Sunteți pe pagina 1din 19

Seguridad de la red

Diseño del plan de seguridad de la información


Fase 2 – Firewall común en router Cisco

GRUPO “MiNdWiDe”
JUAN ALEJANDRO BEDOYA
JOSE DE ARLEX DOMINGUEZ
NEIFER ERNEY GIRALDO
JHON FREDY HERRERA
YOJAN LEANDRO USME

ADMINISTRACION DE REDES INFORMATICAS

Mauricio Ortiz

CENTRO DE SERVICIO Y GESTION EMPRESARIAL


SENA (MEDELLIN)
2010
Mind Wide Open™
BLOG – http://jfherrera.wordpress.com
Seguridad de la red | Diseño del plan de seguridad de la información
GROUP | “???”

INDICE

Introducción ......................................................................................................................... 3
Objetivo ............................................................................................................................... 4
Tabla de direccionamiento .................................................................................................... 6
Realización de la configuración básica en los dispositivos ........................................................................ 7
En R1...................................................................................................................................................... 7
En R2...................................................................................................................................................... 8
Configuración del direccionamiento planteado en la tabla de direccionamiento..................................... 9
En R1...................................................................................................................................................... 9
En R2...................................................................................................................................................... 9
Configuración PPP con autenticación CHAP ............................................................................................ 10
En R1.................................................................................................................................................... 10
En R2.................................................................................................................................................... 10
Rutas estáticas para la internetwork ....................................................................................................... 10
En R1.................................................................................................................................................... 10
En R2.................................................................................................................................................... 10
Tabla de enrutamiento de R1 .............................................................................................................. 11
Tabla de enrutamiento de R2 .............................................................................................................. 11
Show interface s0/0............................................................................................................................. 12
Permitir la salida de todos los host de la LAN .......................................................................................... 13
EN R1 (router de frontera) .................................................................................................................. 13
Show ip nat translations ...................................................................................................................... 13
Configurando Firewall en R1 (router de frontera) ................................................................................... 14
Descripción .......................................................................................................................................... 14
Regla 1 ..................................................................................................................................................... 15
En R1 (router frontera) ........................................................................................................................ 15
Regla 2 ..................................................................................................................................................... 16
En r1 (router frontera) ......................................................................................................................... 16
Regla 3 ..................................................................................................................................................... 17
En R1.................................................................................................................................................... 17

Conclusiones....................................................................................................................... 18
Bibliografía ......................................................................................................................... 18

MiNdWiDe - Group 2
Mind Wide Open™
BLOG – http://jfherrera.wordpress.com
Seguridad de la red | Diseño del plan de seguridad de la información
GROUP | “???”

Introducción

La seguridad en las redes de datos de las compañías se ha vuelto un elemento muy importante
para la realización de las tareas cotidianas, ya que cada vez manejamos información sensible para
nosotros y por ello necesitamos confidencialidad y privacidad. Por eso muchas veces escuchamos
hablar de firewalls.

Un muro de fuego (firewall en inglés) es una parte de un sistema o una red que está diseñada para
bloquear el acceso no autorizado, permitiendo al mismo tiempo comunicaciones autorizadas. Se
trata de un dispositivo o conjunto de dispositivos configurados para permitir, limitar, cifrar,
descifrar, las características de cifrado y descifrado se permiten en un firewall agregando
funcionalidades al mismo convirtiéndose así en una solución más robusta y efectiva. Esta serie de
atributos o comportamientos se aplican al tráfico tanto entrante como saliente entre los
diferentes ámbitos sobre la base de un conjunto de normas y otros criterios.

MiNdWiDe - Group 3
Mind Wide Open™
BLOG – http://jfherrera.wordpress.com
Seguridad de la red | Diseño del plan de seguridad de la información
GROUP | “???”

Objetivo

Realizar la implementación de un firewall básico en dispositivos cisco, lo realizaremos con un


router Cisco 3940. Para llevar a cabo esta tarea nos apoyaremos en el emulador de IOS GNS3 –
Dynamics y Vmware Workstation, el cual no permitirá realizar dicha tarea. Y así obtener un
conocimiento sobre cómo realizar dicha implementación.

MiNdWiDe - Group 4
Mind Wide Open™
BLOG – http://jfherrera.wordpress.com
Seguridad de la red | Diseño del plan de seguridad de la información
GROUP | “???”

Tabla de direccionamiento

Mascara de Gateway
Dispositivo Interfaz Direccion IP
subred predeterminada
S0/0 208.67.222.1 255.255.255.252 NO APLICABLE
R1
Fa1/0 172.16.100.254 255.255.255.0 NO APLICABLE
S0/0 208.67.222.2 255.255.255.252 NO APLICABLE
R2
Fa1/0 10.10.0.254 255.255.255.0 NO APLICABLE
SVR-HTTP-SSH-
NIC 172.16.100.253 255.255.255.0 172.16.100.254
01
SVR-FTP-SSH-01 NIC 172.16.100.252 255.255.255.0 172.16.100.254

MiNdWiDe - Group 6
Mind Wide Open™
BLOG – http://jfherrera.wordpress.com
Seguridad de la red | Diseño del plan de seguridad de la información
GROUP | “???”

Realización de la configuración básica en los dispositivos

En R1

enable
configure t
line console 0
logging synchronous
exec-timeout 0 0
history size 30
password cisco
login
exit
line vty 0 4
password cisco
login
logging synchronous
exec-timeout 0 0
history size 30
exit
enable secret class
banner motd &
!!!! SOLO PERSONAL AUTORIZADO !!!!
&
hostname R1
end
cop r s

MiNdWiDe - Group 7
Mind Wide Open™
BLOG – http://jfherrera.wordpress.com
Seguridad de la red | Diseño del plan de seguridad de la información
GROUP | “???”

En R2
enable
configure t
line console 0
logging synchronous
exec-timeout 0 0
history size 30
password cisco
login
exit
line vty 0 4
password cisco
login
logging synchronous
exec-timeout 0 0
history size 30
exit
enable secret class
banner motd &
!!!! SOLO PERSONAL AUTORIZADO !!!!
&
hostname R2
end
cop r s

MiNdWiDe - Group 8
Mind Wide Open™
BLOG – http://jfherrera.wordpress.com
Seguridad de la red | Diseño del plan de seguridad de la información
GROUP | “???”

Configuración del direccionamiento planteado en la tabla de direccionamiento

En R1

R1(config)#interface s0/0
R1(config-if)#ip address 208.67.222.1 255.255.255.252
R1(config-if)#no shutdown
R1(config-if)#clock rate 64000
R1(config-if)#description LINK TO R2
R1(config-if)#exit

R1(config)#interface fa1/0
R1(config-if)#ip address 172.16.100.254 255.255.255.0
R1(config-if)#no shutdown
R1(config-if)#description LAN_LOCAL
R1(config-if)#exit

En R2

R2(config)#interface s0/0
R2(config-if)#ip address 208.67.222.2 255.255.255.252
R2(config-if)#no shutdown
R1(config-if)#description LINK TO R2
R2(config-if)#exit

R2(config)#interface fa1/0
R2(config-if)#ip address 10.10.0.254 255.255.255.0
R1(config-if)#no shutdown
R2(config-if)#description LAN_LOCAL
R2(config-if)#exit

MiNdWiDe - Group 9
Mind Wide Open™
BLOG – http://jfherrera.wordpress.com
Seguridad de la red | Diseño del plan de seguridad de la información
GROUP | “???”

Configuración PPP con autenticación CHAP

En R1

R1(config)#interface s0/0
R1(config-if)#encapsulation ppp
R1(config-if)#ppp authentication chap
R1(config-if)#ppp chap password cisco123
R1(config-if)#exit
R1(config)#username R2 password cisco123

En R2

R2(config)#interface s0/0
R2(config-if)#encapsulation ppp
R2(config-if)#ppp authentication chap
R2(config-if)#ppp chap password cisco123
R2(config-if)#exit
R2(config)#username R1 password cisco123

Rutas estáticas para la internetwork

En R1

R1(config)#ip route 0.0.0.0 0.0.0.0 s0/0

En R2

R2(config)#ip route 172.16.100.0 255.255.255.0 s0/0


R2(config)#ip route 198.0.0.0 255.255.255.252 s0/0

Nota: se debe especificar la ruta 198.0.0.0/30 en la tabla de enrutamiento de R2 ya que todo


origen proveniente de la red privada 172.16.100.0/24 será enmascarado con el rango de ips
globales especificadas en el router R1.

MiNdWiDe - Group 10
Mind Wide Open™
BLOG – http://jfherrera.wordpress.com
Seguridad de la red | Diseño del plan de seguridad de la información
GROUP | “???”

Tabla de enrutamiento de R1

Tabla de enrutamiento de R2

MiNdWiDe - Group 11
Mind Wide Open™
BLOG – http://jfherrera.wordpress.com
Seguridad de la red | Diseño del plan de seguridad de la información
GROUP | “???”

Show interface s0/0


R2#show interfaces s0/0
Serial0/0 is up, line protocol is up
Hardware is M4T
Description: LINK TO R1
Internet address is 208.67.222.2/30
MTU 1500 bytes, BW 1544 Kbit, DLY 20000 usec,
reliability 255/255, txload 1/255, rxload 1/255
Encapsulation PPP, crc 16, loopback not set
Keepalive set (10 sec)
Restart-Delay is 0 secs
LCP Open
Open: IPCP, CDPCP
Last input 00:00:03, output 00:00:03, output hang never
Last clearing of "show interface" counters 00:15:37
Input queue: 0/75/0/0 (size/max/drops/flushes); Total output drops: 0
Queueing strategy: weighted fair
Output queue: 0/1000/64/0 (size/max total/threshold/drops)
Conversations 0/1/256 (active/max active/max total)
Reserved Conversations 0/0 (allocated/max allocated)
5 minute input rate 0 bits/sec, 0 packets/sec
5 minute output rate 0 bits/sec, 0 packets/sec
220 packets input, 10171 bytes, 0 no buffer
Received 0 broadcasts, 0 runts, 0 giants, 0 throttles
0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored, 0 abort
217 packets output, 10600 bytes, 0 underruns
0 output errors, 0 collisions, 0 interface resets
0 output buffer failures, 0 output buffers swapped out
0 carrier transitions DCD=up DSR=up DTR=up RTS=up CTS=up

MiNdWiDe - Group 12
Mind Wide Open™
BLOG – http://jfherrera.wordpress.com
Seguridad de la red | Diseño del plan de seguridad de la información
GROUP | “???”

Permitir la salida de todos los host de la LAN

EN R1 (router de frontera)

R1(config)#ip access-list standard ACL_CLIENTES


R1(config-std-nacl)#permit 172.16.100.0 0.0.0.255
R1(config-std-nacl)#deny any

R1(config)#ip nat pool POOL_GLOBAL 198.0.0.1 198.0.0.2 netmask 255.255.255.252

R1(config)#ip nat inside source list ACL_CLIENTES pool POOL_GLOBAL overload

R1(config)#interface s0/0
R1(config-if)#ip nat outside
R1(config-if)#exit
R1(config)#interface f1/0
R1(config-if)#ip nat inside

Show ip nat translations


R1#show ip nat translations
Pro Inside global Inside local Outside local Outside global
icmp 198.0.0.1:4900 172.16.100.254:4900 208.67.222.2:4900 208.67.222.2:4900
icmp 198.0.0.1:4901 172.16.100.254:4901 208.67.222.2:4901 208.67.222.2:4901
icmp 198.0.0.1:4902 172.16.100.254:4902 208.67.222.2:4902 208.67.222.2:4902
icmp 198.0.0.1:4903 172.16.100.254:4903 208.67.222.2:4903 208.67.222.2:4903
icmp 198.0.0.1:4904 172.16.100.254:4904 208.67.222.2:4904 208.67.222.2:4904

MiNdWiDe - Group 13
Mind Wide Open™
BLOG – http://jfherrera.wordpress.com
Seguridad de la red | Diseño del plan de seguridad de la información
GROUP | “???”

Configurando Firewall en R1 (router de frontera)

Descripción
La LAN_LOCAL tiene publicado para el exterior los siguientes servicios de red:

 FTP.
 HTTP.
 SSH.

El servidor de nombre SVR-FTP-SSH-01 ejecuta los servicios de FTP y SSH sobre la plataforma Linux
(CentOS 5.4), con una dirección IPv4 172.16.100.252/24.

El servidor de nombre SVR-HTTP-SSH-01 ejecuta los servicios de HTTP y SSH sobre la plataforma
Linux (CentOS 5.4), con una dirección IPv4 172.16.100.253/24.

Teniendo esto claro procederemos a configurar nuestras políticas.

MiNdWiDe - Group 14
Mind Wide Open™
BLOG – http://jfherrera.wordpress.com
Seguridad de la red | Diseño del plan de seguridad de la información
GROUP | “???”

Regla 1

Permitir que solo los host de la LAN_LOCAL puedan tener acceso a internet y no otra red.

En R1 (router frontera)

R1(config)#ip access-list extended LAN_LOCAL


R1(config-ext-nacl)#permit ip 172.16.100.0 0.0.0.255 any log
R1(config-ext-nacl)#deny ip any any log
R1(config-ext-nacl)#exit

R1(config)#interface fa1/0
R1(config-if)#ip access-group LAN_LOCAL in

Nota: bueno el comando al final log es muy útil ya que si por algún motivo queremos o tenemos
montado un servidor de syslog en nuestra red, podemos hacerle un seguimiento a las políticas
implementadas en los routers de una forma centralizada y por supuesto cómoda.

R1#
01:20:09: %SEC-6-IPACCESSLOGP: list LAN_LOCAL denied udp 192.168.10.48(0) -> 192
.168.10.255(0), 2 packets

MiNdWiDe - Group 15
Mind Wide Open™
BLOG – http://jfherrera.wordpress.com
Seguridad de la red | Diseño del plan de seguridad de la información
GROUP | “???”

Regla 2

Publicación de los servicios de red para poder acceder desde Internet.

En r1 (router frontera)

R1(config)#ip nat inside source static tcp 172.16.100.252 21 interface s0/0 21


R1(config)#ip nat inside source static tcp 172.16.100.252 20 interface s0/0 20
R1(config)#ip nat inside source static tcp 172.16.100.252 22 interface s0/0 22

R1(config)#ip nat inside source static tcp 172.16.100.253 80 interface s0/0 80


R1(config)#ip nat inside source static tcp 172.16.100.253 222 interface s0/0 222

Nota: Bueno en esta pequeña sección definimos o mejor publicamos a internet los servicios de
nuestra LAN_LOCAL como lo especificamos anteriormente FTP, HTTP y SSH.

Adicionalmente modificamos uno de los puertos en SVR-HTTP-SSH-01 ya que el puerto 22 ya es


utilizado por SVR-FTP-SSH-01 entonces tuvimos que poner a escuchar a el demonio de SSH en el
puerto 222 (Esto para poder diferenciar el trafico de SSH entre los dos servidores de SSH).

MiNdWiDe - Group 16
Mind Wide Open™
BLOG – http://jfherrera.wordpress.com
Seguridad de la red | Diseño del plan de seguridad de la información
GROUP | “???”

Regla 3

Ahora que ya hemos publicado los servicios procederemos a permitir conexiones desde internet
solo esos servicios.

En R1

R1(config)#ip access-list extended SERVICIOS_LAN


R1(config-ext-nacl)#permit tcp any host 208.67.222.1 eq 80 log
R1(config-ext-nacl)#permit tcp any host 208.67.222.1 eq 21 log
R1(config-ext-nacl)#permit tcp any host 208.67.222.1 eq 22 log
R1(config-ext-nacl)#permit tcp any host 208.67.222.1 eq 222 log
R1(config-ext-nacl)#permit tcp any 172.16.100.0 0.0.0.255 established log
R1(config-ext-nacl)#deny icmp any any log
R1(config-ext-nacl)#deny ip any any log
R1(config)#interface s0/0
R1(config-if)#ip access-group SERVICIOS_LAN in

Nota: Con estas reglas finales estaremos primero que todo definiendo el acceso a los servicios que
hemos publicado, y denegamos todo otro tipo de tráfico que se intente establecer desde el
internet.

MiNdWiDe - Group 17
Mind Wide Open™
BLOG – http://jfherrera.wordpress.com
Seguridad de la red | Diseño del plan de seguridad de la información
GROUP | “???”

Conclusiones

Su implementación es fácil de realizar ya que dispone de muchas fuentes de información tanto de


la página del fabricante como de comunidades dedicadas a soluciones cisco.

Flexibilidad a la hora de crear un entorno de prueba ya que hay herramientas que permiten la
simulación de este tipo de soluciones.

Este tipo de implementaciones requieren de gastos significativos para una entidad.

Bibliografía

http://www.cisco.com/en/US/products/sw/secursw/ps1018/products_tech_note09186a00800a5
b9a.shtml

http://www.cisco.com/en/US/tech/tk713/tk507/technologies_configuration_example09186a0080
094333.shtml

http://www.cisco.com/en/US/tech/tk648/tk361/technologies_q_and_a_item09186a00800e523b.
shtml

http://www.gns3.net/

MiNdWiDe - Group 18
Mind Wide Open™
BLOG – http://jfherrera.wordpress.com
Seguridad de la red | Diseño del plan de seguridad de la información
GROUP | “???”

Gracias…
Juan Alejandro Bedoya

Jose De Arlex Dominguez

Neifer Erney Giraldo

Jhon Fredy Herrera

Yojan Leandro Usme

MiNdWiDe - Group 19

S-ar putea să vă placă și

  • Nero 7 Lite
    Nero 7 Lite
    Document10 pagini
    Nero 7 Lite
    Jh0n Fredy H
    Încă nu există evaluări
  • Documento Redes Sociales Baja
    Documento Redes Sociales Baja
    Document16 pagini
    Documento Redes Sociales Baja
    cdperiodismo
    Încă nu există evaluări
  • Catalyst 2960s With Routing Features
    Catalyst 2960s With Routing Features
    Document4 pagini
    Catalyst 2960s With Routing Features
    Jh0n Fredy H
    Încă nu există evaluări
  • Documento Guia para Padres Eset Baja
    Documento Guia para Padres Eset Baja
    Document16 pagini
    Documento Guia para Padres Eset Baja
    Jh0n Fredy H
    Încă nu există evaluări
  • ISA Server Block Itunes
    ISA Server Block Itunes
    Document6 pagini
    ISA Server Block Itunes
    Jh0n Fredy H
    Încă nu există evaluări
  • Isa 1
    Isa 1
    Document27 pagini
    Isa 1
    Jh0n Fredy H
    Încă nu există evaluări
  • Securizacion de Navegadores PDF
    Securizacion de Navegadores PDF
    Document31 pagini
    Securizacion de Navegadores PDF
    ovniamc
    Încă nu există evaluări
  • Table of Contents
    Table of Contents
    Document10 pagini
    Table of Contents
    Jh0n Fredy H
    Încă nu există evaluări
  • Auto 2 V Final
    Auto 2 V Final
    Document97 pagini
    Auto 2 V Final
    Jh0n Fredy H
    Încă nu există evaluări
  • Isa 1 2
    Isa 1 2
    Document51 pagini
    Isa 1 2
    Jh0n Fredy H
    Încă nu există evaluări
  • Firma Hotmail
    Firma Hotmail
    Document4 pagini
    Firma Hotmail
    Jh0n Fredy H
    Încă nu există evaluări
  • ADSL ST510 Firewall
    ADSL ST510 Firewall
    Document21 pagini
    ADSL ST510 Firewall
    Jh0n Fredy H
    Încă nu există evaluări
  • FTP Ios Cisco
    FTP Ios Cisco
    Document6 pagini
    FTP Ios Cisco
    Jh0n Fredy H
    Încă nu există evaluări
  • ISA Server Block Gtalk
    ISA Server Block Gtalk
    Document15 pagini
    ISA Server Block Gtalk
    Jh0n Fredy H
    Încă nu există evaluări
  • Manual Trucos y Secretos para Windows 7
    Manual Trucos y Secretos para Windows 7
    Document431 pagini
    Manual Trucos y Secretos para Windows 7
    Maria Luisa Gutierrez
    80% (5)
  • ISA Proxy Parte 1
    ISA Proxy Parte 1
    Document51 pagini
    ISA Proxy Parte 1
    Jh0n Fredy H
    Încă nu există evaluări
  • Observium CentOS
    Observium CentOS
    Document74 pagini
    Observium CentOS
    Jh0n Fredy H
    Încă nu există evaluări
  • ISO Nero 7
    ISO Nero 7
    Document11 pagini
    ISO Nero 7
    Jh0n Fredy H
    Încă nu există evaluări
  • WPAD
    WPAD
    Document20 pagini
    WPAD
    Jh0n Fredy H
    100% (1)
  • Laboratorio PT
    Laboratorio PT
    Document12 pagini
    Laboratorio PT
    Jh0n Fredy H
    Încă nu există evaluări
  • Laboratorio B
    Laboratorio B
    Document6 pagini
    Laboratorio B
    Jh0n Fredy H
    Încă nu există evaluări
  • Rdesktop Ubuntu
    Rdesktop Ubuntu
    Document8 pagini
    Rdesktop Ubuntu
    Jh0n Fredy H
    Încă nu există evaluări
  • Lab Oratorio
    Lab Oratorio
    Document13 pagini
    Lab Oratorio
    Jh0n Fredy H
    Încă nu există evaluări
  • Wireless Ubuntu
    Wireless Ubuntu
    Document17 pagini
    Wireless Ubuntu
    Jh0n Fredy H
    Încă nu există evaluări
  • Laboratorio 2
    Laboratorio 2
    Document6 pagini
    Laboratorio 2
    Jh0n Fredy H
    Încă nu există evaluări
  • Laboratorio 2
    Laboratorio 2
    Document17 pagini
    Laboratorio 2
    Jh0n Fredy H
    Încă nu există evaluări
  • 2960S GSG Esp
    2960S GSG Esp
    Document30 pagini
    2960S GSG Esp
    Ismael Rengifo
    Încă nu există evaluări
  • Situacion 1
    Situacion 1
    Document5 pagini
    Situacion 1
    Jh0n Fredy H
    Încă nu există evaluări
  • Situacion 2
    Situacion 2
    Document12 pagini
    Situacion 2
    Jh0n Fredy H
    Încă nu există evaluări
  • Desafio PT
    Desafio PT
    Document5 pagini
    Desafio PT
    Jh0n Fredy H
    Încă nu există evaluări