Pix: la famiglia di firewall Cisco

Cisco, il maggiore produttore al mondo di router, da anni produce delle network appliance dedicate alla sicurezza: la famiglia di firewall Pix.
Tutti i modelli più recenti appartengono alla serie 500, dal più piccolo, il 501, dedicato a piccole reti o telelavoratori, al 535, per grandi e affollati network.
Sui Pix, che hanno varie parti hardware comuni a normali computer (processore Intel, schede di rete fast ethernet o gigabit ecc), gira un sistema operativo dedicato, giunto al momento alla versione 6.3, ma con ancora largo utilizzo delle versioni 5.x e 6.x.

Le feature offerte dai Pix variano a seconda del modello e della versione del sistema operativo installata, in genere quanto segue si applica almeno a Pix 505 o superiori con OS versione 6.x
- Stateful inspection firewall, con logica basata su access-list a catena e moduli per gestire protocolli quali Ftp, RTSP, H.323, SIP
- Gestione NATttin PATting (il masquerading del mondo Linux)
- Gestione tramite command line o via web tramite Pix Device Manager (integrato) e software di gestione come Cisco Works
- Supporto di VPN IpSec, PPTP, L2TP. Supporto di IKE, NAT/PAT traversing e autenticazione IpSec con shared-keys e certificati x509, criptazione DES, 3DES, AES (256 bit)
- Supporto VLAN, SNMP, e OSPF (sebbene sia improprio usare un Pix come un router)
- DHCP, telnet, NTP client e server
- Meccanismi di intrusion detection con logging remoto
- Authentication, Authorization, Accounting (AAA) con supporto TACACS+ e RADIUS

Le caratteristiche e i costi dei Pix variano parecchio.
Si riportano i dati ufficiali Cisco sulle performance (considerare che in condizioni reali il throughput effettivo è quasi sempre inferiore a quello indicato come Cleartext throughput, su questo influiscono il numero di access-list, VPN, translazioni di NAT ecc.) e sulla architettura dei sistemi (sostanzialmente basati su architettura Intel I386, con slot PC a 33 e 66 Mhz, memoria SDRAM e cache di secondo livello).

PIX 501 - Appliance con HUB di 4 porte RJ45 per piccoli uffici o telelavoratori.
Ha due porte fast-ethernet (outside e inside) per una rete pubblica ed una LAN privata.
Cleartext throughput: 60 Mbps
Concurrent connections: 7500
56-bit DES IPsec VPN throughput: 6 Mbps
168-bit 3DES IPsec VPN throughput: 3 Mbps
128-bit AES IPsec VPN throughput: 4.5 Mbps
Simultaneous VPN peers: 10 (numero massimo di SA supportate)
Processor: 133-MHz AMD SC520 Processor
Random access memory: 16 MB of SDRAM
Flash memory: 8 MB
System bus: Single 32-bit, 33-MHz PCI


PIX 506E - Maggiore throughput, senza HUB. Per piccoli uffici.
Ha due porte fast-ethernet (outside e inside) per una rete pubblica ed una LAN privata.
Cleartext throughput: 100 Mbps
Concurrent connections: 25,000
56-bit DES IPsec VPN throughput: 20 Mbps
168-bit 3DES IPsec VPN throughput: 17 Mbps
128-bit AES IPsec VPN throughput: 30 Mbps
Simultaneous VPN peers: 25
Processor: 300-MHz Intel Celeron Processor
Random access memory: 32 MB of SDRAM
Flash memory: 8 MB
Cache: 128 KB level 2 at 300 MHz
System bus: Single 32-bit, 33-MHz PCI


PIX 515E - Occupa 1 Rack Unit, ha uno slot PCI per un modulo (scheda) espandibile e supporta il failover.
Ha 2 interfacce fast-ethernet che possono arrivare a 6 tramite moduli aggiuntivi.
Cleartext throughput: 188 Mbps
Concurrent connections: 130,000
168-bit 3DES IPsec VPN throughput: Up to 140 Mbps with VAC+ or 63 Mbps with VAC
128-bit AES IPsec VPN throughput: Up to 135 Mbps with VAC+
256-bit AES IPsec VPN throughput: Up to 140 Mbps with VAC+
Simultaneous VPN tunnels: 2000
Processor: 433-MHz Intel Celeron Processor
Random access memory: 32 MB or 64 MB of SDRAM
Flash memory: 16 MB
Cache: 128 KB level 2 at 433 MHz
System bus: Single 32-bit, 33-MHz PCI


PIX 525 - Occupa 2 Rack Unit, ha 3 slot PCI espandibili e supporta il failover.
Ha 2 interfacce fast-ethernet che possono arrivare a 10, oppure avere 3 gigabit ethernet, tramite schede aggiuntive.
Cleartext throughput: 330 Mbps
Concurrent connections: 280,000
168-bit 3DES IPsec VPN throughput: Up to 155 Mbps with VAC+ or 72 Mbps with VAC
128-bit AES IPsec VPN throughput: Up to 165 Mbps with VAC+
256-bit AES IPsec VPN throughput: Up to 170 Mbps with VAC+
Simultaneous VPN tunnels: 2000
Processor: 600-MHz Intel Pentium III Processor
Random access memory: 128 MB or 256 MB of SDRAM
Flash memory: 16 MB
Cache: 256 KB level 2 at 600 MHz
System bus: Single 32-bit, 33-MHz PCI


PIX 535 - Occupa 3 Rack Unit, ha 4+5 slot PCI espandibili e supporta il failover.
Ha 2 interfacce fast-ethernet a cui si possono aggiungere quelle (fast-ethernet e gigabit ethernet) dei moduli PCI aggiuntivi.
Cleartext throughput: 1.7 Gbps
Concurrent connections: 500,000
168-bit 3DES IPsec VPN throughput: Up to 440 Mbps with VAC+ or 100 Mbps with VAC
128-bit AES IPsec VPN throughput: Up to 535 Mbps with VAC+
256-bit AES IPsec VPN throughput: Up to 440 Mbps with VAC+
Simultaneous VPN tunnels: 2000
Processor: 1-GHz Intel Pentium III Processor
Random access memory: 512 MB or 1 GB of SDRAM
Flash memory: 16 MB
Cache: 256 KB level 2 at 1-GHz
System buses: Two 64-bit, 66 MHz PCI, one 32-bit, 33-MHz PCI


I moduli aggiuntivi sono sostanzialmente schede PCI, per Pix 515 e superiori con le seguenti feature:
- Scheda fast-ethernet con 1 porta RJ45 (fuori produzione?);
- Scheda fast-ethernet con 4 porte RJ45;
- Scheda gigabit-ethernet con 1 porta in fibra SX multimodale;
- VPN Accellerator Card (VAC) per accellerazione hardware di DES e 3DES per tunnel IPSec;
- VPN Accellerator Card + (VAC+) con maggiore potenza e supporto DES, 3DES, AES.

Dalla versione 6 del Pix Firewall Operating System (PixOs, per comodità) è incluso Cisco Device Manager (PDM), uno strumento per configurare e gestire il PIX con relativa semplicità. E' sostanzialmente una applet Java, che viene eseguita sul browser ma visualizzata e scaricata via https direttamente dal Pix. Interviene sulle stesse configurazioni che si possono gestire "a mano" via CLI. Le versioni attualmente supportate sono la 2.0 (presente nel PixOS 6.2) e la 3.0 (PixOS 6.3). La 1.0 è presente in PixOS 6.0, 6.1.
Con le nuove versioni la sintassi dei comandi del PixOS tende sempre più ad essere simile a quella del normale IOS dei router Cisco (anche se rimangono due sistemi totalmente diversi).
La versioni 5.x (da 5.0 a 5.3) e in misura minore 4.x (da 4.0 a 4.5) sono ancora utilizzate, hanno tendenzialmente meno features delle versioni recenti, possono non supportare i nuovi hardware e avere bug, poi corretti, di varia natura.
Nuove versioni del PixOs vengono rilasciate in numero relativamente limitato, non esiste l'intricata ragnatela di versioni diverso come per lo IOS e una ogni versione resa pubblica va considerata una "General Deployment" (pronta per ambienti di produzione). Le più recente prevedono meccanismi di autoaggiornamento.

Il costo del PixOS è incluso nel prezzo dell'hardware, ma alcune funzionalità richiedono l'acquisto di licenze software aggiuntive (attivabili con adeguate activation keys che di fatto agiscono su una immagine del PixOs comune).
Alla versione base, restricted (R), con supporto DES di un limitato numero di utenti contemporanei, si aggiungono versioni unrestricted (UR) senza limiti software sul numero massimo di connessioni, failover (FO), con supporto del failover automatico (è necessaria una coppia di Pix uguali).
Per il supporto di 3DES e AES è inoltre richesta una licenza aggiuntiva, a parte.

Cisco offre anche i Firewall Services Modules che implementano, come moduli aggiuntivi le funzionalità di firewalling del PixOs su switch Catalyst 6500 e router Cisco 7600.

A parte i Pix più antichi, le versioni recentemente dismesse, ma che è ancora comune trovare in produzioni, sono:
Pix 520 (sostituito dal 525, smesso di essere venduto dal 23 Giugno 2001, è stato l'ultimo ad avere il tradizionale ed inconfondibile floppy disk);
Pix 515 (sostituito dal 515E, End Of Sale (EOS): 24 Maggio 2002);
Pix 506 (sostituito dal 506E, End Of Sale (EOS): 24 Maggio 2002).

Privacy Policy