Clase No. 9 - Firewalls v1.0 (Ing. Raul Pineda)

11/03/2017
Ing. Raul Pineda
Firewalls
1
11/03/2017
Generalidades Configuracin Otras Aplicaciones
En computacin el termino FIREWALL fue adoptado del concepto de

Firewalls fsicos que estn incluidos en los edificios o vehculos para
apagar el fuego.
Un Firewall fsico es un material resistente para detener la fuerza del

fuego, una Firewall de Red previene o detiene trafico indeseado
hacia una red Privada.
Un Firewall de Red es un programa instalado en un dispositivo de

hardware o en parte de sistema de computo con un sistema
operativo conocido. (pc o server)
Bsicamente examina el trafico en la red, tanto entrante como saliente

y lo examina en base a ciertos criterios, para determinar si lo deja
pasar o lo descarga. Si detectan algo anormal pueden tener
procedimientos a seguir o poner en aviso al administrador.
2
11/03/2017
3
11/03/2017
Un Firewall puede proveer:
Conservacin de direcciones IP (NAT)

Redireccionamiento de trafico.
Diferenciacin de Redes
Proteccin contra ataques
Filtros por IP o Puertos
Autenticacin y Encriptacin
Log de Trafico.
Existen otra clasificacin de los Firewalls diferente a la mencionada

anteriormente:
Basado en Host
Basado en Redes y
de Negocio (Enterprise)
Un Firewall de Red protege enteramente la redes internas detrs de el.

Estos tipos de Firewalls pueden ser:
Hardware Firewall.
Normalmente es un ruteador, tiene ciertas reglas para

dejar o no dejar pasar los paquetes.
Software Firewall.
Es un programa que esta corriendo preferentemente en un bastioned

hosts, que verifica los paquetes con diferentes criterios para dejarlos
pasar o descartarlos.
4
11/03/2017
5
11/03/2017
Packet Filters.
Circuit Level Gateways.
Aplication Level Gateways.
Stateful Multilayer Inspection Firewall.
6
11/03/2017
7
11/03/2017
Stateless.
Puede examinar paquetes individualmente. El filtrado es entonces

basado en las caractersticas de cada paquetes.
Stateful.
Puede identificar el protocolo asociado con cada paquete. Esto

significa que cada paquete son vistas como parte de una sesin o
conversacin y el filtrado puede ser basado en el contenido del
trafico
8
11/03/2017
Determinar el nivel de Seguridad requerido.
Determinar el trafico que va a entrar a la red.
Determinar el trafico que va a salir de la red.
Alternativas.
9
11/03/2017
Los administradores o los intrusos pueden usar software de escaneo

para detectar vulnerabilidades en la Red, como puertos abiertos.
Idealmente un administrador deber escanear a red para encontrar
vulnerabilidades para protegerlas antes de que estas sean atacadas.
Existen tres principales tecnicas de escaneo:
Ping Sweep (ping)

Port Scanning (nmap)
Banner Grabbing (telnet o netcat)
Para detectar Scaneo de puertos y otros ataques, se deber usar un

Intrusion Detection Systems (IDS).
Los IDS identifican eventos malicisiosos using 2 tipos de detection.
Signature-Based
Behavior-Based
10
11/03/2017
Restringe el acceso a un punto controlado.
Evita el acercamiento a las dems defensas.
Fuente de decisiones de Seguridad.
Reforzar polticas de seguridad.
Almacena su relacin con Internet.
Limita la exposicin.
Traduccin de Direcciones de red (NAT)
Proteger contra malicias Internas.
Vigilar conexiones que no pasan por el.
Proteger contra amenazas antes desconocidas.
Proteger contra virus.
11
11/03/2017
Existen 2 modos de funcionamiento de los ASA Firewalls, estos

son: Routed Mode y Transparente Mode.
Por default todos los ASA vienen configurados en Modo Routed.
Se puede verificar en que modo esta digitando el siguiente

comando:
Firewall# show firewall
Si al momento de la consulta se encuentra configurado en modo

transparente, se puede configurar en modo de enrutamiento, con
el siguiente comando:
Firewall(config)# firewall router
Un ASA tambin se puede configurar para operar en el modo de

cortafuegos transparente. El ASA parece funcionar como un
dispositivo de capa 2. Esto tambin se conoce como un firewall de
capa 2 o un firewall steathl, debido a que sus interfaces no tienen
direcciones IP y no puede ser detectado o manipulado. Slo una
direccin IP de gestin se puede configurar en el servidor de
seguridad.
12
11/03/2017
Los comandos para configurar un FW transparente son:
1) Firewall(config)# firewall transparent
2) Firewall(config)# interface hardware-id

Firewall(config-if)# speed {auto| 10 | 100 | nonegotiate}
Firewall(config-if)# duplex {auto| full | half}
Firewall(config-if)# [no] shutdown
3) Firewall(config)# interface hardware_id[.subinterface]

Firewall(config-subif)# vlan vlan_id
Firewall(config-if)# nameif if_name
Firewall(config-if)# security-level level
4) Configurando IP de Administracion
Firewall(config)# ip address ip_address subnet_mask
13
11/03/2017
Los comandos para configurar un FW transparente son:
5) Configurando enrutamiento de administracion (opcional)
Firewall(config)# route if_name foreign_network foreign_mask gateway

[metric]
Ejemplo:
Firewall(config)# route outside 0 0 10.1.1.1 1

Firewall(config)# route inside 192.168.1.0 255.255.255.0 10.1.1.2
Firewall(config)# route inside 192.168.100.0 255.255.255.0 10.1.1.2 1
6) Configuracion de access-list y aplicarlas a las interfaces
Firewalls de Cisco ofrece una poltica de seguridad e inspeccin

de trfico con dos principios bsicos:
Address translation (Traduccin de direcciones):

Cuando un host conectado a una interfaz del ASA inicia una
conexin a un host en una interfaz diferente, el Firewall
debe proporcionar una manera de traducir las direcciones IP a
travs de s mismo adecuadamente. Incluso si las direcciones IP
deben aparecer de forma idntica en ambos lados del firewall, la
traduccin an debe ocurrir.
Una excepcin a esto es cuando el comando same-security-

Traffic se utiliza para permitir el paso del trfico entre interfaces
con un nivel de seguridad idntico.
14
11/03/2017
En ese caso, la traduccin de direcciones todava se puede configurar si es

necesario, pero realmente no es necesario.
La otra excepcin es cuando se usa el comando no-nat-control se utiliza.
Access control (control de acceso).

Despus que una traduccin de direcciones se ha establecido, el
trfico se inspecciona y se permite slo si las listas de la interfaz
de acceso lo permitan.
Un ASA diferencia de sus interfaces proporcionando una mayor seguridad

para algunas y menos seguridad a otras.
Por lo tanto, es importante entender cmo las interfaces se relacionan
entre s y cmo el acceso se ofrece con el trfico que se mueve a travs
del ASA.
Outbound Access
se define como las conexiones que se inician desde una interfaz de

mayor seguridad hacia una interfaz de seguridad menor. En otras palabras,
los usuarios de una red ms segura desea conectarse a una red menos
segura.
Un ejemplo son las conexiones desde el interior (mayor seguridad) al

exterior (Menor seguridad).
15
11/03/2017
Tu puedes configurar 2 mecanismos para permitir conexiones salientes

(outbound connections):
-Address translation.
-Outbound access.
Inbound Access.
Se define como las conexiones que se inician a partir de una interfaz de
seguridad ms bajo hacia una interfaz de mayor seguridad. En otras
palabras, los usuarios de una red menos segura desea conectarse a un
Host de una red ms segura.
Ejemplo son las conexiones desde el exterior hacia el interior.
Same-Security Access
ASA 7,0 y 2,2 FWSM (1), estableci la posibilidad de configurar

mltiples interfaces con el mismo nivel de seguridad. En este caso, no
es fcil de clasificar el trfico que pasa entre las interfaces same-
secuitry como entrante o saliente.
Por qu quiero definir dos o ms interfaces teniendo el mismo nivel

de seguridad? Apoyar a los grupos de usuarios o recursos para
permitir el libre intercambio de informacin. En otras palabras, las
comunidades de usuarios tienen la misma confianza y estn bajo el
mismo control administrativo.
Adems, los firewalls de Cisco tienen un nmero finito de niveles de

seguridad nicos que se pueden asignar a las interfaces. Los niveles
de seguridad de 0 a 100 se puede utilizar, lo que representa de la ms
baja a la ms alta seguridad, respectivamente.
16
11/03/2017
Adems, el trfico entre las interfaces con el mismo nivel de

seguridad es de por s permitido, sin ningn requisito para las
listas de acceso. Para habilitar el paso del trfico entre las
interfaces que tienen el mismo nivel de seguridad, use el
siguiente comando de configuracin global :
Firewall(config)# same-security-traffic permit inter-interface
Los Firewalls no suelen permitir que el trfico Hairpin, es decir que entre
y salga por la misma interfaz. A partir de ASA 7.2 (1) y FWSM 2.3 (1),
puede utilizar el siguiente comando de configuracin global para
permitir el trfico Hairpin:
Firewall(config)# same-security-traffic permit intra-interface
-PAT.
Firewall# show xlate
22499 in use, 24492 most used
Global 10.1.1.17 Local 192.168.1.11
Global 10.1.1.16 Local 192.168.1.10
PAT Global 10.1.2.1(10476) Local 192.168.40.251(4705)
PAT Global 10.1.2.1(10382) Local 192.168.48.11(3134)
PAT Global 10.1.2.1(10372) Local 192.168.236.69(1716)
17
11/03/2017
Firewall(config)# static (inside,outside) 169.65.41.100 192.168.100.100 netmask 255.255.255.255 0 0

Firewall(config)# static (inside,outside) 169.65.41.170 192.168.100.170 netmask 255.255.255.255 0 0
18
11/03/2017
Firewall(config)# static (inside,outside) tcp 169.65.41.100 smtp 192.168.100.100 smtp

netmask 255.255.255.255 0 0
Firewall(config)# static (inside,outside) tcp 169.65.41.100 www 192.168.100.200 www
netmask 255.255.255.255 0 0
Firewall(config)# access-
access-list acl_outside permit tcp any host 169.65.41.100 eq smtp
access-list acl_outside permit tcp any host 169.65.41.100 eq www
access-group acl_outside in interface outside
Puede utilizar Policy NAT cuando direcciones reales deben ser

traducidos a varias direcciones diferentes, dependiendo de una
decisin poltica. Una lista de acceso se utiliza para seleccionar
la traduccin de direcciones slo cuando un existe una
coincidencia permitida. Policy NAT puede ser configurado de
dos maneras:
Comando Static: donde las direcciones reales internas se
convierten en direcciones previamente asignadas, en funcin
de los resultados de una lista de acceso. Esta forma de
traduccin se puede utilizar si las conexiones de entrada se
permite a los hosts internos.
Comando nat: donde las direcciones internas reales se
convierten en diferentes direcciones mapeadas asignadas por
el comando global, en funcin de los resultados de una lista
de acceso. Use este forma si los hosts internos slo si se
espera que hagan conexiones salientes, las conexiones
entrantes a los hosts no se permitir.
19
11/03/2017
Static
access-list hostApolicy10 permit ip host 192.168.100.100 10.10.0.0
255.255.0.0
Firewall(config)# static (inside,outside) 192.168.254.10 access-
access-list hostApolicy10 0 0
255.255.0.0
Firewall(config)# static (inside,outside) 192.168.254.50 access-
access-list hostApolicy50 0 0
Firewall(config)# static (inside,outside) 192.168.254.100 192.168.100.100 netmask
255.255.255.255 0 0
Nat
255.255.0.0 Firewall(config)# global (outside) 1 192.168.254.10 255.255.255.255
Firewall(config)# nat (inside) 1 access-
access-list hostApolicy10
255.255.0.0 Firewall(config)# global (outside) 2 192.168.254.50 255.255.255.255
access-list hostApolicy100 permit ip host 192.168.100.100 any
Firewall(config)# global (outside) 3 192.168.254.100 255.255.255.255
20
11/03/2017
Identity puede ser utilizado cuando el host real y la

direccin asignada son idnticos. En otras palabras, la
misma subred IP aparece en ambos lados del Firewall.
Esto es til si usted ha registrado las direcciones IP en el
interior, y no se tiene necesidad de traducirlas en el
exterior.
access-list ExemptList permit ip 128.163.89.0
255.255.255.0 any
Firewall(config)# nat (outside) 0 access-
access-list ExemptList
Para configurar identity NAT para trafico saliente solamente, se podra

usar el siguiente comando:
Firewall(config)# nat (inside) 0 128.163.89.0 255.255.255.0
21
11/03/2017
A veces es posible que tenga necesidad que una

especfica IP (local) tenga que pasar por alto el NAT y
aparecen sin traducir. Esto podra ser necesario slo para
las direcciones IP individuales. NAT Exemption es similar
a un Identity NAT, donde las direcciones IP reales y
asignadas son idnticas. Sin embargo, en NAT Exemption
se utiliza una lista de acceso para definir una poltica para
pasar por la traduccin.
A diferencia de la Identity NAT, permite que las

conexiones puedan ser iniciadas solamente en la
direccion saliente (outbound), NAT exemption permite
que las conexiones que se inicie ya sea en la direccion
entrante o saliente.
Firewall(config)# nat (inside) 1 0 0

Firewall(config)# global (outside) 1 interface
access-list exempt1 permit ip 192.168.1.0
255.255.255.0 192.168.77.0 255.255.255.0
access-list exempt1 permit ip 192.168.1.0
255.255.255.0 192.168.100.0 255.255.255.0
access-list exempt1
22
11/03/2017
Se pueden utilizar para permitir que hosts con direcciones IP

reales puedan compartirse, o "esconderse detrs de" una o ms
direcciones asignadas comunes. La traduccin de direcciones se
produce sobre una base de muchos-a-uno, de manera
dinmica. Esto puede realizarse de dos maneras:
-Dynamic PAT
-Dynamic NAT
23
11/03/2017
Firewall(config)# global (outside) 1 169.54.122.10-

169.54.122.10-169.54.122.60 netmask 255.255.255.128
Firewall(config)# global (outside) 1 169.54.122.61
Firewall(config)# nat (inside) 1 172.16.0.0 255.255.0.0 0 0
Firewall(config)# global (outside) 2 169.54.122.65-
169.54.122.65-169.54.122.125 netmask 255.255.255.128
Firewall(config)# global (outside) 2 169.54.122.126
Firewall(config)# nat (inside) 2 172.17.0.0 255.255.0.0 0 0
Firewall(config)# global (outside) 3 interface
access-list nat_0 0 0 0
access-list acl_no_nat permit ip host 172.16.1.41 192.168.200.0 255.255.255.0
access-list acl_no_nat
access-list acl_inside permit ip 172.16.0.0 255.240.0.0 any
access-list acl_inside deny ip any any
access-group acl_inside in interface inside
24
11/03/2017
Los grupos de objetos puede ser considerado como un tipo de macro

utilizado dentro de las listas de acceso. Los grupos de objetos
pueden contener listas de direcciones IP, tipos de ICMP, IP, o
puertos. Se pueden definir varios tipos diferentes de grupos de
objetos, cada uno contiene una lista de valores similares, como sigue:
Network object group Contains one or more IP addresses.

Protocol object group Contains one or more IP protocols.
ICMP object group Contains one or more ICMP types.
Basic service object group Contains one or more UDP or TCP port
numbers.
Enhanced service object group Beginning with ASA 8.0, service
object groups can contain any mix of protocols, ICMP types, UDP ports,
and TCP ports. Enhanced service object groups can be used for either
source or destination services, or both, in the access list configuration.
25
11/03/2017
Defining Network Object Groups

Defining
Firewall(config)# object-
object-group network Accounting_addrs
Firewall(config-network)# description List of Accounting Dept IP addresses
Firewall(config-network)# network-
network-object host 192.168.1.10
network-object 192.168.2.0 255.255.255.0
Firewall(config-network)# exit
Supongo que la lista de direcciones es parte de una lista mas grande conteniendo
Los hosts de un lado remoto. Un nuevo object group debera ser
configurado para el sitio remoto, conteniendo otros object groups definidos
para otros departamentos. Ejemplo
object-group network RemoteSite_addrs
Firewall(config-network)# description List of IP addresses used in the
Remote Site
Firewall(config-network)# group-
group-object Accounting_addrs
Defining Protocol Object Groups

Defining
object-group protocol Tunnels_proto
Firewall(config-protocol)# description Tunneling Protocols
Firewall(config-protocol)# protocol-
protocol-object gre
protocol-object ipinip
protocol-object esp
protocol-object ah
Firewall(config-protocol)# exit
!
object-group protocol Routing_proto
Firewall(config-protocol)# description Routing Protocols
protocol-object igrp
protocol-object eigrp
protocol-object ospf
Firewall(config-protocol)# exit
!
object-group protocol Group1_proto
Firewall(config-protocol)# description Group1 list of protocols
Firewall(config-protocol)# group-
group-object Tunnels_proto
Firewall(config-protocol)# group-
group-object Routing_proto
26
11/03/2017
Defining ICMP Type Object Groups

Defining
object-group icmp-
icmp-type Ping_icmp
Firewall(config-icmp)# icmp-
icmp-object echo
icmp-object echo-
echo-reply
Firewall(config-icmp)# exit
!
object-group icmp-
icmp-type BiggerList_icmp
Firewall(config-icmp)# group-
group-object Ping_icmp
icmp-object unreachable
icmp-object redirect
icmp-object time-
time-exceeded
Defining Basic Service Object Groups

Defining
object-group service Web_ports tcp
Firewall(config-service)# description TCP ports used by web browsers
Firewall(config-service)# port-
port-object eq www
port-object eq https
Firewall(config-service)# exit
!
object-group service Mail_ports tcp
Firewall(config-service)# description TCP ports used for email
port-object eq smtp
port-object eq pop3
port-object eq imap4
Firewall(config-service)# exit
!
object-group service Example_ports tcp
Firewall(config-service)# description A bunch of TCP ports
Firewall(config-service)# group-
group-object Web_ports
Firewall(config-service)# group-
group-object Mail_ports
port-object range 2000 2002
27
11/03/2017
Un servidor de seguridad normalmente permite

conexiones salientes HTTP o HTTPS a cualquier
direccin, siempre que la lista de acceso de salida
permite la conexin. Una pista de auditora de la
actividad de conexin HTTP o HTTPS est disponible
slo a travs de los logs del firewall (Syslog),
utilizando mensajes Syslog 304.001 en el nivel de
gravedad predeterminado level 5 (notificaciones).
Los Firewalls de Cisco pueden utilizar equipos de

terceros de para filtrado de contenido web para hacer
cumplir las polticas de URL. Estos filtros de contenido
se ejecutan en un servidor local por lo general.
Cuando un usuario enva una solicitud de URL, El FW

envia la peticion la solicitud al servidor de filtrado de
contenidos. Si el servidor determina que el usuario
tiene permiso para ver la direccin URL y su contenido,
el firewall permite la conexin para continuar.
Si el servidor de contenido deniega la solicitud, el
firewall redirige el navegador del usuario a una pagina
de "bloque" lo que indica que el servidor ha bloqueado
o denegado la solicitud.
El servidor de filtrado de contenidos puede aplicar sus
polticas basado por usuario si es necesario. Obtiene
las credenciales del usuario (nombre de usuario,
direccin IP, URL de destino, y la direccin)
directamente desde el PC del usuario.
28
11/03/2017
Esto tambin proporciona un registro contable de la

actividad del usuario.
Los siguientes aplicaciones comerciales de filtrado de

contenido son compatibles con los ASA/PIX cisco:
N2H2 (http://www.n2h2.com)
Websense (http://www.websense.com)
1) Identify the filter servers:
Firewall(config)# url-server [(if_name)] vendor n2h2 host local_ip

[port number] [timeout seconds] [protocol {tcp | udp}]
Firewall(config)# url-server [(if_name)] vendor websense host local_ip

[timeout seconds] [protocol {tcp | udp}
By default, N2H2 uses TCP/UDP port 4005 to filter information exchanges.
2) Define a filtering policy:
Firewall(config)# filter url [http | port[-port]] local_ip local_mask

foreign_ip foreign_mask [allow] [proxy-block] [longurl-truncate |
longurl-deny] [cgi-truncate]
Firewall(config)# filter url http 192.168.100.0 255.255.255.0 0 0
29
11/03/2017
3) (Websense only) Define a filtering policy for HTTPS:

Firewall(config)# filter https dest-port local_ip local_mask foreign_ip
foreign_mask [allow]
4) (Websense only) Define a filtering policy for FTP:
Firewall(config)# filter ftp dest-port local_ip local_mask foreign_ip
foreign_mask [allow] [interact-block]
Firewall(config)# filter ftp 21 0 0 0 0 allow interact-block
5) Make exceptions to the filtering policy:
Firewall(config)# filter {url | https | ftp} except local_ip local_mask
foreign_ip foreign_mask
Firewall(config)# filter url except 10.10.1.100 255.255.255.255 0 0
Firewall(config)# filter ftp except 10.10.3.14 255.255.255.255 0 0
6) (Optional) Use an HTTP response buffer to return web content faster:

Firewall(config)# url-block block block_buffer_limit
7) (Optional; Websense only) Adjust the maximum acceptable URL length.
a)Buffer URLs before sending Websense requests:
Firewall(config)# url-block url-mempool memory_pool_size
b) Set the maximum acceptable URL length:
Firewall(config)# url-block url-size long_url_size
8) (Optional) Use a cache to store filtering permissions:
Firewall(config)# url-cache {dst | src_dst} kbytes
Firewall# show url-cache statistics
URL Filter Cache Stats
----------------------
Size : 128KB
Entries : 219
In Use : 105
Lookups : 432
Hits : 396
Firewall#
30
11/03/2017
9) (Optional) Filter ActiveX content:

Firewall(config)# filter activex {port[-port] | except}local_ip local_mask
foreign_ip foreign_mask
10) (Optional) Filter Java content:

Firewall(config)# filter java {port[-port] | except} local_ip mask
foreign_ip mask
Firewall# show url-block block stats

URL Pending Packet Buffer Stats with max block 0
-----------------------------------------------------
Cumulative number of packets held: 0
Maximum number of packets held (per URL): 0
Current number of packets held (global): 0
Packets dropped due to
exceeding url-block buffer limit: 0
HTTP server retransmission: 0
Number of packets released back to client: 0
Firewall#
Firewall# show url-server stats

URL Server Statistics:
----------------------
Vendor websense
URLs total/allowed/denied 447869/394410/53459
URL Server Status:
------------------
172.16.10.50 UP
172.16.10.55 DOWN
31
11/03/2017
Firewall# show perfmon

PERFMON STATS: Current Average
Xlates 39/s 0/s
Connections 110/s 1/s
TCP Conns 80/s 0/s
UDP Conns 29/s 0/s
URL Access 57/s 0/s
URL Server Req 50/s 0/s
TCP Fixup 5033/s 0/s
TCPIntercept 0/s 0/s
HTTP Fixup 2293/s 0/s
FTP Fixup 4/s 0/s
AAA Authen 0/s 0/s
AAA Author 0/s 0/s
AAA Account 0/s 0/s
Firewall(config)# url-server (dmz) vendor websense host 192.168.199.10 protocol

TCP version 4
Firewall(config)# url-server (dmz) vendor websense host 192.168.199.11 protocol
TCP version 4
Firewall(config)# filter url http 0 0 0 0 allow proxy-block
Firewall(config)# filter url except 192.168.7.40 255.255.255.255 172.24.1.10
255.255.255.255
Firewall(config)# filter https 443 0 0 0 0 allow
Firewall(config)# filter ftp 21 0 0 0 0 allow
Firewall(config)# url-block block 128
Firewall(config)# url-cache src_dst 128
32
11/03/2017
A partir de la version ASA 7.2 (1), una plataforma ASA puede redirigir
conexiones HTTP entrantes a un servidor web cach externa
cuando el usuario quiere acceder a un URL. El protocolo de
comunicacin web cache versin 2 (WCCP v2) se utiliza para
identificar una solicitud de una pgina web para redirigir el cliente
al servidor Web cach.
Si la conexin se redirige al servidor cach, se pasa por alto

algunos de los procesos normales de inspeccin, tales como
filtrado de URL, de intercepcin de TCP, Sistema de prevencin de
intrusiones (IPS), y as sucesivamente.
El cliente y el servidor web cach debe estar ubicado en la interfaz

del mismo servidor de seguridad para que la funcin de
redireccin de WCCP pueda trabajar. Tan pronto como el firewall
redirige al cliente desde el destino solicitado en el servidor de
cach Web, el cliente puede comunicarse con el servidor de cach
Web directamente.
Puede usar los siguientes pasos para configurar WCCP:
1) Enable WCCP:
Firewall(config)# wccp {web-cache | service_number} [redirect-list access-

list] [group-list access-list] [password password]
2) Enable WCCP redirection on an interface:
Firewall(config)# wccp interface interface_name service redirect in
33
11/03/2017
access-list wccp-traffic extended permit ip 192.168.6.0 255.255.255.0 any

!
access-list wccp-servers extended permit ip host 192.168.6.10 any
!
wccp web-cache redirect-list wccp-traffic group-list wccp-servers
wccp interface inside web-cache redirect in
34

Clase No. 9 - Firewalls v1.0 (Ing. Raul Pineda)

Transféré par

Informations du document

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Clase No. 9 - Firewalls v1.0 (Ing. Raul Pineda)

Transféré par

Droits d'auteur :

Formats disponibles

11/03/2017

Ing. Raul Pineda

Generalidades Configuracin Otras Aplicaciones

En computacin el termino FIREWALL fue adoptado del concepto de

Un Firewall fsico es un material resistente para detener la fuerza del

Un Firewall de Red es un programa instalado en un dispositivo de

Generalidades Configuracin Otras Aplicaciones

Bsicamente examina el trafico en la red, tanto entrante como saliente

Generalidades Configuracin Otras Aplicaciones

Generalidades Configuracin Otras Aplicaciones

Generalidades Configuracin Otras Aplicaciones

Un Firewall puede proveer:

Conservacin de direcciones IP (NAT)

Existen otra clasificacin de los Firewalls diferente a la mencionada

Generalidades Configuracin Otras Aplicaciones

Un Firewall de Red protege enteramente la redes internas detrs de el.

Normalmente es un ruteador, tiene ciertas reglas para

Es un programa que esta corriendo preferentemente en un bastioned

Generalidades Configuracin Otras Aplicaciones

Generalidades Configuracin Otras Aplicaciones

Generalidades Configuracin Otras Aplicaciones

Circuit Level Gateways.

Aplication Level Gateways.

Stateful Multilayer Inspection Firewall.

Generalidades Configuracin Otras Aplicaciones

Generalidades Configuracin Otras Aplicaciones

Generalidades Configuracin Otras Aplicaciones

Generalidades Configuracin Otras Aplicaciones

Generalidades Configuracin Otras Aplicaciones

Puede examinar paquetes individualmente. El filtrado es entonces

Puede identificar el protocolo asociado con cada paquete. Esto

Generalidades Configuracin Otras Aplicaciones

Determinar el nivel de Seguridad requerido.

Determinar el trafico que va a entrar a la red.

Determinar el trafico que va a salir de la red.

Generalidades Configuracin Otras Aplicaciones

Generalidades Configuracin Otras Aplicaciones

Los administradores o los intrusos pueden usar software de escaneo

Existen tres principales tecnicas de escaneo:

Ping Sweep (ping)

Generalidades Configuracin Otras Aplicaciones

Para detectar Scaneo de puertos y otros ataques, se deber usar un

Generalidades Configuracin Otras Aplicaciones

Restringe el acceso a un punto controlado.

Evita el acercamiento a las dems defensas.

Fuente de decisiones de Seguridad.

Reforzar polticas de seguridad.

Almacena su relacin con Internet.

Traduccin de Direcciones de red (NAT)

Generalidades Configuracin Otras Aplicaciones

Proteger contra malicias Internas.

Vigilar conexiones que no pasan por el.

Proteger contra amenazas antes desconocidas.

Proteger contra virus.

Generalidades Configuracin Otras Aplicaciones

Existen 2 modos de funcionamiento de los ASA Firewalls, estos

Por default todos los ASA vienen configurados en Modo Routed.

Se puede verificar en que modo esta digitando el siguiente

Firewall# show firewall

Si al momento de la consulta se encuentra configurado en modo

Firewall(config)# firewall router

Generalidades Configuracin Otras Aplicaciones

Un ASA tambin se puede configurar para operar en el modo de

Generalidades Configuracin Otras Aplicaciones