de filtrar paquetes de manera avanzada.
Aparece en la versin de Cisco IOS 12.4(6) T buscando reemplazar CBAC. Se puede utilizar CBAC y ZBFW en el mismo router?
La respuesta es S, siempre y cuando no se habilite en la misma interface.
Cisco Confidential
11
Introduccin a ZBFW
Consiste en dividir al router en diferentes zonas. Las interfaces del router posteriormente se asignarn a cada zona.
diferentes zonas.
Una interface que forma parte de una zona esta configurada con ZBFW.
Introduccin a ZBFW
Trfico entre interfaces de la misma zona no es protegido por defecto (IOS
15.1)
Por defecto todo el trfico entre diferentes zonas es denegado.
ZBFW utiliza el Self-Zone para proteger las interfaces del router (Ms
Cisco Confidential
13
Implementacin de ZBFW
Dividir al router en diferentes zonas segn la infraestructura de red.
Cisco Confidential
14
2da pregunta a la audiencia: Quiero denegar todo el trfico de la zona Outside a la zona Inside. No tengo ninguna poltica configurada. Qu debo hacer?
a)
Configurar una poltica de la zona outside a inside que bote todo el trfico. trfico. Configurar una poltica de la zona a inside a outside para que inspeccione el trfico y el de vuelta sea botado. botado. Nada, por defecto debera de ser denegado
b)
c)
Cisco Confidential
15
Implementacin de ZBFW
Tenemos 2 interfaces: -Una que conecta hacia los servidores internos. -La otra nos permite tener acceso a Internet.
Inside
Outside
Cisco Confidential
16
Configuracin de ZBFW
Crear las Zonas de Seguridad.
requerida.
Aplicar la Poltica de Seguridad entre las diferentes zonas
Nota: Nota ZBFW utiliza C3PL (Cisco Common Classification Policy Language) para su configuracin.
Cisco Confidential
17
segn el escenario.
Recordemos que para que ZBFW sea habilitado las interfaces deben de pertenecer
Cisco Confidential
18
Identificar el Trfico
Se lleva a cabo mediante el uso de class-maps. Clasifican el trfico utilizando protocolos o listas de acceso. Tenemos 2 tipos de class-maps:
Match-All (Usada por defecto): Para que esta clase sea utilizada todos los prametros dentro de una clase deben de estar presente en el paquete a clasificar. Match-Any: Con solo que identifique un parmetro dentro de un paquete IP con respecto a esta clase ser suficiente para hacer un match.
Cisco Confidential
19
trfico.
Cisco Confidential
20
Configuracin de Class-Map
Supongamos que queremos clasificar el protocolo HTTP dentro de una
defecto el match-all.
Cisco Confidential
21
Policy-Map
Es la parte de la configuracin donde yo determino que accin voy a tomar contra el trfico previamente clasificado. Es por ende que en cada policy-map hago referencia a clases de trfico. A continuacin vamos a discutir las diferentes opciones que tengo para configurar en un policy-map.
Cisco Confidential
22
Cisco Confidential
23
Pass: Pass:
Es el equivalente a un permit en una lista de acceso. Es unidireccional, no genera ninguna entrada en la tabla de estado del firewall. El trfico de vuelta debe ser permitido manualmente.
Drop: Drop:
Equivalente a un Deny en una lista de acceso.
Police:
Limita la cantidad de bits que pueden ser transferidos para una clase
Cisco Confidential
24
Service-Policy
Aqu es donde se aplican las polticas de seguridad.
Cisco Confidential
25
Tan pronto configuremos esto ZBFW estar siendo utilizado en esas interfaces.
Cisco Confidential
26
3ra Pregunta a la audiencia Con la siguiente configuracin, Cundo tengo que hacer match a un paquete?
a)
Siempre y cuando el paquete venga sobre TCP y tenga puerto destino 80 Siempre y cuando el paquete venga sobre UDP y tenga puerto destino 53 Nunca existir tal paquete. paquete. Siempre y cuando el paquete sea ambos TCP/UDP TCP/UDP y venga con puerto orign orign 80 y destino 53
Cisco Confidential 27
b)
c)
d)
Inside
Outside
Cisco Confidential
28
configuradas en una interface donde el comando IP Inspect este aplicado (Osea para el trfico entrante se revisa la lista de acceso solo si CBAC no esta configurado).
Con ZBFW el comportamiento cambia debido a que ambos son
tomados en cuenta. Primero se revisar la lista de acceso y posteriormente la tabla de estado de un Firewall.
Cisco Confidential
29
polticas de inter-zona.
Cisco Confidential
30
Recuerda:
Todas las direcciones IP asignadas a las interfaces de los routers
pertenecen a la zona Self-Zone (esto sin importar si la interface esta asociada a una zona o no.
Inspeccin a nivel de aplicacin no se soporta en una poltica que vaya a
asignarse al Self-Zone debido a que no gasta recursos del sistema identificando el tipo de protocolo.
A la hora de configurar una politica para el Self-Zone tome en cuenta:
Cisco Confidential
31
Cisco Confidential
32
Cisco Confidential
33
buscar informacin dentro de el contenido del paquete (payload) para determinar si el trfico es vlido o no.
Ejemplos: 1. 2. 3.
Permitir trfico HTTP solo si va hacia google.com Permitir Emails que tengan hasta cierta cantidad de caracteres. Denegar el uso de ciertas aplicaciones P2P.
Cisco Confidential
34
SMTP
Asegurarse que los emails tienen un tamao que respeta lo configurado.
SUNRPC
Solo ciertos programas sean accessados via RPC.
P2P
Identificar y denegar trfico que es enviado va P2P apps (Kazaa, Gnutella, Edonkey, etc)
HTTP
Con este protocolo puedes realizar multiples acciones ya que puedes identificar trfico basado en mltiples valores como header host value , URI, etc.
Cisco Confidential
35
Cisco Confidential
36
Cisco Confidential
37
Cisco Confidential
38
Cisco Confidential
39
Este es un reemplazo del comando IP inspect log drop-pkt. Lo menor que se puede configurar el intervalo como dijimos previamente es a 30 segundos. NOTA: NOTA Existe la posibilidad de que no se vean los paquetes que son botados por el class class-default aunque tengamos el ip inspect log drop-pkt. Para esas ocasiones se recomienda habilitar el log en el class class-default.
Esto ha sido observado en 15.0 y 15.1 con el class-default. Al parecer no muestra los paquetes botados por defecto.
2013-2014 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 40
Debugs
En 15.1 y despus:
Cisco Confidential
41
Comandos Debug :
Antes de IOS 15
Cisco Confidential
42
Nos permite ver los paquetes que fueron denegados. Nos muestra cuando se inicia una sesin y cuando esta se termina nicamente. No es til para ZBFW. Porqu aparte de mostrarnos cuando una sesin se establece y termina tambin nos muestra la cantidad de bytes intercambiados.
Cisco Confidential 43
b)
c)
d)
ZBFW Lab
Cisco Confidential
44
Escenario
El router llamado ZBFW y R2 comunican al sitio A con el Sitio B,
Cisco Confidential
45
Tareas
Como administradores de red se nos ha solicitado implementado configurar el
router ZBFW como un IOS Firewall de tal manera que se consiga lo siguiente: Utilizar una zona denominada Inside y otra llamada Outside. Proteger al router utilizando el Self-Zone. Inspeccionar el siguiente trfico proveniente del Inside hacia el Outside
Sesiones RDP al servidor 10.0.0.4 Sesiones HTTP y Telnet al servidor 10.0.0.2
Inspeccionar nicamente trfico ICMP de la zona Outside a Inside. Configurar el IOS FW de tal manera que podamos observar los paquetes que se botan por el proceso de Zone-Based Firewall y adems el inicio y cierre de sesiones as como la cantidad de bytes utilizados.
2013-2014 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 46
Resultado de la Implementacin
Luego de la implementacin verificar que la red funciona de la siguiente
manera: La vecindad de OSPF funciona. El IPSec VPN funciona de manera correcta. Sesiones Telnet y HTTP a 10.0.0.2 se establecen de la zona Inside a la zona Outside. Trfico ICMP de la red externa a la red interna funciona. Verificar que se generan logs por paquetes botados por el IOS-Firewall y aparte ver la cantidad de bytes enviados.
2013-2014 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 47
Para llenar la evaluacin haga clik en el link que est en el chat, tambin aparecer automticamente al cerrar el browser de la sesin.
Cisco Confidential
49
Puede ver la grabacin de este evento, y leer las preguntas y respuestas en 5 das hbiles en: en:
You can catch the video or read the Q&A five business days after the event at https://supportforums.cisco.com/community/netpro/ask-the-expert/webcasts https:// ://supportforums.cisco.com/community/spanish/espacio https ://supportforums.cisco.com/community/spanish/espaciosupportforums.cisco.com/community/spanish/espacio-dede-loslosexpertos/webcasts
https://supportforums.cisco.com/thread/2208725
Estar presentando el experto de Cisco: Sergio Barragn Durante este evento en vivo, el experto de Cisco se
cubrirn los mtodos de Turboboot y CLI para la instalacin y actualizacin del sistema IOS XR. XR. Se hablar de la teora del procedimiento, se abarcarn los principales errores y obstculos que se encuentran al realizar estos procedimientos. procedimientos.. Participe
con nosotros para obtener mayor informacin sobre este tema y podr hacer preguntas a los expertos de Cisco. Cisco.
2013-2014 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 51
Ingls
https://supportforums.cisco.com/community/russian
Cisco Confidential
52
Reconocimientos en la Comunidad
El reconocimiento al PartcipanteDestacado de la Comunidad se otorga a los miembros que demuestran liderazgo y colaboracin con la Comunidad, est diseado para reconocer y agradecer a aquellas personas que colaboran con contenido tcnico de calidad y ayudan a posicionar nuestra comunidad como el destino nmero uno para las personas interesadas en tecnologa Cisco.
2013-2014 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 53
Esto es con el fin de que nos ayude a distinguir contenido de calidad y tambin para reconocer los esfuerzos de los integrantes de la Comunidad de Soporte de Cisco en espaol. https://supportforums.cisco.com/community/spanish/general/blog/201 3/06/21/ahora-ratings-en-documentos-blogs-y-videos
Cisco Confidential
54
La Comunidad de Soporte de Cisco cuenta con una aplicacin de Acceso Mvil hacia la Comunidades Globales > Espaol, Portugus, Japons, Ruso, y Polaco. Polaco. https://supportforums.cisco.com/docs/DOC-34800
Cisco Confidential
55
https://supportforums.cisco.com/community/spanish https://supportforums.cisco.com/community/spanish
Cisco Cono Sur Comunidad Cisco Cansac CiscoSupportCommunity @ciscocansacsm @ciscoconosur @cisco_support
56
CiscoLatam ciscosupportchannel
CSC-Cisco-Support-Community
http://www.radiocisco.net/
2013 Cisco and/or its affiliates. All rights reserved. 57