CONFIGURACIÓN DE FIREWALL DE RED EN UN ROUTER CISCO 7200

download CONFIGURACIÓN DE FIREWALL DE RED EN UN ROUTER CISCO 7200

of 42

Transcript of CONFIGURACIÓN DE FIREWALL DE RED EN UN ROUTER CISCO 7200

CONFIGURACIN DE FIREWALL DE RED EN UN ROUTER CISCO 7200 MEDIANTE CISCO SDM

Esta actividad consiste en la implementacin de un firewall de red en un Router cisco 7200 utilizando la herramienta de configuracin grafica de cisco SDM. Ya que se requiere un Router para esta actividad, utilizaremos el emulador de dispositivos de cisco GNS3 y virtual box para simular la red y los equipos conectados a esta.

Algunos conceptos. Firewall: Que significa muro de fuego, es un dispositivo o software que permite realizar un filtrado de los paquetes que entran y salen de una red dependiendo de las reglas que el administrador de la red configure en este, y como resultado el administrador puede tener mayor control de la red en especial en el campo de la seguridad el cual es de vital importancia para cualquier Entidad. A diferencia de los firewall de host o personales que se encuentran en los sistemas operativos y que solo filtran el trfico entrante y saliente de un equipo en particular, los firewall de red se ubican en los Routers para filtrar todo el trafico que circula desde y hacia la red. GNS3: Es un emulador de dispositivos cisco que permite el diseo de topologas de red complejas con las ventajas del funcionamiento real de los dispositivos, adems permite la utilizacin de imgenes de IOS de cisco y la conexin con redes en virtual box. Resulta de gran utilidad para hacer diseos de red y como herramienta educativa. SDM: En una bsqueda por simplificar el manejo y configuracin de sus dispositivos, cisco creo una herramienta de administracin grafica va Web que hace mucho ms sencillo el trabajo con los Routers y dems dispositivos. GNS3 permite realizar cualquier tipo de configuracin en los dispositivos de red con una interfaz grafica sencilla y cmoda, utiliza java como plataforma de lenguaje sobre http. Virtual box: Es una herramienta que permite la implementacin de maquinas virtuales, emula dispositivos de hardware que permiten la instalacin de diferentes sistemas operativos y la conexin de redes.

QUE SE NECESITA?

-

Un PC con virtual box y GENS3 instalado. IOS de Routers (7200) Una maquina virtual con Windows XP 0 7.

GNS3 se pude descargar de su pgina oficial al igual que Virtual box, ambos son de licencia libre.

Topologa GNS3. Esta es la interfaz grafica de GNS3, lo primero que haremos ser indicarle la ubicacin de las IOS para los Routers, para esto seleccionamos el Router a utilizar en este caso el 7200.

Luego nos vamos a editar en la parte superior izquierda y seleccionamos imgenes imgenes IOS y hypervisors.

Se abre una ventana y hacemos clic en el botn a la derecha de Archivo de imagen

Ahora buscaremos la ubicacin de la imagen correspondiente al Router hacemos clic en abrir.

Una vez seleccionada la imagen chuleamos el recuadro que dice imagen por defecto para esta plataforma y hacemos clic en guardar.

Arrastraremos el Router que acabamos de configurar hacia el rea de trabajo tambin incluiremos dos nubes, una que llamaremos LAN y otra que llamaremos internet, la nube se encuentra en la parte inferior izquierda donde se encuentran los dispositivos, la nube LAN nos permitir conectarnos con nuestra maquina virtual y la nube internet ser la que nos permita salir a internet desde nuestra maquina virtual a travs del Router.

Hacemos clic derecho sobre el Router y en configurar.

Luego hacemos clic en R1 y despus en la pestaa Slot en la parte derecha.

En slot 0 seleccionaremos C7200-IO-2FE y hacemos clic en aceptar.

De esta manera se acaba de agregar un modulo de dos interfaces fastEthernet al Router.

Lo siguiente que se har ser crear una red virtual mediante las utilidades de virtual box, esta red permitir conectar la maquina virtual al Router. Se abre el virtual box y hacemos clic en archivo y luego en Preferencias.

Se abre una ventana donde seleccionaremos la ficha red en la parte izquierda.

Por lo general cuando se instala el virtual box se crea una red para este si este no es el caso lo que se debe hacer es hacer clic en el botn con el sino de mas (+) en la parte derecha de la ventana, esto creara una nueva interfaz de red, luego Se hace clic en el botn con imagen de destornillador de la derecha, aqu se puede configurar la direccin IP para la nueva interfaz y opcionalmente crear un servidor DHCP para los equipos que se conecten a esta misma red.

En este caso no utilizaremos el servidor DHCP.

Ahora pasaremos a configurar la nube LAN

Seleccionamos el nodo LAN y la pestaa NIO Ethernet.

Aparecern dos interfaces de red, una de ellas es la que creamos anteriormente en el virtual box, y la otra es la interfaz de red de la maquina real. Se selecciona la interfaz creada para la LAN.

Se hace clic en agregar, aplicar y luego en aceptar.

Ahora pasamos a configurar la nube que emula la salida a internet. En esta seleccionamos la interfaz de red de la maquina real, ya que ser la que nos permita la salida a internet.

Lo siguiente ser conectar nuestro Router a las dos redes. En la parte superior izquierda encontramos el botn de vnculo, damos clic y seleccionamos manual.

Al hacer clic sobre el Router aparecern las dos interfaces de red, configuraremos la interfaz f0/0 para la red LAN y la f0/1 para la salida a internet.

Podemos observar que se expande una lnea que representa el cable de conexin y damos clic sobre la nube, nos aparece la interfaz de red y hacemos clic en ella.

Procedemos a conectar la interfaz f0/1 a la nube de internet.

Y con esto terminamos la configuracin fsica de nuestra red.

Ahora iniciamos el Router para empezar la configuracin lgica. Hacemos clic derecho y luego en iniciar.

Los Routers son dispositivos que requieren de muchos recursos de hardware por lo que el sistema se vuelve lento e incluso puede colgarse, GNS3 posee una herramienta que permite optimizar las cargas d CPU, esta herramienta llamada IDLE PC la encontramos al hacer clic derecho.

Esta herramienta nos muestra una ventana con varios valores, lo mejor ser utilizar el valor recomendado que se encuentra por lo general marcado con asterisco o simplemente el primer valor.

Cuando aplicamos esta herramienta la carga de la CPU disminuir y podremos estar ms tranquilos sobre el rendimiento del PC y podemos proceder con la configuracin. Hacemos clic derecho de nuevo en el Router para iniciar la consola de comandos.

Lo que haremos ahora ser configurar las dos Interfaces de red en el Router, recordemos que la interfaz f0/1 es la que se encuentra conectada a Internet y la f0/0 a la red LAN.

Configuracin Interfaz f0/1 a internet. Router>enable Router#configure terminal Router(config)#interface fastEthernet 0/1 Router(config-if)#ip address dhcp Router(config-if)#no shutdown Router(config-if)#exit Configuracin Interfaz f0/0 a la LAN Router>enable Router#configure terminal Router(config)#interface fastEthernet 0/0 Router(config-if)#ip address 192.168.20.5 255.255.255.0 Router(config-if)#no shutdown Router(config-if)#exit

Lo que haremos ahora ser configurar el Router para que permita la administracin desde SDM.

Lo primero ser crear el usuario que nos permitir conectarnos al Router.

Router>enable Router#configure terminal Router(config)#username ciscored privilege 15 password ciscored123 En este caso el nombre de usuario es ciscored y la contrasea cisored123, pero esta contrasea debe ser lo mas segura posible y no debe coincidir con el nombre de usuario.

Habilitamos el servidor http, https y creamos el certificado.

Router(config)#ip http server Router(config)#ip http secure-server

A continuacin activamos el ingreso SSH y telnet.

Router(config)#ip http authentication local Router(config)#line vty 0 4 Router(config-line)#login local Router(config-line)#transport input telnet ssh Y con esto finalizamos la configuracin que permiten la administracin por SDM.

EL CLIENTE. Debemos configurar nuestra maquina virtual cliente para que se conecte mediante el adaptador solo anfitrin vboxnet.

Luego encendemos nuestra maquina cliente y configuramos una direccin IP dentro de la red LAN en este caso 192.168.20.0/24.

SDM Instalaremos el SDM en nuestro cliente para poder iniciar la administracin del Router. Recuerden que SDM necesita Java para funcionar correctamente. Ejecutamos el archivo setup.

Debemos esperar que se inicie el asistente de instalacin.

El asistente nos da la bienvenida y hacemos clic en siguiente.

Ahora el asistente nos muestra el contrato de licencia, se recomienda leerlo al menos una vez.

Podemos elegir en que dispositivo queremos instalar el SDM en este caso ser en el equipo cliente.

El asistente instala SDM en una ubicacin por defecto aunque si se requiere se puede cambiar por la que se prefiera.

Hacemos clic en instalar y esperamos que el asistente copie los archivos.

Hacemos clic en finalizar y con esto terminamos la instalacin del SDM.

Nos aparece un pequeo recuadro donde ingresamos la direccin IP del Router para conectarnos a este.

Despus de ingresar la direccin IP hacemos clic en iniciar y podemos observar que se nos abre el navegador.

El contenido del SDM se encuentra bloqueado por lo que debemos desbloquearlo haciendo clic en la barra de advertencia que nos aparece en la parte superior del navegador.

Nos aparece un recuadro de autenticacin e ingresamos las credenciales creadas en el Router anteriormente.

Debemos permitir la ejecucin de la aplicacin. Hacemos clic en ejecutar.

Luego nos debemos autenticar de nuevo en java con las mismas credenciales.

Se abre la ventana de administracin y empieza a cargar la configuracin vigente y las caractersticas de configuracin e informacin.

Y tenemos la interfaz grafica del SDM.

NAT Lo que haremos ahora ser configurar el servicio NAT para que la red LAN pueda salir a internet. Nos dirigimos a la pestaa configuracin.

En el lado izquierdo de la ventana tenemos varias opciones, hacemos clic en NAT.

Crearemos un NAT bsico para nuestra red, hacemos clic en iniciar la tarea seleccionada y se inicia el asistente de configuracin NAT, hacemos clic en siguiente.

Seleccionamos la interfaz que nos permite conectarnos a internet. En este caso la fastEthernet 0/1

Luego marcamos el recuadro de la red que ser traducida para permitir la salida a internet que en este caso es la 192.168.2.0/24 en la FastEthernet 0/0

Ahora veremos un cuadro que nos muestra la informacin de las interfaces que acabamos de configurar, si la configuracin fue correcta hacemos clic en finalizar.

Y con esto terminamos una configuracin sencilla de NAT con lo que nuestra LAN tendr acceso a internet.

Configuracin del Firewall Para la implementacin del firewall primero debemos crear un firewall bsico y luego modificar las polticas, este firewall bsico nos permite proteger una red LAN que se conecta a internet mediante un enrutador, el SDM tambin nos permite crear un firewall avanzado donde podremos configurar una Zona desmilitarizada para publicar nuestros servidores entre otras opciones.

En este caso solo crearemos un firewall bsico y modificaremos ls polticas para permitir el trfico solo a los protocolos que necesitamos.

Hacemos clic n iniciar la tarea seleccionada y nos aparecer una el asistente de configuracin de firewall que vemos a continuacin.

Debemos seleccionar la interfaz con la cual el Router se conecta a internet como interfaz externa no fiable y marcar en el recuadro inferior la interfaz que se conecta a la LAN y hacemos clic en siguiente.

Nos aparece una advertencia sobre el acceso del SDM al Router por la Interfaz que seleccinanos como no fiable simplemente hacemos clic en aceptar.

Ahora podremos seleccionar el nivel de seguridad que queremos aplicar en el firewall en este caso lo dejamos en alto ya que de todas formas modificaremos las polticas. Hocemos clic en siguiente.

Debemos configurar n servidor DNS para la red, si no se tiene uno en la rd podremos utilizar el de Google (8.8.8.8)

Por ultimo el asistente nos muestra un resumen de las configuraciones a aplicar, hacemos clic en finalizar.

Es posible que nos aparezca una advertencia sobre el trafico DHCP ya que la interfaz de salida a internet esta configurada en modo DHCP, en caso que la LAN tenga su propio servidor DHCP podemos hacer clic en la opcin NO

El asistente enviara las configuraciones al Router y hacemos clic en aceptar.

Y con esto finaliza la creacin del firewall.

Tenemos nuestro firewall creado y lo siguiente ser modificarlo para implementar las polticas de nuestras preferencias. En este caso tenemos la configuracin para el trfico de origen de la LAN.

Borraremos la configuracin por defecto. Seleccionamos una de ellas y hacemos clic en el botn cortar.

Hacemos clic en agregar y se nos abre una ventana donde podremos configurar una poltica o regla nueva. Permitiremos la conexin para el SDM a nuestro Router, en accin seleccionamos permitir, una descripcin, el origen ser la red donde se encuentra instalado el SDM y el destino la direccin de la interfaz del Router, como protocolo el TCP y el servicio de destino http o www tal y como se muestra en la imagen.

Tambin permitiremos el acceso FTP y el SMTP para garantizar que el SDM funcione correctamente.

Ahora negaremos el resto del trfico de origen.

Lo hacemos tanto para UDP como TCP.

Permitiremos el acceso para algunos servicios de nuestra red, as que seleccionamos el trfico de vuelta.

El primero ser el acceso WEB.

Tambin el Web seguro o https

El SMTP (Protocolo simple de transferencia de correo)

Servicio FTP

Y por ultimo denegamos cualquier otro tipo de acceso en TCP y UDP. TCP

UDP