Académique Documents
Professionnel Documents
Culture Documents
Los nuevos modelos de seguridad adaptable mejoran la seguridad en oficinas remotas y en entornos de grandes
empresas
18 de septiembre de 2006. - Cisco Systems ha anunciado hoy dos nuevos modelos de su familia de dispositivos de
seguridad adaptable Cisco ASA 5500: la solucin Cisco ASA 5505, una solucin de nueva generacin diseada para
mejorar la defensa de las redes en Pymes, oficinas remotas y teletrabajadores de la empresa; y el Cisco ASA 5550,
que extiende la proteccin de clase gigabit contra amenazas e incluye servicios de gran escalabilidad IPsec y Secure
Sockets Layer para redes privadas virtuales (SSL VPN) para los sitios web de grandes empresas. Cisco ha
anunciado tambin numerosas mejoras para el software ya existente de la familia Cisco ASA que, al combinarse con
las ventajas de una cartera de dispositivos ms amplia, puede ampliar los beneficios de una seguridad integrada en
toda la organizacin.
Los dispositivos Cisco ASA 5505 y 5550 son componentes centrales de la estrategia Self-Defending Network de
Cisco Systems. Ambos dispositivos forman parte de una familia de dispositivos de seguridad de red multifuncin que
ofrece la amplitud y profundidad necesarias para proteger empresas de cualquier tamao. Su defensa proactiva
frente a amenazas evita que los ataques se extiendan por toda la red de la empresa, permitiendo a las empresas
proteger varios segmentos de una red al mismo tiempo, lo que consolida la inversin en seguridad y minimiza la
complejidad de las instalaciones y reduce los costes operativos.
Diseado para proporcionar servicios de seguridad de alto rendimiento para entornos de ancho de banda de nueva
generacin, Cisco ASA 5505 ofrece una rendimiento de firewall de 150 Megabits por segundo (Mbps) y una
rendimiento de VPN encriptado de 100 Mbps. Tambin ofrece flexibilidad y proteccin de la inversin significativa
mediante su diseo modular nico, ofreciendo una ranura de expansin para capacidades futuras. Adems, el Cisco
ASA 5505 puede funcionar como un cliente VPN de hardware para simplificar la gestin. Ofrece servicios VPN SSL
acelerados a travs de hardware, un switch de 8 puertos 10/100 integrado compatible con la creacin de mltiples
zonas de seguridad y dos puertos integrados de Power-over-Ethernet (PoE). Entre sus diversos usos, dichos
puertos PoE ofrecen una instalacin intuitiva y sencilla para telfonos Cisco IP y puede proporcionar energa a
puntos de acceso Cisco con la que se mejora la movilidad del usuario.
El Cisco ASA 5550 incluye el firewall de Cisco, lder del sector y los servicios IPsec/SSL VPN dirigidos a entornos de
red para grandes empresas. Puede proporcionar ms de 1,2 gigabits por segundo (Gbps) de rendimiento de firewall
y da soporte a 200 redes de rea local virtuales (VLAN), de modo que las empresas pueden segmentar su red en
numerosas zonas de alto rendimiento para mejorar la seguridad. Tambin ofrece servicios VPN escalables, que
soportan hasta 5.000 clientes IPsec y SSL VPN por aplicacin. Mediante sus capacidades de agrupacin de VPN y
de balanceo de carga, las empresas pueden agrupar hasta 10 dispositivos Cisco ASA 5550, dando servicio a 50.000
usuarios simultneos de IPsec y SSL VPN.
Al ampliar el alcance de la familia Cisco ASA y aprovecharse de los nuevos servicios Cisco ASA Software 7.2, las
empresas pueden ampliar la aplicacin de seguridad a travs de su red. Ofrece ms de 50 nuevas opciones de
seguridad que refuerzan el firewall de capa de aplicaciones de la familia Cisco ASA, VPN de acceso remoto, alta
disponibilidad, integracin de redes y capacidades de gestin.
De estas mejoras, algunas de las ms significativas son los servicios de firewall en la capa de aplicaciones y la
integracin de servicios con Cisco Network Admission Control (NAC). Los servicios de firewall en la capa de
aplicaciones de Cisco proporcionan a las empresas un mayor control sobre sus dispositivos y ayudan a prevenir que
las amenazas accedan a las redes empresariales. Adems, mejoran la proteccin de protocolos de aplicaciones
como web, correo electrnico, voz sobre Protocolo Internet (VoIP), mensajera instantnea, transferencia de archivos
y protocolos de red Microsoft. El soporte de Cisco ASA para las soluciones NAC de Cisco administra evaluaciones
integrales para usuarios y dispositivos que accedan a la red mediante conexiones IPsec y SSL VPN. Esta evaluacin
incluye la comprobacin de las actualizaciones correspondientes de software de seguridad y sistemas operativos
antes de conceder acceso a los privilegios en red.
Una cartera de dispositivos de seguridad adaptable de Cisco ms amplia y unas capacidades de seguridad ms
ricas nos ayudan a proteger nuestras inversiones en tecnologa, desde la red hasta los dispositivos dispersos,
explica Tom Lewis, director de red de rea extensa global en Oakley, Inc. La serie Cisco ASA 5500 nos da una
plataforma de seguridad polifactica para minimizar el riesgo operativo y mejorar la eficacia. Con las adiciones de los
dispositivos Cisco ASA 5505 y 5550, podemos extender con facilidad este valor desde grandes oficinas
empresariales hasta nuestras sucursales ms pequeas y alejadas.
Las soluciones Cisco ASA 5500 ofrecen una gestin flexible mediante el Cisco Adaptive Security Device Manager
(ASDM). Cisco ASDM 5.2 da soporte a todas las nuevas caractersticas de Cisco ASA Software 7.2 y ofrece
numerosas mejoras por s mismo, como una nueva opcin de rastreo de paquetes que mejora significativamente la
eficacia en la solucin de problemas. El rastreador de paquetes proporciona un anlisis paso a paso de cmo se
procesan los paquetes en una aplicacin de la serie Cisco ASA 5500 y puede ayudar a identificar y remediar errores
de configuracin con rapidez.
Adems de estas caractersticas, Cisco ha anunciado mejoras en la seguridad de contenidos de la serie Cisco ASA
5500 y el Mdulo de Servicios de Seguridad de Control (Control Security Services Module, CSC SSM). CSC SSM
6.1 proporciona proteccin contra software malicioso desarrollado por Trend Micro e incorpora una opcin mejorada
contra correo electrnico no deseado mediante Network Reputation Services (NRS), un servicio de Trend Micro que
puede detener hasta el 80% del correo no deseado antes de que invada la red de la empresa. Este nuevo software
tambin permite un control centralizado del mdulo CSC para conseguir una seguridad coordinada en toda la red de
empresa, basado en Trend Micro Control Manager.
Mejoras de Cisco IOS Software
Cisco Systems ha anunciado tambin la disponibilidad de Cisco IOS 12.4(9)T, que incorpora un firewall de
aplicaciones adicional y capacidades de VPN en los routers de seguridad de Cisco, ampliando el liderazgo de Cisco
Systems proporcionando enrutamiento, seguridad, voz y servicios inalmbricos convergentes en una nica
plataforma.
Las nuevas mejoras de firewall permiten a los departamentos tcnicos detectar y controlar aplicaciones no
empresariales, reducir la proliferacin de gusanos y proteger el ancho de banda de WAN. Las mejoras de firewall
para aplicaciones de punto a punto incluyen definiciones de protocolos para controlar BitTorrent, eDonkey,
FastTrack, KaZaA y Gnutella y la posibilidad de instalar definiciones sin tener que actualizar la imagen del software.
Adems, la integracin de Cisco con los servicios IP y con las funciones de seguridad en el router permite al firewall
establecer sesiones con lmite de ancho de banda, lo que supone un control sin precedentes sobre el uso del ancho
de banda WAN.
Otras mejoras se destinan a las capacidades de supervisin para Dynamic Multipoint VPN, la solucin de Cisco lder
del sector para VPN de sitio a sitio, as como autenticacin adicional y registro para accesos remotos a SSL VPN.
Configurar VPN L2L - ASA con IOS 8.0 y/o IOS 8.4
Hubo pocos cambios de sintaxis en los comandos necesarios para configurar VPN L2L en los
equipos Cisco ASA de la versin IOS 8.0 a la IOS 8.4; sin embargo, los "viejos comandos
"son reconocidos an en la nueva versin, detallo en este documento los cambios de sintaxis
a los que se actualizan.
Para el ejemplo, utilice la siguiente topologa de red:
I PARTE: ENRUTAMIENTOS
Primero configuramos las redes de las 4 zonas en las interfaces correspondientes de los 5
equipos (router ISP, ASA-A, PC-A, ASA-B y PC-B)
1. ROUTER ISP
En el router que hace de ISP (Internet Service Provider), es un Cisco 3700 con IOS 12.4
R2#sh ver
Cisco IOS Software, 3700 Software (C3725-ADVENTERPRISEK9-M), Version
12.4(15)T14, RELEASE SOFTWARE (fc2)
Technical Support: http://www.cisco.com/techsupport
0:
1:
2:
3:
4:
Ext:
Ext:
Ext:
Ext:
Ext:
GigabitEthernet0
GigabitEthernet1
GigabitEthernet2
GigabitEthernet3
GigabitEthernet4
:
:
:
:
:
address
address
address
address
address
is
is
is
is
is
00ab.f9d5.e200,
00ab.f9d5.e201,
0000.abed.5d02,
0000.ab93.b804,
0000.ab36.2805,
irq
irq
irq
irq
irq
perpetual
perpetual
perpetual
perpetual
perpetual
perpetual
perpetual
perpetual
0
0
0
0
0
:
:
:
:
:
:
:
:
:
:
:
:
25
Disabled
5000
0
Enabled
Disabled
Disabled
Enabled
10
10
Enabled
Enabled
perpetual
perpetual
perpetual
perpetual
perpetual
perpetual
perpetual
perpetual
perpetual
perpetual
perpetual
perpetual
4. CISCO ASA-B
El equipo ASA-B tambin es un Cisco ASA-5520 con IOS 8.4(2)
ciscoasa# sh ver
Cisco Adaptive Security Appliance Software Version 8.4(2)
Compiled on Wed 15-Jun-11 18:17 by builders
System image file is "Unknown, monitor mode tftp booted image"
Config file at boot was "startup-config"
ciscoasa up 14 secs
Hardware:
ASA 5520, 1024 MB RAM, CPU Pentium II 1000 MHz
Internal ATA Compact Flash, 256MB
BIOS Flash unknown @ 0x0, 0KB
0: Ext: GigabitEthernet0
1: Ext: GigabitEthernet1
2:
3:
4:
5:
Ext:
Ext:
Ext:
Ext:
GigabitEthernet2
GigabitEthernet3
GigabitEthernet4
GigabitEthernet5
:
:
:
:
address
address
address
address
is
is
is
is
0000.ab4b.8c02,
0000.ab6f.b303,
0000.ab77.db04,
0000.ab9c.e405,
irq
irq
irq
irq
0
0
0
0
perpetual
perpetual
perpetual
perpetual
perpetual
perpetual
perpetual
perpetual
perpetual
perpetual
perpetual
perpetual
perpetual
perpetual
perpetual
perpetual
perpetual
perpetual
perpetual
perpetual
?!!!!
ASA-B(config)# ping 200.87.100.10(para validar que llegamos a la IP publica del otro
ASA-A, desde el otro extremo ahora tambin ya podramos llegar a la IP publica del ASA-B)
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 200.87.100.10, timeout is 2 seconds:
!!!!!
Configurando la interfaz Inside del equipo ASA-B
ASA-B(config)# interface G1
ASA-B(config-if)# ip address 192.168.200.1 255.255.255.0
ASA-B(config-if)# nameif inside
INFO: Security level for "inside" set to 100 by default.
ASA-B(config-if)# no shutdown
5. PC-B
Ahora configuramos la PC-B, utilic un cliente Linux Quemu
tc@box:~$ sudo su
root@box:~#ifconfig eth0 192.168.200.2 netmask 255.255.255.0
root@box:~#ifconfig eth0 (para ver la configuracin de la interfaz)
root@box:~#route add default gw 192.168.200.1 eth0 (para configurarle
Gateway)
root@box:~#ping 192.168.200.1 (para validar comunicacin hacia ASA-B)
PING 192.168.200.1 (192.168.200.1): 56 data bytes
64 bytes from 192.168.200.1: seq=0 ttl=255 time=171.327ms
64 bytes from 192.168.200.1: seq=1 ttl=255 time=19.643ms
^C (CTRL+C para cancelar salida)
II CONFIGURAR VPN
1. Validad comunicacin entre IPS pblicas
Validar que hay comunicacin entre IPs publicas de ambos ASAS, que
no estn bloqueados trficos IPSEC o IKE para establecer vpns no deben estar bloqueados
los puertos:
2 seconds:
30/148/600
2 seconds:
30/108/390
2. Configurar poltica ISAKMP para IOS 8.0 politica IKEv1 para IOS 8.4(2)
ASA-A con IOS 8.0:
ASA-A(config)# crypto isakmp policy 1
ASA-A(config-ikev1-policy)# authentication pre-share
ASA-A(config-ikev1-policy)# encryption aes-256
ASA-A(config-ikev1-policy)# hash sha
ASA-A(config-ikev1-policy)# group 2
ASA-A(config-ikev1-policy)# lifetime 86400
ASA-B con IOS 8.4(2)
ASA-B(config)# crypto ikev1
ASA-B(config-ikev1-policy)#
ASA-B(config-ikev1-policy)#
ASA-B(config-ikev1-policy)#
ASA-B(config-ikev1-policy)#
ASA-B(config-ikev1-policy)#
policy 1
authentication pre-share
encryption aes-256
hash sha
group 2
lifetime 86400