¿Tienes un antiguo router CISCO encima de un armario? Pues tienes un tesoro.
Si bien la empresa de san francisco ha dejado en vía muerta el desarrollo de la seguridad, solo ha roto esta regla para crear un pseudo-firewall con un router.
En este caso, un router Cisco con IOS firewall, trata el tráfico como stateful, soporta diccionario de inspección, asegura el cumplimiento de los protocolos, incorpora las herramientas conocidas contra ataques de denegación de servicio, antispoofing, limita las tormentas de broadcast, 2400 firmas de IPs y control por patrones del tráfico(DLP).
Cuando puede ser útil, teniendo equipos como Paloalto networks, en entornos donde tengamos que participar por ejemplo de MPLS, WCCP, GLBP, HSRP, EIGRP, MSDP, PPoE, PPoA,PFr, túneles GRE y Protocolos de routing sobre IPV6.
Un ejemplo de la configuración de un router configurado con Firewall Basado en Zonas sería:
Crear las diferentes zonas de seguridad, en función de la confianza del tráfico:
zone security outside (siguiendo nomenclature de pix/asa)
zone security inside (siguiendo nomenclature de pix/asa)
Clasificamos el tráfico para luego tratarlo de una forma o de otra
class-map type inspect match-any robclav_tcp_udp
match ip protocol TCP
match ip protocol UCP
class-map type inspect match-any usuarios
match ip address 1
access-list 1 permit 192.168.1.0 0.0.0.255
Y deciidimos el tratamientoCrear la policy type inspect
policy-map type inspect PM_TCP_UDP
class robclav_TCP_UPD
inspect
Aplicarlo a una dirección y/o a otra
zone-pair security zp_tcp_udp source inside destination outside
service-policy type inspect pm_tcp_UDP
Finalmente asignamos las interficies a las zonas:
robclavR1(conft)int fa 0/0
robclavR1(conft-int)zone security inside
robclavR1(conft)int fa 0/1
robclavR1(conft-int)zone security outside
De todos modos, si disfrutas de la configuración de la IOS Firewall, lo siguiente es hacer una videorespuesta a DaftPunk bodies, pero con los comandos de Flexible Packet Matching, control-Plane Protection y CBAC
HTH,
RobClav
RobClav
2 comentarios:
Hola RobClav,
He dado por casualidad con tu blog y me parece bastante bueno. Thanks por los comentarios que haces de PaloAlto....siempre se aprenden nuevos tip and tricks (nunca te acostarás sin saber algo más.
En cuanto a este apartado (convertir un router en FW) no está mal. En su día hice la transformación de un LocalDirector 430 y lo convertí en un PIX (comparten todas las piezas). Pero al cabo del tiempo encontré la forma de convertir un ordenador que tenía para tirar en un PIX, eso sí, sólo funciona si tienes determinadas piezas. Teniendo una placa base Intel SE440BX-2 con al menos 2x NICs Intel 82557/82558/82559, disquetera, 128MB PC100 SDRAM, un procesador 350MHZ con 512K caché, Serial (adaptador de consola)...y lo más complicado una flash card Cisco 16MB para el PIX (se puede pillar en resellers o como en mi caso, en ebay)tendrás funcionando un maravilloso firewall.
Saludos
Gracias Wilja, el tema de emular un pix no lo había escuchado. Pero si que he visto pixes originales que eran pc compatibles como los primeros Stonegates. De cisco, había modificado BIOS para correr CallManager y Unitys.
Publicar un comentario