Proceso de selección de herramientas en Firepower

Los procesos de actualización tecnológica hacen que en nuestro medio progresivamente se realicen cada vez más implementaciones de firewalls de última generación (NGFW).

Muchas de estas implementaciones son sencillamente el reemplazo de los firewalls statefull ya presentes, que al momento de ser actualizados se reemplazan por NGFW. Esta actualización genera un punto que requiere una consideración especial.

Los NGFW son herramientas mucho más potentes que sus predecesores. No solo hablamos de potencia de hardware sino de capacidades y granularidad. Ahora podemos inspeccionar aplicaciones, inspeccionar tráfico, incorporar información de security intelligence, etc. Todas capacidades que no estaban presentes en los firewalls statefull y que por lo tanto no podían ser consideradas al momento de implementar aquellos dispositivos.

Esto hace que una simple migración de configuraciones sea una estrategia pobre.

Ahora contamos con nuevas herramientas, podemos hacer evaluaciones que antes no eran posibles, y por lo tanto tenemos que evaluar cuál es la mejor forma de lograr los objetivos que se plantean con las nuevas herramientas con que contamos.

Pero también es cierto que estos NGFW son herramientas complejas, con múltiples opciones diferentes para lograr un mismo objetivo y una gran granularidad.

Esto ha hecho que muchas veces me encuentre con el requerimiento de un procedimiento de toma de decisiones que nos pemita seleccionar la mejor herramienta para cada objetivo propuesto.

A este requerimiento pretendo dar respuesta en este post, tomando como base las herramientas y características de los sistemas Firepower de Cisco System.

Al momento de seleccionar la mejor manera de responder a un requerimiento de seguridad específico con las herramientas que nos proporcionan los sistemas Firepower, el proceso de toma de decisiones a considerar puede ser el siguiente:

1. Si el requerimiento es el filtrado de tráfico tomando como base direccionamiento IP de origen y/o destino, y/o puertos de capa de transporte de origen y/o destino la herramienta a considerar es la implementación de una regla de prefiltrado en una política de prefiltrado.
   Esta herramienta nos permite implementar acciones de alguna forma semejantes a las de las ACLs tradicionales pero con ventajas significativas: se ejecutan en la interfaz de ingreso del tráfico antes de que los paquetes accedan al motor de inspección Snort y por lo tanto con menor requerimiento de recursos de procesamiento con la consecuente reducción del delay.
2. Si en cambio el requerimiento es más específico y requiere del filtrado de tráfico en función de protocolos de capa  de aplicación, y/o de aplicaciones y/o de usuarios, entonces la herramienta a considerar es la implementación de una regla de control de acceso en una política de control de acceso.
   Esta herramienta requiere más procesamiento que la anterior pero a la vez permite un control más granular del tráfico que atraviesa el firewall en función de la potencia del motor de inspección Snort.
   
   
   
   
3. Si el requerimiento especifica la necesidad de realizar filtrado de archivos transportados por diferentes protocolos de aplicación según el tipo de archivo (documentos Word, archivos pdf o ejecutables, etc.) o la presencia de malware o código malicioso, en este caso la herramienta a implementar es una política de filtrado de archivos y malware asociada a una regla de control de acceso que especifique el tráfico que debe ser sometido a esta inspección.
4. Finalmente, si se requiere de la implementación de inspección avanzada de tráfico para controlar los posibles intentos de explotar vulnerabilidades de alguno de los sistemas alojados en la red corporativa, la herramienta a aplicar es una política de prevención de intrusiones (IPS) ajustada a los requerimientos de seguridad y asociada a una regla de control de acceso que especifique el tráfico que se espera sea inspeccionado por esta política.
   Para que la política se pueda adaptar a los sistemas alojados en la red corporativa es necesario verificar además que la política de descubrimiento de la red aplicada al FTD incluya a aquellos dispositivos que se desea proteger con esta política de prevención de intrusiones.

Un NGFW es una herramienta aún más variada y con muchas otras opciones disponibles. En este proceso he intentado incluir solamente las principales consideraciones y posibilidades a implementar.

Espero que resulte de utilidad.

Estás invitado a participar de nuestro grupo en Facebook:
https://www.facebook.com/groups/librosnetworking/

O si preferís redes sociales con mayor control de tu privacidad,
podés participar de nuestro grupo en VKontakte
https://vk.com/libros.networking

o seguir las principales novedades en el grupo de Telegram:
https://t.me/LibrosNetworking

Las abreviaturas y siglas utilizadas en este post puede encontrarlas desarrolladas en

 el Glosario de Siglas y Términos de Networking

que está disponible en la Librería en Línea de EduBooks.

 

Introducción a Cisco Umbrella - Gráficos

Umbrella es una importante herramienta de seguridad en redes de cualquier tamaño.

Esta intenta ser una introducción sencilla, en modo gráfico, a la operación de esta herramienta de seguridad. Espero sea de utilidad.

Estás invitado a participar de nuestro grupo en Facebook:
https://www.facebook.com/groups/librosnetworking/

O si preferís redes sociales con mayor control de tu privacidad,
podés participar de nuestro grupo en VKontakte
https://vk.com/libros.networking

o seguir las principales novedades en el grupo de Telegram:
https://t.me/LibrosNetworking

Las abreviaturas y siglas utilizadas en este post puede encontrarlas desarrolladas en

 el Glosario de Siglas y Términos de Networking

que está disponible en la Librería en Línea de EduBooks.

 

CCNA desde cero (review)

Hace ya varios años publiqué una serie de posts con sugerencias para quienes están preparando su examen de certificación.

Sin embargo, las consultas siguen llegando y también algunos puntos de aquellas publicaciones han quedado desactualizadas. Por eso me ha parecido conveniente volver sobre el tema con algunas modificaciones que actualicen aquella propuesta.

Entonces... para quienes comienzan a preparar su examen de certificación aquí hay algunas recomendaciones.

1- El primer paso

 A mi juicio, quienes aspiran a desempeñarse en el ámbito de las redes informáticas o del networking deben comenzar por adquirir los conocimientos y habilidades básicos.

En este sentido creo que el primer paso es estudiar el temario que todos conocemos actualmente como el temario del examen CCNA 200-301 (hay una versión en castellano aquí)

En este punto me refiero a la adquisición de saberes, no necesariamente a la certificación. No hay que confundir la adquisición de conocimientos con su acreditación mediante un examen de certificación. En el esquema de certificaciones actual de Cisco es posible acceder a certificaciones de nivel profesional o experto sin ningún pre-requisito. Esto significa que ya no es necesario comenzar por certificar CCNA. 

Pero sí es necesario tener los conocimientos de un CCNA para poder abordar y comprender con precisión los temarios más avanzados.

Se puede eludir la presentación del examen de certificación pero no es posible ignorar o prescindir de los conceptos y habilidades básicas que abarca. Y estos conceptos y habilidades son los que se adquieren en CCNA.

¿Alcanza con solamente adquirir habilidades prácticas y luego seguir?

No.

La sola práctica sin respaldo teórico es como construir una casa de cartón. Se carece de los fundamentos teóricos, del conocimiento de los protocolos que permiten comprender lo que se está haciendo y a partir de allí desarrollar, innovar, profundizar.

Por otro lado la sola teoría sin práctica tampoco es suficiente. Estudiar el código de tránsito no da las habilidades necesarias para conducir un vehículo.

Teoría y práctica deben ir juntas; y CCNA es el comienzo.

2- ¿Qué necesito para iniciar?

Hay diferentes formas de introducirse en el área y la mejor opción es muy personal ya que depende de los conocimientos y experiencia previos de cada uno.

El mejor camino cuando se es nuevo en el área es tomar algún entrenamiento que no sólo me brinde conocimientos sino también la posibilidad de interacturar con técnicos que ya tienen experiencia en el área y que pueden servirnos de referencia o guía en nuestro propio camino.

En este punto tienen una relevancia particular los entrenamientos oficiales que ofrece Cisco y que tienen algunas ventajas específicas: acceso a los materiales oficiales elaborados por Cisco, accesos a laboratorios y guías de laboratorio para adquirir las habilidades necesarias, acceso a un Instructor certificado por Cisco, el respaldo, supervisión y control de Cisco.

En estos entrenamientos oficiales hay 2 posibilidades:

• Cisco Networking Academy
  La red de academias oficiales de Cisco.
  Ofrecen un entrenamiento extendido en el tiempo (entre 1 y 2 años con asistencia entre 1 y 3 veces a la semana), con mucho trabajo de laboratorio y extenso intercambio con los instructores.
  A mi juicio es la mejor opción para quienes son completamente nuevos en el área y necesitan una inmersión completa. Aprenderán desde cómo armar un cable hasta la configuración básica de un router.
• Cisco Learning Partners
  La red de socios de capacitación de Cisco.
  Ofrecen un entrenamiento más intensivo, acotado en el tiempo (entre 1 y 5 semanas), con acceso a laboratorios oficiales e instructores de mucha experiencia.
  Es un modelo de entrenamiento más corporativo.
  Según mi parecer es la mejor opción para quienes ya están iniciados en el área, posiblemente se encuentran trabajando, y necesitan apoyo para sistematizar y completar sus conocimientos.

Más allá del entrenamiento con el acompañamiento de un Instructor oficial por supuesto que es posible desarrollar el mismo programa a través del autoestudio. En este caso es conveniente conseguir un "mentor" que ya tenga experiencia en el universo de las redes para que pueda aconsejar o guiar por un camino que para muchos es nuevo y desconocido. Este mentor puede ser un compañero de trabajo o estudios que tenga experiencia y que pueda guiar o brindar referencias más concretas, clarificar dudas, etc.

3- Hay que conocer el camino

Particularmente importante cuando se elige el camino del autoestudio es conocer el temario a estudiar y a completar.

¿Cuáles son los conocimientos y habilidades que debo cubrir en este trayecto de mi desarrollo profesional?

En este punto la base no es la opinión de nadie en un foro o blog. La base es el temario de las certificaciones actuales que son lo que está requiriendo la industria en este momento.

Entre las certificaciones técnicas y los roles laborales hay una relación estrecha. Las certificaciones técnicas acreditan las capacidades técnicas de quienes aspiran a cubrir puestos de trabajo específicos. Es por esto que más allá de que aspiremos a presentar el examen de certificación, es sumamente importante conocer el temario de las certificaciones. Es lo que responde a la pregunta respecto de lo que se está requiriendo para aspirar a un puesto laboral. Y obviamente también responde la pregunta referida a qué debemos estudiar y practicar.

La referencia para esto es, en el caso de Cisco, el Sitio Oficial de Certificaciones de Cisco. Toda la información actualizada y necesaria se puede encontrar en ese sitio. 

4- ¿Con qué estudio?

Hay muchísimo material disponible para estudiar las certificaciones de Cisco.

Todo lo que puedas necesitar saber, en el caso de Cisco, está disponible en la documentación técnica de acceso gratuito en el sitio de Cisco. Pero más allá de eso siempre es conveniente contar con material de un estilo más didáctico que oriente y facilite el estudio.

Debés tener en cuenta que necesitás cubrir 2 aspecto de tu formación:

• Para adquirir conocimiento (estudiar teoría) la mejor opción, a mi juicio, son las guías oficiales que entrega Cisco en los entrenamientos oficiales.
  Más allá de estos manuales oficiales que solo se acceden participando de los entrenamientos, hay excelentes guías de preparación.
  Hay que elegir una guía y estudiarla sistemáticamente de inicio a fin, no acumular cantidad de materiales diversos, de distinto origen.
  Cuando se necesita información adicional o complementaria, la consulta en línea al sitio de Cisco es el mejor recurso.
• Para adquirir habilidades (práctica) siempre el óptimo es contar con dispositivos reales con los que pueda montarse una maqueta de estudio.
  Sin embargo no siempre es posible contar con dispositivos reales, en este caso un muy buen recurso son los emuladores que nos permiten virtualizar dispositivos y correr sistemas operativos reales.
  En este caso hay 2 emuladores ampliamente difundidos: GNS3 y Eve-ng. Ambos muy buenos.
  También es posible utilizar Cisco Modeling Labs.
  Finalmente, un recurso no tan evolucionado pero de implementación más simple son los simuladores. En esto destaca Packet Tracer, el simulador desarrollado por Cisco Networking Academy. Eso si, no hay que perder de perspectiva que se trata de un simulador, no de dispositivos físicos o virtualizados.
  Tanto en el caso de los emuladores, como de Packet Tracer, hay abundante información disponible en los sitios oficiales de cada uno para su instalación y uso.

Por último un comentario.

Lo importante no es saber hacer sino saber lo que se hace.

Centrarnos exclusivamente en la práctica descuidando la teoría termina conduciéndonos a ejecutar procedimientos que no entendemos, sobre los que no podremos luego realizar modificaciones, y lo que es peor, quedarán desactualizados antes cualquier cambio o actualización de un sistema operativo o un feature.

Pero tampoco sirve el conocimiento teórico sin el manejo de los procedimientos.

No se trata de un ejercicio académico sino de la preparación para el desempeño en un puesto laboral específico; y eso requiere de habilidades prácticas.

Claro que tampoco podemos perder de perspectiva la evolución de las redes sobre la que he estado publicando en publicaciones anteriores.

En las nuevas arquitecturas, con control y gestión centralizados, con un gran componente de automatización y aplicaciones avanzadas es muy probable que lo importante ya no sea tanto el conocimiento detallado de comandos de configuración cuanto el manejo de las nuevas herramientas de configuración y diagnóstico, el conocimiento detallado de la operación de los protocolos y, eso si, de los comandos de diagnóstico como por ejemplo los comandos show.

 

Estás invitado a participar de nuestro grupo en Facebook:
https://www.facebook.com/groups/librosnetworking/

O si preferís redes sociales con mayor control de tu privacidad,
podés participar de nuestro grupo en VKontakte
https://vk.com/libros.networking

o seguir las principales novedades en el grupo de Telegram:
https://t.me/LibrosNetworking

Las abreviaturas y siglas utilizadas en este post puede encontrarlas desarrolladas en

 el Glosario de Siglas y Términos de Networking

que está disponible en la Librería en Línea de EduBooks.

 

Opciones de programabilidad de la red

Contenido incluido

en el temario de

CCNA 200-301

Cuando nos referimos a la programabilidad de la red hay múltiples opciones diferentes, ligadas a propuestas de arquitectura diversas.

Estas opciones pueden ser graficadas de la siguiente forma:

Estás invitado a participar de nuestro grupo en Facebook:
https://www.facebook.com/groups/librosnetworking/

O si preferís redes sociales con mayor control de tu privacidad,
podés participar de nuestro grupo en VKontakte
https://vk.com/libros.networking

o seguir las principales novedades en el grupo de Telegram:
https://t.me/LibrosNetworking

Las abreviaturas y siglas utilizadas en este post puede encontrarlas desarrolladas en

 el Glosario de Siglas y Términos de Networking

que está disponible en la Librería en Línea de EduBooks.

Comparación URL Filtering vs. web proxy

Hace ya algunos años se introdujeron nuevas herramientas para asegurar las redes de datos de acuerdo a la evolución de la problemática de seguridad. Entre esas herramientas destacan los firewalls de última generación (NGFW - New Generation Firewall).

Estos firewalls de última generación son sistemas con capacidades que van mucho más allá de la inspección statefull que posibilitaban sus predecesores. Se trata de dispositivos que permiten el monitoreo e inspección de la porción de datos de los paquetes a partir de lo que adquieren capacidad de inspección de protocolos de capa de aplicación, aplicaciones, detección de intrusiones, control de malware, control de archivos en tránsito y filtrado de URLs; incluyendo capacidades de analítica, machine learning y automatización de tareas.

La incorporación de estos nuevos sistemas de firewalling generan en algunos casos confusiones. 

La primera confusión y la más evidente es asumir la integración de los NGFW como una simple actualización de hardware lo que lleva a un sub aprovechamiento de las capacidades de estos dispositivos.

Otra confusión frecuente es considerar que las capacidades de filtrado de URL de estos firewalls los convierten en equivalentes de los servidores web proxy. En esta última quiero concentrarme en esta oportunidad.

¿Qué es un web proxy?

Un servidor proxy es un sistema que intermedia en las peticiones de recursos que realiza un cliente hacia un servidor. En este caso se trata de intermediar en la solicitud de un servicio web (http o https) realizada utilizando un cliente web.

Al decir que se “intermedia” en las peticiones lo que se está indicando es que en estos casos la solicitud del servicio no se realiza de modo directo al servidor que aloja los recursos que se desea acceder sino a este intermediario que realizará la petición “en nombre” del cliente, recibirá la respuesta del servidor y luego la reenviará al cliente que realizó la solicitud original.

Analizado la operación desde la perspectiva del modelo OSI se trata de 2 comunicaciones, una entre el cliente y el servidor proxy, otra entre el servidor proxy y el servidor que aloja el recurso web.

El servidor proxy recibe la solicitud del cliente “en nombre” del servidor web destino y negocia un circuito TCP entre el cliente y el servidor proxy, y sobre él el cliente requiere un servicio http o https. 

A continuación el servidor proxy envía el requerimiento “en nombre” del cliente hacia el servidor web y negocia un nuevo circuito TCP entre el servidor proxy y el servidor destino sobre el que negociará el servicio http o https requerido si la política implementada en el servidor proxy lo permite.

Esta completa intermediación que realiza el servidor proxy en la comunicación TCP/IP posibilita que en el sistema se implementen políticas de seguridad (bloqueo de sitios web, inspección de malware, análisis de contenidos, etc.) e incluso que se realice almacenamiento de contenidos (cacheo) para responder a múltiples solicitudes de igual contenido.

¿Qué es el filtrado de URL de los NGFW?

Los NGFW son dispositivos que están en capacidad de hacer inspección y análisis completo de los paquetes TCP/IP incluyendo la porción de datos. Para esta tarea utilizan poderosos motores de inspección que son los que permiten detectar amenazas latentes en los encabezados o en el contenido transportado por los paquetes.

Entre las inspecciones que están en capacidad de realizar estos nuevos sistemas está la posibilidad de verificar los diferentes comandos de los protocolos de capa de aplicación; de esta manera pueden, en el caso de solicitudes http, verificar la URL solicitada por un cliente de navegación web.

Por esto, a diferencia de los servidores proxy, un NGFW no intermedia en la comunicación TCP/IP que se establece entre un cliente y un servidor.

Analizado desde la perspectiva del modelo OSI el cliente web realiza la negociación TCP directamente con el servidor destino que aloja los recursos que desea acceder.

Esta negociación TCP atraviesa los motores de inspección del NGFW y es verificada de acuerdo a lo establecido en las políticas de control de acceso; si la solicitud es acorde a lo establecido en esas políticas el firewall permite la negociación y el consecuente establecimiento del circuito TCP entre el cliente y el servidor.

Establecido el circuito TCP el cliente web negociará la sesión http que también será sometida a inspección por el NGFW si así lo determinan las políticas de control de acceso configuradas.

Como parte de esa inspección el firewall puede verificar la URL solicitada por el cliente web para asegurar que esté encuadrada dentro de las políticas de uso aceptable configuradas en el sistema.

Como se desprende de este análisis, si bien aparentemente ambos mecanismos tienen un mismo resultado posible son absolutamente diferentes en cuando a su operación y posibilidades.

En caso de implementarse un servidor proxy la comunicación entre cliente y servidor web no será directa sino siempre intermediada por el proxy a partir de la división de la comunicación TCP/IP en dos comunicaciones diferentes; una entre el cliente web y el servidor proxy, otra entre el servidor proxy y el servidor web.

Cuando se trata de un filtrado de URLs implementado en un NGFW, en cambio, la comunicación entre cliente y servidor web es directa, a través de un único circuito TCP, que será inspeccionado y monitoreado por el firewall según se defina en las políticas de control de acceso del sistema.

Estás invitado a participar de nuestro grupo en Facebook:

https://www.facebook.com/groups/librosnetworking/

O si preferís redes sociales con mayor control de tu privacidad,
podés participar de nuestro grupo en VKontakte
https://vk.com/libros.networking

o seguir las principales novedades en el grupo de Telegram:
https://t.me/LibrosNetworking

Las abreviaturas y siglas utilizadas en este post puede encontrarlas desarrolladas en

 el Glosario de Siglas y Términos de Networking

que está disponible en la Librería en Línea de EduBooks.