15
Laboratorio de Redes y Sistemas Operativos Firewall Cisco PIX (Documentación) 1.-Objetivos: El objetivo de esta experiencia es la de interiorizar al estudiante del laboratorio del modo de funcionamiento del Firewall PIX de Cisco, de manera de poder lograr al final de la experiencia que el participante: Conozca las capacidades de un Firewall PIX . Sepa interconectar un Firewall. Pueda manejarse en la configuración por línea de comando. Pueda planear políticas de seguridad basado en el uso de un firewall. Pueda adentrarse en la configuración avanzada de Cisco IOS sobre máquinas PIX. 2.-Prerrequisitos : Esta experiencia requiere del alumno un conocimiento básico de redes de computadores, obtenido en el ramo de Redes de Computadores (ELO-321). Además presume un conocimiento de sistemas Operativos Linux-Unix aportado por el ramo de Sistemas Operativos. Es imprescindible que le alumno hubiese ya cursado la experiencia de Firewall sobre Iptables. 3.-Material para utilizar: Firewall Cisco PIX 506E. PC con S.O. Linux con programa de comunicación serial minicom. PC con S.O. Linux. Patch cord. 4.-Introducción. En el presente documento se explicará las configuraciones básicas para poner en marcha un firewall de la línea PIX de Cisco, aplicando los conocimientos teóricos de firewall adquiridos en la experiencia Firewall sobre iptables, el estudiante se verá enfrentado a una nueva estructura de implementación, más las filosofías de diseño no se verán afectadas por este cambio. 5.-Reseña de Firewall's. Recordando un firewall o cortafuegos es un sistema o grupo de sistemas que hace cumplir una política de control de acceso entre dos redes. De una forma más clara, podemos definir un cortafuegos como cualquier sistema (desde un simple router hasta varias redes en serie) utilizado para separar en cuanto a seguridad se refiere una máquina o subred del resto, protegiéndola así de servicios y protocolos que desde el exterior puedan suponer una amenaza a la seguridad. El espacio protegido, denominado perímetro de seguridad, suele ser propiedad de una organización, y la protección se realiza contra una red externa, no confiable, llamada zona de riesgo generalmente Internet, en esta experiencia y por las características que mencionaremos a continuación del PIX 506E se trabajará en las explicaciones como en los ejemplos en una configuración del tipo host bastión entre la red confiable y la no confiable. 1

Firewall Cisco Pix

Embed Size (px)

Citation preview

Page 1: Firewall Cisco Pix

Laboratorio de Redes y Sistemas Operativos

Firewall Cisco PIX (Documentación)

1.-Objetivos: El objetivo de esta experiencia es la de interiorizar al estudiante del laboratorio del modo de funcionamiento del Firewall PIX de Cisco, de manera de poder lograr al final de la experiencia que el participante:

Conozca las capacidades de un Firewall PIX . Sepa interconectar un Firewall. Pueda manejarse en la configuración por línea de comando. Pueda planear políticas de seguridad basado en el uso de un firewall. Pueda adentrarse en la configuración avanzada de Cisco IOS sobre máquinas PIX.

2.-Prerrequisitos : Esta experiencia requiere del alumno un conocimiento básico de redes de computadores, obtenido en el ramo de Redes de Computadores (ELO-321). Además presume un conocimiento de sistemas Operativos Linux-Unix aportado por el ramo de Sistemas Operativos. Es imprescindible que le alumno hubiese ya cursado la experiencia de Firewall sobre Iptables. 3.-Material para utilizar:

Firewall Cisco PIX 506E. PC con S.O. Linux con programa de comunicación serial minicom. PC con S.O. Linux. Patch cord.

4.-Introducción. En el presente documento se explicará las configuraciones básicas para poner en marcha un firewall de la línea PIX de Cisco, aplicando los conocimientos teóricos de firewall adquiridos en la experiencia Firewall sobre iptables, el estudiante se verá enfrentado a una nueva estructura de implementación, más las filosofías de diseño no se verán afectadas por este cambio.

5.-Reseña de Firewall's. Recordando un firewall o cortafuegos es un sistema o grupo de sistemas que hace cumplir una política de control de acceso entre dos redes. De una forma más clara, podemos definir un cortafuegos como cualquier sistema (desde un simple router hasta varias redes en serie) utilizado para separar en cuanto a seguridad se refiere una máquina o subred del resto, protegiéndola así de servicios y protocolos que desde el exterior puedan suponer una amenaza a la seguridad. El espacio protegido, denominado perímetro de seguridad, suele ser propiedad de una organización, y la protección se realiza contra una red externa, no confiable, llamada zona de riesgo generalmente Internet, en esta experiencia y por las características que mencionaremos a continuación del PIX 506E se trabajará en las explicaciones como en los ejemplos en una configuración del tipo host bastión entre la red confiable y la no confiable.

1

Page 2: Firewall Cisco Pix

Laboratorio de Redes y Sistemas Operativos

6.-Cisco PIX 506E. El PIX 506 E es el más básico de los equipos de la familia PIX, firewall de hardware especializado con un Sistema Operativo CiscoIOS , posee entre sus características:

2 puertos Ethernet de 10 Mbps (10 baseT) 1 puerto de consola 32MB de memoria RAM 8MB de memoria FLASH

Su principal limitación esta en que no posee capacidad de actualización de su hardware(tarjetas, memoria), además de estar diseñado para su trabajo sobre mesa y no montado sobre un rack.

Figura 1 Pix tracero

En la figura 1 vemos la parte posterior del PIX 506E, podemos observar las dos interfaces ethernet antes nombradas la interfase etiquetada como ethernet1 es usada por defecto para conectar la red confiable o red interior y la interfase ethernet0 para la conexión de la red no confiable o red exterior , ambas poseen dos led indicadores: ACT: muestra la actividad en la red. Link: muestra es estado de conexión del puerto. Se observa además el puerto de consola que es utilizado para conectar el PIX a un computador de forma serial para la configuración de consola del firewall. El puerto USB que se observa en la figura a la izquierda del puerto de consola no es usado, para ninguna actividad.

2

Page 3: Firewall Cisco Pix

Laboratorio de Redes y Sistemas Operativos

En el panel frontal del firewall Pix encontraremos tres led indicadores como lo muestra la figura 2:

Figura 2 Panel frontal.

POWER: Indicador de Poder. Se enciende cuando la máquina se encuentra energizada. ACT: Indicador de actividad. Se enciende cuando la imagen del CiscoIOS ha sido cargado NETWORK: Indicador de trafico de red. Se enciende cuando al menos alguna de las interfase de red esta pasando trafico. 7.-Directivas de funcionamiento del PIX 506E. El firewall PIX supervisa las conexiones entre la red confiable y la red no confiable y viceversa, toda las directivas que se programaran en el firewall como así el funcionamiento de este, se encuentra basado el un Algoritmo Adaptivo de Seguridad (ASA), el cuál es explicado a continuación: El ASA sigue las siguientes reglas: Paquetes no pueden atravesar el PIX sin una conexión y estado(no se preocupe si algunos términos no son del todo comprendidos ya que estos quedarán clarificados en la sección 10 Configuración del PIX 506E). Conexiones o estados de salida son permitidas, excepto algunas específicamente denegadas por Listas de Control de Acceso(ACL). Una conexión saliente es una donde la fuente o cliente esta sobre una interfase de mayor seguridad que el server o receptor. La interfase de mayor seguridad es siempre la interfase de entrad y la de menor seguridad es la interfase de salida. Algunas interfaces de perímetro(si es que las hubieran, lo cual no es el caso del PIX506E) pueden tener niveles de seguridad entre los valores entrada y salida, los niveles mencionados están directamente relacionados a números entre 0 y 100 que uno asigna en la configuración de las interfaces del firewall y que describen su nivel frente a las demás interfaces. Conexiones de entrada o estados son denegados, excepto algunas específicamente permitidas, una conexión de entrada es donde una fuente o cliente ubicado sobre una interfase de menor seguridad que la donde se ubica el server o receptor. Se pueden aplicar múltiples excepciones o una simple por medio del comando xlate. Esto concede acceso permitido desde una máquina arbitraria, red o algún host en la Zona no segura definida por en la sentencia de xlate. Todos los paquetes ICMP son denegados a menos que sean específicamente permitidos. Las circunstancias que no se ajusten a las reglas previamente especificadas son descartados y un mensaje es enviado al demonio Syslog. Este algoritmo definido se deberá tener presente cuanto se realice el diseño lógico del firewall.

3

Page 4: Firewall Cisco Pix

Laboratorio de Redes y Sistemas Operativos

8.-Formas de Interconexión. El equipo posee dos formas de interconexión para su configuración consola(serial) y telnet(red) siendo la más recomendada para estos efectos la consola por ser más segura al interactuar directamente con el equipo sin el posible cruce por intermediarios de ningún tipo. Para utilizar una conexión del tipo consola se debe poseer un cable especial proporcionado por cisco, que adecua la entrada del puerto de consola del Firewall a un puerto serial del tipo db-9 o db-25, además de necesitar un programa de comunicación serial como minicom o hyperterminal en el PC de trabajo. La configuración necesaria del software de comunicación serial es una velocidad de conexión de 9600 baudios y 8N1, o sea 8 bits de data , Sin paridad y 1 bit de parada. Además de tener que emular un terminal vt100 de preferencia. Es bueno recordar que las correspondencias de dispositivos serial entre windows y unix son:

Windows Unix COM1 /dev/ttyS0 COM2 /dev/ttyS1

Para su interconexión por red deberemos de tener las tarjeta de red interna (tarjeta que comunica a la red protegida) configurada y debemos seleccionar un host el cual será autorizado para la configuración vía red. Nunca ase podrá configurar vía red desde una red no segura. 9.-Descripción de la información de booteo. Al partir o bootear el Firewall nos encontraremos que este nos entrega una serie de mensajes como los que mostramos a continuación de los cuales detallaremos y destacaremos lo más importante: CISCO SYSTEMS PIX FIREWALL Embedded BIOS Version 4.3.207 01/02/02 16:12:22.73 Compiled by morlee 32 MB RAM - cantidad de memoria que posee la maquina PCI Device Table. Bus Dev Func VendID DevID Class Irq 00 00 00 8086 7192 Host Bridge 00 07 00 8086 7110 ISA Bridge 00 07 01 8086 7111 IDE Controller 00 07 02 8086 7112 Serial Bus 9 00 07 03 8086 7113 PCI Bridge 00 0D 00 8086 1209 Ethernet 11 00 0E 00 8086 1209 Ethernet 10

Tabla de dispositivos que posee el sistema se destacan las interfaces ethernet y la puerta de consola o serial. Cisco Secure PIX Firewall BIOS (4.2) #0: Mon Dec 31 08:34:35 PST 2001 Platform PIX-506E System Flash=E28F640J3 @ 0xfff00000 Use BREAK or ESC to interrupt flash boot. Use SPACE to begin flash boot immediately.

En este punto es posible interrumpir el booteo para entrar a un modo de monitoreo que permite modificar parámetros del equipo modos de inicialización y carga del sistema operativo.

4

Page 5: Firewall Cisco Pix

Laboratorio de Redes y Sistemas Operativos

Reading 2490880 bytes of image from flash. 32MB RAM System Flash=E28F640J3 @ 0xfff00000 BIOS Flash=am29f400b @ 0xd8000 mcwa i82559 Ethernet at irq 11 MAC: 000b.46d0.3300 mcwa i82559 Ethernet at irq 10 MAC: 000b.46d0.32ff ----------------------------------------------------------------------- || || || || |||| |||| ..:||||||:..:||||||:.. c i s c o S y s t e m s Private Internet eXchange ----------------------------------------------------------------------- Cisco PIX Firewall Cisco PIX Firewall Version 6.1(4) Licensed Features: Failover: Disabled VPN-DES: Enabled VPN-3DES: Disabled Maximum Interfaces: 2 Cut-through Proxy: Enabled Guards: Enabled Websense: Enabled Inside Hosts: Unlimited Throughput: Limited ISAKMP peers: Unlimited Versión del sistema operativo y estado de caracteristicas posibles de ocupar. ****************************** Warning ******************************* Compliance with U.S. Export Laws and Regulations - Encryption. This product performs encryption and is regulated for export by the U.S. Government. This product is not authorized for use by persons located outside the United States and Canada that do not have prior approval from Cisco Systems, Inc. or the U.S. Government. This product may not be exported outside the U.S. and Canada either by physical or electronic means without PRIOR approval of Cisco Systems, Inc. or the U.S. Government. Persons outside the U.S. and Canada may not re-export, resell or transfer this product by either physical or electronic means without prior approval of Cisco Systems, Inc. or the U.S. Government. ******************************* Warning ******************************* Copyright (c) 1996-2000 by Cisco Systems, Inc. Restricted Rights Legend Use, duplication, or disclosure by the Government is subject to restrictions as set forth in subparagraph (c) of the Commercial Computer Software - Restricted Rights clause at FAR sec. 52.227-19 and subparagraph (c) (1) (ii) of the Rights in Technical Data and Computer

5

Page 6: Firewall Cisco Pix

Laboratorio de Redes y Sistemas Operativos

Software clause at DFARS sec. 252.227-7013. Cisco Systems, Inc. 170 West Tasman Drive San Jose, California 95134-1706 Cryptochecksum(changed): d41d8cd9 8f00b204 e9800998 ecf8427e Mensajes que explican normas y leyes a los que se ajusta el equipo. 10.-Configuración del PIX 506E La configuración del Firewall PIX se puede dividir en configuración de un Firewall nuevo y configuración de firewall’s ya configurados anteriormente la cual a su vez de subdivide en la suma de varios pasos sistemáticos como se describe a continuación: 10.0 Configuración de un firewall nuevo. Al encender un PIX nuevo nos enfrentaremos tras la etapa de booteo con que el sistema nos enfrenta a una serie de preguntas para el ingreso de la configuración inicial del sistema de la siguiente manera (todas las palabras en cursiva son opcionales y propias del ejemplo, las opciones a las que no se les da un valor especifico declaran que uno acepta el valor propuesto entre [] ): Pre-configure PIX Firewall now through interactive prompts [yes]? yes Enable password [cisco]: Clock (UTC): Year [2003]: Month [Apr]: Day [18]: Time [20:33:22]: Inside IP address [192.168.0.1]: 192.168.0.1 Inside network mask [255.255.255.0]: 255.255.255.0 Host name [PIX-1]: PIX-1 Domain name [labredes]: labredes.elo.utfsm.cl IP address of host running PIX Device Manager [192.168.0.2]: 192.168.0.2 The following configuration will be used: Enable password: cisco Clock (UTC): 20:33:22 Apr 18 2003 Inside IP address: 192.168.0.1 Inside network mask: 255.255.255.0 Host name: PIX-1 Domain name: labredes.elo.utfsm.cl IP address of host running PIX Device Manager: 192.168.0.2 Use this configuration and write to flash? yes Building configuration... Cryptochecksum: 592cce45 6209852c 6a3aec07 a94bf361 [OK] Tras esto el firewall se encuentra con la configuración básica mínima que le permite operar.

6

Page 7: Firewall Cisco Pix

Laboratorio de Redes y Sistemas Operativos

10.1 Análisis de Estado.-(Definir IP a usar).

El primer paso para la configuración de un Firewall o reconfiguración es definir los datos con los cuales este operara (Nombres del equipos, nombre de interfaces, etc...), pero lo más importante es definir las IP que serán ocupadas por el equipo ya sea asociadas a sus NIC o para uso de asignación dinámica (enmascaramiento) debiendo ser al menos 2 en el caso del PIX 506E o más en caso de ser otro equipo o ocuparse poolling de IP’s (definido en el punto 10.4 ). Una de estas IP debe de ser valida si se esta pensando una implementación clásica en que el Firewall se encuentra conectado a Internet protegiendo una o mas redes privadas que pueden poseer o no IP’s validas(ver figura 3).

Inside 192.168.0.1 security 100

Outside 209.78.45.1 security 0

Dmz2 199.16.17.1

Dmz1 192.168.1.1 Firewall PIX

Figura 3.

En el caso especifico del PIX 506E una de estas IP será utilizada por una de las interfase del Firewall para su conexión a la red interna o protegida y las demás para su uso por parte de la interfaz de salida y proceso de enmascaramiento. En las mayorías de los casos es también necesario conocer la IP del router de salida por defecto para el proceso de encaminamiento de los datos. Tras tener recopilados estos datos se deberá a la identificación de las interfaces.

10.2 Identificar cada Interfaz (nameif). En esta etapa se procede a la identificación de las interfaces por medio de la asociación de nombres, este proceso comúnmente se realiza solo en Firewall nuevos, pudiendo también realizarse renombramientos en Firewall usados mediante el mismo comando y procedimiento. Para poder ver los nombres asociados a las interfaces se utiliza el comando show nameif y para asociar un nombre a una interfase se utiliza el comando nameif los cuales deben ser ejecutados en el modo privilegiado. Para administrar las interfaces de su equipo, también se verán el comando interface e ip address, los que servirán para configurar velocidades de conexión, habilitar o deshabilitar las interfaces y configurar las ip de las interfaces respectivamente. El comando nameif posee el siguiente prototipo: nameif hardware_id interface security_level Donde: Hardware_id: el nombre asociado a las tarjetas de red, Ej. Si se posee 2 tarjetas ethernet se usaría ethernet0 o ethernet1.

7

Page 8: Firewall Cisco Pix

Laboratorio de Redes y Sistemas Operativos

Interface: nombre que se le puede asociar a la interfase limitado a 48 caracteres máximo, comúnmente el máquinas de dos interfaces se utilizan los nombres inside y outside para identificar las tarjetas conectadas a la red interna y externa respectivamente. Security_level: nivel de seguridad asociado a la interface, este numero va entre 0 y 100 y se puede asociar al nivel de confianza de la red conectada a ella, este nivel de seguridad también definirá la forma en que permitiremos el paso de trafico de una interfase a otra con distinto nivel de seguridad basado si este es mayor o menor que el nivel de la primera. EJ. nameif ethernet0 outside security0 nameif ethernet1 inside security100

10.3 Asignación de IP (interface, ip address) Antes de estudiar la asignación de ip a una interfase se pasará por el comando interface es te comando posee el siguiente prototipo: Interface hardware_id hardware_speed [shutdown] Hardware_id : idem a nameif. Hardware_speed: es la velocidad en mbps a la que operará la tarjeta, el PIX posee tarjetas intel 10/100 y generalmente este parámetro es seteado en auto. Shutdown: el parámetro optativo shutdown permite deshabilitar una tarjeta temporalmente. Como lo muestra el prototipo este comando sirve para establecer la velocidad de operación de las interfaces de red y también para deshabilitarlas temporalmente en caso de necesitarse. El comando ip address permite setear la IP y mascara a una interfaz de red determinada, para los Pix que poseen solo dos inveraces de red el prototipo de esta función es como sigue: ip address inside ip_address netmask ip address outside ip_address netmask donde: ip_address es la dirección ip a signar a la interfaz. netmask es la correspondiente mascara asociada a la interfaz. Para poder visualizar las asignaciones de Ip hechas se utiliza el comando show ip , siempre es necesario especificar una mascara de red a las interfaces. EJ. ip address inside 192.168.1.1 255.255.255.0

10.4 Permitiendo conexiones de Salida.(nat, global, access-list) Como se comento ya , a cada interfaz se le asignan distintos niveles de seguridad, en el caso propio del PIX 506E se tendrá una interfaz de nivel de seguridad 100 que es la interfaz interna y una de nivel de seguridad 0 que es la externa. Cuando se quiera permitir conexiones entre una interfaz de mayor nivel de seguridad de otra de salida de los datos se utilizarán los comando nat y global. Para autorizar trafico en la dirección opuesta se utiliza el comando access-list.

8

Page 9: Firewall Cisco Pix

Laboratorio de Redes y Sistemas Operativos

Para visualizar ingresos hechos con el comando nat o global se utilizan los comandos show nat o show global respectivamente, para borrar ingresos hechos por los mismos comandos se utiliza la forma no de Cisco IOS, o sea, se antepone no y un espacio al comando que genero la entrada. El prototipo estándar de el comando nat es: nat (if_name) nat_id local_ip [netmask] donde: if_name es el nombre de la interfaz de red nat_id se utiliza para agrupar comandos nat y global local_ip ip interna desde la cual se aceptaran las conexiones, si se especifica un 0 en este campo se permitirá que todos los host en la red interna establezcan conexiones salientes. netmask es la mascara de red para la ip local antes ingresada, si este campo se especifica 0 esta permitiendo a todas las conexiones salientes sean enmascaradas por las ip designadas en un global pool (conjunto de ip’s definidas mediante el comando global). Ej. nat (inside) 1 0 0 permite todas las conexiones salientes desde la interfaz interior. El prototipo estándar del comando global es: global (if_name) nat_id global_ip[-global_ip] [netmask global_mask] donde: if_name es el nombre de la interfaz de red nat_id se utiliza para agrupar comandos nat y global global_ip una ip o un conjunto de ip que se utilizarán para enmascara las conexiones salientes. netmask palabra reservada para la especificación de la mascara de red. global_mask es la mascara de red para la global_ip especificada anteriormente. Ej. conjunto del uso nat y global. nat (inside) 1 0 0 global (outside) 1 209.45.78.1-209.45.78.10 netmask 255.255.255.224 prototipo para el comando access-list: access-list acl-name [deny|permit] protocol src_addr src_mask operator dest_addr dest_mask operator port donde: acl-name nombre para la acl , se puede ocupar un nombre o un número.

9

Page 10: Firewall Cisco Pix

Laboratorio de Redes y Sistemas Operativos

deny especifica la opción de denegar el paquete que cumpla con las características especificadas en el resto del comando. permit especifica la opción de permitir el paquete que cumpla con las características especificadas en el resto del comando. Protocol nombre o numero de un prtocolo ip, debe ser manejado por el PIX. src_addr ip de la dirección de fuente del paquete. Se puede usar en conjunto con los modificadores any o host que implican src_mask de valores 0.0.0.0 y 255.255.255.255 respectivamente. src_mask mascara de red asociada a src_addr. Operator operador de comparación que permite indicar un puerto o rango de puertos, puede tener valores, eq, lt, gt, neq y range. dest_addr dirección ip del destino del paquete. dest_mask mascara asociada a dest_addr. Port puerto asociado a la conexión. Ej. access-list acl-grp permit tcp any 209.165.201.0 255.255.255.224 access-list acl-dmz1 deny tcp any host 192.168.1.4 range ftp telnet

10.5 Creación de Ruta por defecto.(route) Se usa el comando route para setear la ruta por defecto a el router de salida , se puede utilizar el comando show route para ver las entradas hechas por medio del comando route. Ej de ruta por defecto: route outside 0 0 209.165.201.2 1 Prototipo del comando route. route if_name ip_address netmask gateway_ip [metric] donde if_name nombre de la interfaz a la que se le asocia la ruta ip_address dirección ip de la red destino, 0.0.0.0 especifica ruta por defecto. Netmask mascara de red asociada a ip_address, 0.0.0.0 especifica ruta por defecto. gateway_ip especifica la ip del route gateway de la red especificada. [metric] parámetros optativo que especifica la distancia administrativa del gateway. Generalmente se mide en numero de saltos. Ej. route dmz 192.168.0.0 255.255.255.0 192.168.1.5 1

10

Page 11: Firewall Cisco Pix

Laboratorio de Redes y Sistemas Operativos

10.6 Configuración de Rutas.

Como el firewall no es un router , se deben crear rutas estáticas para permitir el paso de los paquetes o conexiones entre las distintas subredes, además de estas rutas que le permitirán al Pix encaminar los datos debe de utilizarse el comando static para definir rutas o paso entre dos redes. El prototipo del comando static. static [(internal_if_name, extrenal_if_name)] global_ip local_ip [netmask network_mask] donde: internal_if_name nombre de una interfaz interna extrenal_if_name nombre de una interfaz externa global_ip una dirección de ip global para el uso en enmascaramiento. local_ip la dirección ip perteneciente a la red interna. network_mask mascara de red perteneciente a ambas ip’s anteriores. Ej. static (inside, outside) 10.42.1.0 10.3.1.0

10.7 Permitir acceso a mensajes de PING.(access-list, access-group, conduit) Es recomendable por razones de prueba de conectividad y uso el permitir el paso de paquetes del tipo icmp por el firewall lo cual se hace con el comando access-list antes explicado, un ejemplo de esto es access-list acl_out permit icmp any any para poder utilizar esta acl se deberá aplicar a una interfaz por medio del comando access-group el cual mediante la sintaxis access-group acl-name [in|out] interface if_name permite la asignación de la acl acl-name a la entrada in o salida out de la interfaz if_name. Ej. access-group acl_out in interface outside Se recuerda que para borrar acl o desasocialas solo basta ejecutar el comando no seguido del comando que produjo en ingreso a eliminar. Existe además el comando conduit que permite asignar una cierta regla a todas las interfaces , por ejemplo en el caso del ping quedaría conduit permit icmp any any Las entradas hechas por medio de este comando pueden ser vistas con show conduit.

11

Page 12: Firewall Cisco Pix

Laboratorio de Redes y Sistemas Operativos

10.8 Haciendo la configuración permanente.

Una vez que ya se posee una configuración más o menos completa o de trabajo, la idea es mantenerla sobre rebooteos de la maquina para esto se debe grabar los cambios hechos en la memoria no volátil de firewall lo que se hace con el comando write memory seguido del comando reload que rebootea el equipo esto no siempre es necesario hacerlo pero es recomendable en las primeras configuraciones.

10.9 Comprobación de las configuraciones. Una vez guardada la configuración y posiblemente rebooteado el equipo, es recomendable el revisar la configuración por medio del comando show seguido de los parámetros revisar, lo mas común a ejecutar es: show ip address show global show nat show route Verifique que las salidas de los comandos correspondan a los datos ingresados por usted.

10.10 Configuración de acceso a consola de telnet. En los Pix no basta con configurar la red para poder tener acceso telnet al equipo este debe ser autorizado explícitamente mediante el comando telnet que posee el siguiente prototipo: telnet ip_addr netmask if_name ip_addr ip del host desde el cual se pretende la conexión telnet netmask mascara de red asociada a ip_addr. if_name nombre de la interfaz por la cual se realiza la conexión Ej. telnet 192.168.1.2 255.255.255.255 inside

10.11 Configuración de acceso a servidores internos. En esta sección no se detallarán nuevos comandos ya que por medio de los ya explicado se podrán realizar estas labores, la idea de esta sección es ponerse en casos de configuración típicos a ser enfrentados por el administrador del equipo (en este caso especifico los alumnos). La normativa primordial que se a ocupado hasta el momento es prevenir accesos no autorizados a ala red interna, por esto el acceso a servidores ubicados justamente en nuestra red interna será específicamente tratado, para el permitir este acceso peligroso se utilizarán los comandos static, access-list, access-group. Con static se proveerá una dirección IP a los usuarios de una interfaz de nivel de seguridad bajo puedan usar para el acceso a un server ubicado en una interfaz más segura. access-list define los permisos para como los usuarios pueden acceder a la dirección global.

12

Page 13: Firewall Cisco Pix

Laboratorio de Redes y Sistemas Operativos

access-group asocia la access-list a una interfaz y flujo respectivo. Ej. static (dmz3, outside) 209.165.201.3 192.168.3.3 netmask 255.255.255.255 access-list acl_out permit tcp any host 209.165.201.3 eq www access-group acl_out in interface outside o sea, para acceder al servidor web ubicado en la interfaz dmz3 desde outside se accederá con la ip 209.165.201.3 y solo es permitido el trafico del tipo www. Sea ilustra o intenta ilustrar que las acl permiten restringir o permitir trafico en distintas direcciones he interfaces pudiéndose así realizar variados tipos de filtrados en pro de la maximización de la seguridad en las redes interconectadas, otros casos típicos son restringir a usuarios (host’s) el comenzar conexiones, restringir a usuarios el acceso a servidores específicos, etc...

10.12 Habilitando Syslog. Viendo mensajes a través de la consola serial. Para habilitar el logeo de mensajes se utiliza el comando logging de la siguiente forma : logging buffered level donde level es el nivel mínimo de mensajes a logear algunos de estos mensajes puede ser debugging, alerts, notification,errors, warrings, entre otros.

10.13 Viendo mensajes a través de una consola de telnet. Para visualizar los mensajes enviados por syslog directamente en la consola utilize el comando logging con el argumento monito de la siguiente forma: logging monitor y terminal monitor para deshabilitar los mensajes se utilizan los comandos : terminal no monitor no logging monitor

10.14 Enviando mensajes a un servidor de Syslog. Para enviar los mensajes a un servidor syslog se deben de ejecutar los siguientes pasos:

Definir el host servidor de syslog por medio del comando logging host. Ej. logging host inside 192.168.0.2 Definir el nivel de logeo con el comando logging trap

Ej. logging trap debugging Comenzar el envió de mensajes por medio del comando logging on , se puede usar no logging on para detener el envió.

13

Page 14: Firewall Cisco Pix

Laboratorio de Redes y Sistemas Operativos

10.15 Configurando Syslog en Unix para la recepción de mensajes.

Bastará reiniciar el servidor syslog de la maquina para la recepción de mensajes remotos. Se recuerda que para detener el servicio syslog en linux de puede acceder a la carpeta /etc/INIT.d y ahí ejecutar el comando ./syslog stop, lo que detendrá el servicio tras esto ejecutar syslogd –r que arranca el servicio con escucha de mensajes remotos. Es recomendable el modificar la configuración de syslog en /etc/syslog.conf para separar los registros del Pix de los de la maquina pero este tema no será tratado aquí por ahora.

10.16 Bloqueando controles Active X y JAVA y URL`s Para bloquear controles activex o java que generalmente vienen en las paginas web entre los tag <object> </object> se utiliza el comando filter con la opción activex o java Prototipo de filter filter activex port local_ip mask foreing_ip mask filter java port[-port] local_ip mask foreing_ip mask filter url http|except local_ip mask foreing_ip mask [allow] donde activex bloquea activex, java applets y otros html incluidos entre <objects> java bloquea java applets retornado al PIX como resultado de una conexión saliente. url bloquea una URL que mueva data a través del PIX. http filtra solamente http URL’s except crea una excepción a una condición previa de filtrado port el puerto por el cual el Pix recibe el trafico web port[-port] uno o mas puertos en el cual el applet java puede ser recibido. Local_ip la ip sobre interfaz de alta seguridad a la cual acceda el trafico, 0 implica todas. Local_mask mascara asociada a local_ip, 0 especifica todos los host. Foreing_ip la ip sobre interfaz de baja seguridad a la cual acceda el trafico, 0 implica todas. foreing_mask mascara asociada a local_ip, 0 especifica todos los host. Allow cuando un server no esta disponible, la conexión pasa a través del firewall sin ser filtrada. Las entradas hechas por medio de filter pueden ser borradas con el comando no , y pueden ser vistas con el comando show filter.

14

Page 15: Firewall Cisco Pix

Laboratorio de Redes y Sistemas Operativos

Para proveer filtrado de url la red debe poseer un servidor websense el cual debe ser especificado por medio del comando url-server (if_name) host ip_server timeout time Ej. filter activex 80 0 0 0 0 filter java 80 0 0 0 0 url-server (inside) host 10.0.1.1 filter url http 0 0 0 0 filter url except 10.0.2.54 255.255.255.255 0 0 Cualquier duda, error encontrado, o sugerencias acerca de esta guía por favor comunicársela al autor al correo [email protected]. De antemano muchas gracias.

15