Laboratorio de Redes y Sistemas Operativos

Firewall Cisco PIX (Documentación)

1.-Objetivos:

El objetivo de esta experiencia es la de interiorizar al estudiante del laboratorio del modo de

funcionamiento del Firewall PIX de Cisco, de manera de poder lograr al final de la experiencia que
el participante:
Conozca las capacidades de un Firewall PIX .
Sepa interconectar un Firewall.
Pueda manejarse en la configuración por línea de comando.
Pueda planear políticas de seguridad basado en el uso de un firewall.
Pueda adentrarse en la configuración avanzada de Cisco IOS sobre máquinas PIX.

2.-Prerrequisitos :

Esta experiencia requiere del alumno un conocimiento básico de redes de computadores, obtenido
en el ramo de Redes de Computadores (ELO-321). Además presume un conocimiento de sistemas
Operativos Linux-Unix aportado por el ramo de Sistemas Operativos. Es imprescindible que le
alumno hubiese ya cursado la experiencia de Firewall sobre Iptables.

3.-Material para utilizar:

Firewall Cisco PIX 506E.

PC con S.O. Linux con programa de comunicación serial minicom.
PC con S.O. Linux.
Patch cord.

4.-Introducción.

En el presente documento se explicará las configuraciones básicas para poner en marcha un

firewall de la línea PIX de Cisco, aplicando los conocimientos teóricos de firewall adquiridos en la
experiencia Firewall sobre iptables, el estudiante se verá enfrentado a una nueva estructura de
implementación, más las filosofías de diseño no se verán afectadas por este cambio.

5.-Reseña de Firewall's.

Recordando un firewall o cortafuegos es un sistema o grupo de sistemas que hace cumplir una
política de control de acceso entre dos redes. De una forma más clara, podemos definir un
cortafuegos como cualquier sistema (desde un simple router hasta varias redes en serie) utilizado
para separar en cuanto a seguridad se refiere una máquina o subred del resto, protegiéndola así
de servicios y protocolos que desde el exterior puedan suponer una amenaza a la seguridad. El
espacio protegido, denominado perímetro de seguridad, suele ser propiedad de una organización, y
la protección se realiza contra una red externa, no confiable, llamada zona de riesgo generalmente
Internet, en esta experiencia y por las características que mencionaremos a continuación del PIX
506E se trabajará en las explicaciones como en los ejemplos en una configuración del tipo host
bastión entre la red confiable y la no confiable.

1
Laboratorio de Redes y Sistemas Operativos

6.-Cisco PIX 506E.

El PIX 506 E es el más básico de los equipos de la familia PIX, firewall de hardware especializado
con un Sistema Operativo CiscoIOS , posee entre sus características:
2 puertos Ethernet de 10 Mbps (10 baseT)
1 puerto de consola
32MB de memoria RAM
8MB de memoria FLASH

Su principal limitación esta en que no posee capacidad de actualización de su hardware(tarjetas,

memoria), además de estar diseñado para su trabajo sobre mesa y no montado sobre un rack.

Figura 1 Pix tracero

En la figura 1 vemos la parte posterior del PIX 506E, podemos observar las dos interfaces ethernet
antes nombradas la interfase etiquetada como ethernet1 es usada por defecto para conectar la red
confiable o red interior y la interfase ethernet0 para la conexión de la red no confiable o red
exterior , ambas poseen dos led indicadores:
ACT: muestra la actividad en la red.
Link: muestra es estado de conexión del puerto.
Se observa además el puerto de consola que es utilizado para conectar el PIX a un computador de
forma serial para la configuración de consola del firewall.
El puerto USB que se observa en la figura a la izquierda del puerto de consola no es usado, para
ninguna actividad.

2
Laboratorio de Redes y Sistemas Operativos

En el panel frontal del firewall Pix encontraremos tres led indicadores como lo muestra la figura 2:

Figura 2 Panel frontal.

POWER: Indicador de Poder. Se enciende cuando la máquina se encuentra energizada.

ACT: Indicador de actividad. Se enciende cuando la imagen del CiscoIOS ha sido cargado
NETWORK: Indicador de trafico de red. Se enciende cuando al menos alguna de las interfase de
red esta pasando trafico.

7.-Directivas de funcionamiento del PIX 506E.

El firewall PIX supervisa las conexiones entre la red confiable y la red no confiable y viceversa, toda
las directivas que se programaran en el firewall como así el funcionamiento de este, se encuentra
basado el un Algoritmo Adaptivo de Seguridad (ASA), el cuál es explicado a continuación:

El ASA sigue las siguientes reglas:

Paquetes no pueden atravesar el PIX sin una conexión y estado(no se preocupe si algunos
términos no son del todo comprendidos ya que estos quedarán clarificados en la sección 10
Configuración del PIX 506E).
Conexiones o estados de salida son permitidas, excepto algunas específicamente denegadas por
Listas de Control de Acceso(ACL).
Una conexión saliente es una donde la fuente o cliente esta sobre una interfase de mayor
seguridad que el server o receptor. La interfase de mayor seguridad es siempre la interfase de
entrad y la de menor seguridad es la interfase de salida. Algunas interfaces de perímetro(si es que
las hubieran, lo cual no es el caso del PIX506E) pueden tener niveles de seguridad entre los valores
entrada y salida, los niveles mencionados están directamente relacionados a números entre 0 y 100
que uno asigna en la configuración de las interfaces del firewall y que describen su nivel frente a
las demás interfaces.
Conexiones de entrada o estados son denegados, excepto algunas específicamente permitidas, una
conexión de entrada es donde una fuente o cliente ubicado sobre una interfase de menor seguridad
que la donde se ubica el server o receptor. Se pueden aplicar múltiples excepciones o una simple
por medio del comando xlate. Esto concede acceso permitido desde una máquina arbitraria, red o
algún host en la Zona no segura definida por en la sentencia de xlate.
Todos los paquetes ICMP son denegados a menos que sean específicamente permitidos.
Las circunstancias que no se ajusten a las reglas previamente especificadas son descartados y un
mensaje es enviado al demonio Syslog.

Este algoritmo definido se deberá tener presente cuanto se realice el diseño lógico del firewall.

3
Laboratorio de Redes y Sistemas Operativos

8.-Formas de Interconexión.

El equipo posee dos formas de interconexión para su configuración consola(serial) y telnet(red)

siendo la más recomendada para estos efectos la consola por ser más segura al interactuar
directamente con el equipo sin el posible cruce por intermediarios de ningún tipo.
Para utilizar una conexión del tipo consola se debe poseer un cable especial proporcionado por
cisco, que adecua la entrada del puerto de consola del Firewall a un puerto serial del tipo db-9 o
db-25, además de necesitar un programa de comunicación serial como minicom o hyperterminal en
el PC de trabajo.
La configuración necesaria del software de comunicación serial es una velocidad de conexión de
9600 baudios y 8N1, o sea 8 bits de data , Sin paridad y 1 bit de parada. Además de tener que
emular un terminal vt100 de preferencia.
Es bueno recordar que las correspondencias de dispositivos serial entre windows y unix son:

Windows Unix
COM1 /dev/ttyS0
COM2 /dev/ttyS1

Para su interconexión por red deberemos de tener las tarjeta de red interna (tarjeta que comunica
a la red protegida) configurada y debemos seleccionar un host el cual será autorizado para la
configuración vía red. Nunca ase podrá configurar vía red desde una red no segura.

9.-Descripción de la información de booteo.

Al partir o bootear el Firewall nos encontraremos que este nos entrega una serie de mensajes como
los que mostramos a continuación de los cuales detallaremos y destacaremos lo más importante:

CISCO SYSTEMS PIX FIREWALL

Embedded BIOS Version 4.3.207 01/02/02 16:12:22.73
Compiled by morlee
32 MB RAM - cantidad de memoria que posee la maquina
PCI Device Table.
Bus Dev Func VendID DevID Class Irq
00 00 00 8086 7192 Host Bridge
00 07 00 8086 7110 ISA Bridge
00 07 01 8086 7111 IDE Controller
00 07 02 8086 7112 Serial Bus 9
00 07 03 8086 7113 PCI Bridge
00 0D 00 8086 1209 Ethernet 11
00 0E 00 8086 1209 Ethernet 10

Tabla de dispositivos que posee el sistema se destacan las interfaces ethernet y la puerta de
consola o serial.
Cisco Secure PIX Firewall BIOS (4.2) #0: Mon Dec 31 08:34:35 PST 2001
Platform PIX-506E
System Flash=E28F640J3 @ 0xfff00000

Use BREAK or ESC to interrupt flash boot.

Use SPACE to begin flash boot immediately.

En este punto es posible interrumpir el booteo para entrar a un modo de monitoreo que permite
modificar parámetros del equipo modos de inicialización y carga del sistema operativo.

4
Laboratorio de Redes y Sistemas Operativos

Reading 2490880 bytes of image from flash.

32MB RAM
System Flash=E28F640J3 @ 0xfff00000
BIOS Flash=am29f400b @ 0xd8000
mcwa i82559 Ethernet at irq 11 MAC: 000b.46d0.3300
mcwa i82559 Ethernet at irq 10 MAC: 000b.46d0.32ff

-----------------------------------------------------------------------
|| ||
|| ||
|||| ||||
..:||||||:..:||||||:..
c i s c o S y s t e m s
Private Internet eXchange
-----------------------------------------------------------------------
Cisco PIX Firewall

Cisco PIX Firewall Version 6.1(4)

Licensed Features:
Failover: Disabled
VPN-DES: Enabled
VPN-3DES: Disabled
Maximum Interfaces: 2
Cut-through Proxy: Enabled
Guards: Enabled
Websense: Enabled
Inside Hosts: Unlimited
Throughput: Limited
ISAKMP peers: Unlimited

Versión del sistema operativo y estado de caracteristicas posibles de ocupar.

****************************** Warning *******************************
Compliance with U.S. Export Laws and Regulations - Encryption.

This product performs encryption and is regulated for export

by the U.S. Government.

This product is not authorized for use by persons located

outside the United States and Canada that do not have prior
approval from Cisco Systems, Inc. or the U.S. Government.

This product may not be exported outside the U.S. and Canada
either by physical or electronic means without PRIOR approval
of Cisco Systems, Inc. or the U.S. Government.

Persons outside the U.S. and Canada may not re-export, resell
or transfer this product by either physical or electronic means
without prior approval of Cisco Systems, Inc. or the U.S.
Government.
******************************* Warning *******************************

Copyright (c) 1996-2000 by Cisco Systems, Inc.

Restricted Rights Legend

Use, duplication, or disclosure by the Government is

subject to restrictions as set forth in subparagraph
(c) of the Commercial Computer Software - Restricted
Rights clause at FAR sec. 52.227-19 and subparagraph
(c) (1) (ii) of the Rights in Technical Data and Computer

5
Laboratorio de Redes y Sistemas Operativos

Software clause at DFARS sec. 252.227-7013.

Cisco Systems, Inc.

170 West Tasman Drive
San Jose, California 95134-1706

Cryptochecksum(changed): d41d8cd9 8f00b204 e9800998 ecf8427e

Mensajes que explican normas y leyes a los que se ajusta el equipo.

10.-Configuración del PIX 506E

La configuración del Firewall PIX se puede dividir en configuración de un Firewall nuevo y

configuración de firewall’s ya configurados anteriormente la cual a su vez de subdivide en la suma
de varios pasos sistemáticos como se describe a continuación:

10.0 Configuración de un firewall nuevo.

Al encender un PIX nuevo nos enfrentaremos tras la etapa de booteo con que el sistema nos
enfrenta a una serie de preguntas para el ingreso de la configuración inicial del sistema de la
siguiente manera (todas las palabras en cursiva son opcionales y propias del ejemplo, las opciones
a las que no se les da un valor especifico declaran que uno acepta el valor propuesto entre [] ):

Pre-configure PIX Firewall now through interactive prompts [yes]? yes

Enable password [cisco]:
Clock (UTC):
Year [2003]:
Month [Apr]:
Day [18]:
Time [20:33:22]:
Inside IP address [192.168.0.1]: 192.168.0.1
Inside network mask [255.255.255.0]: 255.255.255.0
Host name [PIX-1]: PIX-1
Domain name [labredes]: labredes.elo.utfsm.cl
IP address of host running PIX Device Manager [192.168.0.2]: 192.168.0.2

The following configuration will be used:

Enable password: cisco
Clock (UTC): 20:33:22 Apr 18 2003
Inside IP address: 192.168.0.1
Inside network mask: 255.255.255.0
Host name: PIX-1
Domain name: labredes.elo.utfsm.cl
IP address of host running PIX Device Manager: 192.168.0.2

Use this configuration and write to flash? yes

Building configuration...
Cryptochecksum: 592cce45 6209852c 6a3aec07 a94bf361
[OK]

Tras esto el firewall se encuentra con la configuración básica mínima que le permite operar.

6
Laboratorio de Redes y Sistemas Operativos

10.1 Análisis de Estado.-(Definir IP a usar).

El primer paso para la configuración de un Firewall o reconfiguración es definir los datos con los
cuales este operara (Nombres del equipos, nombre de interfaces, etc...), pero lo más importante es
definir las IP que serán ocupadas por el equipo ya sea asociadas a sus NIC o para uso de
asignación dinámica (enmascaramiento) debiendo ser al menos 2 en el caso del PIX 506E o más en
caso de ser otro equipo o ocuparse poolling de IP’s (definido en el punto 10.4 ).
Una de estas IP debe de ser valida si se esta pensando una implementación clásica en que el
Firewall se encuentra conectado a Internet protegiendo una o mas redes privadas que pueden
poseer o no IP’s validas(ver figura 3).
Outside
209.78.45.1
security 0

Dmz1 Dmz2
192.168.1.1 Firewall PIX 199.16.17.1

Inside
192.168.0.1
security 100

Figura 3.

En el caso especifico del PIX 506E una de estas IP será utilizada por una de las interfase del
Firewall para su conexión a la red interna o protegida y las demás para su uso por parte de la
interfaz de salida y proceso de enmascaramiento.
En las mayorías de los casos es también necesario conocer la IP del router de salida por defecto
para el proceso de encaminamiento de los datos.
Tras tener recopilados estos datos se deberá a la identificación de las interfaces.

10.2 Identificar cada Interfaz (nameif).

En esta etapa se procede a la identificación de las interfaces por medio de la asociación de

nombres, este proceso comúnmente se realiza solo en Firewall nuevos, pudiendo también realizarse
renombramientos en Firewall usados mediante el mismo comando y procedimiento.
Para poder ver los nombres asociados a las interfaces se utiliza el comando show nameif y para
asociar un nombre a una interfase se utiliza el comando nameif los cuales deben ser ejecutados en
el modo privilegiado. Para administrar las interfaces de su equipo, también se verán el comando
interface e ip address, los que servirán para configurar velocidades de conexión, habilitar o
deshabilitar las interfaces y configurar las ip de las interfaces respectivamente.

El comando nameif posee el siguiente prototipo:

nameif hardware_id interface security_level

Donde:

Hardware_id: el nombre asociado a las tarjetas de red, Ej. Si se posee 2 tarjetas ethernet se
usaría ethernet0 o ethernet1.

7
Laboratorio de Redes y Sistemas Operativos

Interface: nombre que se le puede asociar a la interfase limitado a 48 caracteres máximo,

comúnmente el máquinas de dos interfaces se utilizan los nombres inside y outside para identificar
las tarjetas conectadas a la red interna y externa respectivamente.

Security_level: nivel de seguridad asociado a la interface, este numero va entre 0 y 100 y se

puede asociar al nivel de confianza de la red conectada a ella, este nivel de seguridad también
definirá la forma en que permitiremos el paso de trafico de una interfase a otra con distinto nivel de
seguridad basado si este es mayor o menor que el nivel de la primera.

EJ. nameif ethernet0 outside security0

nameif ethernet1 inside security100

10.3 Asignación de IP (interface, ip address)

Antes de estudiar la asignación de ip a una interfase se pasará por el comando interface es te

comando posee el siguiente prototipo:

Interface hardware_id hardware_speed [shutdown]

Hardware_id : idem a nameif.

Hardware_speed: es la velocidad en mbps a la que operará la tarjeta, el PIX posee tarjetas intel
10/100 y generalmente este parámetro es seteado en auto.

Shutdown: el parámetro optativo shutdown permite deshabilitar una tarjeta temporalmente.

Como lo muestra el prototipo este comando sirve para establecer la velocidad de operación de las
interfaces de red y también para deshabilitarlas temporalmente en caso de necesitarse.

El comando ip address permite setear la IP y mascara a una interfaz de red determinada, para los
Pix que poseen solo dos inveraces de red el prototipo de esta función es como sigue:

ip address inside ip_address netmask

ip address outside ip_address netmask

donde:
ip_address es la dirección ip a signar a la interfaz.
netmask es la correspondiente mascara asociada a la interfaz.

Para poder visualizar las asignaciones de Ip hechas se utiliza el comando show ip , siempre es
necesario especificar una mascara de red a las interfaces.

EJ. ip address inside 192.168.1.1 255.255.255.0

10.4 Permitiendo conexiones de Salida.(nat, global, access-list)

Como se comento ya , a cada interfaz se le asignan distintos niveles de seguridad, en el caso

propio del PIX 506E se tendrá una interfaz de nivel de seguridad 100 que es la interfaz interna y
una de nivel de seguridad 0 que es la externa. Cuando se quiera permitir conexiones entre una
interfaz de mayor nivel de seguridad de otra de salida de los datos se utilizarán los comando nat y
global. Para autorizar trafico en la dirección opuesta se utiliza el comando access-list.

8
Laboratorio de Redes y Sistemas Operativos

Para visualizar ingresos hechos con el comando nat o global se utilizan los comandos show nat o
show global respectivamente, para borrar ingresos hechos por los mismos comandos se utiliza la
forma no de Cisco IOS, o sea, se antepone no y un espacio al comando que genero la entrada.

El prototipo estándar de el comando nat es:

nat (if_name) nat_id local_ip [netmask]

donde:

if_name es el nombre de la interfaz de red

nat_id se utiliza para agrupar comandos nat y global

local_ip ip interna desde la cual se aceptaran las conexiones, si se especifica un 0 en este

campo se permitirá que todos los host en la red interna establezcan conexiones salientes.

netmask es la mascara de red para la ip local antes ingresada, si este campo se especifica 0 esta
permitiendo a todas las conexiones salientes sean enmascaradas por las ip designadas en un global
pool (conjunto de ip’s definidas mediante el comando global).

Ej. nat (inside) 1 0 0 permite todas las conexiones salientes desde la interfaz interior.

El prototipo estándar del comando global es:

global (if_name) nat_id global_ip[-global_ip] [netmask global_mask]

donde:

if_name es el nombre de la interfaz de red

nat_id se utiliza para agrupar comandos nat y global

global_ip una ip o un conjunto de ip que se utilizarán para enmascara las conexiones salientes.

netmask palabra reservada para la especificación de la mascara de red.

global_mask es la mascara de red para la global_ip especificada anteriormente.

Ej. conjunto del uso nat y global.

nat (inside) 1 0 0
global (outside) 1 209.45.78.1-209.45.78.10 netmask 255.255.255.224

prototipo para el comando access-list:

access-list acl-name [deny|permit] protocol src_addr src_mask operator dest_addr

dest_mask operator port

donde:

acl-name nombre para la acl , se puede ocupar un nombre o un número.

9
Laboratorio de Redes y Sistemas Operativos

deny especifica la opción de denegar el paquete que cumpla con las características especificadas
en el resto del comando.

permit especifica la opción de permitir el paquete que cumpla con las características especificadas
en el resto del comando.

Protocol nombre o numero de un prtocolo ip, debe ser manejado por el PIX.

src_addr ip de la dirección de fuente del paquete. Se puede usar en conjunto con los
modificadores any o host que implican src_mask de valores 0.0.0.0 y 255.255.255.255
respectivamente.

src_mask mascara de red asociada a src_addr.

Operator operador de comparación que permite indicar un puerto o rango de puertos, puede
tener valores, eq, lt, gt, neq y range.

dest_addr dirección ip del destino del paquete.

dest_mask mascara asociada a dest_addr.

Port puerto asociado a la conexión.

Ej. access-list acl-grp permit tcp any 209.165.201.0 255.255.255.224

access-list acl-dmz1 deny tcp any host 192.168.1.4 range ftp telnet

10.5 Creación de Ruta por defecto.(route)

Se usa el comando route para setear la ruta por defecto a el router de salida , se puede utilizar el
comando show route para ver las entradas hechas por medio del comando route.

Ej de ruta por defecto: route outside 0 0 209.165.201.2 1

Prototipo del comando route.

route if_name ip_address netmask gateway_ip [metric]

donde

if_name nombre de la interfaz a la que se le asocia la ruta

ip_address dirección ip de la red destino, 0.0.0.0 especifica ruta por defecto.

Netmask mascara de red asociada a ip_address, 0.0.0.0 especifica ruta por defecto.

gateway_ip especifica la ip del route gateway de la red especificada.

[metric] parámetros optativo que especifica la distancia administrativa del gateway.

Generalmente se mide en numero de saltos.

Ej. route dmz 192.168.0.0 255.255.255.0 192.168.1.5 1

10
Laboratorio de Redes y Sistemas Operativos

10.6 Configuración de Rutas.

Como el firewall no es un router , se deben crear rutas estáticas para permitir el paso de los
paquetes o conexiones entre las distintas subredes, además de estas rutas que le permitirán al Pix
encaminar los datos debe de utilizarse el comando static para definir rutas o paso entre dos redes.

El prototipo del comando static.

static [(internal_if_name, extrenal_if_name)] global_ip local_ip [netmask

network_mask]

donde:

internal_if_name nombre de una interfaz interna

extrenal_if_name nombre de una interfaz externa

global_ip una dirección de ip global para el uso en enmascaramiento.

local_ip la dirección ip perteneciente a la red interna.

network_mask mascara de red perteneciente a ambas ip’s anteriores.

Ej. static (inside, outside) 10.42.1.0 10.3.1.0

10.7 Permitir acceso a mensajes de PING.(access-list, access-group, conduit)

Es recomendable por razones de prueba de conectividad y uso el permitir el paso de paquetes del
tipo icmp por el firewall lo cual se hace con el comando access-list antes explicado, un ejemplo de
esto es
access-list acl_out permit icmp any any

para poder utilizar esta acl se deberá aplicar a una interfaz por medio del comando access-group el
cual mediante la sintaxis

access-group acl-name [in|out] interface if_name

permite la asignación de la acl acl-name a la entrada in o salida out de la interfaz if_name.

Ej. access-group acl_out in interface outside

Se recuerda que para borrar acl o desasocialas solo basta ejecutar el comando no seguido del
comando que produjo en ingreso a eliminar.

Existe además el comando conduit que permite asignar una cierta regla a todas las interfaces , por
ejemplo en el caso del ping quedaría

conduit permit icmp any any

Las entradas hechas por medio de este comando pueden ser vistas con show conduit.

11
Laboratorio de Redes y Sistemas Operativos

10.8 Haciendo la configuración permanente.

Una vez que ya se posee una configuración más o menos completa o de trabajo, la idea es
mantenerla sobre rebooteos de la maquina para esto se debe grabar los cambios hechos en la
memoria no volátil de firewall lo que se hace con el comando write memory seguido del comando
reload que rebootea el equipo esto no siempre es necesario hacerlo pero es recomendable en las
primeras configuraciones.

10.9 Comprobación de las configuraciones.

Una vez guardada la configuración y posiblemente rebooteado el equipo, es recomendable el

revisar la configuración por medio del comando show seguido de los parámetros revisar, lo mas
común a ejecutar es:

show ip address
show global
show nat
show route

Verifique que las salidas de los comandos correspondan a los datos ingresados por usted.

10.10 Configuración de acceso a consola de telnet.

En los Pix no basta con configurar la red para poder tener acceso telnet al equipo este debe ser
autorizado explícitamente mediante el comando telnet que posee el siguiente prototipo:

telnet ip_addr netmask if_name

ip_addr ip del host desde el cual se pretende la conexión telnet

netmask mascara de red asociada a ip_addr.

if_name nombre de la interfaz por la cual se realiza la conexión

Ej. telnet 192.168.1.2 255.255.255.255 inside

10.11 Configuración de acceso a servidores internos.

En esta sección no se detallarán nuevos comandos ya que por medio de los ya explicado se podrán
realizar estas labores, la idea de esta sección es ponerse en casos de configuración típicos a ser
enfrentados por el administrador del equipo (en este caso especifico los alumnos).

La normativa primordial que se a ocupado hasta el momento es prevenir accesos no autorizados a

ala red interna, por esto el acceso a servidores ubicados justamente en nuestra red interna será
específicamente tratado, para el permitir este acceso peligroso se utilizarán los comandos static,
access-list, access-group.

Con static se proveerá una dirección IP a los usuarios de una interfaz de nivel de seguridad bajo
puedan usar para el acceso a un server ubicado en una interfaz más segura.

access-list define los permisos para como los usuarios pueden acceder a la dirección global.

12
Laboratorio de Redes y Sistemas Operativos

access-group asocia la access-list a una interfaz y flujo respectivo.

Ej.

static (dmz3, outside) 209.165.201.3 192.168.3.3 netmask 255.255.255.255

access-list acl_out permit tcp any host 209.165.201.3 eq www
access-group acl_out in interface outside

o sea, para acceder al servidor web ubicado en la interfaz dmz3 desde outside se accederá con la ip
209.165.201.3 y solo es permitido el trafico del tipo www.

Sea ilustra o intenta ilustrar que las acl permiten restringir o permitir trafico en distintas direcciones
he interfaces pudiéndose así realizar variados tipos de filtrados en pro de la maximización de la
seguridad en las redes interconectadas, otros casos típicos son restringir a usuarios (host’s) el
comenzar conexiones, restringir a usuarios el acceso a servidores específicos, etc...

10.12 Habilitando Syslog. Viendo mensajes a través de la consola serial.

Para habilitar el logeo de mensajes se utiliza el comando logging de la siguiente forma :

logging buffered level

donde level es el nivel mínimo de mensajes a logear algunos de estos mensajes puede ser
debugging, alerts, notification,errors, warrings, entre otros.

10.13 Viendo mensajes a través de una consola de telnet.

Para visualizar los mensajes enviados por syslog directamente en la consola utilize el comando
logging con el argumento monito de la siguiente forma:

logging monitor
y
terminal monitor

para deshabilitar los mensajes se utilizan los comandos :

terminal no monitor
no logging monitor

10.14 Enviando mensajes a un servidor de Syslog.

Para enviar los mensajes a un servidor syslog se deben de ejecutar los siguientes pasos:
Definir el host servidor de syslog por medio del comando logging host.
Ej. logging host inside 192.168.0.2
Definir el nivel de logeo con el comando logging trap
Ej. logging trap debugging
Comenzar el envió de mensajes por medio del comando logging on , se puede usar no
logging on para detener el envió.

13
Laboratorio de Redes y Sistemas Operativos

10.15 Configurando Syslog en Unix para la recepción de mensajes.

Bastará reiniciar el servidor syslog de la maquina para la recepción de mensajes remotos.

Se recuerda que para detener el servicio syslog en linux de puede acceder a la carpeta /etc/INIT.d
y ahí ejecutar el comando ./syslog stop, lo que detendrá el servicio tras esto ejecutar syslogd –r
que arranca el servicio con escucha de mensajes remotos.

Es recomendable el modificar la configuración de syslog en /etc/syslog.conf para separar los

registros del Pix de los de la maquina pero este tema no será tratado aquí por ahora.

10.16 Bloqueando controles Active X y JAVA y URL`s

Para bloquear controles activex o java que generalmente vienen en las paginas web entre los tag
<object> </object> se utiliza el comando filter con la opción activex o java

Prototipo de filter

filter activex port local_ip mask foreing_ip mask

filter java port[-port] local_ip mask foreing_ip mask
filter url http|except local_ip mask foreing_ip mask [allow]

donde

activex bloquea activex, java applets y otros html incluidos entre <objects>

java bloquea java applets retornado al PIX como resultado de una conexión saliente.

url bloquea una URL que mueva data a través del PIX.

http filtra solamente http URL’s

except crea una excepción a una condición previa de filtrado

port el puerto por el cual el Pix recibe el trafico web

port[-port] uno o mas puertos en el cual el applet java puede ser recibido.

Local_ip la ip sobre interfaz de alta seguridad a la cual acceda el trafico, 0 implica todas.

Local_mask mascara asociada a local_ip, 0 especifica todos los host.

Foreing_ip la ip sobre interfaz de baja seguridad a la cual acceda el trafico, 0 implica todas.

foreing_mask mascara asociada a local_ip, 0 especifica todos los host.

Allow cuando un server no esta disponible, la conexión pasa a través del firewall sin ser filtrada.

Las entradas hechas por medio de filter pueden ser borradas con el comando no , y pueden ser
vistas con el comando show filter.

14
Laboratorio de Redes y Sistemas Operativos

Para proveer filtrado de url la red debe poseer un servidor websense el cual debe ser especificado
por medio del comando url-server (if_name) host ip_server timeout time

Ej.
filter activex 80 0 0 0 0
filter java 80 0 0 0 0
url-server (inside) host 10.0.1.1
filter url http 0 0 0 0
filter url except 10.0.2.54 255.255.255.255 0 0

Cualquier duda, error encontrado, o sugerencias acerca de esta guía por favor comunicársela al
autor al correo gfarias@elo.utfsm.cl. De antemano muchas gracias.

15