Configuración y Resolución de Problemas del FWSM (Firewall Services Module). Q&A de la sesión.

Cisco Moderador · ‎07-23-2012

Introducción

Itzcoatl Espinosa es ingeniero de Soporte del Centro de Soporte Técnico (TAC) de Cisco Latinoamérica. Itzcoatl está especializado en tecnologías de Seguridad y Data Center. Él tiene más de 5 años de experiencia soportando tecnologías de WAN, Firewall y VPN. Espinosa es egresado del Instituto Tecnológico y de Estudios Superiores de Monterrey (ITESM) Campus Santa Fe donde cursó la carrera de Ingeniería en Electrónica y Comunicaciones (IEC’07) y ha obtenido las siguientes certificaciones de Cisco: CCNA, CCNP, CCSP y recientemente el CCIE en seguridad (# 33540).

Julio Carvajal y Alejandro Rodríguez fueron los expertos que estuvieron ayudando a Itzcoatl a contestar algunas preguntas que se hiceron durante la sesión en vivo. Ellos son expertos en Seguridad y Data Center.

El evento de Pregunte al Experto relacionado con este tema esta disponible aquí. Puede accesar el video de la sesión en vivo, aquí. En este documento Q&A encontrará la presentación utilizada por Itzcoatl.

Preguntas y Respuestas:

P. ¿El concepto de Contexto se aplica solo a los Modulos o tambine a los ISR?

R. El concepto de contextos se refiere específicamente al FWSM ya que este es el que se puede virtualizar ( dividir en contextos). El ISR como tal permanecerá como una sola.

P. ¿En los ASA existe tambien este concepto de contexto multiple?

R. Eso es correcto el concepto de Multple context tambien es soportado en los ASA

P. ¿El trafico de voz como puede ser h323 o sip debe pasar por un firewall? Asimismo, se tiene una VPN de extremo a extremo con un router que tipo de VPN’s ¿se debe realizar y cómo realizar un troubleshooting o qué ACL’s se debe configurar para permitir el paso?

R. Si el trafico de H323 o de SIP está pasando a traves de un firewall se debe inspeccionar hasta capa 7 para poder abrir dinámicamente los puertos necesarios. Ahora bien para VPN's solo se necesita identificar el tráfico en la crypto ACL.

P. ¿Cuál es el número máximo de particiones? ¿de qué depende?¿es para múltiples contextos?

R. En modo múltiple van a existir hasta 12 particiones y no depende de algo especifico, siempre van a ser 12. Cada contexto se asigna a una partición, si hay más de 12 contextos, estos empezaran a compartir las particiones.

P. ¿Todas las particiones deben ser del mismo tamaño?

R. Así es. Por defecto cada partición constará de 14,801 reglas.

P. ¿Cuáles son los pasos para poder atravesar el firewall cuando el paquete es voz h323 o SIP?

R. Los pasos serian aplicar una inspección de capa 7 esto para que el FWSM sea capaz de abrir los canales necesarios para la transferencia de video o voz.

P. ¿Habrá alguna posibilidad de consultar el tema de "hit count" en reglas? Puntualmente me interesaría saber cuándo los valores se ponen a cero y cuáles son los comandos utilizados para realizar la tarea.

Para verificar si "X" Trafico está pegando una especifica access-list se deberá utilizar el comando: "Show access-list". Esto nos mostrará la cantidad de veces que una línea de acceso ha sido utilizada por el FWSM.

P. Cuando se tiene un load balancing el problema q tuve fue q al cargar un video de yo tuve el enlace al ISP cae pero el video llega a pararse, no continua su curso. ¿A qué se debe?

R. Tendrías primero que revisar si el trafico está pasando a través del FWSM y no tengas problemas de asymetrical routing y será cuestión de revisar los logs del modulo. Unas capturas de sniffer podrían ayudarte a verificar esto.

P. Qué herramientas puedo usar para verificar el paso de capa 7? Existen algunos comandos cli par verificar esto?

R. Los Fixup o inspecciones pueden ser verificadas mediante el comando "Show Service-Policy" Tú deberías de ver un incremento en los paquetes siendo inspeccionados por "x" Protocolo de capa 7.

P. ¿Existe algún requerimiento especial para configurar más de 1 vlan-group?

R. No, ustedes puedes especificar las VLAN’s e irlas agrupando en un vlan-group . Sólo es cuestión de que se quiera segmentar la red, no existe alguna guía para eso.

P. Respecto al CPU el FWSM ¿usa el CPU del Supervisor o tiene su propio CPU?

R. No, tiene su propio CPU independiente al que tiene el supervisor

P. ¿Cuántas interfaces vlan son soportadas por cada contexto?

R. No existe una limitante, la limitante es con respecto a la licencia, si tenemos un Firewall en protección múltiple son 1000 interfaces. No existe una limitante de interfaces por contexto. Sin embargo, lo que nos limita pueden ser las cantidad de Access Lists o de inspecciones que se le configuren a cada contexto.

P. ¿Qué switches soportan el FWSM?

R. Son todos los 6500

P. ¿Desde un ASA como puedo validar que los NAT si estén realizando las traducciones?

R. Los comandos son iguales, existe otro comando que se llama showlocal-host, nos muestra información acerca de la conexión y traducción. Los comandos que mencionamos de show xlate o show conn son iguales en el ASA.

P. ¿Cómo explicarías la función de xlate-bypass?

R. El xlate-bypass lo que nos dice es, recordemos que en NAT Control nosotros requerimos a fuerza una traducción para pasar tráfico de una interfaz a otra. Sin embargo, en algunas ocasiones cuando configuremos una identity nat que realice un by-pass a esta traducción aún así se crea una entrada en la tabla de traducciones y conexiones del Firewall, a través del xlate-bypass nos está diciendo que ese tráfico que realmente no requiere de una traducción no va a generar una entrada en la tabla de traducción y conexión del Firewall

P. ¿Cuántos contextos soporta un FWSM?

R. Depende de la licencia, pueden verificarlo a través del show_version

P. ¿allocate-acl-partition se usa en modo system?

R. Sí, a través de modo system es donde nosotros vamos a configurar el número de particiones

P. ¿Un contexto puede pertenecer a dos Particiones?

R. Sí, tal cual no pero puedes estar compartiendo interfaces en diferentes contextos pero un contexto va a estar tal cual en una partición.

P. ¿En FWSM hay migración de NAT como lo hay en los demas FW?

R. No sé si se refieren a la versión 8.3 al ASA el NAT cambia. Aquí no, en el FWSM la configuración de NAT es como del ASA 7, ASA 8. Aquí no existe migración de NAT. El NAT no cambia como en el ASA a partir de la versión 8.3

P. ¿Cómo puedo ver el número máximo de conexiones permitidas en un Módulo de Firewall?

R. Por defecto, el número de conexiones no está limitado, se puede especificar a través de una función que se llama MPS (Modular Policy Framework), en donde nosotros podemos seleccionar el tráfico el cual nosotros queremos limitar las condiciones. El límite de conexiones es lo que físicamente te permite el hardware. La tarjeta permite un total de un millón de conexiones concurrentes, es lo máximo que físicamente soporta la tarjeta. La función show conn count permite ver el número de conexiones que hay en el Firewall.

P. ¿Cómo funciona el firewall en contexto múltiple con una configuración de HSRP?

R. El HSRP es ejecutado en el switch, para el Firewall es transparente, no le interesa si hay HSRP habilitado o no.

P. Están apareciendo unos mensajes de deny tcp no connection ¿qué significa?

R. Esos paquetes normalmente nos indicarían problemas de tráfico asimétrico en donde el Firewall está viendo sólo un flujo de la comunicación o una sola parte de los paquetes. Hay que revisar en este caso el ruteo de los equipos antes del Firewall porque puede ser que el tráfico vaya por un camino pero se esté regresando por otro.

P. ¿El FWSM soporta filtrado de URL?

R. Sí, soporta Websense y N2H2

P. ¿Cómo puedo limitar el número de conexiones al FWSM?

R. Se puede utilizar la función de MPF o Modular Policy Framework.

P. En el ASA puedo modificar los parametros de TCP a traves de un tcp-map, sin embargo en el FWSM no encuentro este comando.

R. El TCP normalizer es diferente en el FWSM. En el ASA es posible modificar ciertos parámetros del paquete de TCP, sin embargo en el FWSM debido a la arquitectura solamente se puede deshabilitar o habilitar esta función.

P. ¿Qué protocolos de ruteo puedo utilizar en el FWSM en contexto múltiple?

R. Solamente rutas estáticas, protocolos de ruteo no están soportados.

P. ¿Cuántas interfaces VLAN puedo configufrar en mi FWSM en modo simple?

R. Alrededor de 1000 vlans

P. ¿El FWSM soporta WCCP?

R. Por el momento esta funcionalidad no se encuentra disponible.

P. ¿Cómo se determinan las interfaces inside, outside y dmz?

R. La interfaz de outside es la que va a Internet con un nivel de seguridad cero. Una dmz con un nivel de seguridad intermedio, ahí podemos colocar los servidores de Web, de FTP, todos aquellos servidores que queremos tener acceso desde Internet o desde outside pero queremos tenerlos separados de nuestra red interna o nuestra red inside donde debe de estar el nivel de seguridad mayor.

P. ¿En qué capa trabaja mejor el failover?

R. Trabaja sobre capa 3 aunque también realiza verificación de capa 1.

P. Qué sucede en el FWSM en contexto múltiple si este tiene 12 particioines y tengo que configurar un contexto número 13 o 14?

R. Los contextos se van localizando en cada partición en una forma de Round Robin, es decir, el contexto número trece compartirá la partición y los recursos del primer contexto.

Referencias:

• Comunidad de Soporte de Cisco en Español:

https://supportforums.cisco.com/community/spanish

•Comunidad de Seguridad en Español:

https://supportforums.cisco.com/community/spanish/wireless/general_wireless

•Release notes del FWSM

http://www.cisco.com/en/US/partner/docs/security/fwsm/fwsm40/release/notes/fwsmrn40.html

•Referencia de comandos del FWSM

http://www.cisco.com/en/US/partner/docs/security/fwsm/fwsm40/command/reference/fwsm_ref.html

• Reemplazo de unidad del FESM en Failover

http://www.cisco.com/en/US/partner/products/hw/modules/ps2706/products_tech_note09186a0080531753.shtml

•Resolución de Problemas de Failover