Esta es la versin html del archivo https://educnet.decom-uv.cl/educnet/uploads/Quinta %20Experiencia.pdf?nombre=p224/Quinta%20Experiencia.pdf. G o o g l e genera automticamente versions html de los documentos mientras explora la web. Para vincularse a esta pgina o para marcarla, utilice el siguiente url: http://www.google.com/search? q=cache:VEObJqsLP_0J:https://educnet.decomuv.cl/educnet/uploads/Quinta%2520Experiencia.pdf%3Fnombre %3Dp224/Quinta %2520Experiencia.pdf+configuracion+basica+de+un+pix+501&hl=es&ct=cln k&cd=7&gl=mxGoogle no tiene relacin con los autores de esta pgina ni es responsable de su contenido.

Se han resaltado estos trminos de bsqueda: pix 501 Estos trminos slo aparecen en enlaces que apuntan a esta pgina: configuracion basica

Page 1Taller de Redes Quinta Experiencia

Quinta Experiencia Configuracin bsica Firewall PIX 501 1.- ObjetivoEsta experiencia tiene como objetivo aprender la configuracin bsica de un Firewall PIX, como tambin aprender las caractersticas de este y las diferencias y/o similitudes con otros dispositivos de interconexin como es el caso del Router 2600. 1.1.- Configuracin bsica Frewall PIX 501 1.2.- Diferencias entre Router y Firewall dentro del contexto de permisos. 1.3.- Creacin Listas de acceso -ACL

2. Materiales2.1.- Firewall PIX 501 2.2.- Estaciones de trabajo Windows/Linux 2.3.- Patch Cord 2.4.- Programa de comunicacin serial HyperTerminal

3.- Conceptos bsicos acerca de un FirewallEn esta experiencia se utilizar el trmino Firewall para referirnos a la mquina conectada a Internet. Aqu es donde se implementarn las directrices de seguridad. El objetivo principal de un Firewall es proteger en lo que hay en el lado del usuario de esta pasarela de lo que hay al otro lado. Una configuracin simple del Firewall recibe el nombre de Firewall bastin, debido a que es la primera lnea de defensa contra cualquier ataque del exterior. Todas las medidas de seguridad se implementan desde este defensor de su entorno. En consecuencia, es el que hace todo lo posible para proteger el sistema. Detrs d esta lnea de defensa se encuentra el equipo o el grupo de equipos del usuario. El propsito de un Firewall puede ser simplemente servir como punto de conexin a Internet para otra mquinas de la LAN.DECOM Universidad de Valparaso - Chile 154

Page 2Taller de Redes Quinta Experiencia

El propsito de un Firewall es hacer cumplir unas determinadas directivas de seguridad. Estas directivas reflejan las decisiones que se han tomado sobre que servicio de Internet deben ser accesibles a los equipos , que servicios se quieren ofrecer al exterior de los equipos que servicios se quieren ofrecer a usuarios remotos o sitios especficos y que servicios y programas se quieren ejecutar localmente para el uso privado. Todas las directivas de seguridad estn relacionadas con el control de acceso y uso autenticado de servicios privados o protegidos y de programas y archivos en los equipos.

4.- Forma de Trabajo de Firewall PIXEl Firewall PIX protege una red interna inside network - de usuarios no autorizados de una red externa outside network -.El Firwall PIX puede proteger opcionalmente uno o mas permetro de la red, tambin conoce zonas desmilitarizadas ( DMZ ). El acceso al permetro de red es menos restringido que el acceso a la red interna inside network -, pero mas restringido que el acceso a la red externa outside network -. Esta conexin entre la red interna, externa y el permetro de red son

controlados por el Firewall PIX. Para utilizar un Firewall con eficiencia en tu organizacin, se necesita tener alta seguridad y asegurar que todo el trfico desde la red protegida pase a travs del Firewall a la red sin proteccin. De esta forma se puede controlar quien debe acceder a la red, con cuales servicios, y como implementar alta seguridad utilizando las caractersticas del Firewall PIX.DECOM Universidad de Valparaso - Chile 155

Page 3Taller de Redes Quinta Experiencia

Figura 5.1: Firewall en una Red En esta arquitectura de red, el Firewall PIX se encuentra al lmite entre la red protegida y la sin proteccin. Todo el flujo de trfico entre una red interna y externa debe mantener seguridad. La red sin proteccin es tpicamente accesible por Internet. Para modelos Firewall PIX con tres o mas interfaces puede ser localizado en un permetro de una red, como es mostrado en la figura 5.1 y el sistemas de acceso al servidor puede ser controlado y monitoreado por el Firewall PIX.

6.- Uso de ACLsEl Firewall PIX utiliza listas de acceso para controlar conexiones entre una red interna y una red externa. Las listas de acceso son implementadas con los comandos acces list y acces group. Estos comandos son utilizado en reemplazo de conduit y outbound, los cuales son utilizados en las primeras versiones de los Firewall PIX.

7.- Soporte de VLanLas Vlan son utilizadas para separar el dominio de broadcast con un solo dispositivo de red. Los Firewall PIX Versin 6.3 pueden rutear el trfico entre este dominio deDECOM Universidad de Valparaso - Chile 156

Page 4Taller de Redes Quinta Experiencia

broadcast, esto se realiza aplicando seguridad al Firewall. EL Firewall PIX tambin soporta el protocolo 802.1q, el cual permite el trfico para mltiples Vlans. Con esta Versin 6.3 puedes definir mltiples interfaces lgicas para una misma interfaz fsica, y de esta forma asignar diferentes Vlan a cada interfaz lgica.

8.- Interconexin con Firewall PIXEl Firewall PIX se puede configurar de dos formas, mediante consola, esto es una entrada serial que va conectada a la mquina, con la cual se pretende comunicar con el Firewall, mientras que en el otro extremo el que va conectado al Firewall mismo tiene un RJ 45. El otro tipo de conexin con el Firewall es va telnet. Para poder realizar la conexin va consola es necesario que la mquina, la cual es conectada al Firewall tenga un programa de comunicacin serial, como el que se ha utilizado en las otras experiencias que es el HyperTerminal. La configuracin necesaria del software de comunicacin serial es una velocidad de conexin de 9600 baudios y 8 bit de data ( 8N1), sin paridad y un bit de parada para conectarse al Firewall

9.- Configuracin de IP en el Firewall PIXAntes de asignar directamente una IP a una interfaz como se realizaba en los casos de Router y Switch, se debe pasar por otros tipos de configuraciones, como; asignar nombre a la interfaz, y su velocidad. Estos pasos previos a setear la IP de una interfaz sern explicados a continuacin El primer paso para la configuracin del Firewall ser definir los datos con los cuales se opera como tambin tener algunas precauciones. Nombre del equipo. Nombre de interfaz. Asignacin de IP asociadas a su NIC o para uso de asignacin dinmica. Una de las IP debe ser vlida si se est pensando en una configuracin clsica donde el Firewall se encuentra conectado a Internet protegiendo a una o mas redes privadas que puedan poseer IP`s vlidas como se puede apreciar en la figura 5.2.DECOM Universidad de Valparaso - Chile 157

Page 5Taller de Redes Quinta Experiencia

Figura 5.2: Firewall protegiendo red privada Una de las IP de el Firewall PIX ser utilizada para su conexin a la red interna o privada. Las dems IP del Firewall sern utilizadas para uso de la interfaz de salida y proceso de enmascaramiento. Generalmente es necesario conocer la IP del Router de salida para el proceso

de encaminamiento de los datos. Despus de tener todos estos datos se deber realizar la identificacin de las interfaces.

9.1.- Asociacin de nombre a la interfaz nameif Con este comando se identifica la interfaz con la asociacin de un nombre. Para poder realizar esta asociacin se utiliza el comando nameif, el cual es ejecutado en modo privilegiado. El comando tiene la siguiente sintaxis nameif hardware_id interface security_levelDECOM Universidad de Valparaso - Chile 158

Page 6Taller de Redes Quinta Experiencia

Hardware_id: El nombre asociado a las tarjetas de red, Ej. Si se posee 2 tarjetas ethernet se usara ethernet0 o ethernet1. Interface: nombre que se le puede asociar a la interfase limitado a 48 caracteres mximo, comnmente en mquinas de dos interfaces se utilizan los nombres inside y outside para identificar las tarjetas conectadas a la red interna y externa respectivamente. Security_level: nivel de seguridad asociado a la interface, este numero va entre 0 y 100 y se puede asociar al nivel de confianza de la red conectada a ella, este nivel de seguridad tambin definir la forma en que permitiremos el paso de trafico de una interfase a otra con distinto nivel de seguridad basado si este es mayor o menor que el nivel de la primera.

9.2.- InterfazEste comando sirve para establecer la velocidad de operacin de las interfaces de red y tambin para deshabilitar temporalmente en caso de necesitarse. Interface hardware_id hardware_speed [shutdown] Hardwar_speed: Es la velocidad en mbps a la que operar la tarjeta Shutdown: El parmetro optativo shutdown permite deshabilitar una tarjeta temporalmente

9.3.- Seteando IPAsignacin de IP a cada interfaz interface - en el Firewall PIX que conecta a otra red, la sintaxis para esto es la siguiente: ip address inside ip_address netmask ip address outside ip_address netmaskDECOM Universidad de Valparaso - Chile 159

Page 7Taller de Redes Quinta Experiencia

ip_address:Es la direccin IP a signar a la interfaz. Netmask: Es la correspondiente mascara asociada a la interfaz. Reemplaza interface_name con algn nombre asignado a cada interfaz del Firewall PIX. Por defecto la interfaz con mas baja seguridad es llamada outside, mientras que la interfaz con mas alta seguridad es llamada incide. Se utiliza el comando nameif para cambiar el nombre de una interfaz Reemplaza ip_address con la IP que se especifica para la interfaz. La direccin IP que es asignada debera ser nica para cada interfaz. No se puede utilizar una direccin IP que previamente ha sido asignada a un Router, Host u otro Firewall, tanto para las direcciones global o estticas. Tomando en consideracin los puntos anteriores, 9.1, 9.2, 9.3, el ejemplo quedara de la siguiente forma. En este ejemplo se ha puesto un nombre inside a la interfaz que pertenece a la red interna inside La primera lnea de comandos setea el nivel de seguridad de la red La segunda lnea de comandos setea la velocidad que operar la tarjeta La tercera lnea de cdigo permite setear la IP y mscara de una interfaz de red determinada pixfirewall(config)# nameif ethernet0 inside security50 pixfirewall(config)# interface ethernet0 100basetx pixfirewall(config)# ip address 192.168.100.11 255.255.255.0 Para eliminar la IP de una de las interfaz se utiliza el siguiente comando pixfirewall(config)#no ip address inside 192.168.100.11 255.255.255.0 Para guardar los cambios de la configuracin del Frewall PIX se utiliza el comando pixfirewall(config)# wr m Building configuration... Cryptochecksum: 6a94b340 458123f0 0cc29da2 a6f9d07d [OK]DECOM

Universidad de Valparaso - Chile 160

Page 8Taller de Redes Quinta Experiencia

pixfirewall(config)# Para visualizar las direcciones IP de las interfaces se utiliza pixfirewall(config)# sh ip System IP Addresses: no ip address mitchell ip address ferrand 192.168.1.1 255.255.255.0 Current IP Addresses: no ip address mitchell ip address ferrand 192.168.1.1 255.255.255.0 Obs: En este ejemplo los nombres de las interfaces se han cambiado. Para ver el nombre que se le ha asignado a cada interfaz se utiliza: pixfirewall(config)# sh nameif nameif ethernet0 mitchell security50 nameif ethernet1 ferrand security90 pixfirewall(config)#

10.-Cambiando nombre de interfaces o niveles de seguridadCada interfaz tiene un nico nombre y nivel de seguridad que puede ser cambiado utilizando el comando nameif. Por defecto, Ethernet 0 es llamada outside red externa - y el nivel de seguridad asignado es 0 ( cero ). Ethernet 1 es llamado inside red interna con el nivel de seguridad 100. Por defecto el permetro de interfaz son llamado intfn. Donde n representa la posicin de la tarjeta de interfaz en el Firewall PIX. El nivel de seguridad por defecto del permetro de interfaz comienza con seguridad 10 para ethernet2 ( intfn2 )y se incrementa por 5 en cada interfaz adicional Utilizando el comando show nameif se pueden ver el current name caractersticas de las interaz - y los niveles de seguridad de cada interfaz . Los resultados con tres interfaz son los siguientes nameif ethernet0 outside security0 nameif ethernet1 inside security100 nameif ethernet2 intf2 security10 Ejemplo: pixfirewall(config)# nameif ethernet1 ferrand security80 pixfirewall(config)# sh nameifDECOM Universidad de Valparaso - Chile 161

Page 9Taller de Redes Quinta Experiencia

nameif ethernet0 mitchell security50 nameif ethernet1 ferrand security80 pixfirewall(config)# Obs: En este ejemplo la interfaz ethernet0 y 1 tienen otro nombre, se encuentran reemplazando a outside e inside a modo de ejemplo, cabe mencionar, que los niveles de seguridad seteados a dichas interfaz se encuentran dentro del contexto de un ejemplo y no responden a una configuracin especfica del Firewall, solo han sido utilizado como prueba de las modificaciones que se pueden realizar en este tipo de configuraciones.

11.- Conexiones de salidaLos niveles de seguridad y el control de acceso entre sistemas en diferentes interfaz y la forma que se restringe o permite depende de la seguridad relativa que se tenga en la interfaz. A las interfaz se les asigna distintos niveles de seguridad, a la interfaz interna se le asigna un nivel de seguridad 100, mientras que a la interfaz externa se le asigna un nivel de seguridad 0. nat y global: Cuando se quiere permitir conexiones entre una interfaz de mayor nivel de seguridad a una de menor. static y acces-list: Estos comandos se utilizan para aceptar trfico en direccin opuesta La sintaxis para el comando nat es la siguiente nat (if_name) nat_id local_ip [netmask] if_name: Es el nombre de la interfaz de red

nat_id: Utilizado para agrupar comandos nat y globalDECOM Universidad de Valparaso - Chile 162

Page 10Taller de Redes Quinta Experiencia

local_ip ip interna desde la cual se aceptaran las conexiones, si se especifica

un 0 en este campo se permitir que todos los host en la red interna establezcan conexiones salientes. Netmask: Es la mascara de red para la IP local antes ingresada, si este campo se especifica 0 esta permitiendo a todas las conexiones salientes sean enmascaradas por las IP designadas en un conjunto de ips definidas mediante el comando global - global pool Ejemplo: pixfirewall(config)# nat (interna) 1 0 0 pixfirewall(config)# sh nat nat (interna) 1 0.0.0.0 0.0.0.0 0 0 nat (ferrand) 1 0.0.0.0 0.0.0.0 0 0 pixfirewall(config)# Obs: En el siguiente ejemplo (interna) pertenece a lo que se denomina como if_nane. El numero 1 es nat_id El numero 0 es Local_ip El prximo numero 0 es Netmask En este ejmplo se esta permitiendo todas las conexiones salientes de la interfaz interior

La sintaxis del comando global esglobal (if_name) nat_id global_ip[-global_ip] [netmask global_mask] if_name: Es el nombre de la interfaz de red nat_id: Se utiliza para agrupar comandos nat y global global_ip:Una ip o un conjunto de ip que se utilizarn para enmascara las conexiones salientes. Netmask:Ppalabra reservada para la especificacin de la mascara de red. global_mask: Mascara de red para la global_ip especificada anteriormente.DECOM Universidad de Valparaso - Chile 163

Page 11Taller de Redes Quinta Experiencia

Ejemplo pixfirewall(config)# global (ferrand) 1 209.165.201.10-209.165.201.20 netmask $ pixfirewall(config)# wr m Building configuration... Cryptochecksum: 506076bb 3fdebab4 fc8ed3d6 500340fe [OK] pixfirewall(config)#

12.- Listas de acceso ACL La sintaxis del comando acces-list es Access-list acl-name [deny|permit] protocol src_addr src_mask operator dest_addr dest_mask operator port acl-name: Nombre de la ACL , en la construccin de las ACL se puede utilizar tanto nombre como nmeros. Protocol: Nombre o numero de un prtocolo ip, debe ser manejado por el PIX. src_addr: IP de la direccin de fuente del paquete. Se puede usar en conjunto con los modificadores any o host que implican src_mask de valores 0.0.0.0 y 255.255.255.255 respectivamente. src_mask: Mascara de red asociada a src_addr. Operator: Operador de comparacin que permite indicar un puerto o rango de puertos, puede tener valores, eq, lt, gt, neq y range. dest_addr: direccin ip del destino del paquete. dest_mask: Mascara asociada a dest_addr. Port: Puerto asociado a la conexin. Recordaremos los permisos de las ACL como se vio en experiencias anteriores:DECOM Universidad de Valparaso - Chile 164

Page 12Taller de Redes Quinta Experiencia

deny especifica la opcin de denegar el paquete que cumpla con las caractersticas especificadas en el resto del comando. permit especifica la opcin de permitir el paquete que cumpla con las caractersticas especificadas en el resto del comando. Ejemplo access-list acl-grp permit tcp any 210.165.201.0 255.255.255.224 access-list acl-dmz1 deny tcp any host 192.168.10.4 range ftp telnet

12.1.- Permitiendo ping Acces-List Para que exista comunicacin entre las mquinas es necesario permitir paquetes del tipo ICMP por el Firewall. Para ser utilizada esta ACL deber ser aplicado a una interfaz que permita la asignacin de la ACL acl-name a la entrada in o salida out de la interfaz if_name . La sintaxis para este comando es la siguiente: access-list acl_out permit icmp any any Para setear en la interfaz que se quiere se utiliza el siguiente comando access-group acl-name [in|out] interface if_name Ejemplo access-group acl_out in interface outside Para borrar una ACL se ejecuta el comando no access-group acl_out in interface outside El siguiente comando permite asignar una cierta regla a todas las interfaz, en el caso de Ping quedara de la siguiente manera conduit permit icmp any anyDECOM Universidad de Valparaso - Chile 165