You are on page 1of 27

TALLER DE FIREWALLS. CONFIGURANDO FIREWALL EN UN ROUTER CISCO 3700 CON ADMINISTRADOR GRAFICO SDM.

POR: Maicol Muoz.

INSTRUCTOR: Andres Mauricio Ortiz.

Tecnlogo en administracin de redes informticas. Gestin de la seguridad de la red. 35442.

Servicio nacional de aprendizaje (SENA) - Antioquia Centro de Servicios y Gestin Empresarial. (CESGE)

INTRODUCCION.
La seguridad es la principal defensa que puede tener una organizacin si desea conectarse a Internet, dado que expone su informacin privada y arquitectura de red a los intrusos de Internet . El Firewall ofrece esta seguridad, mediante:Polticas de seguridad, determinando que servicios de la red pueden ser accesados y quienes pueden utilizar estos recursos, manteniendo al margen a los usuarios no-autorizados.

MARCO TEORICO. Que es un Firewall. Un Firewall se encarga de filtrar el trafico entre distintas redes, como mnimo dos. Puede ser un dispositivo fsico o un software que corre sobre un sistema operativo. En general, se puede ver como un sistema con dos o mas interfaces de red para las cuales se fijan reglas de filtrado que determinan si una conexin puede establecerse o no. Incluso puede realizar modificaciones sobre las comunicaciones como lo hace NAT. Dependiendo de las necesidades de cada red, puede ponerse uno o mas Firewall para establecer distintos permetros de seguridad en torno a un sistema. Es frecuente tambin que se necesite exponer algn servidor a internet (como es el caso de un servidor web, un servidor de correo, etc.), y en esos casos, en principio, se debe aceptar cualquier conexin a ellos. Lo que se recomienda en esa situacin es situar ese servidor en un lugar aparte de la red interna, el que denominamos DMZ o zona desmilitarizada. En la zona desmilitarizada se pueden poner tantos servidores como se necesiten. Con esta arquitectura, permitimos que el servidor sea accesible desde internet de tal forma que si es atacado y se gana acceso la red local sigue protegida por el Firewall. En conclusin, cualquier Firewall generalmente no tiene mas que un conjunto de reglas que permiten examinar el origen y destino de los paquetes que viajan a travs de la red. Hay dos maneras de implementarlo:

1. Poltica por defecto ACEPTAR: todo lo que entra y sale por el Firewall se acepta y solo se denegara lo que se diga explcitamente. 2. Poltica por defecto DENEGAR: todo esta denegado, y solo se permitir pasar por el Firewall aquello que se permita explcitamente. Es importante el orden en que se establecen las reglas, ya que ellas se leen en forma secuencial. Cuando se encuentra una regla para un paquete, no se mira el resto de las reglas para ese paquete, por lo que si se ponen reglas permisivas entre las primeras del Firewall, puede que las siguientes no se apliquen por lo que no servir de nada.

Requerimientos:
*Router Cisco 3700. *Red LAN. *Red WAN.

Configuracin.
Configurando la WAN Router>enable Router#configure terminal Router(config)#interface fastEthernet 0/1 Router(config-if)#ip address dhcp Router(config-if)#no shutdown Router(config-if)#exit Configurando la LAN Router>enable Router#configure terminal Router(config)#interface fastEthernet 0/0 Router(config-if)#ip address 192.168.90.1 255.255.255.0 Router(config-if)#no shutdown Router(config-if)#exit En lo anterior simplemente configuramos la WAN para que reciba direccin y la LAN con una IP en mi caso esta en la subred 192.168.90.0/24.

Configurando SDM: Router>enable Router#configure terminal ##Aqu crearemos un usuario con nivel de privilegios 15 con su contrasea. Router(config)#username sdm privilege 15 password sdm ##Aqu habilitaremos el servidor HTTP y HTTPS y se creara un certificado. Router(config)#ip http server Router(config)#ip http secure-server % Generating 1024 bit RSA keys, keys will be non-exportable...[OK] *Mar 1 00:05:07.491: %SSH-5-ENABLED: SSH 1.99 has been enabled *Mar 1 00:05:08.079: %PKI-4-NOAUTOSAVE: Configuration was modified. Issue "write memory" to save new certificate ##Ahora permitiremos el ingreso via SSH y telnet para finalizar. Router(config)#ip http authentication local Router(config)#line vty 0 4 Router(config-line)#login local Router(config-line)#transport input telnet ssh Listo, con esto habremos finalizado en el router. Ahora lo que haremos sera instalar el SDM para tener acceso remoto a nuestro router ,esto lo deberemos de hacer en cualquier maquina de nuestra red LAN. En nuestro caso sera una maquina Windows XP que tiene una ip de nuestro rango 192.168.90.10 con mascara 255.255.255.0 y puerta de enlace 192.168.90.1 . Previamente debemos tener instalado el Java en su versin mas reciente y el Mozilla Firefox. Como cualquier programa en Windows el SDM se instala de la siguiente manera:

Seleccionamos Cisco SDM y nos aparecer un recuadro donde especificaremos la ip o direccin gateway de nuestra red LAN (192.168.90.1).

Ahora nos pedir autenticacin, esto lo hacemos con el usuario que creamos en el router.

Nos volveremos a autenticar, ahora contra JAVA. El mismo usuario del router.

Esta es la interfaz del SDM, esta contiene muchas cosas interesantes que les recomiendo explorar, en este caso nos centraremos en configurar el Firewall y el NAT.

Configurando NAT: En este momento este PC tiene acceso al router mas no tiene salida a Internet, para esto deberemos hacer traduccin de direcciones o NAT. Elegimos configurar, NAT, NAT bsica.

Ahora especificaremos la interfaces de salida a internet que es la f0/1 y tambin especificamos la interfaces de nuestra red LAN f0/0.

Ya terminado nuestro NAT pasaremos a la configuracin del Firewall y sus respectivas reglas.

Seleccionamos la interfaces de salida a internet y la interfaces de nuestra red LAN.

Ahora comenzaremos a crear las reglas en el Firewall.

La anterior imagen nos muestra que tenemos dos trficos,uno de origen y otro vuelta. El trafico de origen es bsicamente el trafico que se genera en nuestra red LAN y que se dirige hacia internet. Y el trafico de vuelta es bsicamente la respuesta a esa peticin que hemos generado en nuestra red LAN. Nota: El Firewall cisco trabaja en modo Stateless.

Comenzaremos con la reglas generadas en nuestra red LAN. Configuraremos la salida hacia Http y DNS.

Lo que especificamos en la anterior imagen fue permitir una red de origen que es nuestra red LAN (192.168.90.0) con mascara wildcard, con el protocolo tcp con cualquier servicio de origen (any),hacia cualquier red o host de destino y por el servicio o puerto de destino Http (www). De la misma manera haremos la regla para nuestro DNS por los dos protocolos tcp y udp.

Ya hechas nuestras reglas de salida a internet ya solo bastara con poner la regla de denegacin de todo ,por los protocolos tcp y udp.

Y as nos quedara nuestras reglas de origen.

Ahora tendremos que crear la reglas de respuesta o vuelta. Es casi igual lo nico que cambia es que ya deberemos cambiar el origen por el destino y listo.

Y finalizado nos quedara as nuestras reglas de vuelta.

Ya con estas reglas tendremos salida a internet. As como todo lo anterior se podrn crear reglas para cualquier tipo de servicio o puerto que desea abrir.

GLOSARIO. DMZ: Una DMZ es una red con seguridad perimetral, lo que se hace es ubicar una subred entre la lan y la wan. LAN: Una red de rea local. WAN: Las Redes de rea amplia. Router: Enrutador, encaminador. Dispositivo hardware o software para interconexin de redes de computadoras que opera en la capa tres (nivel de red) del modelo OSI. El router interconecta segmentos de red o redes enteras. Hace pasar paquetes de datos entre redes tomando como base la informacin de la capa de red. SDM: SDM es la abreviatura de Cisco Router and Security Device Manager. Una herramienta de mantenimiento basada en una interfaz web desarrollada por Cisco. No es simplemente una interfaz web. Es una herramienta java accesible a travs del navegador. Esta herramienta soporta un amplio numero de routers Cisco IOS. En la actualidad se entrega preinstalado en la mayora de los routers nuevos de Cisco. SSH: SSH (Secure SHell, en espaol: intrprete de rdenes segura) es el nombre de un protocolo y del programa que lo implementa, y sirve para acceder a mquinas remotas a travs de una red. Permite manejar por completo la computadora mediante un intrprete de comandos, y tambin puede redirigir el trfico de X para poder ejecutar programas grficos si tenemos un Servidor X (en sistemas Unix y Windows) corriendo.

JAVA: Java es un lenguaje de programacin. Existe un gran nmero de aplicaciones y sitios Web que no funcionan a menos que Java est instalado, y muchas ms que se crean a diario. Java es rpido, seguro y fiable. De porttiles a centros de datos, de consolas de juegos a sper equipos cientficos, de telfonos mviles a Internet, Java est en todas partes. NAT: En las redes de computadoras , NAT es el proceso de modificacin de la direccin IP de informacin en los encabezados de paquetes IP , mientras que en trnsito a travs de un trfico de dispositivos de enrutamiento El tipo ms simple de NAT proporciona una traduccin a una de las direcciones IP. DNS: Es un sistema de nomenclatura jerrquica para computadoras, servicios o cualquier recurso conectado a Internet o a una red privada. Este sistema asocia informacin variada con nombres de dominios asignado a cada uno de los participantes. Su funcin ms importante, es traducir (resolver) nombres inteligibles para los humanos en identificadores binarios asociados con los equipos conectados a la red, esto con el propsito de poder localizar y direccionar estos equipos mundialmente. TCP: Es uno de los principales protocolos de la capa de transporte del modelo TCP/IP. En el nivel de aplicacin, posibilita la administracin de datos que vienen del nivel ms bajo del modelo, o van hacia l, (es decir, el protocolo IP). Cuando se proporcionan los datos al protocolo IP, los agrupa en datagramas IP, fijando el campo del protocolo en 6 (para que sepa con anticipacin que el protocolo es TCP). TCP es un protocolo orientado a conexin, es decir, que permite que dos mquinas que estn comunicadas controlen el estado de la transmisin.

UDP: UDP son las siglas de Protocolo de Datagrama de Usuario (en ingls User Datagram Protocol) un protocolo sin conexin que, como TCP, funciona en redes IP. UDP/IP proporciona muy pocos servicios de recuperacin de errores, ofreciendo en su lugar una manera directa de enviar y recibir datagramas a travs una red IP. Se utiliza sobre todo cuando la velocidad es un factor importante en la transmisin de la informacin, por ejemplo, RealAudio utiliza el UDP. El FTP utiliza TCP/IP, mientras que TFTP utiliza UDP. TFTP son las siglas de Protocolo de Transferencia de Archivos Triviales (en ingls Trivial File Transfer Protocol), y puesto que es trivial, perder algo de informacin en la transferencia no es crucial Stateless: Crear reglas de ida y de respuesta. Statefull: Crear reglas de ida y las reglas de respuestas son automticas no hay que crearlas. Mascara wildcard: Una mscara wildcard es sencillamente una agrupacin de 32 bits dividida en cuatro bloques de ocho bits cada uno (octetos). La apariencia de una mscara wildcard le recordar probablemente a una mscara de subred. Salvo esa apariencia, no existe otra relacin entre ambas. Por ejemplo, una mscara wildcard puede tener este aspecto:192.168.1.0 mascara normal 255.255.255.0 mascara wildcard 0.0.0.255. mascara normal 255.255.0.0 mascara wildcard 0.0.255.255 mascara normal 255.0.0.0 mascara wildcard 0.255.255.255

You might also like