La
familia de cortafuegos PIX aparece en un
amplio espectro de campos, desde cortafuegos
plug 'n' play compactos y de escritorio para pequeñas oficinas o incluso para el hogar hasta cortafuegos por los que pasan gigabits de datos en poco tiempo.
Soportan hasta 500.000 conexiones simultaneas y cerca de 1.7 Gigabits por segundo (Gbps) de salida total.
Características claves y beneficios
SEGURIDAD
Los
cortafuegos PIX de Cisco utilizan un
sistema operativo propio y especialmente disenyado para cortafuegos que elimina el riesgo asociado a los sistemas operativos de uso general.
Los cortafuegos PIX incorporan la ultima
tecnologia en seguridad:
- inspeccion basada en el estado (stateful inspection)
- VPNs basadas en IPSec y L2TP/PPTP
- filtrado de contenidos
- deteccion de intrusos integrada
En el nucleo de la familia de cortafuegos PIX tenemos el
algoritmo de seguridad ASA (Adaptive Security Algorithm) que mantiene
aseguradas perimetralmente las redes controladas por el cortafuegos.
La inspeccion de la conexion basada en el estado, en la que se usa el disenyo ASA, permite crear flujos de sesion basandose en la direccion origen y destino, numeros de secuencia TCP (no predecibles), numeros de puerto y banderas TCP adicionales.
Todo el trafico entrante y saliente esta controlado por la aplicacion continua de las politicas de seguridad a cada entrada en la tabla de conexiones.
RENDIMIENTO
Altamente escalable. Soporta hasta 10 interfaces gigabit ethernet y 1.7 Gbps de salida total.
FIABILIDAD
El trafico de la red puede ser redirigido automaticamente a otra unidad en espera en caso de fallo mientras se mantiene el trafico de la red gracias a una sincronizacion del estado entre la unidad primaria y la unidad en espera.
VIRTUAL PRIVATE NETWORKING (VPN)
Servicios VPN basados en IPSec y L2TP/PPTP. Adecuados para acceso local y remoto.
La conexion VPN basada en TipleDES (3DES) puede ampliarse hasta aproximadamente 100Mbps usando la tarjeta aceleradora para VPNs PIX (VAC), que descarga a la maquina del trabajo de encriptar/desencriptar dejandolo a cargo de coprocesadores especializados para esa tarea.
|| por
maty El algoritmo
TripleDES es una evolución del anterior
DES, propuesto por la
NSA, del que siempre se sospechó la existencia de una puerta trasera, debilidad implícita.
En lo posible, debiéramos evitar el uso del TripleDES, así como del GHOST (gobierno ruso). AES, BLOWFISH, TWOFISH, ... son alternativas a tener en cuenta. Recientemente,
CISCO ha anunciado que facilitará una
. Sí,
CISCO es la empresa nº 1, pero hace tiempo que está bajo sospecha, como tantas otras norteamericanas.
¿Paranoia?, lo dudo. Simplemente tengámoslo en cuenta por si algún día alguna información MUY CONFIDENCIAL ha de circular por ellos. MEJOR CIFRAR FUERTEMENTE antes, con HERRAMIENTAS EXTERNAS (QUE NO SEAN DE MICROSOFT !!!). Podrán detectar la fuente y el destino, pero difícilmente el contenido (dejando de lado ATAQUES TEMPEST y similares -debiera escribirse un artículo al respecto- ). ||
Para requerimientos de hardware o electricos se puede consultar la web de cisco.
SOFTWARE
- NAT real tal como esta especificada en el RFC1631
- Port Address Translation (PAT) que soporta hasta 64.000 hosts
- Soporta filtrado de URLs integrando en el firewall el sistema de filtrado de Websense
- Mail Guard elimina la necesidad de un servidor de email externo al perimetro de la red.
- Soporta un amplio rango de metodos de autentificacion vis TACACS+, Radius e integracion Cisco ACS
- DNS Guard protege transparentemente la resolucion de direcciones y nombres
- Flood Guard y Fragmentation Guard protege la maquina contra ataques de denegacion de servicio
- Soporta los estandards avanzados de voz a traves de IP (VoIP) incluyendo SIP, H.323 y otros.
- Bloqueo de JAVA protege la maquina contra java applets potencialmente hostiles.
- Acceso en a linea de comandos
- Net Aliasing combina transparentemente las redes solapadas con el mismo espacio de IPs.
- Integracion con el Sistema de Deteccion de Intrusos de Cisco para rechazar conexiones desde IPs maliciosas conocidas.
- Configuracion avanzada de los mensajes enviados a syslog
- SNMP y syslog para administracion remota
- Syslogging fiable usando TCP o UDP
- Sun Remote Procedure Call (RPC)
- Cliente de Microsoft (Netbios sobre IP) usando NAT
- Multimedia, incluyendo RealNetworks RealAudio, Xing Technologies Streamworks
OTRAS
Network Address Translation (NAT) y Port Address Translation (PAT).
Prevencion de ataques de denegacion de servicio (DoS).
Administracion sencilla gracias a la interfaz web del PIX Device Manager (PDM): PDM esta provisto de un amplio rango de informes en tiempo real e historicos sobre la maquina.
Plataforma extensible: Capaz de mantener desde dos interfaces ethernet 10/100 hasta 10 ethernets de gigabit en un unico firewall.
EL FUTURO
En
futuras versiones de cortafuegos PIX se esta considerando la posibilidad de anyadir
listas de control de acceso (ACLs) basadas en la direccion MAC.
Por el momento, si se quiere, por ejemplo, permitir el acceso a un usuario con un portatil, se deberan usar metodos de
autentificacion a nivel de usuario usando TACACS+ por ejemplo.
