FIREWALL ( PIX & ASA )

Objetivos:

Al finalizar est tema el alumno ser capaz de:

Conocer lo que es un Firewall. Saber como funcionan un firewall y las interfaces asociadas. Conocer los firewall que maneja Cisco. Conocer los comandos y sintaxis para configuracin de un firewall.

22/05/2012

FACULTAD DE ESTUDIOS SUPERIORES ARAGN - UNAM

FIREWALL ( PIX & ASA )

CONTINUACIN. LAS SIGUIENTES FIGURAS EJEMPLIFICAN LA REPRESENTACIN DE UN FIREWALL.

22/05/2012

FACULTAD DE ESTUDIOS SUPERIORES ARAGN - UNAM

FIREWALL ( PIX & ASA )

ZONAS DE IN FIREWALL. ZONA INTERIOR.ES EL REA DE CONFIANZA DE LA INTERNETWORK, LOS DISPOSITIVOS QUE ESTAN CONTENIDOS EN ESTA ZONA SON LOS DE LA RED PRIVADA DEL CLIENTE Y COMPARTEN UNAS DIRECTRICES DE SEGURIDAD COMUNES CON RESPECTO A LA ZONA EXTERIOR. ES IMPORTANTE DECIR QUE DENTRO DE LA ZONA INTERIOR CON MUCHA FRECUENCIA SE DESEA SEGMENTAR ALGUNAS REAS O DEPARTAMENTOS YSE UTILIZA PARA ELLO EL MISMO FIREWALL. ZONA EXTERIOR.- ES EL REA DE NO CONFIANZA DE LA INTERNETWORK POR LO QUE EL FIREWALL PROTEGE A LOS DISPOSITIVOS DE LA ZONA INTERIOR Y LA ZONA DMZ, DE LOS DISPOSITIVOS DE LA ZONA EXTERIOR. ES COMN QUE LAS EMPRESAS POR CUESTIONES DE NEGOCIO PERMITAN A SUS CLIENTES ( ZONA EXTERIOR ) ACCESE A SERVIDORES DE APLICACIN ( ZONA DMZ ).
22/05/2012 FACULTAD DE ESTUDIOS SUPERIORES ARAGN - UNAM 3

FIREWALL ( PIX & ASA )

ZONAS DE IN FIREWALL. ZONA DMZ.- ES UNA RED (ES) AISLADA (S) A LA QUE PUEDEN ACCEDER LOS USUARIOS DEL EXTERIOR, ES NECESARIO CONFIGURAR EL FIREWALL PARA PERMITIR EL ACCESO DESDE EL EXTERIOR O EL INTERIOR HACIA LA ZONA DMZ. ASEGURANDO CON ESTO QUE LOS CLIENTES PUEDEN DISPONER DE INFORMACIN O SERVICIOS DE LA EMPRESA DE UNA FORMA SEGURA Y CONTROLADA. UNA CARACTRISTICA QUE TIENE LOS HOSTS CONTENIDOS EN LA ZONA DMZ ES QUE DEBEN ESTAR ACTUALIZADOS EN SUS S.O. Y SOLO CORRAN LAS APLICACIONES PARA BRINDAR LOS SERVICIOS REQUERIDOS, Y DESACTIVANDO O ELIMINANDO LOS INNECESARIOS.

22/05/2012

FACULTAD DE ESTUDIOS SUPERIORES ARAGN - UNAM

FIREWALL ( PIX & ASA )

RESUMIENDO. EL COMETIDO BSICO DE UN FIREWALL CONSISTE EN LLEVAR A CABO LAS SIGUIENTES FUNCIONES: NO PERMITIR ACCESO DESDE EL EXTERIOR HASTA EL INTERIOR. PERMITIR UN ACCESO LIMITADO DESDE EL EXTERIOR HACIA LA DMZ. PERMITIR TODO EL ACCESO DESDE EL INTEROR HACIA EL EXTERIOR. PERMITIR UN ACCESO LIMITADO DESDE EL INTERIOR HACIA LA DMZ. NOTA: PUEDEN EXISTIR EXCEPCIONES A ESTAS FUNCIONES, RECORDANDO QUE ESTO PONE EN RIESGO O DEJA VULNERABLE LA RED.
22/05/2012 FACULTAD DE ESTUDIOS SUPERIORES ARAGN - UNAM 5

CONCLUSIONES.

FIREWALL ( PIX & ASA )

LA SEGURIDAD EN REDES ES UN PROCESO CONTINUO Y SE BASA EN LO DISPUESTO EN EL RFC 2196 SITE SECURITY HANDBOOK. UNA SEGURIDAD BASADA EN NORMAS LLEVA A CABO LAS SIGUIENTES TAREAS:
1.- IDENIFICAR LOS OBJETIVOS DE SEGURIDAD DE LA EMPRESA, ES DECIR, QU SE QUIERE PROTEGER Y COMO? CONOCIENDO LOS PUNTOS DBILES DE UNA RED Y COMO SUBSANARLOS. 2.- DOCUMENTAR LOS RECURSOS A PROTEGER Y CONOCER EL FUNCIONAMIENTO NORMAL DE LOS SISTEMAS Y EL FLUJO DE DATOS. 3.- IDENTIFICAR LA INFRAEXTRUCTURA DE RED CON ASIGNACIONES E INVENTARIOS ACTUALES TOMANDO EN CUENTA LA SEGURIDAD FISICA DE LA RED.
22/05/2012 FACULTAD DE ESTUDIOS SUPERIORES ARAGN - UNAM 6

LA RUEDA DE LA SEGURIDAD.

FIREWALL ( PIX & ASA )

ES UNA REPRESENTACIN GRFICA DE UN PROCESO CONTINUO DE SEGURIDAD Y SE MUESTRA EN LA SIGUIENTE FIGURA:

22/05/2012

FACULTAD DE ESTUDIOS SUPERIORES ARAGN - UNAM

CONTINUACIN.

FIREWALL ( PIX & ASA )

EN ELLA SE PUEDEN VER 4 PASOS:

1) ASEGURAR EL SISTEMA, TIENE COMO OBJETIVO IMPEDIR EL ACCESO NO AUTORIZADO A LOS SISTEMAS DE RED ( MEDIANTE CSA, TACAS, CRYPTOCARD, SECURE ID, ETC). 2) CONTROLAR LA RED, TIENE COMO OBJETIVO EVITAR LAS VIOLACIONES Y ATAQUES CONTRAS LAS NORMAS DE SEGURIDAD CORPORATIVA. 3) PROBAR LA EFECTIVIDAD DE LAS MEDIDAS DE PROTECCIN ( SECURE SCANER). 4) MEJORAR CONTINUAMENTE LAS NORMAS DE SEGURIDAD CORPORATIVAS, ANALIZANDO LA INFORMACIN RECOPILADA EN LAS FASES DE CONTROL Y PRUEBA.

NOTA: SE RECOMIENDA LLEVAR A CABO ESTOS PASOS DE FORMA CONTINUA.

22/05/2012 FACULTAD DE ESTUDIOS SUPERIORES ARAGN - UNAM 8

FIREWALL PIX DE CISCO.

FIREWALL ( PIX & ASA )

ES UNA COMPUTADORA O GRUPO DE COMPUTADORAS QUE IMPLANTA UNAS NORMAS DE CONTROL DE ACCESO ENTRE DOS O MAS REDES.
EN SU ESQUEMA MS ELABORADO, EL FIREWALL EN S, ES UNA SOLA COMPUTADORA, PERO EL SISTEMA DE SEGURIDAD DEL FIREWALL ES UN GRUPO DE COMPUTADORAS QUE PROPORCIONA SEGURIDAD A UN RED O INTERNETWORK. TIPOS DE FIREWALLS PARA SU ESTUDIO CATEGORAS: LOS FIREWALLS SE DIVIDEN EN 3

FILTRADO DE PAQUETES. FILTRADOS DE PROXIES. FILTROS DE PAQUETES CON ESTADO.

22/05/2012 FACULTAD DE ESTUDIOS SUPERIORES ARAGN - UNAM 9

FIREWALL ( PIX & ASA )

FILTRADO DE PAQUETES
UN FIREWALL PROVISTO DE FILTRADO DE PAQUETES TCP7IP GENERALMENTA ANALIZA EL TRFICO EN LA CAPA DE TRANSPORTE O EN LA CAPA DE RED. LA INFORMACIN ANALIZADA ESTA CONTENIDA EN EL HEADER DEL PAQUETE Y ES ESTTICA. EL FILTRADO PUEDE SER DE : IP ORIGEN, IP DESTINO, PROTOCOLO, PUERTO ORIGEN Y PUERTO DESTINO. DE LO ANTERIOR PODEMOS DECIR QUE UN ROUTER CON ACLS CONSTITUYE UN FIREWALL DE FILTRADO DE PAQUETES.

NOTA: EN ESTE TIPO DE FILTRADO EL ROUTER NO GUARDA INFORMACIN DEL PAQUETE ANALIZADO SOLO LO TRASMITE O LO DESECHA.

22/05/2012

FACULTAD DE ESTUDIOS SUPERIORES ARAGN - UNAM

10

FIREWALL ( PIX & ASA )

DESVENTAJAS DEL FILTRADO DE PAQUETES

LOS PAQUETES PUEDEN PASAR POR EL FILTRO SIN SON FRAGMENTADOS, LAS ACLs COMPLEJAS RESULTAN DIFICILES DE CREAR, IMPLEMENTAR Y MANTENER CORRECTAMENTE. ALGUNOS SERVICIOS NO PUEDEN SER FILTRADOS, ESTO DEBIDO A QUE PUEDE NO CONOCERSE EL PUERTO POR DONDE HABLA Y ESCUCHA LA APLICACIN, SOLO SE CONOCE HASTA QUE LA SESIN SE ESTABLECE.

22/05/2012

FACULTAD DE ESTUDIOS SUPERIORES ARAGN - UNAM

11

FILTRADO DE PROXY.

FIREWALL ( PIX & ASA )

ES UN FIREWALL QUE EXAMINA LOS PAQUETES EN LAS CAPAS SUPERIORES DEL MODELO OSI ( 4 A 7 ), ESTO ACARREA QUE EL RENDIMIENTO DE LA RED EXTREMO A EXTREMO SE VEA AFECTADO EN EL TIEMPO. AQU LOS USUARIOS OBTIENE ACCESO A LA RED PASANDO POR UN PROCESO QUE ESTABLECE EL ESTADO DE LA SESIN, LA AUTENTICACIN DEL USUARIO Y LA POLIICA AUTORIZADA. ESTO IMPLICA QUE LOS USUARIOS SE CONECTAN CON SERVICIOS EXTERNOS A TRAVS DE PROGRAMAS DE APLICACIN (PROXIES) QUE SE EJECUTAN EN EL GATEWAY CONECTADO CON LA ZONA EXTERIOR DESPROTEJIDA.
EL FUNCIONAMIENTO DE UN FIREWALL CON FILTRO DE PROXY CONSISTE EN EXIGIR QUE EL USUARIO DEL INTERIOR DEL FIREWALL CONSTRUYA PRIMERO UNA SESIN EN EL PROPIO FIREWALL (EL PROXI ES EL DESTINO DE LA SESIN)
22/05/2012 FACULTAD DE ESTUDIOS SUPERIORES ARAGN - UNAM 12

FIREWALL ( PIX & ASA )

CONTINUACIN. EL USUARIO DEBER AUTENTICARSE EN ESE MOMENTO. EN BASE AL ID Y CONTRASEA, AL USUARIO SE LE PERMITE TENER ACCESO ESPECIFICO AL EXTERIOR. CUANDO SE USA ESTE TIPO DE FIREWALL DEBEMOS RECORDAR QUE SE CONSTRUYEN 2 SESIONES NICAS (UNA DESDE EL USUARIO AL PROXY Y OTRA DESDE EL PROXY HASTA EL DESTINO).

ES POSIBLE QUE ALGUNOS FIREWALL PROXY LE BRINDEN LA EXPERIENCIA AL USUARIO QUE PUEDEN CREAR UNA SESIN DIRECTAMENTE CON EL DESTINO ( DE LA ZONA INTERIOR A LA ZONA EXTERIOR), PERO EN REALIDAD SIEMPRE SE CREN LAS 2 SESIONES.

22/05/2012

FACULTAD DE ESTUDIOS SUPERIORES ARAGN - UNAM

13

FIREWALL ( PIX & ASA )

DESVENTAJAS DEL FILTRADO DE PROXY CREA UN NICO PUNTO DE FALLA, POR LO QUE SI EL FIREWALL EST EN PELIGRO LA RED COMPLETA LO EST. RESULTA DIFICIL AGREGAR NUEVOS SERVICIOS AL FIREWALL. SE CONSTRUYE SOBRE UN S.O. DE PRPOSITO GENERAL, LO QUE CONLLEVA A LIMITACIONES EN HARDWARE, PROBLEMAS EN RENDIMIENTO Y LAS VULNERABILIDADES DEL S.O.

22/05/2012

FACULTAD DE ESTUDIOS SUPERIORES ARAGN - UNAM

14

FIREWALL ( PIX & ASA )

FILTRADO DE PAQUETES CON ESTADO. ESTE FIREWALL COMBINA LO MEJOR DE LOS 2 ANTERIORES, ESTE FILTRO MANTIENE UNA INFORMACIN COMPLETA DEL ESTADO DE SESIN POR CADA SESIN QUE SE CONSTRUYA EN EL FIREWALL, ES DECIR, QUE POR CADA UNA DE LAS CONEXIONES IP ESTABLECIDAS YA SEA ENTRANTE O SALIENTE, LA INFORMACIN QUEDA REGISTRADA EN UNATABLA DE FLUJO DE SESIN CON ESTADO.

ESTE ES EL MTODO QUE UTILIZAN LOS FIREWALL PIX & ASA DE CISCO.
LA TABLA CONTIENE LAS DIRECCIONES DE ORIGEN Y DESTINO, LOS NMEROS DE PUERTO, INFORMACIN DE LAS SECUENCIAS TCP, Y OTROS INDICADORES PARA CADA CONEXIN TCP/UDP ASOCIADA A CADA SESIN.
22/05/2012 FACULTAD DE ESTUDIOS SUPERIORES ARAGN - UNAM 15

FIREWALL ( PIX & ASA )

CONTINUACIN. Y FUNCIONA DE LA SIGUIENTE FORMA: CUANDO SE INICIA UNA SESIIN A TRAVS DEL FIREWALL SE CREA UN OBJETO DE CONEXIN Y CONSECUENTEMENTE, SE COMPARAN TODOS LOS PAQUETES ENTRANTES Y SALIENTES CON LOS FLUJOS DE SESIN EN LA TABLA DE FLUJO DE SESIN CON ESTADO.

SOLO SI HAY UNA CONEXIN APROPIADA QUE VALIDE EL PASO SE AUTORIZA EL PASO DE LSO DATOS A TRAVS DEL FIREWALL.

22/05/2012

FACULTAD DE ESTUDIOS SUPERIORES ARAGN - UNAM

16

FIREWALL ( PIX & ASA )

LGICA DE FUNCIONAMIENTO DE LOS FIREWALL PIX DE CISCO.

ES UN FIREWALL DE HARDWARE/SOFTWARE DEDICADO QUE PROPORCIONA UNA SEGURIDAD DE ALTO NIVEL Y CUYO RENDIMIENTO ES SUPERIOR A OTROS FABRICANTES. ES CONSIDERADO UN SISTEMA HIBRIDO, YA QUE INCORPORA LAS 3 TECNOLGAS VISTAS CON ANTERIORIDAD. DENTRO DE LAS CARCTERSTICAS QUE MANEJA SON: * SISTEMA INTEGRADO SEGURO Y EN TIEMPO REAL. * ALGORITMO SE SEGURIDAD ADAPTABLE ( ASA ). * PROXY POR MTODO DE CORTE. * RECUPERACIN ANTE FALLOS CON ESTADO/RESERVA EN CALIENTE.
22/05/2012 FACULTAD DE ESTUDIOS SUPERIORES ARAGN - UNAM 17

FIREWALL ( PIX & ASA )

MODELOS DE FIREWALL PIX DE CISCO. EXISTEN CINCOS MODELOS DE FIREWALL PIX: 1. EL PIX 506 DE CISCO SECURE, ES EL MS PEQUEO DE A FAMILIA Y ESTA PENSADO PARA PEQUEAS EMPRESAS Y OFICINAS DOMSTICAS Y SU RENDIMIENTO ES DE 10 Mbps.

2. EL PIX 515 DE CISCO SECURES, CONCEBIDO PARA EMPRESAS PEQUEAS Y MEDIANAS; PARA IMPLEMENTACIONES DE OFICINAS REMOTAS, Y SU RENDIMIENTO ES DE 120 Mbps; MANEJA HASTA 125,000 SESIONES SIMULTNEAS. 3.- EL PIX 520 DE CISCO SECURE, CONCEBIDO PARA EMPRESAS GRANDES Y COMPLEJAS; Y ENTORNOS DE MUCHO TRFICO; SU RENDIMIENTO ES DE HASTA 370Mbps Y CAPACIDAD PARA MANEJAR HASTA 250,000 SESIONES SIMULTANEAS.
22/05/2012 FACULTAD DE ESTUDIOS SUPERIORES ARAGN - UNAM 18

FIREWALL ( PIX & ASA )

MODELOS DE FIREWALL PIX DE CISCO.

4.- EL PIX 525 DE CISCO SECURE, PARA EMPRESAS Y PROVEDORES DE SERVICIOS, RENDIMIENTO DE 370 Mbps Y CAPACIDAD PARA MANEJAR HASTA 280,000 SESIONES SIMULTANEAS. 5.- EL PIX 535 DE CISCO SECURE, ESTA PENSADO PARA EMPRESAS Y PROVEDORES DE SERVICIOS, CON UN RENDIMIENTO DE 1 Gbps Y CAPACIDAD PARA MANEJAR HASTA 500,000 SESIONES SIMULTNEAS.

22/05/2012

FACULTAD DE ESTUDIOS SUPERIORES ARAGN - UNAM

19

FIREWALL ( PIX & ASA )

CONFIGURACIN Y PUESTA EN MARCHA DEL PIX

PIX "PRIVATE INTERNET EXCHANGE" ES EL FIREWALL DE CISCO SYSTEMS PARA SU LINEA DE PRODUCTOS DE SEGURIDAD "CISCO SECURE". ORIGINALMENTE EL PIX FUE CONSTRUIDO POR UNA EMPRESA LLAMADA TNI "TRANSLATION NETWORKS INC.", HASTA QUE FUE ADQUIRIDA POR CISCO, Y EN 1994 SALIO AL MERCADO COMO EL PRIMER PRODUCTO COMERCIAL PARA HACER NAT. AL CONTRARIO DE LA CREENCIA POPULAR, EL SISTEMA OPERATIVO DEL PIX NO ES UN IOS CON LAS ACCESS LISTS MEJORADAS, SINO QUE FUE ESPECIALMENTE DISEADO Y BAUTIZADO CON EL NOMBRE DE FOS "FINESSE OPERATING SYSTEM". LA ULTIMA VERSION DEL FOS ES LA 6.3. DENTRO DE LAS MUCHAS CUALIDADES DEL PIX, PODEMOS NOMBRAR SU S.O. EMBEBIDO QUE EVITA LOS BUGS DE S.O.'S PARA PROPOSITOS GENERALES.
22/05/2012 FACULTAD DE ESTUDIOS SUPERIORES ARAGN - UNAM 20

FIREWALL ( PIX & ASA )

CONTINUACIN
EL ASA "ADAPTIVE SECURITY ALGORITHM" QUE REALIZA LA INSPECCION, Y MANTIENE EL ESTADO DE LAS CONEXIONES Y LAS TRASLACIONES DE RED. EL CUT-THROUGH PROXY QUE PERMITE AUTENTICAR A LOS USUARIOS CON EL PIX UTILIZANDO FTP, TELNET O HTTP.

LA OPCION DE FILTRADO DE URL'S EN EL PIX UTILIZANDO UN SOFTWARE EXTERNO.

SU GRAN PERFORMANCE PARA ARMAR VPN'S; Y LA MUY RECIENTE POSIBILIDAD DE MANEJAR VLAN'S, ENTRE OTRAS COSAS.

22/05/2012

FACULTAD DE ESTUDIOS SUPERIORES ARAGN - UNAM

21

FIREWALL ( PIX & ASA )

CONFIGURACION BASICA
AHORA VEREMOS LA CONFIGURACION BASICA DE UN PIX. NOTARAN QUE LA SINTAXIS DE LOS COMANDOS DEL FOS ES MUY PARECIDA A LA DEL IOS. NOTA: LIMPIE LA CONFIGURACION ANTES DE USAR EL PIX MEDIANTE EL COMANDO "WRITE ERASE" (BORRA LA CONFIGURACION), Y "RELOAD" PARA REINICIAR EL FIREWALL. CONECTADOS AL PIX CON UN CABLE DE CONSOLA. EXISTE UNA SIMILITUD ENTRE EL FOS Y EL IOS EN CUANTO A LOS MODOS DE OPERACIN:

pixfirewall>enable pixfirewall# configure terminal pixfirewall(config)# quit pixfirewall# disable pixfirewall>

22/05/2012 FACULTAD DE ESTUDIOS SUPERIORES ARAGN - UNAM 22

CONTINUACIN.

FIREWALL ( PIX & ASA )

ALGO MUY PRACTICO, ES QUE DESDE EL MODO DE CONFIGURACION PODEMOS UTILIZAR TODOS LOS COMANDOS QUE SE ENCUENTRAN FUERA DE ESTE MODO. OTRA COSA QUE SE ENCUENTRA DISPONIBLE EN EL IOS, Y NO ESTA DISPONIBLE EN EL FOS (FINESSE), ES LA POSIBILIDAD DE QUE LOS COMANDOS SE AUTOCOMPLETEN CON LA TECLA TAB. EL SIGUIENTE PASO SERA CAMBIAR EL HOSTNAME DEL PIX Y CONFIGURAR LOS PASSWORDS DEL MODO NO PRIVILEGIADO Y EL MODO PRIVILEGIADO. pixfirewall(config)# hostname Arcadia Arcadia(config)# password mal0r Arcadia(config)# enable password MUYmal0r EL VALOR MAXIMO DEL PASSWORD ES DE 16 BYTES, Y UTILIZA UN HASH MD5 CODIFICADO EN BASE64. CISCO RECOMIENDA USAR POLITICAS DE PASSWORDS FUERTES, Y CREAR USUARIOS/PASSWORDS EN LA BASE DE DATOS LOCAL.
22/05/2012 FACULTAD DE ESTUDIOS SUPERIORES ARAGN - UNAM 23

FIREWALL ( PIX & ASA )

NIVELES DE SEGURIDAD DE LA INTERFACES DEL PIX.

AL MOMENTO DE CONFIGURAR LAS INTERFACES DE RED DEL PIX DEBEMOS TENER EN CUENTA EL NIVEL DE SEGURIDAD DE CADA UNA DE ELLAS. EL NIVEL DE SEGURIDAD INDICA LA CONFIANZA QUE SE TIENE DE UNA INTERFAZ RESPECTO A OTRA EN RELACION A LA RED QUE TIENE CONECTADA. POR EJEMPLO, UNA INTERFAZ CONECTADA A INTERNET VA A SER DE MENOR CONFIANZA QUE OTRA CONECTADA A NUESTRA RED PRIVADA. ALGO MUY IMPORTANTE SOBRE LOS NIVELES DE SEGURIDAD, ES QUE UNA INTERFAZ CON UN NIVEL DE SEGURIDAD ALTO, PUEDE ACCEDER A OTRA INTERFAZ CON UN NIVEL DE SEGURIDAD BAJO. Y UNA INTERFAZ CON UN NIVEL DE SEGURIDAD BAJO, NO PUEDE ACCEDER A OTRA INTERFAZ CON UN NIVEL DE SEGURIDAD ALTO. LOS NIVELES DE SEGURIDAD VAN DEL 0 AL 100, DONDE 0 ES LO MENOS SEGURO Y 100 LO MAS SEGURO.
22/05/2012 FACULTAD DE ESTUDIOS SUPERIORES ARAGN - UNAM 24

FIREWALL ( PIX & ASA )

CONTINUACIN.
LA INTERFAZ DE RED CONECTADA A LA RED INTERNA, EN ADELANTE "INSIDE", POSEERA EL NIVEL DE SEGURIDAD MAS ALTO QUE CORRESPONDE A 100. MIENTRAS QUE LA INTERFAZ CONECTADA A INTERNET, EN ADELANTE "OUTSIDE", POSEERA EL NIVEL DE SEGURIDAD MAS BAJO QUE CORRESPONDE A 0. ESTAS ASIGNACIONES SON LAS DEFAULT DEL PIX, Y AUNQUE PODEMOS CAMBIARLAS NO ES RECOMENDABLE HACERLO. UNA CURIOSIDAD, ES QUE LA INTERFAZ ETHERNET 0 SIEMPRE SERA LA OUTSIDE, Y LA ETHERNET 1 SIEMPRE SERA LA INSIDE. CISCO LO DEFINIO DE ESTA FORMA, PARA ASOCIAR EL 0 CON LA "O" DE OUTSIDE, Y EL 1 CON LA "I" DE INSIDE.
22/05/2012 FACULTAD DE ESTUDIOS SUPERIORES ARAGN - UNAM 25

FIREWALL ( PIX & ASA )

CONTINUACIN.
LOS NIVELES DE SEGURIDAD DEL 1 AL 99, PUEDEN SER ASIGNADOS A OTRAS INTERFACES SEGUN EL NIVEL DE CONFIANZA QUE LE TENGAMOS. POR EJEMPLO, A UNA RED DMZ PODEMOS ASIGNARLE EL NIVEL DE SEGURIDAD 75, Y EL NOMBRE "DMZ". ESTO LO HACEMOS USANDO EL COMANDO "NAMEIF". ARCADIA(CONFIG)# NAMEIF ETHERNET2 DMZ SEC50 ARCADIA(CONFIG)# SHOW NAMEIF NAMEIF ETHERNET0 OUTSIDE SECURITY0 NAMEIF ETHERNET1 INSIDE SECURITY100 NAMEIF ETHERNET2 DMZ SECURITY75 NAMEIF ETHERNET3 DMZ2 SECURITY50

22/05/2012

FACULTAD DE ESTUDIOS SUPERIORES ARAGN - UNAM

26

FIREWALL ( PIX & ASA )

CONTINUACIN.
LUEGO DEBEMOS UTILIZAR EL COMANDO "INTERFACE", PARA CONFIGURAR LA VELOCIDAD DE LA INTERFAZ Y QUE QUEDE COMPLETAMENTE ACTIVA. ARCADIA(CONFIG)# INTERFACE ETHERNET2 100FULL CADA INTERFAZ DEL PIX DEBE POSEER UNA DIRECCION IP. ESTO LO CONFIGURAMOS CON EL COMANDO "IP ADDRESS", DONDE A LA INTERFAZ LA PODEMOS LLAMAR CON EL NOMBRE QUE LE PUSIMOS, POR EJEMPLO "DMZ", EN LUGAR DEL NOMBRE DE HARDWARE "ETHERNET2". ARCADIA(CONFIG)# IP ADDRESS DMZ 192.168.0.1 255.255.255.0

22/05/2012

FACULTAD DE ESTUDIOS SUPERIORES ARAGN - UNAM

27

CONTINUACIN.

FIREWALL ( PIX & ASA )

PARA VER LA CONFIGURACION ACTUAL QUE ESTA CORRIENDO EN LA RAM USAMOS EL COMANDO "SHOW RUNNING-CONFIG.
PARA GUARDAR LA CONFIGURACION EN LA MEMORIA FLASH USAMOS EL COMANDO "WRITE MEMORY. Y PARA VER LA CONFIGURACION DE LA FLASH USAMOS EL COMANDO "SHOW STARTUP-CONFIG". SI QUEREMOS GUARDAR UNA COPIA DE LA CONFIGURACION, PODEMOS UTILIZAR EL COMANDO "WRITE NET. PARA ENVIARLA A UN TFTP, O HACER UN "SHOW RUN" Y COPIAR LA SALIDA MANUALMENTE A UN ARCHIVO. ARCADIA# WRITE NET 10.0.0.10:ARCHIVO.CONF BUILDING CONFIGURATION... TFTP WRITE 'ARCHIVO.CONF' AT 10.0.0.10 ON INTERFACE 1 [OK]
22/05/2012 FACULTAD DE ESTUDIOS SUPERIORES ARAGN - UNAM 28

FIREWALL ( PIX & ASA )

RESTRINGIENDO EL ACCESO AL PIX.

EMPEZEMOS POR RESTRINGIR QUIENES TIENEN PERMITIDO INGRESAR AL PIX. ESTO PODEMOS HACERLO CON EL COMANDO "SSH" INDICANDO CUAL ES LA DIRECCION IP.
ARCADIA(CONFIG)# SSH 10.1.1.1 255.255.255.0 INSIDE AHORA SOLAMENTE DESDE LA IP 10.1.1.1 A TRAVES DE LA INTERFACE INSIDE, SE PODRA ACCEDER A LA ADMINISTRACION DEL PIX USANDO SSH.

PERO ANTES DE PODER LOGUEARNOS, DEBEMOS GENERAR LAS LLAVES DE RSA QUE USAREMOS EN LAS SESIONES ENCRIPTADAS DE SSH.

22/05/2012

FACULTAD DE ESTUDIOS SUPERIORES ARAGN - UNAM

29

FIREWALL ( PIX & ASA )

CONTINUACIN.
PARA ELLO SIGAMOS LOS SIGUIENTES PASOS: ARCADIA(CONFIG)# CA ZEROIZE RSA ARCADIA(CONFIG)# CA SAVE ALL ARCADIA(CONFIG)# DOMAIN-NAME GETREWTED.COM.AR ARCADIA(CONFIG)# CA GENERATE RSA KEY 1024FOR >= 1024, KEY GENERATION COULD TAKE UP TO SEVERAL MINUTES. PLEASE WAIT. KEYPAIR GENERATION PROCESS BEGIN. .SUCCESS. ARCADIA(CONFIG)# CA SAVE ALL EN EL PRIMER PASO BORRAMOS LAS LLAVES, ESTO ES RECOMENDABLE SIEMPRE QUE VAYAMOS A GENERAR NUEVAS LLAVES. EN EL SEGUNDO PASO LAS GUARDAMOS. EN EL TERCER PASO CONFIGURAMOS EL DOMINIO. EN EL CUARTO PASO GENERAMOS LAS LLAVES. EN EL QUINTO LAS GUARDAMOS DEFINITIVAMENTE.
22/05/2012 FACULTAD DE ESTUDIOS SUPERIORES ARAGN - UNAM 30

FIREWALL ( PIX & ASA )

CONTINUACIN.
PODEMOS VER LA LLAVE GENERADA CON EL COMANDO

"SHOW CA MYPUBKEY RSA".

TENGAN EN CUENTA QUE SI CAMBIAN EL HOSTNAME O DOMINIO DEL PIX, DEBERAN GENERAR LAS LLAVES NUEVAMENTE.

POR DEFAULT, SIEMPRE QUE NOS LOGUEEMOS AL PIX, USAREMOS EL USUARIO "PIX" Y EL PASSWORD QUE PUSIMOS CON EL COMANDO "PASSWORD".

22/05/2012

FACULTAD DE ESTUDIOS SUPERIORES ARAGN - UNAM

31

PRIVILEGIOS DE LOS USUARIOS.

FIREWALL ( PIX & ASA )

LOS PRIVILEGIOS DE LOS USUARIOS VAN DEL NIVEL 1 AL 15. EL NIVEL 1 ES EL MAS BASICO, Y LO TENEMOS CUANDO RECIEN NOS LOGUEAMOS AL PIX. Y EL NIVEL 15 ES EL MAS ELEVADO, Y LO TENEMOS USANDO EL COMANDO ENABLE SIN NINGUN PARAMETRO. CON EL COMANDO "SH CURPRIV" PODEMOS VER QUE NIVEL DE PRIVILEGIO TENEMOS: Arcadia> sh curpriv Current privilege level : 1 Current Mode/s : P_UNPR Arcadia> en Password: ***** Arcadia# sh curpriv Current privilege level : 15 Current Mode/s : P_PRIV
22/05/2012 FACULTAD DE ESTUDIOS SUPERIORES ARAGN - UNAM 32

FIREWALL ( PIX & ASA )

CONTINUACIN.
ALGO QUE SEGURAMENTE VAN A QUERER HACER, ES PERSONALIZAR EL ACCESO DE CADA USUARIO Y EL NIVEL DE PRIVILEGIO QUE CADA UNO TIENE. PARA ELLO VAMOS A USAR EL COMANDO "USERNAME":
ARCADIA(CONFIG)# ARCADIA(CONFIG)# ARCADIA(CONFIG)# ARCADIA(CONFIG)# ARCADIA(CONFIG)# USERNAME CA0S PASSWORD MAL0R PRIVILEGE 15 USERNAME POLOS PASSWORD NOTANMAL0R PRIVILEGE 10 USERNAME QQMELO PASSWORD NOTANMAL0R PRIVILEGE 10 USERNAME POWER PASSWORD NOTANMAL0R PRIVILEGE 10 USERNAME SHIFF PASSWORD NOTANMAL0R PRIVILEGE 10

COMO VEMOS, CREAMOS EL USUARIO "CA0S" CON EL PASSWORD "MAL0R" Y PRIVILEGIOS DE NIVEL 15.

Y LOS USUARIOS POLOS, QQMELO, POWER Y SHIFF CON EL PASSWORD "NOTANMAL0R" Y PRIVILEGIOS DE NIVEL 10.

22/05/2012

FACULTAD DE ESTUDIOS SUPERIORES ARAGN - UNAM

33

FIREWALL ( PIX & ASA )

CONTINUACIN.
AHORA PARA QUE TODO LO QUE HEMOS HECHO TOME EFECTO, NOS FALTAN LOS SIGUIENTES COMANDOS: ARCADIA(CONFIG)# AAA AUTHENTICATION ENABLE CONSOLE LOCAL ARCADIA(CONFIG)# AAA AUTHORIZATION COMMAND LOCAL CON EL PRIMER COMANDO, ESTAMOS DICIENDO QUE PARA INGRESAR A MODO PRIVILEGIADO, NO IMPORTA QUE NIVEL, NOS VAMOS A AUTENTICAR CON LA BASE DE DATOS LOCAL. CON EL SEGUNDO COMANDO, DECIMOS QUE VAMOS A CONTROLAR LAS ACCIONES PERMITIDAS.

COMO HABIAMOS COMENTADO AL PRINCIPIO DE ESTE TEXTO, CISCO RECOMIENDA UTILIZAR LA BASE DE DATOS LOCAL PARA LA AUTENTICACION DE LOS USUARIOS. DE ESTA FORMA NOS ASEGURAMOS QUE LOS PASSWORDS NO SEAN FACILMENTE CRACKEABLES.
22/05/2012 FACULTAD DE ESTUDIOS SUPERIORES ARAGN - UNAM 34