Una breve historia del firewall Cisco PIX / Sudo Null IT News

Hoy diremos algunas palabras sobre otro caballo de batalla de la ingeniería de redes. Un dispositivo que destaca no sólo por su funcionalidad, sino también por su producción en masa. Económico, práctico e ideal para las necesidades del segmento de las PYMES en la segunda mitad de 1990 y principios de 2000.

Así, como se afirma en WikipediaCisco PIX (Private Internet eXchange) fue uno de los primeros en su segmento, un popular firewall con la capacidad de traducir direcciones de red (NAT/PAT).

La aparición del firewall PIX se la debemos a una pequeña empresa llamada Network Translation Inc. (en adelante NTI), que lanzó la primera versión del dispositivo para ocultar redes privadas en 1994. En realidad, fue fundada en 1994 y el software fue escrito por una sola persona, Brantley Cole. Como describieron más tarde los participantes en los eventos, esta hazaña se inspiró en el deseo de crear un análogo de una PBX de oficina (PBX – Private Branch eXchange), que permitiera a los suscriptores internos acceder a la red telefónica pública.

El sistema operativo PIX OS proporcionó funcionalidad de firewall en la Capa 4 del modelo OSI, con inspección de estado a través de un tipo especial de reglas (conductos). PIX OS incluía soporte para ACL con nombre, NAT (sí, solo NAT) y el primer soporte para filtrado de paquetes específicos de protocolo (ftp, dns, smtp, etc.). Todo esto, a pesar de su corta edad, dio a NTI una posición de liderazgo en el sector; la revista especializada Data Communications incluso concedió a PIX un premio en enero de 1995.”Producto novedoso del año“:

Se utilizó el x86 normal como plataforma de hardware. Como se suponía que sería un dispositivo especializado para realizar NAT de una red privada al exterior, tenía sólo dos interfaces de red, exterior e interior, con niveles de seguridad de 0 y 100, respectivamente. Antes de PIX 5.2, no era posible cambiar los nombres de las interfaces.

En general, si profundizamos un poco más en el tema, aunque hubo varias publicaciones en publicaciones especializadas, por primera vez la necesidad de resaltar bloques de direcciones separados para redes privadas no se documentó hasta marzo de 1994 (http://www.ietf.org/rfc/rfc1597.txt), y el principio de traducción de direcciones de red se solucionó en mayo de 1994 (http://www.ietf.org/rfc/rfc1631.txt). De modo que NTI estaba realmente a la vanguardia del progreso científico y tecnológico.

En 1995 ocurrió una historia bastante turbia, a raíz de la cual NTI, que en ese momento sólo llevaba un año de existencia y que, de hecho, había creado un nuevo segmento de mercado, fue comprado por Cisco. Las abreviaturas NTI y PIX OS ya no se utilizan en nuestra historia y dos nuevos dispositivos están entrando en escena: el equilibrador de carga Cisco LocalDirector y el Cisco PIX Firewall. Ambos heredan la mayor parte del código de PIX OS, pero la versión de PIX se llamó Finesse OS (aunque a los viejos no les importa, continúan llamando a todo el software de firewall de Cisco PIX OS). El código seguía siendo el mismo. Brantley Cole copilotos.

Aunque LocalDirector estaba un año por delante de sus competidores, F5 e HydraWeb, que inmediatamente captaron una gran parte del mercado y existieron hasta 2004, hablaremos de ello en otro momento.

Después de la transición a Cisco, se lanzó la primera versión de software con el número 2.5, luego de un corto tiempo 3.1, y luego las versiones 4.x, 4.1, 2, 3 y 4.4, después de lo cual hubo una larga pausa. La base de clientes aumentó y las ventas crecieron rápidamente. ¿Por qué mejorar algo que ya es perfecto?

Y así, él sube al escenario. PIX Firewall clásico. Todo sigue igual que antes y como será en el futuro, en la plataforma x86. Para separar los segmentos de mercado, había un límite de software en el número de sesiones TCP simultáneas: 32, 256, 1024, 4096, 16384. Se admitían tarjetas de red BaseT Ethernet de 10/100 Mbps y Token Ring de 4/16 Mbps. La altura de la carcasa se determinó mediante el uso de una CPU Pentium II. Ranura 1.

Luego se lanzó el modelo PIX 10000, y luego el PIX 510 y el PIX 520 (Aquí: Rutube/YouTube puedes mirar su mundo interior). Todos ellos utilizaban una unidad de disco normal de 3,5″ con una capacidad de 1,44 MB para almacenar y ejecutar el software del sistema. En consecuencia, el proceso de actualización del software consistía en reemplazar un disquete por otro y luego reiniciar la caja. También había incorporado Memoria flash para almacenar la configuración, inicialmente con una capacidad de 256 KB, posteriormente se incrementó paulatinamente hasta 512Kb, 2Mb, 8Mb y finalmente 16Mb.

Configurar el dispositivo no fue la tarea más fácil. Para permitir el tráfico entrante, reglas como conductospara restringir la regla de tipo saliente salienteque podría tener excepciones usando las declaraciones excepto. También hubo ACL que fueron utilizadas por el equipo. aplicar.

Por ejemplo, para permitir el tráfico SMTP externo desde el host 10.10.25.10 al servidor 192.168.1.49 ubicado dentro de la red, escribimos:

$ static -a 10.10.26.147 192.168.1.49 secure
$ conduit 10.10.26.147 tcp:10.10.25.10/32-25

Y así fue como se logró prohibir a los usuarios internos acudir a una dirección IP específica:

$ access_list 12 deny 192.168.146.201 255.255.255.255 80
$ access_list 12 deny 192.168.146.202 255.255.255.255 80
$ apply 12 outgoing_dest

Todo iba bien hasta el lanzamiento de Finesse OS 5.0, que ya no cabe en un disquete. Por supuesto, se inventó una solución: el cargador de arranque se cargaba desde el disquete y el sistema operativo se descargaba a través de la red mediante tftp, pero esto ya no era pan comido. Aunque la idea de descargar vía tftp se consideró exitosa y se implementó el mismo mecanismo para IOS. Por si acaso.

Hay que decir que PIX admitía VPN incluso antes de que tomara forma el estándar IPSec. Está claro que la compatibilidad en este caso era limitada y la configuración parecía especificar la dirección de un host remoto y una clave previamente compartida. Bueno, el cifrado requería una tarjeta separada y solo se admitía DES. Esta tecnología se llamaba PrivateLink y PIX podía comunicarse, además de otro PIX, con LocalDirector y versiones anteriores de IOS. Más tarde se lanzó PrivateLink-2, que ya conocía 3DES y las velocidades eran el doble.

Como es habitual, las limitaciones de la plataforma a veces daban lugar a monstruos. Para superar las escasas capacidades de PIX para enrutar el tráfico y admitir otros tipos de interfaces, durante algún tiempo se ofreció un producto Enrutador AccessProque ocupaba un par de ranuras ISA (debido a su tamaño) y era un enrutador 2500 con IOS 10.0 a bordo. Se accedió a su consola mediante el comando “sesión”. Al igual que con la descarga a través de tftp, a todos les gustó tanto el enfoque que Cisco todavía utiliza el cruce de un erizo y una serpiente usando entrepisos (enrutador Cisco 1861, Firepower, etc.).

PIX Firewall Software v5.2 fue la versión final 5. Agregó soporte DHCP como cliente y servidor, herramientas básicas de detección de intrusos (53 firmas predefinidas), soporte SSH, RADIUS y, en mi opinión, lo más importante, soporte. PALMADITA.

¡Pero! Llegó agosto de 2001 y se lanzó Cisco PIX Firewall versión 6.0(1). Como habrás notado, el nombre Finesse OS también quedó enterrado.

Al igual que la alineación ha cambiado. Los modelos antiguos fueron reemplazados por PIX 506, 515, 525 (procesador Intel Pentium III de 600 MHz, hasta 256 MB de RAM) y 535 (procesador Intel Pentium III de 1 GHz, hasta 1 GB de RAM). Los modelos 506 y 515 fueron rápidamente reemplazados por los mismos, solo que con una CPU más rápida y con la letra E en el nombre. Las carcasas se unificaron con los modelos de las series 2600 y 3600. Decidieron quitar las unidades y dejar el Flash propietario de 16 MB.

Para utilizar la versión 6.0, PIX Firewall debe tener al menos 32 MB de RAM y 16 MB de Flash. El modelo PIX 506 tenía sólo 8 MB de memoria, pero se le permitió funcionar con la versión 6.0(1). Como el modelo PIX 501 que apareció un poco más tarde, ¡mira qué bonito es! Por cierto, ¿sabías que de esta pequeña surgió el módulo FWSM? Los desarrolladores de Dashing exportaron el código base PIX 501 al iniciar el desarrollo de FWSM (FWSM versión 1.1.1, WS-SVC-FWM-1, 1024 MB de RAM, CPU Pentium III 1000 MHz).

Además de simplificar la configuración (pero dejar los conductos por ahora) y ampliar la funcionalidad, Cisco PIX Device Manager (PDM) se introdujo por primera vez como una forma gráfica individual de administrar el firewall. A partir de este momento, el proceso de configuración del hardware salió de la categoría 18+ para la mayoría de los casos de uso.

Hasta la versión 6.2, no sucedió nada particularmente interesante, pero en 6.2 estábamos encantados de ver la conmutación por error basada en LAN, la traducción bidireccional de direcciones de red (NAT) y la captura de paquetes. Sí, antes de esto no había nada con qué depurar el tráfico. Aunque hubo paquete de depuración, pero no es lo mismo en absoluto.

En 2005, se lanzó la versión 7.0 del software Cisco PIX Security Appliance, compatible con los dispositivos PIX 515/515E, 525, 535 y la novedosa serie ASA.

Y en esta versión, PIX OS prácticamente adquirió la forma en que existe ahora (pero NAT se volvió aceptable para la psique humana solo en la versión 8, ya en ASA).

La compatibilidad con VPN Client, AnyConnect, VPN de sitio a sitio, compatibilidad con contextos, Adaptive Security Device Manager (ASDM) y un generador de claves disponible para todos hicieron de estos dispositivos uno de los firewalls más populares en el campo de las tecnologías de red. .

Y el 28 de enero de 2008, Cisco anunció las fechas de fin de venta y de vida útil de los dispositivos de seguridad Cisco PIX 500. Las ventas finalizaron en julio de 2008 y el soporte en julio de 2013.

Sí, había mejores cortafuegos. Está claro que el mismo CheckPoint versión 6.0 era completamente superior en capacidades a PIX. Pero en general, todavía no se le había encontrado igual. MSE de sucursales de grandes empresas y bancos, separación de redes con plataformas comerciales e intercambios, pequeñas empresas: sí, había muchos PIX por todas partes.

Por cierto, incluso hubo un proyecto Franken-PIX, donde los entusiastas hicieron una foto a partir de un coño normal. Por lo general, todo terminaba con la ausencia de un ISA Flash de 16 MB, ya que no se vendió, sino que solo estaba disponible para los propietarios del propio PIX, lo que hizo que la idea fuera un poco inútil.

Personalmente, no hice nada antinatural con el PIX, pero en el ASA 5520/5540 cambié la CPU de Celeron a un Pentium IV completo con hypertreading, logrando mayores temperaturas y rendimiento.

A continuación se muestra una fotografía tomada con un dedo del laboratorio de mi casa en 2011, y el primer lugar de honor en esta pirámide lo ocupa PIX 501.

Bueno eso es todo por ahora, estoy cansado de escribir algo. Como siempre, enlace a mi canalNo vendo nada y de vez en cuando soy grafómano.