Comprar o Renovar
Comprar o Renovar
cancelar
Activar sugerencias
La sugerencia automática le ayuda a obtener, de forma rápida, resultados precisos de su búsqueda al sugerirle posibles coincidencias mientras escribe.
Mostrando los resultados de 
Buscar en lugar de 
Quiere decir: 
cancel
Crear un nuevo artículo
400
Visitas
0
ÚTIL
0
Comentarios

Doc - El flujo de un paquete a través de Secure Firewall

Cisco Moderador
Community Manager
Community Manager

el ‎08-29-2024 09:31 AM - fecha de última edición ‎09-05-2024 02:51 PM por Community Manager

Presentación del webinar Community Live

El flujo de un paquete a través de Secure Firewall: Herramientas para saber qué le pasó a su conexión

Con la colaboración de Armando Lozada y Enrique Ruiz.

En el mundo interconectado de hoy, los firewalls actúan como centinelas y protegen nuestras redes de amenazas externas. La gestión del tráfico de datos nos permite mantener la integridad y confidencialidad de la información que fluye a través de él. Secure Firewall es una solución de seguridad integral, que ofrece protección y visibilidad sólidas en toda su red. En esta sesión, exploramos la ruta de un paquete de datos, desde que ingresa hasta que sale de Cisco Secure Firewall. Analizamos las herramientas y técnicas que nos permiten rastrear y diagnosticar el comportamiento de los paquetes. Pudimos descubrir los conceptos básicos para comprender y solucionar de la mejor manera los problemas de conectividad y seguridad.

 

Descargue la Presentación Ver el Video

Recuerde que la presentación está disponible en pdf para su comodidad. Si este documento le ha resultado útil, no olvide calificar esta publicación con un voto de utilidad para validar su relevancia. ¡Muchas gracias! 

¿Cómo enviar una pregunta?

Ponemos a su disposición nuestro evento Ask Me Anything (AMA) en cuyo foro podrán externar dudas y solicitar apoyo de nuestros expertos en casos específicos de los temas abordados. ¡Esperamos sus preguntas!

Ir al foro de Discusión
 

Lista de las Q&A del webinar Community Live

Encuentre la lista de preguntas formuladas durante el seminario web Community Live de nuestro evento. Cualquier duda que no haya sido respondida durante la sesión será resuelta posteriormente aquí o en el foro de "Preguntas".

Lista de Preguntas y Respuestas (Q&A)

Pregunta: Los procesos de snort, ¿también se hacen en Meraki cuando se activa la parte de seguridad, o es más ligero su análisis? - Manuel M. (min.40)

Respuesta (César L.): Hola Manuel. Sí! con algunas diferencias. Tanto Meraki como los routers usando IOS XE y otros dispositivos que usan snort como su engine de IPS van a pasar por DAQ, Network Analysis Policy, IPS rules, pero Security Intelligence y otras funcionalidades son procesadas por separado.

Pregunta: Hola buen día. ¿Cómo hacer capturas de tráfico para VPN? - Walter F. (min.47)

Respuesta (César L.): Hola Walter, cuando haces tu captura, puedes utilizar la palabra clave "include-decrypted" en la interface donde recibes los paquetes: capture vpn interface outside include-decrypted match ip host 10.1.1.1 host 10.2.2.2

Pregunta: ¿Después del procesamiento de LINA-SNORT regresa nuevamente a LINA? Entiendo que LINA no tiene ese nivel de procesamiento a nivel L7. - Guillermo S. (min.47)

Respuesta (César L.): Así es Guillermo. LINA recibe el veredicto de snort y realiza algunas actividades más como procesamiento en la interface de egreso. LINA se encarga de enviar físicamente los paquetes al cable, es por eso que regresa. Toda la parte L7 se la deja a snort y ya cuando lo recibe, ese procesamiento ya se hizo.

Pregunta: ¿Las reglas en el ACP siempre son creadas con las IP reales de origen y destino, sin importar el NAT? - Eder S. (min.48)

Respuesta (César L.): Sí Eder. Tienes que poner las IPs reales debido a que el proceso de "UN-NAT" o "de-traducción" (palabra inventada para que se entienda en español) sucede antes del match a la ACP.

Pregunta: Cuando usamos un filtro de URL en una política, ¿se puede utilizar packet-tracer para verificar que la política ha sido bien configurada ? - Hernán T. (min.48)

Respuesta (César L.): No tenemos un método de usar packet tracer para este escenario. Lo que te recomiendo es que uses una computadora para generar el tráfico mientras usas la captura con trace habilitado y el feature de system support trace para que puedas revisar cómo se procesa esa regla de URL.

Pregunta: ¿La regla el NAT es aplicada en el LINA 01? - Eder S. (min.49)

Respuesta (César L.): Es correcto, se hace en LINA, sin embargo, snort lo va a ver con las IPs reales porque ya la fase de agregar la IP NATeada se hará después de que snort realice sus veredictos.

Pregunta: origen ip|destino ip| ---->entra el motor de Lina origen ip|destino youtube entra snort con Lina? - Guillermo S. (min.58)

Respuesta (César L.): Si, ambos entran a LINA, y en el escenario de YouTube, snort tomará el veredicto si hay reglas de aplicación.

Pregunta: PacketTracer abarca solo hasta capa 4 (Lina) o también incluye SNORT ? - Hernán T. (min.58)

Respuesta (César L.): Solo LINA, para snort utilizamos system support trace y system support firewall-engine-debug

Respuesta (César L.): El feature de "trace" de las capturas que está mostrando Armando, también provee los veredictos de snort. Entonces también es muy útil para ambos escenarios.

Pregunta: ¿Cuál es la diferencia entre un filtrado por url filtering (l7) y filtrado por FQDN? y cuándo debería aplicar uno u otro? - Eder S. (min.62)

Respuesta: Esta pregunta fue respondida en vivo (ref video min. 1h21)

Pregunta: Podrían mostrar un poco ¿cuál puede ser la mejor practica en términos de configuración con respecto al número de eventos que se puedan visualizar en el connection events? - Mario S. (min.79)

Respuesta (Enrique R.): https://www.cisco.com/c/en/us/td/docs/security/firepower/70/configuration/guide/fpmc-config-guide-v70/system_configuration.html#concept_C94E9492C76E4CCC9100B3139C7CF771 -- > Data Base Limits, guía para la versión 7.0

Pregunta: El comando de CAPTURE, ¿muestra información en caso el tráfico haga MATCH en una regla de bloqueo? - Eder S. (min.79)

Respuesta (César L.): Sí, el comando de capture va a mostrar el tráfico si la captura se toma en la interface de ingreso. También si se toma la captura tipo ASP, mostrará el paquete bloqueado. Solo no se verá en la captura en la interface de egreso. 

Pregunta: ¿Es posible ejecutar una captura para ver el tráfico que pasa por el módulo de Snort? - Leonardo S. (min.79)

Respuesta (Enrique R.): Leonardo, aquí puedes encontrar más información sobre capturas no solo en Lina, también en snort.
https://www.cisco.com/c/es_mx/support/docs/security/firepower-ngfw/212474-working-with-firepower-threat-defense-f.html 

Respuesta: Esta pregunta fue respondida en vivo (ref. video min. 1h19)

Pregunta: Si hay una vlan que tiene problemas de navegación donde las páginas web demoran en cargar o en algunos casos no cargan, y en las capturas indican Allow. Pero cuando se aplica un prefilter a la comunicación de esa vlan hacia internet, la navegación ya es normal. ¿Cuál podría ser el problema? - David C. (min.86)

Pregunta: ¿Existe algún video de cómo realizar la virtualización? - Oliver T. (min.83)

Respuesta: Esta pregunta fue respondida en vivo (ref. video min. 1h23)

Pregunta: ¿En qué casos se recomienda emplear el SSL decrypt? ¿está recomendado su uso? - Edgar S. (min.83)

Respuesta (Enrique R.): https://www.youtube.com/watch?v=Utthj_CGfP8&t=190s --> Deployment FTD en AWS

Respuesta: Esta pregunta fue respondida en vivo (ref. video min. 1h23)

Pregunta: ¿Cuáles son las mejores prácticas para optimizar el rendimiento de Snort en un entorno de alta carga de tráfico de red y cómo se pueden ajustar las reglas para minimizar los falsos positivos? - Mario (min.85)

Respuesta: Esta pregunta fue respondida en vivo (ref. video min. 1h25)

Pregunta: ¿En qué casos se recomienda emplear el SSL decrypt? ¿está recomendado su uso? - Edgar S. (min.88)

Respuesta: Esta pregunta fue respondida en vivo (ref. video min. 1h28)

Pregunta: ¿Cómo se nombra la funcionalidad de selective decryption que nombró? - Edgar S. (min.88)

Respuesta (César L.): EVE-NG Encrypted Visibility Engine

Respuesta (Enrique R.): https://secure.cisco.com/secure-firewall/docs/encrypted-visibility-engine 

Respuesta: Esta pregunta fue respondida en vivo (ref. video min. 1h28)

Pregunta: ¿Se puede limitar el tráfico de contenido multimedia que pasa por el FMC y limitar la resolución de los videos? Por ejemplo de YouTube u otros. - Rubén B. (min.91)

Respuesta: Esta pregunta fue respondida en vivo (ref. video min. 1h31)

Pregunta: ¿Se permite tirar la negociación de acceso de VPN mediante AnyConnect no autorizado? - José Z. (min.90)

Respuesta: Esta pregunta fue respondida en vivo (ref. video min. 1h30)

Pregunta del Chat: ¿En que plataforma se puede realizar la virualización? - Oliver T. (min.81)

Respuesta: Esta pregunta fue respondida en vivo (ref. video min. 1h19)

Pregunta del Chat: ¿Compatibilidad con otras plataformas Checkpoint Fortinet? - Alberto (min.87)

Respuesta: Esta pregunta fue respondida en vivo (ref. video min. 1h27)

Pregunta PQ#1: Cisco Secure Firewall es una integración dos tecnologías. ¿Cuáles son?

Opciones de respuesta: a) Catalyst y ISE b) Meraki y Splunk c) Adaptive Security Appliance (ASA) y Firepower // Respuesta Correcta: c) Adaptive Security Appliance (ASA) y Firepower

Pregunta PQ#2: ¿Cuál es la acción disponible en las reglas de la política de Pre-Filter, que permite evitar completamente la inspección de Snort para un tráfico definido?

Opciones de respuesta: a) Fastpath b) Block c) Tunnel // Respuesta Correcta: a) Fastpath

Pregunta PQ#3: ¿Cuál es la herramienta de Cisco Secure Firewall Manager que valida el histórico de las conexiones en un Secure Firewall?

Opciones de respuesta: a) Platform Settings b) Connection Events c) Health Monitor // Respuesta Correcta: b) Connection Events

Nuestros expertos

alozadaa.jpgArmando Lozada es Ingeniero de Escalamiento de Seguridad con más de trece años de experiencia en integración, administración y soporte en TI, Networking y Seguridad tanto para empresas privadas como para el sector Gobierno. Ha sido parte del equipo de Seguridad HTTS de Cisco durante los últimos cuatro años brindando soporte a clientes Premium a nivel mundial y actualmente aborda Escalaciones para el equipo de NGFW. Es egresado de la Universidad Tecnológica de México, certificado en Cisco CCNA y otros proveedores. 

juanrui.jpgEnrique Ruiz es egresado de la Facultad de Ingeniería de la Universidad Nacional Autónoma de México. Se unió a Cisco hace cinco años y desde entonces trabaja con el equipo del Centro de Asistencia Técnica (TAC) de Cisco para tecnología de Firewall. Enrique posee las certificaciones de CCNP Security, CCNA Cyberops y CCNA Instructor. 

Próximos Eventos Eventos Anteriores
Para obtener más información, visite los contenidos de la sección de Seguridad.
Si usted tiene dudas o está experimentando problemas técnicos con alguno de los productos Cisco, publique su pregunta, solicite información o utilice el motor de búsqueda de la Comunidad de Cisco en español, antes de abrir un caso con el TAC.
Vista previa de archivo
3456 KB
0 Útil
Vamos a comenzar

¡Conecte con otros expertos de Cisco y del mundo! Encuentre soluciones a sus problemas técnicos o comerciales, y aprenda compartiendo experiencias.

Queremos que su experiencia sea grata, le compartimos algunos links que le ayudarán a familiarizarse con la Comunidad de Cisco:

Navegue y encuentre contenido personalizado de la comunidad

Videos de Seguridad Blogs de Seguridad Otros Eventos de Seguridad
Customers Also Viewed These Support Documents