G o o g l e genera automticamente versions html de los documentos mientras explora la web. Para vincularse a esta pgina o para marcarla, utilice el siguiente url: http://www.google.com/search? q=cache:VEObJqsLP_0J:https://educnet.decomuv.cl/educnet/uploads/Quinta%2520Experiencia.pdf%3Fnombre %3Dp224/Quinta %2520Experiencia.pdf+configuracion+basica+de+un+pix+501&hl=es&ct=cln k&cd=7&gl=mx
Google no tiene relacin con los autores de esta pgina ni es responsable de su contenido.
Se han resaltado estos trminos de bsqueda: pix 501 Estos trminos slo aparecen en enlaces que apuntan a esta pgina: configuracion basica
Page 1
Taller de Redes Quinta Experiencia
2. Materiales
2.1.- Firewall PIX 501 2.2.- Estaciones de trabajo Windows/Linux 2.3.- Patch Cord 2.4.- Programa de comunicacin serial HyperTerminal
Page 2
Taller de Redes Quinta Experiencia
El propsito de un Firewall es hacer cumplir unas determinadas directivas de seguridad. Estas directivas reflejan las decisiones que se han tomado sobre que servicio de Internet deben ser accesibles a los equipos , que servicios se quieren ofrecer al exterior de los equipos que servicios se quieren ofrecer a usuarios remotos o sitios especficos y que servicios y programas se quieren ejecutar localmente para el uso privado. Todas las directivas de seguridad estn relacionadas con el control de acceso y uso autenticado de servicios privados o protegidos y de programas y archivos en los equipos.
controlados por el Firewall PIX. Para utilizar un Firewall con eficiencia en tu organizacin, se necesita tener alta seguridad y asegurar que todo el trfico desde la red protegida pase a travs del Firewall a la red sin proteccin. De esta forma se puede controlar quien debe acceder a la red, con cuales servicios, y como implementar alta seguridad utilizando las caractersticas del Firewall PIX.
DECOM Universidad de Valparaso - Chile 155
Page 3
Taller de Redes Quinta Experiencia
Figura 5.1: Firewall en una Red En esta arquitectura de red, el Firewall PIX se encuentra al lmite entre la red protegida y la sin proteccin. Todo el flujo de trfico entre una red interna y externa debe mantener seguridad. La red sin proteccin es tpicamente accesible por Internet. Para modelos Firewall PIX con tres o mas interfaces puede ser localizado en un permetro de una red, como es mostrado en la figura 5.1 y el sistemas de acceso al servidor puede ser controlado y monitoreado por el Firewall PIX.
Page 4
Taller de Redes Quinta Experiencia
broadcast, esto se realiza aplicando seguridad al Firewall. EL Firewall PIX tambin soporta el protocolo 802.1q, el cual permite el trfico para mltiples Vlans. Con esta Versin 6.3 puedes definir mltiples interfaces lgicas para una misma interfaz fsica, y de esta forma asignar diferentes Vlan a cada interfaz lgica.
Page 5
Taller de Redes Quinta Experiencia
Figura 5.2: Firewall protegiendo red privada Una de las IP de el Firewall PIX ser utilizada para su conexin a la red interna o privada. Las dems IP del Firewall sern utilizadas para uso de la interfaz de salida y proceso de enmascaramiento. Generalmente es necesario conocer la IP del Router de salida para el proceso
de encaminamiento de los datos. Despus de tener todos estos datos se deber realizar la identificacin de las interfaces.
9.1.- Asociacin de nombre a la interfaz nameif Con este comando se identifica la interfaz con la asociacin de un nombre. Para poder realizar esta asociacin se utiliza el comando nameif, el cual es ejecutado en modo privilegiado. El comando tiene la siguiente sintaxis nameif hardware_id interface security_level
DECOM Universidad de Valparaso - Chile 158
Page 6
Taller de Redes Quinta Experiencia
Hardware_id: El nombre asociado a las tarjetas de red, Ej. Si se posee 2 tarjetas ethernet se usara ethernet0 o ethernet1. Interface: nombre que se le puede asociar a la interfase limitado a 48 caracteres mximo, comnmente en mquinas de dos interfaces se utilizan los nombres inside y outside para identificar las tarjetas conectadas a la red interna y externa respectivamente. Security_level: nivel de seguridad asociado a la interface, este numero va entre 0 y 100 y se puede asociar al nivel de confianza de la red conectada a ella, este nivel de seguridad tambin definir la forma en que permitiremos el paso de trafico de una interfase a otra con distinto nivel de seguridad basado si este es mayor o menor que el nivel de la primera.
9.2.- Interfaz
Este comando sirve para establecer la velocidad de operacin de las interfaces de red y tambin para deshabilitar temporalmente en caso de necesitarse. Interface hardware_id hardware_speed [shutdown] Hardwar_speed: Es la velocidad en mbps a la que operar la tarjeta Shutdown: El parmetro optativo shutdown permite deshabilitar una tarjeta temporalmente
9.3.- Seteando IP
Asignacin de IP a cada interfaz interface - en el Firewall PIX que conecta a otra red, la sintaxis para esto es la siguiente: ip address inside ip_address netmask ip address outside ip_address netmask
DECOM Universidad de Valparaso - Chile 159
Page 7
Taller de Redes Quinta Experiencia
ip_address:Es la direccin IP a signar a la interfaz. Netmask: Es la correspondiente mascara asociada a la interfaz. Reemplaza interface_name con algn nombre asignado a cada interfaz del Firewall PIX. Por defecto la interfaz con mas baja seguridad es llamada outside, mientras que la interfaz con mas alta seguridad es llamada incide. Se utiliza el comando nameif para cambiar el nombre de una interfaz Reemplaza ip_address con la IP que se especifica para la interfaz. La direccin IP que es asignada debera ser nica para cada interfaz. No se puede utilizar una direccin IP que previamente ha sido asignada a un Router, Host u otro Firewall, tanto para las direcciones global o estticas. Tomando en consideracin los puntos anteriores, 9.1, 9.2, 9.3, el ejemplo quedara de la siguiente forma. En este ejemplo se ha puesto un nombre inside a la interfaz que pertenece a la red interna inside La primera lnea de comandos setea el nivel de seguridad de la red La segunda lnea de comandos setea la velocidad que operar la tarjeta La tercera lnea de cdigo permite setear la IP y mscara de una interfaz de red determinada pixfirewall(config)# nameif ethernet0 inside security50 pixfirewall(config)# interface ethernet0 100basetx pixfirewall(config)# ip address 192.168.100.11 255.255.255.0 Para eliminar la IP de una de las interfaz se utiliza el siguiente comando pixfirewall(config)#no ip address inside 192.168.100.11 255.255.255.0 Para guardar los cambios de la configuracin del Frewall PIX se utiliza el comando pixfirewall(config)# wr m Building configuration... Cryptochecksum: 6a94b340 458123f0 0cc29da2 a6f9d07d [OK]
DECOM
Page 8
Taller de Redes Quinta Experiencia
pixfirewall(config)# Para visualizar las direcciones IP de las interfaces se utiliza pixfirewall(config)# sh ip System IP Addresses: no ip address mitchell ip address ferrand 192.168.1.1 255.255.255.0 Current IP Addresses: no ip address mitchell ip address ferrand 192.168.1.1 255.255.255.0 Obs: En este ejemplo los nombres de las interfaces se han cambiado. Para ver el nombre que se le ha asignado a cada interfaz se utiliza: pixfirewall(config)# sh nameif nameif ethernet0 mitchell security50 nameif ethernet1 ferrand security90 pixfirewall(config)#
Page 9
Taller de Redes Quinta Experiencia
nameif ethernet0 mitchell security50 nameif ethernet1 ferrand security80 pixfirewall(config)# Obs: En este ejemplo la interfaz ethernet0 y 1 tienen otro nombre, se encuentran reemplazando a outside e inside a modo de ejemplo, cabe mencionar, que los niveles de seguridad seteados a dichas interfaz se encuentran dentro del contexto de un ejemplo y no responden a una configuracin especfica del Firewall, solo han sido utilizado como prueba de las modificaciones que se pueden realizar en este tipo de configuraciones.
Page 10
Taller de Redes Quinta Experiencia
un 0 en este campo se permitir que todos los host en la red interna establezcan conexiones salientes. Netmask: Es la mascara de red para la IP local antes ingresada, si este campo se especifica 0 esta permitiendo a todas las conexiones salientes sean enmascaradas por las IP designadas en un conjunto de ips definidas mediante el comando global - global pool Ejemplo: pixfirewall(config)# nat (interna) 1 0 0 pixfirewall(config)# sh nat nat (interna) 1 0.0.0.0 0.0.0.0 0 0 nat (ferrand) 1 0.0.0.0 0.0.0.0 0 0 pixfirewall(config)# Obs: En el siguiente ejemplo (interna) pertenece a lo que se denomina como if_nane. El numero 1 es nat_id El numero 0 es Local_ip El prximo numero 0 es Netmask En este ejmplo se esta permitiendo todas las conexiones salientes de la interfaz interior
Page 11
Taller de Redes Quinta Experiencia
Ejemplo pixfirewall(config)# global (ferrand) 1 209.165.201.10-209.165.201.20 netmask $ pixfirewall(config)# wr m Building configuration... Cryptochecksum: 506076bb 3fdebab4 fc8ed3d6 500340fe [OK] pixfirewall(config)#
Page 12
Taller de Redes Quinta Experiencia
deny especifica la opcin de denegar el paquete que cumpla con las caractersticas especificadas en el resto del comando. permit especifica la opcin de permitir el paquete que cumpla con las caractersticas especificadas en el resto del comando. Ejemplo access-list acl-grp permit tcp any 210.165.201.0 255.255.255.224 access-list acl-dmz1 deny tcp any host 192.168.10.4 range ftp telnet