cancel
Showing results for 
Search instead for 
Did you mean: 
cancel
1311
Views
0
Helpful
0
Comments
Cisco Moderador
Community Manager
Community Manager

Introducción


Lea la biografía


Julio Carvajal actualmente se desempeña como ingeniero de seguridad en IBM donde trabaja con dispositivos de seguridad de todo el mercado (Cisco, Juniper, Websense, etc). Julio formó parte del TAC de  Cisco por más de dos años, trabajando para los equipos de seguridad, adicional colaboró como instructor en la misma área con temas de Firewall, VPN, AAA y NMS. Cuenta con las certificaciones CCNP R&S, CCNP Security, CCIE R&S, JNCIA, CompTIA Sec.

P. ¿En un router 2801 y un Router 1811 se puede implementar ZBFW avanzado bloqueando aplicaciones como búsquedas por HTTPS y aplicaciones para móviles?

R. ZBF no es capaz de bloquear páginas de HTTPS. Existen otras soluciones como Scansafe que podrían ayudar.

­P. ¿Los productos de Cisco ASA tienen esta funcionalidad? Me refiero a bloquear búsquedas por HTTPS?

­R. Los ASA tampoco permiten el filtrado de HTTPS, debido a que este viene cifrado.

­P. ¿Tengo a cargo un proyecto de administrar una red de 200 equipos, es de ámbito educativo, quieren bloquear búsquedas por https, juegos, paginas para adultos, youtube, facebook, etc. Ellos contactaron a los equipo de fortinet¬, que  ¬les dieron la solución de un fortigate 300D¬. ¿Existe -algún equipo similar o mejor del performance de este equipo pero de la marca de cisco que me puedan recomendar para implementar en el proyecto?

R. ­ ¬Existe la solución de scansafe que podría ayudar.  http://www.cisco.com/en/US/partner/prod/collateral/vpndevc/ps6525/ps6538/ps6540/data_sheet_c78-655324.html

P. ¿Existe alguna documentación formal de Cisco para encontrar información detallada para integrar la solución a openldap?

R. En esta liga puedes encontrar información sobre la integración de ISE con ldap http://www.cisco.com/en/US/docs/security/ise/1.0/user_guide/ise10_man_id_stores.html­

P. ¿Qué limitantes se tendrían al utilizar la(s) herramienta(s) GUI configurando ZBFW?

R. A veces, en cuestiones de troubleshooting es mejor la línea de comando.¬

P. ¿Cuándo se considera utilizada una licencia base y cuando se considera utilizada una licencia?

R. La licencia base es forzosa para poder tener la licencia avanzada. La licencia base se consume cuando se utiliza alguno de los siguientes features AAA, Guest Provisioning. La licencia avanzada se consume cuando se utiiza Postura, Profiling, sga, MDM.­

P. ¿Cuál es la mejor manera de remover ZBF sin causar ninguna interrupción del traffic de producción?

R. Lo mejor es estar conectado por consola para evitar algún tipo de lock-up pero mi recomendación es utilizar un Script con EEM (Embedded Event Manager)

P. ¿En que modelo de equipo puedo configurar ZBFW?

R. ZBF puede ser aplicado en cualquier router Cisco, siempre y cuando contenga el feature “set the advanced security”.

P. ¿Y si el client está remoto? ¿Entrar la consola es necesario pero sino tiene en ese momento?

R. Si se está conectado desde afuera, lo mejor es remover el zone de las interfaces y realizar los cambios.

P. ¿Hay alguna forma de habilitar y deshabilitar el ZBFW, asegurándose no perder la conexión? ¿Algo que lo haga automático?

R. Lo mejor es hacerlo vía consola, si no es posible lo mejor es conectarse, deshabilitar las zonas de las interfaces y realizar los cambios.

P. ¿En lo que respecta a permitir vpn's que pasen a través del firewall, ¿Se requiere agregar también los protocolos ahp, y puertos isakmp y non500-isakmp?

R. Lo mejor es hacerlo vía consola, si no es posible lo mejor es conectarse, deshabilitar las zonas de las interfaces y realizar los cambios.

P. ¿Cómo puedo limitar el número de conexiones que pasan a través del router, utilizando el Zone Based Firewall?

R. Con el Parameter Map, permite configurar el número de sesiones establecidas y el límite de tiempo de las sesiones.

P. ¿Qué GUI se podría utilizar para configurar políticas de ZBFW?. ¿CCA, CCP, CNA?

R. Se recomienda hacer con la línea de comandos para mejorar la implementación.

P. ¿Existe algún comando que permita ver lo equivalente en ASA al Show Con?

R. Si, fuel show Policy Map, esta explicado en la demostración en vivo.

P. ¿Qué afectación se presenta a nivel de procesamiento y memoria?

R. En mi caso no he visto ninguno

P. ¿Sobre qué plataformas se recomienda esta implementación?

R. Cualquier plataforma que corra una imagen superior a 12.4(6)T

P. En la charla comentaste que para asignar las interfaces q las zonas era mejor hacerlo con un archivo .txt y un copy paste, pero en el lab lo hiciste una a una, ¿Qué recomiendas?

R. Se hace la configuración copiando un archivo de texto, pero de nuevo mi recomendación es mediante un script que lo haga automático.

P. En esta configuración del laboratorio no se habilito navegación a internet ¿cierto?, me refiero a que solo se habilitó http, pero no el resto de los protocolos a internet.

R. Es por que solamente quisimos permitir cierto tráfico como el laboratorio lo requería.

Vamos a comenzar

¡Conecte con otros expertos de Cisco y del mundo! Encuentre soluciones a sus problemas técnicos o comerciales, y aprenda compartiendo experiencias.

Queremos que su experiencia sea grata, le compartimos algunos links que le ayudarán a familiarizarse con la Comunidad de Cisco: