Entradas populares

  • CISCO IOS 15.0
    Hace tiempo me preguntaba porque CISCO salto de la versión de IOS 12.4T, hacia la versión 15 directamente. Y estos días he encontrado la res...
  • QoS en Paloalto for dummies
    Hola de nuevo, gracias a todos por los comentarios y/o correos. Os dejo un resumen para configurar calidad de servicio en un Paloalto.  Como...
  • ¿Dos fabricantes para doble barrera perimetral o solo uno?
    Llevo un par de semanas con este debate: ¿Un doble barrera de firewalls con tecnología de firewalls diferente en las dos coronas, es más s...

lunes, 26 de septiembre de 2011

Se acerta el invierno: Top ten de WAF

Parafraseando a Juego de tronos, "se acerca el invierno" en la seguridad de nuestras aplicaciones web, publicadas en internet. 



Los ataques desde Internet son diversos, numerosos, continuos, sofisticados y dirigidos a un objetivo claro: Obtener algo a cambio. Atrás quedaron aquellos aprendices a hackers que buscaban bugs, para demostrar sus teoría y compartir conocimiento. Ahora el dinero, o la guerra está detrás del 90% de los ataques. Así que os dejo mi top ten de Web Applications Firewalls, ya que no tengo suficiente información para crear una comparativa.
Mi criterio por factores de innovación y puntuación de los productos por usuarios.

  1. Mykonos software
  2. Imperva 
  3. F5 Networks, ASM. 
  4. Astaro Web Application Firewall
  5. Barracuda Networks for Barracuda Web Application Firewall
  6. HP TippingPoint Web Application Digital Vaccine
  7. Breach Security for WebDefend
  8. WhiteHat Security for WhiteHat Sentinel (SaaS)
  9. Teros, fue comprado por Citrix ANG (Application Networking Group) Netscaler.
  10. McaFee Sidewinder
Notas:

  • Cisco ACE WAF Edition, está con anuncio de  "End of Life". Por otra parte han anunciado, que van a desarrollar una version de ASA WAF.
  • Las versiones virtualizables tienen el rendimiento muy limitado.
  • En este top ten, no hay producto equivocado. Solo hay que distinguir el escenario a securizar.
  • El precio no esta contemplado para hacer la valoración.

HTH,
RobClav


2 comentarios

miércoles, 14 de septiembre de 2011

Buy it, use it, break it, fix it, Trash it, change it: CISCO IOS FIREWALL


¿Tienes un antiguo router CISCO encima de un armario? Pues tienes un tesoro.
Si bien la empresa de san francisco ha dejado en vía muerta el desarrollo de la seguridad, solo ha roto esta regla para crear un pseudo-firewall con un router.

En este caso, un router Cisco con IOS firewall, trata el tráfico como stateful, soporta diccionario de inspección, asegura el cumplimiento de los protocolos, incorpora las herramientas conocidas contra ataques de denegación de servicio, antispoofing, limita las tormentas de broadcast, 2400 firmas de IPs y control por patrones del tráfico(DLP).
Cuando puede ser útil, teniendo equipos como Paloalto networks, en entornos donde tengamos que participar por ejemplo de MPLS, WCCP, GLBP, HSRP, EIGRP, MSDP, PPoE, PPoA,PFr, túneles GRE y Protocolos de routing sobre IPV6. 
Tantos acrónimos me suenan a Tecnologic de Daft Punk

Un ejemplo de la configuración de un router configurado con Firewall Basado en Zonas sería:

Crear las diferentes zonas de seguridad, en función de la confianza del tráfico:
zone security outside (siguiendo nomenclature de pix/asa)
zone security inside (siguiendo nomenclature de pix/asa)

Clasificamos el tráfico para luego tratarlo de una forma o de otra
class-map type inspect match-any  robclav_tcp_udp
match ip protocol TCP
match ip protocol UCP
class-map type inspect match-any usuarios
match ip address 1
access-list 1 permit 192.168.1.0 0.0.0.255

Y deciidimos el tratamientoCrear la policy type inspect
policy-map type inspect PM_TCP_UDP
class robclav_TCP_UPD
inspect
Aplicarlo a una dirección y/o a otra
zone-pair security zp_tcp_udp source inside destination outside 
service-policy type inspect pm_tcp_UDP

Finalmente asignamos las interficies a las zonas:
robclavR1(conft)int fa 0/0
robclavR1(conft-int)zone security inside
robclavR1(conft)int fa 0/1
robclavR1(conft-int)zone security outside



De todos modos, si disfrutas de la configuración de la IOS Firewall, lo siguiente es hacer una videorespuesta a DaftPunk bodies, pero con los comandos de Flexible Packet Matching, control-Plane Protection y CBAC


HTH,
RobClav
2 comentarios

miércoles, 7 de septiembre de 2011

Kub Solutions Headquarters, deep inside

Como iba diciendo esta foto es un ejemplo gráfico del antes y el después.
















Y estas son las fotos de alguna de los seis espacios, más el reservado...Sí, la oficina es casi tan grande como mi casa.



Aquí estamos los cuatro: Xavi, Marcos , yo y el Rack que tiene vida propia con los ventiladores....

0 comentarios

Kub Solutions Headquarter




Hace tiempo que quería colgar las fotos de la evolución de la oficina, pero al final he ido retrasando este post. Pero por suerte, si que he guardado las fotos que íbamos haciendo durante estos meses.

La oficina de Kub,  está en Gran Vía entre Aribau y Muntaner. De forma que la vista inmediata es la plaza universidad, Gran vía de les corts catalanes, y Pelayo hasta plaza Cataluña.
Estas son las vistas de Otoño de día y noche:











 Y estas las vistas del verano desde las dos salas:



















Pero no solo de vistas vive el networker, así que en seguida llegaron los primeros juguetes, siendo la primera remesa de autoregalos.







Para ser reemplazados por la artillería pesada, que llego para navidad. Ahora estoy convencido que que Papa Noël vive en San Francisco... Telefonía Cisco, un rack de ccie para alquilar y las formaciones, servidores y ordenadores de sobremesa.




 Por cierto, el rack está alquilado hasta noviembre, pero a partir de entonces lo alquilamos a 350 euros 24x7 durante un mes natural. Es conforme a la versión 4 del Lab, según los layouts de Internetwork Expert(INE.com) Por supuesto soporta, MPLS e IOS firewall. Los equipos están ampliados de RAM y las versiones de IOS del blueprint.
0 comentarios
Suscribirse a: Entradas (Atom)