Cisco PIX

Cisco PIX ( Private Internet Exchange ) fue un popular cortafuegos IP y dispositivo de traducción de direcciones de red ( NAT ) . Fue uno de los primeros productos en este segmento del mercado .

En 2005, Cisco presentó el nuevo Cisco Adaptive Security Appliance ( Cisco ASA ), que heredó muchas de las características de PIX, y en 2008 anunció el fin de la venta de PIX.

La tecnología PIX se vendió en un módulo blade , el FireWall Services Module (FWSM), para la serie de conmutadores Cisco Catalyst 6500 y la serie de enrutadores 7600 , pero alcanzó el estado de fin de soporte a partir del 26 de septiembre de 2007. ^[1]

Foto

Historia

PIX fue concebido originalmente a principios de 1994 por John Mayes de Redwood City, California y diseñado y codificado por Brantley Coile de Athens, Georgia. El nombre PIX se deriva del objetivo de sus creadores de crear el equivalente funcional de un IP PBX para resolver la escasez de direcciones IP registradas que estaba surgiendo en ese momento . En un momento en que NAT recién se estaba investigando como un enfoque viable, querían ocultar un bloque o bloques de direcciones IP detrás de una o varias direcciones IP registradas, de manera similar a como lo hacen los PBX para las extensiones telefónicas internas. Cuando comenzaron, se estaban discutiendo RFC 1597 y RFC 1631, pero el ahora conocido RFC 1918 aún no se había presentado.

El diseño y las pruebas fueron realizados en 1994 por John Mayes, Brantley Coile y Johnson Wu de Network Translation, Inc., siendo Brantley Coile el único desarrollador de software. Se completaron las pruebas beta del PIX con número de serie 000000 y la primera aceptación del cliente se produjo el 21 de diciembre de 1994 en KLA Instruments en San José, California. El PIX se convirtió rápidamente en uno de los principales productos de cortafuegos empresariales y recibió el premio al "Producto destacado del año" de la revista Data Communications en enero de 1995. ^[2]

Poco antes de que Cisco adquiriera Network Translation en noviembre de 1995, Mayes y Coile contrataron a dos socios de larga data, Richard (Chip) Howes y Pete Tenereillo, y poco después de la adquisición a otros dos socios de larga data, Jim Jordan y Tom Bohannon. Juntos continuaron el desarrollo de Finesse OS y la versión original del firewall Cisco PIX, ahora conocido como PIX "Classic". Durante este tiempo, PIX compartió la mayor parte de su código con otro producto de Cisco, LocalDirector .

El 28 de enero de 2008, Cisco anunció las fechas de fin de venta y fin de vida útil de todos los dispositivos de seguridad Cisco PIX, software, accesorios y licencias. El último día para comprar plataformas y paquetes de dispositivos de seguridad Cisco PIX fue el 28 de julio de 2008. El último día para comprar accesorios y licencias fue el 27 de enero de 2009. Cisco finalizó el soporte para los clientes de dispositivos de seguridad Cisco PIX el 29 de julio de 2013. ^{[3] [4]}

En mayo de 2005, Cisco presentó el ASA, que combina la funcionalidad de las líneas de productos PIX, VPN 3000 y IPS . La serie de dispositivos ASA ejecuta el código PIX 7.0 y posteriores. A partir de la versión 7.x del sistema operativo PIX, el PIX y el ASA utilizan las mismas imágenes de software. A partir de la versión 8.x del sistema operativo PIX, el código del sistema operativo difiere: el ASA utiliza un núcleo Linux y el PIX continúa utilizando la combinación tradicional de sistemas operativos Finesse/PIX. ^[5]

Software

El PIX ejecuta un sistema operativo propietario escrito a medida originalmente llamado Finese ( Fast Internet Service Executive ), pero a partir de 2014 ^[update]el software se conoce simplemente como PIX OS. Aunque está clasificado como un firewall de capa de red con inspección de estado , técnicamente el PIX se llamaría más precisamente Capa 4, o Firewall de capa de transporte, ya que su acceso no está restringido al enrutamiento de capa de red, sino a conexiones basadas en sockets (un puerto y una dirección IP: las comunicaciones de puerto ocurren en la Capa 4). De forma predeterminada, permite conexiones internas (tráfico saliente) y solo permite tráfico entrante que sea una respuesta a una solicitud válida o esté permitido por una Lista de control de acceso (ACL) o por un conducto . Los administradores pueden configurar el PIX para realizar muchas funciones, incluida la traducción de direcciones de red (NAT) y la traducción de direcciones de puerto (PAT), así como para servir como un dispositivo de punto final de red privada virtual (VPN).

El PIX se convirtió en el primer producto de firewall disponible comercialmente en introducir un filtrado específico de protocolos con la introducción del comando "fixup". La capacidad "fixup" del PIX permite al firewall aplicar políticas de seguridad adicionales a las conexiones identificadas como que utilizan protocolos específicos. Los protocolos para los que se desarrollaron comportamientos específicos de fixup incluyen DNS y SMTP. El DNS fixup originalmente implementó una política de seguridad muy simple pero efectiva; permitía solo una respuesta DNS de un servidor DNS en Internet (conocido como interfaz externa ) para cada solicitud DNS de un cliente en la interfaz protegida (conocida como interna ). "Inspect" ha reemplazado a "fixup" en versiones posteriores del sistema operativo PIX.

Cisco PIX también fue uno de los primeros dispositivos de seguridad disponibles comercialmente en incorporar la funcionalidad de puerta de enlace VPN IPSec .

Los administradores pueden gestionar el PIX a través de una interfaz de línea de comandos (CLI) o a través de una interfaz gráfica de usuario (GUI). Pueden acceder a la CLI desde la consola serial, Telnet y SSH . La administración mediante GUI se originó con la versión 4.1 y ha pasado por varias encarnaciones: ^{[6] [7] [8]}

• PIX Firewall Manager (PFM) para las versiones 4.x y 5.x del sistema operativo PIX, que se ejecuta localmente en un cliente Windows NT
• PIX Device Manager (PDM) para PIX OS versión 6.x, que se ejecuta a través de https y requiere Java
• Administrador de dispositivos de seguridad adaptativo (ASDM) para PIX OS versión 7 y superiores, que puede ejecutarse localmente en un cliente o en modo de funcionalidad reducida a través de HTTPS.

Como Cisco adquirió el PIX de Network Translation, la CLI originalmente no se alineaba con la sintaxis de Cisco IOS . A partir de la versión 7.0, la configuración se volvió mucho más parecida a la de IOS.

Hardware

PIX 515 con la cubierta superior quitada

El NTI PIX original y el PIX Classic tenían carcasas que provenían del proveedor OEM Appro. Todas las tarjetas flash y las primeras tarjetas de aceleración de cifrado, PIX-PL y PIX-PL2, provenían de Productivity Enhancement Products (PEP). ^[9] Los modelos posteriores tenían carcasas de los fabricantes OEM de Cisco.

El PIX se construyó utilizando placas base basadas en Intel o compatibles con Intel; el PIX 501 utilizó un procesador Am5x86 y todos los demás modelos independientes utilizaron procesadores Intel 80486 a Pentium III.

El PIX arranca desde una tarjeta hija de memoria flash ISA patentada en el caso de NTI PIX, PIX Classic, 10000, 510, 520 y 535, y arranca desde una memoria flash integrada en el caso de PIX 501, 506/506e, 515/515e, 525 y WS-SVC-FWM-1-K9. Este último es el código de pieza para la tecnología PIX implementada en el módulo de servicios de firewall para Catalyst 6500 y el enrutador 7600.

Dispositivo de seguridad adaptativo (ASA)

El dispositivo de seguridad adaptativo es un cortafuegos de red fabricado por Cisco. Se introdujo en 2005 para reemplazar la línea Cisco PIX. ^[10] Junto con la funcionalidad de cortafuegos con estado, otro de los aspectos destacados del ASA es la funcionalidad de red privada virtual (VPN). También incluye prevención de intrusiones y voz sobre IP. La serie ASA 5500 fue seguida por la serie 5500-X. La serie 5500-X se centra más en la virtualización que en los módulos de seguridad de aceleración de hardware.

Historia

En 2005, Cisco lanzó los modelos 5510, 5520 y 5540. ^[11]

Software

El ASA sigue utilizando la base de código PIX, pero cuando el software del sistema operativo ASA pasó de la versión principal 7.X a la 8.X, pasó de la plataforma del sistema operativo Finesse/Pix OS a la plataforma del sistema operativo Linux . También integra funciones del sistema de prevención de intrusiones Cisco IPS 4200 y del concentrador Cisco VPN 3000. ^[12]

Hardware

El ASA continúa el linaje PIX del hardware Intel 80x86.

Vulnerabilidades de seguridad

El producto Cisco PIX VPN fue hackeado por el grupo Equation Group, vinculado a la NSA ^[13] , en algún momento antes de 2016. Equation Group desarrolló una herramienta con el nombre en código BENIGNCERTAIN que revela las contraseñas precompartidas al atacante ( CVE - 2016-6415 ^[14] ). Equation Group fue hackeado más tarde por otro grupo llamado The Shadow Brokers , que publicó su exploit públicamente, entre otros. ^{[15] [16] [17] [18]} Según Ars Technica , la NSA probablemente utilizó esta vulnerabilidad para pinchar conexiones VPN durante más de una década, citando las filtraciones de Snowden . ^[19]

El grupo Equation también ha pirateado la marca Cisco ASA. La vulnerabilidad requiere que tanto SSH como SNMP sean accesibles para el atacante. El nombre en código dado a este exploit por la NSA fue EXTRABACON. El error y el exploit ( CVE - 2016-6366 ^[20] ) también fueron filtrados por The ShadowBrokers, en el mismo lote de exploits y puertas traseras. Según Ars Technica, el exploit puede funcionar fácilmente contra versiones más modernas de Cisco ASA que las que el exploit filtrado puede manejar. ^[21]

El 29 de enero de 2018, Cedric Halbronn, del grupo NCC, reveló un problema de seguridad en la marca Cisco ASA . Un error de tipo "use after free " en la funcionalidad VPN de Secure Sockets Layer (SSL) del software Cisco Adaptive Security Appliance (ASA) podría permitir que un atacante remoto no autenticado provocara una recarga del sistema afectado o ejecutara código de forma remota. El error está catalogado como CVE - 2018-0101. ^{[22] [23] [24]}

Véase también

• Cisco LocalDirector

Referencias

1. "Módulos de servicios de Cisco - Soporte - Cisco".
2. "Historia de NTI y el firewall PIX por John Mayes" (PDF) .
3. "Fin de la venta de productos Cisco PIX". Cisco. 28 de enero de 2008. Consultado el 20 de febrero de 2008 .
4. "Dispositivos de seguridad Cisco PIX serie 500: notificación de retiro". Cisco. 2013-07-29 . Consultado el 2018-11-04 .
5. "Página de licencias de código abierto de Cisco" . Consultado el 21 de agosto de 2007 .
6. "Preguntas frecuentes sobre Cisco PFM" . Consultado el 19 de junio de 2007 .
7. "Documentación sobre Cisco PDM" . Consultado el 19 de junio de 2007 .
8. "Documentación sobre Cisco ASDM". Archivado desde el original el 16 de junio de 2007. Consultado el 19 de junio de 2007 .
9. "Notas sobre la producción de PIX".^{[ enlace muerto permanente ]}
10. Joseph, Muniz; McIntyre, Gary; AlFardan, Nadhem (29 de octubre de 2015). Security Operations Center: Building, Operating, and Maintenanceing your SOC (Centro de operaciones de seguridad: creación, operación y mantenimiento de su SOC) . Cisco Press. ISBN 978-0134052014.
11. Francis, Bob (9 de mayo de 2005). "La seguridad ocupa un lugar central en Interop". InfoWorld . 27 (19): 16.
12. "Copia archivada" (PDF) . Archivado desde el original (PDF) el 5 de octubre de 2016. Consultado el 11 de febrero de 2016 .{{cite web}}: CS1 maint: archived copy as title (link)
13. "La filtración de la NSA es real, confirman los documentos de Snowden". 19 de agosto de 2016. Consultado el 19 de agosto de 2016 .
14. "Registro de la base de datos de vulnerabilidad nacional para BENIGNCERTAIN". web.nvd.nist.gov .
15. "Investigador obtiene contraseña de VPN con herramienta de un archivo volcado por la NSA". 19 de agosto de 2016. Consultado el 19 de agosto de 2016 .
16. "Se filtra el exploit Cisco PIX de la NSA". www.theregister.co.uk .
17. "¿Tenía la NSA la capacidad de extraer claves VPN de los firewalls Cisco PIX?". news.softpedia.com . 19 de agosto de 2016.
18. "NSA Vulnerabilities Trove revela un 'mini-Heartbleed' para los firewalls Cisco PIX". www.tomshardware.com . 19 de agosto de 2016.
19. "Cómo la NSA espió el tráfico cifrado de Internet durante una década". 19 de agosto de 2016. Consultado el 22 de agosto de 2016 .
20. "Registro de la base de datos de vulnerabilidad nacional para EXTRABACON". web.nvd.nist.gov .
21. "El exploit de Cisco vinculado a la NSA plantea una amenaza mayor de lo que se creía anteriormente". 23 de agosto de 2016. Consultado el 24 de agosto de 2016 .
22. "Registro de la base de datos de vulnerabilidades nacionales - CVE-2018-0101". web.nvd.nist.gov .
23. "Aviso: Vulnerabilidad de denegación de servicio y ejecución remota de código en Cisco Adaptive Security Appliance". tools.cisco.com .
24. "CVE-2018-0101 - Una vulnerabilidad en la funcionalidad VPN de Secure Sockets Layer (SSL) de Cisco Adaptive Security A - CVE-Search". cve.circl.lu . 2023-08-15 . Consultado el 2023-09-05 .