27 de mayo de 2022

Cisco Secure Firewall

Hace algunas semanas publiqué en las redes sociales que acompañan este blog la noticia del lanzamiento de la serie Cisco Secure Firewall 3100.

Se trata de una nueva plataforma que se integraba en la familia Cisco Firepower 1000, 2100, 4100, 9300. Pero introducía al mismo tiempo un cambio en la denominación del producto.

Esto puede generar alguna confusión, por lo que me pareció conveniente hacer una publicación aclarando la evolución y variación en la denominación de este producto.

Una forma gráfica de representar esta evolución es la siguiente:

Cisco ingresó en el mercado de los firewalls con Cisco PIX que fue luego desplazado por la introducción de la línea Cisco ASA que durante muchos años tuvo una fuerte presencia en el mercado de firewalls.
Ante la necesidad de desarrollar una plataforma adecuada para un Next Generation Firewall que afrontara la evolución de las amenazas actuales a la seguridad corporativa se buscó introducir un motor de inspección profunda poderoso. La elección fue Snort.

Snort es un desarrollo open source multiplataforma iniciado a fines del año 1998 por Marty Roesch con el propósito de desarrollar un IDS y posteriormente un IPS. Este motor de inspección tiene la capacidad de realizar análisis de tráfico IP en tiempo real e inspección profunda de paquetes, lo que le permite detectar tráfico malicioso y una amplia variedad de ataques.
Sobre la base de Snort, Martin Roesch fundó en el año 2001 la empresa Sourcefire, basada en Columbia, Maryland.
La compañía desarrolló una versión comercial de un IDS basado en Snort que rápidamente destacó en el mercado. En el año 2005 Check Point intentó su adquisición sin éxito. En el año 2009 su IDS/IPS recibió múltiples reconocimientos y en 2012 fue incluído en el sector de empresas líderes del cuadrante de Gartner dedicado a IDS/IPS, y entre los IPS más rápidos y eficientes en el ranking de NSS Labs.
Sourcefire fue adquirida por Cisco Systems en el año 2013. Con esta adquisición Cisco incorporó la tecnología y las patentes del IPS junto con otras tecnologías antimalware que luego se agregarían en AMP de Cisco.
El desarrollo de Snort se mantiene aún hoy como código abierto bajo el control de Cisco Talos

La adquisión de Snort permitió a Cisco, en primer lugar, reemplazar su Cisco IPS con un "Módulo FirePOWER" que se podía agregar al ASA 5500-X y la línea de IPS "Cisco FirePOWER" series 7000 y 8000.
El desarrollo de ingeniería finalmente dio lugar al lanzamiento de la línea "Cisco Firepower" de firewalls de última generación (NGFW) que inicialmente presentó las series 2100, 4100 y 9300 a las que más tarde se agregó la serie 1000.
El Firepower NGFW es un firewall de última generación con capacidades de inspección profunda de tráfico IPv4 e IPv6 que se basa en 2 motores de inspección coordinados: LINA (motor de inspección de Cisco ASA) que se ocupa del procesamiento de los paquetes que ingresan o sales a través de VPN, NAT, enrutamiento, etc.; y SNORT, que efectúa las tareas de inspección profunda del paquete e incorpora capacidades de IPS a través de la aplicación de las reglas Snort.
A inicios de este año 2022 Cisco lanzó una nueva serie, la 3100, pero en este caso, actualizando su denominación. Los nuevos NGFW de Cisco ya no se denominan "Firepower" sino "Secure Firewall", si bien continúan con las mismas prestaciones y modo de operar.

Aprovecho este mismo posts para hacer algunas consideraciones respecto del software de estos dispositivos.
Toda la línea NGFW (tanto Firepower como Secure Firewall) implementa software Firepower Threat Defense (Firewall Threat Defense en su nueva denominación, FTD). Las series 1000, 2100, 4100 y 9300 implementan los diferentes releases de las versiones 6 y 7; la serie 3100 implementan FTD versión 7.x. Pero también pueden implementar una imagen de software ASA puro, manteniendo en este caso las funcionalidades de los anteriores firewalls ASA, no como NGFW.
Por otra parte, sobre el hardware de los antiguos ASA 5500-X obviamente se corre software ASA, pero también es posible implementar una imagen de software FTD (llamada imagen unificada) especialmente creada para estas plataformas.
Consideración aparte merece el sistema de gestión centralizada de la solución. Firepower Management Center (FMC) se llama ahora Secure Firewall Management Center. Mantiene las mismas funciones y prestaciones ya presentes en Firepower Management Center a las que agrega en su nueva versión prestaciones de integración, entre las que se incluye Secure-X.

Recursos:


Estás invitado a participar de nuestro grupo en Facebook
https://www.facebook.com/groups/librosnetworking/

O si preferís redes sociales con mayor control de tu privacidad,
podés participar de nuestro grupo en VKontakte
https://vk.com/libros.networking

O también puedes seguir las principales novedades en el grupo de Telegram:
https://t.me/LibrosNetworking



Las abreviaturas y siglas utilizadas en este post puede encontrarlas desarrolladas en
que está disponible en la Librería en Línea de EduBooks.


16 de mayo de 2022

Valor del campo Protocol (IPv4) o Next Header (IPv6)


El encabezado IP incluye un campo denominado "protocolo" en el encabezado IPv4 y "siguiente encabezado" en el encabezado IPv6. El valor de ese campo indica el contenido encapsulado con ese encabezado y el diseño de esos datos. Puede estar identificando un protocolo de transporte o contenido transmitido directamente sobre el protocolo enrutado en cuestión (IPv4 o IPv6).
Estos identificadores son definidos y mantenidos por IANA.

Comencemos repasando la estructura de esos encabezado de capa de red.

Encabezado de un paquete IPv4


Longitud total del encabezado IP (sin opciones): 20 bytes
.

  • Versión del protocolo IP: 4 bits.
  • HLEN – Longitud del encabezado IP: 4 bits.
  • Tipo de servicio: 1 byte.
    Marca el tráfico para posibilitar la implementación de diferentes calidades de servicio.
  • Longitud total del paquete: 2 bytes.
    Indica la longitud total del paquete incluyendo encabezado y datos.
  • Identificación: 2 bytes.
    Se utiliza para identificar fragmentos únicos.
  • Flags: 3 bits.
    Indicadores de control para el proceso de fragmentación.
  • Desplazamiento del fragmento: 13 bits.
    Indica la ubicación de un fragmento específico.
  • TTL – Time To Live: 1 byte.
    Este campo permite establecer un número máximo de hasta 255 saltos para el recorrido del paquete, lo que asegura que un paquete IP no circulará indefinidamente en la red.
    El valor máximo posible del campo TTL es 255.
    Cada dispositivo de capa 3 que atraviese el paquete en su ruta disminuirá este valor en 1; cuando el campo TTL llegue a un valor igual a 0 (cero) el dispositivo descartará el paquete.
  • Protocolo: 1 byte.
    Indica el protocolo capa de transporte u otro que se está transportando en la porción de datos.
  • Suma de comprobación de la cabecera: 2 bytes.
    Permite detectar errores de transmisión en el encabezado.
  • Dirección IP de origen: 4 bytes.
    Dirección IPv4 del dispositivo que genera el paquete.
  • Dirección IP de destino: 4 bytes.
    Dirección IPv4 del dispositivo que recibirá el paquete.
  • Opciones: longitud variable.
  • Relleno: junto al campo anterior completa 4 bytes.
    Se utiliza para garantizar que el encabezado se corresponda con la estructura de 32 bits.
Encabezado de un paquete IPv6


  • Versión: 4 bits.
    Contiene el ID 6, en lugar del ID 4 que identifica la versión en IPv4.
  • Clase de tráfico: 1 byte.
    Similar al campo tipo de servicio (ToS) en IPv4.
    El nodo de origen utiliza este campo para marcar la prioridad de los paquetes salientes.
  • Etiqueta de flujo: 20 bits.
    Se utiliza para marcar flujos de tráfico individuales con valores únicos. Se espera que los routers utilicen esta etiqueta para aplicar un tratamiento de calidad de servicio (QoS) idéntico a cada paquete en un único flujo.
  • Longitud de la carga: 2 bytes.
    Opera como el campo Longitud para IPv4, pero debido a que el encabezado base de IPv6 tiene un tamaño fijo, este campo describe la longitud de la carga útil únicamente, no de todo el paquete.
  • Próximo encabezado: 1 byte.
    Este campo determina el tipo de información que sigue al encabezado IPv6.
  • Límite de saltos: 1 byte.
    Especifica el número máximo de saltos que puede realizar un paquete IPv6.
    El valor inicial lo establece el sistema operativo (64 o 128 es común, pero depende del sistema operativo).
    Opera de modo similar al campo TTL en IPv4. Su valor se reduce por cada salto IPv6 a lo largo de la ruta hacia el destino. El paquete IPv6 se descarta cuando el valor llega a 0.
  • Dirección de origen: 16 bytes.
    Identifica el origen del paquete.
  • Dirección de destino: 16 bytes.
    Identifica el destino del paquete.

El valor del campo "Protocolo" o "Próximo encabezado"

El valor de este campo indica el contenido encapsulado a continuación en el paquete y el diseño de esos datos. Puede estar identificando un protocolo de transporte o contenido transmitido directamente sobre el protocolo enrutado en cuestión (IPv4 o IPv6).

Estos identificadores son definidos, asignados y mantenidos por IANA.

La siguiente es la nómina de valores actuales definidos para este campo:

Valor
Hexadecimal  Número ID        Protocolo

0x00                  0                  HOPOPT - IPv6 Hop-by-Hop Option
0x01                  1                     ICMP - Internet Control Message Protocol
0x02                  2                     IGMP - Internet Group Management Protocol
0x03                  3                     GGP0 - Gateway-to-Gateway Protocol
0x04                  4                     IP-in-IP - IP-in-IP IP in IP (encapsulación)
0x05                  5                     ST - Internet Stream Protocol
0x06                  6                     TCP - Transmission Control Protocol
0x07                  7                     CBT - Core-based trees
0x08                  8                     EGP - Exterior Gateway Protocol
0x09                  9                     IGP - Interior Gateway Protocol
0x0A               10                     BBN-RCC-MON - BBN RCC Monitoring
0x0B               11                      NVP-II - Network Voice Protocol
0x0C               12                      PUP - Xerox PUP
0x0D               13                      ARGUS
0x0E               14                      EMCON
0x0F               15                      XNET - Cross Net Debugger
0x10               16                      CHAOS
0x11               17                      UDP - User Datagram Protocol
0x12               18                       MUX - Multiplexing
0x13               19                       DCN-MEAS - DCN Measurement Subsystems
0x14               20                       HMP - Host Monitoring Protocol
0x15               21                       PRM - Packet Radio Measurement
0x16               22                       XNS-IDP - XEROX NS IDP
0x17               23                       TRUNK-1
0x18               24                       TRUNK-2
0x19               25                       LEAF-1
0x1A              26                       LEAF-2
0x1B              27                       RDP - Reliable Data Protocol
0x1C              28                       IRTP - Internet Reliable Transaction Protocol
0x1D              29                       ISO-TP4 - ISO Transport Protocol Class 4
0x1E              30                       NETBLT - Bulk Data Transfer Protocol
0x1F              31                       MFE-NSP - MFE Network Services Protocol
0x20              32                       MERIT-INP - MERIT Internodal Protocol
0x21              33                       DCCP - Datagram Congestion Control Protocol
0x22              34                       3PC - Third Party Connect Protocol
0x23              35                       IDPR - Inter-Domain Policy Routing Protocol
0x24              36                       XTP - Xpress Transport Protocol
0x25              37                       DDP - Datagram Delivery Protocol
0x26              38                       IDPR-CMTP - IDPR Control Message Transport Protocol
0x27              39                       TP++ - TP++ Transport Protocol
0x28              40                       IL - IL Transport Protocol
0x29              41                       IPv6 - IPv6 Encapsulation (6to4 and 6in4)
0x2A             42                       SDRP - Source Demand Routing Protocol
0x2B             43                       IPv6-Route - Routing Header for IPv6
0x2C             44                       IPv6-Frag Fragment Header for IPv6
0x2D             45                       IDRP - Inter-Domain Routing Protocol
0x2E             46                       RSVP - Resource Reservation Protocol
0x2F             47                       GRE - Generic Routing Encapsulation
0x30             48                       DSR - Dynamic Source Routing Protocol
0x31             49                       BNA - Burroughs Network Architecture
0x32             50                       ESP - Encapsulating Security Payload
0x33             51                       AH - Authentication Header
0x34             52                       I-NLSP - Integrated Net Layer Security Protocol
0x35             53                       SwIPe - SwIPe
0x36             54                       NARP - NBMA Address Resolution Protocol
0x37             55                       MOBILE - IP Mobility (Min Encap)
0x38             56                       TLSP - Transport Layer Security Protocol
0x39             57                       SKIP - Simple Key-Management for Internet Protocol
0x3A            58                        IPv6-ICMP - ICMP for IPv6
0x3B            59                        IPv6-NoNxt - No Next Header for IPv6
0x3C            60                        IPv6-Opts - Destination Options for IPv6
0x3D            61                        Any host internal protocol
0x3E            62                        CFTP
0x3F            63                         Any local network
0x40            64                         SAT-EXPAK - SATNET and Backroom EXPAK
0x41            65                         KRYPTOLAN - Kryptolan
0x42            66                         RVD - MIT Remote Virtual Disk Protocol
0x43            67                         IPPC - Internet Pluribus Packet Core
0x44            68                         Any distributed file system
0x45            69                         SAT-MON - SATNET Monitoring
0x46            70                         VISA - VISA Protocol
0x47            71                         IPCU - Internet Packet Core Utility
0x48            72                         CPNX - Computer Protocol Network Executive
0x49            73                         CPHB - Computer Protocol Heart Beat
0
x4A           74                         WSN - Wang Span Network
0x4B           75                         PVP - Packet Video Protocol
0x4C           76                        BR-SAT-MON - Backroom SATNET Monitoring
0x4D           77                        SUN-ND - SUN ND PROTOCOL-Temporary
0x4E           78                        WB-MON - WIDEBAND Monitoring
0x4F           79                        WB-EXPAK - WIDEBAND EXPAK
0x50           80                        ISO-IP - International Organization for Standardization Internet Protocol
0x51           81                        VMTP - Versatile Message Transaction Protocol
0x52           82                        SECURE-VMTP - Secure Versatile Message Transaction Protocol
0x53           83                        VINES
0x54           84                        TTP
0x54           84                        IPTM - Internet Protocol Traffic Manager
0x55           85                        NSFNET-IGP
0x56           86                        DGP - Dissimilar Gateway Protocol
0x57           87                        TCF
0x58           88                        EIGRP
0x59           89                        OSPF - Open Shortest Path First
0x5A           90                        Sprite-RPC - Sprite RPC Protocol
0x5B           91                        LARP - Locus Address Resolution Protocol
0x5C           92                        MTP - Multicast Transport Protocol
0x5D           93                        AX.25 
0x5E           94                        OSKA9Q NOS compatible IP over IP tunneling
0x5F           95                        MICP - Mobile Internetworking Control Protocol
0x60           96                        SCC-SP - Semaphore Communications Sec. Pro
0x61           97                        ETHERIP - Ethernet-within-IP Encapsulation
0x62           98                        ENCAP - Encapsulation Header
0x63           99                        Any private encryption scheme
0x64         100                        GMTP
0x65         101                        IFMP - Ipsilon Flow Management Protocol
0x66         102                        PNNI - PNNI over IP
0x67         103                        PIM - Protocol Independent Multicast
0x68         104                        ARIS - IBM's ARIS (Aggregate Route IP Switching) Protocol
0x69         105                        SCPS - SCPS (Space Communications Protocol Standards)
0x6A         106                       QNX 
0x6B         107                       A/N - Active Networks
0x6C         108                       IPComp - IP Payload Compression Protocol
0x6D         109                       SNP - Sitara Networks Protocol
0x6E         110                        Compaq-Peer Protocol
0x6F          111                       IPX-in-IP
0x70          112                       VRRP - Virtual Router Redundancy Protocol
0x71          113                       PGM - PGM Reliable Transport Protocol
0x72          114                       Any 0-hop protocol
0x73          115                       L2TP - Layer Two Tunneling Protocol Version 3
0x74          116                       DDX - D-II Data Exchange 
0x75          117                       IATP - Interactive Agent Transfer Protocol
0x76          118                       STP - Schedule Transfer Protocol
0x77          119                       SRP - SpectraLink Radio Protocol
0x78          120                       UTI - Universal Transport Interface Protocol
0x79          121                       SMP - Simple Message Protocol
0x7A         122                       SM - Simple Multicast Protocol
0x7B         123                       PTP - Performance Transparency Protocol
0x7C         124                       IS-IS over IPv4
0x7D         125                       FIRE - Flexible Intra-AS Routing Environment
0x7E         126                       CRTP - Combat Radio Transport Protocol
0x7F         127                       CRUDP - Combat Radio User Datagram
0x80         128                       SSCOPMCE - Service-Specific Connection-Oriented Protocol in a
                                                                Multilink and Connectionless Environment
0x81         129                        IPLT
0x82         130                        SPS - Secure Packet Shield
0x83         131                        PIPE - Private IP Encapsulation within IP
0x84         132                        SCTP - Stream Control Transmission Protocol
0x85         133                        FC - Fibre Channel
0x86         134                        RSVP-E2E-IGNORE - Reservation Protocol (RSVP) End-to-End Ignore
0x87         135                        Mobility Header - Mobility Extension Header for IPv6
0x88         136                        UDPLite - Lightweight User Datagram Protocol
0x89         137                        MPLS-in-IP - Multiprotocol Label Switching Encapsulated in IP
0x8A         138                        MANET Protocols
0x8B         139                        HIP - Host Identity Protocol
0x8C         140                        Shim6 - Site Multihoming by IPv6 Intermediation
0x8D         141                        WESP - Wrapped Encapsulating Security Payload
0x8E         142                        ROHC - Robust Header Compression
0x8F         143                        Ethernet IPv6 Segment Routing
0x90-0xFC   144-252            Sin asignar
0xFD-0xFE   253-254           Uso en experimentación y prueba
0xFF         255                       Reserved



Estás invitado a participar de nuestro grupo en Facebook
https://www.facebook.com/groups/librosnetworking/

O si preferís redes sociales con mayor control de tu privacidad,
podés participar de nuestro grupo en VKontakte
https://vk.com/libros.networking

O también puedes seguir las principales novedades en el grupo de Telegram:
https://t.me/LibrosNetworking



Las abreviaturas y siglas utilizadas en este post puede encontrarlas desarrolladas en
que está disponible en la Librería en Línea de EduBooks.