El firewall es un dispositivo, sistema o grupo de sistemas que aplica una política en el control de acceso en las redes.
Enviado por tomas • 18 de Julio de 2018 • 1.641 Palabras (7 Páginas) • 563 Visitas
...
El filtrado de tráfico se limita a implementaciones básicas de una ACL que examina paquetes en la capa de red o, a lo sumo, la capa de transporte.
7.2.2 Configuración de CBAC
El primer paso es la elección de las interfaces internas y externas donde se aplicara la inspección.
Inicie el proceso de configuración teniendo en cuenta las siguientes recomendaciones:
- Determine qué tipo de tráfico reenviar o bloquear en las interfaces del router.
- Permita el tráfico que deberá inspeccionar el firewall Cisco IOS.
- Configure protección anti falsificación denegando todo el tráfico de entrada en una interfaz externa cuya dirección de origen coincida con una dirección de red protegida.
- Configure una entrada para prevenir ataques de broadcast denegando la dirección de origen 255.255.255.255
- Por defecto, la última entrada de las ACL es una denegación implícita de todo tráfico IP
- Deniegue el trafico IP con cualquier dirección de origen o destino, explicitando así la regla de denegación.
- La última entrada en las ACL es una denegación implícita de todo el tráfico IP.
- Si el firewall solo tiene dos conexiones
7.2.3 Verificación de CBAC
Formas de registro que soporta la inspección CBAC:
- Las alertas
- Las auditorias
7.3 Firewall basado en zonas
El ZPF se implementó a partir de la versión 12,4(6) T de Cisco IOS, soporta las funciones de firewalls anteriores, incluyendo inspección de paquetes con estados, inspección de aplicaciones, filtrado de URL y mitigación de paquetes de DoS.
Con CBAC el proceso de inspección depende excesivamente de las ACL
Otro cambio significativo es la introducción del Cisco Common Classification Policy Language (C3PL).
7.3.1 Funcionamiento del firewall basado en zonas.
El firewall puede llevar a cabo 3 funciones específicas:
- Inspect
- Drop
- Pass
7.3.3 Configuracion del firewall basado en zonas con CCP
Una interfaz externa suele ser la interfaz del router que está conectada a Internet o a una WAN.
Una interfaz interna es típicamente una interfaz física o lógica que conecta a la LAN.
Si fuese necesario configurar una DMZ es una interfaz conectada a la DMZ.
Los niveles de seguridad son:
- Bajo
- Medio
- Alto
Acciones:
- Pass
- Drop
- Inspect
Zone-pair: es un par de zonas donde se permite una política de firewall unidireccional.
7.5 Cisco Adaptive Security Appliance
El Cisco ASA es un dispositivo de seguridad autónomo y un componente principal de la arquitectura Cisco SecureX.
Características:
- Virtualización: un ASA puede dividirse en múltiples dispositivos virtuales
- Alta disponibilidad: dos ASA idénticos se pueden combinar en una configuración de conmutación para proporcionar redundancia ante errores
- Servidor de seguridad de identidad: el ASA ofrece control de acceso granular basado en una asociación de direcciones IP sobre la información de registro de Windows Active Directory
- Control de amenazas y contención de servicios: todos los modelos ASA son compatibles con las funciones básicas de IPS
7.5.3 Configuracion del firewall Cisco ASA con ASMD
ASMD es un asistente que facilita la instalación, configuración, monitorización y solución de problemas en los dispositivos Cisco ASA.
Device Dashboard:
- Vista General acerca del ASA
- Sistema Operativo
- Información de licencias
- Estado de interfaces
- Rendimiento
Firewall Dashboard: Proporciona información relacionada con la seguridad sobre el tráfico que pasa a través del ASA.
- Estadísticas de conexión
- Paquetes perdidos
- Escaneo y detección de ataques SYN
7.5 Configuracion avanzada del firewall Cisco ASA
7.6.1 Configuración de object groups
Un objeto puede ser definido con una dirección IP en particular o con un protocolo y, opcionalmente, un puerto.
Estos objetos se pueden utilizar en NAT, listas de acceso y object groups.
Hay dos tipos de objetos que se pueden configurar:
- Network object: contiene una única dirección y mascara IP. Los objetos de red pueden ser tres tipos: de host, subred o rango.
- Service object: contiene una fuente de protocolo y opcionalmente puerto de destino.
7.6.2 Configuración de ACL
Los dispositivos ASA soportan cinco tipos de listas de acceso:
- Estándar
- Extendidas
-
...