CORTAFUEGOS (FIREWALL) PIX de CISCO

por bofomet

*imágenes añadidas por maty (pediremos autorización a su autor Andrés Correal, si lo localizamos)

-[ 0x04 ]-----------------------------------------------------------------------------------------

-[ Cortafuegos PIX de Cisco ]-------------------------------------------------------------------

-[ bofomet ]----------------------------------------------------------------------------SET-27--

CONCEPTOS BASICOS DE CORTAFUEGOS

¿Qué es un cortafuegos?

La palabra cortafuegos viene del mundo de la arquitectura. Dicese de la pared toda de fabrica, sin madera alguna, y de un grueso competente, que se eleva desde la parte inferior del edificio hasta mas arriba del caballete, con el fin de que si hay fuego en un lado, no se pueda comunicar al otro. Esta definicion aplicada a la informatica ilustra bastante el proposito de estos sistemas. Un cortafuegos sirve para impedir que un atacante pase de una red a otra. Es el caso tipico un cortafuegos se situa entre una red no fiable (p.e. Internet) y una fiable (una red interna). Actualmente mas y mas empresas colocan tambien un cortafuegos interno. Por ejemplo, entre el departamento de nominas y el resto de la organizacion.

Tipos de cortafuegos

Para diferenciar los tipos de cortafuegos tendremos que tener primero en mente el modelo OSI (Open Systems Interconnect) de redes:

-----------------------
| Aplicacion |->FTP, Telnet, HTTP, etc.
| Presentacion |
| Sesion |
| Transporte |->TCP, UDP, etc.
| Red |->IP, ICMP, etc.
| Enlace de datos |->Ethernet, Token Ring, etc.
| Acceso fisico |->Medio optico, de cobre o inalambrico.
-----------------------

Las capas del TCP/IP y las del modelo OSI, y su correspondencia:

Filtro de paquetes

Es la forma mas basica de filtro. Un filtro de paquetes toma decisiones sobre si continuar con el direccionamiento del paquete basandose en la informacion que se encuentra en la capas IP o TCP/UDP. En efecto, un filtro de paquetes es un router con un poco de inteligencia.

Sin embargo, este filtro se encarga de los paquetes individualmente sin tener en cuenta las sesiones TCP

Por tanto, dificilmente podra detectar un paquete proviniente del exterior con la ip manipulada (spoofed) y con la bandera (flag) ACK activada en la cabecera TCP pretendiendo ser un paquete de una conexion ya existente.

Los filtros de paquetes esta configurados para permitir o bloquear el acceso de paquetes basandose en las direcciones IP origen y destino, puertos origen y destino y tipo del protocolo (TCP, UDP, ICMP, y demas). Asi que, ¿para que querriamos utilizar un filtro de paquetes? Principalmente por velocidad.

CORTAFUEGOS PIX de CISCO. Presentación.

Fundamentos

Los cortafuegos PIX de cisco llevan empotrado un sistema operativo, no UNIX, muy seguro y de tiempo real. Una aplicacion dedicada a la gestion de la maquina permite evitar los bugs, backdoors y demas problemas de seguridad tipicos de un sistema operativo de proposito general.

¿Cómo funciona?

Un esquema de proteccion basado en ASA. ASA tiene en cuenta las direcciones origen y destino, los numeros de secuencia TCP, numeros de puerto y banderas TCP adicionales. Es decir, el esquema ASA ofrece seguridad basada en el estado y orientada a conexion.

Toda la informacion de los paquetes se almacena en una tabla. Todo el trafico entrante y saliente se compara con las entradas de esta tabla para detectar trafico erroneo, no deseado o con problemas con la seguridad o el enrutamiento.

Implementaciones básicas: Una configuración simple

Hay que recordar que el PIX no es necesariamente la primera linea de defensa. El gateway a internet debe proveer un nivel inicial de seguridad para la red. En caso de que un intruso logre sobrepasar esta primera barrera, debes de tener un PIX protegiendo la red interna.

CARACTERISTICAS Y OPCIONES DE LA SEGURIDAD DE UN CORTAFUEGOS PIX

Un sistema empotrado

Un cortafuegos PIX:

• Elimina el riesgo asociado a cortafuegos basados en el sistema operativo.

• Puede manipular hasta 256.000 conexiones simultaneas.

Adaptive Security Algorithm

El algoritmo de seguridad ASA es el corazon del cortafuegos PIX. ASA esta basado en estado y orientado a conexion.

El disenyo ASA crea flujos de sesion basados en:

• Direcciones origen y destino

• Numeros de secuencia TCP

• Numeros de puerto

• Banderas TCP

Aplicando la politica de seguridad a cada conexion, basandose en las entradas en la tabla de conexiones, se puede controlar el trafico entrante y saliente.

Cut-through proxy

PIX utiliza un metodo denominado "cut-through proxy" que permite verificar si los usuarios tienen permisos para ejecutar una aplicacion TCP o UDP antes de llegar a la aplicacion, es decir, verifica a los usuarios en el mismo firewall.

Filtrado URL

El cortafuegos PIX chequea las peticiones URL salientes contra las politicas de seguridad definidas en el servidor UNIX o NT (WebSense).

• El PIX permite conexiones basandose en las politicas de seguridad.

• La carga no esta situada en el PIX sino en una maquina separada que lleva a cabo el filtrado URL.

Opción de Failover/Hot Standby Upgrade

La opcion de failover nos provee de una gran seguridad y elimina el caso de que en caso de que falle el PIX la red se quede sin funcionar.

Si un PIX funciona incorrectamente, o si estan configurados incorrectamente, automaticamente el trafico pasa al otro PIX.

Configurando el acceso a través del cortafuegos

PIX NAT

¿Qué es NAT?

La caracteristica "Network Address Translation (NAT)" trabaja sustituyendo, o traduciendo, direcciones de hosts en la red interna con una "direccion global" asociada con una interfaz externa.

Esta caracteristica protege las direcciones de los hosts internos de ser expuestas en otras interfaces de red

PIX PAT

Significa "Port Address Translation". Puede ser configurado para que nuestro rango de ips mapee los diferentes numeros de puerto TCP a una unica IP.

PAT puede ser usado en combinacion con NAT

Configuración de múltiples interfaces

PIX soporta multiples interfaces perimetrales con el objetivo de proteger nuestra red. Se puede llevar a cabo conectando tres interfaces ethernet.

1. La primera interfaz reside en la parte externa de la red.

2. La siguiente interfaz puede residir en la parte DMZ donde tienes los bastion
   hosts o hosts publicamente accesibles ya sean WEB, FTP, DNS o mail relay.

3. La ultima interfaz en la parte interna de la red.

Este metodo es una muy buena forma de incrementar la politica de seguridad de tu red.

TRES BRAZOS

Esta configuracion dejara una especie de cortafuegos con tres brazos. Puedes utilizar las interfaces con token ring tambien, no tienes que limitarte a ethernet.

Ten en cuenta los siguientes consejos cuando planees la configuracion de un cortafuegos con esta configuracion de "tres brazos":

• A las interfaces internas o externas se les pueden asignar diferentes niveles de seguridad.

• Los paquetes no pueden fluir a traves de interfaces con diferentes niveles de seguridad.

• Configura rutas por defecto y utiliza una ruta unicamente para hacia la interfaz externa.

• Utiliza NAT para permitir a los usuarios comenzar conexiones hacia el exterior.

• Tras poner a punto una configuracion donde modificas la opcion "global", guarda la configuracion y utiliza xlate para actualizar la ips de la tabla de traslacion.

• Si quieres permitir el acceso a servidores en redes protegidas utiliza el comando "conduit" ( o static ).

Configurando Syslog

El cortafuegos genera mensajes syslog de eventos del sistema. Enviara estos mensajes para generar documentos de seguridad, recursos, informacion del sistema o informacion de la cuentas. Puedes activar la opcion de logear simplemente indicandole al PIX la ip del servidor syslog.

Configurar el cortafuegos PIX con la opcion failover

¿QUE ES FAILOVER?

Puedes utilizar la capacidad de failover del PIX para tener en caso de fallo una maquina en espera que lleve a cabo el trabajo del PIX que ha fallado. Para utilizar esta opcion debes tener dos maquinas PIX IDENTICAS. Si la maquina primaria "muere" la maquina secundaria adquirira transparentemente la carga. No puedes mezclar un PIX 515 con un 520 para usar la capacidad de failover. Un cable denominado de failover se conecta entre las dos maquinas y proporcionara la senyal de control de failover.

La unidad primaria utiliza la direccion IP y la direccion MAC de la unidad secundaria. En caso de fallo, las unidades se intercambian la direccion IP y la direccion MAC para reemplazar la una a la otra en la red.

Las traslaciones IP a MAC permanecen iguales, asi que no hay que cambiar nada en las tablas ARP.

Filtrado de contenido

FILTRADO DE URL Y BLOQUEO JAVA

En la mayoria de las situaciones, necesitaras permitir el acceso a traves del puerto 80 para que los usuarios accesan a Internet.

Es un problema mayor ya que los applets java pueden ser descargados por el acceso http. Los applets java son potencialmente peligrosos.

Recuperación del password PIX

Lo primero es que necesitas un CCO ID. Estos son dados a los socios y permiten el acceso a las descargas de imagenes de cisco. Sin el password no podras realizar los siguientes pasos:

1. Descarga las dos imagenes que necesites y rawrite.exe (imprescindible).

2. Ahora descarga una de las siguientes imagenes, dependiendo de la version del software del PIX que estes utilizando, y colocalas en el mismo directorio: [Imagenes].bin

3. Ahora que tienes ambas imagenes en el mismo directorio ejecuta rawrite.

4. Comenzara la ejecucion del programa y tendras que insertar un floppy.

5. A continuacion introduzca el nombre de la imagen que necesitas (por ejemplo nppix.bin)

6. Introduce la unidad origen del floppy.

7. Introduce un floppy formateado y teclea enter.

8. Ahora ya tienes un floppy con la herramienta de recuperacion.

Para conocer los pasos del proceso de recuperacion consultar la documentacion:

• Advanced Password Recovery

Configuración AAA en el cortafuegos PIX

¿QUE ES AAA?

• Autentificacion de quien eres.

• Autorizarte es lo que debes hacer.

• La autentificacion es valida sin autorizacion.

• La autorizacion no es valida sin autentificacion.

• Accounting es lo que hiciste (logging)

Trucos AAA:

• Si te bloqueas tu mismo, recuerda que hay una backdoor que te permite pasar a traves del puerto de la consola con el nombre de usuario y el password.

Bases VPN

¿QUE ES UNA VPN?

Las VPN se crean para utilizar Internet para establecer conexiones WAN. Es posible, creando un tunel encriptado y seguro. Una vez el tunel es creado, se puede utilizar para establecer una conexion que ahora es segura.

Para poder utilizar la VPN en PIX necesitas un hardware adicional:

• Puedes utilizar la tarjeta de aceleracion (VAC) que provee alta accesibilidad, tunneling y servicios de encriptacion adecuados para conexiones locales o remotas.

Este hardware especifico esta optimizado para llevar las tareas repetitivas y matematicas necesarias para IPSec.

Descargar del trabajo a la maquina para que lo lleve a cabo la VAC no solo mejora el rendimiento sino que mantiene la fiabilidad en los 2 lados del cortafuegos.

PERSPECTIVA GENERAL DEL PRODUCTO

La familia de cortafuegos PIX aparece en un amplio espectro de campos, desde cortafuegos plug 'n' play compactos y de escritorio para pequeñas oficinas o incluso para el hogar hasta cortafuegos por los que pasan gigabits de datos en poco tiempo.

Soportan hasta 500.000 conexiones simultaneas y cerca de 1.7 Gigabits por segundo (Gbps) de salida total.

Características claves y beneficios

SEGURIDAD

Los cortafuegos PIX de Cisco utilizan un sistema operativo propio y especialmente disenyado para cortafuegos que elimina el riesgo asociado a los sistemas operativos de uso general.

Los cortafuegos PIX incorporan la ultima tecnologia en seguridad:

• inspeccion basada en el estado (stateful inspection)

• VPNs basadas en IPSec y L2TP/PPTP

• filtrado de contenidos

• deteccion de intrusos integrada

En el nucleo de la familia de cortafuegos PIX tenemos el algoritmo de seguridad ASA (Adaptive Security Algorithm) que mantiene aseguradas perimetralmente las redes controladas por el cortafuegos.

La inspeccion de la conexion basada en el estado, en la que se usa el disenyo ASA, permite crear flujos de sesion basandose en la direccion origen y destino, numeros de secuencia TCP (no predecibles), numeros de puerto y banderas TCP adicionales.

Todo el trafico entrante y saliente esta controlado por la aplicacion continua de las politicas de seguridad a cada entrada en la tabla de conexiones.

RENDIMIENTO

Altamente escalable. Soporta hasta 10 interfaces gigabit ethernet y 1.7 Gbps de salida total.

FIABILIDAD

El trafico de la red puede ser redirigido automaticamente a otra unidad en espera en caso de fallo mientras se mantiene el trafico de la red gracias a una sincronizacion del estado entre la unidad primaria y la unidad en espera.

VIRTUAL PRIVATE NETWORKING (VPN)

Servicios VPN basados en IPSec y L2TP/PPTP. Adecuados para acceso local y remoto. La conexion VPN basada en TipleDES (3DES) puede ampliarse hasta aproximadamente 100Mbps usando la tarjeta aceleradora para VPNs PIX (VAC), que descarga a la maquina del trabajo de encriptar/desencriptar dejandolo a cargo de coprocesadores especializados para esa tarea.

HARDWARE

Para requerimientos de hardware o electricos se puede consultar la web de cisco.

SOFTWARE

• NAT real tal como esta especificada en el RFC1631

• Port Address Translation (PAT) que soporta hasta 64.000 hosts

• Soporta filtrado de URLs integrando en el firewall el sistema de filtrado de Websense

• Mail Guard elimina la necesidad de un servidor de email externo al perimetro de la red.

• Soporta un amplio rango de metodos de autentificacion vis TACACS+, Radius e integracion Cisco ACS

• DNS Guard protege transparentemente la resolucion de direcciones y nombres

• Flood Guard y Fragmentation Guard protege la maquina contra ataques de denegacion de servicio

• Soporta los estandards avanzados de voz a traves de IP (VoIP) incluyendo SIP, H.323 y otros.

• Bloqueo de JAVA protege la maquina contra java applets potencialmente hostiles.

• Acceso en a linea de comandos

• Net Aliasing combina transparentemente las redes solapadas con el mismo espacio de IPs.

• Integracion con el Sistema de Deteccion de Intrusos de Cisco para rechazar conexiones desde IPs maliciosas conocidas.

• Configuracion avanzada de los mensajes enviados a syslog

• SNMP y syslog para administracion remota

• Syslogging fiable usando TCP o UDP

• Sun Remote Procedure Call (RPC)

• Cliente de Microsoft (Netbios sobre IP) usando NAT

• Multimedia, incluyendo RealNetworks RealAudio, Xing Technologies Streamworks

OTRAS

Network Address Translation (NAT) y Port Address Translation (PAT).

Prevencion de ataques de denegacion de servicio (DoS).

Administracion sencilla gracias a la interfaz web del PIX Device Manager (PDM): PDM esta provisto de un amplio rango de informes en tiempo real e historicos sobre la maquina.

Plataforma extensible: Capaz de mantener desde dos interfaces ethernet 10/100 hasta 10 ethernets de gigabit en un unico firewall.

EL FUTURO

En futuras versiones de cortafuegos PIX se esta considerando la posibilidad de anyadir listas de control de acceso (ACLs) basadas en la direccion MAC.

Por el momento, si se quiere, por ejemplo, permitir el acceso a un usuario con un portatil, se deberan usar metodos de autentificacion a nivel de usuario usando TACACS+ por ejemplo.

SEGURIDAD

Ataques del exterior al interior

Basicamente podemos dividir los posibles ataques del exterior hacia el interior de la red como:

• Ataques de reconocimiento: Intentamos identificar equipos y conseguir toda la informacion posible. Un caso tipico puede ser que comencemos a pingear equipos en un rango de ips, a continuacion mapeamos la red para averiguar los puertos abiertos y lo siguiente averiguar versiones del software que corra en las distintas maquinas. Se utiliza para obtener informacion para llevar a cabo un ataque de acceso o DoS.

• Ataques de acceso: Este ataque consiste en conseguir acceso a la maquina para obtener informacion. Formas posibles de obtenerlo es utilizando fuerza bruta contra el sistema de autentificacion o utilizando un exploit. Otras veces ya tenemos acceso por algun otro medio y lo que tenemos que hacer es escalar privilegios.

• Ataques DoS (Denegacion de servicio): La intencion de este ataque es que la maquina, algun servicio o el software denegue la utilizacion de los recursos de dicho sistema a un usuario autentico. Un ataque tipico DoS no necesita que el atacante tenga acceso a la maquina. Un DDoS, DoS distribuido implica que el origen del ataque son diferentes maquinas que atacan simultaneamente incluso desde distintos puntos geograficos.

El ciclo de seguridad de Cisco

• Asegurar el entorno

• Monitorizar la actividad y responder a lo que vaya sucediendo

• Probar la seguridad del entorno

• Mejorar la seguridad del entorno

Estos pasos son un ciclo continuo que comienza una vez definida la politica de seguridad de la empresa.

Probando la seguridad del entorno

Las cosas que deben probarse o chequearse son:

• El cumplimiento de las politicas de seguridad, incluyendo cosas como la fortaleza de las contrasenyas.

• Parcheo del sistema

• Los servicios que corren en la maquina

• Aplicaciones concretas, en particular aplicaciones web especialmente estrafalarias

• Servidores nuevos añadidos a la web

• Modems activos que aceptan llamadas entrantes

Existen multitud de herramientas para probar la seguridad de una red:

HERRAMIENTAS GRATUITAS

• Nmap   www.insecure.org/nmap

• Nessus   www.nessus.org

• whisker   http://sourceforge.net/projects/whisker

• Security Auditor's Research Assistant   www.arc.com/sara

• L0pthcrack   www.atstake.com/research/lc

HERRAMIENTAS COMERCIALES

• ISS Internet Scanner   www.iss.net

• Symantec Enterprise Security Manager   www.symantec.com

• PentaSafe VigilEnt Security Manager   www.pentasafe.com

Saphire worm

El comunicado mas reciente de Cisco alertaba sobre este gusano que afecta a servidores MS-SQL. Segun este comunicado, el cortafuegos PIX esta configurado por defecto para detener el avance de este gusano a menos que haya sido configurado explicitamente el acceso a servicios MS-SQL tal como aparecen en los siguientes ejemplos.

Las posibilidades son:

• parchear el servidor MS-SQL

• denegar el acceso o borrar esta linea directamente:

access-list acl_out permit udp any host <address> eq 1434

RECOMENDACIONES *añadido por maty       Red Corporativa Segura     *Todas las imágenes -excepto las dos mini- son capturas realizadas del documento PDF redactado por Andrés Correal: FIREWALLS, que es un conjunto de diapositivas.           firewalls.pdf  3,6 MB

URLS

• http://www.cisco.com
• http://www.brainbuzz.com
• http://groups.yahoo.com/group/PIX_Firewall/
• Cisco Security Specialist's Guide to PIX Firewalls   http://www.syngress.com
• Information Security June 2003: Turning the Network Inside Out  (añadida por maty)

*EOF*