Gua Rpida Firewalls Cisco PIX

Fabian Portantier

Contenidos
Introduccin Configuracin del sistema Configuracin de interfaces Administracin por SSH Fecha y Hora Servidor DHCP Registros (logs) SNMP Network Address Translation Control de Acceso Prevencin de Intrusos Portantier Information Security 3 4 5 6 7 7 8 8 9 10 10 11

Gua Rpida Firewalls Cisco PIX

Fabian Portantier
07 de Agosto de 2011 Este libro se encuentra licenciado bajo Creative Commons. Para ms informacin de la licencia, visite: http://creativecommons.org/licenses/by-nc-nd/3.0/deed.es_ES

Introduccin
Esta pequea gua es una referencia a los comandos ms utilizados en los equipos PIX de Cisco. Dista mucho de ser un manual completo, teniendo como objetivo recordar a los administradores cmo realizar las tareas bsicas para la configuracin del sistema. No es una gua de mejores prcticas, si no ms bien de ejemplos, en los cules se muestra cmo hacer las cosas. El contenido de esta gua ha sido constatado implementando los comandos en dispositivos Cisco PIX 515e, con el software 7.2(2). Agradecemos particularmente a Cisco (www.cisco.com) y a Signus Consultant (www.signus-web.com) por haber provisto los equipos para pruebas, en los cuales se basa esta gua. El contenido de la gua se inicia teniendo en cuenta que ya se encuentra el equipo conectado, encendido y con una conexin existente a la consola de administracin. De no ser as, para la conexin inicial, es necesario contar con un cable de consola, de los que se incluyen con la compra del equipo, que contienen en un extremo un conector RJ-45 (que va conectado al PIX) y otro conector DB9 (que debe ir conectado a la estacin de trabajo que va a administrar el equipo). En el caso de que la estacin de trabajo no cuente con un puerto DB9 (situacin habitual en el caso de laptops), es posible adquirir adaptadores de USB a DB9 por una suma cercana a los 25 dlares.

Configuracin del sistema

Entrar al modo configuracin: pix01> enable pix01# configure terminal

Mostrar la versin del sistema: pix01# show version

Borrado total de la configuracin pix01(config)# write erase

Guardado de la configuracin pix01(config)# write

Definir el nombre de host y dominio: pix01(config)# hostname pix01 pix01(config)# domain-name portantier.com

Modificacin de las claves de acceso

Definimos la password de acceso como 'cisco' pix01 (config)# passwd cisco

Definimos la password de configuracin (enable) como 'cisco' pix01 (config)# enable password cisco

Configuracin de interfaces
Definicin de la interfaz externa: pix01(config)# interface Ethernet 0 pix01(config-if)# nameif if-externa pix01(config-if)# description Interfaz Externa pix01(config-if)# ip address 10.0.0.1 255.255.255.0

Definicin de la interfaz interna: pix01(config)# interface Ethernet 1 pix01(config-if)# nameif if-interna pix01(config-if)# description Interfaz Interna pix01(config-if)# ip address 192.168.1.1 255.255.255.0

Definicin de la interfaz DMZ: pix01(config)# interface Ethernet 2 pix01(config-if)# nameif if-dmz pix01(config-if)# description Interfaz DMZ pix01(config-if)# ip address 192.168.2.1 255.255.255.0

Definicin de la puerta de enlace por defecto (10.0.0.254): route if-externa 0.0.0.0 0.0.0.0 10.0.0.254

Administracin por SSH

Generar claves RSA: pix01 (config)# crypto key generate rsa modulus 2048 pix01 (config)# show crypto key mypubkey rsa

Permitir solamente la versin 2 de SSH: pix01 (config)# ssh version 2

Permitir el acceso SSH en la interfaz if-interna a la ip 10.0.0.2: pix01 (config)# ssh 192.168.1.2 255.255.255.255 if-interna

El usuario por defecto se llama 'pix', debemos tenerlo en cuenta al iniciar conexiones ssh. Por ejemplo, desde linux, podemos hacer lo siguiente: ssh pix@192.168.1.1

Fecha y Hora
Configuramos la zona horaria BsAs y definimos la utilizacin de GMT-3 : pix01(config)# clock timezone BsAs -3 Configuramos la utilizacin del servidor NTP 38.229.71.1 y otros dos servidores de respaldo: pix01(config)# ntp server 38.229.71.1 prefer pix01(config)# ntp server 67.18.187.111 pix01(config)# ntp server 69.65.40.29

Servidor DHCP
Con la siguiente configuracin habilitamos el servidor DHCP en la interfaz if-interna, utilizando el rango de direcciones desde 192.168.1.100 hasta 192.168.1.254: pix01(config)# dhcpd address 192.168.1.100-192.168.1.254 ifinterna

Adems, definimos los servidores DNS (192.168.1.10 y 192.168.1.11): pix01(config)# dhcpd dns 192.168.1.10 192.168.1.11 interface ifinterna

Definimos el dominio portantier.com: pix01(config)# dhcpd domain portantier.com

Por ltimo, habilitamos la configuracin: pix01(config)# dhcpd enable if-interna

Registros (logs)
Nivel Emergencia Alerta Crtico Error Advertencia Notificacin Informacin Depuracin Nmero 0 1 2 3 4 5 6 7 Condicin Sistema inutilizable Se requieren acciones inmediatas Situacin crtica Mensaje de error Mensaje de advertencia Mensajes normales Mensajes informativos Mensajes de depuracin

Definimos el envo de logs al servidor syslog 192.168.1.20: pix01(config)# logging host if-interna 192.168.1.20 pix01(config)# logging enable

Mostramos por consola los mensajes con nivel crtico a superior: pix01(config)# logging console critical

SNMP
Definimos un nombre de contacto y la ubicacin del equipo: pix01(config)# snmp-server contact Fabian Portantier pix01(config)# snmp-server location OficinaCentral

Definimos que el host 192.168.1.2 puede realizar consultas al equipo si utiliza la comunidad ReadOnly-CdEvfR y la versin 2c del protocolo SNMP: pix01(config)# snmp-server host if-interna 192.168.1.2 poll community ReadOnly-CdEvfR version 2c Con esta configuracin, podramos consultar los valores del equipo desde el host 192.168.1.2. En linux, por ejemplo, podramos utilizar el siguiente comando: # snmpwalk -c ReadOnly-CdEvfR -v 2c -Os 192.168.1.1

Network Address Translation

Traducir todas las conexiones desde if-interna hacia if-externa a la direccin IP 10.0.0.2 pix01(config)# nat (if-interna) 1 192.168.1.0 255.255.255.0 pix01(config)# global (if-externa) 1 10.0.0.2

Permitir las conexiones desde internet (if-externa) hacia los puertos TCP/80 y TCP/443 de nuestro servidor 192.168.2.2, ubicado en la DMZ (if-dmz), haciendo traduccin de direcciones: static (if-externa,if-dmz) tcp 10.0.0.3 80 192.168.2.2 80 access-list 101 permit tcp any host 192.168.0.2 eq 80 static (if-externa,if-dmz) tcp 10.0.0.3 443 192.168.2.2 443 access-list 101 permit tcp any host 192.168.0.2 eq 443 Permitir las conexiones desde internet (if-externa) hacia el puerto TCP/25 de nuestro servidor 192.168.2.3, ubicado en la DMZ (if-dmz), haciendo traduccin de direcciones: static (if-externa,if-dmz) tcp 10.0.0.3 25 192.168.2.3 25 access-list 101 permit tcp any host 192.168.0.3 eq 25

NOTA: Como lo muestran los ejemplos, adems de configurar el NAT, debemos crear las listas de control de acceso (ACL) correspondientes para permitir las conexiones. NOTA: Cada vez que realizamos cambios en la configuracin de NAT, es una buena idea utilizar el comando clear xlate que limpia la tabla de NAT y obliga al dispositivo a recrearla. Esto nos asegura que la tabla no contenga informacin relacionada con viejas configuraciones. Para ver el estado de la tabla, podemos utilizar el comando show xlate.

Control de Acceso
Permitir solamente las conexiones desde cualquier equipo de la interfaz if-interna hacia internet (if-externa) a travs de los puertos TCP/80 y TCP/443: pix01(config)# access-list internet permit tcp any any eq 80 pix01(config)# access-list internet permit tcp any any eq 443

Una vez hecho esto, asignamos esta lista de control de acceso (ACL) a la interfaz ifinterna: pix01(config)# access-group internet in interface if-interna

Prevencin de Intrusos
Definimos la poltica de auditora myaudit que toma las siguientes acciones: En caso de detectar un ataque, enva una alarma y descarta los paquetes En caso de detectar un comportamiento que debe ser informado, enva una alarma pix01(config)# ip audit name myaudit attack action alarm drop pix01(config)# ip audit name myaudit info action alarm

Aplicamos la poltica a la interfaz if-externa: pix01(config)# ip audit interface if-externa myaudit

Portantier Information Security

Es una consultora que nace en el ao 2010, de la mano de Fabian Portantier y tiene como objetivo principal brindar servicios exclusivos de seguridad, como auditora, consultora y capacitaciones. Normalmente publicamos documentos de inters, noticias, recomendaciones y herramientas. Para ms informacin, visite: www.portantier.com No dude en comunicarse con nosotros por cualquier duda, consulta o solicitud de servicios. Estamos para ayudarle. Saludos cordiales, Fabian Portantier