Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Configuracion basica
Ahora veremos la configuracion basica de un PIX. Notaran que la
sintaxis de los comandos del FOS es muy parecida a la del IOS, o como
lo llama Cisco "IOS like".
pixfirewall> enable
pixfirewall# configure terminal
pixfirewall(config)# quit
pixfirewall# disable
pixfirewall>
Cada interfaz del PIX debe poseer una direccion IP. Esto lo
configuramos con el comando "ip address", donde a la interfaz la
podemos llamar con el nombre que le pusimos, por ejemplo "dmz", en
lugar del nombre de hardware "ethernet2".
Existen cuatro tipos de NATs muy similares que vamos a poder usar en
un PIX, el NAT Inside Estatico, NAT Inside Dinamico, NAT Outside
estatico y NAT Outside Dinamico. El que mas utilizaremos es el NAT
Inside Estatico, que realiza una traslacion entre una direccion IP en
una interfaz segura a una direccion IP en una interfaz menos segura.
Como vemos esto lo hacemos con el comando "nat 0", y una vez aplicado
el comando nos aparecera un mensaje diciendo que la IP no sera
trasladada. Hay que tener en cuenta que para hacer esto, dentro de
nuestra red interna 10.0.0.0/8 deberiamos tener un host con una IP
publica 200.0.0.69.
Finalmente, para que el PIX tome cualquier tipo de cambio que hayamos
realizado en los NAT deberemos utilizar el comando "xlate". Este
comando nos permitira ver o borrar el contenido de los slots de
traslaciones.
En el primer ejemplo, con "show xlate" vemos las traslaciones que hay
en ese momento, luego al hacer "show xlate count" vemos con menos
detalles que hay solo una traslacion activa y el maximo de
traslaciones realizadas fue de dos.
Como deciamos antes para que el PIX tome los cambios del NAT deberemos
usar el comando "xlate", siempre sera asi cuando hayamos usado
cualquiera de los comandos "alias", "conduit", "global", "nat",
"route" o "static".
El ejemplo mas comun, seria un PAT que permita a todos los hosts de
nuestra red interna acceder a Internet utilizando una unica direccion
IP publica, que no necesariamente debe ser la IP publica de la
interfaz outside del PIX.
Armando el Ruteado
Como vimos al principio, el PIX no es un router con las ACL mejoradas
para hacer de firewall, por lo que no esperemos tener las mismas
caracteristicas de ruteado que posee un router.
Con el PIX podemos configurar ruteado estatico y dinamico. El ruteado
dinamico soporta los protocolos RIP y OSPF. Aunque es fuertemente
recomendado utilizar siempre rutas estaticas.
Algo muy curioso es que el PIX no puede rutear un paquete por la misma
interface que lo recibio, para tenerlo en cuenta.
Reglas de filtrado
Con una ACL "Access Control List" podemos permitir o denegar el
trafico que atravesara el PIX. Para ello vamos a utilizar los comandos
"access-list" y "access-group".
Una ACL esta compuesta por su nombre, la accion que realizara (permit
o deny), el protocolo utilizado (IP, TCP, UDP o ICMP), la direccion IP
o Red de origen, el puerto de origen, la direccion IP o Red de
destino, y el puerto de destino.
Cuando usamos "ip" como protocolo, estamos declarando que puede ser
cualquier protocolo, osea TCP, UDP o ICMP. En este ejemplo permitimos
absolutamente todo sin restriccion de puertos.
Otra forma muy parecida a esta, es cargar las nuevas ACLs con otro
nombre, por ejemplo ACLDMZ-2, y pisar las anteriores con "access-
group".
Se puede decir que esta ultima forma es un poco mas segura, pero
tambien solo la vamos a usar cuando tengamos que hacer muchos cambios.
Imaginen que hacer un "copy + paste" de 2000 ACLs porque queriamos
modificar solo una, no es muy agradable.
Para cargar solo una ACL, primero usamos "sh access-list" para ver el
orden de las reglas, y luego la cargamos en la posicion que deseamos
indicando la "line".
y volvemos a visualizarlas:
Restringiendo el acceso
Logueandonos al PIX
Pero antes de poder loguearnos, debemos generar las llaves de RSA que
usaremos en las sesiones encriptadas de SSH. Para ello sigamos los
siguientes pasos:
Arcadia> sh curpriv
Current privilege level : 1
Current Mode/s : P_UNPR
Arcadia> en
Password: *****
Arcadia# sh curpriv
Current privilege level : 15
Current Mode/s : P_PRIV
Ahora para que todo lo que hemos hecho tome efecto, nos faltan los
siguientes comandos:
Logoff
Configurando el Syslog
Algo fundamental en un firewall es el logging, y en este aspecto el
PIX es muy superior a otros. No solo nos servira para analizar los
ataques e nuestra red,sino que es una herramienta fundamental para el
troubleshooting.
Lo ideal es configurar la salida de los mensajes del PIX a un servidor
Syslog de Linux o Unix. Si no tienen otra opcion que usar Windows, el
Kiwi Syslog es aceptable. [Ref. 3]
Arcadia(config)# logging on
Arcadia(config)# logging trap debugging
Arcadia(config)# logging facility 22
Arcadia(config)# logging host inside 10.1.1.1
Todo lo no cubierto
Hay muchas cosas no mencionadas en este articulo que deberian conocer,
por lo que tratare de darles una breve descripcion de algunos temas.