Firewall Cisco Pix

5/7/2018 Firewall Cisco Pix - slidepdf.com

http://slidepdf.com/reader/full/firewall-cisco-pix-559abce630d24 1/15

Laboratorio de Redes y Sistemas Operativos

Firewall Cisco PIX (Documentación)

1.-Objetivos:

El objetivo de esta experiencia es la de interiorizar al estudiante del laboratorio del modo defuncionamiento del Firewall PIX de Cisco, de manera de poder lograr al final de la experiencia queel participante: Conozca las capacidades de un Firewall PIX . Sepa interconectar un Firewall. Pueda manejarse en la configuración por línea de comando. Pueda planear políticas de seguridad basado en el uso de un firewall. Pueda adentrarse en la configuración avanzada de Cisco IOS sobre máquinas PIX.

2.-Prerrequisitos :

Esta experiencia requiere del alumno un conocimiento básico de redes de computadores, obtenido

en el ramo de Redes de Computadores (ELO-321). Además presume un conocimiento de sistemasOperativos Linux-Unix aportado por el ramo de Sistemas Operativos. Es imprescindible que lealumno hubiese ya cursado la experiencia de Firewall sobre Iptables.

3.-Material para utilizar:

Firewall Cisco PIX 506E. PC con S.O. Linux con programa de comunicación serial minicom. PC con S.O. Linux. Patch cord.

4.-Introducción.

En el presente documento se explicará las configuraciones básicas para poner en marcha unfirewall de la línea PIX de Cisco, aplicando los conocimientos teóricos de firewall adquiridos en laexperiencia Firewall sobre iptables, el estudiante se verá enfrentado a una nueva estructura deimplementación, más las filosofías de diseño no se verán afectadas por este cambio.

5.-Reseña de Firewall's.

Recordando un firewall o cortafuegos es un sistema o grupo de sistemas que hace cumplir unapolítica de control de acceso entre dos redes. De una forma más clara, podemos definir uncortafuegos como cualquier sistema (desde un simple router hasta varias redes en serie) utilizadopara separar en cuanto a seguridad se refiere una máquina o subred del resto, protegiéndola así

de servicios y protocolos que desde el exterior puedan suponer una amenaza a la seguridad. Elespacio protegido, denominado perímetro de seguridad, suele ser propiedad de una organización, yla protección se realiza contra una red externa, no confiable, llamada zona de riesgo generalmenteInternet, en esta experiencia y por las características que mencionaremos a continuación del PIX506E se trabajará en las explicaciones como en los ejemplos en una configuración del tipo hostbastión entre la red confiable y la no confiable.

1




6.-Cisco PIX 506E.

El PIX 506 E es el más básico de los equipos de la familia PIX, firewall de hardware especializadocon un Sistema Operativo CiscoIOS , posee entre sus características: 2 puertos Ethernet de 10 Mbps (10 baseT) 1 puerto de consola 32MB de memoria RAM 8MB de memoria FLASH

Su principal limitación esta en que no posee capacidad de actualización de su hardware(tarjetas,memoria), además de estar diseñado para su trabajo sobre mesa y no montado sobre un rack.

Figura 1 Pix tracero

En la figura 1 vemos la parte posterior del PIX 506E, podemos observar las dos interfaces ethernetantes nombradas la interfase etiquetada como ethernet1 es usada por defecto para conectar la redconfiable o red interior y la interfase ethernet0 para la conexión de la red no confiable o redexterior , ambas poseen dos led indicadores:

ACT: muestra la actividad en la red.Link: muestra es estado de conexión del puerto.

Se observa además el puerto de consola que es utilizado para conectar el PIX a un computador deforma serial para la configuración de consola del firewall.El puerto USB que se observa en la figura a la izquierda del puerto de consola no es usado, paraninguna actividad.

2




En el panel frontal del firewall Pix encontraremos tres led indicadores como lo muestra la figura 2:

Figura 2 Panel frontal.

POWER: Indicador de Poder. Se enciende cuando la máquina se encuentra energizada. ACT: Indicador de actividad. Se enciende cuando la imagen del CiscoIOS ha sido cargadoNETWORK: Indicador de trafico de red. Se enciende cuando al menos alguna de las interfase dered esta pasando trafico.

7.-Directivas de funcionamiento del PIX 506E.

El firewall PIX supervisa las conexiones entre la red confiable y la red no confiable y viceversa, todalas directivas que se programaran en el firewall como así el funcionamiento de este, se encuentrabasado el un Algoritmo Adaptivo de Seguridad (ASA), el cuál es explicado a continuación:

El ASA sigue las siguientes reglas:

Paquetes no pueden atravesar el PIX sin una conexión y estado(no se preocupe si algunostérminos no son del todo comprendidos ya que estos quedarán clarificados en la sección 10Configuración del PIX 506E).Conexiones o estados de salida son permitidas, excepto algunas específicamente denegadas porListas de Control de Acceso(ACL).Una conexión saliente es una donde la fuente o cliente esta sobre una interfase de mayorseguridad que el server o receptor. La interfase de mayor seguridad es siempre la interfase deentrad y la de menor seguridad es la interfase de salida. Algunas interfaces de perímetro(si es quelas hubieran, lo cual no es el caso del PIX506E) pueden tener niveles de seguridad entre los valoresentrada y salida, los niveles mencionados están directamente relacionados a números entre 0 y 100que uno asigna en la configuración de las interfaces del firewall y que describen su nivel frente alas demás interfaces.Conexiones de entrada o estados son denegados, excepto algunas específicamente permitidas, unaconexión de entrada es donde una fuente o cliente ubicado sobre una interfase de menor seguridadque la donde se ubica el server o receptor. Se pueden aplicar múltiples excepciones o una simplepor medio del comando xlate . Esto concede acceso permitido desde una máquina arbitraria, red oalgún host en la Zona no segura definida por en la sentencia de xlate .Todos los paquetes ICMP son denegados a menos que sean específicamente permitidos.Las circunstancias que no se ajusten a las reglas previamente especificadas son descartados y unmensaje es enviado al demonio Syslog.

Este algoritmo definido se deberá tener presente cuanto se realice el diseño lógico del firewall.

3




8.-Formas de Interconexión.

El equipo posee dos formas de interconexión para su configuración consola(serial) y telnet(red)siendo la más recomendada para estos efectos la consola por ser más segura al interactuardirectamente con el equipo sin el posible cruce por intermediarios de ningún tipo.

Para utilizar una conexión del tipo consola se debe poseer un cable especial proporcionado porcisco, que adecua la entrada del puerto de consola del Firewall a un puerto serial del tipo db-9 odb-25, además de necesitar un programa de comunicación serial como minicom o hyperterminal enel PC de trabajo.La configuración necesaria del software de comunicación serial es una velocidad de conexión de9600 baudios y 8N1, o sea 8 bits de data , Sin paridad y 1 bit de parada. Además de tener queemular un terminal vt100 de preferencia.Es bueno recordar que las correspondencias de dispositivos serial entre windows y unix son:

Windows UnixCOM1 /dev/ttyS0COM2 /dev/ttyS1

Para su interconexión por red deberemos de tener las tarjeta de red interna (tarjeta que comunicaa la red protegida) configurada y debemos seleccionar un host el cual será autorizado para laconfiguración vía red. Nunca ase podrá configurar vía red desde una red no segura.

9.-Descripción de la información de booteo.

Al partir o bootear el Firewall nos encontraremos que este nos entrega una serie de mensajes comolos que mostramos a continuación de los cuales detallaremos y destacaremos lo más importante:

CISCO SYSTEMS PIX FIREWALLEmbedded BIOS Version 4.3.207 01/02/02 16:12:22.73

Compiled by morlee32 MB RAM -cantidad de memoria que posee la maquina

PCI Device Table.Bus Dev Func VendID DevID Class Irq00 00 00 8086 7192 Host Bridge00 07 00 8086 7110 ISA Bridge00 07 01 8086 7111 IDE Controller00 07 02 8086 7112 Serial Bus 900 07 03 8086 7113 PCI Bridge00 0D 00 8086 1209 Ethernet 1100 0E 00 8086 1209 Ethernet 10

Tabla de dispositivos que posee el sistema se destacan las interfaces ethernet y la puerta deconsola o serial.

Cisco Secure PIX Firewall BIOS (4.2) #0: Mon Dec 31 08:34:35 PST 2001Platform PIX-506ESystem Flash=E28F640J3 @ 0xfff00000

Use BREAK or ESC to interrupt flash boot.Use SPACE to begin flash boot immediately.

En este punto es posible interrumpir el booteo para entrar a un modo de monitoreo que permitemodificar parámetros del equipo modos de inicialización y carga del sistema operativo.

4




Reading 2490880 bytes of image from flash.32MB RAMSystem Flash=E28F640J3 @ 0xfff00000BIOS Flash=am29f400b @ 0xd8000mcwa i82559 Ethernet at irq 11 MAC: 000b.46d0.3300mcwa i82559 Ethernet at irq 10 MAC: 000b.46d0.32ff

-----------------------------------------------------------------------|| |||| |||||| ||||

..:||||||:..:||||||:..c i s c o S y s t e m sPrivate Internet eXchange

-----------------------------------------------------------------------Cisco PIX Firewall

Cisco PIX Firewall Version 6.1(4)

Licensed Features:Failover: Disabled

VPN-DES: EnabledVPN-3DES: DisabledMaximum Interfaces: 2Cut-through Proxy: EnabledGuards: EnabledWebsense: EnabledInside Hosts: UnlimitedThroughput: LimitedISAKMP peers: Unlimited

Versión del sistema operativo y estado de caracteristicas posibles de ocupar.

****************************** Warning *******************************Compliance with U.S. Export Laws and Regulations - Encryption.

This product performs encryption and is regulated for exportby the U.S. Government.

This product is not authorized for use by persons locatedoutside the United States and Canada that do not have priorapproval from Cisco Systems, Inc. or the U.S. Government.

This product may not be exported outside the U.S. and Canadaeither by physical or electronic means without PRIOR approvalof Cisco Systems, Inc. or the U.S. Government.

Persons outside the U.S. and Canada may not re-export, resellor transfer this product by either physical or electronic meanswithout prior approval of Cisco Systems, Inc. or the U.S.Government.

******************************* Warning *******************************

Copyright (c) 1996-2000 by Cisco Systems, Inc.

Restricted Rights Legend

Use, duplication, or disclosure by the Government issubject to restrictions as set forth in subparagraph(c) of the Commercial Computer Software - RestrictedRights clause at FAR sec. 52.227-19 and subparagraph(c) (1) (ii) of the Rights in Technical Data and Computer

5




Software clause at DFARS sec. 252.227-7013.

Cisco Systems, Inc.170 West Tasman DriveSan Jose, California 95134-1706

Cryptochecksum(changed): d41d8cd9 8f00b204 e9800998 ecf8427e

Mensajes que explican normas y leyes a los que se ajusta el equipo.

10.-Configuración del PIX 506E

La configuración del Firewall PIX se puede dividir en configuración de un Firewall nuevo yconfiguración de firewall’s ya configurados anteriormente la cual a su vez de subdivide en la sumade varios pasos sistemáticos como se describe a continuación:

10.0 Configuración de un firewall nuevo.

Al encender un PIX nuevo nos enfrentaremos tras la etapa de booteo con que el sistema nosenfrenta a una serie de preguntas para el ingreso de la configuración inicial del sistema de la

siguiente manera (todas las palabras en cursiva son opcionales y propias del ejemplo, las opcionesa las que no se les da un valor especifico declaran que uno acepta el valor propuesto entre [] ):

Pre-configure PIX Firewall now through interactive prompts [yes]? yes Enable password [cisco]:Clock (UTC):Year [2003]:Month [Apr]:Day [18]:Time [20:33:22]:

Inside IP address [192.168.0.1]: 192.168.0.1 Inside network mask [255.255.255.0]: 255.255.255.0 Host name [PIX-1]: PIX-1 Domain name [labredes]: labredes.elo.utfsm.cl IP address of host running PIX Device Manager [192.168.0.2]: 192.168.0.2

The following configuration will be used:Enable password: ciscoClock (UTC): 20:33:22 Apr 18 2003Inside IP address: 192.168.0.1Inside network mask: 255.255.255.0Host name: PIX-1Domain name: labredes.elo.utfsm.clIP address of host running PIX Device Manager: 192.168.0.2

Use this configuration and write to flash? yesBuilding configuration...Cryptochecksum: 592cce45 6209852c 6a3aec07 a94bf361[OK]

Tras esto el firewall se encuentra con la configuración básica mínima que le permite operar.

6




10.1 Análisis de Estado.-(Definir IP a usar).

El primer paso para la configuración de un Firewall o reconfiguración es definir los datos con loscuales este operara (Nombres del equipos, nombre de interfaces, etc...), pero lo más importante es

definir las IP que serán ocupadas por el equipo ya sea asociadas a sus NIC o para uso deasignación dinámica (enmascaramiento) debiendo ser al menos 2 en el caso del PIX 506E o más encaso de ser otro equipo o ocuparse poolling de IP’s (definido en el punto 10.4 ).Una de estas IP debe de ser valida si se esta pensando una implementación clásica en que elFirewall se encuentra conectado a Internet protegiendo una o mas redes privadas que puedenposeer o no IP’s validas(ver figura 3).

Inside

192.168.0.1

securit 100

Outside209.78.45.1

securit 0

Dmz2

199.16.17.1 Dmz1

192.168.1.1 Firewall PIX

Figura 3.

En el caso especifico del PIX 506E una de estas IP será utilizada por una de las interfase delFirewall para su conexión a la red interna o protegida y las demás para su uso por parte de lainterfaz de salida y proceso de enmascaramiento.En las mayorías de los casos es también necesario conocer la IP del router de salida por defectopara el proceso de encaminamiento de los datos.

Tras tener recopilados estos datos se deberá a la identificación de las interfaces.

10.2 Identificar cada Interfaz (nameif ).

En esta etapa se procede a la identificación de las interfaces por medio de la asociación denombres, este proceso comúnmente se realiza solo en Firewall nuevos, pudiendo también realizarserenombramientos en Firewall usados mediante el mismo comando y procedimiento.Para poder ver los nombres asociados a las interfaces se utiliza el comando show nameif y paraasociar un nombre a una interfase se utiliza el comando nameif los cuales deben ser ejecutados enel modo privilegiado. Para administrar las interfaces de su equipo, también se verán el comandointerface e ip address, los que servirán para configurar velocidades de conexión, habilitar odeshabilitar las interfaces y configurar las ip de las interfaces respectivamente.

El comando nameif posee el siguiente prototipo:nameif hardware_id interface security_level

Donde:

Hardware_id : el nombre asociado a las tarjetas de red, Ej. Si se posee 2 tarjetas ethernet se

usaría ethernet0 o ethernet1.

7




Interface: nombre que se le puede asociar a la interfase limitado a 48 caracteres máximo,comúnmente el máquinas de dos interfaces se utilizan los nombres inside y outside para identificarlas tarjetas conectadas a la red interna y externa respectivamente.

Security_level: nivel de seguridad asociado a la interface, este numero va entre 0 y 100 y se

puede asociar al nivel de confianza de la red conectada a ella, este nivel de seguridad también

definirá la forma en que permitiremos el paso de trafico de una interfase a otra con distinto nivel deseguridad basado si este es mayor o menor que el nivel de la primera.

EJ. nameif ethernet0 outside security0nameif ethernet1 inside security100

10.3 Asignación de IP (interface, ip address)

Antes de estudiar la asignación de ip a una interfase se pasará por el comando interface es te

comando posee el siguiente prototipo:

Interface hardware_id hardware_speed [shutdown]

Hardware_id : idem a nameif.

Hardware_speed : es la velocidad en mbps a la que operará la tarjeta, el PIX posee tarjetas intel

10/100 y generalmente este parámetro es seteado en auto.

Shutdown: el parámetro optativo shutdown permite deshabilitar una tarjeta temporalmente.

Como lo muestra el prototipo este comando sirve para establecer la velocidad de operación de lasinterfaces de red y también para deshabilitarlas temporalmente en caso de necesitarse.

El comando ip address permite setear la IP y mascara a una interfaz de red determinada, para losPix que poseen solo dos inveraces de red el prototipo de esta función es como sigue:

ip address inside ip_address netmask ip address outside ip_address netmask

donde:ip_address es la dirección ip a signar a la interfaz.

netmask es la correspondiente mascara asociada a la interfaz.

Para poder visualizar las asignaciones de Ip hechas se utiliza el comando show ip , siempre esnecesario especificar una mascara de red a las interfaces.

EJ. ip address inside 192.168.1.1 255.255.255.0

10.4 Permitiendo conexiones de Salida.(nat, global, access-list)

Como se comento ya , a cada interfaz se le asignan distintos niveles de seguridad, en el casopropio del PIX 506E se tendrá una interfaz de nivel de seguridad 100 que es la interfaz interna yuna de nivel de seguridad 0 que es la externa. Cuando se quiera permitir conexiones entre unainterfaz de mayor nivel de seguridad de otra de salida de los datos se utilizarán los comando nat yglobal. Para autorizar trafico en la dirección opuesta se utiliza el comando access-list.

8




Para visualizar ingresos hechos con el comando nat o global se utilizan los comandos show nat oshow global respectivamente, para borrar ingresos hechos por los mismos comandos se utiliza laforma no de Cisco IOS, o sea, se antepone no y un espacio al comando que genero la entrada.

El prototipo estándar de el comando nat es:

nat (if_name) nat_id local_ip [netmask]

donde:

if_name es el nombre de la interfaz de red

nat_id se utiliza para agrupar comandos nat y global

local_ip ip interna desde la cual se aceptaran las conexiones, si se especifica un 0 en este

campo se permitirá que todos los host en la red interna establezcan conexiones salientes.

netmask es la mascara de red para la ip local antes ingresada, si este campo se especifica 0 esta

permitiendo a todas las conexiones salientes sean enmascaradas por las ip designadas en un globalpool (conjunto de ip’s definidas mediante el comando global).

Ej. nat (inside) 1 0 0 permite todas las conexiones salientes desde la interfaz interior.

El prototipo estándar del comando global es:

global (if_name) nat_id global_ip[-global_ip] [netmask global_mask]

donde:

if_name es el nombre de la interfaz de red

nat_id se utiliza para agrupar comandos nat y global

global_ip una ip o un conjunto de ip que se utilizarán para enmascara las conexiones salientes.

netmask palabra reservada para la especificación de la mascara de red.

global_mask es la mascara de red para la global_ip especificada anteriormente.

Ej. conjunto del uso nat y global.

nat (inside) 1 0 0global (outside) 1 209.45.78.1-209.45.78.10 netmask 255.255.255.224

prototipo para el comando access-list:

access-list acl-name [deny| permit] protocol src_addr src_mask operator dest_addrdest_mask operator port

donde:

acl-name nombre para la acl , se puede ocupar un nombre o un número.

9




deny especifica la opción de denegar el paquete que cumpla con las características especificadasen el resto del comando.

permit especifica la opción de permitir el paquete que cumpla con las características especificadasen el resto del comando.

Protocol nombre o numero de un prtocolo ip, debe ser manejado por el PIX.

src_addr ip de la dirección de fuente del paquete. Se puede usar en conjunto con losmodificadores any o host que implican src_mask de valores 0.0.0.0 y 255.255.255.255respectivamente.

src_mask mascara de red asociada a src_addr.

Operator operador de comparación que permite indicar un puerto o rango de puertos, puedetener valores, eq, lt, gt, neq y range.

dest_addr dirección ip del destino del paquete.

dest_mask mascara asociada a dest_addr.

Port puerto asociado a la conexión.

Ej. access-list acl-grp permit tcp any 209.165.201.0 255.255.255.224access-list acl-dmz1 deny tcp any host 192.168.1.4 range ftp telnet

10.5 Creación de Ruta por defecto.(route )

Se usa el comando route para setear la ruta por defecto a el router de salida , se puede utilizar elcomando show route para ver las entradas hechas por medio del comando route.

Ej de ruta por defecto: route outside 0 0 209.165.201.2 1

Prototipo del comando route.

route if_name ip_address netmask gateway_ip [metric]

donde

if_name nombre de la interfaz a la que se le asocia la ruta

ip_address dirección ip de la red destino, 0.0.0.0 especifica ruta por defecto.

Netmask mascara de red asociada a ip_address, 0.0.0.0 especifica ruta por defecto.

gateway_ip especifica la ip del route gateway de la red especificada.

[metric] parámetros optativo que especifica la distancia administrativa del gateway.Generalmente se mide en numero de saltos.

Ej. route dmz 192.168.0.0 255.255.255.0 192.168.1.5 1

10




10.6 Configuración de Rutas.

Como el firewall no es un router , se deben crear rutas estáticas para permitir el paso de lospaquetes o conexiones entre las distintas subredes, además de estas rutas que le permitirán al Pixencaminar los datos debe de utilizarse el comando static para definir rutas o paso entre dos redes.

El prototipo del comando static.

static [(internal_if_name, extrenal_if_name)] global_ip local_ip [netmask

network_mask]

donde:

internal_if_name nombre de una interfaz interna

extrenal_if_name nombre de una interfaz externa

global_ip una dirección de ip global para el uso en enmascaramiento.

local_ip la dirección ip perteneciente a la red interna.

network_mask mascara de red perteneciente a ambas ip’s anteriores.

Ej. static (inside, outside) 10.42.1.0 10.3.1.0

10.7 Permitir acceso a mensajes de PING.(access-list, access-group, conduit )

Es recomendable por razones de prueba de conectividad y uso el permitir el paso de paquetes deltipo icmp por el firewall lo cual se hace con el comando access-list antes explicado, un ejemplo deesto esaccess-list acl_out permit icmp any any

para poder utilizar esta acl se deberá aplicar a una interfaz por medio del comando access-group elcual mediante la sintaxis

access-group acl-name [in|out] interface if_name

permite la asignación de la acl acl-name a la entrada in o salida out de la interfaz if_name.

Ej. access-group acl_out in interface outside

Se recuerda que para borrar acl o desasocialas solo basta ejecutar el comando no seguido del

comando que produjo en ingreso a eliminar.

Existe además el comando conduit que permite asignar una cierta regla a todas las interfaces , porejemplo en el caso del ping quedaría

conduit permit icmp any any

Las entradas hechas por medio de este comando pueden ser vistas con show conduit.

11




10.8 Haciendo la configuración permanente.

Una vez que ya se posee una configuración más o menos completa o de trabajo, la idea esmantenerla sobre rebooteos de la maquina para esto se debe grabar los cambios hechos en lamemoria no volátil de firewall lo que se hace con el comando write memory seguido del comando

reload que rebootea el equipo esto no siempre es necesario hacerlo pero es recomendable en lasprimeras configuraciones.

10.9 Comprobación de las configuraciones.

Una vez guardada la configuración y posiblemente rebooteado el equipo, es recomendable elrevisar la configuración por medio del comando show seguido de los parámetros revisar, lo mascomún a ejecutar es:

show ip addressshow globalshow nat

show route

Verifique que las salidas de los comandos correspondan a los datos ingresados por usted.

10.10 Configuración de acceso a consola de telnet.

En los Pix no basta con configurar la red para poder tener acceso telnet al equipo este debe serautorizado explícitamente mediante el comando telnet que posee el siguiente prototipo:

telnet ip_addr netmask if_name

ip_addr ip del host desde el cual se pretende la conexión telnet

netmask mascara de red asociada a ip_addr.

if_name nombre de la interfaz por la cual se realiza la conexión

Ej. telnet 192.168.1.2 255.255.255.255 inside

10.11 Configuración de acceso a servidores internos.

En esta sección no se detallarán nuevos comandos ya que por medio de los ya explicado se podránrealizar estas labores, la idea de esta sección es ponerse en casos de configuración típicos a serenfrentados por el administrador del equipo (en este caso especifico los alumnos).

La normativa primordial que se a ocupado hasta el momento es prevenir accesos no autorizados a

ala red interna, por esto el acceso a servidores ubicados justamente en nuestra red interna seráespecíficamente tratado, para el permitir este acceso peligroso se utilizarán los comandos static,access-list, access-group.

Con static se proveerá una dirección IP a los usuarios de una interfaz de nivel de seguridad bajopuedan usar para el acceso a un server ubicado en una interfaz más segura.

access-list define los permisos para como los usuarios pueden acceder a la dirección global.

12




access-group asocia la access-list a una interfaz y flujo respectivo.

Ej.

static (dmz3, outside) 209.165.201.3 192.168.3.3 netmask 255.255.255.255access-list acl_out permit tcp any host 209.165.201.3 eq wwwaccess-group acl_out in interface outside

o sea, para acceder al servidor web ubicado en la interfaz dmz3 desde outside se accederá con la ip209.165.201.3 y solo es permitido el trafico del tipo www.

Sea ilustra o intenta ilustrar que las acl permiten restringir o permitir trafico en distintas direccioneshe interfaces pudiéndose así realizar variados tipos de filtrados en pro de la maximización de laseguridad en las redes interconectadas, otros casos típicos son restringir a usuarios (host’s) elcomenzar conexiones, restringir a usuarios el acceso a servidores específicos, etc...

10.12 Habilitando Syslog. Viendo mensajes a través de la consola serial.

Para habilitar el logeo de mensajes se utiliza el comando logging de la siguiente forma :

logging buffered level

donde level es el nivel mínimo de mensajes a logear algunos de estos mensajes puede serdebugging, alerts, notification,errors, warrings, entre otros.

10.13 Viendo mensajes a través de una consola de telnet.

Para visualizar los mensajes enviados por syslog directamente en la consola utilize el comandologging con el argumento monito de la siguiente forma:

logging monitoryterminal monitor

para deshabilitar los mensajes se utilizan los comandos :

terminal no monitorno logging monitor

10.14 Enviando mensajes a un servidor de Syslog.

Para enviar los mensajes a un servidor syslog se deben de ejecutar los siguientes pasos: Definir el host servidor de syslog por medio del comando logging host.

Ej. logging host inside 192.168.0.2 Definir el nivel de logeo con el comando logging trap

Ej. logging trap debugging Comenzar el envió de mensajes por medio del comando logging on , se puede usar no

logging on para detener el envió.

13




10.15 Configurando Syslog en Unix para la recepción de mensajes.

Bastará reiniciar el servidor syslog de la maquina para la recepción de mensajes remotos.Se recuerda que para detener el servicio syslog en linux de puede acceder a la carpeta /etc/INIT.dy ahí ejecutar el comando ./syslog stop, lo que detendrá el servicio tras esto ejecutar syslogd –r

que arranca el servicio con escucha de mensajes remotos.

Es recomendable el modificar la configuración de syslog en /etc/syslog.conf para separar losregistros del Pix de los de la maquina pero este tema no será tratado aquí por ahora.

10.16 Bloqueando controles Active X y JAVA y URL`s

Para bloquear controles activex o java que generalmente vienen en las paginas web entre los tag<object> </object> se utiliza el comando filter con la opción activex o java

Prototipo de filter

filter activex port local_ip mask foreing_ip maskfilter java port[-port] local_ip mask foreing_ip maskfilter url http |except local_ip mask foreing_ip mask [allow ]

donde

activex bloquea activex, java applets y otros html incluidos entre <objects>

java bloquea java applets retornado al PIX como resultado de una conexión saliente.

url bloquea una URL que mueva data a través del PIX.

http filtra solamente http URL’s

except crea una excepción a una condición previa de filtrado

port el puerto por el cual el Pix recibe el trafico web

port[-port] uno o mas puertos en el cual el applet java puede ser recibido.

Local_ip la ip sobre interfaz de alta seguridad a la cual acceda el trafico, 0 implica todas.

Local_mask mascara asociada a local_ip, 0 especifica todos los host.

Foreing_ip la ip sobre interfaz de baja seguridad a la cual acceda el trafico, 0 implica todas.

foreing_mask mascara asociada a local_ip, 0 especifica todos los host.

Allow cuando un server no esta disponible, la conexión pasa a través del firewall sin ser filtrada.

Las entradas hechas por medio de filter pueden ser borradas con el comando no , y pueden servistas con el comando show filter .

14




Para proveer filtrado de url la red debe poseer un servidor websense el cual debe ser especificadopor medio del comando url-server (if_name) host ip_server timeout time

Ej.filter activex 80 0 0 0 0filter java 80 0 0 0 0url-server (inside) host 10.0.1.1filter url http 0 0 0 0filter url except 10.0.2.54 255.255.255.255 0 0

Cualquier duda, error encontrado, o sugerencias acerca de esta guía por favor comunicársela alautor al correo [email protected]. De antemano muchas gracias.

15

mailto:[email protected]

mailto:[email protected]

Firewall Cisco Pix

Documents

Transcript of Firewall Cisco Pix