Configuración rápida de TI: configure Cisco PIX Firewall y elija la topología

Cómo configurar el cortafuegos de Cisco Pix

Al comprar un dispositivo de firewall avanzado capaz de manejar altos niveles de tráfico empresarial, la primera opción que consideran muchas organizaciones es Cisco PIX Firewall. Si su organización elige una solución de firewall avanzada como PIX, se enfrentará a dos desafíos importantes.

Primero, el PIX tiene muchas funciones, pero todas estas opciones pueden hacer que la configuración sea un desafío. Para configurar mejor el PIX y maximizar sus funciones avanzadas, debe aprender el sistema operativo PIX. Te daré algunos consejos para que empieces.

En segundo lugar, el PIX es más que un simple portal de Internet. También se puede usar para crear una DMZ para hospedar servicios de Internet internamente, lo que efectivamente divide partes de la red interna. Ilustraré estas opciones de topología con algunos diagramas simples.

Utilice la interfaz PIX
Como habrá escuchado, los dispositivos de Cisco no son conocidos por sus GUI fáciles de usar. Por lo tanto, es posible que desconfíe de aprender otro sistema operativo y evitar el firewall PIX. Pero si ya usa enrutadores Cisco y está familiarizado con Cisco IOS, probablemente se pondrá al día rápidamente; PIX OS es básicamente lo mismo, con menos opciones y algunos comandos nuevos o renombrados.

Por otro lado, si no sabe nada acerca de Cisco IOS, le recomiendo que tome uno o dos cursos de Cisco, o al menos haga un poco de autoaprendizaje. Los dos mejores cursos para aprender sobre PIX Firewall son Administración de Cisco Web Security y Cisco Secure PIX Firewall Advanced. (Cisco PIX Device Manager es una opción si prefiere la apariencia de una interfaz gráfica, pero aún así es bueno conocer los modos de configuración de la interfaz de línea de comandos).

lo mismo pero diferente
Entonces, ¿cuál es la diferencia entre el IOS del enrutador Cisco y el sistema operativo Cisco PIX?

• PIX OS tiene menos comandos y funciones.
• El sistema operativo PIX no es muy útil; por ejemplo, no puede usar la tecla de flecha hacia arriba para rehacer el último comando.
• El sistema operativo PIX no tiene tantos modos de configuración en ese nivel de complejidad (como el modo de configuración de la interfaz). Una vez iniciado, el sistema operativo PIX tiene solo 3 modos: modo sin privilegios, modo privilegiado y modo de configuración.
• PIX OS usa lo que se llama Algoritmo de seguridad adaptable (ASA). Estos son los niveles de seguridad asignados a cada interfaz. Un nivel de seguridad de 100 es el más alto (y más confiable), y 0 es el más bajo.
• A diferencia de los enrutadores, los dispositivos PIX OS funcionan como cortafuegos de forma predeterminada

comando básico
Algunos comandos comparten la misma sintaxis en PIX OS e IOS, pero tienen funciones diferentes. Los seis comandos principales que debe tener en cuenta son:

• nameif – asigna un nombre y nivel de seguridad a una interfaz
• Interfaz: se utiliza para asignar parámetros de hardware (como full-duplex o half-duplex) y para cerrar la interfaz
• dirección IP: asigne una dirección IP y otros parámetros IP a una interfaz
• nat: realiza la traducción de direcciones de red entre interfaces internas y externas
• global – hacer traducción de direcciones de red entre interfaces internas y externas
• ruta – configurar el enrutamiento IP

También lleva un poco de tiempo acostumbrarse al modo de configuración menos complicado de PIX OS. Por ejemplo, iniciar y cerrar sesión es un poco diferente; mostrar la configuración en ejecución se realiza con el comando escribir en el terminal; guardar la configuración en NVRAM se realiza con el comando escribir memoria, o simplemente wr.

Opciones de topología de firewall PIX
Piense en su red como un edificio de oficinas con mostradores de seguridad en cada punto de entrada. En el mostrador de información, los guardias de seguridad verifican la identificación y se aseguran de que los visitantes no traigan nada no autorizado dentro o fuera del edificio. También pueden preguntar sobre su propósito en el edificio y registrar cuando entra y sale. Esto es exactamente lo que hacen los cortafuegos en los puntos de entrada de la red.

El uso más común de un firewall es restringir el acceso a su red privada desde una red pública como Internet. La Figura A muestra un ejemplo de tal topología.

Figura A

También puede crear una DMZ (Zona Desmilitarizada) entre Internet y su red privada. Puede usar este segmento de red como el hogar de los servidores a los que se accede a través de Internet, como servidores web o servidores de correo externos, pero aún se requiere algo de protección. La Figura B muestra un ejemplo de esta topología.

Figura B

Un uso menos común pero muy importante de los firewalls es proteger los límites entre las redes internas. Tal vez comparte una red con un socio comercial, realiza comercio electrónico con un proveedor a través de una línea alquilada o simplemente desea controlar el acceso entre departamentos (como recursos humanos o contabilidad y todos los demás). Un firewall también puede servir para este propósito, como se muestra en la Figura C.

Figura C

El firewall Cisco PIX también es un servidor de red privada virtual (VPN), lo que significa que los sistemas de clientes remotos pueden ejecutar Cisco VPN Client y conectarse a la red corporativa a través del firewall PIX.

La última oración
Cisco PIX Firewall es un dispositivo avanzado y altamente configurable, aunque su interfaz de línea de comandos puede ser un poco difícil de aprender. Sin embargo, estas herramientas son lo suficientemente poderosas para satisfacer las necesidades de casi cualquier topología de seguridad.