Documente Academic
Documente Profesional
Documente Cultură
2.-Prerrequisitos :
Esta experiencia requiere del alumno un conocimiento básico de redes de computadores, obtenido
en el ramo de Redes de Computadores (ELO-321). Además presume un conocimiento de sistemas
Operativos Linux-Unix aportado por el ramo de Sistemas Operativos. Es imprescindible que le
alumno hubiese ya cursado la experiencia de Firewall sobre Iptables.
4.-Introducción.
5.-Reseña de Firewall's.
Recordando un firewall o cortafuegos es un sistema o grupo de sistemas que hace cumplir una
política de control de acceso entre dos redes. De una forma más clara, podemos definir un
cortafuegos como cualquier sistema (desde un simple router hasta varias redes en serie) utilizado
para separar en cuanto a seguridad se refiere una máquina o subred del resto, protegiéndola así
de servicios y protocolos que desde el exterior puedan suponer una amenaza a la seguridad. El
espacio protegido, denominado perímetro de seguridad, suele ser propiedad de una organización, y
la protección se realiza contra una red externa, no confiable, llamada zona de riesgo generalmente
Internet, en esta experiencia y por las características que mencionaremos a continuación del PIX
506E se trabajará en las explicaciones como en los ejemplos en una configuración del tipo host
bastión entre la red confiable y la no confiable.
1
Laboratorio de Redes y Sistemas Operativos
El PIX 506 E es el más básico de los equipos de la familia PIX, firewall de hardware especializado
con un Sistema Operativo CiscoIOS , posee entre sus características:
2 puertos Ethernet de 10 Mbps (10 baseT)
1 puerto de consola
32MB de memoria RAM
8MB de memoria FLASH
En la figura 1 vemos la parte posterior del PIX 506E, podemos observar las dos interfaces ethernet
antes nombradas la interfase etiquetada como ethernet1 es usada por defecto para conectar la red
confiable o red interior y la interfase ethernet0 para la conexión de la red no confiable o red
exterior , ambas poseen dos led indicadores:
ACT: muestra la actividad en la red.
Link: muestra es estado de conexión del puerto.
Se observa además el puerto de consola que es utilizado para conectar el PIX a un computador de
forma serial para la configuración de consola del firewall.
El puerto USB que se observa en la figura a la izquierda del puerto de consola no es usado, para
ninguna actividad.
2
Laboratorio de Redes y Sistemas Operativos
En el panel frontal del firewall Pix encontraremos tres led indicadores como lo muestra la figura 2:
El firewall PIX supervisa las conexiones entre la red confiable y la red no confiable y viceversa, toda
las directivas que se programaran en el firewall como así el funcionamiento de este, se encuentra
basado el un Algoritmo Adaptivo de Seguridad (ASA), el cuál es explicado a continuación:
Este algoritmo definido se deberá tener presente cuanto se realice el diseño lógico del firewall.
3
Laboratorio de Redes y Sistemas Operativos
8.-Formas de Interconexión.
Windows Unix
COM1 /dev/ttyS0
COM2 /dev/ttyS1
Para su interconexión por red deberemos de tener las tarjeta de red interna (tarjeta que comunica
a la red protegida) configurada y debemos seleccionar un host el cual será autorizado para la
configuración vía red. Nunca ase podrá configurar vía red desde una red no segura.
Al partir o bootear el Firewall nos encontraremos que este nos entrega una serie de mensajes como
los que mostramos a continuación de los cuales detallaremos y destacaremos lo más importante:
Tabla de dispositivos que posee el sistema se destacan las interfaces ethernet y la puerta de
consola o serial.
Cisco Secure PIX Firewall BIOS (4.2) #0: Mon Dec 31 08:34:35 PST 2001
Platform PIX-506E
System Flash=E28F640J3 @ 0xfff00000
En este punto es posible interrumpir el booteo para entrar a un modo de monitoreo que permite
modificar parámetros del equipo modos de inicialización y carga del sistema operativo.
4
Laboratorio de Redes y Sistemas Operativos
-----------------------------------------------------------------------
|| ||
|| ||
|||| ||||
..:||||||:..:||||||:..
c i s c o S y s t e m s
Private Internet eXchange
-----------------------------------------------------------------------
Cisco PIX Firewall
Licensed Features:
Failover: Disabled
VPN-DES: Enabled
VPN-3DES: Disabled
Maximum Interfaces: 2
Cut-through Proxy: Enabled
Guards: Enabled
Websense: Enabled
Inside Hosts: Unlimited
Throughput: Limited
ISAKMP peers: Unlimited
This product may not be exported outside the U.S. and Canada
either by physical or electronic means without PRIOR approval
of Cisco Systems, Inc. or the U.S. Government.
Persons outside the U.S. and Canada may not re-export, resell
or transfer this product by either physical or electronic means
without prior approval of Cisco Systems, Inc. or the U.S.
Government.
******************************* Warning *******************************
5
Laboratorio de Redes y Sistemas Operativos
Al encender un PIX nuevo nos enfrentaremos tras la etapa de booteo con que el sistema nos
enfrenta a una serie de preguntas para el ingreso de la configuración inicial del sistema de la
siguiente manera (todas las palabras en cursiva son opcionales y propias del ejemplo, las opciones
a las que no se les da un valor especifico declaran que uno acepta el valor propuesto entre [] ):
Tras esto el firewall se encuentra con la configuración básica mínima que le permite operar.
6
Laboratorio de Redes y Sistemas Operativos
El primer paso para la configuración de un Firewall o reconfiguración es definir los datos con los
cuales este operara (Nombres del equipos, nombre de interfaces, etc...), pero lo más importante es
definir las IP que serán ocupadas por el equipo ya sea asociadas a sus NIC o para uso de
asignación dinámica (enmascaramiento) debiendo ser al menos 2 en el caso del PIX 506E o más en
caso de ser otro equipo o ocuparse poolling de IP’s (definido en el punto 10.4 ).
Una de estas IP debe de ser valida si se esta pensando una implementación clásica en que el
Firewall se encuentra conectado a Internet protegiendo una o mas redes privadas que pueden
poseer o no IP’s validas(ver figura 3).
Outside
209.78.45.1
security 0
Dmz1 Dmz2
192.168.1.1 Firewall PIX 199.16.17.1
Inside
192.168.0.1
security 100
Figura 3.
En el caso especifico del PIX 506E una de estas IP será utilizada por una de las interfase del
Firewall para su conexión a la red interna o protegida y las demás para su uso por parte de la
interfaz de salida y proceso de enmascaramiento.
En las mayorías de los casos es también necesario conocer la IP del router de salida por defecto
para el proceso de encaminamiento de los datos.
Tras tener recopilados estos datos se deberá a la identificación de las interfaces.
Donde:
Hardware_id: el nombre asociado a las tarjetas de red, Ej. Si se posee 2 tarjetas ethernet se
usaría ethernet0 o ethernet1.
7
Laboratorio de Redes y Sistemas Operativos
Hardware_speed: es la velocidad en mbps a la que operará la tarjeta, el PIX posee tarjetas intel
10/100 y generalmente este parámetro es seteado en auto.
Como lo muestra el prototipo este comando sirve para establecer la velocidad de operación de las
interfaces de red y también para deshabilitarlas temporalmente en caso de necesitarse.
El comando ip address permite setear la IP y mascara a una interfaz de red determinada, para los
Pix que poseen solo dos inveraces de red el prototipo de esta función es como sigue:
donde:
ip_address es la dirección ip a signar a la interfaz.
netmask es la correspondiente mascara asociada a la interfaz.
Para poder visualizar las asignaciones de Ip hechas se utiliza el comando show ip , siempre es
necesario especificar una mascara de red a las interfaces.
8
Laboratorio de Redes y Sistemas Operativos
Para visualizar ingresos hechos con el comando nat o global se utilizan los comandos show nat o
show global respectivamente, para borrar ingresos hechos por los mismos comandos se utiliza la
forma no de Cisco IOS, o sea, se antepone no y un espacio al comando que genero la entrada.
donde:
netmask es la mascara de red para la ip local antes ingresada, si este campo se especifica 0 esta
permitiendo a todas las conexiones salientes sean enmascaradas por las ip designadas en un global
pool (conjunto de ip’s definidas mediante el comando global).
Ej. nat (inside) 1 0 0 permite todas las conexiones salientes desde la interfaz interior.
donde:
global_ip una ip o un conjunto de ip que se utilizarán para enmascara las conexiones salientes.
nat (inside) 1 0 0
global (outside) 1 209.45.78.1-209.45.78.10 netmask 255.255.255.224
donde:
9
Laboratorio de Redes y Sistemas Operativos
deny especifica la opción de denegar el paquete que cumpla con las características especificadas
en el resto del comando.
permit especifica la opción de permitir el paquete que cumpla con las características especificadas
en el resto del comando.
Protocol nombre o numero de un prtocolo ip, debe ser manejado por el PIX.
src_addr ip de la dirección de fuente del paquete. Se puede usar en conjunto con los
modificadores any o host que implican src_mask de valores 0.0.0.0 y 255.255.255.255
respectivamente.
Operator operador de comparación que permite indicar un puerto o rango de puertos, puede
tener valores, eq, lt, gt, neq y range.
Se usa el comando route para setear la ruta por defecto a el router de salida , se puede utilizar el
comando show route para ver las entradas hechas por medio del comando route.
donde
Netmask mascara de red asociada a ip_address, 0.0.0.0 especifica ruta por defecto.
10
Laboratorio de Redes y Sistemas Operativos
Como el firewall no es un router , se deben crear rutas estáticas para permitir el paso de los
paquetes o conexiones entre las distintas subredes, además de estas rutas que le permitirán al Pix
encaminar los datos debe de utilizarse el comando static para definir rutas o paso entre dos redes.
donde:
Es recomendable por razones de prueba de conectividad y uso el permitir el paso de paquetes del
tipo icmp por el firewall lo cual se hace con el comando access-list antes explicado, un ejemplo de
esto es
access-list acl_out permit icmp any any
para poder utilizar esta acl se deberá aplicar a una interfaz por medio del comando access-group el
cual mediante la sintaxis
Se recuerda que para borrar acl o desasocialas solo basta ejecutar el comando no seguido del
comando que produjo en ingreso a eliminar.
Existe además el comando conduit que permite asignar una cierta regla a todas las interfaces , por
ejemplo en el caso del ping quedaría
Las entradas hechas por medio de este comando pueden ser vistas con show conduit.
11
Laboratorio de Redes y Sistemas Operativos
Una vez que ya se posee una configuración más o menos completa o de trabajo, la idea es
mantenerla sobre rebooteos de la maquina para esto se debe grabar los cambios hechos en la
memoria no volátil de firewall lo que se hace con el comando write memory seguido del comando
reload que rebootea el equipo esto no siempre es necesario hacerlo pero es recomendable en las
primeras configuraciones.
show ip address
show global
show nat
show route
Verifique que las salidas de los comandos correspondan a los datos ingresados por usted.
En los Pix no basta con configurar la red para poder tener acceso telnet al equipo este debe ser
autorizado explícitamente mediante el comando telnet que posee el siguiente prototipo:
En esta sección no se detallarán nuevos comandos ya que por medio de los ya explicado se podrán
realizar estas labores, la idea de esta sección es ponerse en casos de configuración típicos a ser
enfrentados por el administrador del equipo (en este caso especifico los alumnos).
Con static se proveerá una dirección IP a los usuarios de una interfaz de nivel de seguridad bajo
puedan usar para el acceso a un server ubicado en una interfaz más segura.
access-list define los permisos para como los usuarios pueden acceder a la dirección global.
12
Laboratorio de Redes y Sistemas Operativos
Ej.
o sea, para acceder al servidor web ubicado en la interfaz dmz3 desde outside se accederá con la ip
209.165.201.3 y solo es permitido el trafico del tipo www.
Sea ilustra o intenta ilustrar que las acl permiten restringir o permitir trafico en distintas direcciones
he interfaces pudiéndose así realizar variados tipos de filtrados en pro de la maximización de la
seguridad en las redes interconectadas, otros casos típicos son restringir a usuarios (host’s) el
comenzar conexiones, restringir a usuarios el acceso a servidores específicos, etc...
donde level es el nivel mínimo de mensajes a logear algunos de estos mensajes puede ser
debugging, alerts, notification,errors, warrings, entre otros.
Para visualizar los mensajes enviados por syslog directamente en la consola utilize el comando
logging con el argumento monito de la siguiente forma:
logging monitor
y
terminal monitor
terminal no monitor
no logging monitor
Para enviar los mensajes a un servidor syslog se deben de ejecutar los siguientes pasos:
Definir el host servidor de syslog por medio del comando logging host.
Ej. logging host inside 192.168.0.2
Definir el nivel de logeo con el comando logging trap
Ej. logging trap debugging
Comenzar el envió de mensajes por medio del comando logging on , se puede usar no
logging on para detener el envió.
13
Laboratorio de Redes y Sistemas Operativos
Para bloquear controles activex o java que generalmente vienen en las paginas web entre los tag
<object> </object> se utiliza el comando filter con la opción activex o java
Prototipo de filter
donde
activex bloquea activex, java applets y otros html incluidos entre <objects>
java bloquea java applets retornado al PIX como resultado de una conexión saliente.
url bloquea una URL que mueva data a través del PIX.
port[-port] uno o mas puertos en el cual el applet java puede ser recibido.
Local_ip la ip sobre interfaz de alta seguridad a la cual acceda el trafico, 0 implica todas.
Foreing_ip la ip sobre interfaz de baja seguridad a la cual acceda el trafico, 0 implica todas.
Allow cuando un server no esta disponible, la conexión pasa a través del firewall sin ser filtrada.
Las entradas hechas por medio de filter pueden ser borradas con el comando no , y pueden ser
vistas con el comando show filter.
14
Laboratorio de Redes y Sistemas Operativos
Para proveer filtrado de url la red debe poseer un servidor websense el cual debe ser especificado
por medio del comando url-server (if_name) host ip_server timeout time
Ej.
filter activex 80 0 0 0 0
filter java 80 0 0 0 0
url-server (inside) host 10.0.1.1
filter url http 0 0 0 0
filter url except 10.0.2.54 255.255.255.255 0 0
Cualquier duda, error encontrado, o sugerencias acerca de esta guía por favor comunicársela al
autor al correo gfarias@elo.utfsm.cl. De antemano muchas gracias.
15