Manual Firewall Router

5/6/2018 Manual Firewall Router - slidepdf.com

http://slidepdf.com/reader/full/manual-firewall-router 1/33

IMPLEMENTACIÒN DE FIREWALL EN UN ROUTER CISCO

Por

Wilmer Arlex Castrillòn

Grupo

38110

Instructor

Mauricio Ortiz

Centro de servicios y gestión empresaria

Tecnólogo en administración de redes

Sena

Medellín

2011



2

Introducción

En este trabajo les daré a conocer como implementar y configurar una firewall en un router cisco a

través de un entorno web. Se mostrara como instalar el entorno web para el router cisco. El

entono web más utilizado en router cisco se llama SDM.

SDM se hace llamar a entorno grafico para realizar previas configuraciones en un routers. Desde

duchi SDM se puede configurar enrutamiento, firewall, IDS, interfaces, etc. En este caso vamos a

utilizar el SDM para implementar un firewall.

SDM Administrador del dispositivo de seguridad de Cisco. Cisco SDM es una herramienta de

software basada en el explorador web, diseñada para configurar LAN, WAN y funciones de

seguridad en un router.

Un router o servidor de acceso, o varios de ellos, designados como búfer entre cualquier red

pública conectada y una red privada. Un router que actúe como firewall utilizará listas de acceso

así como otros métodos para asegurarse de la seguridad de la red privada.

Un firewall es una parte de un sistema o una red que está diseñada para bloquear el acceso no

autorizado, permitiendo al mismo tiempo comunicaciones autorizadas. Se trata de un dispositivo o

conjunto de dispositivos configurados para permitir, limitar, cifrar, descifrar, el tráfico entre los

diferentes ámbitos sobre la base de un conjunto de normas y otros criterios.



3

Implementación de firewall en router cisco

Que es un firewall?

Es un elemento de una red que lo que me permite es filtrar el trafico que viene hacia mi red LAN.

La principal función de un firewall es denegar o permitir el tráfico que viene de una red a otra. Me

permite bloquear conexiones no autorizadas que llegan hacia la red.

Para la implementación de un firewall en un router primero debemos realizar consultar que el IOS

del router tiene soporte para implementar un firewall, de lo contrario no se podría implementar.

Como no contamos con un router real que soporte un firewall, dicha implementación se hará con

gns3. GNS3 es simulador grafico de redes que le permitirá diseñar fácilmente topologías de red y

luego ejecutar simulación en el, exporte IOS de router, switches, etc. Gns3 hace lo que dispositivos

se emulen como si fueran reales y podamos conectarlos a un host o una red.

En este ejemplo trabamos con un router 3700 marca cisco.

Actividad planteada

Escenario a trabajar

En la siguiente imagen se muestra a continuación se ve la simulación en gns3 a implementar el

firewall. Como observamos tenemos dos redes (LAN y WAN) y el medio el router 3700. También se

observa la configuración con la cual se va a trabajar.



4

Para empezar la configuración en el router damos clic derecho sobre él y elegimos la opción

consola o también se puede ingresar a la consola de router en el icono de la consola.

Dentro de la consola del router procedemos a configurar las interfaces, para ello se ejecutan los

comandos que se muestran en la imagen siguiente en un recuadro rojo. Primero vamos a

configurar la interfaz que está del lado de la red LAN.

Comandos a ejecutar:

en: hace referencia a enable y entramos a como privilegiado

Config t: hace referencia a configure terminal para ingresar al modo de configuración global

Int f0/0: ingresar al modo de configuración de la interfaz.

Ip add: asignar a la interfaz una dirección Ip estática.

no sh: encender la interfaz.do wr: guardamos cambios de configuración en el router.



5

Procedemos a configurar la otra interfaz que es la que está al lado de la WAN. Ejecutamos los

mismos comandos pero esta vez no único que cambia en que la dirección ip va a hacer asignada

por dhcp

Luego vamos a verificar la configuración anterior, entramos al modo privilegiado e ingresamos el

comando show ip interface brief para listas la configuración de la interfaces.

Nota: simulamos que la dirección Ip 192.168.10.121 es la WAN por que a través de esa es que

salimos a internet y como no contamos con un dirección Ip publica nos toca realizar el trabajo de

esa forma.



6

Ahora procedemos a configurar en el router el serbio http para poder realizar la configuración del

firewall desde un sitio web. Para habilitar debemos de ejecutar los comandos mostrador en la

imagen siguiente dentro de un recuadro rojo.

Para ingresar al sitio web del router, nos dirigimos a un equipo con sistema operativo XP que está

dentro de la red LAN y vamos a instalar SDM y uno de los requemamientos para instalar SMD es

java script.

SMD: Cisco SDM es una herramienta de software basada en el explorador web, diseñada para

configurar LAN, WAN y funciones de seguridad en un router. Consulte el apartado Pasos iniciales

para obtener más información.



7

Abrimos la carpeta SDM de la imagen anterior y ejecutamos el archivo ejecutable para instalar

SDM. En ejecutable normalmente en Windows se hace llamar setup, damos doble clic sobre el

para empezar el proceso de instalación.

Cuando realizamos en paso anterior nos aparecerá un wizar de instalación del SMD. En la imagen

siguiente muestran las recomendaciones antes de continuar con la instalación y seguimos el

asistente.



8

Aceptamos los términos de licencia de cisco SDM y damos clic en continuar.

Seleccionamos la ubicación a instalar cisco SDM. En este caso lo vamos a realizar en el equipo.



9

Nos aparece por defecto la ruta en el equipo donde se va a instalar el SDM, lo dejamos por defecto

y continuamos con el proceso de instalación.

Damos clic en instalar.



10

Cuando termina el proceso de instalación nos aparece una imagen como la siguiente

seleccionamos la opción iniciar cisco SDM y damos clic en finalizar.

Nos va a aparecer un SDM Launcher donde especificamos la dirección ip del router para ingresar

al vía web. Pero antes de eso vamos a probar conectividad con el router, abrimos la consola CMD

de Windows listamos el direccionamiento ip del equipo para verificar que si este dentro del misma

red del router y con el comando ping verificamos conectividad,



11

Especificamos la dirección ip del router que está del lado de la red LAN y habilitamos la opción

Este dispositivo tiene activado HTTPS y deseo utilizarlo, esto nos va a permitir una transferencia

de información con la aplicación de forma segura y damos clic en iniciar.

Al dar iniciar en el paso anterior se va a abrir el navegar pero autoicamente ingresando al router y

nos va a salir una ventana pidiendo autenticación para ingresar al sitio web del router. Ingresamos

con el usuario y la contraseña creada cuando se estaba habilitando en http por consola en el

router



12

Este es el sitio web del router donde vamos a realizar la configuración del firewall y también se

pueden realizar otras configuración pero la que nos interesa en estos momentos es la

configuración del firewall.

Ahora vamos a realizar las previas configuraciones para ello vamos a la pestaña configurar. Lo

primero a configurar son las reglas de NAT. NAT significa traducción de dirección de red, existen

dos formas de realizar reglas de NAT que son:

Reglas en Prerouting: Son las reglas que me permiten redireccionar las peticiones de servicios

que vienen desde la red WAN hacia los servicios internos que contiene un host.

Reglas en Postrouting: Son reglas que me permiten enmascarar la red LAN con la dirección ip

publica del router para que los hosts que están dentro de la red LAN puedan acceder a internetpor medio de la dirección ip publica del router ya que las direcciones ip privadas no pueden salir a

internet.

Nota: Recuerden que como no contamos con una dirección ip publica colocamos un dirección ip

privada la cual tiene acceso a internet por medio de un modem asignado por un ISP.



13

Estando en la pestaña configurar nos dirigimos a la opción NAT que está en la parte izquierda de la

imagen que se muestra a continuación, seleccionamos la tarea NAT avanzada y damos clic en

iniciar la tarea seleccionada.



14

Luego de iniciar tarea anterior nos aparece un wizar dándonos una bienvenida al asistente y nos

da una introducción a lo que es NAT y damos clic en siguiente.

Con el siguiente wizar creamos las reglas en Postrouting y en Prerouting.

Seleccionamos la interfaz en el router que se conecta a internet o a su proveedor de servicios ISP.



15

Cuando realizamos el paso anterior nos aparece una imagen como la que se muestra a

continuación y por defecto el wizar toma la otra interfaz del router cono id de red LAN, marcamos

la casilla que la red que debe salir a internet y damos clic en siquiente.

Con los pasos realizados hasta ahora ya tenemos creada la regla en Postrouting, lo que sigue acontinuación serán los pasos para crear la reglas en Prerouting.



16

Damos clic en agregar para empezar a crear las reglas en Prerouting.

Nos devolvemos al diagrama para verificar los servicios que hay en la red LAN. Primero vamos a

realizar la regla de Prerouting para en servicio servidor web, ingresamos los campos requeridos en

la ventana que se muestra a continuación y aceptamos.



17

Volvemos a ir a la opción agregar e ingresamos los datos requeridos para el servicio de correo

electrónico.

De igual manera realizamos los dos pasos anteriores para crear la regla de nateo en Prerouting

para el servicio pop3. En el campo tipo de servidor colocamos otros ya que no aparece en servicio

pop3 y luego especificamos el puerto del pop3 de resto los dos primeros parámetros siempre van

a ser iguales.



18

Si lo anterior se hizo correctamente nos debe aparecer una imagen como la que se muestra a

continuación donde podremos observar las reglas creadas de NAT en Prerouting y damos clic en

continuar.



19

Damos clic en finalizar si estamos de acuerdo con las reglas que se van a crear.

Esperamos a que se ejecuten los comando en el router y damos clic en aceptar.



20

Aquí nos muestra las reglas en NAT (prerouting y postrouting) que aplicaron en el router.

Configuración de firewall



21

Procedemos a configurar el firewall y es muy sencillo de realizar, para ellos nos dirigimos a la

opción firewall y ACL, luego seleccionamos la tarea firewall avanzado y damos clic en iniciar tarea

seleccionada.

Nos aparece un asistente para configurar el firewall y en el primera ventana damos clic en

siguiente.



22

Elegimos la interfaz fiable y no fiable. La interfaz fiable es la interfaz que esta conectada a la red

LAN y la interfaz no fiable es la interfaz que va conectada a la red WAN.

Por defecto se trae un política por defecto, utilizamos esa opción de que utilice la política por

defecto y damos clic en continuar.



23

Resumen de la configuración del firewall. No se especifica ninguna regla manualmente en el

firewall por que el toma las reglas de NAT ya creadas y con respecto a esas reglas crea sus reglas

en el firewall y finalizamos.

Nos aparece una advertencia del servicio dhcp ya que tenemos la interfaz no fiable para que

obtenga dirección por dhcp y seleccionamos la opción si para permiten que el trafico dhcp entre al

a través firewall y que el firewall no bloquee la comunicación dhcp.

En esta alerta es para que no se afecte la configuración de las reglas de NAT y seleccionamos la

opción si para estar de acuerdo con la alerta.



24

Esperamos que se apliquen los comandos en el router de las reglas en el firewall.

Nos aparece una imagen como la siguiente donde nos dice que se ha configurado correctamente

en firewall en el router.

En la imagen siguiente se muestran las reglas que se aplicaron al tráfico de origen.



25

Y luego vamos a la opción trafico de vuelta para ver las reglas que se crearon en el firewall para el

tráfico de vuelta o sea el tráfico que viene desde la red WAN.

Desde un equipo que este en la red WAN vamos a realizarle un ping para probar conectividad,

listamos la configuración del equipo para verificar que si este dentro de la red WAN y realizamos

en ping. Si en el transcurso del ping nos aparece que el paquete ping es filtrado podemos afirmar

que el firewall está funcionando. En la imagen siguiente se muestra lo dicho anteriormente.



26

Luego nos dirigimos a un equipo dentro de la re LAN y probamos conectividad con el router. Desde

el equipo listamos su configuración ip y nos dirigimos a probar en ping. En el transcurso del ping

no debe aparecer que el ping sea filtrador que el router está conectado a la interfaz fiable.



27

Nos dirigimos la pestaña configurar y el elegimos la opción NAT y vamos a empezar a realizar las

pruebas de las reglas de NAT. La primera regla en probar en la regla de NAT en postrouting en esta

al final de la lista.

De nuevo nos dirigimos al equipo de la red LAN y vamos a acceder a internet para probar la regla

de NAT en postrouting. Si accedemos a internet desde el host de la LAN es porque la regla de NAT

en postrouting esta funcionando correctamente.



28

De nuevo nos vamos ver la lista de las reglas de NAT y la segunda regla en probar es la regla en

prerouting para el servidor web.

Luego nos vamos a la máquina de la red LAN e ingresamos al sitio web que tenemos localmente y

al cual se va a redireccionar cuando haya un petición por la interfaz no fiable del router.

Nos dirigimos a el equipo de la red WAN, en la parte izquierda de la imagen siguiente aparece la

configuración del equipo y en la parte derecha de la imagen siguiente se muestra como se ingresa

al sitio web de la red LAN. Desde dicho equipo se abre el navegador y se accede con la dirección ip

que tiene el router en la interfaz no fiable y cuando el router recibe la petición hacia en servicio

web como existe un regla de NAT, el router redireccionar el tráfico hacia el host especifico que

tiene el servicio web.



29

De nuevo nos dirigimos a la lista de las reglas de NAT y vamos a probar la segunda regla que es el

servicio de correo electrónico (smtp).

Ahora desde el equipo local vamos a verificar que si tenemos el servicio de correo electrónico.

Para ello realizamos una prueba con el comando telnet y aplicamos dicho comando localmente.

Si tenemos el servicio de correo electrónico corriendo en la maquina local y aplicando el comando

telnet correctamente nos debe aparecer lo mismo que se muestra en la imagen que se muestra a

continuación en un recuadro rojo.



30

Ahora desde la maquina que está en la red WAN vamos a realizar la misma prueba con el comando

telnet pero esta vez no aplicándolo localmente si no que aplicamos el comando telnet a la

dirección ip que tiene el router en la interfaz no fiable y como el router tiene una regla de nateo

en prerouting para el servicio SMTP se va a redireccionar todo el trafico SMTP a hacia el hosts que

tiene el servicio de correo localmente.

Al utilizar el comando telnet debemos de colocar el puerto del servicio al final del comando, y si

aparece los mismo realizado en el paso anterior pero esta vez desde la red WAN debe de aparecer

como se muestra en la imagen siguiente en un recuadro rojo.



31

Ahora vamos a realizar la prueba del servicio pop3, nos vamos a las listas de las reglas de NAT para

mostrar cual es la regla que se va a probar.

Desde el equipo de la red LAN verificamos que tengamos el servicio encendido para ellos

ejecutamos el comando telnet localmente y al final del comando colocamos el puerto por dondeescucha las peticiones el servicio pop3. Si todo está bien al aplicar el comando en la imagen

siguiente se muestra lo que debe salir cuando el servicio pop3 esta corriendo.



32

Luego de realizar la prueba anterior localmente procedemos a realizar la prueba desde el equipo

desde la red WAN. Ejecutamos el comando telnet a la interfaz no fiable de router y cuando el

router reciba peticiones hacia el servicio pop3 por la interfaz no fiable va a redireccionar el tráfico

hacia el hosts que tiene el servicio pop3. Si todo está bien y la regla se aplica correctamente en la

imagen siguiente nos muestra dentro de un recuadro rojo lo que debe de salir al ejecutar el

comando telnet.

Ya hemos llegado al final de este manual y las reglas de NAT y de firewall se están aplicando

correctamente.



33

Conclusiones

El firewall es uno de los elementos de red que se debe implementar para brindar

seguridad en el tráfico que se transmite desde una red a otra.

Las reglas de NAT en postrouting son las reglas más utilizadas a nivel mundial en redes ya

que me van a permitir la salida a internet a todos los hosts de la red LAN con una soladirección ip.

La seguridad en una red LAN es primordial ya que al implementar un firewall vamos a

tener control que las conexiones que se vayan a realizar hacia la red internet desde una

red no confiable como lo es internet.

Documents

Manual Firewall Router