PIX firewall SEGURIDAD DE REDES David Aguirre Ma. Fernanda Cún Nadia Jaramillo Estefanía Loaiza
Introducción PIX (Private Internet eXchange) se trata de un firewall completamente hardware: a diferencia de otros sistemas cortafuegos, PIX no se ejecuta en una máquina, sino que incluye un sistema operativo empotrado denominado Finesse. El cortafuegos PIX utiliza un algoritmo de protección denominado Adaptive Security Algorithm (ASA): a cualquier paquete inbound de redes externas que tienen como origen una red protegida se le aplica este algoritmo antes de dejarles atravesar el firewall. A cada interfaz del firewall se le asigna un nivel de seguridad comprendido entre 0 (menos seguro) y 100 (el más seguro).
Introducción La filosofía de funcionamiento del Adaptive Security Algorithm se basa en estas reglas: Ningún paquete puede atravesar el cortafuegos sin tener conexión y estado. Cualquier conexión es permitida si el origen tiene un nivel de seguridad mayor que el destino. Cualquier conexión que tiene como origen una interfaz o red de menor seguridad que su destino es denegada. Los paquetes ICMP son detenidos a no ser que se habilite su tráfico explícitamente. Cualquier intento de violación de las reglas anteriores es detenido, y un mensaje de alerta es enviado a syslog.
La primera sesión con PIX Firewall Si conectamos al firewall por consola a través de una línea serie entramos directamente sin necesidad de contraseña, en modo no privilegiado; nos aparece el prompt siguiente: pixie> Son pocos comandos que se puede utilizar en modo no privilegiado; la orden pager nos permite ajustar el número de líneas para paginar, la orden quit (o exit) sale del firewall, y la orden enable nos pasa a modo superusuario, pidiendo la contraseña (que por defecto será `cisco‘).
La primera sesión con PIX Firewall Al entrar en modo privilegiado, el prompt cambia; en este modo ya podemos reconfigurar parámetros del PIX, y tenemos más órdenes disponibles. dixie# Para revisar todos las funciones tecleamos la orden `?', nos mostrará todos los comandos disponibles. dixie# ?
Interfaces de red Cisco denomina a de sus interfaces hardware de la forma ethernetN o token-ringN. Desde el modo configuración podemos asignarles nombres simbólicos y niveles de seguridad, teniendo en cuenta que: el nombre outside -> tarjeta ethernet0 el nombre inside ->a la ethernet1. Además, el nivel de seguridad de la interfaz outside es el más bajo ‘0’, y el reservado para inside el más elevado ‘100’; el resto de tarjetas pueden tener cualquier número comprendido entre los dos anteriores.
Interfaces de red Para asignarle un nombre y un nivel de seguridad a un interfaz se utiliza nameif; por ejemplo, para denominar dmz a la tarjeta ethernet2, y darle un nivel 50: dixie(config)# nameif e2 dmz security50 Es importante que exista una interfaz llamada outside con un nivel 0 y una inside con un nivel 100; si alguna de las dos no existe, o si esta duplicada, el cortafuegos parará todo el tráfico que pase por él.
Interfaces de red Para ver si la configuración actual de las interfaces es correcta mediante la orden show nameif: dixie(config)# show nameif nameif ethernet0 outside security0 nameif ethernet1 inside security100 nameif ethernet2 dmz security50 nameif ethernet3 intf3 security15 dixie(config)#
Acceso entre interfaces Para excepciones a las reglas del adaptive security algorithm se usan los comandos nat y static; nat permite que una interfaz de mayor seguridad pueda acceder a uno de menor, mientras que static hace lo contrario. dixie(config)# nat (dmz) 0 0.0.0.0 0.0.0.0 dixie(config)# sh nat nat (dmz) 0 0.0.0.0 0.0.0.0 0 0 pixie(config)#
Acceso entre interfaces Si lo que queremos es permitir el acceso desde un interfaz de menor nivel de seguridad a uno de mayor ejecutaremos la orden static, que tiene la sintaxis siguiente: static (if interna,if externa) dir destino dir destino netmask mascara Con esto nos limitamos a ‘publicar’ la dirección de una maquina protegida por el PIX firewall al resto de Internet; pero esto no significa que ya se pueda acceder a ese sistema.
Acceso entre interfaces Tras la orden static, es necesario habilitar listas de control de acceso a los diferentes servicios de la dirección que hemos publicado, y asociar dichas listas de control a la interfaz correspondiente; por ejemplo el acceso necesitado es smtp: dixie(config)# access-list prueba permit tcp any host 158.42.22.41eq smtp dixie(config)# access-group prueba in interface outside
Listas de control de acceso Una vez establecido las conexiones entre interfaces, es necesario definir permisos sobre modo de acceso, origen y los servicios de acceso de esa máquina; esto lo conseguiremos mediante la orden access-list, cuya sintaxis es la siguiente: access-list ID accion proto dir-origen pto-origen dir-destino pto-destino Para habilitar un acceso http desde cualquier lugar de Internet, y acceso pop3 desde por ejemplo, 196.33.22.128/25 a la maquina 158.42.22.41, se hace mediante una lista de control de dos entradas (que llamaremos prova) : pixie(config)# access-list prova permit tcp any host 158.42.22.41 eq http pixie(config)# access-list prova permit tcp 196.33.22.128 255.255.255.128 host 158.42.22.41 eq http pixie(config)#
Listas de control de acceso Si queremos que ningún equipo del exterior haga ping a la maquina 158.42.22.41, excepto los que provienen de la red 196.72.31.0/24, definiremos la siguiente lista de control de acceso: pixie(config)# access-list prova permit icmp 196.72.31.0 255.255.255.0 host 158.42.22.41 pixie(config)# access-list prova deny icmp any any pixie(config)#
Listas de control de acceso pixie(config)# access-group prova in interface outside pixie(config)# Con este comando asociamos la lista de control a la interfaz especificada; si esta ya tenía asociada una lista de control, la nueva reemplaza a la antigua pero las conexiones no se pierden. Esto es útil para poder añadir entradas intermedias a las listas de control sin que las conexiones establecidas por el interfaz al que queremos asociarlas se pierdan: para ello, lo mas rápido es copiar la lista en un editor de textos, realizar sobre el mismo las modificaciones necesarias, y grabarla de nuevo en el cortafuegos con otro nombre; tras esto, la asociamos al interfaz correspondiente mediante access-group, y cuando estemos seguros de que todo funciona correctamente la grabamos en memoria mediante write mem.
Rutado En el cortafuegos PIX es necesario especificar mediante rutas estáticas cómo vamos a encaminar los paquetes que nos llegan, añadiendo una ruta para cada red conectada a un interfaz; sólo podremos asignar una ruta por defecto, asociada siempre al interfaz outside. Para ver las rutas del firewall utilizaremos la orden sh route
route interfaz direccion-remota mascara gateway metrica Rutado Si lo que queremos es modificar cualquiera de estas rutas, añadir rutas nuevas, o eliminar alguna de ellas, ejecutaremos la orden route, cuya sintaxis es la siguiente: route interfaz direccion-remota mascara gateway metrica Para eliminar una ruta, ejecutaremos el comando no route, que recibe como parámetro la ruta que deseamos eliminar
Otras órdenes útiles Arranque y parada del cortafuegos La orden reload (modo privilegiado) reinicia el firewall y carga su configuración Al ejecutar reload se nos pedirá confirmación para reiniciar el cortafuegos, y es muy importante que en caso de no querer ejecutar el comando tecleemos `n'; cualquier otra respuesta ejecuta la orden.
Otras órdenes útiles Configuraciones del sistema Nombre de la máquina Mediante la orden hostname cambiamos el nombre de host del cortafuegos. Contraseñas En modo configuración podemos cambiar la contraseña de acceso al modo privilegiado mediante la orden enable password; mediante show enable vemos la cadena cifrada con nuestra contraseña
Otras órdenes útiles Para acceder al cortafuegos vía telnet; que por defecto será `cisco' utilizaremos la orden passwd, y para visualizar la cadena cifrada resultante show passwd. Si quisiéramos restaurar esta contraseña a su valor original (`cisco'), no tenemos más que ejecutar la orden clear passwd.
Otras órdenes útiles Cambios permanentes Configuración de terminal Si deseamos que nuestros cambios sean permanentes hemos de grabarlos o en disco o en memoria flash , mediante la orden write (write floppy o write mem, en cada caso) Configuración de terminal Para reconfigurar el número de líneas de nuestra terminal de conexión, tanto en modo privilegiado como en modo usuario, podemos usar la orden pager, que recibe como parámetro el número de líneas deseado.
Otras órdenes útiles Información del sistema Las órdenes que nos permiten obtener información del estado actual del PIX comienzan por la palabra `show'; algunas de ellas son las siguientes: show processes: Muestra los procesos que se están ejecutando en el cortafuegos. show version: Muestra información genérica sobre el firewall, como la versión del software instalado en el PIX, el uptime del sistema, ciertos parámetros hardware, licencias, etc.
Otras órdenes útiles show interface: Muestra información detallada sobre cada uno de los interfaces de red del firewall. show conn: Muestra las conexiones activas a través del cortafuegos. show history: Muestra las últimas órdenes ejecutadas en línea de comandos show flashfs: Muestra información sobre el sistema de ficheros empotrado en la memoria flash de la máquina.
Otras órdenes útiles show clock: Muestra la fecha y hora del sistema; podemos modificar esta información mediante la orden clock. show configure: Muestra la configuración cargada al arrancar el cortafuegos (no tiene por qué ser la que se está ejecutando en estos momentos; esta se puede ver con wr t). Es el contenido de la memoria no volátil. show failover:Muestra el estado del subsistema de tolerancia a fallos. show who: Muestra las conexiones establecidas vía telnet con el cortafuegos.
El sistema de log remoto
El PIX Firewall registra los eventos en un sistema de log --> sh log. Se envían registros a un sistema Unix - syslog remoto: indicando la interfaz por la que se van a enviar los registros y la dirección del sistema remoto mediante logging host: pixie(config)# logging host inside 192.168.63.22 pixie(config)#
PIX registra eventos más relacionados con el estado del failover que con la seguridad de los sistemas y los posibles ataques que pueden sufrir. Fichero de log --> crece con entradas de este tipo:
Evitar registrar estos mensajes: no logging message Ejemplo: Si queremos evitar el registro de la alerta PIX-1-103003, ejecutaremos: pixie(config)# no logging message 103003 pixie(config)# Volver a registrar el mensaje: `no' delante, o clear logging disabled, que habilita el registro de todos los mensajes. pixie(config)# logging message 103003 pixie(config)
Ver mensajes que no estamos registrando: sh logging disabled
Registrar eventos registrados con entradas y salidas al cortafuegos, y también con tráfico negado en el mismo. Para ello: facility = PIX severity = # siguiente en código de mensaje (1 a 7) Ejemplo: Un mensaje con código: PIX-6-307002 corresponde a una: facility = PIX severity = 6
Failover
El sistema de alta disponibilidad --> PIX permite utilizar unidad secundaria que tomará el control de las conexiones en caso de que la primaria falle; Unidades estarán conectadas por un cable serie (un RS-232 modificado) que transmite a 9600 baudios. Contínuamente se intercambian mensajes `hello' para que ambas puedan conocer el estado de la otra unidad. Si dos de estos mensajes consecutivos - se envían a intervalos de 15 segundos - no son recibidos en un determinado tiempo, entra en juego el failover para comprobar cual de las dos unidades ha fallado y transferir el control a la otra. Cada unidad cambia de estado: la nueva unidad activa asume las direcciones IP y MAC de la anterior y comienza a aceptar tráfico, y la que antes era la activa ahora asume los parámetros de la que no lo era; el resto de elementos de la red no ve ningún cambio en los dispositivos, por lo que no existen cambios o timeouts en las tablas ARP
pixie(config)# sh failover Si queremos saber el estado del failover (por ejemplo para ver cuál es la unidad activa en un determinado momento) hemos de ejecutar la orden sh failover: pixie(config)# sh failover
Con la orden failover podemos habilitar el failover, y con no failover deshabilitarlo: pixie(config)# no failover pixie(config)# sh failover Failover Off Cable status: Normal Reconnect timeout 0:00:00 pixie(config)# El failover es casi transparente a la administración de la máquina, en el sentido de que la configuración sólo se realiza en la unidad activa en cada momento, y automáticamente se transfiere a la que está en standby.