Hace algunas semanas publiqué en las redes sociales que acompañan este blog la noticia del lanzamiento de la serie Cisco Secure Firewall 3100.
Se trata de una nueva plataforma que se integraba en la familia Cisco Firepower 1000, 2100, 4100, 9300. Pero introducía al mismo tiempo un cambio en la denominación del producto.
Esto puede generar alguna confusión, por lo que me pareció conveniente hacer una publicación aclarando la evolución y variación en la denominación de este producto.
Una forma gráfica de representar esta evolución es la siguiente:
Cisco ingresó en el mercado de los firewalls con Cisco PIX que fue luego desplazado por la introducción de la línea Cisco ASA que durante muchos años tuvo una fuerte presencia en el mercado de firewalls.Ante la necesidad de desarrollar una plataforma adecuada para un Next Generation Firewall que afrontara la evolución de las amenazas actuales a la seguridad corporativa se buscó introducir un motor de inspección profunda poderoso. La elección fue Snort.
Snort es un desarrollo open source multiplataforma iniciado a fines del año 1998 por Marty Roesch con el propósito de desarrollar un IDS y posteriormente un IPS. Este motor de inspección tiene la capacidad de realizar análisis de tráfico IP en tiempo real e inspección profunda de paquetes, lo que le permite detectar tráfico malicioso y una amplia variedad de ataques. Sobre la base de Snort, Martin Roesch fundó en el año 2001 la empresa Sourcefire, basada en Columbia, Maryland.
La compañía desarrolló una versión comercial de un IDS basado en Snort que rápidamente destacó en el mercado. En el año 2005 Check Point intentó su adquisición sin éxito. En el año 2009 su IDS/IPS recibió múltiples reconocimientos y en 2012 fue incluído en el sector de empresas líderes del cuadrante de Gartner dedicado a IDS/IPS, y entre los IPS más rápidos y eficientes en el ranking de NSS Labs.
Sourcefire fue adquirida por Cisco Systems en el año 2013. Con esta adquisición Cisco incorporó la tecnología y las patentes del IPS junto con otras tecnologías antimalware que luego se agregarían en AMP de Cisco.
El desarrollo de Snort se mantiene aún hoy como código abierto bajo el control de Cisco Talos.
La adquisión de Snort permitió a Cisco, en primer lugar, reemplazar su Cisco IPS con un "Módulo FirePOWER" que se podía agregar al ASA 5500-X y la línea de IPS "Cisco FirePOWER" series 7000 y 8000.
El desarrollo de ingeniería finalmente dio lugar al lanzamiento de la línea "Cisco Firepower" de firewalls de última generación (NGFW) que inicialmente presentó las series 2100, 4100 y 9300 a las que más tarde se agregó la serie 1000.
El Firepower NGFW es un firewall de última generación con capacidades de inspección profunda de tráfico IPv4 e IPv6 que se basa en 2 motores de inspección coordinados: LINA (motor de inspección de Cisco ASA) que se ocupa del procesamiento de los paquetes que ingresan o sales a través de VPN, NAT, enrutamiento, etc.; y SNORT, que efectúa las tareas de inspección profunda del paquete e incorpora capacidades de IPS a través de la aplicación de las reglas Snort.
A inicios de este año 2022 Cisco lanzó una nueva serie, la 3100, pero en este caso, actualizando su denominación. Los nuevos NGFW de Cisco ya no se denominan "Firepower" sino "Secure Firewall", si bien continúan con las mismas prestaciones y modo de operar.
Aprovecho este mismo posts para hacer algunas consideraciones respecto del software de estos dispositivos.
Toda la línea NGFW (tanto Firepower como Secure Firewall) implementa software Firepower Threat Defense (Firewall Threat Defense en su nueva denominación, FTD). Las series 1000, 2100, 4100 y 9300 implementan los diferentes releases de las versiones 6 y 7; la serie 3100 implementan FTD versión 7.x. Pero también pueden implementar una imagen de software ASA puro, manteniendo en este caso las funcionalidades de los anteriores firewalls ASA, no como NGFW. Por otra parte, sobre el hardware de los antiguos ASA 5500-X obviamente se corre software ASA, pero también es posible implementar una imagen de software FTD (llamada imagen unificada) especialmente creada para estas plataformas.
Consideración aparte merece el sistema de gestión centralizada de la solución. Firepower Management Center (FMC) se llama ahora Secure Firewall Management Center. Mantiene las mismas funciones y prestaciones ya presentes en Firepower Management Center a las que agrega en su nueva versión prestaciones de integración, entre las que se incluye Secure-X.
Estás invitado a participar de nuestro grupo en Facebook:
https://www.facebook.com/groups/librosnetworking/
O si preferís redes sociales con mayor control de tu privacidad,
podés participar de nuestro grupo en VKontakte
https://vk.com/libros.networking
O también puedes seguir las principales novedades en el grupo de Telegram:
https://t.me/LibrosNetworking
Las abreviaturas y siglas utilizadas en este post puede encontrarlas desarrolladas en