Configurando Firewall en Un Router Cisco 3700.

5/10/2018 Configurando Firewall en Un Router Cisco 3700. - slidepdf.com

http://slidepdf.com/reader/full/configurando-firewall-en-un-router-cisco-3700 1/27

TALLER DE FIREWALLS.

CONFIGURANDO FIREWALL EN UN ROUTER

CISCO 3700 CON ADMINISTRADOR GRAFICO SDM.

POR:Maicol Muñoz.

INSTRUCTOR:

Andres Mauricio Ortiz.

Tecnólogo en administración de redes informáticas.

Gestión de la seguridad de la red.

35442.

Servicio nacional de aprendizaje (SENA) - Antioquia

Centro de Servicios y Gestión Empresarial.(CESGE)



INTRODUCCION.

La seguridad es la principal defensa que puede tener una organización si

desea conectarse a Internet, dado que expone su información privada yarquitectura de red a los intrusos de Internet . El Firewall ofrece estaseguridad, mediante:Políticas de seguridad, determinando que serviciosde la red pueden ser accesados y quienes pueden utilizar estos recursos,manteniendo al margen a los usuarios no-autorizados.



MARCO TEORICO.

Que es un Firewall.

Un Firewall se encarga de filtrar el trafico entre distintas redes, comomínimo dos. Puedeser un dispositivo físico o un software que corre sobre un sistema

operativo. En general, sepuede ver como un sistema con dos o mas interfaces de red para las

cuales se fijan reglasde filtrado que determinan si una conexión puede establecerse o no.

Incluso puede realizar modificaciones sobre las comunicaciones como lo hace NAT.

Dependiendo de las necesidades de cada red, puede ponerse uno o masFirewall paraestablecer distintos perímetros de seguridad en torno a un sistema. Es

frecuente tambiénque se necesite exponer algún servidor a internet (como es el caso de un

servidor web, unservidor de correo, etc.), y en esos casos, en principio, se debe aceptar

cualquier conexión a ellos.

Lo que se recomienda en esa situación es situar ese servidor en un lugar aparte de lared interna, el que denominamos DMZ o zona desmilitarizada.

En la zona desmilitarizada se pueden poner tantos servidores como senecesiten. Con estaarquitectura, permitimos que el servidor sea accesible desde internet de

tal forma que si esatacado y se gana acceso la red local sigue protegida por el Firewall.

En conclusión, cualquier Firewall generalmente no tiene mas que unconjunto de reglas quepermiten examinar el origen y destino de los paquetes que viajan a través

de la red. Haydos maneras de implementarlo:



1. Política por defecto ACEPTAR: todo lo que entra y sale por el Firewallse acepta ysolo se denegara lo que se diga explícitamente.

2. Política por defecto DENEGAR: todo esta denegado, y solo se permitirápasar por el Firewall aquello que se permita explícitamente.

Es importante el orden en que se establecen las reglas, ya que ellas seleen en formasecuencial. Cuando se encuentra una regla para un paquete, no se mira

el resto de las

reglas para ese paquete, por lo que si se ponen reglas permisivas entrelas primeras delFirewall, puede que las siguientes no se apliquen por lo que no servirá de

nada.



Requerimientos:

*Router Cisco 3700.*Red LAN.*Red WAN.

Configuración.

Configurando la WAN

Router>enableRouter#configure terminalRouter(config)#interface fastEthernet 0/1Router(config-if)#ip address dhcpRouter(config-if)#no shutdownRouter(config-if)#exit

Configurando la LAN

Router>enableRouter#configure terminalRouter(config)#interface fastEthernet 0/0Router(config-if)#ip address 192.168.90.1 255.255.255.0Router(config-if)#no shutdownRouter(config-if)#exitEn lo anterior simplemente configuramos la WAN para que recibadirección y la LAN con unaIP en mi caso esta en la subred 192.168.90.0/24.



Configurando SDM:

Router>enableRouter#configure terminal

##Aquí crearemos un usuario con nivel de privilegios 15 con sucontraseña.Router(config)#username sdm privilege 15 password sdm

##Aquí habilitaremos el servidor HTTP y HTTPS y se creara un certificado.Router(config)#ip http server Router(config)#ip http secure-server % Generating 1024 bit RSA keys, keys will be non-exportable...[OK]

*Mar 1 00:05:07.491: %SSH-5-ENABLED: SSH 1.99 has been enabled*Mar 1 00:05:08.079: %PKI-4-NOAUTOSAVE: Configuration was modified.Issue "writememory" to save new certificate

##Ahora permitiremos el ingreso via SSH y telnet para finalizar.Router(config)#ip http authentication localRouter(config)#line vty 0 4

Router(config-line)#login localRouter(config-line)#transport input telnet ssh

Listo, con esto habremos finalizado en el router.

Ahora lo que haremos sera instalar el SDM para tener acceso remoto anuestro router ,esto lo deberemos de hacer en cualquier maquina denuestra red LAN.En nuestro caso sera una maquina Windows XP que tiene una ip denuestro rango 192.168.90.10 con mascara 255.255.255.0 y puerta deenlace 192.168.90.1 .

Previamente debemos tener instalado el Java en su versión mas recientey el Mozilla Firefox. Como cualquier programa en Windows el SDM seinstala de la siguiente manera:



Seleccionamos Cisco SDM y nos aparecerá un recuadro dondeespecificaremos la ip o dirección gateway de nuestra red LAN(192.168.90.1).



Ahora nos pedirá autenticación, esto lo hacemos con el usuario que

creamos en el router.



Nos volveremos a autenticar, ahora contra JAVA.El mismo usuario del router.



Esta es la interfaz del SDM, esta contiene muchas cosas interesantes queles recomiendo explorar, en este caso nos centraremos en configurar elFirewall y el NAT.

Configurando NAT:

En este momento este PC tiene acceso al router mas no tiene salida aInternet, para estodeberemos hacer traducción de direcciones o NAT.

Elegimos configurar, NAT, NAT básica.



Ahora especificaremos la interfaces de salida a internet que es la f0/1y también especificamos la interfaces de nuestra red LAN f0/0.



Ya terminado nuestro NAT pasaremos a la configuración del Firewall y susrespectivas reglas.



Seleccionamos la interfaces de salida a internet y la interfaces de nuestrared LAN.



Ahora comenzaremos a crear las reglas en el Firewall.

La anterior imagen nos muestra que tenemos dos tráficos,uno de origen yotro vuelta.

El trafico de origen es básicamente el trafico que se genera en nuestra redLAN y que se dirige hacia internet.

Y el trafico de vuelta es básicamente la respuesta a esa petición quehemos generado en nuestra red LAN.

Nota:El Firewall cisco trabaja en modo Stateless.



Comenzaremos con la reglas generadas en nuestra red LAN.Configuraremos la salida hacia Http y DNS.



Lo que especificamos en la anterior imagen fue permitir una red de origenque es nuestra red LAN (192.168.90.0) con mascara wildcard, con elprotocolo tcp con cualquier servicio de origen (any),hacia cualquier red ohost de destino y por el servicio o puerto de destino Http (www).

De la misma manera haremos la regla para nuestro DNS por los dosprotocolos tcp y udp.



Ya hechas nuestras reglas de salida a internet ya solo bastara con poner la regla de denegación de todo ,por los protocolos tcp y udp.



Y así nos quedaría nuestras reglas de origen.



Ahora tendremos que crear la reglas de respuesta o vuelta.Es casi igual lo único que cambia es que ya deberemos cambiar el origenpor el destino y listo.



Y finalizado nos quedara así nuestras reglas de vuelta.

Ya con estas reglas tendremos salida a internet.Así como todo lo anterior se podrán crear reglas para cualquier tipo deservicio o puerto que desea abrir.



GLOSARIO.

DMZ:Una DMZ es una red con seguridad perimetral, lo que se hace es ubicar una subred entre la lan y la wan.

LAN:Una red de área local.

WAN:Las Redes de área amplia.

Router:Enrutador, encaminador. Dispositivo hardware o software para

interconexión de redes de computadoras que opera en la capa tres (nivelde red) del modelo OSI. El router interconecta segmentos de red o redesenteras. Hace pasar paquetes de datos entre redes tomando como base lainformación de la capa de red.

SDM:SDM es la abreviatura de Cisco Router and Security Device Manager. Unaherramienta de mantenimiento basada en una interfaz web desarrolladapor Cisco. No es simplemente una interfaz web. Es una herramienta java

accesible a través del navegador.Esta herramienta soporta un amplio numero de routers Cisco IOS. En laactualidad se entrega preinstalado en la mayoría de los routers nuevos deCisco.

SSH:SSH (Secure SHell, en español: intérprete de órdenes segura) es elnombre de un protocolo y del programa que lo implementa, y sirve paraacceder a máquinas remotas a través de una red. Permite manejar por completo la computadora mediante un intérprete de comandos, y tambiénpuede redirigir el tráfico de X para poder ejecutar programas gráficos sitenemos un Servidor X (en sistemas Unix y Windows) corriendo.



JAVA:Java es un lenguaje de programación.Existe un gran número de aplicaciones y sitios Web que no funcionan amenos que Java esté instalado, y muchas más que se crean a diario. Javaes rápido, seguro y fiable. De portátiles a centros de datos, de consolas de

juegos a súper equipos científicos, de teléfonos móviles a Internet, Javaestá en todas partes.

NAT:En las redes de computadoras , NAT es el proceso de modificación de ladirección IP de información en los encabezados de paquetes IP , mientrasque en tránsito a través de un tráfico de dispositivos de enrutamientoEl tipo más simple de NAT proporciona una traducción a una de lasdirecciones IP.

DNS:Es un sistema de nomenclatura jerárquica para computadoras, servicios ocualquier recurso conectado a Internet o a una red privada. Este sistemaasocia información variada con nombres de dominios asignado a cada unode los participantes. Su función más importante, es traducir (resolver)nombres inteligibles para los humanos en identificadores binariosasociados con los equipos conectados a la red, esto con el propósito depoder localizar y direccionar estos equipos mundialmente.

TCP:

Es uno de los principales protocolos de la capa de transporte del modeloTCP/IP. En el nivel de aplicación, posibilita la administración de datos quevienen del nivel más bajo del modelo, o van hacia él, (es decir, el protocoloIP). Cuando se proporcionan los datos al protocolo IP, los agrupa endatagramas IP, fijando el campo del protocolo en 6 (para que sepa conanticipación que el protocolo es TCP). TCP es un protocolo orientado aconexión, es decir, que permite que dos máquinas que están comunicadascontrolen el estado de la transmisión.



UDP:UDP son las siglas de Protocolo de Datagrama de Usuario (en inglés User Datagram Protocol) un protocolo sin conexión que, como TCP, funciona enredes IP.UDP/IP proporciona muy pocos servicios de recuperación de errores,

ofreciendo en su lugar una manera directa de enviar y recibir datagramasa través una red IP. Se utiliza sobre todo cuando la velocidad es un factor importante en la transmisión de la información, por ejemplo, RealAudioutiliza el UDP.El FTP utiliza TCP/IP, mientras que TFTP utiliza UDP. TFTP son las siglasde Protocolo de Transferencia de Archivos Triviales (en inglés Trivial FileTransfer Protocol), y puesto que es trivial, perder algo de información en latransferencia no es crucial

Stateless:Crear reglas de ida y de respuesta.

Statefull:Crear reglas de ida y las reglas de respuestas son automáticas no hay quecrearlas.

Mascara wildcard:Una máscara wildcard es sencillamente una agrupación de 32 bits dividida

en cuatro bloques de ocho bits cada uno (octetos). La apariencia de unamáscara wildcard le recordará probablemente a una máscara de subred.Salvo esa apariencia, no existe otra relación entre ambas.Por ejemplo, una máscara wildcard puede tener este aspecto:192.168.1.0mascara normal 255.255.255.0 mascara wildcard 0.0.0.255.mascara normal 255.255.0.0 mascara wildcard 0.0.255.255mascara normal 255.0.0.0 mascara wildcard 0.255.255.255

Configurando Firewall en Un Router Cisco 3700.

Documents

Transcript of Configurando Firewall en Un Router Cisco 3700.