Fase 2 Actividad Firewall Cisco
19
Seguridad de la red Diseño del plan de seguridad de la información Fase 2 – Firewall común en router Cisco GRUPO “MiNdWiDe” JUAN ALEJANDRO BEDOYA JOSE DE ARLEX DOMINGUEZ NEIFER ERNEY GIRALDO JHON FREDY HERRERA YOJAN LEANDRO USME ADMINISTRACION DE REDES INFORMATICAS Mauricio Ortiz CENTRO DE SERVICIO Y GESTION EMPRESARIAL SENA (MEDELLIN) 2010
-
Upload
jh0n-fredy-h -
Category
Documents
-
view
55 -
download
1
Transcript of Fase 2 Actividad Firewall Cisco
Seguridad de la red
Diseño del plan de seguridad de la información
Fase 2 – Firewall común en router Cisco
GRUPO “MiNdWiDe”
JUAN ALEJANDRO BEDOYA
JOSE DE ARLEX DOMINGUEZ
NEIFER ERNEY GIRALDO
JHON FREDY HERRERA
YOJAN LEANDRO USME
ADMINISTRACION DE REDES INFORMATICAS
Mauricio Ortiz
CENTRO DE SERVICIO Y GESTION EMPRESARIAL
SENA (MEDELLIN)
2010
Mind Wide Open™ BLOG – http://jfherrera.wordpress.com
Seguridad de la red | Diseño del plan de seguridad de la información GROUP | “???”
MiNdWiDe - Group 2
INDICE
Introducción ......................................................................................................................... 3
Objetivo ............................................................................................................................... 4
Tabla de direccionamiento .................................................................................................... 6
Realización de la configuración básica en los dispositivos ........................................................................ 7
En R1 ...................................................................................................................................................... 7
En R2 ...................................................................................................................................................... 8
Configuración del direccionamiento planteado en la tabla de direccionamiento..................................... 9
En R1 ...................................................................................................................................................... 9
En R2 ...................................................................................................................................................... 9
Configuración PPP con autenticación CHAP ............................................................................................ 10
En R1 .................................................................................................................................................... 10
En R2 .................................................................................................................................................... 10
Rutas estáticas para la internetwork ....................................................................................................... 10
En R1 .................................................................................................................................................... 10
En R2 .................................................................................................................................................... 10
Tabla de enrutamiento de R1 .............................................................................................................. 11
Tabla de enrutamiento de R2 .............................................................................................................. 11
Show interface s0/0............................................................................................................................. 12
Permitir la salida de todos los host de la LAN .......................................................................................... 13
EN R1 (router de frontera) .................................................................................................................. 13
Show ip nat translations ...................................................................................................................... 13
Configurando Firewall en R1 (router de frontera) ................................................................................... 14
Descripción .......................................................................................................................................... 14
Regla 1 ..................................................................................................................................................... 15
En R1 (router frontera) ........................................................................................................................ 15
Regla 2 ..................................................................................................................................................... 16
En r1 (router frontera) ......................................................................................................................... 16
Regla 3 ..................................................................................................................................................... 17
En R1 .................................................................................................................................................... 17
Conclusiones ....................................................................................................................... 18
Bibliografía ......................................................................................................................... 18
Mind Wide Open™ BLOG – http://jfherrera.wordpress.com
Seguridad de la red | Diseño del plan de seguridad de la información GROUP | “???”
MiNdWiDe - Group 3
Introducción
La seguridad en las redes de datos de las compañías se ha vuelto un elemento muy importante
para la realización de las tareas cotidianas, ya que cada vez manejamos información sensible para
nosotros y por ello necesitamos confidencialidad y privacidad. Por eso muchas veces escuchamos
hablar de firewalls.
Un muro de fuego (firewall en inglés) es una parte de un sistema o una red que está diseñada para
bloquear el acceso no autorizado, permitiendo al mismo tiempo comunicaciones autorizadas. Se
trata de un dispositivo o conjunto de dispositivos configurados para permitir, limitar, cifrar,
descifrar, las características de cifrado y descifrado se permiten en un firewall agregando
funcionalidades al mismo convirtiéndose así en una solución más robusta y efectiva. Esta serie de
atributos o comportamientos se aplican al tráfico tanto entrante como saliente entre los
diferentes ámbitos sobre la base de un conjunto de normas y otros criterios.
Mind Wide Open™ BLOG – http://jfherrera.wordpress.com
Seguridad de la red | Diseño del plan de seguridad de la información GROUP | “???”
MiNdWiDe - Group 4
Objetivo
Realizar la implementación de un firewall básico en dispositivos cisco, lo realizaremos con un
router Cisco 3940. Para llevar a cabo esta tarea nos apoyaremos en el emulador de IOS GNS3 –
Dynamics y Vmware Workstation, el cual no permitirá realizar dicha tarea. Y así obtener un
conocimiento sobre cómo realizar dicha implementación.
Mind Wide Open™ BLOG – http://jfherrera.wordpress.com
Seguridad de la red | Diseño del plan de seguridad de la información GROUP | “???”
MiNdWiDe - Group 6
Tabla de direccionamiento
Dispositivo Interfaz Direccion IPMascara de
subred
Gateway
predeterminada
S0/0 208.67.222.1 255.255.255.252 NO APLICABLE
Fa1/0 172.16.100.254 255.255.255.0 NO APLICABLE
S0/0 208.67.222.2 255.255.255.252 NO APLICABLE
Fa1/0 10.10.0.254 255.255.255.0 NO APLICABLE
SVR-HTTP-SSH-
01NIC 172.16.100.253 255.255.255.0 172.16.100.254
SVR-FTP-SSH-01 NIC 172.16.100.252 255.255.255.0 172.16.100.254
R1
R2
Mind Wide Open™ BLOG – http://jfherrera.wordpress.com
Seguridad de la red | Diseño del plan de seguridad de la información GROUP | “???”
MiNdWiDe - Group 7
Realización de la configuración básica en los dispositivos
En R1
enable configure t line console 0 logging synchronous exec-timeout 0 0 history size 30 password cisco login exit line vty 0 4 password cisco login logging synchronous exec-timeout 0 0 history size 30 exit enable secret class banner motd & !!!! SOLO PERSONAL AUTORIZADO !!!! & hostname R1 end cop r s
Mind Wide Open™ BLOG – http://jfherrera.wordpress.com
Seguridad de la red | Diseño del plan de seguridad de la información GROUP | “???”
MiNdWiDe - Group 8
En R2
enable configure t line console 0 logging synchronous exec-timeout 0 0 history size 30 password cisco login exit line vty 0 4 password cisco login logging synchronous exec-timeout 0 0 history size 30 exit enable secret class banner motd & !!!! SOLO PERSONAL AUTORIZADO !!!! & hostname R2 end cop r s
Mind Wide Open™ BLOG – http://jfherrera.wordpress.com
Seguridad de la red | Diseño del plan de seguridad de la información GROUP | “???”
MiNdWiDe - Group 9
Configuración del direccionamiento planteado en la tabla de direccionamiento
En R1
En R2
R1(config)#interface s0/0 R1(config-if)#ip address 208.67.222.1 255.255.255.252 R1(config-if)#no shutdown R1(config-if)#clock rate 64000 R1(config-if)#description LINK TO R2 R1(config-if)#exit R1(config)#interface fa1/0 R1(config-if)#ip address 172.16.100.254 255.255.255.0 R1(config-if)#no shutdown R1(config-if)#description LAN_LOCAL R1(config-if)#exit
R2(config)#interface s0/0 R2(config-if)#ip address 208.67.222.2 255.255.255.252 R2(config-if)#no shutdown R1(config-if)#description LINK TO R2 R2(config-if)#exit R2(config)#interface fa1/0 R2(config-if)#ip address 10.10.0.254 255.255.255.0 R1(config-if)#no shutdown R2(config-if)#description LAN_LOCAL R2(config-if)#exit
Mind Wide Open™ BLOG – http://jfherrera.wordpress.com
Seguridad de la red | Diseño del plan de seguridad de la información GROUP | “???”
MiNdWiDe - Group 10
Configuración PPP con autenticación CHAP
En R1
En R2
Rutas estáticas para la internetwork
En R1
En R2
Nota: se debe especificar la ruta 198.0.0.0/30 en la tabla de enrutamiento de R2 ya que todo
origen proveniente de la red privada 172.16.100.0/24 será enmascarado con el rango de ips
globales especificadas en el router R1.
R1(config)#interface s0/0 R1(config-if)#encapsulation ppp R1(config-if)#ppp authentication chap R1(config-if)#ppp chap password cisco123 R1(config-if)#exit R1(config)#username R2 password cisco123
R2(config)#interface s0/0 R2(config-if)#encapsulation ppp R2(config-if)#ppp authentication chap R2(config-if)#ppp chap password cisco123 R2(config-if)#exit R2(config)#username R1 password cisco123
R1(config)#ip route 0.0.0.0 0.0.0.0 s0/0
R2(config)#ip route 172.16.100.0 255.255.255.0 s0/0 R2(config)#ip route 198.0.0.0 255.255.255.252 s0/0
Mind Wide Open™ BLOG – http://jfherrera.wordpress.com
Seguridad de la red | Diseño del plan de seguridad de la información GROUP | “???”
MiNdWiDe - Group 11
Tabla de enrutamiento de R1
Tabla de enrutamiento de R2
Mind Wide Open™ BLOG – http://jfherrera.wordpress.com
Seguridad de la red | Diseño del plan de seguridad de la información GROUP | “???”
MiNdWiDe - Group 12
Show interface s0/0
R2#show interfaces s0/0 Serial0/0 is up, line protocol is up Hardware is M4T Description: LINK TO R1 Internet address is 208.67.222.2/30 MTU 1500 bytes, BW 1544 Kbit, DLY 20000 usec, reliability 255/255, txload 1/255, rxload 1/255 Encapsulation PPP, crc 16, loopback not set Keepalive set (10 sec) Restart-Delay is 0 secs LCP Open Open: IPCP, CDPCP Last input 00:00:03, output 00:00:03, output hang never Last clearing of "show interface" counters 00:15:37 Input queue: 0/75/0/0 (size/max/drops/flushes); Total output drops: 0 Queueing strategy: weighted fair Output queue: 0/1000/64/0 (size/max total/threshold/drops) Conversations 0/1/256 (active/max active/max total) Reserved Conversations 0/0 (allocated/max allocated) 5 minute input rate 0 bits/sec, 0 packets/sec 5 minute output rate 0 bits/sec, 0 packets/sec 220 packets input, 10171 bytes, 0 no buffer Received 0 broadcasts, 0 runts, 0 giants, 0 throttles 0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored, 0 abort 217 packets output, 10600 bytes, 0 underruns 0 output errors, 0 collisions, 0 interface resets 0 output buffer failures, 0 output buffers swapped out 0 carrier transitions DCD=up DSR=up DTR=up RTS=up CTS=up
Mind Wide Open™ BLOG – http://jfherrera.wordpress.com
Seguridad de la red | Diseño del plan de seguridad de la información GROUP | “???”
MiNdWiDe - Group 13
Permitir la salida de todos los host de la LAN
EN R1 (router de frontera)
Show ip nat translations
R1(config)#ip access-list standard ACL_CLIENTES R1(config-std-nacl)#permit 172.16.100.0 0.0.0.255 R1(config-std-nacl)#deny any R1(config)#ip nat pool POOL_GLOBAL 198.0.0.1 198.0.0.2 netmask 255.255.255.252 R1(config)#ip nat inside source list ACL_CLIENTES pool POOL_GLOBAL overload R1(config)#interface s0/0 R1(config-if)#ip nat outside R1(config-if)#exit R1(config)#interface f1/0 R1(config-if)#ip nat inside
R1#show ip nat translations Pro Inside global Inside local Outside local Outside global icmp 198.0.0.1:4900 172.16.100.254:4900 208.67.222.2:4900 208.67.222.2:4900 icmp 198.0.0.1:4901 172.16.100.254:4901 208.67.222.2:4901 208.67.222.2:4901 icmp 198.0.0.1:4902 172.16.100.254:4902 208.67.222.2:4902 208.67.222.2:4902 icmp 198.0.0.1:4903 172.16.100.254:4903 208.67.222.2:4903 208.67.222.2:4903 icmp 198.0.0.1:4904 172.16.100.254:4904 208.67.222.2:4904 208.67.222.2:4904
Mind Wide Open™ BLOG – http://jfherrera.wordpress.com
Seguridad de la red | Diseño del plan de seguridad de la información GROUP | “???”
MiNdWiDe - Group 14
Configurando Firewall en R1 (router de frontera)
Descripción
La LAN_LOCAL tiene publicado para el exterior los siguientes servicios de red:
FTP.
HTTP.
SSH.
El servidor de nombre SVR-FTP-SSH-01 ejecuta los servicios de FTP y SSH sobre la plataforma Linux
(CentOS 5.4), con una dirección IPv4 172.16.100.252/24.
El servidor de nombre SVR-HTTP-SSH-01 ejecuta los servicios de HTTP y SSH sobre la plataforma
Linux (CentOS 5.4), con una dirección IPv4 172.16.100.253/24.
Teniendo esto claro procederemos a configurar nuestras políticas.
Mind Wide Open™ BLOG – http://jfherrera.wordpress.com
Seguridad de la red | Diseño del plan de seguridad de la información GROUP | “???”
MiNdWiDe - Group 15
Regla 1
Permitir que solo los host de la LAN_LOCAL puedan tener acceso a internet y no otra red.
En R1 (router frontera)
Nota: bueno el comando al final log es muy útil ya que si por algún motivo queremos o tenemos
montado un servidor de syslog en nuestra red, podemos hacerle un seguimiento a las políticas
implementadas en los routers de una forma centralizada y por supuesto cómoda.
R1(config)#ip access-list extended LAN_LOCAL R1(config-ext-nacl)#permit ip 172.16.100.0 0.0.0.255 any log R1(config-ext-nacl)#deny ip any any log R1(config-ext-nacl)#exit R1(config)#interface fa1/0 R1(config-if)#ip access-group LAN_LOCAL in
R1# 01:20:09: %SEC-6-IPACCESSLOGP: list LAN_LOCAL denied udp 192.168.10.48(0) -> 192 .168.10.255(0), 2 packets
Mind Wide Open™ BLOG – http://jfherrera.wordpress.com
Seguridad de la red | Diseño del plan de seguridad de la información GROUP | “???”
MiNdWiDe - Group 16
Regla 2
Publicación de los servicios de red para poder acceder desde Internet.
En r1 (router frontera)
Nota: Bueno en esta pequeña sección definimos o mejor publicamos a internet los servicios de
nuestra LAN_LOCAL como lo especificamos anteriormente FTP, HTTP y SSH.
Adicionalmente modificamos uno de los puertos en SVR-HTTP-SSH-01 ya que el puerto 22 ya es
utilizado por SVR-FTP-SSH-01 entonces tuvimos que poner a escuchar a el demonio de SSH en el
puerto 222 (Esto para poder diferenciar el trafico de SSH entre los dos servidores de SSH).
R1(config)#ip nat inside source static tcp 172.16.100.252 21 interface s0/0 21 R1(config)#ip nat inside source static tcp 172.16.100.252 20 interface s0/0 20 R1(config)#ip nat inside source static tcp 172.16.100.252 22 interface s0/0 22 R1(config)#ip nat inside source static tcp 172.16.100.253 80 interface s0/0 80 R1(config)#ip nat inside source static tcp 172.16.100.253 222 interface s0/0 222
Mind Wide Open™ BLOG – http://jfherrera.wordpress.com
Seguridad de la red | Diseño del plan de seguridad de la información GROUP | “???”
MiNdWiDe - Group 17
Regla 3
Ahora que ya hemos publicado los servicios procederemos a permitir conexiones desde internet
solo esos servicios.
En R1
Nota: Con estas reglas finales estaremos primero que todo definiendo el acceso a los servicios que
hemos publicado, y denegamos todo otro tipo de tráfico que se intente establecer desde el
internet.
R1(config)#ip access-list extended SERVICIOS_LAN R1(config-ext-nacl)#permit tcp any host 208.67.222.1 eq 80 log R1(config-ext-nacl)#permit tcp any host 208.67.222.1 eq 21 log R1(config-ext-nacl)#permit tcp any host 208.67.222.1 eq 22 log R1(config-ext-nacl)#permit tcp any host 208.67.222.1 eq 222 log R1(config-ext-nacl)#permit tcp any 172.16.100.0 0.0.0.255 established log R1(config-ext-nacl)#deny icmp any any log R1(config-ext-nacl)#deny ip any any log R1(config)#interface s0/0 R1(config-if)#ip access-group SERVICIOS_LAN in
Mind Wide Open™ BLOG – http://jfherrera.wordpress.com
Seguridad de la red | Diseño del plan de seguridad de la información GROUP | “???”
MiNdWiDe - Group 18
Conclusiones
Su implementación es fácil de realizar ya que dispone de muchas fuentes de información tanto de
la página del fabricante como de comunidades dedicadas a soluciones cisco.
Flexibilidad a la hora de crear un entorno de prueba ya que hay herramientas que permiten la
simulación de este tipo de soluciones.
Este tipo de implementaciones requieren de gastos significativos para una entidad.
Bibliografía
http://www.cisco.com/en/US/products/sw/secursw/ps1018/products_tech_note09186a00800a5
b9a.shtml
http://www.cisco.com/en/US/tech/tk713/tk507/technologies_configuration_example09186a0080
094333.shtml
http://www.cisco.com/en/US/tech/tk648/tk361/technologies_q_and_a_item09186a00800e523b.
shtml
http://www.gns3.net/
http://www.cisco.com/en/US/tech/tk713/tk507/technologies_configuration_example09186a0080094333.shtml
Mind Wide Open™ BLOG – http://jfherrera.wordpress.com
Seguridad de la red | Diseño del plan de seguridad de la información GROUP | “???”
MiNdWiDe - Group 19
Gracias… Juan Alejandro Bedoya
Jose De Arlex Dominguez
Neifer Erney Giraldo
Jhon Fredy Herrera
Yojan Leandro Usme
