Bueno venga, dicese, algún dÃa en mi faceta de consultor de seguridad informática y en general TI, pos resulta que en una empresa querÃan cambiar su flamante firewall Cisco Pix por un ISA Server. Para los entendidos en el tema seguramente desatara un "Oh Hell WTF" asà que comencemos.
Cisco PIX ( Entiéndase que esto es una opinión personal )Bueno venga todos sabemos que Cisco mola, y mola mucho, entonces cual es el problema?, muy fácil resultase el que no todos son unos genios Cisco Partner Certified que lo podrÃan administrar al derecho y al revés ( en realidad unas cuantas horas con google y todo queda claro ). Es por esto que se decidió el tener una plataforma que pudiera ser administrada por la mitad de IT, a fin de quitarse múltiples problemas de encima, ya que de por si el cisco estaba muy mal configurado; ahora si vamos a la parte técnica y sus jodas:
Instalando ISA: Nada complicado, instalar SO, instalar ISA, asegurar SO y configurar el ISA.
Notas: No deshabilitar servicios como Telephony por que el firewall depende de estos, tampoco implementar las protecciones del SO frente a ataques como syn flood, el firewall se encarga de eso asà que no mamen.
Obtener la configuración del PIX: Bueno acá viene una parte difÃcil cuando no se conoce PIX. Este maneja objetos en vez de reglas como las de ISA ( En realidad los conceptos son parecidos pero diferentes xD ), lo que le permite agrupar como objetos de diferentes tipos los puertos, host y demás, luego se crean reglas que aplican para interfaces internas o externas. Pero en realidad donde viene la joda es en estas lineas:
ip address outside XXX.XXX.XXX.206 255.255.255.248
static (inside,outside) XXX.XXX.XXX.204 192.168.1.1 netmask 255.255.255.255 0 0
static (inside,outside) XXX.XXX.XXX.202 192.168.1.2 netmask 255.255.255.255 0 0
En realidad es mas algo de confusión con el tema de redes, si vemos la IP externa que definimos termina en 206 con una mascara de 248 lo que nos deja un total de? o si 6 ip's libres desde la 1 hasta la 6, pero okay esperen; lento... se supone que solo podemos setear escuchas en interfaces que tengamos configuradas, lo cual nos produce un gran "FUCK" cuando vemos esto
access-list outside_access_in permit tcp any host XXX.XXX.XXX.205 object-group FUCK
access-list outside_access_in permit tcp any host XXX.XXX.XXX.202 object-group FUCK2
Bueno venga resulta que el PIX es capaz de escuchar en sus diferentes interfaces ( si múltiples ) lo cual le da una gran ventaja, ya que también es capaz de realizar esto desde nivel interno a externo, me explico, sacas el trafico de los servidores corporativos por la IP XXX.XXX.XXX.203 y la de los usuarios mediante la IP XXX.XXX.XXX.202, en caso de que tengas un ataque de SPAM interno tendrás asegurado por lo menos la reputación de tus servidores corporativos.
Una vez solucionados estos problemas, el replicar la configuración en un ISA requiere cierta improvisación al ser mas limitada la "configurabilidad" del mismo en cuanto se refiere a aspectos de enrutamiento y filtros avanzados, pero funciona y el cliente queda contento
.
Happy Fuck.
PD: En la config del PIX "static" aplica como una ruta.
TraÃdo de mi blog
, últimamente publico mas que acá, creo que deberÃa ser al contrario xD.
Att:
Iker
