PDF de programación - Como configurar un Cisco Pixes

Imágen de pdf Como configurar un Cisco Pixes

Como configurar un Cisco Pixesgráfica de visualizaciones

Actualizado el 10 de Noviembre del 2018 (Publicado el 06 de Noviembre del 2018)
209 visualizaciones desde el 06 de Noviembre del 2018
75,7 KB
16 paginas
Creado hace 8a (24/12/2009)
COMO CONFIGURAR UN CISCO PIXES

##########################################

Introduccion al Cisco PIX Firewall 2009-12-25

##########################################

--[ Contenidos

1 - Introduccion
2 - Conceptos antes de empezar
3 - Configuracion basica
4 - NAT "Network Address Traslation"
5 - PAT "Port Address Traslation"
6 - Armando el Ruteado
7 - Reglas de filtrado
8 - Restringiendo el acceso
8.1 - Logueandonos al PIX
8.2 - Privilegios de los usuarios
9 - Configurando el Syslog
10 - Todo lo no cubierto
11 - Referencias

--[ 1 - Introduccion

Este articulo es una introduccion a la filosofia y configuracion basica de un
Cisco PIX Firewall. Estara focalizado mas en la parte practica que teorica, y
acompañado con comentarios de diferentes experiencias.

Se puede decir que el fuerte de Cisco Systems, y lo que la mayoria conoce, son
sus routers. Por ello, constantemente compararemos a los routers de Cisco con
su firewall.

Si bien este articulo es solo una introduccion, contiene todo lo necesario para
configurar y administrar un PIX desde cero, y darles las herramientas para poder
seguir investigando. O por lo menos esa es la idea, no los aburro mas...

Pueden enviarme cualquier consulta o comentario relacionado a este articulo.

--[ 2 - Conceptos antes de empezar

PIX "Private Internet eXchange" es el firewall de Cisco Systems para su linea
de productos de seguridad "Cisco Secure". Originalmente el PIX fue construido
por una empresa llamada TNI "Translation Networks Inc.", hasta que fue adquirida
por Cisco, y en 1994 salio al mercado como el primer producto comercial para
hacer NAT.

Al contrario de la creencia popular, el sistema operativo del PIX no es un IOS
con las access lists mejoradas, sino que fue especialmente dise~ado y bautizado
con el nombre de FOS "Finesse Operating System". La ultima version del FOS es
la 6.3.

Dentro de las muchas cualidades del PIX, podemos nombrar su SO embebido que
evita los bugs de SO's para propositos generales; el ASA "Adaptive Security
Algorithm" que realiza la inspeccion, y mantiene el estado de las conexiones
y las traslaciones de red; el Cut-through Proxy que permite autenticar a los
usuarios con el PIX utilizando ftp, telnet o http; la opcion de filtrado de
URL's en el PIX utilizando un software externo; su gran performance para armar
VPN's; y la muy reciente posibilidad de manejar VLAN's, entre otras cosas.

Actualmente podemos encontrar la serie 500 de PIX con cinco modelos, el 501,
506E, 515E, 525 y 535. El 501 para uso hogare~o, los 515E, 525 y 535 para
empresas medianas y grandes, y el 506 es un intermedio entre estas dos gamas.
Todos estos modelos conservan el gran poder del PIX y su mayor diferencia se
encuentra en la memoria, trafico, cantidad de interfaces y licencias.

El PIX 501 viene con una licencia de 10 usuarios, pemitiendo atravesar el
firewall solo a 10 direcciones IP de origen. Esta licencia puede ser extendida
a 50 usuarios. El 506 posee una licencia unica en modo ilimitado. El resto de
los modelos puede poseer una licencia Unrestricted (UR) que permite la
instalacion y uso del maximo numero de interfaces y memoria RAM. Este modo
tambien soporta "failover". Una licencia Restricted (R) que limita el uso
de las interfaces y memoria del sistema. Este modo no soporta failover. Y
finalemente la licencia de Failover (FO) que permite al PIX trabajar en una
configuracion de firewall redundante con otro PIX que posea una licencia UR.

El hardware con el cual esta construido el PIX no es nada que no conozcamos.
Si utilizamos el comando "show version" filtrando la salida, esto lo hacemos
con una reducida version del comando "grep" que trae el FOS, podemos obtener
una descripcion. Veamos de que estan hechos los PIX 501, 515 y 525:

Paris# sh ver | grep Hardware
Hardware: PIX-501, 16 MB RAM, CPU Am5x86 133 MHz

Roma# sh ver | grep Hardware
Hardware: PIX-515, 64 MB RAM, CPU Pentium 200 MHz

Arcadia# sh ver | grep Hardware
Hardware: PIX-525, 256 MB RAM, CPU Pentium III 600 MHz

Seguramente deben estar pensando que entonces pueden construirse su propio
PIX, y estan en lo correcto. Lo unico que necesitan es la flash card del PIX,
que es una tarjeta ISA, y la pueden comprar usada a un modico precio en sitios
de venta online. Luego la motherboard, micro y placas de red Intel no les
resultara dificil de conseguir. Este tipo de engendros fue bautizado como
"FrankenPIX". Si les interesa saber mas, en estos links tienen mas informacion:
[Ref. 1, Ref. 2]

--[ 3 - Configuracion basica

Ahora veremos la configuracion basica de un PIX. Notaran que la sintaxis de los
comandos del FOS es muy parecida a la del IOS, o como lo llama Cisco "IOS like".

Para asegurarnos de que estamos comenzando con una configuracion limpia podemos
usar "write erase" para borrar la configuracion, y "reload" para reiniciar el
firewall. Todo esto deberemos hacerlo conectados al PIX con un cable de consola
ya que todavia no hemos configurado una direccion IP para acceder de otra forma.

La primera vez que accedamos al PIX lo haremos en modo no privilegiado, y nos
aparecera el ">" en el prompt, para pasar a modo privilegiado usaremos el
comando "enable", y el prompt cambiara a "#". Al hacer esto por primera vez,
no nos pedira password ya que aun no lo hemos configurado. Si queremos pasar
a modo de configuracion utilizaremos el comando "configure terminal" y el
prompt cambiara a "(config)#".

pixfirewall> enable
pixfirewall# configure terminal
pixfirewall(config)# quit
pixfirewall# disable
pixfirewall>

Algo muy practico, es que desde el modo de configuracion podemos utilizar todos
los comandos que se encuentran fuera de este modo. Esto no podemos hacerlo en el
IOS. Otra cosa que si se encuentra disponible en el IOS, y no esta disponible en
el FOS, es la posibilidad de que los comandos se autocompleten con la tecla TAB.

El siguiente paso sera cambiar el hostname del PIX y configurar los passwords
del modo no privilegiado y el modo privilegiado.

pixfirewall(config)# hostname Arcadia
Arcadia(config)# password mal0r
Arcadia(config)# enable password MUYmal0r

El valor maximo del password es de 16 bytes, y utiliza un hash MD5 encodeado en
base64. El IOS usa 1000 MD5 Update rounds para dificultar un brute force del
password, mientras que el FOS utiliza solo uno. Cisco recomienda usar politicas
de passwords fuertes, y crear usuarios/passwords en la base de datos local que
veremos mas adelante.

Al momento de configurar las interfaces de red del PIX debemos tener en cuenta
el nivel de seguridad de cada una de ellas. El nivel de seguridad indica la
confianza que se tiene de una interfaz respecto a otra en relacion a la red que
tiene conectada. Por ejemplo, una interfaz conectada a Internet va a ser de
menor confianza que otra conectada a nuestra red privada.

Algo muy importante sobre los niveles de seguridad, es que una interfaz con un
nivel de seguridad alto, puede acceder a otra interfaz con un nivel de seguridad
bajo, y una interfaz con un nivel de seguridad bajo, no puede acceder a otra
interfaz con un nivel de seguridad alto.

La interfaz de red conectada a la red interna, en adelante "inside", poseera el
nivel de seguridad mas alto que corresponde a 100. Mientras que la interfaz
conectada a Internet, en adelante "outside", poseera el nivel de seguridad mas
bajo que corresponde a 0. Estas asignaciones son las default del PIX, y aunque

podemos cambiarlas no es recomendable hacerlo.

Una curiosidad, es que la interfaz Ethernet 0 siempre sera la outside, y la
Ethernet 1 siempre sera la inside. Cisco lo definio de esta forma, para asociar
el 0 con la "O" de outside, y el 1 con la "I" de inside.

Los niveles de seguridad del 1 al 99, pueden ser asignados a otras interfaces
segun el nivel de confianza que le tengamos. Por ejemplo, a una red DMZ podemos
asignarle el nivel de seguridad 75, y el nombre "dmz". Esto lo hacemos usando
el comando "nameif".

Arcadia(config)# nameif ethernet2 dmz sec50
Arcadia(config)# show nameif
nameif ethernet0 outside security0
nameif ethernet1 inside security100
nameif ethernet2 dmz security75
nameif ethernet3 dmz2 security50

Luego debemos utilizar el comando "interface", para configurar la velocidad de
la interfaz y que quede completamente activa.

Arcadia(config)# interface ethernet2 100full

Cada interfaz del PIX debe poseer una direccion IP. Esto lo configuramos con el
comando "ip address", donde a la interfaz la podemos llamar con el nombre que le
pusimos, por ejemplo "dmz", en lugar del nombre de hardware "ethernet2".

Arcadia(config)# ip address dmz 192.168.0.1 255.255.255.0

Para ver la configuracion actual que esta corriendo en la RAM usamos el comando
"show running-config", para guardar la configuracion en la memoria Flash usamos
el comando "write memory", y para ver la configuracion de la Flash usamos el
comando "show startup-config".

Si queremos guardar una copia de la configuracion, podemos utilizar el comando
"write net" para enviarla a un TFTP, o hacer un "show run" y copiar la salida
manualmente a un archivo.

Arcadia# write net 10.0.0.10:archivo.conf
Building configuration...
TFTP write 'archivo.conf' at 10.0.0.10 on interface 1
[OK]

Les dejo a su criterio evaluar el metodo mas seguro.

--[ 4 - NAT "Network Address Translation"

Dentro de las principales virtudes que posee el PIX, se encuentra su gran
robustes para realizar NAT's. Esta caracteristica nos ayudara a resolver
problemas de superposicion de direcciones IP, y principalmente a fortaleser
nuestro dise~o de seguridad.

La superposicion de direcciones IP es algo muy comun cuando conectamos nuestra

red a otra que utiliza los mismos rangos de direcciones IP que nosotros. En
estos casos podemos usar NAT's para trasladar una direccion IP a otra que no
se suporponga con la nuestra.

Al comenzar a dise~ar la seguridad de nuestra red debemos tene
  • Links de descarga
http://lwp-l.com/pdf14134  

Comentarios de: Como configurar un Cisco Pixes (0)


No hay comentarios
 

Comentar...

Nombre
Correo (no se visualiza en la web)
Valoración
Comentarios
Es necesario revisar y aceptar las políticas de privacidad

Revisar política de publicidad