Cisco, il maggiore produttore al mondo di router, da anni produce delle network appliance dedicate alla sicurezza: la famiglia di firewall Pix.
Tutti i modelli più recenti appartengono alla serie 500, dal più piccolo, il 501, dedicato a piccole reti o telelavoratori, al 535, per grandi e affollati network.
Sui Pix, che hanno varie parti hardware comuni a normali computer (processore Intel, schede di rete fast ethernet o gigabit ecc), gira un sistema operativo dedicato, giunto al momento alla versione 6.3, ma con ancora largo utilizzo delle versioni 5.x e 6.x.
Le feature offerte dai Pix variano a seconda del modello e della versione del sistema operativo installata, in genere quanto segue si applica almeno a Pix 505 o superiori con OS versione 6.x
- Stateful inspection firewall, con logica basata su access-list a catena e moduli per gestire protocolli quali Ftp, RTSP, H.323, SIP
- Gestione NATttin PATting (il masquerading del mondo Linux)
- Gestione tramite command line o via web tramite Pix Device Manager (integrato) e software di gestione come Cisco Works
- Supporto di VPN IpSec, PPTP, L2TP. Supporto di IKE, NAT/PAT traversing e autenticazione IpSec con shared-keys e certificati x509, criptazione DES, 3DES, AES (256 bit)
- Supporto VLAN, SNMP, e OSPF (sebbene sia improprio usare un Pix come un router)
- DHCP, telnet, NTP client e server
- Meccanismi di intrusion detection con logging remoto
- Authentication, Authorization, Accounting (AAA) con supporto TACACS+ e RADIUS
Le caratteristiche e i costi dei Pix variano parecchio.
Si riportano i dati ufficiali Cisco sulle performance (considerare che in condizioni reali il throughput effettivo è quasi sempre inferiore a quello indicato come Cleartext throughput, su questo influiscono il numero di access-list, VPN, translazioni di NAT ecc.) e sulla architettura dei sistemi (sostanzialmente basati su architettura Intel I386, con slot PC a 33 e 66 Mhz, memoria SDRAM e cache di secondo livello).
PIX 501 - Appliance con HUB di 4 porte RJ45 per piccoli uffici o telelavoratori.
Ha due porte fast-ethernet (outside e inside) per una rete pubblica ed una LAN privata.
Cleartext throughput: 60 Mbps
Concurrent connections: 7500
56-bit DES IPsec VPN throughput: 6 Mbps
168-bit 3DES IPsec VPN throughput: 3 Mbps
128-bit AES IPsec VPN throughput: 4.5 Mbps
Simultaneous VPN peers: 10 (numero massimo di SA supportate)
Processor: 133-MHz AMD SC520 Processor
Random access memory: 16 MB of SDRAM
Flash memory: 8 MB
System bus: Single 32-bit, 33-MHz PCI
PIX 506E - Maggiore throughput, senza HUB. Per piccoli uffici.
Ha due porte fast-ethernet (outside e inside) per una rete pubblica ed una LAN privata.
Cleartext throughput: 100 Mbps
Concurrent connections: 25,000
56-bit DES IPsec VPN throughput: 20 Mbps
168-bit 3DES IPsec VPN throughput: 17 Mbps
128-bit AES IPsec VPN throughput: 30 Mbps
Simultaneous VPN peers: 25
Processor: 300-MHz Intel Celeron Processor
Random access memory: 32 MB of SDRAM
Flash memory: 8 MB
Cache: 128 KB level 2 at 300 MHz
System bus: Single 32-bit, 33-MHz PCI
PIX 515E - Occupa 1 Rack Unit, ha uno slot PCI per un modulo (scheda) espandibile e supporta il failover.
Ha 2 interfacce fast-ethernet che possono arrivare a 6 tramite moduli aggiuntivi.
Cleartext throughput: 188 Mbps
Concurrent connections: 130,000
168-bit 3DES IPsec VPN throughput: Up to 140 Mbps with VAC+ or 63 Mbps with VAC
128-bit AES IPsec VPN throughput: Up to 135 Mbps with VAC+
256-bit AES IPsec VPN throughput: Up to 140 Mbps with VAC+
Simultaneous VPN tunnels: 2000
Processor: 433-MHz Intel Celeron Processor
Random access memory: 32 MB or 64 MB of SDRAM
Flash memory: 16 MB
Cache: 128 KB level 2 at 433 MHz
System bus: Single 32-bit, 33-MHz PCI
PIX 525 - Occupa 2 Rack Unit, ha 3 slot PCI espandibili e supporta il failover.
Ha 2 interfacce fast-ethernet che possono arrivare a 10, oppure avere 3 gigabit ethernet, tramite schede aggiuntive.
Cleartext throughput: 330 Mbps
Concurrent connections: 280,000
168-bit 3DES IPsec VPN throughput: Up to 155 Mbps with VAC+ or 72 Mbps with VAC
128-bit AES IPsec VPN throughput: Up to 165 Mbps with VAC+
256-bit AES IPsec VPN throughput: Up to 170 Mbps with VAC+
Simultaneous VPN tunnels: 2000
Processor: 600-MHz Intel Pentium III Processor
Random access memory: 128 MB or 256 MB of SDRAM
Flash memory: 16 MB
Cache: 256 KB level 2 at 600 MHz
System bus: Single 32-bit, 33-MHz PCI
PIX 535 - Occupa 3 Rack Unit, ha 4+5 slot PCI espandibili e supporta il failover.
Ha 2 interfacce fast-ethernet a cui si possono aggiungere quelle (fast-ethernet e gigabit ethernet) dei moduli PCI aggiuntivi.
Cleartext throughput: 1.7 Gbps
Concurrent connections: 500,000
168-bit 3DES IPsec VPN throughput: Up to 440 Mbps with VAC+ or 100 Mbps with VAC
128-bit AES IPsec VPN throughput: Up to 535 Mbps with VAC+
256-bit AES IPsec VPN throughput: Up to 440 Mbps with VAC+
Simultaneous VPN tunnels: 2000
Processor: 1-GHz Intel Pentium III Processor
Random access memory: 512 MB or 1 GB of SDRAM
Flash memory: 16 MB
Cache: 256 KB level 2 at 1-GHz
System buses: Two 64-bit, 66 MHz PCI, one 32-bit, 33-MHz PCI
I moduli aggiuntivi sono sostanzialmente schede PCI, per Pix 515 e superiori con le seguenti feature:
- Scheda fast-ethernet con 1 porta RJ45 (fuori produzione?);
- Scheda fast-ethernet con 4 porte RJ45;
- Scheda gigabit-ethernet con 1 porta in fibra SX multimodale;
- VPN Accellerator Card (VAC) per accellerazione hardware di DES e 3DES per tunnel IPSec;
- VPN Accellerator Card + (VAC+) con maggiore potenza e supporto DES, 3DES, AES.
Dalla versione 6 del Pix Firewall Operating System (PixOs, per comodità) è incluso Cisco Device Manager (PDM), uno strumento per configurare e gestire il PIX con relativa semplicità. E' sostanzialmente una applet Java, che viene eseguita sul browser ma visualizzata e scaricata via https direttamente dal Pix. Interviene sulle stesse configurazioni che si possono gestire "a mano" via CLI. Le versioni attualmente supportate sono la 2.0 (presente nel PixOS 6.2) e la 3.0 (PixOS 6.3). La 1.0 è presente in PixOS 6.0, 6.1.
Con le nuove versioni la sintassi dei comandi del PixOS tende sempre più ad essere simile a quella del normale IOS dei router Cisco (anche se rimangono due sistemi totalmente diversi).
La versioni 5.x (da 5.0 a 5.3) e in misura minore 4.x (da 4.0 a 4.5) sono ancora utilizzate, hanno tendenzialmente meno features delle versioni recenti, possono non supportare i nuovi hardware e avere bug, poi corretti, di varia natura.
Nuove versioni del PixOs vengono rilasciate in numero relativamente limitato, non esiste l'intricata ragnatela di versioni diverso come per lo IOS e una ogni versione resa pubblica va considerata una "General Deployment" (pronta per ambienti di produzione). Le più recente prevedono meccanismi di autoaggiornamento.
Il costo del PixOS è incluso nel prezzo dell'hardware, ma alcune funzionalità richiedono l'acquisto di licenze software aggiuntive (attivabili con adeguate activation keys che di fatto agiscono su una immagine del PixOs comune).
Alla versione base, restricted (R), con supporto DES di un limitato numero di utenti contemporanei, si aggiungono versioni unrestricted (UR) senza limiti software sul numero massimo di connessioni, failover (FO), con supporto del failover automatico (è necessaria una coppia di Pix uguali).
Per il supporto di 3DES e AES è inoltre richesta una licenza aggiuntiva, a parte.
Cisco offre anche i Firewall Services Modules che implementano, come moduli aggiuntivi le funzionalità di firewalling del PixOs su switch Catalyst 6500 e router Cisco 7600.
A parte i Pix più antichi, le versioni recentemente dismesse, ma che è ancora comune trovare in produzioni, sono:
Pix 520 (sostituito dal 525, smesso di essere venduto dal 23 Giugno 2001, è stato l'ultimo ad avere il tradizionale ed inconfondibile floppy disk);
Pix 515 (sostituito dal 515E, End Of Sale (EOS): 24 Maggio 2002);
Pix 506 (sostituito dal 506E, End Of Sale (EOS): 24 Maggio 2002).
Tecniche, configurazioni, logica e funzionamento dei firewall Cisco PIX
PIX 501
ciao a tutti,
premetto che è la prima volta che vedo un pix 501.
1- Non riesco ad attivare le porte ethernet oltre alla inside ed outside
2- come si attiva accesso http per la configurazione?
grazie mille a tutti
PIX 515E TAGLIA BANDA
da cosa può dipendere che nella porta di ingresso del pix 515e ho 24 Mbps e in uscita sulla seconda scheda quella sulla rete interna ne ho appena 2 Mbps?
Rispondicisco 501
configurazione minima ?
RispondiAiuto conf Pix
Ciao a tutti, vorrei chiedere un consiglio per la configurazione di un pix501:
Rispondicisco pix
è possibile configurare più vpn su un cisco pix 515e?
Rispondiweb server non visibile da lan interna
sulla DMZ del pix e' attestato un server web perfettamente visibile dall'esterno tramite il sup IP pubblico ma NON viene visto dalla rete interna ...why?
Rispondire: cisco pix
Devi fare un nat 1 a 1. Per qualche info: http://openskills.info/infobox.php?ID=802
(devi usare il comando static e aprire le acl del caso)
Cisco pix 506
Come faccio a mappare un server di posta e uno web interni in modo che siano accessibili dall'esterno?
grazie
CONFIGURAZIONE CISCO PIX 501
se configuro il mio pix 501 con ip statico nella configurazione outbound non riesco a navigare su internet mentre se abilito il dhcp funziona correttamente....da cosa può dipendere grazie
RispondiLinee ADSL
E' possibile allocare su un'unico firewall più accessi xdsl e programmarlo per gestire la caduta della linea primaria andando ad impegnarne un'altra?
Rispondire: memoria
QUi puoi orvare qualche info utile: http://openskills.info/infobox.php?ID=809
Rispondioccupazione memoria
Abbiamo un pix 515 Ultimamente si alloca parecchia memoria, normalmente sono occupati circa 20Mb quando sale a 30 iniziano a decadere le prestazioni, con il comando clear xlate la situazione si normalizza per un pò ma poi riprende a salire, da cosa può dipendere. Grazie
Rispondiaggiornamento pdm su pix
dovrei aggiornare il pdm sul pix in quanto va in conflitto con java, c'è qualcuno che potrebbe aiutarmi?
RispondiAiuto conf Pix
Ciao a tutti, vorrei chiedere un condiglio per la configurazione di un pix501:
avrei la necessità di accedere dall'esterno mediante prot. http a una macchina che si trova all'interno della rete locale ma solo sulla porta 3000. Chi mi può aiutare a risolvere questo problema?
Grazie.
Gioter
dove lo trovo il PDM (PIX Device Manager)
non riesco a scaricare il software PDM (PIX Device Manager). ho provato sul sito della cisco, mi sono registrato correttamente ma non me lo fa scaricare. mi sapete dire dove lo posso trovare? ciao e grazie
RispondiCosto Cisco PIX
Buon di a tutti,
Mi sapete indicare i prezzi di un PIX 515E e di un 525 perchè non riesco a trovare un listino completo.
Grazie
Agiornamento PDM Cisco
Vorrei sapere come aggiornare il pdm cisco da 3.1 a 3.2
Grazie a chi losa
pix 501 transparent mode
Rispondipix 501 - pdm
Ciao! Prova qui http://www.cisco.com/en/US/products/sw/netmgtsw/ps2032/index.html
Rispondipix 501
Ciao dove posso trovare materiale per configurare il pix in oggetto con il pdm