9 de octubre de 2017

Cisco NGFW

Las amenazas a la seguridad de las redes de datos evolucionan, la seguridad evoluciona para darles respuesta y consiguientemente las herramientas que se despliegan para cumplir con las demandas de seguridad también.
En este contexto, la propuesta de seguridad de Cisco ha estado evolucionando permanentemente en los últimos años hasta convertirse en un laberinto de novedades en el que permanentemente quedamos desactualizados. Un punto en esto es el de los firewalls, que ahora se han convertido en firewalls de próxima generación o "Next Generation FireWalls" (NGFW).
Hay varios elementos que Cisco ha presentado en este sentido:
  • La serie ASA 5500-X fue el primer paso en ese sentido.
  • A continuación la serie ASA 5500-X introdujo el módulo Firepower, un NGIPS con prestaciones muy avanzadas.
  • Inmediatamente aparecieron los appliances Firepower.
  • Ahora esto ha tenido un paso más con al introducción de Firepower Threat Defense (FTD).


Esto fue acompañado por la evolución del software de gestión, aunque en el caso de Firepower es mucho más que un simple software de gestión:
  • ASDM es la GUI tradicional para Cisco ASA.
  • FireSIGHT ha sido el primer software de gestión para Firepower.
  • FireSIGHT evolucionó a Firepower Management Center con la introducción de la versión 6.0.
  • Ahora contamos con Firepower Device Manager para la gestión de FTD.
Este gráfico intenta representar esta evolución:


¿Qué es un NGFW?
Un NGFW se diferencia de un firewall tradicional (dispositivo que permite implementar políticas de control de acceso entre dos dominios de confianza) en al menos 5 características:
  • Integra mecanismos de defensa ante amenazas tales como un NGIPS, protección anti-malware, posibilidad de AVC, etc.
  • Elaboración de indicadores de compromiso que permitan definir acciones.
  • Visión integradora de la red.
  • Reduce la complejidad de la gestión al mismo tiempo que los costos de implementación y mantenimiento.
  • Brinda la posibilidad de integrarlo con soluciones de terceras partes.
¿Qué es FTD?
Cisco Firepower Threat Defense es una imagen de software unificado que apunta a incluir las prestaciones de Cisco ASA con los servicios incorporador por Firepower, todo sobre una única plataforma de hardware.
En la redacción de la frase anterior tuve el cuidado de incluir el término "apunta" dado que no todas las prestaciones que conocemos y utilizamos frecuentemente de ASA están integradas en FTD.
Esta imagen de software unificada puede implementarse en diferentes plataformas de hardware:
  • ASA 5506-X
  • ASA 5508-X
  • ASA 5512-X
  • ASA 5515-X
  • ASA 5516-X
  • ASA  5525-X
  • ASA 5545-X
  • ASA 5555-X
  • Firepower 2100
  • Firepower 4100
  • Firepower 9000
  • También hay disponible un FTD virtual
No están soportados los appliances ASA 5585-X
A este momento hay 3 versiones disponibles de FTD: 6.0, 6.1 y 6.2

Prestaciones de FTP
En su versión 6.2 FTP incluye:
  • Firewall stateful
  • Enrutamiento estático y dinámico. Soporta RIP, OSPF y BGP.
  • Next-Generation Intrusion Prevention Systems (NGIPS)
  • Fitrado de URLs
  • Application Visibility and Control (AVC)
  • Advance Malware Protection (AMP)
  • Integración con Cisco Identity Service Engine (Cisco ISE)
  • Descifrado de SSL
  • Portal web cautivo
  • Gestión Multi-Domain
  • Rate Limiting
  • Políticas para tráfico tunelizado
  • Soporte para VPNs Site-to-Site solamente entre dispositivos FTD y FTD a ASA
Sin embargo, la mayoría de los analistas destacan algunas limitaciones muy relevantes:
  • No incluye soporte para enrutamiento EIGRP o multicast.
  • No se soporta configuración en modo transparente.
  • El soporte para VPNs es aún muy limitado. No hay soporte para VPNs de acceso remoto y el de VPNs site-to-site es acotado.
  • No hay soporte para interfaces EtherChannel.
  • No soporta múltiples contextos.
  • Sólo se soporta alta disponibilidad en modo activo / standby.
  • En algunos casos de migración de ASA a FTD se ha reportado que ha sido necesario abrir casos en el TAC de Cisco para lograr transferir las licencias.
  • Algunos analistas reportan cierta inestabilidad de estas imágenes cuando se implementan sobre dispositivos ASA.
  • La migración de configuraciones de ASA a FTD no es transparente y suelen presentarse diferentes inconvenientes que obligan a repasar la integridad de las políticas.
La pregunta de muchos ¿Qué va a pasar con ASA?
Pues, ASA está camino a ser retirado y esta imagen unificada (o su evolución) pasará a ser la solución NGFW de Cisco.


Las abreviaturas y siglas utilizadas en este post puede encontrarlas desarrolladas en
que está disponible en la Librería en Línea de EduBooks.


No hay comentarios.:

Publicar un comentario

Gracias por tu comentario.
En este blog los comentarios están moderados, por lo que su publicación está pendiente hasta la revisión del mismo.