lunes, 29 de agosto de 2011

Configurando Firewall en un Router CISCO en GNS3

Esta actividad consiste en establecer dos zonas una llamada la LAN y la otra INTERNET y crear reglas de acceso en el firewall que permitan el paso de tráfico desde INTERNET hacia la LAN solo para 3 protocolos y 5 puertos, por ejemplo: FTP, HTTP, SMTP. El resto de los puertos y servicios deben estar
denegados. Generalmente la comunicación desde la LAN es transparente así que el enrutador
debe permitir la salida de paquetes desde la LAN. 

Vamos trabajar con una PC real que tiene instalado VirtualBox y GNS3, para el GNS3 necesitaremos el IOS del router a utilizar en este caso 3745(este no es el que se vera en el GNS3, posiblemente tendra un nombre diferente como por ejm.. 3700), como maquina que simule la red LAN utilizare un Windows XP.

1. Configurara la tarjeta de red LAN.
La tarjeta de red de nuestra maquina XP deberá estar en Modo Anfitrion.


2. Configurando las redes desde GNS3

La red que tenemos en al simulación es mas o menos asi

FALTA IMAGEN TOPOLOGIA

Para configura la red LAN, vamos a dar click  sobre la nube LAN y seleccionaremos tal como muetsra la siguiente imagen. 


Para la red WAN configuraremos asi:


La red LAN tendra configurada uan direccion IP estatica


Ahora es necesario cambiar una configuracion en el VirtualBox

Vamos a la barra superior del ventana principal de VirtualBox.


Archivo > Configuración > red


Vamos a seleccionar el icono en forma de destornillador que encontramos en el lado derecho.


Estando ya dentro de esta opcion, vamos a ir a la ventana Servidor DHCP y lo deshabilitamos


En la otra pestaña "Adaptador", vamos a asignar una dirección IP que este dentro del mismo rango que la  LAN.


3. Administrar el router.

Voy a ingresar a la consola del router y voy a prepararlo para que pueda ser administrado graficamente por SDM, los comandos para este proceso son los siguientes:

R1 (config) # username cisco123 privilege 15 password 0 cisco123
R1 (config) # ip http server
R1 (config) # ip http secure-server
R1 (config) # ip http authentication local
R1 (config) # line vty 0 4
R1 (config-line) # login local
R1 (config-line) # transport input telnet ssh

Después de esto se puede configurar el direccionamiento como normalmente se realiza.

R1 (config) # interface fastethernet 0/0
R1 (config-if) # ip addres 192.168.80.1 255.255.255.0 
R1 (config-if) # no shutdown

Ahora vamos a probar mediante un ping que la maquina perteneciente a la red LAN pueda verse con el router.


Después e comprara la conexión, procedemos a iniciar el administrador grafico SDM


La autenticacion se realiza con el usuario y contraseña creados en la consola del router anteriormente.


La ventana inicial es la siguiente


4. Configuracion del router

4.1 Nateo

Lo primero que realizaremos sera darle internet a nuestra red interna, para ello vamos a configurar el nateo. 

Desde la pestaña "Configurar", la opcion Nat.
Para la configuracion seguimos las imagenes mostradas a continuacion.





Ahora vamos a configurar el firewall y ACL's 

Desde la mima pestaña "Configurar", la opcion Firewall y ACL
La configuracion basica se realiza asi:








Para editar estas políticas creadas por defecto vamos a ir hacia la opción "Editar políticas de firewall/lista de control de acceso" y eliminamos las políticas q se han creado con los pasos anteriores.

Desde la opción "trafico de origen" se configura las reglas salientes de la red hacia otro destino.


Voy a agregar unas reglas para permitir cierto trafico.

Acceso web desde la ip 192.168.80.3 hasta el router.


Trafico FTP desde la 192.168.80.3 hasta el router


Tafico SMTP

Para una mejor seguridad en cuanto alas reglas de aceptar trafico, es recomendable agregar como ultimas reglas las de denegación.

En mi caso voy a tener estas dos reglas de denegación por defecto, son dos reglas ya que debo denegar por TCP y UDP



En el trafico de vuelta



Recordemos ir aplicando los cambios realizados para que sea mas rápida la aplicación de las reglas
Voy a denegar el ingreso a la red LAN por medio de HTTP


por HTTPS permito

por FTP permito

por SMTP permito


Por SSH permito


 Es muy útil tener una copia de la configuración de nuestro firewall, para ello necesitaremos instalar un cliente FTP en una de las maquinas de la red.
A continuación estan los comando necesarios para guardar esta configuración mediante el tftp, la dirección IP que se ingresa es la que contiene el cliente TFTP



Es prudente tambien habilitar el protocolo ICMP (ping).


A continuacion les muestro la configuracion actual de mi router por medio de la consola.




Las políticas del firewall van así:



Las reglas creadas hasta el momento son:

Dns por TCP, desde la red 80.0 hacia cualquier IP


Dns por UDP, desde la red 80.0 hacia cualquier IP


WEB desde la red 80.0 hacia cualquier direccion IP


HTTPS desde la red 80.0 hacia cualquier dirección IP


SSH desde la red 80.0 hacia cualquier direccion IP.


Ping desde la red 80.0 hacia cualquier direccion IP.


Denegacion por defecto por TCP


Denegación por defecto por UDP


DHCP desde cualquier dirección hacia la red 80.0 (En el trafico de vuelta)


Para probar las reglas.

HTTP

Ping

DNS

Telnet (no fue configurado para ser aceptado), la politica por defecto de denegar esta funcionanado para los demas protocolos.



Espero sea de ayuda este tutorial... Nos vemos pronto
:D