Firewall Cisco

Seguridad de la red

Diseo del plan de seguridad de la informacin

Fase 2 Firewall comn en router Cisco

GRUPO MiNdWiDe

JUAN ALEJANDRO BEDOYA

JOSE DE ARLEX DOMINGUEZ

NEIFER ERNEY GIRALDO

JHON FREDY HERRERA

YOJAN LEANDRO USME

ADMINISTRACION DE REDES INFORMATICAS

Mauricio Ortiz

CENTRO DE SERVICIO Y GESTION EMPRESARIAL

SENA (MEDELLIN)

2010

Mind Wide Open BLOG http://jfherrera.wordpress.com

Seguridad de la red | Diseo del plan de seguridad de la informacin GROUP | ???

MiNdWiDe - Group 2

INDICE

Introduccin ......................................................................................................................... 3

Objetivo ............................................................................................................................... 4

Tabla de direccionamiento .................................................................................................... 6

Realizacin de la configuracin bsica en los dispositivos ........................................................................ 7

En R1 ...................................................................................................................................................... 7

En R2 ...................................................................................................................................................... 8

Configuracin del direccionamiento planteado en la tabla de direccionamiento..................................... 9

En R1 ...................................................................................................................................................... 9

En R2 ...................................................................................................................................................... 9

Configuracin PPP con autenticacin CHAP ............................................................................................ 10

En R1 .................................................................................................................................................... 10

En R2 .................................................................................................................................................... 10

Rutas estticas para la internetwork ....................................................................................................... 10

En R1 .................................................................................................................................................... 10

En R2 .................................................................................................................................................... 10

Tabla de enrutamiento de R1 .............................................................................................................. 11

Tabla de enrutamiento de R2 .............................................................................................................. 11

Show interface s0/0............................................................................................................................. 12

Permitir la salida de todos los host de la LAN .......................................................................................... 13

EN R1 (router de frontera) .................................................................................................................. 13

Show ip nat translations ...................................................................................................................... 13

Configurando Firewall en R1 (router de frontera) ................................................................................... 14

Descripcin .......................................................................................................................................... 14

Regla 1 ..................................................................................................................................................... 15

En R1 (router frontera) ........................................................................................................................ 15

Regla 2 ..................................................................................................................................................... 16

En r1 (router frontera) ......................................................................................................................... 16

Regla 3 ..................................................................................................................................................... 17

En R1 .................................................................................................................................................... 17

Conclusiones ....................................................................................................................... 18

Bibliografa ......................................................................................................................... 18



MiNdWiDe - Group 3

Introduccin

La seguridad en las redes de datos de las compaas se ha vuelto un elemento muy importante

para la realizacin de las tareas cotidianas, ya que cada vez manejamos informacin sensible para

nosotros y por ello necesitamos confidencialidad y privacidad. Por eso muchas veces escuchamos

hablar de firewalls.

Un muro de fuego (firewall en ingls) es una parte de un sistema o una red que est diseada para

bloquear el acceso no autorizado, permitiendo al mismo tiempo comunicaciones autorizadas. Se

trata de un dispositivo o conjunto de dispositivos configurados para permitir, limitar, cifrar,

descifrar, las caractersticas de cifrado y descifrado se permiten en un firewall agregando

funcionalidades al mismo convirtindose as en una solucin ms robusta y efectiva. Esta serie de

atributos o comportamientos se aplican al trfico tanto entrante como saliente entre los

diferentes mbitos sobre la base de un conjunto de normas y otros criterios.



MiNdWiDe - Group 4

Objetivo

Realizar la implementacin de un firewall bsico en dispositivos cisco, lo realizaremos con un

router Cisco 3940. Para llevar a cabo esta tarea nos apoyaremos en el emulador de IOS GNS3

Dynamics y Vmware Workstation, el cual no permitir realizar dicha tarea. Y as obtener un

conocimiento sobre cmo realizar dicha implementacin.



MiNdWiDe - Group 6

Tabla de direccionamiento

Dispositivo Interfaz Direccion IPMascara de

subred

Gateway

predeterminada

S0/0 208.67.222.1 255.255.255.252 NO APLICABLE

Fa1/0 172.16.100.254 255.255.255.0 NO APLICABLE

S0/0 208.67.222.2 255.255.255.252 NO APLICABLE

Fa1/0 10.10.0.254 255.255.255.0 NO APLICABLE

SVR-HTTP-SSH-

01NIC 172.16.100.253 255.255.255.0 172.16.100.254

SVR-FTP-SSH-01 NIC 172.16.100.252 255.255.255.0 172.16.100.254

R1

R2



MiNdWiDe - Group 7

Realizacin de la configuracin bsica en los dispositivos

En R1

enable configure t line console 0 logging synchronous exec-timeout 0 0 history size 30 password cisco login exit line vty 0 4 password cisco login logging synchronous exec-timeout 0 0 history size 30 exit enable secret class banner motd & !!!! SOLO PERSONAL AUTORIZADO !!!! & hostname R1 end cop r s



MiNdWiDe - Group 8

En R2

enable configure t line console 0 logging synchronous exec-timeout 0 0 history size 30 password cisco login exit line vty 0 4 password cisco login logging synchronous exec-timeout 0 0 history size 30 exit enable secret class banner motd & !!!! SOLO PERSONAL AUTORIZADO !!!! & hostname R2 end cop r s



MiNdWiDe - Group 9

Configuracin del direccionamiento planteado en la tabla de direccionamiento

En R1

En R2

R1(config)#interface s0/0 R1(config-if)#ip address 208.67.222.1 255.255.255.252 R1(config-if)#no shutdown R1(config-if)#clock rate 64000 R1(config-if)#description LINK TO R2 R1(config-if)#exit R1(config)#interface fa1/0 R1(config-if)#ip address 172.16.100.254 255.255.255.0 R1(config-if)#no shutdown R1(config-if)#description LAN_LOCAL R1(config-if)#exit

R2(config)#interface s0/0 R2(config-if)#ip address 208.67.222.2 255.255.255.252 R2(config-if)#no shutdown R1(config-if)#description LINK TO R2 R2(config-if)#exit R2(config)#interface fa1/0 R2(config-if)#ip address 10.10.0.254 255.255.255.0 R1(config-if)#no shutdown R2(config-if)#description LAN_LOCAL R2(config-if)#exit



MiNdWiDe - Group 10

Configuracin PPP con autenticacin CHAP

En R1

En R2

Rutas estticas para la internetwork

En R1

En R2

Nota: se debe especificar la ruta 198.0.0.0/30 en la tabla de enrutamiento de R2 ya que todo

origen proveniente de la red privada 172.16.100.0/24 ser enmascarado con el rango de ips

globales especificadas en el router R1.

R1(config)#interface s0/0 R1(config-if)#encapsulation ppp R1(config-if)#ppp authentication chap R1(config-if)#ppp chap password cisco123 R1(config-if)#exit R1(config)#username R2 password cisco123

R2(config)#interface s0/0 R2(config-if)#encapsulation ppp R2(config-if)#ppp authentication chap R2(config-if)#ppp chap password cisco123 R2(config-if)#exit R2(config)#username R1 password cisco123

R1(config)#ip route 0.0.0.0 0.0.0.0 s0/0

R2(config)#ip route 172.16.100.0 255.255.255.0 s0/0 R2(config)#ip route 198.0.0.0 255.255.255.252 s0/0



MiNdWiDe - Group 11

Tabla de enrutamiento de R1

Tabla de enrutamiento de R2



MiNdWiDe - Group 12

Show interface s0/0

R2#show interfaces s0/0 Serial0/0 is up, line protocol is up Hardware is M4T Description: LINK TO R1 Internet address is 208.67.222.2/30 MTU 1500 bytes, BW 1544 Kbit, DLY 20000 usec, reliability 255/255, txload 1/255, rxload 1/255 Encapsulation PPP, crc 16, loopback not set Keepalive set (10 sec) Restart-Delay is 0 secs LCP Open Open: IPCP, CDPCP Last input 00:00:03, output 00:00:03, output hang never Last clearing of "show interface" counters 00:15:37 Input queue: 0/75/0/0 (size/max/drops/flushes); Total output drops: 0 Queueing strategy: weighted fair Output queue: 0/1000/64/0 (size/max total/threshold/drops) Conversations 0/1/256 (active/max active/max total) Reserved Conversations 0/0 (allocated/max allocated) 5 minute input rate 0 bits/sec, 0 packets/sec 5 minute output rate 0 bits/sec, 0 packets/sec 220 packets input, 10171 bytes, 0 no buffer Received 0 broadcasts, 0 runts, 0 giants, 0 throttles 0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored, 0 abort 217 packets output, 10600 bytes, 0 underruns 0 output errors, 0 collisions, 0 interface resets 0 output buffer failures, 0 output buffers swapped out 0 carrier transitions DCD=up DSR=up DTR=up RTS=up CTS=up



MiNdWiDe - Group 13

Permitir la salida de todos los host de la LAN

EN R1 (router de frontera)

Show ip nat translations

R1(config)#ip access-list standard ACL_CLIENTES R1(config-std-nacl)#permit 172.16.100.0 0.0.0.255 R1(config-std-nacl)#deny any R1(config)#ip nat pool POOL_GLOBAL 198.0.0.1 198.0.0.2 netmask 255.255.255.252 R1(config)#ip nat inside source list ACL_CLIENTES pool POOL_GLOBAL overload R1(config)#interface s0/0 R1(config-if)#ip nat outside R1(config-if)#exit R1(config)#interface f1/0 R1(config-if)#ip nat inside

R1#show ip nat translations Pro Inside global Inside local Outside local Outside global icmp 198.0.0.1:4900 172.16.100.254:4900 208.67.222.2:4900 208.67.222.2:4900 icmp 198.0.0.1:4901 172.16.100.254:4901 208.67.222.2:4901 208.67.222.2:4901 icmp 198.0.0.1:4902 172.16.100.254:4902 208.67.222.2:4902 208.67.222.2:4902 icmp 198.0.0.1:4903 172.16.100.254:4903 208.67.222.2:4903 208.67.222.2:4903 icmp 198.0.0.1:4904 172.16.100.254:4904 208.67.222.2:4904 208.67.222.2:4904



MiNdWiDe - Group 14

Configurando Firewall en R1 (router de frontera)

Descripcin

La LAN_LOCAL tiene publicado para el exterior los siguientes servicios de red:

FTP.

HTTP.

SSH.

El servidor de nombre SVR-FTP-SSH-01 ejecuta los servicios de FTP y SSH sobre la plataforma Linux

(CentOS 5.4), con una direccin IPv4 172.16.100.252/24.

El servidor de nombre SVR-HTTP-SSH-01 ejecuta los servicios de HTTP y SSH sobre la plataforma

Linux (CentOS 5.4), con una direccin IPv4 172.16.100.253/24.

Teniendo esto claro procederemos a configurar nuestras polticas.



MiNdWiDe - Group 15

Regla 1

Permitir que solo los host de la LAN_LOCAL puedan tener acceso a internet y no otra red.

En R1 (router frontera)

Nota: bueno el comando al final log es muy til ya que si por algn motivo queremos o tenemos

montado un servidor de syslog en nuestra red, podemos hacerle un seguimiento a las polticas

implementadas en los routers de una forma centralizada y por supuesto cmoda.

R1(config)#ip access-list extended LAN_LOCAL R1(config-ext-nacl)#permit ip 172.16.100.0 0.0.0.255 any log R1(config-ext-nacl)#deny ip any any log R1(config-ext-nacl)#exit R1(config)#interface fa1/0 R1(config-if)#ip access-group LAN_LOCAL in

R1# 01:20:09: %SEC-6-IPACCESSLOGP: list LAN_LOCAL denied udp 192.168.10.48(0) -> 192 .168.10.255(0), 2 packets



MiNdWiDe - Group 16

Regla 2

Publicacin de los servicios de red para poder acceder desde Internet.

En r1 (router frontera)

Nota: Bueno en esta pequea seccin definimos o mejor publicamos a internet los servicios de

nuestra LAN_LOCAL como lo especificamos anteriormente FTP, HTTP y SSH.

Adicionalmente modificamos uno de los puertos en SVR-HTTP-SSH-01 ya que el puerto 22 ya es

utilizado por SVR-FTP-SSH-01 entonces tuvimos que poner a escuchar a el demonio de SSH en el

puerto 222 (Esto para poder diferenciar el trafico de SSH entre los dos servidores de SSH).

R1(config)#ip nat inside source static tcp 172.16.100.252 21 interface s0/0 21 R1(config)#ip nat inside source static tcp 172.16.100.252 20 interface s0/0 20 R1(config)#ip nat inside source static tcp 172.16.100.252 22 interface s0/0 22 R1(config)#ip nat inside source static tcp 172.16.100.253 80 interface s0/0 80 R1(config)#ip nat inside source static tcp 172.16.100.253 222 interface s0/0 222



MiNdWiDe - Group 17

Regla 3

Ahora que ya hemos publicado los servicios procederemos a permitir conexiones desde internet

solo esos servicios.

En R1

Nota: Con estas reglas finales estaremos primero que todo definiendo el acceso a los servicios que

hemos publicado, y denegamos todo otro tipo de trfico que se intente establecer desde el

internet.

R1(config)#ip access-list extended SERVICIOS_LAN R1(config-ext-nacl)#permit tcp any host 208.67.222.1 eq 80 log R1(config-ext-nacl)#permit tcp any host 208.67.222.1 eq 21 log R1(config-ext-nacl)#permit tcp any host 208.67.222.1 eq 22 log R1(config-ext-nacl)#permit tcp any host 208.67.222.1 eq 222 log R1(config-ext-nacl)#permit tcp any 172.16.100.0 0.0.0.255 established log R1(config-ext-nacl)#deny icmp any any log R1(config-ext-nacl)#deny ip any any log R1(config)#interface s0/0 R1(config-if)#ip access-group SERVICIOS_LAN in



MiNdWiDe - Group 18

Conclusiones

Su implementacin es fcil de realizar ya que dispone de muchas fuentes de informacin tanto de

la pgina del fabricante como de comunidades dedicadas a soluciones cisco.

Flexibilidad a la hora de crear un entorno de prueba ya que hay herramientas que permiten la

simulacin de este tipo de soluciones.

Este tipo de implementaciones requieren de gastos significativos para una entidad.

Bibliografa

http://www.cisco.com/en/US/products/sw/secursw/ps1018/products_tech_note09186a00800a5

b9a.shtml

http://www.cisco.com/en/US/tech/tk713/tk507/technologies_configuration_example09186a0080

094333.shtml

http://www.cisco.com/en/US/tech/tk648/tk361/technologies_q_and_a_item09186a00800e523b.

shtml

http://www.gns3.net/



MiNdWiDe - Group 19

Gracias Juan Alejandro Bedoya

Jose De Arlex Dominguez

Neifer Erney Giraldo

Jhon Fredy Herrera

Yojan Leandro Usme

Documents

Firewall Cisco