Muestra las diferencias entre dos versiones de la página.
Ambos lados, revisión anteriorRevisión previaPróxima revisión | Revisión previa | ||
redes:ids_ips [2024/11/15 17:21] – thejuanvisu | redes:ids_ips [2024/11/22 16:43] (actual) – thejuanvisu | ||
---|---|---|---|
Línea 72: | Línea 72: | ||
===== Zone Based Firewall (ZBFW)===== | ===== Zone Based Firewall (ZBFW)===== | ||
- | **Se dará el próximo día** | + | La configuración de firewall basada en zonas no se suele usar y en su lugar se usan ACL y CBAC, por que se ajusta mejor a redes de gran tamaño. Tiene un enfoque donde se tiene una perspectiva diferente a la hora de configurar el firewall. Antes de hacer configuración de ZBFW se recomienda hacer una copia de seguridad del equipo. En ZBFW se definen parejas de interfaces. Normalmente tenemos una red interna, una externa y una DMZ. Se definen relaciones entre pares de zonas como INSIDE -> DMZ, INSIDE -> OUTSIDE, DMZ -> INSIDE, DMZ -> OUTSIDE, OUTSIDE -> INSIDE o OUTSIDE -> DMZ. Se definen formas de seguridad con estos pares y a estas se les aplican políticas. Las políticas siguen la estructura: |
+ | | ||
+ | | ||
+ | {{drawio> | ||
+ | Por defecto, las interfaces pertenecen a la zona por defecto, excepto | ||
+ | | ||
+ | | ||
+ | |||
+ | Para definir una zona de seguridad se usa el siguiente comando: | ||
+ | <code cisco> | ||
+ | zone security OUTSIDE | ||
+ | zone security DMZ | ||
+ | zone security OUTSIDE | ||
+ | </ | ||
+ | |||
+ | Creamos una ACL para crear construir dos clases de tráfico: | ||
+ | < | ||
+ | ip access-list extended ACL-PING-AND-TRACEROUTE //ACL 1 | ||
+ | permit icmp any any echo | ||
+ | permit icmp any any echo-reply | ||
+ | permit icmp any any ttl-exceeded | ||
+ | permit icmp any any port-unreachable | ||
+ | permit icmp any any range 33434 33463 ttl eq 1 | ||
+ | |||
+ | ip access-list extend ACL-DHCP-IN //ACL 2 | ||
+ | permit udp any eq bootps any eq bootpc | ||
+ | |||
+ | // | ||
+ | class-map type inspect match-any CLASS-OUTSIDE-TO-SELF-PASS | ||
+ | match access-group name ACL-PING-AND-TRACEROUTE | ||
+ | match access-group name ACL-DHCP-IN | ||
+ | </ | ||
+ | |||
+ | Con esta clase de tráfico se define todo el tipo de tráfico que puede pasar. Se crearan clases de tráfico que van a ser utilizadas para inspeccionar de OUTSIDE a Self ZONE. Una vez creada la clase de tráfico se deben crear las acciones: | ||
+ | |||
+ | < | ||
+ | policy-map type inspect POLICY-OUTSIDE-TO-SEFL | ||
+ | class type inspect CLASS-OUTSIDE-TO-SELF-PASS //clase | ||
+ | pass //acción | ||
+ | class class-default //clase | ||
+ | drop //acción | ||
+ | </ | ||
+ | |||
+ | Finalmente, hay que crear las parejas de zonas de seguridad: | ||
+ | < | ||
+ | zone-pair security OUTSIDE-TO-SELF source OUTSIDE destination self | ||
+ | service-policy tyoe inspect POLICY-OUTSIDE-TO-SELF | ||
+ | </ | ||
+ | |||
+ | Con esto ya tendríamos definida una política OUTSIDE -> self. Finalmente habría que asignar las interfaces a las zonas: | ||
+ | < | ||
+ | interface GigabitEthernet 0/2 | ||
+ | zone-member security OUTSIDE | ||
+ | </ | ||
+ | |||
+ | Finalmente podemos usar los siguientes comandos para hacer diagnóstico: | ||
+ | < | ||
+ | show class-map type inspect | ||
+ | show policy-map type inspect | ||
+ | </ | ||
===== Traducción de direcciones (NAT) ===== | ===== Traducción de direcciones (NAT) ===== |