De Wikipedia, la enciclopedia libre
Saltar a navegación Saltar a búsqueda

Cisco PIX ( P rivate I nternet e X modificar) fue un popular IP del cortafuegos y la traducción de direcciones de red (NAT) del aparato . Fue uno de los primeros productos en este segmento de mercado.

En 2005, Cisco presentó el dispositivo Cisco Adaptive Security Appliance (Cisco ASA), que heredó muchas de las funciones PIX, y en 2008 anunció el fin de venta de PIX.

La tecnología PIX se vendió en un blade , el módulo de servicios FireWall (FWSM), para la serie de conmutadores Cisco Catalyst 6500 y la serie de enrutadores 7600 , pero alcanzó el estado de finalización del soporte a partir del 26 de septiembre de 2007. [1]

PIX [ editar ]

Historia [ editar ]

PIX fue concebido originalmente a principios de 1994 por John Mayes de Redwood City, California y diseñado y codificado por Brantley Coile de Athens, Georgia. El nombre PIX se deriva del objetivo de sus creadores de crear el equivalente funcional de un IP PBX para resolver la escasez de direcciones IP registradas que se estaba produciendo en ese momento . En un momento en que se estaba investigando NAT como un enfoque viable, querían ocultar un bloque o bloques de direcciones IP detrás de una o varias direcciones IP registradas, al igual que las PBX para las extensiones telefónicas internas. Cuando comenzaron, se estaban discutiendo RFC 1597 y RFC 1631, pero el ahora familiar RFC 1918 aún no se había presentado.

El diseño y las pruebas se llevaron a cabo en 1994 por John Mayes, Brantley Coile y Johnson Wu de Network Translation, Inc., siendo Brantley Coile el único desarrollador de software. Se completó la prueba beta del número de serie 000000 de PIX y la primera aceptación por parte del cliente fue el 21 de diciembre de 1994 en KLA Instruments en San José, California. El PIX se convirtió rápidamente en uno de los principales productos de firewall empresarial y fue galardonado con el premio "Producto más popular del año" de la revista Data Communications en enero de 1995. [2]

Poco antes de que Cisco adquiriera Network Translation en noviembre de 1995, Mayes y Coile contrataron a dos asociados de mucho tiempo, Richard (Chip) Howes y Pete Tenereillo, y poco después de la adquisición de otros dos asociados de mucho tiempo, Jim Jordan y Tom Bohannon. Juntos continuaron el desarrollo de Finesse OS y la versión original de Cisco PIX Firewall, ahora conocido como PIX "Classic". Durante este tiempo, el PIX compartió la mayor parte de su código con otro producto de Cisco, LocalDirector .

El 28 de enero de 2008, Cisco anunció las fechas de fin de venta y fin de vida útil de todos los dispositivos de seguridad, software, accesorios y licencias de Cisco PIX. El último día para comprar plataformas y paquetes de dispositivos de seguridad Cisco PIX fue el 28 de julio de 2008. El último día para comprar accesorios y licencias fue el 27 de enero de 2009. Cisco finalizó el soporte para los clientes de dispositivos de seguridad Cisco PIX el 29 de julio de 2013. [3] [4]

En mayo de 2005, Cisco presentó ASA, que combina la funcionalidad de las líneas de productos PIX, VPN 3000 series e IPS . La serie de dispositivos ASA ejecuta el código PIX 7.0 y posterior. A través de la versión 7.x de PIX OS, PIX y ASA utilizan las mismas imágenes de software. A partir de la versión 8.x de PIX OS, el código del sistema operativo diverge, con el ASA usando un kernel de Linux y PIX continuando usando la combinación tradicional de Finesse / PIX OS. [5]

Software [ editar ]

El PIX ejecuta un sistema operativo propietario escrito a medida originalmente llamado Finese ( Fast Internet Service Executive ), pero a partir de 2014 el software se conoce simplemente como PIX OS. Aunque está clasificado como un cortafuegos de capa de red con inspección de estado , técnicamente el PIX se llamaría más precisamente una capa 4, o cortafuegos de capa de transporte, ya que su acceso no está restringido al enrutamiento de la capa de red, sino a las conexiones basadas en sockets (un puerto y un Dirección IP: las comunicaciones del puerto se producen en la Capa 4). De forma predeterminada, permite conexiones internas de salida (tráfico saliente) y solo permite el tráfico entrante que es una respuesta a una solicitud válida o está permitido por una Lista de control de acceso (ACL) o por un conducto.. Los administradores pueden configurar el PIX para realizar muchas funciones, incluida la traducción de direcciones de red (NAT) y la traducción de direcciones de puertos (PAT), además de servir como un dispositivo de punto final de red privada virtual (VPN).

El PIX se convirtió en el primer producto de firewall disponible comercialmente en introducir el filtrado específico de protocolo con la introducción del comando "fixup". La capacidad de "reparación" de PIX permite que el cortafuegos aplique políticas de seguridad adicionales a las conexiones identificadas que utilizan protocolos específicos. Los protocolos para los que se desarrollaron comportamientos de reparación específicos incluyen DNS y SMTP. La corrección de DNS implementó originalmente una política de seguridad muy simple pero efectiva; permitía solo una respuesta DNS de un servidor DNS en Internet (conocida como interfaz externa ) para cada solicitud de DNS de un cliente en la interfaz protegida (conocida como interna ). "Inspeccionar" ha reemplazado a "reparación" en versiones posteriores de PIX OS.

Cisco PIX también fue uno de los primeros dispositivos de seguridad disponibles comercialmente en incorporar la funcionalidad de puerta de enlace VPN IPSec .

Los administradores pueden administrar el PIX a través de una interfaz de línea de comandos (CLI) o mediante una interfaz gráfica de usuario (GUI). Pueden acceder a la CLI desde la consola serie, telnet y SSH . La administración de GUI se originó con la versión 4.1, y ha pasado por varias encarnaciones: [6] [7] [8]

  • PIX Firewall Manager (PFM) para las versiones 4.xy 5.x del sistema operativo PIX, que se ejecuta localmente en un cliente Windows NT
  • PIX Device Manager (PDM) para PIX OS versión 6.x, que se ejecuta a través de https y requiere Java
  • Adaptive Security Device Manager (ASDM) para PIX OS versión 7 y superior, que puede ejecutarse localmente en un cliente o en modo de funcionalidad reducida a través de HTTPS.

Debido a que Cisco adquirió el PIX de Network Translation, la CLI originalmente no se alineó con la sintaxis del IOS de Cisco . A partir de la versión 7.0, la configuración se volvió mucho más parecida a la de IOS.

Hardware [ editar ]

PIX 515 sin la cubierta superior

El NTI PIX original y el PIX Classic tenían estuches que se obtuvieron del proveedor OEM Appro. Todas las tarjetas flash y las primeras tarjetas de aceleración de cifrado, PIX-PL y PIX-PL2, se obtuvieron de Productivity Enhancement Products (PEP). [9] Los modelos posteriores tenían cajas de fabricantes OEM de Cisco.

El PIX se construyó utilizando placas base basadas en Intel / compatibles con Intel; el PIX 501 usaba un procesador AMD 5x86 y todos los demás modelos independientes usaban procesadores Intel 80486 a Pentium III.

Los PIX botas de una propiedad de ISA memoria flash tarjeta hija en el caso de la NTI PIX, PIX clásico, 10000, 510, 520, y 535, y se arranca desde la memoria flash integrada en el caso de la PIX 501, 506 / 506e, 515 / 515e, 525 y WS-SVC-FWM-1-K9. Este último es el código de pieza para la tecnología PIX implementada en el módulo de servicios Fire Wall, para el Catalyst 6500 y el enrutador 7600.


Dispositivo de seguridad adaptable (ASA) [ editar ]

El dispositivo de seguridad adaptable es un firewall de red fabricado por Cisco. Se introdujo en 2005 para reemplazar la línea Cisco PIX. [10] Junto con la funcionalidad de firewall con estado, otro enfoque del ASA es la funcionalidad de red privada virtual (VPN). También cuenta con Prevención de intrusiones y Voz sobre IP. La serie ASA 5500 fue seguida por la serie 5500-X. La serie 5500-X se centra más en la virtualización que en los módulos de seguridad de aceleración de hardware.

Historia [ editar ]

En 2005, Cisco lanzó los modelos 5510, 5520 y 5540. [11]

Software [ editar ]

El ASA continúa usando la base de código PIX pero, cuando el software ASA OS pasó de la versión principal 7.X a 8.X, pasó de la plataforma del sistema operativo Finesse / Pix OS a la plataforma del sistema operativo Linux . También integra funciones del sistema de prevención de intrusiones Cisco IPS 4200 y el concentrador Cisco VPN 3000. [12]

Hardware [ editar ]

El ASA continúa el linaje PIX del hardware Intel 80x86.

Vulnerabilidades de seguridad [ editar ]

El producto Cisco PIX VPN fue pirateado por el grupo Equation Group vinculado a la NSA [13] en algún lugar antes de 2016. Equation Group desarrolló una herramienta con el nombre en código BENIGNCERTAIN que revela las contraseñas previamente compartidas al atacante ( CVE - 2016-6415 [14] ). Equation Group fue luego pirateado por otro grupo llamado The Shadow Brokers , que publicó su exploit públicamente, entre otros. [15] [16] [17] [18] Según Ars Technica , la NSA probablemente usó esta vulnerabilidad para realizar escuchas telefónicas en conexiones VPN durante más de una década, citando a Snowdenfugas. [19]

La marca Cisco ASA también fue pirateada por Equation Group. La vulnerabilidad requiere que tanto SSH como SNMP sean accesibles para el atacante. El nombre en clave que la NSA le dio a este exploit fue EXTRABACON. El error y el exploit ( CVE - 2016-6366 [20] ) también fue filtrado por The ShadowBrokers, en el mismo lote de exploits y backdoors. Según Ars Technica, se puede hacer que el exploit funcione fácilmente contra versiones más modernas de Cisco ASA que las que puede manejar el exploit filtrado. [21]

El 29 de enero de 2018, Cedric Halbronn del Grupo NCC reveló un problema de seguridad en la marca Cisco ASA . Un uso después de un error libre en la funcionalidad VPN de Secure Sockets Layer (SSL) del software Cisco Adaptive Security Appliance (ASA) podría permitir que un atacante remoto no autenticado cause una recarga del sistema afectado o ejecute código de forma remota. El error aparece como CVE - 2018-0101 . [22] [23] [24]

Ver también [ editar ]

  • Cisco LocalDirector


Referencias [ editar ]

  1. ^ http://www.cisco.com/c/en/us/support/interfaces-modules/catalyst-6500-series-firewall-services-module/model.html
  2. ^ "Historia de NTI y el cortafuegos PIX por John Mayes" (PDF) .
  3. ^ "Fin de venta de productos Cisco PIX" . Cisco. 2008-01-28 . Consultado el 20 de febrero de 2008 . CS1 maint: parámetro desalentado ( enlace )
  4. ^ "Dispositivos de seguridad Cisco PIX 500 Series - Notificación de retiro" . Cisco. 2013-07-29 . Consultado el 4 de noviembre de 2018 . CS1 maint: parámetro desalentado ( enlace )
  5. ^ "Página de licencia de código abierto de Cisco" . Consultado el 21 de agosto de 2007 . CS1 maint: parámetro desalentado ( enlace )
  6. ^ "Preguntas frecuentes sobre Cisco PFM" . Consultado el 19 de junio de 2007 . CS1 maint: parámetro desalentado ( enlace )
  7. ^ "Documentación sobre Cisco PDM" . Consultado el 19 de junio de 2007 . CS1 maint: parámetro desalentado ( enlace )
  8. ^ "Documentación sobre Cisco ASDM" . Archivado desde el original el 16 de junio de 2007 . Consultado el 19 de junio de 2007 . CS1 maint: parámetro desalentado ( enlace )
  9. ^ "Notas sobre la producción de PIX" .[ enlace muerto permanente ]
  10. ^ José, Muniz; McIntyre, Gary; AlFardan, Nadhem (29 de octubre de 2015). Centro de operaciones de seguridad: creación, funcionamiento y mantenimiento de su SOC . Prensa de Cisco. ISBN 978-0134052014.
  11. ^ Francis, Bob (9 de mayo de 2005). "La seguridad ocupa un lugar central en Interop". InfoWorld . 27 (19): 16.
  12. ^ http://www.ingrammicro.de/pdf/6778857.pdf
  13. ^ "La filtración de la NSA es real, confirman los documentos de Snowden" . Consultado el 19 de agosto de 2016 . CS1 maint: parámetro desalentado ( enlace )
  14. ^ "Registro de base de datos de vulnerabilidad nacional para BENIGNCERTAIN" . web.nvd.nist.gov .
  15. ^ "Investigador agarra la contraseña de VPN con la herramienta de NSA Dump" . Consultado el 19 de agosto de 2016 . CS1 maint: parámetro desalentado ( enlace )
  16. ^ "Fugas de exploit Cisco PIX de la NSA" . www.theregister.co.uk .
  17. ^ "¿La NSA tenía la capacidad de extraer claves VPN de los firewalls Cisco PIX?" . news.softpedia.com .
  18. ^ "NSA Vulnerabilities Trove revela 'Mini-Heartbleed' para firewalls Cisco PIX" . www.tomshardware.com .
  19. ^ "Cómo la NSA husmeó en el tráfico de Internet cifrado durante una década" . Consultado el 22 de agosto de 2016 . CS1 maint: parámetro desalentado ( enlace )
  20. ^ "Registro de base de datos de vulnerabilidad nacional para EXTRABACON" . web.nvd.nist.gov .
  21. ^ "El exploit de Cisco vinculado a la NSA representa una amenaza mayor de lo que se pensaba" . Consultado el 24 de agosto de 2016 . CS1 maint: parámetro desalentado ( enlace )
  22. ^ "Registro de base de datos de vulnerabilidad nacional - CVE-2018-0101" . web.nvd.nist.gov .
  23. ^ "Asesoramiento - Vulnerabilidad de denegación de servicio y ejecución remota de código del dispositivo de seguridad adaptable de Cisco" . tools.cisco.com .
  24. ^ "CVE-2018-0101" .