viernes, 25 de mayo de 2012

PASO A PASO PARA CREAR UN FIREWALL EN UN RUOTER CISCO

En este manual se mostrara como aplicar un firewall sencillo en un router cisco, el cual se encargara de filtrar el tráfico que provenga de internet a una red LAN conectada al router, además de su configuración por medio grafico utilizando SDM; básicamente la topología es la siguiente:
La IOS del router que se utilizara será la 3745 y se emulara en GNS3.
GNS3 es una herramienta libre y fácil de de descargar disponible en múltiples plataformas.
Al utilizar GNS3 debemos de tener importadas y asociadas las IOS de los router, para esto, en la pantalla principal del programa seleccionamos la opción editar y luego en la parte de administración de IOS, aquí en la parte de configurar base y archivo de imagen se ingresa la ruta de la ubicación de la IOS en el PC, luego se escoge la plataforma y el modelo en la que se implementa la IOS:
Cuando se da click en guardar se sube la imagen al GNS3, luego introducir los elementos al área de trabajo los cuales son el router y dos nubes que se utilizaran para poder conectar el programa con las interfaces físicas del PC para poder conectarlo a las diferentes redes:
Se pasa a configurar las nubes que generamos, con click derecho en la nube y en configurar, se selecciona la nube y en la pantalla que aparece se escoge una interfaz real que se quiere utilizar, la maquina que tiene el GNS3 tiene dos interfaces una conectada a internet y la otra en una red interna; se selecciona la de internet primero y luego se da click en aceptar:
Se hace lo mismo con la otra nube pero esta vez se selecciona la interfaz conectada a la LAN:
Ahora hecho esto conectan los dispositivos, y luego se da click derecho en el router y luego en iniciar, para encenderlo, después se da click derecho de nuevo y se escoge terminal, para empezar a configurarlo:
Solamente se necesita ingresar las IPs de las interfaces y luego ingresar unas líneas para que se puede configurar por vía grafica, las IPs es lo siguiente:
Interface FastEthernet0/0
No shutdown
ip address 192.168.10.216 255.255.255.0
Interface FastEthernet0/1
No shutdown
Ip address 192.168.32.1 255.255.255.0
Ip route 0.0.0.0 0.0.0.0 192.168.10.1
Donde la interfaz FE 0/0 Está conectada a internet y la FE 0/1 esta conectada a la red local, además se agrega una ruta por defecto para que los paquetes desconocidos los reenvía al Gateway (hacia internet), luego de hacer esto solo basta con ingresar estas líneas para poder configurarlo gráficamente:
username gnunick privilege 15 password gnunick123
ip http server ip http secure-server
Luego se permite el ingreso vía SSH y telnet para finalizar. Ip http authentication local line vty 0 4 login local transport input telnet ssh
Ahora podemos guardar los cambios, luego en una maquina con la que se hará pruebas que este dentro de la red interna se le asigna una ip dentro de la red.
Y en esta se instala el SDM que puede ser encontrado en la página de cisco, pero para su utilización debemos tener también instalado Mozilla Firefox y Java, se instala como cualquier programa en Windows:
 
Se da click en siguiente y se escoge que va a ser instalado solo en el equipo:
Se escoge la ruta de instalación y listo:
Ahora se puede iniciar; se ingresa la ip de la interfaz del router:
Al dar click en iniciar se abrirá el navegador y nos pedirá un usuario y contraseña, las que se habían puesto en las líneas de configuración:
Al iniciar los datos se abrirá otra ventana pera esta vez de Java y se deberá ingresar lo mismo:
Cuando se ingresan se ejecuta la aplicación y podemos ver una pantalla inicial, donde mostrara la información principal del dispositivo:
Lo primero que se deberá de hacer es un NAT para poder traducir las direcciones de la red LAN y permitir que los host puedan alcanzar internet, para esto en la pestaña configurar se selecciona NAT:
Primero se hace un NAT básico para la red, se abre una pestaña para empezar la configuración:
Luego se en la parte superior se selecciona la interfaz conectada a internet y en la parte inferior el pool de direcciones que van a ser traducidas:
Luego se comprueban los datos y se verifica el NAT realizado:
Para hacer pruebas se ha instalado un servidor web en la red LAN, por lo cual hay que hacer un NAT avanzado, al seleccionarlo se abre el asistente de configuración y se selecciona la interfaz conectada a internet y se agrega la con la que se desea salir a internet, ósea la el resultado de la traducción:
Luego se de esto se agrega la dirección IP del servidor y se asocia con la ingresada anteriormente:
Se acepta y finaliza y se comprueban los resultados:
Ahora con un PC que está en internet se puede acceder la página de la LAN:
Luego se puede empezar a configurar el firewall, hay que desplazarse a la pestaña Firewall y ACL, y se selecciona la opción de Firewall básico, el Avanzado se utiliza cuando se tiene una DMZ:
Se debe seleccionar una interfaz no fiable para la configuración de SDM o permitir las redes externas, además se ingresan las que son fiables:
Se escoge el anfitrión o la red que accederá al router:
Se comprueban los datos y se finaliza para que el programa inserte los cambios:
Luego se permite que SDM configure el firewall para que el NAT no se vea afectado:
Esta es la pantalla principal de la configuración de firewall, como se puede observar hay cuatro instancias, la FE 0/1 de entrada, la FE 0/1 de salida, la FE 0/0 de entrada y la FE 0/1 de salida, además por defecto se crean varias reglas en el firewall:
Lo que se desea hacer con la práctica es bloquear todo el tráfico que se envié desde internet hacia la red local excepto algunos protocolos incluyendo el WEB, pero además la red LAN puede navegar y realizar cualquier tarea en Internet:
Para esto se eliminan las reglas que se crearon en las cuatro instancia y en la FE 0/0 entrante se agrega una nueva regla, se abrirá el siguiente cuadro:
En este se puede seleccionar si la regla es para permitir o denegar, en este caso se permitirá cuando el origen del paquete entrante sea cualquier ip y para cualquier IP, utilizando el protocolo TCP y cuando el puerto de origen en cualquiera y el de destino es el 80, asociado con el WEB, al dar aceptar se está permitiendo el ingreso de solicitudes web a la red LAN, esta regla queda al inicio de la lista, hay que tener en cuenta que las primeras son las que primero aplican, entonces si luego se desea denegar todo el trafico TCP, esta se debe colocar al final, luego esta es la lista de las reglas, primero las que permiten los diferentes puertos y al final las que deniegan el trafico TCP, UDP e IP.
En las demás instancias lo que hace es permitir todo el tráfico TCP, UDP e IP:
Luego de esto se hace click en el botón aplicar cambios:
Ahora se puede comprobar que haciendo ping desde internet hacia la red interna, el paquete es denegado:
Paro la solicitud WEB es exitosa:
Además desde la red interna tanto el ping como las solicitudes web son exitosas:

No hay comentarios:

Publicar un comentario