2 de febrero de 2007

Cisco PIX - Cisco ASA

Una definición bastante arraigada en el ámbito del networking es que el PIX es el firewall de Cisco. Esto no es tan así desde hace unos años; en el mes de mayo de 2005 Cisco Systems introdujo una nueva línea de firewalls: ASA (Adaptive Security Appliance).

¿Cuáles son las diferencias entre un dispositivos Cisco PIX y un Cisco ASA?

La línea Cisco PIX
Un dispositivo Cisco PIX es un firewall de hardware totalmente dedicado a este tipo de funciones de seguridad.

Todas las versiones de Cisco PIX tienen un número de modelo 5xx. Uno de sus modelos más populares es el PIX 501, diseñado para oficinas hogareñas y pequeñas redes. Otro de los muy conocidos es el PIX 515, para redes de tamaño medio.

El sistema operativo de estos dispositivos es el PIX Operating System (PIX OS), el cual si bien es similar a Cisco IOS, es lo suficientemente diferente como para frustrar a todo operador que no esté interiorizado en su línea de comando. Para facilitar la tarea de configuración y administración, el PIX ofrece una interface gráfica denominada PIX Device Manager (PDM). Esta interfaz es una aplicación desarrollada en Java que se ejecuta desde un navegador.

Típicamente un PIX posee una interfaz outside que se suele conectar a la interfaz inside del router de acceso a Internet; y una interfaz inside que se suele conectar al switch LAN para enlazar con la red privada interna.

La línea Cisco ASA
La línea Cisco ASA es una nueva línea de dispositivos de Cisco Systems que conjuga un firewall de hardware con una implementación anti-malware.

En el caso de Cisco ASA los modelos existentes corresponden a la serie 55xx. Hay cuatro versiones enterprise: Firewall, IPS, Anti-x y VPNs; y una versión business para empresas medianas y pequeñas. Un total de 5 modelos.

Todos los ASA operan con el software ASA versión 7.2.2 con una interfaz más cercana al Cisco IOS que PIX OS.

Estos dispositivos incluyen servicios de prevención de intrusiones (IPS) y concentrado de VPNs. Es por esto que Cisco Systems indica que un ASA realizar por sí solo las tareas que hasta ahora requerían 3 dispositivos separados: un firewall PIX, un VPN Concentrator (como el VPN 3000) y un IPS como el Cisco IPS 4000.

Comparación PIX / ASA
Cisco PIX es y ha sido un excelente firewall, pero en los últimos años los requerimientos de prestaciones de seguridad de las redes ha variado sensiblemente.

Ya no resulta suficiente proteger a la red con un firewall en capacidad de realizar un filtrado de paquetes stateful. Han aparecido nuevos riesgos que incluyen virus, gusanos, phishing, ataques de capa de aplicación, la ejecución de aplicaciones no deseadas como mensajería instantánea, programas P2P, juegos, etc. El dispositivo que protege de este tipo o variedad de riesgos de seguridad es lo que denomina un Anti-X, o sea un dispositivo que brinda protección contra múltiples riesgos.

Un PIX no puede brindar este nivel de protección. Sin embargo muchas organizaciones buscan concentrar su implementación de seguridad en un único dispositivo, o lo que se suele denominar un dispositivo UTM (Unified Threat Management). O sea un dispositivo que brinde los servicios "todo en uno".

Cisco ASA es una respuesta a esta necesidad ya que ofrece protección a estos diferentes tipos de ataques. Los ASA soportan la posibilidad de inclusión de un módulo CSC-SSM (Content Security and Control Security Service Module). Este módulo es el que realiza las tareas de Anti-X constituyendo a los ASA en verdaderos dispositivos UTM. Sin el módulo CSC-SSM un ASA es muy semejantes en sus capacidades a un PIX, aunque siempre con mayor performance.

¿Cuáles son las razones por optar por un ASA en lugar de un PIX hoy?

En primer lugar, porque a similares funcionalidades del dispositivo el costo de un ASA tiende a ser menor que el de un PIX. Esto sin ignorar que en cuestiones de tecnología siempre la primer opción es por la tecnología más nueva y más rápida.

Pero cual es la razón más importante a mi juicio. Hoy no es suficiente descansar en un firewall para proteger la red corporativa de la variedad de potenciales riesgos de seguridad que existen. Se requiere una política que contemple los múltiples frentes existentes, y en la implementación de esa política siempre es útil un dispositivo que brinde servicios múltiples de modo integral y unificado. Pero con cuidado, un Cisco ASA no soluciona todo. En primer lugar se requieren políticas adecuadas claramente enunciadas e implementadas de un modo consistente, y esas políticas van mucho más allá de la configuración de un ASA.

Por el momento no hay anuncio de parte de Cisco Systems respecto de un End Of Sale de los Cisco PIX, pero no sería de extrañar que progresivamente la línea PIX comience a ser discontinuada. Para aquellos que implementan en la actualidad Cisco PIX se ha publicado una Guía de Migración.

¿Tenés alguna información o referencia adicional para aportar en este tema....?
Perfecto!!!! agregá un comentario con el detalle.
Muchas gracias.
Oscar Gerometta.

13 comentarios:

  1. Me encuentro haciendo un trabajo sobre equipos cisco para vpn hy este articulo me resulto de mucha ayuda podriamos charlar. o bien puede publicar mas
    desire_diaz@hotmail.com
    gracias

    ResponderBorrar
  2. soy anaid otra vez entonces teniendo un asa ya no necesito mas, ejemplo un router cisco catalyst o switch o si poria explicarme

    ResponderBorrar
  3. Anaid
    Si bien muchas "cajas" presentes en el mercado pueden integrar funciones muy diferentes, estas funciones se brindan siempre a costa de sacrificar prestaciones.
    Por ejemplo, se puede correr un firewall en un router Cisco ISR, pero no es lo mismo que un ASA.
    Firewall, switch, router, son dispositivos diferentes, cada uno con prestaciones adecuadas para diferentes necesidades de la infraestructura de la red.
    Un ASA no reemplaza un switch o un router, brinda otro tipo de servicio.

    ResponderBorrar
  4. Podria indicarme donde puedo tomar un curso de implementacion, configuracion y administracion del cisco ASA, IPX e IPS ??

    ResponderBorrar
  5. Rubén
    Si te fijas, en Signus (http://noticiasignus.blogspot.com) están por lanzar un curso de configuración de ASA en estos días.
    Ingresá en el blog y encontrarás la información correspondientes

    ResponderBorrar
  6. Muy interesante lo que se propone. Yo estoy comenzando a trabajar con un ASA y me gustaría saber cuando sale alguna vulnerabilidad y obtengo el software como instalarlo. Si me pueden dar una guía estaré muy agradecido.

    ResponderBorrar
  7. estoy haciendo el trabajo final de la carrera de tecnico en sistemas y redes y esto me ha aclarado mucho el panorama
    te quiero agradecer y a la vez preguntar si sabes donde se pueden conseguir las IOS de ASA para poder correr en un simulador como GNS3
    gracias

    ResponderBorrar
  8. Amigo.
    Los sistemas operativos de Cisco son bajo acuerdo de licenciamiento, Para acceder a ellos deberías haber comprado un dispositivo o tener un contrato de soporte con Cisco.

    ResponderBorrar
  9. Hola que tal

    Soy nuevo en esto de cisco y la verdad me cuesta un poco el entender la logica para aplicar las access-list, estoy realizando pruebas con un equipo ASA 5505 que me presto mi maestro, tendran algun docs que me pueda ayudar a entender mas?

    Gracias

    ResponderBorrar
  10. Luis
    El tema ACLs es lo suficientemente complejo como para que busques asistencia de alguien que te guíe en el inicio y te asista en la comprensión de la operación básica.
    Si quieres revisar material al respecto te sugiero la ACL configuration guide del ASA, que podés consultar aquí: http://www.cisco.com/en/US/docs/security/asa/asa83/configuration/guide/acl_overview.html

    ResponderBorrar
  11. Amigos
    donde puedo conseguir la información sobre la configuración de ASA 5505 ESTAMOS SUFRIENDO AYUDA
    GRACIAS

    ResponderBorrar
    Respuestas
    1. Bertha.
      En este enlace tienes la configuration guide para ASA 9.0: http://www.cisco.com/en/US/docs/security/asa/asa90/configuration/guide/asa_90_cli_config.html
      Sin embargo, si no tienen experiencia en la configuración de firewalls, sugiero que apelen a un técnico certificado ya que se trata de un punto muy delicado dentro de la red.

      Borrar

Gracias por tu comentario.
En este blog los comentarios están moderados, por lo que su publicación está pendiente hasta la revisión del mismo.