Firewall
ESTRUCTURA FUNCIONAMIENTO
ESQUEMA DE PROTECCION A.S.A.
-Adaptative Security Algoritm
- Stateful y Orientado a la Conexin.
- Flujo de sesiones se basa en :
* Direccin Fuente Destino
* Secuencia TCP
* Nmero de Puertos
-Puede controlar tanto trfico saliente como entrante.
CUT-THROUGH PROXY
-Metodo de verificacin de usuarios, sirve para denegar o permitir acceso
para cualquier tipo de aplicacin TCP o UDP
CISCO-PIX
Server
FTP
INTERNET
Segmento IP Pblica
PAT: 200.54.156.42/29
Server smtp
-Acceso Internet
- Accseso Controlado
- VPN Client StoS
- Fix Up
- Ruteo Interno
LAN-2: 172.30.1.X
CISCO-PIX
506-E
INTERNET
Segmento IP Pblica
PAT: 200.54.156.42/29
ACCESO INTERNET
LAN-1: 192.168.1.X
CISCO-PIX
506-E
e1
e0
Inside
192.168.1.1
Ouside
200.54.156.42
N.A.T. P.A.T.
NAT
- Permite
CONTROL USUARIOS
LAN-1: 192.168.1.X
CISCO-PIX
506-E
e1
inside
e0
ouside
El PIX NO filtra:
- Usuarios sobre un ambiente Dinmico.
- Usuarios por Horarios y Fechas.
- Sitios Internet por palabra en URL.
- No entrega privilegios por User y Pass.
- El acceso de una Zona insegura a otra
segura slo se hace a travs de N.A.T.
SERVIDORES - INSIDE
LAN-1: 192.168.1.X
CISCO-PIX
506-E
e1
inside
e0
ouside
200.54.156.43
Server
SMTP-Web
192.168.1.5
SERVIDOR DMZ
LAN-1: 192.168.1.X
CISCO-PIX 515E
Server
FTP
e1
e0
Inside
192.168.1.1
Ouside
200.54.156.42
DMZ
192.168.0.1
Server FTP-WEB
200.54.156.43
192.168.0.2
FIXUP - PROTOCOL
LAN-1: 192.168.1.X
IP SRC
IP DST
PORT
A.B.C.D.
X.X.X.X
PPP
----
-----
---
---
-----
---
CISCO-PIX
506-E
e1
e0
Inside
192.168.1.1
Ouside
200.54.156.42
VPN CLIENTE
LAN-1: 192.168.1.X
CISCO-PIX
INTERNET
Server
FTP
VPN Cliente
LAN-2: 172.30.1.X
VPN CLIENTE
LAN-1: 192.168.1.X
CISCO-PIX
INTERNET
Server
FTP
VPN Cliente
POOL VPN
172.30.100.X
LAN-2: 172.30.1.X
INTERNET
ACCESO CONMUTADO
VPN Cliente
PARAMETROS VPN
CONJUNTO TRANSFORMADA
crypto ipsec transform-set myset esp-des esp-md5-hmac
ESP: Encapsulation Security Payload, define la confidencialidad, autenticacin e integridad de los
datos(payload)/ Cifrado de Payload de los paquetes con un algoritmo de encryptacin
DES: Algoritmo de Encriptacin de 56 bits
MD5: Autentificacin
IPSEC
ESP
DES / 3DES
AH
HMAC-MD5 / HMAC SHA
PARAMETROS VPN
ISAKMP: Internet Security Association and Key Management Protocol
isakmp enable outside
isakmp policy 20 authentication pre-share
isakmp policy 20 encryption des
isakmp policy 20 hash md5
isakmp policy 20 group 2
isakmp policy 20 lifetime 86400
CRYPTO MAP
crypto dynamic-map dynmap 10 set transform-set myset
crypto map mymap 10 ipsec-isakmp dynamic dynmap
crypto map mymap client configuration address initiate
crypto map mymap client configuration address respond
crypto map mymap interface outside
CISCO-PIX
192.168.0.X
INSIDE
OUTSIDE
192.169.0.1
200.54.156.42
INTERNET
POOL VPN
SOPORTE
192.168.100.X
NAT
VPN Cliente-1
VPN Cliente-2
MULTI-USUARIOS VPN
NAT
CISCO-PIX
OUTSIDE
INTERNET
VPN Cliente-1
VPN Cliente-2
200.54.156.42
VPN Cliente-3
MONITOREO INTERNET
....................
logging on
logging buffered debugging
logging trap debugging
logging host inside 10.10.10.2
...................
MONITOREO INTERNET