EEPICA's BLOG eepica@nirvana:~# ps aux blog | grep eepica

Jugando con un FireWall Cisco PIX

in Technology



La siguiente entrada está inspirada en uno de mis tantos quices y que aparte de haber sido divertido, me costó un poco entenderlo al momento de estudiarlo.


A continuación hablaremos un poco del uso, funcionamiento y configuración de un FireWall Cisco PIX, éste dispositivo a pesar de no ser la última tecnología en el mercado tiene las siguientes ventajas o características


  • FireWall IP
  • Integración de NAT (Network Address Tranlation) y PAT (Port Address Translation) y WildCard
  • S.O. propio llamado Finesse (Fast InterNEt Server Executive), conocido generalmente como PIX O.S.
  • Trabaja a nivel de capa 3 
  • Permite control para conexiones a nivel de capa 4, ésto por el simple hecho de que la cabecera de ésta capa contiene los puertos y direcciones IP.
  • Fácil uso de ACL (Access Control List)
  • Filtrado por protocolos 
  • Permite acceso por Telnet y SSH
  • Administración por cli (interface de linea de comandos) o una GUI (Ésta no la conozco)
  • Otras :)
Ahora, con el fin de intentar hacer un poco "práctica" la siguiente entrada tomaremos como ejemplo la realización de la siguiente configuración, con ciertas normas de filtrado:

Diseño de red:





Datos importantes:


Se tiene el diseño de red mostrado en la anterior imagen, en la cual podemos se puede notar la conexión de una red con IP Privada (172.16.0.0) que tiene salida a Internet por medio de una IP Pública (200.21.200.1). Para el siguiente "ejemplo" configuraremos el FireWall Cisco PIX con las siguientes características:
  • Área de Servidores
    • Servidor Web: IP 172.16.0.10/24
    • Servidor de correo: IP 172.16.0.11/24
    • Servidor Proxy: IP 172.16.0.12/24
    • Servidor DNS: IP 172.16.0.13/24
  • Área de Equipos (usuarios normales)
  • Administración remota al equipo con IP 172.16.1.100/24
  • NAT con Pool Dinámico 
  • Acceso a servidores sólo por puertos estándar autorizados
  • PCs con NAT sin acceso a Internet
  • Acceso por cualquier puerto al PC de administración
Solución


Para la solución analizaremos el archivo de configuración obtenido, de el cual a su vez se sobre-entienden los comandos a utilizar, el archivo resultante lo encuentras aquí

Ahora, en éste código lo importante son los siguientes campos a describir:
  • names:  asignación de nombres a IP
    • names
      name 172.16.0.10 web
      name 172.16.0.11 correo
  • object-group: creación de grupos de acuerdo a protocolos, se asignan descripciones y puertos que soportan dicho protocolo (declarados por defecto  en fixup protocol)
    • object-group service web tcp
      description protocolos http
      port-object eq www
      port-object eq https
  • access-list outside_access_in: configuración de paquetes a enrutar que luego serán filtrados por las ACL, es decir asignación de IPs públicas para servidores o PCs dentro de la red privada
    • access-list outside_access_in permit tcp any host 200.21.100.14 object-group dns-tcp 
  • ip address outside/inside: declaración de IPs de salida y entrada
    • ip address outside 200.21.200.2 255.255.255.224
      ip address inside 172.16.0.2 255.255.0.0       
  • pdm location: declaración de IP y máscara de servicios y equipos (PC) dentro de la red privada
    • pdm location web 255.255.255.255 inside
      pdm location correo 255.255.255.255 inside
      pdm location proxy 255.255.255.255 inside
  • global: declaración de IP(s) globales, ejemplo: rango de direcciones IP de salida
    • global (outside) 1 200.21.200.3 - 200.21.200.10
  • nat: declaración de NATs dinámicas (cualquier máscara, cualquier IP)
    • nat (inside) 1 pc10 255.255.255.255 0 0 
  • static: declaración de NATs estáticas (usadas generalmente para los servidores)
    • static (inside,outside) 200.21.100.11 web netmask 255.255.255.255 0 0
      static (inside,outside) 200.21.100.12 correo netmask 255.255.255.255 0 0
      static (inside,outside) 200.21.100.13 proxy netmask 255.255.255.255 0 0
  • route outside/inside: declaración de IPs de entrada y salida para el router
    • route inside 172.16.1.1 255.255.255.0 10.10.10.1 1
      route outside 0.0.0.0 0.0.0.0 200.21.200.2 1
  • ssh/telnet: declaración de servicios para acceder a una máquina específica
    • ssh 172.16.1.100 255.255.255.255 inside
      ssh timeout 5
Bueno, éste ha sido el resultado de mis primeros contactos con dicho FireWall y creo que no fue tan "mala" como pensaba... definitivamente me encanta "jugar" con éstos dispositivos :)

Saludos!

Categories

Tags

Comments (1)

  • jorge:

    13 Apr 2010 10:50:45

    Muy bueno! Felicitaciones.

Leave a comment