Copy Link
Add to Bookmark
Report
SET 027 0x04
-[ 0x04 ]-------------------------------------------------------------------
-[ Cortafuegos PIX de Cisco ]-----------------------------------------------
-[ bofomet ]--------------------------------------------------------SET-27--
Conceptos basicos de cortafuegos
Que es un cortafuegos?
La palabra cortafuegos viene del mundo de la arquitectura. Dicese de la pared
toda de fabrica, sin madera alguna, y de un grueso competente, que se eleva
desde la parte inferior del edificio hasta mas arriba del caballete, con el
fin de que si hay fuego en un lado, no se pueda comunicar al otro. Esta
definicion aplicada a la informatica ilustra bastante el proposito de estos
sistemas. Un cortafuegos sirve para impedir que un atacante pase de una red a
otra. En el caso tipico un cortafuegos se situa entre una red no fiable (p.e.
Internet) y una fiable (una red interna). Actualmente mas y mas empresas
colocan tambien un cortafuegos interno. Por ejemplo, entre el departamento de
nominas y el resto de la organizacion.
Tipos de cortafuegos
Para diferenciar los tipos de cortafuegos tendremos que tener primero en mente
el modelo OSI (Open Systems Interconnect) de redes:
-----------------------
| Aplicacion |->FTP, Telnet, HTTP, etc.
| Presentacion |
| Sesion |
| Transporte |->TCP, UDP, etc.
| Red |->IP, ICMP, etc.
| Enlace de datos |->Ethernet, Token Ring, etc.
| Acceso fisico |->Medio optico, de cobre o inalambrico.
-----------------------
Filtro de paquetes
Es la forma mas basica de filtro. Un filtro de paquetes toma decisiones sobre
si continuar con el direccionamiento del paquete basandose en la informacion
que se encuentra en la capas IP o TCP/UDP. En efecto, un filtro de paquetes es
un router con un poco de inteligencia. sin embargo, este filtro se encarga de
los paquetes individualmente sin tener en cuenta las sesiones TCP. Por tanto,
dificilmente podra detectar un paquete proviniente del exterior con la ip
manipulada (spoofed) y con la bandera ACK activada en la cabecera TCP
pretendiendo ser un paquete de una conexion ya existente. Los filtros de
paquetes esta configurados para permitir o bloquear el acceso de paquetes
basandose en las direcciones IP origen y destino, puertos origen y destino y
tipo del protocolo (TCP, UDP, ICMP, y demas). Asi que, Para que querriamos
utilizar un filtro de paquetes? Principalmente por velocidad.
Fundamentos
Los cortafuegos PIX de cisco llevan empotrado un sistema operativo, no UNIX,
muy seguro y de tiempo real. Una aplicacion dedicada a la gestion de la maquina
permite evitar los bugs, backdoors y demas problemas de seguridad tipicos de un
sistema operativo de proposito general.
Como funciona?
Un esquema de proteccion basado en ASA. ASA tiene en cuenta las direcciones
origen y destino, los numeros de secuencia TCP, numeros de puerto y banderas
TCP adicionales. Es decir, el esquema ASA ofrece seguridad basada en el estado
y orientada a conexion. Toda la informacion de los paquetes se almacena en una
tabla. Todo el trafico entrante y saliente se compara con las entradas de esta
tabla para detectar trafico erroneo, no deseado o con problemas con la seguridad
o el enrutamiento.
Implementaciones basicas: Una configuracion simple
Hay que recordar que el PIX no es necesariamente la primera linea de defensa.
El gateway a internet debe proveer un nivel inicial de seguridad para la red.
En caso de que un intruso logre sobrepasar esta primera barrera, debes de tener
un PIX protegiendo la red interna.
Caracteristicas y opciones de la seguridad de un cortafuegos PIX
Un sistema empotrado
Un cortafuegos PIX:
Elimina el riesgo asociado a cortafuegos basados en el sistema
operativo.
Puede manipular hasta 256000 conexiones simultaneas.
Adaptive Security Algorithm
El algoritmo de seguridad ASA es el corazon del cortafuegos PIX.
ASA esta basado en estado y orientado a conexion.
El disenyo ASA crea flujos de sesion basados en:
Direcciones origen y destino
Numeros de secuencia TCP
Numeros de puerto
Banderas TCP
Aplicando la politica de seguridad a cada conexion basandose en las entradas en
la tabla de conexiones se puede controlar el trafico entrante y saliente.
Cut-through proxy
PIX utiliza un metodo denominado "cut-through proxy" que permite verificar si
los usuarios tienen permisos para ejecutar una aplicacion TCP o UDP antes de
llegar a la aplicacion, es decir, verifica a los usuarios en el mismo firewall.
Filtrado URL
El cortafuegos PIX chequea las peticiones URL salientes contra las politicas de
seguridad definidas en el servidor UNIX o NT (WebSense).
El PIX permite conexiones basandose en las politicas de seguridad.
La carga no esta situada en el PIX sino en una maquina separada que lleva a
cabo el filtrado URL.
Opcion de Failover/Hot Standby Upgrade
La opcion de failover nos provee de una gran seguridad y elimina el caso de que
en caso de que falle el PIX la red se quede sin funcionar.
Si un PIX funciona incorrectamente, o si estan configurados incorrectamente,
automaticamente el trafico pasa al otro PIX.
Configurando el acceso a traves del cortafuegos
PIX NAT
Que es NAT?
La caracteristica "Network Address Translation (NAT)" trabaja sustituyendo, o
traduciendo, direcciones de hosts en la red interna con una "direccion global"
asociada con una interfaz externa.
Esta caracteristica protege los las direcciones de los hosts internos de ser
expuestas en otras interfaces de red
PIX PAT
Significa "Port Address Translation". Puede ser configurado para que nuestro
rango de ips mapee los diferentes numeros de puerto TCP a una unica IP. PAT
puede ser usado en combinacion con NAT.
Configuracion de multiples interfaces
PIX soporta multiples interfaces perimetrales con el objetivo de proteger
nuestra red. Se puede llevar a cabo conectando tres interfaces ethernet. La
primera interfaz reside en la parte externa de la red.
La siguiente interfaz puede residir en la parte DMZ donde tienes los bastion
hosts o hosts publicamente accesibles ya sean WEB, FTP, DNS o mail relay.
La ultima interfaz en la parte interna de la red.
Este metodo es una muy buena forma de incrementar la polita de seguridad de tu
red.
Esta configuracion dejara una especie de cortafuegos con tres brazos. Puedes
utilizar las interfaces con token ring tambien, no tienes que limitarte a
ethernet.
Ten en cuenta los siguientes consejos cuando planees la configuracion de un
cortafuegos con esta configuracion de "tres brazos":
A las interfaces internas o externas se les pueden asignar diferentes niveles
de seguridad.
Los paquetes no pueden fluir a traves de interfaces con diferentes niveles de
seguridad.
Configura rutas por defecto y utiliza una ruta unicamente para hacia la
interfaz externa.
Utiliza NAT para permitir a los usuarios comenzar conexiones hacia el exterior.
Tras poner a punto una configuracion donde modificas la opcion "global", guarda
la configuracion y utiliza xlate para actualizar la ips de la tabla de
traslacion.
Si quieres permitir el acceso a servidores en redes protegidas utiliza el
comando "conduit" ( o static ).
Configurando Syslog
El cortafuegos genera mensajes syslog de eventos del sistema. Enviara estos
mensajes para generar documentos de seguridad, recursos, informacion del
sistema o informacion de la cuentas. Puedes activar la opcion de logear
simplemente indicandole al PIX la ip del servidor syslog.
Configurar el cortafuegos PIX con la opcion failover
Que es failover ?
Puedes utilizar la capacidad de failover del PIX para tener en caso de fallo
una maquina en espera que lleve a cabo el trabajo del PIX que ha fallado. Para
utilizar esta opcion debes tener dos maquinas PIX IDENTICAS. Si la maquina
primaria "muere" la maquina secundaria adquirira transparentemente la carga. No
puedes mezclar un PIX 515 con un 520 para usar la capacidad de failover. Un
cable denominado de failover se conecta entre las dos maquinas y proporcionara
la senyal de control de failover.
La unidad primaria utiliza la direccion IP y la direccion MAC de la unidad
secundaria. En caso de fallo, las unidades se intercambian la direccion IP y la
direccion MAC para reemplazar la una a la otra en la red. La traslacion IP a
MAC permanecen iguales asi que no hay que cambiar nada en las tablas ARP.
Filtrado de contenido
Filtrado de URL y bloqueo Java
En la mayoria de las situaciones, necesitaras permitir el acceso a traves del
puerto 80 para que los usuarios accesan a Internet. Es un problema mayor ya que
los applets java pueden ser descargados por el acceso http. Los applets java
son potencialmente peligrosos.
Recuperacion del password PIX
Lo primero es que necesitas un CCO ID. Estos son dados a los socios y permiten
el acceso a las descargas de imagenes de cisco. Sin el password no podras
realizar los siguientes pasos.
Descarga las dos imagenes que necesites y rawrite.exe (imprescindible)
Ahora descarga una de las siguientes imagenes, dependiendo de la version del
software del PIX que estes utilizando, y colocalas en el mismo directorio.
[Imagenes].bin
Ahora que tienes ambas imagenes en el mismo directorio ejecuta rawrite.
Comenzara la ejecucion del programa y tendras que insertar un floppy.
A continuacion introduzca el nombre de la imagen que necesitas (por ejemplo
nppix.bin)
Introduce la unidad origen del floppy.
Introduce un floppy formateado y teclea enter.
Ahora ya tienes un floppy con la herramienta de recuperacion.
Para conocer los pasos del proceso de recuperacion consultar la documentacion:
Advanced Password Recovery.
Configuracion AAA en el cortafuegos PIX
Que es AAA?
Autentificacion de quien eres.
Autorizarte es lo que debes hacer.
La autentificacion es valida sin autorizacion.
La autorizacion no es valida sin autentificacion.
Accounting es lo que hiciste (logging)
Trucos AAA:
Si te bloqueas tu mismo recuerda que hay una backdoor que te permite pasar a
traves del puerto de la consola con el nombre de usuario y el password.
Bases VPN
Que es una VPN ?
Las VPN se crean para utilizar Internet para establecer conexiones WAN. Es
posible creando un tunel encriptado y seguro. Una vez el tunel es creado se
puede utilizar para establecer una conexion que ahora es segura.
Para poder utilizar la VPN en PIX necesitas un hardware adicional:
Puedes utilizar la tarjeta de aceleracion (VAC) que provee alta accesibilidad,
tunneling y servicios de encriptacion adecuados para conexiones locales o
remotas.
Este hardware especifico esta optimizado para llevar las tareas repetitivas y
matematicas necesarias para IPSec.
Descargar del trabajo a la maquina para que lo lleve a cabo la VAC no solo
mejora el rendimiento sino que mantiene la fiabilidad en los 2 lados del
cortafuegos.
Perspectiva general del producto
La familia de cortafuegos PIX aparece en un amplio espectro de campos, desde
cortafuegos plug 'n' play compactos y de escritorio para pequeñas oficinas o
incluso para el hogar hasta cortafuegos por los que pasan gigabits de datos en
poco tiempo.
Soportan hasta 500000 conexiones simultaneas y cerca de 1.7 Gigabits por segundo
(Gbps) de salida total.
Caracteristicas claves y beneficios
* Seguridad: Los cortafuegos PIX de Cisco utilizan un sistema operativo propio
y especialmente disenyado para cortafuegos que elimina el riesgo asociado a
los sistemas operativos de uso general. Los cortafuegos PIX incorporan la
ultima tecnologia en seguridad: inspeccion basada en el estado (stateful
inspection), VPNs basadas en IPSec y L2TP/PPTP, filtrado de contenidos y
deteccion de intrusos integrada. En el nucleo de la familia de cortafuegos
PIX tenemos el algoritmo de seguridad ASA (Adaptive Security Algorithm) que
mantiene asegurados perimetralmente las redes controladas por el cortafuegos.
La inspeccion de la conexion basada en el estado, en la que se usa el disenyo
ASA, permite crear flujos de sesion basandose en la direccion origen y
destino, numeros de secuencia TCP (no predecibles), numeros de puerto y
banderas TCP adicionales. Todo el trafico entrante y saliente esta controlado
por la aplicacion continua de las politicas de seguridad a cada entrada en la
tabla de conexiones.
* Rendimiento: Altamente escalable. Soporta hasta 10 interfaces gigabit ethernet
y 1.7 Gbps de salida total.
* Fiabilidad: El trafico de la red puede ser redirigido automaticamente a otra
unidad en espera en caso de fallo mientras se mantiene el trafico de la red
gracias a una sincronizacion del estado entre la unidad primaria y la unidad
en espera.
* Virtual Private Networking (VPN): Servicios VPN basados en IPSec y L2TP/PPTP.
Adecuados para acceso local y remoto. La conexion VPN basada en TipleDES
(3DES) puede ampliarse hasta aproximadamente 100Mbps usando la tarjeta
aceleradora para VPNs PIX (VAC), que descarga a la maquina del trabajo de
encriptar/desencriptar dejandolo a cargo de coprocesadores especializados
para esa tarea.
* Network Address Translation (NAT) y Port Address Translation (PAT).
* Prevencion de ataques de denegacion de servicio (DoS).
* Administracion sencilla gracias a la interfaz web del PIX Device Manager
(PDM): PDM esta provisto de un amplio rango de informes en tiempo real e
historicos sobre la maquina.
* Plataforma extensible: Capaz de mantener desde dos interfaces ethernet 10/100
hasta 10 ethernets de gigabit en un unico firewall.
Hardware
Para requerimientos de hardware o electricos se puede consultar la web de cisco.
Software
Caracteristicas
* NAT real tal como esta especificada en el RFC1631
* Port Address Translation (PAT) que soporta hasta 64000 hosts
* Soporta filtrado de URLs integrando en el firewall el sistema de filtrado de
Websense
* Mail Guard elimina la necesidad de un servidor de email externo al perimetro
de la red.
* Soporta un amplio rango de metodos de autentificacion vis TACACS+, Radius e
integracion Cisco ACS
* DNS Guard protege transparentemente la resolucion de direcciones y nombres
* Flood Guard y Fragmentation Guard protege la maquina contra ataques de
denegacion de servicio
* Soporta los estandards avanzados de voz a traves de IP (VoIP) incluyendo SIP,
H.323 y otros.
* Bloqueo de JAVA protege la maquina contra java applets potencialmente
hostiles.
* Acceso en a linea de comandos
* Net Aliasing combina transparentemente las redes solapadas con el mismo
espacio de IPs.
* Integracion con el Sistema de Deteccion de Intrusos de Cisco para rechazar
conexiones desde IPs maliciosas conocidas.
* Configuracion avanzada de los mensajes enviados a syslog
* SNMP y syslog para administracion remota
* Syslogging fiable usando TCP o UDP
* Sun Remote Procedure Call (RPC)
* Cliente de Microsoft (Netbios sobre IP) usando NAT
* Multimedia, incluyendo RealNetworks RealAudio, Xing Technologies Streamworks
El futuro
En futuras versiones de cortafuegos PIX se esta considerando la posibilidad de
anyadir listas de control de acceso (ACLs) basandas en la direccion MAC. Por el
momento si se quiere, por ejemplo, permitir el acceso a un usuario con un
portatil, se deberan usar metodos de autentificacion a nivel de usuario
usando TACACS+ por ejemplo.
Seguridad
Basicamente podemos dividir los posibles ataques del exterior hacia el interior
de la red como:
- Ataques de reconocimiento: Intentamos identificar equipos y conseguir toda la
informacion posible. Un caso tipico puede ser que comencemos a pingear
equipos en un rango de ips, a continuacion mapeamos la red para averiguar los
puertos abiertos y lo siguiente averiguar versiones del software que corra en
las distintas maquinas. Se utiliza para obtener informacion para llevar a
cabo un ataque de acceso o DoS.
- Ataques de acceso: Este ataque consiste en conseguir acceso a la maquina para
obtener informacion. Formas posibles de obtenerlo es utilizando fuerza bruta
contra el sistema de autentificacion o utilizando un exploit. Otras veces ya
tenemos acceso por algun otro medio y lo que tenemos que hacer es escalar
privilegios.
- Ataques DoS (Denegacion de servicio): La intencion de este ataque es que la
maquina, algun servicio o el software denegue la utilizacion de los recursos
de dicho sistema a un usuario autentico. Un ataque tipico DoS no necesita que
el atacante tenga acceso a la maquina. Un DDoS, DoS distribuido implica que
el origen del ataque son diferentes maquinas que atacan simultaneamente
incluso desde distintos puntos geograficos.
El ciclo de seguridad de Cisco
1. Asegurar el entorno
2. Monitorizar la actividad y responder a lo que vaya suceciendo
3. Probar la seguridad del entorno
4. Mejorar la seguridad del entorno
Estos pasos son un ciclo continuo que comienza una vez definida la politica de
seguridad de la empresa.
Probando la seguridad del entorno
Las cosas que deben probarse o chequearse son:
- El cumplimiento de las politicas de seguridad, incluyendo cosas como la
fortaleza de las contrasenyas.
- Parcheo del sistema
- Los servicios que corren en la maquina
- Aplicaciones concretas, en particular aplicaciones web especialmente
estrafalarias
- Servidores nuevos añadidos a la web
- Modems activos que aceptan llamadas entrantes
Existen multitud de herramientas para probar la seguridad de una red:
Herramientas gratuitas
- Nmap (www.insecure.org/nmap)
- Nessus (www.nessus.org)
- whisker (http://sourceforge.net/projects/whisker)
- Security Auditor's Research Assistant (www-arc.com/sara)
- L0pthcrack (www.atstake.com/research/lc)
Herramientas comerciales
- ISS Internet Scanner (www.iss.net)
- Symantec Enterprise Security Manager (www.symantec.com)
- PentaSafe VigilEnt Security Manager (www.pentasafe.com)
Sapphire Worm
El comunicado mas reciente de Cisco alertaba sobre este gusano que afecta a
servidores MS-SQL. Segun este comunicado el cortafuegos PIX esta configurado
por defecto para detener el avance de este gusano a menos que haya sido
configurado explicitamente el acceso a servicios MS-SQL tal como aparecen en
los siguientes ejemplos:
access-list acl_out permit udp any host <address> eq 1434
La posibilidades es o parchear el servidor MS-SQL, o denegar el acceso o borrar
esta linea directamente.
URLS
http://www.cisco.com
http://www.brainbuzz.com
http://groups.yahoo.com/group/PIX_Firewall/
Cisco Security Specialist's Guide to PIX Firewalls (http://www.syngress.com)
*EOF*