Cortafuegos Integrados

APLICACIN DE MECANISMOS DE SEGURIDAD ACTIVA Cortafuegos Integrados
Ejercicios
Arquitectura de Red con Cortafuegos

1. Cortafuegos Integrados..................................................................................................1 Practica01: Crear una DMZ.......................................................................................1 Practica01: Configuracin de Polticas de Acceso....................................................9 Practica02: Valores de DMZ...................................................................................12 2. Cortafuegos Integrados................................................................................................16 Prctica01: Planificacin de firewalls basados en la red.........................................18 1.Anlisis de Vulnerabilidad.......................................................................................25 2.Optimizacin............................................................................................................26
1. Cortafuegos Integrados
Practica01: Crear una DMZ
Discovery 1: 8.4.2 Prctica de Laboratorio: Configure el firewall mediante la interfaz de la GUI de Linksys y utilcelo para crear una DMZ. Se necesitan los siguientes recursos: Router Linksys WRT300N Identificacin y contrasea del usuario para el dispositivo Linksys, por defecto son admin. Admin.. Computadora para acceder a la GUI de Linksys. Computadora interna que acte como servidor en la DMZ con servidores HTTP y Telnet. CCNA Discovery Networking para el hogar y pequeas empresas
Ejemplo01 con inalambrico.pkt
SMR: Seguridad Informtica
Ejercicios
El host A es la consola y se utiliza para acceder a la GUI de Linksys. El host B es, en principio, una mquina de prueba, pero luego se convierte en el servidor DMZ. Configure los valores de IP para los dos hosts utilizando las conexiones de red de Windows XP y las propiedades de TCP/IP. Verifique que el host A est configurado como cliente de protocolo de configuracin dinmica de host (DHCP, Dynamic Host Configuration Protocol). Asigne una direccin IP esttica al host B en el rango de 192.168.1.x con una mscara de subred 255.255.255.0. La gateway por defecto debe ser la direccin de red local interna del dispositivo Linksys. Configurar la parte WAN del router mediante una IP esttica (80.1.1.2/8). Comprobar que los dos Host tienen Internet. 209.165.200.225 255.255.255.224 El dispositivo Linksys WRT300N proporciona un firewall bsico que utiliza la traduccin de direcciones de red (NAT). Tambin proporciona la funcionalidad de firewall adicional utilizando la inspeccin de paquetes con estado (SPI, Stateful Packet Inspection) para detectar y bloquear el trfico no solicitado de Internet. Haga clic en Help (Ayuda) para obtener ms informacin sobre estos valores. Qu beneficios brinda la opcin Filter IDENT (Filtrar IDENT)? ___________________________________________________________________
Ejercicios
El dispositivo multifuncin tambin puede controlar qu usuarios internos acceden a Internet desde la red local. Es posible crear una poltica de acceso a Internet para denegar o permitir el acceso de computadoras internas especficas a Internet segn la direccin IP, la direccin MAC u otros criterios.
Ejemplo01 con inalambrico politica01.pkt No permitir al ordenador 192.168.1.5 acceder a internet. Definir la Access Policy 1 (Poltica de acceso 1). Escriba Bloquear-IP como nombre de la poltica. Seleccione Enabled (Habilitada) para habilitar la poltica. A continuacin seleccione Deny (Denegar) para impedir que una direccin IP acceda a Internet. Clic en el botn Edit List (Editar lista) e introduzca la direccin IP del host B. Haga clic en Save Settings (Guardar configuracin) y luego en Close (Cerrar). Haga clic en Save Settings (Guardar configuracin) para guardar la poltica de acceso a Internet 1: Bloquear IP. Pruebe la poltica intentando acceder a Internet.
Ejercicios
Cambie el estado de la poltica Block-IP a Disabled (Deshabilitada) y haga clic en Save Settings (Guardar configuracin). Ahora puede acceder al servidor? __________________________________________________________________ Es posible crear una poltica de acceso a Internet para bloquear computadoras especficas para que no puedan utilizar ciertas aplicaciones o protocolos de Internet. Escriba Bloquear-Http como nombre de la poltica. Seleccione Enabled (Habilitada) para habilitar la poltica. A continuacin haga clic en Allow (Permitir) para permitir el acceso a Internet desde una direccin IP especfica, siempre que no sea una de las aplicaciones bloqueada. Haga clic en el botn Edit List (Editar lista) e introduzca la direccin IP del host B. Haga clic en Save Settings (Guardar configuracin) y luego en Close (Cerrar).
Ejercicios
Seleccione la aplicacin http(80-80) de la lista de aplicaciones que se pueden bloquear y haga clic en la flecha doble hacia la derecha para agregarla a la lista de bloqueos, Blocked List. Haga clic en Save Settings (Guardar configuracin).
Intentamos acceder a la pgina desde el navegador y no nos deja:
Accedemos con el navegador por el protocolo http? _________________________
Ejercicios
Accedemos con el navegador por el protocolo https? ________________________ A veces es necesario permitir el acceso a una computadora desde Internet mientras se siguen protegiendo las otras computadoras de la red local interna. Para lograrlo se puede establecer una zona desmilitarizada (DMZ), que permite el acceso abierto a cualquier puerto y servicio que se ejecute en el servidor especificado. Toda solicitud de servicio a la direccin externa del dispositivo multifuncin se redireccionar al servidor especificado.
Ejemplo01 con inalambrico con DMZ.pkt Desde internet se puede acceder al servidor interno.
Ejercicios
El host B actuar como servidor DMZ y deber tener servidores HTTP y Telnet instalados. Seleccione Enabled (Habilitada) para habilitar la DMZ. Deje Source IP Address (Direccin IP de origen) seleccionada como Any IP Address (Cualquier direccin IP) y escriba la direccin IP del host B en Destination IP address (Direccin IP de destino). Haga clic en Save Settings (Guardar configuracin) y a continuacin en Continue (Continuar) cuando aparezca la consulta.
Ejercicios
Ejercicios
Pruebe el acceso HTTP al host DMZ abriendo un explorador en el servidor externo y seleccionando la direccin externa del dispositivo. Intente lo mismo desde un explorador del host A al host B
No veo diferencia entre poner o no poner la zona DMZ. ??????????? Otra vez ----------------------
Practica01: Configuracin de Polticas de Acceso

8.4.3 Prctica de Laboratorio Investigue, descargue e instale una herramienta de evaluacin de vulnerabilidad de seguridad para determinar las debilidades de un host y de una red. Paso 4: Poltica de acceso basada en IP. Configure las restricciones de acceso a Internet basadas en la direccin IP En el laboratorio 7.3.5. aprendi a usar las caractersticas de seguridad inalmbrica para controlar las computadoras cliente inalmbricas que pueden acceder al dispositivo multifuncin en funcin de la direccin MAC. Esto impide que computadoras externas no autorizadas se conecten al punto de acceso inalmbrico y obtengan acceso a la red local interna y a Internet. El dispositivo multifuncin tambin puede controlar qu usuarios internos acceden a Internet desde la red local. Es posible crear una poltica de acceso a Internet para denegar o permitir el acceso de computadoras internas especficas a Internet segn la direccin IP, la direccin MAC u otros criterios. 1) En la pantalla principal del dispositivo multifuncin haga clic en la ficha Access Restrictions (Restricciones de acceso) para definir la Access Policy 1 (Poltica de acceso 1). Escriba Bloquear-IP como nombre de la poltica. Seleccione Enabled (Habilitada) para habilitar la poltica. A continuacin seleccione Deny (Denegar) para impedir que una direccin IP acceda a Internet.
2)
Ejercicios
3)
Haga clic en el botn Edit List (Editar lista) e introduzca la direccin IP del host B. Haga clic en Save Settings (Guardar configuracin) y luego en Close (Cerrar). Haga clic en Save Settings (Guardar configuracin) para guardar la poltica de acceso a Internet 1: Bloquear-IP. 4) Pruebe la poltica intentando acceder al servidor Web externo desde el host B. Abra un explorador y escriba la direccin IP del servidor externo en el rea de direcciones. Puede acceder al servidor? _______________________________
5)
Cambie el estado de la poltica Bloquear-IP a Disabled (Deshabilitada) y haga clic en Save Settings (Guardar configuracin). Ahora puede acceder al servidor? _________________________________________________
10
Ejercicios
Paso 5: Poltica de acceso basada en aplicacin . Configure una poltica de acceso a Internet segn una aplicacin Es posible crear una poltica de acceso a Internet para bloquear computadoras especficas para que no puedan utilizar ciertas aplicaciones o protocolos de Internet. 1) En la pantalla principal de la GUI de Linksys haga clic en la ficha Access Restrictions (Restricciones de acceso) para definir la poltica de acceso a Internet. Escriba Bloquear-DNS como nombre de la poltica. Seleccione Enabled (Habilitada) para habilitar la poltica. A continuacin haga clic en Allow (Permitir) para permitir el acceso a Internet desde una direccin IP especfica, siempre que no sea una de las aplicaciones bloqueada. Haga clic en el botn Edit List (Editar lista) e introduzca la direccin IP del host A. Haga clic en Save Settings (Guardar configuracin) y luego en Close (Cerrar). Qu otras aplicaciones y protocolos de Internet se pueden bloquear? ________________________________________________________________ Seleccione la aplicacin DNS de la lista de aplicaciones que se pueden bloquear y haga clic en la flecha doble hacia la derecha para agregarla a la lista de bloqueos, Blocked List. Haga clic en Save Settings (Guardar configuracin). Comprobar que el Host A puede acceder a internet pero no puede usa el nombre DNS.
2)
3)
4)
5)
11
Ejercicios
Paso 5: Probarlo con el telnet. Esta parte no la he probado 1) 2) Pruebe la poltica abriendo un smbolo del sistema; para hacerlo seleccione Inicio > Todos los programas > Accesorios > Smbolo del sistema. Haga ping en la direccin IP del servidor externo desde el host B utilizando el comando ping. Puede hacer ping del servidor? _________________________ Enve un comando Telnet a la direccin IP del servidor externo desde el host B utilizando el comando Telnet A.B.C.D (donde A.B.C.D corresponde a la direccin IP del servidor). Puede enviar el comando Telnet al servidor? _______________
3)
Practica02: Valores de DMZ

A veces es necesario permitir el acceso a una computadora desde Internet mientras se siguen protegiendo las otras computadoras de la red local interna. Para lograrlo se puede establecer una zona desmilitarizada (DMZ), que permite el acceso abierto a cualquier puerto y servicio que se ejecute en el servidor especificado. Toda solicitud de servicio a la direccin externa del dispositivo multifuncin se redireccionar al servidor especificado. Paso 1: Configure un DMZ Simple 1. 2. 3. El host DMZ deber tener servidores HTTP y Telnet instalados. Verifique que el host DMZ tenga una direccin IP esttica. En la pantalla principal de la GUI haga clic en la ficha Applications & Gaming (Aplicaciones y juegos) y a continuacin haga clic en DMZ. La caracterstica de DMZ est desactivada por defecto. Seleccione Enabled (Habilitada) para habilitar la DMZ. Deje Source IP Address (Direccin IP de origen) seleccionada como Any IP Address (Cualquier direccin IP) y escriba la
12
Ejercicios
direccin IP del host DMZ en Destination IP address (Direccin IP de destino). Haga clic en Save Settings (Guardar configuracin) y a continuacin en Continue (Continuar) cuando aparezca la consulta.
4.
Pruebe el acceso bsico al servidor DMZ haciendo ping desde el servidor externo a la direccin externa del dispositivo multifuncin. Utilice el comando ping a para verificar que lo que responde es el servidor DMZ y no el dispositivo multifuncin. Puede hacer ping del servidor DMZ?
13
Ejercicios
5.
Pruebe el acceso HTTP al servidor DMZ abriendo un explorador en el servidor externo y seleccionando la direccin IP externa del dispositivo multifuncin. Intente lo mismo desde un explorador del host A al host B utilizando las direcciones internas. Puede acceder a la pgina web? _____________-
Paso 2: Configure un host con un reenvo de puerto nico La configuracin bsica de hosting de DMZ del paso 6 permite el acceso abierto a todos los puertos y servicios que se ejecutan en el servidor, por ejemplo: HTTP, FTP y Telnet. Si un host se va a utilizar para una funcin en particular, como servicios Web o FTP, el acceso debe estar limitado al tipo de servicios prestados. Esto se logra mediante el
14
Ejercicios
reenvo de puerto nico, y es ms seguro que la configuracin bsica de DMZ, ya que slo abre los puertos necesarios. Antes de completar este paso desactive la configuracin de DMZ para el paso 1. El Servidor DMZ corresponde al servidor al que se reenvan los puertos pero el acceso est limitado slo al protocolo HTTP (Web). 1. En la pantalla principal haga clic en la ficha Applications & Gaming (Aplicaciones y juegos) y a continuacin haga clic en Single Port Forwarding (Reenvo de puerto nico) para especificar las aplicaciones y los nmeros de puerto. 2. Haga clic en el men desplegable para seleccionar la primera entrada debajo de Application Name (Nombre de la aplicacin) y seleccione HTTP. ste es el puerto 80 del protocolo del servidor Web. 3. En el primer campo To IP Address (A direccin IP) escriba la direccin IP del Servidor DMZ y seleccione Enabled (Habilitada). Haga clic en Save Settings (Guardar configuracin).
4. Pruebe el acceso HTTP al Servidor DMZ abriendo un explorador en el cliente externo y seleccionando la direccin externa del dispositivo. Intente lo mismo desde un explorador del host B al Servidor DMZ. Puede acceder a la pgina Web? ________________________________________ 5. Pruebe el acceso Telnet abriendo un smbolo del sistema segn se describe en el paso 5. Intente enviar un comando Telnet a la direccin IP externa del dispositivo multifuncin utilizando el comando telnet A.B.C.D (donde A.B.C.D corresponde a la direccin IP externa del dispositivo multifuncin). Puede enviar el comando Telnet al servidor? ____________ sin hacer
15
Ejercicios
2. Cortafuegos Integrados
Cisco Discovery 2 8.2.2.1 Un firewall es un software o hardware de la red que define qu trfico puede entrar y salir de las distintas secciones de la red , adems de tambin definir cmo se maneja el trfico. Las listas de acceso son una de las herramientas utilizadas por los firewalls. El uso de listas de acceso, el tipo de trfico que se permite pasar a travs del firewall, est controlado. Tambin se controla la direccin en que se permite que el trfico se desplace. En una red de tamao mediano, la cantidad de trfico y protocolos de red que se necesitan controlar es bastante importante y las listas de acceso del firewall pueden terminar siendo bastante complicadas. Los firewalls utilizan listas de acceso para controlar qu trfico pasa o se bloquea . Estn en constante evolucin a medida que se desarrollan nuevas capacidades y se descubren nuevas amenazas. Los distintos firewalls ofrecen distintos tipos de caractersticas. Por ejemplo, un firewall para filtro de paquetes dinmicos o un firewall con estado (stateful firewall) guarda un registro del proceso de comunicacin real que se produce entre los dispositivos de origen y de destino. Esto se hace usando una tabla de estado. Una vez que se aprueba un stream de comunicacin, slo el trfico que pertenece a uno de estos streams de comunicacin se admiten a travs del firewall. El software del Firewall IOS de Cisco est incorporado en el software IOS de Cisco y permite al usuario transformar un router en un firewall de capa de red con inspeccin dinmica o con conocimiento de estado. Mientras mayor sea la funcionalidad del firewall, mayor tiempo tardaran los paquetes en ser procesados.
16
Ejercicios
Est bien explicado con el video. De H1 al servidor
De H2 a H1
Los firewalls pueden proveer seguridad de permetro para toda la red, as como tambin para los segmentos de red local internos, tales como los servidores centrales. Dentro de una red ISP o de empresas medianas, los firewalls suelen implementarse en capas mltiples. El trfico que ingresa desde una red no confiable primero se encuentra con un filtro de paquete en el router fronterizo. El trfico que se admite pasa por el router fronterizo hacia un firewall interno para dirigirse hacia una zona desmilitarizada (DMZ, Demilitarized zone). La DMZ se usa para almacenar servidores a los que los usuarios de Internet tienen permiso para acceder. Slo el trfico al que se le permite acceder a estos servidores puede ingresar a la DMZ. Los firewalls tambin controlan qu tipo de trfico puede pasar hacia la red local protegida en s. El trfico que se admite a la red interna es usualmente el trfico que se est enviando gracias a una solicitud especfica proveniente de un dispositivo interno . Por ejemplo, si un dispositivo interno solicita una pgina Web desde un servidor externo, el firewall permite el ingreso de la pgina Web a la red interna.
17
Ejercicios
Algunas organizaciones pueden elegir implementar firewalls internos para proteger reas delicadas. Los firewalls internos se usan para restringir el acceso a las zonas de la red que necesitan tener proteccin adicional . Los firewalls internos separan y protegen los recursos que la empresa tiene en los servidores de los usuarios dentro de la organizacin. Los firewalls internos evitan los piratas informticos internos y externos, as como tambin los ataques internos no intencionales y el malware.
Prctica01: Planificacin de firewalls basados en la red

Ejercicio en packet tracer: Cisco Discovery2 8.2.2.3 Partimos del ejercicio EjemploXX.pkt, donde funciona de forma correcta la nube de Internet. Parte A Guarda el fichero del packet Tracer con el nombre de Ejemplo01.pkt
18
Ejercicios
Descripcin de la configuracin: SubRed A: 192.168.1.0/24 Router_A Cisco 1841 WAN IP Address = 80.1.1.2 209.165.200.225 255.255.255.224 WAN Subnet Mask = 255.0.0.0 LAN IP Address = 192.168.1.1 LAN Subnet Mask = 255.255.255.0 Switch_A Cisco 2960 No configurado SubRed B: 192.168.2.0/24 Router_B Cisco 1841 WAN IP Address = 192.168.1.2 WAN Subnet Mask = 255.255.255.0 LAN IP Address = 192.168.2.1 LAN Subnet Mask = 255.255.255.0 Switch_B Cisco 2960 No configurado PC_B IP Address = 192.168.2.11 Subnet Mask = 255.255.255.0 Default Gateway = 192.168.2.1 DNS = 192.168.2.10 Server_B IP Address = 192.168.2.10
19
Ejercicios
Subnet Mask = 255.255.255.0 Default Gateway = 192.168.2.1 DNS service = Enabled Web service = Enabled TFTP service = Enabled DHCP service = Disabled Subnet C: 192.168.3.0/24 Router_C Cisco 1841 WAN IP Address = 192.168.1.3 WAN Subnet Mask = 255.255.255.0 LAN IP Address = 192.168.3.1 LAN Subnet Mask = 255.255.255.0 Switch_C Cisco 2960 No configurado PC_C IP Address = 192.168.3.11 Subnet Mask = 255.255.255.0 Default Gateway = 192.168.3.1 DNS = 192.168.3.10 Server_C IP Address = 192.168.3.10 Subnet Mask = 255.255.255.0 Default Gateway = 192.168.3.1 DNS service = Enabled Web service = Enabled TFTP service = Enabled DHCP service = Disabled 1. Cubrir las tablas de enrutamiento para que ambos PC se comuniquen, y tengan Internet. Debes utilizar rutas estticas. 2. Es posible acceder a ambos PC desde un servidor de Internet?___________ Solucin:
20
Ejercicios
Si es posible acceder a Internet desde un PC. A partir de aqu no lo tengo hecho Parte B Eres el tcnico que proporciona soporte de red para una mediana empresa. La empresa ha crecido hasta el punto de incorporar un departamento de investigacin y desarrollo que trabaja en un nuevo proyecto muy confidencial. La continuidad del proyecto depende de la proteccin de los datos sobre los que est trabajando el equipo de investigacin y desarrollo. Tu tarea es instalar firewalls para ayudar a proteger la red , basndose en requisitos especficos del cliente. Se debe reemplazar los routers existentes con los firewalls. La configuracin de los dos firewalls es la indicada. Se debern configurar los firewalls con las configuraciones de direccin IP correspondientes y se debern probar los firewalls para asegurarse de que estn instalados y configurados correctamente. Escenario 1: Proteccin de la red de piratas informticos Guarda el fichero del packet Tracer con el nombre de Ejemplo02.pkt Debido a que a la empresa le preocupa la seguridad, recomiendas un firewall para proteger la red de los piratas informticos en la Internet. Es MUY importante que el acceso a la red desde Internet se encuentre restringido. 1. Configurar el firewalls como se indica.
Firewall_1 Cisco 1841 WAN IP Address = 80.1.1.3 209.165.200.226 255.255.255.224
21
Ejercicios
WAN Subnet Mask = 255.0.0.0 LAN IP Address = 192.168.1.4 LAN Subnet Mask = 255.255.255.0 NAT Enabled Firewall enabled. Todos los accesos externos a la LAN estn bloqueados. El Firewall_1 ha sido preconfigurado con las reglas de firewall adecuadas para brindar la seguridad que el cliente requiere. Instalalo en la red y confirma que est funcionando como se espera. Paso 1: Reemplazar Router_A con Firewall_1. Retirar Router_A y reemplcelo con Firewall_1. Conecte la interfaz Fast Ethernet 0/0 en Firewall_1 ala interfaz Fast Ethernet 0/1 en Switch_A. Conecte la interfaz FastEthernet 0/1 en Firewall_1 a la interfaz Ethernet 6 de la nube ISP. (Utilice cables de conexin directa para las dos conexiones.) Confirme que el nombre de host de Firewall_1 seaFirewall_1. En Firewall_1, configure la direccin IP de WAN y la mscara de subred para la interfaz FastEthernet 0/1 en209.165.200.225 y 255.255.255.224. Configure la direccin IP de LAN y la mscara de subred para la interfaz FastEthernet 0/0 de Firewall_1 en192.168.1.1 y 255.255.255.0.
Paso 2: Verificar la configuracin del Firewall_1. Utilice el comando show run para verificar la configuracin. ste es un ejemplo parcial de lo que debera ver:
Firewall_1#show run Building configuration... ... hostname Firewall_1 ! interface FastEthernet0/0 ip address 192.168.1.1 255.255.255.0 ip nat inside duplex auto speed auto ! interface FastEthernet0/1 ip address 209.165.200.225 255.255.255.224 ip access-group 100 in ip nat outside duplex auto speed auto ! interface Vlan1 no ip address shutdown ! ip nat inside source list 1 interface FastEthernet0/0 overload ip classless ip route 192.168.2.0 255.255.255.0 192.168.1.2 ip route 192.168.3.0 255.255.255.0 192.168.1.3 ! access-list 1 permit 192.168.0.0 0.0.255.255 access-list 100 deny ip any host 209.165.200.225 ... ! end
22
Ejercicios
Desde el PC_B, haga ping a 209.165.200.225 para verificar que la computadora interna pueda acceder a la Internet. ste es un ejemplo parcial de lo que ve:
PC>ping 209.165.200.225 Pinging 209.165.200.225 with 32 bytes of data: Reply Reply Reply Reply from from from from 209.165.200.225: 209.165.200.225: 209.165.200.225: 209.165.200.225: bytes=32 bytes=32 bytes=32 bytes=32 time=107ms TTL=120 time=98ms TTL=120 time=104ms TTL=120 time=95ms TTL=120
Ping statistics for 209.165.200.225: Packets: Sent = 4, Received = 4, Lost = 0 (0% loss), Approximate round trip times in milli-seconds: Minimum = 95ms, Maximum = 107ms, Average = 101ms
Desde el modo EXEC privilegiado en el Firewall_1, guarde la configuracin en ejecucin en la configuracin de inicio utilizando el comando copy run start.
Escenario 2: Asegurar la red de Investigacin y Desarrollo Guarda el fichero del packet Tracer con el nombre de Ejemplo03.pkt Ahora que toda la red se encuentra protegida del trfico que se origina en Internet, proteja la red de investigacin y desarrollo, la Subred C, de posibles infiltraciones desde adentro de la red. El equipo de investigacin y desarrollo necesita acceder al servidor en la Subred B y a Internet a fin de realizar investigaciones. Se les debe negar el acceso a la subred de investigacin y desarrollo a las computadoras en la Subred B. El Firewall_2 ha sido preconfigurado con las reglas de firewall adecuadas para brindar la seguridad que el cliente requiere. Usted lo instalar en la red y confirmar que est funcionando segn lo previsto. 1. Configurar el firewalls como se indica.
Firewall_2 Cisco 1841 WAN IP Address = 192.168.1.100 WAN Subnet Mask = 255.255.255.0 LAN IP Address = 192.168.3.100 LAN Subnet Mask = 255.255.255.0 NAT Enabled Firewall enabled. Todos los accesos a la Subred C bloqueados. Acceso al Server_B e Internet permitido. Paso 1: reemplace Router_C con Firewall_2 Retire Router_C y reemplcelo con Firewall_2.
23
Ejercicios
Conecte la interfaz Fast Ethernet 0/1 del Firewall_2 a la interfaz Fast Ethernet 0/3 del Switch_A. Conecte la interfaz FastEthernet 0/0 en Firewall_2 a la interfaz Fast Ethernet 0/1 de Switch_C. (Utilice cables de conexin directa para las dos conexiones). Confirme que el nombre de host de Firewall_2 seaFirewall_2. En Firewall_2, configure la direccin IP de WAN y la mscara de subred para la interfaz Fast Ethernet 0/1 en192.168.1.3 y 255.255.255.0. Configure la direccin IP LAN y la mscara de subred LAN para la interfaz Fast Ethernet 0/0 del Firewall_2para que sean 192.168.3.1 y 255.255.255.0.
Paso 2: Verificar la configuracin del Firewall_2. Utilice el comando show run para verificar la configuracin. ste es un ejemplo parcial del resultado que debera observar:
Firewall_2#show run Building configuration... ... ! interface FastEthernet0/0 ip address 192.168.3.1 255.255.255.0 ip nat inside duplex auto speed auto ! interface FastEthernet0/1 ip address 192.168.1.3 255.255.255.0 ip access-group 100 in ip nat outside duplex auto speed auto ! access-list 1 permit 192.168.3.0 0.0.0.255 access-list 100 permit ip host 192.168.2.10 any access-list 100 permit ip host 192.168.1.1 any ... ! end
Desde la peticin de entrada de comandos en PC_B, use el comando ping para verificar que las computadoras en la Subred B no puedan acceder a las computadoras en la Subred C ingresando el ping 192.168.3.10. ste es un ejemplo del resultado que debera observar:
PC>ping 192.168.3.10 Pinging 192.168.3.10 with 32 bytes of data: Request Request Request Request timed timed timed timed out. out. out. out.
Ping statistics for 192.168.3.10: Packets: Sent = 4, Received = 0, Lost = 4 (100% loss),
Desde la peticin de entrada de comandos en la PC_C, utilice el comando ping para verificar que las computadoras en la Subred C pueden acceder al servidor en la Subred B ingresando el ping 192.168.2.10. ste es un ejemplo parcial del resultado que debera observar:
PC>ping 192.168.2.10 Pinging 192.168.2.10 with 32 bytes of data:
24
Ejercicios
Request timed out. Reply from 192.168.2.10: bytes=32 time=164ms TTL=120 Reply from 192.168.2.10: bytes=32 time=184ms TTL=120 Reply from 192.168.2.10: bytes=32 time=142ms TTL=120 Ping statistics for 192.168.2.10: Packets: Sent = 4, Received = 3, Lost = 1 (25% loss), Approximate round trip times in milli-seconds: Minimum = 142ms, Maximum = 184ms, Average = 163ms
Desde la peticin de entrada de comandos en la PC_C, utilice el comando ping para verificar que las computadoras en la Subred C pueden acceder a la Internet ingresando ping 209.165.200.225. ste es un ejemplo parcial de lo que ve:
PC>ping 209.165.200.225 Pinging 209.165.200.225 with 32 bytes of data: Reply Reply Reply Reply from from from from 209.165.200.225: 209.165.200.225: 209.165.200.225: 209.165.200.225: bytes=32 bytes=32 bytes=32 bytes=32 time=97ms TTL=120 time=118ms TTL=120 time=100ms TTL=120 time=110ms TTL=120
Ping statistics for 209.165.200.225: Packets: Sent = 4, Received = 4, Lost = 0 (0% loss), Approximate round trip times in milli-seconds: Minimum = 97ms, Maximum = 118ms, Average = 106ms
Desde el modo EXEC privilegiado en el Firewall_2, guarde la configuracin en ejecucin en la configuracin de inicio utilizando el comando copy run start.
1. Anlisis de Vulnerabilidad
Existen muchas herramientas de anlisis de vulnerabilidad para evaluar la seguridad de los hosts y de la red. Estas herramientas se conocen como escneres de seguridad y pueden ayudar a identificar reas donde es posible que se produzcan ataques; adems de brindar asistencia acerca de las medidas que se pueden tomar. Si bien las capacidades de las herramientas de anlisis de vulnerabilidad pueden variar de acuerdo con el fabricante, algunas de las funciones ms comunes incluyen la determinacin de: La cantidad de hosts disponibles en la red Los servicios que los hosts ofrecen El sistema operativo y las versiones de los hosts Los filtros de paquetes y firewalls en uso
25
Ejercicios
2. Optimizacin
Existen varias prcticas recomendadas para ayudar a mitigar los riesgos que presentan, entre ellas: Definir las polticas de seguridad Asegurar fsicamente los servidores y el equipo de la red Establecer permisos de inicio de sesin y acceso a archivos Actualizar el SO y las aplicaciones Cambiar las configuraciones permisivas por defecto Ejecutar software antivirus y antispyware Actualizar los archivos del software antivirus Activar las herramientas del explorador: bloqueadores de elementos emergentes, herramientas contra la suplantacin de identidad y monitores de plugin Utilizar un firewall
26
Ejercicios
El primer paso para asegurar una red es comprender la forma en que se mueve el trfico a travs de la red, adems de las diferentes amenazas y vulnerabilidades que existen. Una vez que se implementan las medidas de seguridad, una red verdaderamente segura debe supervisarse constantemente. Los procedimientos y las herramientas de seguridad deben verificarse para poder mantenerse a la vanguardia de las amenazas que se desarrollan.
Cisco Discovery 2 2.2.1.2 los firewalls estn involucrados con las Capas 1, 2, 3 y 4
27
Ejercicios
28

Cortafuegos Integrados

Hochgeladen von

Dokumentinformationen

Originaltitel

Copyright

Verfügbare Formate

Dieses Dokument teilen

Dokument teilen oder einbetten

Freigabeoptionen

Stufen Sie dieses Dokument als nützlich ein?

Sind diese Inhalte unangemessen?

Copyright:

Verfügbare Formate

Cortafuegos Integrados

Hochgeladen von

Copyright:

Verfügbare Formate

APLICACIN DE MECANISMOS DE SEGURIDAD ACTIVA Cortafuegos Integrados

Arquitectura de Red con Cortafuegos

Ejemplo01 con inalambrico.pkt

SMR: Seguridad Informtica

APLICACIN DE MECANISMOS DE SEGURIDAD ACTIVA Cortafuegos Integrados

SMR: Seguridad Informtica

APLICACIN DE MECANISMOS DE SEGURIDAD ACTIVA Cortafuegos Integrados

SMR: Seguridad Informtica

APLICACIN DE MECANISMOS DE SEGURIDAD ACTIVA Cortafuegos Integrados

SMR: Seguridad Informtica

APLICACIN DE MECANISMOS DE SEGURIDAD ACTIVA Cortafuegos Integrados

Intentamos acceder a la pgina desde el navegador y no nos deja:

Accedemos con el navegador por el protocolo http? _________________________

SMR: Seguridad Informtica

APLICACIN DE MECANISMOS DE SEGURIDAD ACTIVA Cortafuegos Integrados

SMR: Seguridad Informtica

APLICACIN DE MECANISMOS DE SEGURIDAD ACTIVA Cortafuegos Integrados

SMR: Seguridad Informtica

APLICACIN DE MECANISMOS DE SEGURIDAD ACTIVA Cortafuegos Integrados

SMR: Seguridad Informtica

APLICACIN DE MECANISMOS DE SEGURIDAD ACTIVA Cortafuegos Integrados

Practica01: Configuracin de Polticas de Acceso

SMR: Seguridad Informtica

APLICACIN DE MECANISMOS DE SEGURIDAD ACTIVA Cortafuegos Integrados

SMR: Seguridad Informtica

APLICACIN DE MECANISMOS DE SEGURIDAD ACTIVA Cortafuegos Integrados

SMR: Seguridad Informtica

APLICACIN DE MECANISMOS DE SEGURIDAD ACTIVA Cortafuegos Integrados

Practica02: Valores de DMZ

SMR: Seguridad Informtica

APLICACIN DE MECANISMOS DE SEGURIDAD ACTIVA Cortafuegos Integrados

SMR: Seguridad Informtica

APLICACIN DE MECANISMOS DE SEGURIDAD ACTIVA Cortafuegos Integrados

SMR: Seguridad Informtica

APLICACIN DE MECANISMOS DE SEGURIDAD ACTIVA Cortafuegos Integrados

SMR: Seguridad Informtica

APLICACIN DE MECANISMOS DE SEGURIDAD ACTIVA Cortafuegos Integrados

SMR: Seguridad Informtica

APLICACIN DE MECANISMOS DE SEGURIDAD ACTIVA Cortafuegos Integrados

Est bien explicado con el video. De H1 al servidor

SMR: Seguridad Informtica

APLICACIN DE MECANISMOS DE SEGURIDAD ACTIVA Cortafuegos Integrados

Prctica01: Planificacin de firewalls basados en la red

SMR: Seguridad Informtica

APLICACIN DE MECANISMOS DE SEGURIDAD ACTIVA Cortafuegos Integrados

SMR: Seguridad Informtica

APLICACIN DE MECANISMOS DE SEGURIDAD ACTIVA Cortafuegos Integrados

SMR: Seguridad Informtica

APLICACIN DE MECANISMOS DE SEGURIDAD ACTIVA Cortafuegos Integrados

Firewall_1 Cisco 1841 WAN IP Address = 80.1.1.3 209.165.200.226 255.255.255.224

SMR: Seguridad Informtica

APLICACIN DE MECANISMOS DE SEGURIDAD ACTIVA Cortafuegos Integrados

SMR: Seguridad Informtica

APLICACIN DE MECANISMOS DE SEGURIDAD ACTIVA Cortafuegos Integrados

SMR: Seguridad Informtica

APLICACIN DE MECANISMOS DE SEGURIDAD ACTIVA Cortafuegos Integrados

SMR: Seguridad Informtica

APLICACIN DE MECANISMOS DE SEGURIDAD ACTIVA Cortafuegos Integrados

SMR: Seguridad Informtica

APLICACIN DE MECANISMOS DE SEGURIDAD ACTIVA Cortafuegos Integrados

SMR: Seguridad Informtica

APLICACIN DE MECANISMOS DE SEGURIDAD ACTIVA Cortafuegos Integrados

SMR: Seguridad Informtica