Configurando Firewall en un Router CISCO en GNS3 Esta actividad consiste en establecer dos zonas una llamada la LAN y la otra

INTERNET y crear reglas de acceso en el firewall que permitan el paso de trfico desde INTERNET hacia la LAN solo para 3 protocolos y 5 puertos, por ejemplo: FTP, HTTP, SMTP. El resto de los puertos y servicios deben estar denegados. Generalmente la comunicacin desde la LAN es transparente as que el enrutador debe permitir la salida de paquetes desde la LAN. Vamos trabajar con una PC real, para el GNS3 necesitaremos el IOS del router, como mquina que simule la red LAN utilizare un Windows.

IMAGEN TOPOLOGIA

La red LAN tendr configurada una direccin IP esttica

3. Administrar el router.

Voy a ingresar a la consola del router y voy a prepararlo para que pueda ser administrado grficamente por SDM, los comandos para este proceso son los siguientes:

R1 (config) # username cisco123 privilege 15 password 0 cisco123 R1 (config) # ip http server R1 (config) # ip http secure-server R1 (config) # ip http authentication local

R1 (config) # line vty 0 4 R1 (config-line) # login local R1 (config-line) # transport input telnet ssh

Despus de esto se puede configurar el direccionamiento como normalmente se realiza.

R1 (config) # interface fastethernet 0/0 R1 (config-if) # ip addres 192.168.80.1 255.255.255.0 R1 (config-if) # no shutdown

Ahora vamos a probar mediante un ping que la maquina perteneciente a la red LAN pueda verse con el router.

Despus e comprara la conexin, procedemos a iniciar el administrador grafico SDM

La autenticacin se realiza con el usuario y contrasea creados en la consola del router anteriormente (cisco123).

La ventana inicial es la siguiente

4. Configuracin del router

4.1 Nateo

Lo primero que realizaremos ser darle internet a nuestra red interna, para ello vamos a configurar el nateo.

Desde la pestaa "Configurar", la opcion Nat. Para la configuracin seguimos las imgenes mostradas a continuacin.

Ahora vamos a configurar el firewall y ACL's

Desde la mima pestaa "Configurar", la opcin Firewall y ACL La configuracin bsica se realiza as:

Para editar estas polticas creadas por defecto vamos a ir hacia la opcin "Editar polticas de firewall/lista de control de acceso" y eliminamos las polticas que se han creado con los pasos anteriores.

Desde la opcin "trfico de origen" se configura las reglas salientes de la red hacia otro destino.

Voy a agregar unas reglas para permitir cierto trfico.

Acceso web desde la ip 192.168.80.3 hasta el router.

10

Trafico FTP desde la 192.168.80.3 hasta el router

Trafico SMTP

11

Para una mejor seguridad en cuanto a las reglas de aceptar trfico, es recomendable agregar como ultimas reglas las de denegacin.

En mi caso voy a tener estas dos reglas de denegacin por defecto, son dos reglas ya que debo denegar por TCP y UDP

12

En el trfico de vuelta

13

Recordemos ir aplicando los cambios realizados para que sea ms rpida la aplicacin de las reglas Voy a denegar el ingreso a la red LAN por medio de HTTP

por HTTPS permito

14

por FTP permito

por SMTP permito

15

por SMTP permito

Por SSH permito

16

Es muy til tener una copia de la configuracin de nuestro firewall, para ello necesitaremos instalar un cliente FTP en una de las mquinas de la red. A continuacin estn los comandos necesarios para guardar esta configuracin mediante el tftp, la direccin IP que se ingresa es la que contiene el cliente TFTP

Es prudente tambin habilitar el protocolo ICMP (ping).

A continuacin les muestro la configuracin actual de mi router por medio de la consola.

17

Las polticas del firewall van as:

18

19

Las reglas creadas hasta el momento son:

Dns por TCP, desde la red 80.0 hacia cualquier IP

Dns por UDP, desde la red 80.0 hacia cualquier IP

20

WEB desde la red 80.0 hacia cualquier direccin IP

HTTPS desde la red 80.0 hacia cualquier direccin IP 21

SSH desde la red 80.0 hacia cualquier direccin IP.

22

Ping desde la red 80.0 hacia cualquier direccin IP.

Denegacin por defecto por TCP

Denegacin por defecto por UDP

23

DHCP desde cualquier direccin hacia la red 80.0 (En el trfico de vuelta)

Para probar las reglas.

HTTP

24

Ping

DNS

Telnet (no fue configurado para ser aceptado), la poltica por defecto de denegar esta funcionando para los dems protocolos.

25