domingo, 10 de julio de 2022

Nuevo libro: Implementación y diagnóstico de sistemas Cisco Secure Firewall v2.0


 

Por Oscar Gerometta

Hace solo dos años presenté la primera versión de este manual que se llamó entonces "Implementación y diagnóstico de sistemas Cisco Firepower". 

En aquel momento “Firepower” era la denominación del firewall de última generación (NGFW) de Cisco, y me centré entonces en la versión 6.4 para el desarrollo de los textos y procedimientos. 

En estos dos años es mucho el avance que se ha dado en estas tecnologías de seguridad: Cisco liberó la versión 7 y modificó la denominación de estos dispositivos que se denominan ahora “Secure Firewall”.

Todos esos cambios y actualizaciones son los que me llevaron a realizar esta actualización de aquel manual. Esta nueva versión está centrada, ahora, en la implementación de Cisco Secure Firewall Management Center versión 7.1.

Como aquella primera versión, esta ha sido redactada como material didáctico de apoyo para quienes participan de los cursos que dicto sobre este mismo tema; pero considero que también puede ser de utilidad para quienes desean recorrer este camino por la vía del autoestudio y buscan un material redactado en castellano.

Obviamente, lo que hay en este manual es solamente una selección y síntesis de lo que es posible realizar con una herramienta de seguridad muy poderosa y versátil; mucho más de lo que pueden entrar en estas pocas páginas. De ningún modo puedo agotar en tan poco espacio lo que se desarrolla en un manual de configuración oficial de más de dos mil páginas. Para el desarrollo de este manual, como dije antes, he tomado como referencia los sistemas Secure Firewall versión 7.1, pero ciertamente gran parte del mismo es completamente aplicable a las versiones 6.5 y siguientes.

Con la expectativa de que el manual que ahora tiene en sus manos le resulte de real utilidad, lo dejo a su consideración.

Nota importante:
Si se encuentra trabajando con un sistema versión 6.2 a 6.5, sugiero acuda a la versión anterior del manual (que por esto sigue estando disponible) para obtener un texto que esté alineado con la herramienta que está administrando.

Contenidos:

1. Introducción
    Firewall y NGFW
    Plataformas
    Opciones de gestión
    Licenciamiento
2. Registro de dispositivos en FMC
    Introducción
    Configuración inicial del sensor (FTD)
    Configuración inicial del FMC
    Registro del FTD en el FMC
3. Configuración inicial
    Propiedades generales del sensor
    Implementación de cambios en la configuración
4. Modelos de redundancia
    Modelos de redundancia disponibles
    Implementación del par de alta disponibilidad
    Implementación del clúster
    Modelo de tráfico a través del clúster
5. Enrutamiento
    Enrutamiento estático
    Enruamiento dinámico
    Redistribución y filtrado de rutas
6. NAT
    Formas de NAT soportadas en FTD
    NAT manual y Auto NAT
    Configuración de políticas NAT
7. Políticas de control de acceso
    Objetos
    Zonas de seguridad
    Políticas de control de acceso
    Configuración de políticas de control de acceso
8. Políticas avanzadas
    Políticas de intrusión de tráfico
    Políticas de filtrado de archivos y malware
    Security Intelligence
    Filtrado de URLs
    Orden de ejecución de procesos y políticas
    Políticas de prefiltrado
9. Monitoreo y diagnóstico de problemas
    Registro de eventos del sistema
    Reportería
    Packet Tracer
    Packet Capture
    Visualización de eventos
    Herramientas de diagnóstico del FMC
10. Administración del sistema
    Generación de copias de respaldo
    Restauración de copias de respaldo
    Actualización de software

Páginas: 168
Fecha de publicación: 1 de julio de 2022

Autor: 
Oscar A. Gerometta
CCSI / CCNA / CCDA / CCNA wir / CCNA sec / CCNP sec / CCNP Enterpr / CCBF
Docente y consultor con una trayectoria de más de 20 años en el área de networking. Autor de los primeros manuales en castellano para la preparación del examen de certificación CCNA que ha mantenido a lo largo de estos años.

Texto:
Manual que recoge introducciones teóricas sobre el funcionamiento y la arquitectura del sistema, junto con procedimientos de configuración y diagnóstico de problemas.

Para la compra:
"Implementación y diagnóstico de sistemas Cisco Secure Firewall versión 2.0" está disponible en formato e-book e impreso en papel, y se puede adquirir en línea ingresando al sitio de Ediciones Edubooks.

Para revisar las características de los ebooks de EduBooks ingresar aquí.
Para revisar las características de los impresos adquiridos en línea ingresar aquí.

Para alternativas de pago u otras consultas diríjase directamente a Ediciones EduBooks por correo electrónico escribiendo  a libros.networking@gmail.com

Para facilitar la compra de ebooks desdeBolivia
contactar a: libros.networking.bolivia@gmail.com


Como siempre, cualquier sugerencia que puedas hacer, será muy bien venida.



Estás invitado a seguirnos en Instagram:
https://www.instagram.com/libros.networking/

También podés participar de nuestro grupo en Facebook
https://www.facebook.com/groups/librosnetworking/

O si preferís redes sociales con mayor respeto de tu privacidad,
podés participar de nuestro grupo en VKontakte
https://vk.com/libros.networking

O también puedes seguir las principales novedades en el grupo de Telegram:
https://t.me/LibrosNetworking

 

Post tomado de: http://librosnetworking.blogspot.com/2022/06/implementacion-y-diagnostico-de.html

domingo, 2 de enero de 2022

¿Qué es Netflow?


 

Por Oscar Gerometta

En los últimos años ha ganado relevancia, de modo creciente, una herramienta muy particular: NetFlow.
 

Originalmente creada para monitorear comunicaciones individuales, hoy es una herramienta utilizada para el análisis tanto de prestaciones de calidad de servicio como de seguridad.
 

Es por esto que consideré conveniente preguntarnos, ¿qué es NetFlow?

NetFlow es una herramienta de monitoreo desarrollada por Cisco e introducida en las diferentes formulaciones de IOS a partir del año 1996 (Cisco IOS 11.x). 
 
Esta herramienta permite relevar información estadística referida al tráfico en la red cuando ingresa o sale a través de una interfaz.
 
Si bien inicialmente estaba incorporada en la imagen de IOS solamente de algunos dispositivos, progresivamente se ha incorporado a nuevas plataformas de modo que en la actualidad, en redes que utilizan IOS XE, está disponible prácticamente en toda la infraestructura de la red corporativa.
Responde a 2 premisas básicas:
  • Es completamente transparente a las aplicaciones y dispositivos que operan en la red.
  • No es necesario que sea soportada en todos los dispositivos de la infraestructura de la red.
Su implementación tiene múltiples aplicaciones posibles, las más frecuentes son:
  • Registro estadístico de tráfico para realizar un análisis de línea base.
  • Facturación de servicios de red a usuarios.
  • Monitoreo y análisis del tráfico y aplicaciones que están corriendo en la red.
  • Diseño general de seguridad de la red.
  • Detección y prevención de ataques DoS o DDoS.
  • Monitoreo de tráfico malicioso en la red.
Con este propósito NetFlow releva estadística de comunicaciones utilizando el concepto de flujo (flow).
 
¿Qué es un flujo? Un stream o cadena unidireccional de paquetes entre un sistema de origen y un sistema destino específicos que es identificada tomando como base de referencia 7 parámetros específicos:
  • Dirección IP origen.
  • Dirección ID destino.
  • Puerto TCP o UDP de origen.
  • Puerto TCP o UDP de destino.
  • Tipo de protocolo (campo del encabezado IP).
  • Tipo de servicio (campo del encabezado IP).
  • Interfaz lógica de ingreso.
Esta misma definición de flujo se aplica a tráfico IPv4 e IPv6.
 
A esta información básica se puede agregar información complementaria a partir de NetFlow versión 9. Los registros NetFlow solo contienen información estadística, no contenido de los paquetes.

Estos datos se exportan como registros de NetFlow hacia un servidor que concentra esos datos y en donde se analizan.
 
El registro de una comunicación se genera cuando una comunicación TCP llega a su fin, o por un contador de inactividad de la comunicación, o se puede definir por configuración que periódicamente se genere el registro aún cuando la comunicación no ha terminado. 
 
 
Transporte de los registros
 
Los registros de NetFlow se transportan utilizando segmentos UDP que suelen estar dirigidos al puerto 2055 del collector, pero que también puede utilizar otros puertos. 
 
El dispositivo que genera los registros, en general, no retiene los datos correspondientes a los registros que se envían al collector. Esto no permite realizar un seguimiento del transporte de los registros con lo que, si se produjera la pérdida de algún segmento, no se puede recuperar la información.
 
Por este motivo algunas implementaciones de NetFlow utilizan SCTP para asegurar el envío de los registros. Particularmente cuando se trata de NetFlow versión 8 o 9.
 
El inconveniente de este tipo de implementaciones es que se requiere interacción entre cada exporter y cada collector definido; esto puede tener un impacto significativo en la performance de ambos componentes.

Arquitectura de NetFlow
 

 
 
La implementación de NetFlow supone una arquitectura específica:
  • Exporter
    Uno o varios dispositivos que tienen Netflow habilitado.
  • Collector
    Una consola que recolecta y concentra la información.
  • Aplicación de análisis
    Aplicación que procesa los datos generados por el exporter y concentrados en el collector para obtener información significativa.
    Cisco StealthWatch es un ejemplo de este tipo de aplicaciones.

Versiones de NetFlow

 

Desde su lanzamiento NetFlow ha tenido diferentes versiones.

La versión implementada en los dispositivos Cisco actuales es NetFlow v9. Adicionalmente, la herramienta se abrió con múltiples RFCs de la IETF, lo que dio lugar a IPFIX: 
  • RFC 3954 - NetFlow versión 9.
  • RFC 5101 - Especificación del protocolo de IPFIX para el intercambio de información de flujo de tráfico.
  • RFC 5102 - Modelo de información para IPFIX.
  • RFC 5103 - Exportación bidireccional usando IPFIX.
  • RFC 5153 - Directrices para la aplicación de IPFIX.
  • RFC 5470 - Arquitectura de IPFIX.
  • RFC 5471 - Pautas para las pruebas de IPFIX.
  • RFC 5472 - Pertinencia de IPFIX.
NetFlow es una marca registrada de Cisco.
Pero muchos otros fabricantes han desarrollado herramientas semejantes que cumplen la misma tarea:
  • Argus 
  • Jflow o cflowd de Juniper Networks
  • NetStream de 3Com/HP
  • NetStream de Huawei Technologies
  • Cflowd de Nokia
  • Rflow de Ericsson
  • AppFlow de Citrix
  • sFlow implementado por varios fabricantes: Alcatel Lucent, Allied Telesis, Arista Networks, Brocade, Dell, D-Link, Enterasys, Extreme, F5, Fortinet, Hewlett-Packard, Hitachi, Huawei, IBM, Juniper, LG-Ericsson, ZTE, ZyXEL, etc.

Tomado de: http://librosnetworking.blogspot.com/2021/08/que-es-netflow.html