This discussion is locked

Pregunte a los Expertos: Arquitectura y Operación de los Firewall Services Modules (FWSM)

Unanswered Question
Aug 29th, 2011

con Iván Martiñón

Lea la biografía

Bienvenidos a la conversación en el CSC en Español. Esta es su oportunidad de aprender y hacer todas las preguntas que tenga acerca de la Arquitectura y Operación de los Firewall Services Modules (FWSM).

Iván Martiñon es ingeniero veterano de Soporte de Cisco Latinoamérica, especializado en tecnologías de seguridad. Es egresado del Instituto Politécnico Nacional como Ingeniero en computación, cuenta con la certificación CCIE Security (#20837) y recientemente obtuvo la certificación del EC-Council como Hacker Ético (CEH). En su actual rol soporta una de las redes más grandes a nivel nacional que incluye casi en su totalidad el portafolio de seguridad de Cisco.

Dentro de sus áreas de experiencia se encuentran detección y protección de intrusos IDS/IPS, Tecnologías de firewalling de Cisco, PIX, ASA, CBAC, IOS Firewall y FWSM; dentro sus conocimientos de cifrado se encuentran las tecnologías de cifrado de información punto a punto y de acceso remoto, como IPSec VPN, DMVPN y GETVPN y en el ámbito de administración de políticas, postura y usuarios se incluyen ACS, NAC framework y Cisco Clean Access (NAC).

Por favor use las estrellas para calificar las respuestas y así informar a Iván que usted ha recibido una respuesta adecuada.

Puede ser que Iván no pueda responder cada una de las preguntas debido la cantidad que anticipamos para este evento. Recuerde que usted puede preguntar o seguir haciendo preguntas en la comunidad de Seguridad.

Usted puede encontrar las preguntas que Iván contesto durante el evento aquí. También puede ver el video de la sesión en vivo aquí. La presentación del evento se encuentra aquí


Este evento está abierto hasta el 9 de septiembre de 2011. Visite esta conversación seguido para ver las respuestas a sus preguntas.


I have this problem too.
0 votes
  • 1
  • 2
  • 3
  • 4
  • 5
Average Rating: 0 (7 ratings)
emanueldiaz Fri, 09/02/2011 - 10:28

Hola Iván,

Si tenemos un FWSM con lista de acceso inbound para App y uno para DB (inbound), ¿porque solo necesitamos cambios en la lista de acceso app y no en la lista de acceso inbound DB? Con el ASA creo que requieren cambios en las dos listas.

Gracias,

Emanuel.

Ivan Martinon Mon, 09/05/2011 - 13:49

Emanuel, buenas tardes, recordemos que tanto ASA como FWSM como PIX son equipos que mantienen una tabla de estado, esta permitirá que la respuesta a una petición (únicamente de TCP) pase sin necesidad de abrir una lista de acceso, a qué me refiero con esto? a lo siguiente:

Tú tienes una lista inbound para App, y una inbound para DB, cuando tráfico de DB, va de la red DB hacia la red App, la lista de accceso que valida el tráfico será la de DB, una vez permitido, entonces se crea un registro de conexión (recordemos que por TCP existe un TCP Syn) de la interface App, se recibirá una respuesta Syn-Ack, ésta respuesta no será sujeta a revisión en la lista de acceso de App, pues es una respuesta esperada.

Ahora si el tráfico se inica de App, y este tráfico es TCP será exactamente el mismo comportamiento.

Sólo cuando el tráfico se inicia de alguna de esas interfaces se verificarán las listas de acceso, si el tráfico que pasa de una interfase a otra es una respuesta a una petición ya creada entonces no será sujeta esa inspección.

Por favor indícame si fui claro o si reqieres un ejemplo más explícito.

Saludos

Ivan

emanueldiaz Tue, 09/06/2011 - 11:13

Hola Iván,

Muchas gracias por tu pronta respuesta, el ejemplo que me mencionas es muy claro y me ha permitido aclarar mi duda.

Saludos,

Emanuel.

federicoreyes Mon, 09/05/2011 - 13:39

Hola Iván,

Me gustaría saber en qué slot debe ir el FWSM, ya que no he encontrado un documento que lo diga, ¿me pueden ayudar con un link?

Saludos,

Federico.

Ivan Martinon Mon, 09/05/2011 - 13:56

Federico, buenas tardes, por favor indícame si esta liga te sirve:

http://www.cisco.com/en/US/docs/security/fwsm/fwsm11/configuration/guide/hwinst.html

Slot Assignments

The Catalyst 6006 and 6506 switch chassis have six slots, the Catalyst  6009 and 6509 switch chassis have nine slots, and the Catalyst 6513  switch chassis has thirteen slots.

Note The  Catalyst 6509-NEB switch has vertical slots, which are numbered 1 to 9  from right to left. Install the modules with the component side facing  to the right.

Each slot is used as follows:

Slot 1 is reserved for the supervisor engine.

Slot 2 can be used for a redundant supervisor engine in case the supervisor engine in slot 1 fails.

If  a redundant supervisor engine is not required, slots 2 through 6 on the  6-slot chassis, (slots 2 through 9 on the 9-slot chassis, and slots 2  through 13 on the 13-slot chassis) are available for switching modules,  such as the Firewall Services Module.

The  empty slots require filler plates, which are blank switching-module  carriers, to maintain consistent airflow through the switch chassis.

Básicamente dice que la primera bahía está reservada para la supervisora, y las condiciones son las siguientes:

Si se usa redundancia en la supervisora

Para chasis de 6 bahías: bahía 3 a 6 disponibles para insertar fwsm.

Para chasis de 9 bahías: bahía 3 a 9 disponibles para insertar fwsm.

Para chasis de 13 bahías: bahía 3 a 13 disponibles.

Si no se usa supervisora redundante:

Para chasis de 6 bahías: bahía 2 a 6 disponibles para insertar fwsm.

Para chasis de 9 bahías: bahía 2 a 9 disponibles para insertar fwsm.

Para chasis de 13 bahías: bahía 2 a 13 disponibles.

Saludos por favor indícame si esto resuelve tu duda.

federicoreyes Mon, 09/05/2011 - 17:22

Hola Iván,



Muchas gracias por la información, me ha sido de mucha utilidad.

Saludos,

Federico.

fermondragon Mon, 09/05/2011 - 17:17

Hola Iván,

¿FWSM es en realidad similar a un server? Pues al hacer un show inventory veo Pentium III en el 6500. ¿Hay otra versión más actual?

Saludos,

Fernando.

fermondragon Wed, 09/07/2011 - 07:59

Hola Iván,

Muchas gracias por la información que me proporcionas, considerare esta opción en el futuro.

Saludos!

sebastiangarcia Wed, 09/07/2011 - 11:30

Hola Iván,

Me gustaría crear zonas lógicas agrupando un número  de VLANs en una versión FWSM 4.0 (4).

¿Se puede hacer mediante el  establecimiento del mismo nivel de seguridad en cada zona? Es decir,  todas las VLANs del DMZ con la seguridad de nivel 50 y todas las VLANs  de la SafeZone con la seguridad de nivel 70 y usar el comando  same-security-traffic permit inter-interface.

De  antemano gracias.

Saludos,

Sebastian

Ivan Martinon Wed, 09/07/2011 - 11:49

Sebastian, recordemos que el comando same-security-traffic permit inter-interfaces sólo permite pasar trafico de una interfase a otra cuando se tiene el mismo nivel de seguridad, sin embargo también se tiene que considerar que si estás usando el fwsm en modo ruteado cada interfas debe de pertenecer a un segmento de red independiente.

Parecería que basado en lo que necesitas tendrías que usar "bridge groups" sin embargo estos sólo están disponibles en Firewall Transparente y sólo se pueden agrupar dos Vlans por Grupo.

Podrías explicarme cuál es la necesidad o qué pretendes realizar con esta configuració?

http://www.cisco.com/en/US/docs/security/fwsm/fwsm40/configuration/guide/intro_f.html#wpmkr1053629

Saludos

Ivan

Actions

Login or Register to take actions

This Discussion

Posted August 29, 2011 at 10:28 AM
Stats:
Replies:11 Avg. Rating:
Views:2587 Votes:0
Shares:0

Related Content

Discussions Leaderboard